CN113360907A - 一种基于ides和nides的防黑客入侵方法 - Google Patents
一种基于ides和nides的防黑客入侵方法 Download PDFInfo
- Publication number
- CN113360907A CN113360907A CN202110672454.3A CN202110672454A CN113360907A CN 113360907 A CN113360907 A CN 113360907A CN 202110672454 A CN202110672454 A CN 202110672454A CN 113360907 A CN113360907 A CN 113360907A
- Authority
- CN
- China
- Prior art keywords
- intrusion
- data
- audit
- nides
- ides
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/211—Selection of the most significant subset of features
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于IDES和NIDES的防黑客入侵方法,该方法包括以下步骤:获取数据集,NIDES系统对被监控网段内的数据进行采集后获取数据集;建立入侵检测模型,通过深度神经网络深度学习并训练数据集后建立入侵检测模型;获取审计数据,通过部署在网络网口的IDES系统对目标主机进行监测,以获取该主机的审计数据;入侵预警与防御,入侵检测模型对获取的审计数据进行数据解析,判断是否存在入侵行为,并在发现入侵事件时,做出主动防御行为。本申请的一种基于IDES和NIDES的防黑客入侵方法,提高了网络安全防御过程中黑客入侵警报的时效性和准确性。
Description
技术领域
本申请涉及网络安全防御技术领域,具体是一种基于IDES和NIDES的防黑客入侵方法。
背景技术
网络技术及互联网经济的发展,使网络服务深入社会各个层面。黑客通过计算机技术入侵到目标服务器中,从而进行诸如商业机密窃取、网络系统破坏等行为,严重的,会造成大规模、长时间的网络瘫痪。因此,防黑客入侵的系统、装置、方法等等,是每一个电子商务企业尤为关心和重视的一项工程。同时,防黑客入侵的预警还需要较高的效率,才能够实现保护财产安全的功能。为此,本申请提供了一种基于IDES和NIDES的防黑客入侵方法。
发明内容
本申请的目的在于提供一种基于IDES和NIDES的防黑客入侵方法,提高网络安全防御过程中黑客入侵警报的时效性和准确性。
为实现上述目的,本申请提供了一种基于IDES和NIDES的防黑客入侵方法,该方法包括以下步骤:
获取数据集,NIDES系统对被监控网段内的数据进行采集后获取数据集;
建立入侵检测模型,通过深度神经网络深度学习并训练数据集后建立入侵检测模型;
获取审计数据,通过部署在网络网口的IDES系统对目标主机进行监测,以获取该主机的审计数据;
入侵预警与防御,入侵检测模型对获取的审计数据进行数据解析,判断是否存在入侵行为,并在发现入侵事件时,做出主动防御行为。
作为优选,所述入侵预警与防御中判断是否存在入侵行为具体包括:
所述入侵监测模型对审计数据进行解析,将接收的审计记录转换为通用审计记录格式的审计数据;
所述入侵监测模型从数据库中调取相关的档案内容,并与转换后的审计数据进行比对,当数据差较大时,判断为存在入侵行为,否则为不存在入侵行为。
作为优选,所述的与转换后的审计数据进行比对具体包括:
将转换后的审计数据解析为固定格式的变量向量;
将转换后的审计数据对应的变量向量与档案内容的变量向量相比对;当转换后的审计数据对应的变量向量所确定的N维空间中的点与档案内容的变量向量的点不同时,判断为存在入侵行为,否则为不存在入侵行为。
作为优选,所述IDES系统包括与所述目标主机建立交互的邻域接口、基于统计分析方法监测所述目标主机系统上活动行为并描述行为特征的统计异常检测器、基于规则分析方法并通过已知知识监测所述目标主机系统上活动行为并判断入侵性质的专家系统异常检测器、用于满足多种类型用户提供需求的用户接口。
作为优选,所述已知知识包括已知的系统脆弱性知识、己知入侵模式的信息、已知的入侵相关的直觉知识。
作为优选,所述审计数据包括文件访问数据、系统访问数据、资源消耗数据、进程创建命令的调用数据。
作为优选,所述NIDES系统包括审计数据生成组件、审计数据收集组件、统计分析组件、基于规则分析组件、解析器组件、安全管理员用户接口组件;所述审计数据生成组件用于从目标主机的安全审计文件和记账文件中生成反映主机上不同用户活动情况的审计记录,所述审计数据收集组件用于收集多个主机生成的审计记录,所述统计分析组件用于检测伪装的非法用户,所述基于规则分析组件用于检测已知的入侵行为,所述解析器组件用于分析来自统计分析组件和基于规则分析组件的入侵警报,并发出非冗余警报,所述安全管理员用户接口组件对系统进行实时防御操作并对审计数据进行管理。
作为优选,所述主动防御行为包括发送阻断已建立连接的数据包、自动配置防火墙访问控制链表的数据包、自动配置路由器访问控制链表的数据包、自动配置交换机访问控制链表的数据包。
