CN201515393U - 一种级联融合式网络入侵检测系统 - Google Patents
一种级联融合式网络入侵检测系统 Download PDFInfo
- Publication number
- CN201515393U CN201515393U CN2009201531341U CN200920153134U CN201515393U CN 201515393 U CN201515393 U CN 201515393U CN 2009201531341 U CN2009201531341 U CN 2009201531341U CN 200920153134 U CN200920153134 U CN 200920153134U CN 201515393 U CN201515393 U CN 201515393U
- Authority
- CN
- China
- Prior art keywords
- classifier
- network
- grader
- cascade
- network connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本实用新型公开了一种级联融合式网络入侵检测系统,其包括:网络连接特征提取模块,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;级联分类器,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;数据报内容特征提取模块,用于对传输层的数据报做应用层解析,提取数据报的内容特征;单级并联分类器,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;融合判断分类器,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。本实用新型大大提高了网络攻击检测的准确率。
Description
技术领域
本实用新型涉及网络攻击检测技术,尤其涉及一种级联融合式网络入侵检测系统。
背景技术
为避免连接到因特网中的个人计算机遭受到入侵和攻击而使得计算机上的信息安全受到侵害,人们在网络上采用了防火墙技术,或者进一步使用了网络入侵/攻击检测系统.但目前的网络入侵/攻击检测系统普遍存在一下问题:对网络攻击的检测要么误报率高(即把网络正常通讯误判为攻击),要么漏报率高(即把网络攻击误判为正常通讯),使得在实际应用中网络入侵检测系统的使用效果不够理想。
实用新型内容
本实用新型实施例所要解决的技术问题在于,提供一种能够提高对网络攻击行为检测的准确率的级联融合式网络入侵检测系统。
为了解决上述技术问题,本实用新型实施例提供了一种级联融合式网络入侵检测系统,其包括:
网络连接特征提取模块,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;
级联分类器,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;
数据报内容特征提取模块,用于对传输层的数据报做应用层解析,提取数据报的内容特征;
单级并联分类器,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;
融合判断分类器,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。
具体地,所述网络连接特征包括但不限定于以下统计值:
在过去一段时间内与现行连接为同一主机的连接数目、
在过去一段时间内与现行连接为同一主机且具有SYN错误标记的连接数目、
在过去一段时间内与现行连接为同一主机且具有REJ错误标记的连接数目、
在过去一段时间内与现行连接为同一主机且具有同一服务的连接数目、
在过去一段时间内与现行连接为同一主机且具有不同一服务的连接数目、
在过去一段时间内与现行连接为同一服务的连接数目、
在过去一段时间内与现行连接为同一服务且具有SYN错误标记的连接数目、
在过去一段时间内与现行连接为同一服务且具有REJ错误标记的连接数目、
在过去一段时间内与现行连接为同一服务且与不同主机相连的连接数目、
在一段时间内来自同一主机的连接数目、
在一段时间内来自同一主机且具有同一服务的连接数目、
在一段时间内来自同一主机且具有不同服务的连接数目。
所述数据报内容特征包括但不限定于以下特征值:
协议类型、服务类型、从源机发往目标机的数据字节数目、从目标机发往源机的数据字节数目、连接是正常抑或是异常的标记、连接是否来自或发往同一主机或端口的标记、错误的分片数目、紧急分片数目、登陆失败的尝试数目、是否成功登陆标记、处于妥协状态的数目、是否获得root shell的标记、进入root的次数、执行生成文件操作的次数、发生shell提示的次数、发生试图操作受控文件的次数、登陆属性标记。
所述级联分类器包括但不限定于电子邮件状态分类器、服务器状态分类器、远程登陆状态分类器。
所述单级并联分类器包括但不限定于人工神经网络分类器、贝叶斯分类器、最近邻分类器、SVM分类器、基于随机方法的分类器、基于判定树的分类器、基于聚类的分类器。
本实用新型利用事先训练好的分类器分别对提取的网络连接特征和数据报内容特征进行双重分类解析判断,大大提高了对网络攻击行为检测的准确率。
附图说明
图1是本实用新型实施例一种级联融合式网络入侵检测系统的整体结构框图;
图2是本实用新型实施例一种级联融合式网络入侵检测系统的详细示意图;
图3是本实用新型一种级联融合式网络入侵检测系统在一具体实施例中的示意图。
具体实施方式
为使本实用新型的目的、技术方案和优点更加清楚,下面将结合附图对本实用新型作进一步地详细描述。
参照图1,本实用新型一种级联融合式网络入侵检测系统,其包括:
网络连接特征提取模块11,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;
级联分类器12,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;
数据报内容特征提取模块21,用于对传输层的数据报做应用层解析,提取数据报的内容特征;
单级并联分类器22,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;
融合判断分类器3,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。
具体地,所述网络连接特征包括但不限定于以下统计值(参考表1):
在过去一段时间内与现行连接为同一主机的连接数目、
在过去一段时间内与现行连接为同一主机且具有SYN错误标记的连接数目、
在过去一段时间内与现行连接为同一主机且具有REJ错误标记的连接数目、
