CN201515393U - 一种级联融合式网络入侵检测系统 - Google Patents

一种级联融合式网络入侵检测系统 Download PDF

Info

Publication number
CN201515393U
CN201515393U CN2009201531341U CN200920153134U CN201515393U CN 201515393 U CN201515393 U CN 201515393U CN 2009201531341 U CN2009201531341 U CN 2009201531341U CN 200920153134 U CN200920153134 U CN 200920153134U CN 201515393 U CN201515393 U CN 201515393U
Authority
CN
China
Prior art keywords
classifier
network
grader
cascade
network connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
CN2009201531341U
Other languages
English (en)
Inventor
韩子天
张地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anxintong Technology (Macao) Co., Ltd.
Zhuhai Telecom Technology Co. Ltd.
Original Assignee
Netcraft Information Technology (macau) Co Ltd (mo)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Netcraft Information Technology (macau) Co Ltd (mo) filed Critical Netcraft Information Technology (macau) Co Ltd (mo)
Priority to CN2009201531341U priority Critical patent/CN201515393U/zh
Application granted granted Critical
Publication of CN201515393U publication Critical patent/CN201515393U/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本实用新型公开了一种级联融合式网络入侵检测系统,其包括:网络连接特征提取模块,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;级联分类器,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;数据报内容特征提取模块,用于对传输层的数据报做应用层解析,提取数据报的内容特征;单级并联分类器,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;融合判断分类器,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。本实用新型大大提高了网络攻击检测的准确率。

