一種基于數(shù)據(jù)挖掘的洪泛攻擊檢測(cè)系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種基于數(shù)據(jù)挖掘的洪泛攻擊檢測(cè)系統(tǒng),屬于數(shù)據(jù)安全技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002] 計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的日趨增大,使得發(fā)生網(wǎng)絡(luò)攻擊的機(jī)會(huì)不斷增大,而且攻擊過(guò)程 也越來(lái)越不易被發(fā)現(xiàn),尤其是隨著網(wǎng)絡(luò)種類(lèi)的增多,攻擊檢測(cè)變得日益具有挑戰(zhàn)性。攻擊檢 測(cè)技術(shù)是用來(lái)發(fā)現(xiàn)外部攻擊與合法用戶濫用特權(quán)的一種方法,它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算 機(jī)系統(tǒng)中的若干關(guān)鍵信息點(diǎn)或關(guān)鍵網(wǎng)段收集信息,并對(duì)其進(jìn)行分析,以識(shí)別網(wǎng)絡(luò)或系統(tǒng)中 的違規(guī)行為和遭受攻擊的跡象,從而完成對(duì)網(wǎng)絡(luò)攻擊的探測(cè)、預(yù)警、評(píng)估、響應(yīng)和恢復(fù)。它利 用攻擊者的蛛絲馬跡,如試圖登錄的失敗記錄,試圖連接特定文件、程序和其它資源的失敗 記錄,或通過(guò)監(jiān)視某些特定指標(biāo)如CPU、內(nèi)存、磁盤(pán)的不尋?;顒?dòng)等,有效地發(fā)現(xiàn)來(lái)自外部或 內(nèi)部的非法攻擊。
[0003] 已經(jīng)有一些研宄使用SNMP MIB的數(shù)據(jù)進(jìn)行入侵檢測(cè)。Jun等人開(kāi)發(fā)了一個(gè)名為 MAID的系統(tǒng),此系統(tǒng)使用SNMP MIB-II數(shù)據(jù)進(jìn)行異常檢測(cè)。他們從四組MIB-II (Interface, IP,TCP,UDP)中定期收集27個(gè)MIB變量,并把它們轉(zhuǎn)換成一個(gè)概率密度函數(shù)(PDF)來(lái)計(jì)算 統(tǒng)計(jì)相似性指標(biāo),并把指標(biāo)作為攻擊分類(lèi)器的輸入數(shù)據(jù)。Puttini等人將相關(guān)的貝葉斯分類(lèi) 應(yīng)用到SNMP MIB變量中來(lái)檢測(cè)在MANET中的異常網(wǎng)絡(luò)流量行為。Ramah等人在Shyu等人 提出的基于無(wú)監(jiān)督異常檢測(cè)方案的基礎(chǔ)上開(kāi)發(fā)了一個(gè)使用從一個(gè)PCA上衍生的使用周期 性SNMP數(shù)據(jù)采集的異常檢測(cè)系統(tǒng)。然而,由于洪泛攻擊種類(lèi)眾多,而且具備速度快、欺騙性 強(qiáng)等特征,現(xiàn)存的理論和方法只能針對(duì)特定的攻擊途徑進(jìn)行有限程度的檢測(cè)和防御,仍然 需要進(jìn)一步的研宄和發(fā)掘更為有效的措施來(lái)應(yīng)對(duì)洪泛攻擊帶來(lái)的威脅。
[0004] 現(xiàn)有的網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)在提取用戶行為特征以及建立檢測(cè)模型時(shí),由于沒(méi)有很 好地利用數(shù)據(jù)挖掘技術(shù),所提取的正常和攻擊行為特征不能很好地反映實(shí)際情況,因此建 立的攻擊檢測(cè)模型不夠完善,容易造成誤警和漏警,給網(wǎng)絡(luò)系統(tǒng)帶來(lái)?yè)p失。
