专利名称::一种级联融合式网络入侵检测系统的制作方法
技术领域:
:本实用新型涉及网络攻击检测技术,尤其涉及一种级联融合式网络入侵检测系统。
背景技术:
:为避免连接到因特网中的个人计算机遭受到入侵和攻击而使得计算机上的信息安全受到侵害,人们在网络上采用了防火墙技术,或者进一步使用了网络入侵/攻击检测系统.但目前的网络入侵/攻击检测系统普遍存在一下问题对网络攻击的检测要么误报率高(即把网络正常通讯误判为攻击),要么漏报率高(即把网络攻击误判为正常通讯),使得在实际应用中网络入侵检测系统的使用效果不够理想。-种能够提高对网络攻击行为-种级联融合式网络入侵检领
实用新型内容本实用新型实施例所要解决的技术问题在于,提供-检测的准确率的级联融合式网络入侵检测系统。为了解决上述技术问题,本实用新型实施例提供了-系统,其包括网络连接特征提取模块,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;级联分类器,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;数据报内容特征提取模块,用于对传输层的数据报做应用层解析,提取数据报的内容特征;单级并联分类器,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;融合判断分类器,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。具体地,所述网络连接特征包括但不限定于以下统计值在过去一段时间内与现行连接为同一主机的连接数目、在过去一段时间内与现行连接为同-在过去一段时间内与现行连接为同-在过去一段时间内与现行连接为同-在过去一段时间内与现行连接为同-在过去一段时间内与现行连接为同-在过去一段时间内与现行连接为同-在过去一段时间内与现行连接为同-在过去一段时间内与现行连接为同--主机且具有SYN错误标记的连接数目、-主机且具有REJ错误标记的连接数目、-主机且具有同一服务的连接数目、-主机且具有不同一服务的连接数目、-服务的连接数目、-服务且具有SYN错误标记的连接数目、-服务且具有REJ错误标记的连接数目、-服务且与不同主机相连的连接数目、[0020]在一段时间内来自同一主机的连接数目、在一段时间内来自同一主机且具有同一服务的连接数目、在一段时间内来自同一主机且具有不同服务的连接数目。所述数据报内容特征包括但不限定于以下特征值协议类型、服务类型、从源机发往目标机的数据字节数目、从目标机发往源机的数据字节数目、连接是正常抑或是异常的标记、连接是否来自或发往同一主机或端口的标记、错误的分片数目、紧急分片数目、登陆失败的尝试数目、是否成功登陆标记、处于妥协状态的数目、是否获得rootshell的标记、进入root的次数、执行生成文件操作的次数、发生shell提示的次数、发生试图操作受控文件的次数、登陆属性标记。所述级联分类器包括但不限定于电子邮件状态分类器、服务器状态分类器、远程登陆状态分类器。所述单级并联分类器包括但不限定于人工神经网络分类器、贝叶斯分类器、最近邻分类器、SVM分类器、基于随机方法的分类器、基于判定树的分类器、基于聚类的分类器。本实用新型利用事先训练好的分类器分别对提取的网络连接特征和数据报内容特征进行双重分类解析判断,大大提高了对网络攻击行为检测的准确率。图1是本实用新型实施例一种级联融合式网络入侵检测系统的整体结构框图;图2是本实用新型实施例一种级联融合式网络入侵检测系统的详细示意图;图3是本实用新型一种级联融合式网络入侵检测系统在一具体实施例中的示意图。具体实施方式为使本实用新型的目的、技术方案和优点更加清楚,下面将结合附图对本实用新型作进一步地详细描述。参照图l,本实用新型一种级联融合式网络入侵检测系统,其包括网络连接特征提取模块ll,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;级联分类器12,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;数据报内容特征提取模块21,用于对传输层的数据报做应用层解析,提取数据报的内容特征;单级并联分类器22,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;融合判断分类器3,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。具体地,所述网络连接特征包括但不限定于以下统计值(参考表1):在过去一段时间内与现行连接为同一主机的连接数目、在过去一段时间内与现行连接为同一主机且具有SYN错误标记的连接数目、[0041]在过去一段时间内与现行连接为同一主机且具有REJ错误标记的连接数目在过去一段时间内与现行连接为同一主机且具有同一服务的连接数目、在过去一段时间内与现行连接为同一主机且具有不同一服务的连接数目、在过去一段时间内与现行连接为同一服务的连接数目、在过去一段时间内与现行连接为同一服务且具有SYN错误标记的连接数目在过去一段时间内与现行连接为同一服务且具有REJ错误标记的连接数目在过去一段时间内与现行连接为同一服务且与不同主机相连的连接数目、在一段时间内来自同一主机的连接数目、在一段时间内来自同一主机且具有同一服务的连接数目、在一段时间内来自同一主机且具有不同服务的连接数目。