在过去一段时间内与现行连接为同一主机且具有同一服务的连接数目、
在过去一段时间内与现行连接为同一主机且具有不同一服务的连接数目、
在过去一段时间内与现行连接为同一服务的连接数目、
在过去一段时间内与现行连接为同一服务且具有SYN错误标记的连接数目、
在过去一段时间内与现行连接为同一服务且具有REJ错误标记的连接数目、
在过去一段时间内与现行连接为同一服务且与不同主机相连的连接数目、
在一段时间内来自同一主机的连接数目、
在一段时间内来自同一主机且具有同一服务的连接数目、
在一段时间内来自同一主机且具有不同服务的连接数目。
表1
特征名称 | 描述 |
count | 在过去一段时间内与现行连接为同一主机的连接数目 |
serror | 在过去一段时间内与现行连接为同一主机且具有SYN错误标记的连接数目 |
rerror | 在过去一段时间内与现行连接为同一主机且具有REJ错误标记的连接数目 |
Same_srv | 在过去一段时间内与现行连接为同一主机且具有同一服务的连接数目 |
Diff_srv | 在过去一段时间内与现行连接为同一主机且具有不同一服务的连接数目 |
Srv_count | 在过去一段时间内与现行连接为同一服务的连接数目 |
Srv_serror | 在过去一段时间内与现行连接为同一服务且具有SYN错误标记的连接数目 |
Srv_rerror | 在过去一段时间内与现行连接为同一服务且具有REJ错误标记的连接数目 |
Srv_diff_host | 在过去一段时间内与现行连接为同一服务且与不同主机相连的连接数目 |
Dst_host_count | 在一段时间内来自同一主机的连接数目 |
Dst_host_srv_count | 在一段时间内来自同一主机且具有同一服务的连接数目 |
特征名称 | 描述 |
Dst_host_diff_srv | 在一段时间内来自同一主机且具有不同服务的连接数目 |
所述数据报内容特征是从以下特征值中选取的(参考表2):但不限定于以下特征值,
协议类型、服务类型、从源机发往目标机的数据字节数目、从目标机发往源机的数据字节数目、连接是正常抑或是异常的标记、连接是否来自或发往同一主机或端口的标记、错误的分片数目、紧急分片数目、登陆失败的尝试数目、是否成功登陆标记、处于妥协状态的数目、是否获得root shell的标记、进入root的次数、执行生成文件操作的次数、发生shell提示的次数、发生试图操作受控文件的次数、登陆属性标记。
表2
特征名称 | 描述 |
protocol_type | 协议类型,如TCP,UDP,ICMP等 |
service | 服务类型,如http,telnet,FTP等 |
src_bytes | 从源机发往目标机的数据字节数目 |
dst_bytes | 从目标机发往源机的数据字节数目 |
flag | 连接是正常抑或是异常的标记 |
land | 如果连接是来自/发往同一主机/端口则置1,否则置0 |
wrong_fragment | 错误的分片数目 |
urgent | 紧急分片数目 |
hot | ″hot″标记的数目 |
num_failed_logins | 登录失败的尝试数目 |
logged_in | 成功登录置1,否则置0 |
num_compromised | 处于″compromised″状态的数目 |
root_shell | 获得root shell时置1,否则置0 |
su_attempted | 尝试′su root″命令时置1,否则置0 |
num_root | 进入″root″的次数 |
特征名称 | 描述 |
num_file_creations | 执行生成文件操作的次数 |
num_shells | 发生shell提示的次数 |
num_acess_files | 发生试图操作受控文件的次数 |
is_guest_login | 如果登录是″guest″性质则置1,否则置0 |
参考图2和图3,所述级联分类器包括不同服务的分类器:比如电子邮件状态分类器、服务器状态分类器、远程登陆状态分类器等;所述单级并联分类器可选取人工神经网络分类器,但不限定于此;还可以选择:贝叶斯分类器、最近邻分类器、SVM分类器、基于随机方法的分类器、基于判定树的分类器、基于聚类的分类器;可以检测出不同类型的网路入侵行为,包括蠕虫攻击分类器、R2L攻击分类器、U2R攻击分类器等。
由于本实用新型的检测系统利用事先训练好的级联分类器和单级并联分类器分别对提取的网络连接特征和数据报内容特征进行双重分类解析判断,大大提高了对网络攻击行为检测的准确率。
以上所揭露的仅为本实用新型一种较佳实施例而已,当然不能以此来限定本实用新型之权利范围,因此依本实用新型权利要求所作的等同变化,仍属本实用新型所涵盖的范围。
Claims (3)
1.一种级联融合式网络入侵检测系统,其特征在于包括:
网络连接特征提取模块,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;
级联分类器,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;
数据报内容特征提取模块,用于对传输层的数据报做应用层解析,提取数据报的内容特征;
单级并联分类器,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;
融合判断分类器,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。
2.如权利要求1所述的级联融合式网络入侵检测系统,其特征在于,所述级联分类器包括电子邮件状态分类器、服务器状态分类器、远程登陆状态分类器。
3.如权利要求2所述的级联融合式网络入侵检测系统,其特征在于,所述单级并联分类器包括人工神经网络分类器、贝叶斯分类器、最近邻分类器、SVM分类器、基于随机方法的分类器、基于判定树的分类器、基于聚类的分类器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009201531341U CN201515393U (zh) | 2009-06-23 | 2009-06-23 | 一种级联融合式网络入侵检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009201531341U CN201515393U (zh) | 2009-06-23 | 2009-06-23 | 一种级联融合式网络入侵检测系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN201515393U true CN201515393U (zh) | 2010-06-23 |
Family
ID=42486803
