CN104933357A - 一种基于数据挖掘的洪泛攻击检测系统 - Google Patents

一种基于数据挖掘的洪泛攻击检测系统 Download PDF

Info

Publication number
CN104933357A
CN104933357A CN201510293449.6A CN201510293449A CN104933357A CN 104933357 A CN104933357 A CN 104933357A CN 201510293449 A CN201510293449 A CN 201510293449A CN 104933357 A CN104933357 A CN 104933357A
Authority
CN
China
Prior art keywords
module
attack
mib
data
attack detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510293449.6A
Other languages
English (en)
Inventor
杨维永
王红凯
黄益彬
刘昀
廖鹏
金倩倩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Nari Information and Communication Technology Co
Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Nanjing NARI Group Corp
Original Assignee
State Grid Corp of China SGCC
Nari Information and Communication Technology Co
Nanjing NARI Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Nari Information and Communication Technology Co, Nanjing NARI Group Corp filed Critical State Grid Corp of China SGCC
Priority to CN201510293449.6A priority Critical patent/CN104933357A/zh
Publication of CN104933357A publication Critical patent/CN104933357A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Abstract

本发明公开了一种基于数据挖掘的洪泛攻击检测系统,其特征是,包括在线处理模块、攻击检测分类模块、脱机模块和管理模块;所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区;所述攻击检测分类模块与MIB数据存储区相连接;所述脱机模块包括关联规则挖掘模块和C4.5学习模块;所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。本发明所达到的有益效果:本系统基于数据挖掘技术,以C4.5算法为基础,从大量的网络流量中准确提取洪泛攻击的特征,建立洪泛攻击检测模型,提高洪泛攻击检测的准确度。