表l特征名称描述count在过去一段时间内与现行连接为同一主机的连接数目ssrror在过去一段时间内与现行连接为同一主机且具有SYN错误标记的连接数目rerror在过去一段时间内与现行连接为同一主机且具有REJ错误标记的连接数目Same—srv在过去一段时间内与现行连接为同一主机且具有同一服务的连接数目Diff—srv在过去一段时间内与现行连接为同一主机且具有不同一服务的连接数目Srv—count在过去一段时间内与现行连接为同一服务的连接数目Srv—ssrror在过去一段时间内与现行连接为同一服务且具有SYN错误标记的连接数目Srv—rerror在过去一段时间内与现行连接为同一服务且具有REJ错误标记的连接数目Srv—diff—host在过去一段时间内与现行连接为同一服务且与不同主机相连的连接数目Dst—host—count在一段时间内来自同一主机的连接数目Dst—host—srv—count在一段时间内来自同一主机且具有同一服务的连接数目5<table>tableseeoriginaldocumentpage6</column></row><table>所述数据报内容特征是从以下特征值中选取的(参考表2):但不限定于以下特征值,协议类型、服务类型、从源机发往目标机的数据字节数目、从目标机发往源机的数据字节数目、连接是正常抑或是异常的标记、连接是否来自或发往同一主机或端口的标记、错误的分片数目、紧急分片数目、登陆失败的尝试数目、是否成功登陆标记、处于妥协状态的数目、是否获得rootshell的标记、进入root的次数、执行生成文件操作的次数、发生shell提示的次数、发生试图操作受控文件的次数、登陆属性标记。表2<table>tableseeoriginaldocumentpage6</column></row><table>特征名称描述num—file—creations执行生成文件操作的次数num—shells发生shell提示的次数num—acess—files发生试图操作受控文件的次数is—guest—login如果登录是〃guest〃性质则置1,否则置0参考图2和图3,所述级联分类器包括不同服务的分类器比如电子邮件状态分类器、服务器状态分类器、远程登陆状态分类器等;所述单级并联分类器可选取人工神经网络分类器,但不限定于此;还可以选择贝叶斯分类器、最近邻分类器、SVM分类器、基于随机方法的分类器、基于判定树的分类器、基于聚类的分类器;可以检测出不同类型的网路入侵行为,包括蠕虫攻击分类器、R2L攻击分类器、U2R攻击分类器等。由于本实用新型的检测系统利用事先训练好的级联分类器和单级并联分类器分别对提取的网络连接特征和数据报内容特征进行双重分类解析判断,大大提高了对网络攻击行为检测的准确率。以上所揭露的仅为本实用新型一种较佳实施例而已,当然不能以此来限定本实用新型之权利范围,因此依本实用新型权利要求所作的等同变化,仍属本实用新型所涵盖的范围。权利要求一种级联融合式网络入侵检测系统,其特征在于包括网络连接特征提取模块,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;级联分类器,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;数据报内容特征提取模块,用于对传输层的数据报做应用层解析,提取数据报的内容特征;单级并联分类器,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;融合判断分类器,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。2.如权利要求1所述的级联融合式网络入侵检测系统,其特征在于,所述级联分类器包括电子邮件状态分类器、服务器状态分类器、远程登陆状态分类器。3.如权利要求2所述的级联融合式网络入侵检测系统,其特征在于,所述单级并联分类器包括人工神经网络分类器、贝叶斯分类器、最近邻分类器、SVM分类器、基于随机方法的分类器、基于判定树的分类器、基于聚类的分类器。专利摘要本实用新型公开了一种级联融合式网络入侵检测系统,其包括网络连接特征提取模块,用于在互联网层和传输层对数据报进行连接分析,按照不同的服务分别提取网络连接特征;级联分类器,用于对所述提取出的网络连接特征进行分类判断,判断网络连接是否正常,输出判断结果;数据报内容特征提取模块,用于对传输层的数据报做应用层解析,提取数据报的内容特征;单级并联分类器,用于对所述内容特征进行分类判断,以判断数据报中的内容有无包含特定的网络攻击行为,输出判断结果;融合判断分类器,用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果,进行最终判定是否有网络入侵行为。本实用新型大大提高了网络攻击检测的准确率。文档编号H04L29/06GK201515393SQ20092015313公开日2010年6月23日申请日期2009年6月23日优先权日2009年6月23日发明者张地,韩子天申请人:天网资讯科技(澳门)有限公司