借由上述的一种基于IDES和NIDES的防黑客入侵方法,基于NIDES系统通过深度学习和训练建立入侵检测模型,同时,基于IDES系统对被监控计算机系统进行数据采集和预判,提高入侵检测模型对黑客入侵行为检测的效率,提高入侵警报的时效性和准确性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种基于IDES和NIDES的防黑客入侵方法的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:参考图1所示的一种基于IDES和NIDES的防黑客入侵方法,该方法包括以下步骤:
T1、获取数据集,NIDES系统对被监控网段内的数据进行采集后获取数据集。NIDES系统包括审计数据生成组件、审计数据收集组件、统计分析组件、基于规则分析组件、解析器组件、安全管理员用户接口组件。审计数据生成组件用于从目标主机的安全审计文件和记账文件中生成反映主机上不同用户活动情况的审计记录,审计数据收集组件用于收集多个主机生成的审计记录,统计分析组件用于检测伪装的非法用户,基于规则分析组件用于检测已知的入侵行为,解析器组件用于分析来自统计分析组件和基于规则分析组件的入侵警报,并发出非冗余警报,安全管理员用户接口组件对系统进行实时防御操作并对审计数据进行管理。
T2、建立入侵检测模型,通过深度神经网络深度学习并训练数据集后建立入侵检测模型,深度学习及训练通过现有技术中的卷积神经网络实现。
T3、获取审计数据,通过部署在网络网口的IDES系统对目标主机进行监测,以获取该主机的审计数据。IDES系统包括与目标主机建立交互的邻域接口、基于统计分析方法监测目标主机系统上活动行为并描述行为特征的统计异常检测器、基于规则分析方法并通过已知知识监测目标主机系统上活动行为并判断入侵性质的专家系统异常检测器、用于满足多种类型用户提供需求的用户接口。已知知识包括已知的系统脆弱性知识、己知入侵模式的信息、已知的入侵相关的直觉知识。审计数据包括文件访问数据、系统访问数据、资源消耗数据、进程创建命令的调用数据。
T4、入侵预警与防御,入侵检测模型对获取的审计数据进行数据解析,判断是否存在入侵行为,并在发现入侵事件时,做出主动防御行为。所述主动防御行为包括发送阻断已建立连接的数据包、自动配置防火墙访问控制链表的数据包、自动配置路由器访问控制链表的数据包、自动配置交换机访问控制链表的数据包。
在步骤T4中,入侵预警与防御中判断是否存在入侵行为具体包括:
T41、入侵监测模型对审计数据进行解析,将接收的审计记录转换为通用审计记录格式的审计数据;
T42、入侵监测模型从数据库中调取相关的档案内容,并与转换后的审计数据进行比对,当数据差较大时,判断为存在入侵行为,否则为不存在入侵行为。
在步骤T42中,的与转换后的审计数据进行比对具体包括:
T421、将转换后的审计数据解析为固定格式的变量向量;
T422、将转换后的审计数据对应的变量向量与档案内容的变量向量相比对;当转换后的审计数据对应的变量向量所确定的N维空间中的点与档案内容的变量向量的点不同时,判断为存在入侵行为,否则为不存在入侵行为。
基于上述的基于IDES和NIDES的防黑客入侵方法,基于NIDES系统通过深度学习和训练建立入侵检测模型。基于IDES系统对被监控计算机系统进行数据采集和预判,对已知的入侵行为进行预判,将其判定为入侵行为或误触行为,同时,在无法采用已知知识进行判断时,统计异常检测器对系统的审计数据进行特征提取,提取网络流量中的持续时间、字节数、发送和接收的片段、重传、往返时间等特征参数,并将标记特征参数的审计数据传输至入侵检测模型进行处理。入侵检测模型对审计数据进行解析处理,并比对判断是否存在入侵行为。本申请的基于IDES和NIDES的防黑客入侵方法,具有较高的入侵检测模型对黑客入侵行为检测的效率,同时,入侵警报具有较高的的时效性和准确性,实现保护财产安全的功能。
最后应说明的是:以上仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于IDES和NIDES的防黑客入侵方法,其特征在于,该方法包括以下步骤:
获取数据集,NIDES系统对被监控网段内的数据进行采集后获取数据集;
建立入侵检测模型,通过深度神经网络深度学习并训练数据集后建立入侵检测模型;
获取审计数据,通过部署在网络网口的IDES系统对目标主机进行监测,以获取该主机的审计数据;
入侵预警与防御,入侵检测模型对获取的审计数据进行数据解析,判断是否存在入侵行为,并在发现入侵事件时,做出主动防御行为。
2.根据权利要求1所述的基于IDES和NIDES的防黑客入侵方法,其特征在于,所述入侵预警与防御中判断是否存在入侵行为具体包括:
所述入侵监测模型对审计数据进行解析,将接收的审计记录转换为通用审计记录格式的审计数据;
所述入侵监测模型从数据库中调取相关的档案内容,并与转换后的审计数据进行比对,当数据差较大时,判断为存在入侵行为,否则为不存在入侵行为。
3.根据权利要求2所述的基于IDES和NIDES的防黑客入侵方法,其特征在于,所述的与转换后的审计数据进行比对具体包括:
将转换后的审计数据解析为固定格式的变量向量;
将转换后的审计数据对应的变量向量与档案内容的变量向量相比对;当转换后的审计数据对应的变量向量所确定的N维空间中的点与档案内容的变量向量的点不同时,判断为存在入侵行为,否则为不存在入侵行为。