Description

一种基于数据挖掘的洪泛攻击检测系统
技术领域
本发明涉及一种基于数据挖掘的洪泛攻击检测系统,属于数据安全技术领域。
背景技术
计算机网络规模的日趋增大,使得发生网络攻击的机会不断增大,而且攻击过程也越来越不易被发现,尤其是随着网络种类的增多,攻击检测变得日益具有挑战性。攻击检测技术是用来发现外部攻击与合法用户滥用特权的一种方法,它通过从计算机网络或计算机系统中的若干关键信息点或关键网段收集信息,并对其进行分析,以识别网络或系统中的违规行为和遭受攻击的迹象,从而完成对网络攻击的探测、预警、评估、响应和恢复。它利用攻击者的蛛丝马迹,如试图登录的失败记录,试图连接特定文件、程序和其它资源的失败记录,或通过监视某些特定指标如CPU、内存、磁盘的不寻常活动等,有效地发现来自外部或内部的非法攻击。
已经有一些研究使用SNMP MIB的数据进行入侵检测。Jun等人开发了一个名为MAID的系统,此系统使用SNMP MIB-II数据进行异常检测。他们从四组MIB-II(Interface,IP,TCP,UDP)中定期收集27个MIB变量,并把它们转换成一个概率密度函数(PDF)来计算统计相似性指标,并把指标作为攻击分类器的输入数据。Puttini等人将相关的贝叶斯分类应用到SNMP MIB变量中来检测在MANET中的异常网络流量行为。Ramah等人在Shyu等人提出的基于无监督异常检测方案的基础上开发了一个使用从一个PCA上衍生的使用周期性SNMP数据采集的异常检测系统。然而,由于洪泛攻击种类众多,而且具备速度快、欺骗性强等特征,现存的理论和方法只能针对特定的攻击途径进行有限程度的检测和防御,仍然需要进一步的研究和发掘更为有效的措施来应对洪泛攻击带来的威胁。
现有的网络攻击检测系统在提取用户行为特征以及建立检测模型时,由于没有很好地利用数据挖掘技术,所提取的正常和攻击行为特征不能很好地反映实际情况,因此建立的攻击检测模型不够完善,容易造成误警和漏警,给网络系统带来损失。
发明内容
为解决现有技术的不足,本发明的目的在于提供一种基于数据挖掘的洪泛攻击检测系统,通过构建以C4.5算法为基础的两级分层结构,检测出正常流量中的攻击,并识别出攻击类型。
为了实现上述目标,本发明采用如下的技术方案:
一种基于数据挖掘的洪泛攻击检测系统,其特征是,包括在线处理模块、攻击检测分类模块、脱机模块和管理模块;
所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区;
所述攻击检测分类模块与MIB数据存储区相连接;
所述脱机模块包括关联规则挖掘模块和C4.5学习模块;所述C4.5学习模块通过随机生成各种流量攻击执行以C4.5算法为基础的学习;所述关联规则挖掘模块提取和分析存储在MIB数据存储区中数据的数据特征;
所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。
前述的一种基于数据挖掘的洪泛攻击检测系统,其特征是,所述SNMP MIB发生器模块根据网络流量数据产生MIB信息;所述MIB更新检测模块用于收集ifInOctets,确定检测系统的激活时间并更新MIB数据存储区;所述MIB数据储存区模块存储C4.5学习模块中的数据;所述攻击检测分类模块通过收集信息实时判断攻击发生时间和攻击类型。
前述的一种基于数据挖掘的洪泛攻击检测系统,其特征是,所述攻击检测分类模块设置有两层,第一层分类出正常流量和攻击流量,用于实时向攻击反应系统中的系统管理员报告任何检测到的攻击流量;第二层将所有被当作洪泛攻击的攻击流量按照流量数据包类型分别分类为TCP-SYN洪泛、UDP洪泛和ICMP洪泛。
前述的一种基于数据挖掘的洪泛攻击检测系统,其特征是,所述管理模块用于实施检测洪泛攻击,检测有关分类类型的详细信息,建立用于入侵检测和响应系统的策略。
本发明所达到的有益效果:本系统基于数据挖掘技术,以C4.5算法为基础,从大量的网络流量中准确提取洪泛攻击的特征,建立洪泛攻击检测模型,提高洪泛攻击检测的准确度。
附图说明
图1是本发明的系统结构示意图;
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本系统通过运用数据挖掘技术,从大量的网络流量中准确提取洪泛攻击的特征,并构建攻击检测模型,以此提高洪泛攻击检测的准确度。
具体结构如图1所示,包括在线处理模块、攻击检测分类模块、脱机模块和管理模块。
其中,在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区。攻击检测分类模块与MIB数据存储区相连接。SNMP MIB发生器模块根据网络流量数据产生MIB信息。MIB更新检测模块用于收集ifInOctets,确定检测系统的激活时间并执行MIB数据存储区。MIB数据储存区模块存储在C4.5从目标系统学习模型中确定的MIB信息。
攻击检测分类模块通过收集信息实时判断攻击发生时间和攻击类型。攻击检测分类模块设置有两层,第一层分类出正常流量和攻击流量,用于实时向攻击反应系统中的系统管理员报告任何检测到的攻击流量;第二层将所有被当作洪泛攻击的攻击流量分别分类为TCP-SYN洪泛、UDP洪泛和ICMP洪泛。
脱机模块包括关联规则挖掘模块和C4.5学习模块。C4.5学习模块通过随机生成各种流量攻击执行以C4.5算法为基础的学习,关联规则挖掘模块提取和分析存储在MIB数据存储区中数据的数据特征。
管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。管理模块用于实施检测洪泛攻击,检测有关分类类型的详细信息,建立用于入侵检测和响应系统的策略。
下面构建一个测试平台网络来进行实际的攻击实验。测试平台由一个受攻击系统,两个攻击代理系统,一个攻击处理系统和一个数据集收集系统构成。受攻击系统的操作系统是Linux Fedora 7,其他系统的操作系统是Linux Fedora 8。该测试平台连接的是校园网,所以在实验过程中,受攻击主义和测试平台网络之外的其他主机之间的正常流量也会生成。
使用Stacheldraht这个分布式拒绝服务攻击工具,来产生攻击流量。之所以会选择Stacheldraht这个工具是因为相较于TFN,TFN2K,Trinoo等其他攻击工具而言,更为成熟。Stacheldraht由处理器(主)和代理(守护进程)程序构成。代理系统以受害主机为目标产生大量的数据包,同时破坏系统资源和网络资源。试验中,实施三种洪泛攻击类型:TCP-SYN洪泛,UDP洪泛和ICMP洪泛攻击。
在攻击实验中,数据集收集器系统通过SNMP查询信息从受害者系统中收集SNMP MIB数据。首先,从5个MIB-II组:接口,IP,TCP,UDP,ICMP中调查66个MIB变量。这66个MIB变量的数据类型是Counter(计数器)类型,即一个非负的4字节整形,且只可递增不能减少。根据一个全面的但是不是详尽的调查,在66个MIB变量中选择13个可能会受到红花及流量影响的变量。这13个MIB变量和它们相应的MIB组如表1所示。
表1用于攻击检测系统的SNMP MIB变量
第一个实验是及时检测到攻击流量,并根据规则进行语义解释。我们通过学习数据集中的1000条正常的MIB记录进行C4.5学习。然后,用测试数据集中的2500条MIB记录进行测试,其中有1000条正常的MIB记录,另外三种攻击类型TCP-SYN,UDP和ICMP洪泛攻击,每种类型500条MIB记录。我们使用三个重要的通式来评估识别的第一步的性能:攻击检测率,假阳性(FalsePositive Rate,FPR),假阴性(False Negative Rate,FNR)。
F P R = Σ i = 1 n P i Σ i = 1 n N i
F N R = Σ i = 1 n F i Σ i = 1 n I i
其中,I——单个攻击流量的MIB记录
N——单个正常流量的MIB记录
T——被系统定义为攻击的一个攻击流量的记录
P——误判为攻击流量的一个正常流量的记录
F——误判为正常流量的一个攻击流量的记录
攻击识别检测实验结果为
表2系统在检测识别攻击的性能结果
攻击检测率 FPR FNR
99.06% 0.42% 0.89%
选择三套MIB记录值来为三种攻击类型TCP-SYN,UDP和ICMP洪泛攻击进行C4.5学习。每一套500条MIB记录值是在总的1500条攻击流量记录中随机选择的。使用以下公式来进行分类精度性能评估:
其中,K——相应攻击类的单个攻击流量的记录
S——正确分类的攻击流量的记录
攻击类型分类实验结果为
表3攻击类型分类的性能结果
TCP-SYN flooding UDP flooding FNR flooding
100% 100% 100%
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (4)