Description

一种级联融合式网络入侵检测系统
技术领域
本实用新型涉及网络攻击检测技术,尤其涉及一种级联融合式网络入侵检测系统。
背景技术
为避免连接到因特网中的个人计算机遭受到入侵和攻击而使得计算机上的信息安全受到侵害,人们在网络上采用了防火墙技术,或者进一步使用了网络入侵/攻击检测系统.但目前的网络入侵/攻击检测系统普遍存在一下问题:对网络攻击的检测要么误报率高(即把网络正常通讯误判为攻击),要么漏报率高(即把网络攻击误判为正常通讯),使得在实际应用中网络入侵检测系统的使用效果不够理想。
实用新型内容
本实用新型实施例所要解决的技术问题在于,提供一种能够提高对网络攻击行为检测的准确率的级联融合式网络入侵检测系统。
为了解决上述技术问题,本实用新型实施例提供了一种级联融合式网络入侵检测系统,其包括:
网络连接特征提取模块,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;
级联分类器,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;
数据报内容特征提取模块,用于对传输层的数据报做应用层解析,提取数据报的内容特征;
单级并联分类器,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;
融合判断分类器,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。
具体地,所述网络连接特征包括但不限定于以下统计值:
在过去一段时间内与现行连接为同一主机的连接数目、
在过去一段时间内与现行连接为同一主机且具有SYN错误标记的连接数目、
在过去一段时间内与现行连接为同一主机且具有REJ错误标记的连接数目、
在过去一段时间内与现行连接为同一主机且具有同一服务的连接数目、
在过去一段时间内与现行连接为同一主机且具有不同一服务的连接数目、
在过去一段时间内与现行连接为同一服务的连接数目、
在过去一段时间内与现行连接为同一服务且具有SYN错误标记的连接数目、
在过去一段时间内与现行连接为同一服务且具有REJ错误标记的连接数目、
在过去一段时间内与现行连接为同一服务且与不同主机相连的连接数目、
在一段时间内来自同一主机的连接数目、
在一段时间内来自同一主机且具有同一服务的连接数目、
在一段时间内来自同一主机且具有不同服务的连接数目。
所述数据报内容特征包括但不限定于以下特征值:
协议类型、服务类型、从源机发往目标机的数据字节数目、从目标机发往源机的数据字节数目、连接是正常抑或是异常的标记、连接是否来自或发往同一主机或端口的标记、错误的分片数目、紧急分片数目、登陆失败的尝试数目、是否成功登陆标记、处于妥协状态的数目、是否获得root shell的标记、进入root的次数、执行生成文件操作的次数、发生shell提示的次数、发生试图操作受控文件的次数、登陆属性标记。
所述级联分类器包括但不限定于电子邮件状态分类器、服务器状态分类器、远程登陆状态分类器。
所述单级并联分类器包括但不限定于人工神经网络分类器、贝叶斯分类器、最近邻分类器、SVM分类器、基于随机方法的分类器、基于判定树的分类器、基于聚类的分类器。
本实用新型利用事先训练好的分类器分别对提取的网络连接特征和数据报内容特征进行双重分类解析判断,大大提高了对网络攻击行为检测的准确率。
附图说明
图1是本实用新型实施例一种级联融合式网络入侵检测系统的整体结构框图;
图2是本实用新型实施例一种级联融合式网络入侵检测系统的详细示意图;
图3是本实用新型一种级联融合式网络入侵检测系统在一具体实施例中的示意图。
具体实施方式
为使本实用新型的目的、技术方案和优点更加清楚,下面将结合附图对本实用新型作进一步地详细描述。
参照图1,本实用新型一种级联融合式网络入侵检测系统,其包括:
网络连接特征提取模块11,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;
级联分类器12,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;
数据报内容特征提取模块21,用于对传输层的数据报做应用层解析,提取数据报的内容特征;
单级并联分类器22,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;
融合判断分类器3,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。
具体地,所述网络连接特征包括但不限定于以下统计值(参考表1):
在过去一段时间内与现行连接为同一主机的连接数目、
在过去一段时间内与现行连接为同一主机且具有SYN错误标记的连接数目、
在过去一段时间内与现行连接为同一主机且具有REJ错误标记的连接数目、
在过去一段时间内与现行连接为同一主机且具有同一服务的连接数目、
在过去一段时间内与现行连接为同一主机且具有不同一服务的连接数目、
在过去一段时间内与现行连接为同一服务的连接数目、
在过去一段时间内与现行连接为同一服务且具有SYN错误标记的连接数目、
在过去一段时间内与现行连接为同一服务且具有REJ错误标记的连接数目、
在过去一段时间内与现行连接为同一服务且与不同主机相连的连接数目、
在一段时间内来自同一主机的连接数目、
在一段时间内来自同一主机且具有同一服务的连接数目、
在一段时间内来自同一主机且具有不同服务的连接数目。
表1
特征名称 描述
count 在过去一段时间内与现行连接为同一主机的连接数目
serror 在过去一段时间内与现行连接为同一主机且具有SYN错误标记的连接数目
rerror 在过去一段时间内与现行连接为同一主机且具有REJ错误标记的连接数目
Same_srv 在过去一段时间内与现行连接为同一主机且具有同一服务的连接数目
Diff_srv 在过去一段时间内与现行连接为同一主机且具有不同一服务的连接数目
Srv_count 在过去一段时间内与现行连接为同一服务的连接数目
Srv_serror 在过去一段时间内与现行连接为同一服务且具有SYN错误标记的连接数目
Srv_rerror 在过去一段时间内与现行连接为同一服务且具有REJ错误标记的连接数目
Srv_diff_host 在过去一段时间内与现行连接为同一服务且与不同主机相连的连接数目
Dst_host_count 在一段时间内来自同一主机的连接数目
Dst_host_srv_count 在一段时间内来自同一主机且具有同一服务的连接数目
特征名称 描述
Dst_host_diff_srv 在一段时间内来自同一主机且具有不同服务的连接数目
所述数据报内容特征是从以下特征值中选取的(参考表2):但不限定于以下特征值,
协议类型、服务类型、从源机发往目标机的数据字节数目、从目标机发往源机的数据字节数目、连接是正常抑或是异常的标记、连接是否来自或发往同一主机或端口的标记、错误的分片数目、紧急分片数目、登陆失败的尝试数目、是否成功登陆标记、处于妥协状态的数目、是否获得root shell的标记、进入root的次数、执行生成文件操作的次数、发生shell提示的次数、发生试图操作受控文件的次数、登陆属性标记。
表2
特征名称 描述
protocol_type 协议类型,如TCP,UDP,ICMP等
service 服务类型,如http,telnet,FTP等
src_bytes 从源机发往目标机的数据字节数目
dst_bytes 从目标机发往源机的数据字节数目
flag 连接是正常抑或是异常的标记
land 如果连接是来自/发往同一主机/端口则置1,否则置0
wrong_fragment 错误的分片数目
urgent 紧急分片数目
hot ″hot″标记的数目
num_failed_logins 登录失败的尝试数目
logged_in 成功登录置1,否则置0
num_compromised 处于″compromised″状态的数目
root_shell 获得root shell时置1,否则置0
su_attempted 尝试′su root″命令时置1,否则置0
num_root 进入″root″的次数
特征名称 描述
num_file_creations 执行生成文件操作的次数
num_shells 发生shell提示的次数
num_acess_files 发生试图操作受控文件的次数
is_guest_login 如果登录是″guest″性质则置1,否则置0
参考图2和图3,所述级联分类器包括不同服务的分类器:比如电子邮件状态分类器、服务器状态分类器、远程登陆状态分类器等;所述单级并联分类器可选取人工神经网络分类器,但不限定于此;还可以选择:贝叶斯分类器、最近邻分类器、SVM分类器、基于随机方法的分类器、基于判定树的分类器、基于聚类的分类器;可以检测出不同类型的网路入侵行为,包括蠕虫攻击分类器、R2L攻击分类器、U2R攻击分类器等。
由于本实用新型的检测系统利用事先训练好的级联分类器和单级并联分类器分别对提取的网络连接特征和数据报内容特征进行双重分类解析判断,大大提高了对网络攻击行为检测的准确率。
以上所揭露的仅为本实用新型一种较佳实施例而已,当然不能以此来限定本实用新型之权利范围,因此依本实用新型权利要求所作的等同变化,仍属本实用新型所涵盖的范围。