4.根据权利要求1所述的基于IDES和NIDES的防黑客入侵方法,其特征在于,所述IDES系统包括与所述目标主机建立交互的邻域接口、基于统计分析方法监测所述目标主机系统上活动行为并描述行为特征的统计异常检测器、基于规则分析方法并通过已知知识监测所述目标主机系统上活动行为并判断入侵性质的专家系统异常检测器、用于满足多种类型用户提供需求的用户接口。
5.根据权利要求4所述的基于IDES和NIDES的防黑客入侵方法,其特征在于,所述已知知识包括已知的系统脆弱性知识、己知入侵模式的信息、已知的入侵相关的直觉知识。
6.根据权利要求1所述的一种基于IDES和NIDES的防黑客入侵方法,其特征在于,所述审计数据包括文件访问数据、系统访问数据、资源消耗数据、进程创建命令的调用数据。
7.根据权利要求1所述的一种基于IDES和NIDES的防黑客入侵方法,其特征在于,所述NIDES系统包括审计数据生成组件、审计数据收集组件、统计分析组件、基于规则分析组件、解析器组件、安全管理员用户接口组件;所述审计数据生成组件用于从目标主机的安全审计文件和记账文件中生成反映主机上不同用户活动情况的审计记录,所述审计数据收集组件用于收集多个主机生成的审计记录,所述统计分析组件用于检测伪装的非法用户,所述基于规则分析组件用于检测已知的入侵行为,所述解析器组件用于分析来自统计分析组件和基于规则分析组件的入侵警报,并发出非冗余警报,所述安全管理员用户接口组件对系统进行实时防御操作并对审计数据进行管理。
8.根据权利要求1所述的一种基于IDES和NIDES的防黑客入侵方法,其特征在于,所述主动防御行为包括发送阻断已建立连接的数据包、自动配置防火墙访问控制链表的数据包、自动配置路由器访问控制链表的数据包、自动配置交换机访问控制链表的数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110672454.3A CN113360907A (zh) | 2021-06-17 | 2021-06-17 | 一种基于ides和nides的防黑客入侵方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110672454.3A CN113360907A (zh) | 2021-06-17 | 2021-06-17 | 一种基于ides和nides的防黑客入侵方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113360907A true CN113360907A (zh) | 2021-09-07 |
Family
ID=77534557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110672454.3A Withdrawn CN113360907A (zh) | 2021-06-17 | 2021-06-17 | 一种基于ides和nides的防黑客入侵方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113360907A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115189937A (zh) * | 2022-07-06 | 2022-10-14 | 武汉极意网络科技有限公司 | 一种用于客户端数据的安全防护方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108259462A (zh) * | 2017-11-29 | 2018-07-06 | 国网吉林省电力有限公司信息通信公司 | 基于海量网络监测数据的大数据安全分析系统 |
CN110881037A (zh) * | 2019-11-19 | 2020-03-13 | 北京工业大学 | 网络入侵检测方法及其模型的训练方法、装置和服务器 |
CN111177779A (zh) * | 2019-12-24 | 2020-05-19 | 深圳昂楷科技有限公司 | 数据库审计方法、其装置、电子设备及计算机存储介质 |
CN111367908A (zh) * | 2020-02-27 | 2020-07-03 | 铵泰克(北京)科技有限公司 | 一种基于安全评估机制的增量式入侵检测方法及系统 |
-
2021
- 2021-06-17 CN CN202110672454.3A patent/CN113360907A/zh not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108259462A (zh) * | 2017-11-29 | 2018-07-06 | 国网吉林省电力有限公司信息通信公司 | 基于海量网络监测数据的大数据安全分析系统 |
CN110881037A (zh) * | 2019-11-19 | 2020-03-13 | 北京工业大学 | 网络入侵检测方法及其模型的训练方法、装置和服务器 |
CN111177779A (zh) * | 2019-12-24 | 2020-05-19 | 深圳昂楷科技有限公司 | 数据库审计方法、其装置、电子设备及计算机存储介质 |