1.一种基于数据挖掘的洪泛攻击检测系统,其特征是,包括在线处理模块、攻击检测分类模块、脱机模块和管理模块;
所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区;
所述攻击检测分类模块与MIB数据存储区相连接;
所述脱机模块包括关联规则挖掘模块和C4.5学习模块;所述C4.5学习模块通过随机生成各种流量攻击执行以C4.5算法为基础的学习;所述关联规则挖掘模块提取和分析存储在MIB数据存储区中数据的数据特征;
所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。
2.根据权利要求1所述的一种基于数据挖掘的洪泛攻击检测系统,其特征是,所述SNMP MIB发生器模块根据网络流量数据产生MIB信息;所述MIB更新检测模块用于收集ifInOctets,确定检测系统的激活时间并更新MIB数据存储区;所述MIB数据储存区模块存储C4.5学习模块中的数据;所述攻击检测分类模块通过收集信息实时判断攻击发生时间和攻击类型。
3.根据权利要求1所述的一种基于数据挖掘的洪泛攻击检测系统,其特征是,所述攻击检测分类模块设置有两层,第一层分类出正常流量和攻击流量,用于实时向攻击反应系统中的系统管理员报告任何检测到的攻击流量;第二层将所有被当作洪泛攻击的攻击流量按照流量数据包类型分别分类为TCP-SYN洪泛、UDP洪泛和ICMP洪泛。
4.根据权利要求1所述的一种基于数据挖掘的洪泛攻击检测系统,其特征是,所述管理模块用于实施检测洪泛攻击,检测有关分类类型的详细信息,建立用于入侵检测和响应系统的策略。
CN201510293449.6A 2015-06-01 2015-06-01 一种基于数据挖掘的洪泛攻击检测系统 Pending CN104933357A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510293449.6A CN104933357A (zh) 2015-06-01 2015-06-01 一种基于数据挖掘的洪泛攻击检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510293449.6A CN104933357A (zh) 2015-06-01 2015-06-01 一种基于数据挖掘的洪泛攻击检测系统

Publications (1)

Publication Number Publication Date
CN104933357A true CN104933357A (zh) 2015-09-23

Family

ID=54120520

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510293449.6A Pending CN104933357A (zh) 2015-06-01 2015-06-01 一种基于数据挖掘的洪泛攻击检测系统

Country Status (1)