Claims (3)

1.一种级联融合式网络入侵检测系统,其特征在于包括:
网络连接特征提取模块,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;
级联分类器,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;
数据报内容特征提取模块,用于对传输层的数据报做应用层解析,提取数据报的内容特征;
单级并联分类器,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;
融合判断分类器,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。
2.如权利要求1所述的级联融合式网络入侵检测系统,其特征在于,所述级联分类器包括电子邮件状态分类器、服务器状态分类器、远程登陆状态分类器。
3.如权利要求2所述的级联融合式网络入侵检测系统,其特征在于,所述单级并联分类器包括人工神经网络分类器、贝叶斯分类器、最近邻分类器、SVM分类器、基于随机方法的分类器、基于判定树的分类器、基于聚类的分类器。
CN2009201531341U 2009-06-23 2009-06-23 一种级联融合式网络入侵检测系统 Expired - Lifetime CN201515393U (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009201531341U CN201515393U (zh) 2009-06-23 2009-06-23 一种级联融合式网络入侵检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009201531341U CN201515393U (zh) 2009-06-23 2009-06-23 一种级联融合式网络入侵检测系统

Publications (1)

Publication Number Publication Date
CN201515393U true CN201515393U (zh) 2010-06-23

Family

ID=42486803

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009201531341U Expired - Lifetime CN201515393U (zh) 2009-06-23 2009-06-23 一种级联融合式网络入侵检测系统

Country Status (1)

Country Link
CN (1) CN201515393U (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916365A (zh) * 2012-12-31 2014-07-09 西门子公司 导出和验证恶意代码的网络行为特征的方法和装置
CN108171103A (zh) * 2016-12-07 2018-06-15 北京三星通信技术研究有限公司 目标检测方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916365A (zh) * 2012-12-31 2014-07-09 西门子公司 导出和验证恶意代码的网络行为特征的方法和装置
CN103916365B (zh) * 2012-12-31 2018-09-11 西门子公司 导出和验证恶意代码的网络行为特征的方法和装置
CN108171103A (zh) * 2016-12-07 2018-06-15 北京三星通信技术研究有限公司 目标检测方法及装置

Similar Documents

Publication Publication Date Title
Meidan et al. N-baiot—network-based detection of iot botnet attacks using deep autoencoders
US9860278B2 (en) Log analyzing device, information processing method, and program
KR101890272B1 (ko) 보안이벤트 자동 검증 방법 및 장치
CN105429963A (zh) 基于Modbus/Tcp的入侵检测分析方法
CN101984603B (zh) 一种基于邮件截获的电力敏感信息检测方法
US20060212942A1 (en) Semantically-aware network intrusion signature generator
CN103795709A (zh) 一种网络安全检测方法和系统
CN103997489B (zh) 一种识别DDoS僵尸网络通信协议的方法及装置
CN104168272A (zh) 一种基于通信行为聚类的木马检测方法
US20210168163A1 (en) Bind Shell Attack Detection
CN109818970B (zh) 一种数据处理方法及装置
CN112995352B (zh) 基于流量分析的IPv6网络空间测绘系统及测绘方法
CN107181736B (zh) 基于7层应用的网络数据包分类方法及系统
CN110166454A (zh) 一种基于自适应遗传算法的混合特征选择入侵检测方法
SG184120A1 (en) Method of identifying a protocol giving rise to a data flow
Hentehzadeh et al. Statistical analysis of self-similar session initiation protocol (sip) messages for anomaly detection
CN108683589B (zh) 垃圾邮件的检测方法、装置及电子设备
CN106209902A (zh) 一种应用于知识产权运营平台的网络安全系统及检测方法
CN111757327A (zh) 无线网络中假冒dhcp服务器或网关的识别方法及装置
Spiekermann et al. Unsupervised packet-based anomaly detection in virtual networks
CN104021348B (zh) 一种隐匿p2p程序实时检测方法及系统
Hareesh et al. Anomaly detection system based on analysis of packet header and payload histograms
CN201515393U (zh) 一种级联融合式网络入侵检测系统
Aluthge Iot device fingerprinting with sequence-based features
CN109474611A (zh) 一种基于多因素的邮箱安全防护检测技术

Legal Events

Date Code Title Description
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20170329

Address after: China Macao Road No. 48 g Wanji Arts crafts emporium 6 buildings

Patentee after: Anxintong Technology (Macao) Co., Ltd.

Patentee after: Zhuhai Telecom Technology Co. Ltd.

Address before: Macao Special Administrative Region, Macao, China, South Bay Road, 405, Law building, building 12

Patentee before: NetCraft Information Technology (Macau) Co., Ltd. (MO)

TR01 Transfer of patent right
CX01 Expiry of patent term

Granted publication date: 20100623

CX01 Expiry of patent term