CN111367908A (zh) * | 2020-02-27 | 2020-07-03 | 铵泰克(北京)科技有限公司 | 一种基于安全评估机制的增量式入侵检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
高泽胜等: "下一代入侵检测系统NIDES的实现机制", 《云南民族大学学报(自然科学版)》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115189937A (zh) * | 2022-07-06 | 2022-10-14 | 武汉极意网络科技有限公司 | 一种用于客户端数据的安全防护方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ozkan-Okay et al. | A comprehensive systematic literature review on intrusion detection systems | |
US7493659B1 (en) | Network intrusion detection and analysis system and method | |
Verwoerd et al. | Intrusion detection techniques and approaches | |
Kholidy et al. | CIDS: A framework for intrusion detection in cloud systems | |
EP2517437B1 (en) | Intrusion detection in communication networks | |
Hajj et al. | Anomaly‐based intrusion detection systems: The requirements, methods, measurements, and datasets | |
US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
Pradhan et al. | Intrusion detection system (IDS) and their types | |
CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
US20140259171A1 (en) | Tunable intrusion prevention with forensic analysis | |
CN113839935A (zh) | 网络态势感知方法、装置及系统 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
US11372971B2 (en) | Threat control | |
Sumanth et al. | Raspberry Pi based intrusion detection system using k-means clustering algorithm | |
Bhati et al. | A comprehensive study of intrusion detection and prevention systems | |
CN113360907A (zh) | 一种基于ides和nides的防黑客入侵方法 | |
KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
El-Taj et al. | Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study | |
Sulaiman et al. | Big data analytic of intrusion detection system | |
Abudalfa et al. | Evaluating performance of supervised learning techniques for developing real-time intrusion detection system | |
Wu et al. | Study of intrusion detection systems (IDSs) in network security | |
Beng et al. | A comparative study of alert correlations for intrusion detection | |
Hart et al. | An introduction to automated intrusion detection approaches | |
CN114006720B (zh) | 网络安全态势感知方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210907 |
|
WW01 | Invention patent application withdrawn after publication |