Country Link
CN (1) CN104933357A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107809344A (zh) * 2016-09-09 2018-03-16 中华电信股份有限公司 实时讯务量搜集与分析系统及方法
CN114531335A (zh) * 2020-11-23 2022-05-24 大唐移动通信设备有限公司 一种管理信息库数据检测的方法、设备及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102034042A (zh) * 2010-12-13 2011-04-27 四川大学 基于函数调用关系图特征的恶意代码检测新方法
CN103051617A (zh) * 2012-12-18 2013-04-17 北京奇虎科技有限公司 识别程序的网络行为的方法、装置及系统
CN103177215A (zh) * 2013-03-05 2013-06-26 四川电力科学研究院 基于软件控制流特征的计算机恶意软件检测新方法
US20130291108A1 (en) * 2012-04-26 2013-10-31 Electronics And Telecommunications Research Institute Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102034042A (zh) * 2010-12-13 2011-04-27 四川大学 基于函数调用关系图特征的恶意代码检测新方法
US20130291108A1 (en) * 2012-04-26 2013-10-31 Electronics And Telecommunications Research Institute Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining
CN103051617A (zh) * 2012-12-18 2013-04-17 北京奇虎科技有限公司 识别程序的网络行为的方法、装置及系统
CN103177215A (zh) * 2013-03-05 2013-06-26 四川电力科学研究院 基于软件控制流特征的计算机恶意软件检测新方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JAEHAK YU 等: ""Traffic flooding attack detection with SNMP MIB using SVM"", 《COMPUTER COMMUNICATIONS》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107809344A (zh) * 2016-09-09 2018-03-16 中华电信股份有限公司 实时讯务量搜集与分析系统及方法
CN107809344B (zh) * 2016-09-09 2021-01-22 中华电信股份有限公司 实时讯务量搜集与分析系统及方法
CN114531335A (zh) * 2020-11-23 2022-05-24 大唐移动通信设备有限公司 一种管理信息库数据检测的方法、设备及装置
CN114531335B (zh) * 2020-11-23 2023-04-11 大唐移动通信设备有限公司 一种管理信息库数据检测的方法、设备及装置

Similar Documents

Publication Publication Date Title
CN110380896B (zh) 基于攻击图的网络安全态势感知系统和方法
CN106790256B (zh) 用于危险主机监测的主动机器学习系统
CN110336827B (zh) 一种基于异常字段定位的Modbus TCP协议模糊测试方法
CN105553998A (zh) 一种网络攻击异常检测方法
Subbulakshmi et al. Detection of DDoS attacks using Enhanced Support Vector Machines with real time generated dataset
CN105637519A (zh) 使用行为辨识系统的认知信息安全性
CN103581186A (zh) 一种网络安全态势感知方法及系统
CN105868629B (zh) 一种适用于电力信息物理系统的安全威胁态势评估方法
CN111431939A (zh) 基于cti的sdn恶意流量防御方法及系统
Zhe et al. DoS attack detection model of smart grid based on machine learning method
CN112114995A (zh) 基于进程的终端异常分析方法、装置、设备及存储介质
EP3623983A1 (en) Method and device for identifying security threats, storage medium, processor and terminal
CN102045357A (zh) 一种基于仿射聚类分析的入侵检测方法
CN115021997A (zh) 一种基于机器学习的网络入侵检测系统
Bhati et al. Intrusion detection technique using Coarse Gaussian SVM
CN107896229A (zh) 一种计算机网络异常检测的方法、系统及移动终端
CN113343228B (zh) 事件可信度分析方法、装置、电子设备及可读存储介质
Riad et al. Visualize network anomaly detection by using k-means clustering algorithm
CN104933357A (zh) 一种基于数据挖掘的洪泛攻击检测系统
CN111709021B (zh) 一种基于海量告警的攻击事件识别方法及电子装置
CN112925805A (zh) 基于网络安全的大数据智能分析应用方法
CN112600828A (zh) 基于数据报文的电力控制系统攻击检测防护方法及装置
CN116074092B (zh) 一种基于异构图注意力网络的攻击场景重构系统
Tian et al. A transductive scheme based inference techniques for network forensic analysis
CN114070641B (zh) 一种网络入侵检测方法、装置、设备和存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C41 Transfer of patent application or patent right or utility model
CB03 Change of inventor or designer information

Inventor after: Wang Hongkai

Inventor after: Zhang Xudong

Inventor after: Yang Weiyong

Inventor after: Huang Yibin

Inventor after: Liu Yun

Inventor after: Liao Peng

Inventor after: Jin Qianqian

Inventor before: Yang Weiyong

Inventor before: Wang Hongkai

Inventor before: Huang Yibin

Inventor before: Liu Yun

Inventor before: Liao Peng

Inventor before: Jin Qianqian

COR Change of bibliographic data
TA01 Transfer of patent application right

Effective date of registration: 20161009

Address after: 100031 West Chang'an Avenue, Beijing, No. 86

Applicant after: State Grid Corporation of China

Applicant after: Information communication branch office of Guo Wang Zhejiang Electric Power Company

Applicant after: Nanjing Nari Co., Ltd.

Applicant after: NANJING NARI INFORMATION COMMUNICATION SCIENCE & TECHNOLOGY CO., LTD.

Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant before: State Grid Corporation of China

Applicant before: Nanjing Nari Co., Ltd.

Applicant before: NANJING NARI INFORMATION COMMUNICATION SCIENCE & TECHNOLOGY CO., LTD.

RJ01 Rejection of invention patent application after publication

Application publication date: 20150923

RJ01 Rejection of invention patent application after publication