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009201531341U Expired - Lifetime CN201515393U (zh) | 2009-06-23 | 2009-06-23 | 一种级联融合式网络入侵检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN201515393U (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916365A (zh) * | 2012-12-31 | 2014-07-09 | 西门子公司 | 导出和验证恶意代码的网络行为特征的方法和装置 |
CN108171103A (zh) * | 2016-12-07 | 2018-06-15 | 北京三星通信技术研究有限公司 | 目标检测方法及装置 |
-
2009
- 2009-06-23 CN CN2009201531341U patent/CN201515393U/zh not_active Expired - Lifetime
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916365A (zh) * | 2012-12-31 | 2014-07-09 | 西门子公司 | 导出和验证恶意代码的网络行为特征的方法和装置 |
CN103916365B (zh) * | 2012-12-31 | 2018-09-11 | 西门子公司 | 导出和验证恶意代码的网络行为特征的方法和装置 |
CN108171103A (zh) * | 2016-12-07 | 2018-06-15 | 北京三星通信技术研究有限公司 | 目标检测方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Meidan et al. | N-baiot—network-based detection of iot botnet attacks using deep autoencoders | |
US9860278B2 (en) | Log analyzing device, information processing method, and program | |
KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
CN105429963A (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
CN101984603B (zh) | 一种基于邮件截获的电力敏感信息检测方法 | |
US20060212942A1 (en) | Semantically-aware network intrusion signature generator | |
CN103795709A (zh) | 一种网络安全检测方法和系统 | |
CN103997489B (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
CN104168272A (zh) | 一种基于通信行为聚类的木马检测方法 | |
US20210168163A1 (en) | Bind Shell Attack Detection | |
CN109818970B (zh) | 一种数据处理方法及装置 | |
CN112995352B (zh) | 基于流量分析的IPv6网络空间测绘系统及测绘方法 | |
CN107181736B (zh) | 基于7层应用的网络数据包分类方法及系统 | |
CN110166454A (zh) | 一种基于自适应遗传算法的混合特征选择入侵检测方法 | |
SG184120A1 (en) | Method of identifying a protocol giving rise to a data flow | |
Hentehzadeh et al. | Statistical analysis of self-similar session initiation protocol (sip) messages for anomaly detection | |
CN108683589B (zh) | 垃圾邮件的检测方法、装置及电子设备 | |
CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
CN111757327A (zh) | 无线网络中假冒dhcp服务器或网关的识别方法及装置 | |
Spiekermann et al. | Unsupervised packet-based anomaly detection in virtual networks | |
CN104021348B (zh) | 一种隐匿p2p程序实时检测方法及系统 | |
Hareesh et al. | Anomaly detection system based on analysis of packet header and payload histograms | |
CN201515393U (zh) | 一种级联融合式网络入侵检测系统 | |
Aluthge | Iot device fingerprinting with sequence-based features | |
CN109474611A (zh) | 一种基于多因素的邮箱安全防护检测技术 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20170329 Address after: China Macao Road No. 48 g Wanji Arts crafts emporium 6 buildings Patentee after: Anxintong Technology (Macao) Co., Ltd. Patentee after: Zhuhai Telecom Technology Co. Ltd. Address before: Macao Special Administrative Region, Macao, China, South Bay Road, 405, Law building, building 12 Patentee before: NetCraft Information Technology (Macau) Co., Ltd. (MO) |
|
TR01 | Transfer of patent right | ||
CX01 | Expiry of patent term |
Granted publication date: 20100623 |
|
CX01 | Expiry of patent term |