【發(fā)明內(nèi)容】
[0005] 為解決現(xiàn)有技術(shù)的不足,本發(fā)明的目的在于提供一種基于數(shù)據(jù)挖掘的洪泛攻擊檢 測(cè)系統(tǒng),通過(guò)構(gòu)建以C4. 5算法為基礎(chǔ)的兩級(jí)分層結(jié)構(gòu),檢測(cè)出正常流量中的攻擊,并識(shí)別 出攻擊類(lèi)型。
[0006] 為了實(shí)現(xiàn)上述目標(biāo),本發(fā)明采用如下的技術(shù)方案:
[0007] 一種基于數(shù)據(jù)挖掘的洪泛攻擊檢測(cè)系統(tǒng),其特征是,包括在線處理模塊、攻擊檢測(cè) 分類(lèi)模塊、脫機(jī)模塊和管理模塊;
[0008] 所述在線處理模塊包括SNMP MIB發(fā)生器模塊、MIB更新檢測(cè)模塊和MIB數(shù)據(jù)存儲(chǔ) 區(qū);
[0009] 所述攻擊檢測(cè)分類(lèi)模塊與MIB數(shù)據(jù)存儲(chǔ)區(qū)相連接;
[0010] 所述脫機(jī)模塊包括關(guān)聯(lián)規(guī)則挖掘模塊和C4. 5學(xué)習(xí)模塊;所述C4. 5學(xué)習(xí)模塊通過(guò) 隨機(jī)生成各種流量攻擊執(zhí)行以C4. 5算法為基礎(chǔ)的學(xué)習(xí);所述關(guān)聯(lián)規(guī)則挖掘模塊提取和分 析存儲(chǔ)在MIB數(shù)據(jù)存儲(chǔ)區(qū)中數(shù)據(jù)的數(shù)據(jù)特征;
[0011] 所述管理模塊分別用于管理攻擊檢測(cè)分類(lèi)模塊、關(guān)聯(lián)規(guī)則挖掘模塊和C4. 5學(xué)習(xí) 豐旲塊。
[0012] 前述的一種基于數(shù)據(jù)挖掘的洪泛攻擊檢測(cè)系統(tǒng),其特征是,所述SNMP MIB發(fā)生器 模塊根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)產(chǎn)生MIB信息;所述MIB更新檢測(cè)模塊用于收集if InOctets,確定 檢測(cè)系統(tǒng)的激活時(shí)間并更新MIB數(shù)據(jù)存儲(chǔ)區(qū);所述MIB數(shù)據(jù)儲(chǔ)存區(qū)模塊存儲(chǔ)C4. 5學(xué)習(xí)模塊 中的數(shù)據(jù);所述攻擊檢測(cè)分類(lèi)模塊通過(guò)收集信息實(shí)時(shí)判斷攻擊發(fā)生時(shí)間和攻擊類(lèi)型。
[0013] 前述的一種基于數(shù)據(jù)挖掘的洪泛攻擊檢測(cè)系統(tǒng),其特征是,所述攻擊檢測(cè)分類(lèi)模 塊設(shè)置有兩層,第一層分類(lèi)出正常流量和攻擊流量,用于實(shí)時(shí)向攻擊反應(yīng)系統(tǒng)中的系統(tǒng)管 理員報(bào)告任何檢測(cè)到的攻擊流量;第二層將所有被當(dāng)作洪泛攻擊的攻擊流量按照流量數(shù)據(jù) 包類(lèi)型分別分類(lèi)為T(mén)CP-SYN洪泛、UDP洪泛和ICMP洪泛。
[0014] 前述的一種基于數(shù)據(jù)挖掘的洪泛攻擊檢測(cè)系統(tǒng),其特征是,所述管理模塊用于實(shí) 施檢測(cè)洪泛攻擊,檢測(cè)有關(guān)分類(lèi)類(lèi)型的詳細(xì)信息,建立用于入侵檢測(cè)和響應(yīng)系統(tǒng)的策略。
[0015] 本發(fā)明所達(dá)到的有益效果:本系統(tǒng)基于數(shù)據(jù)挖掘技術(shù),以C4. 5算法為基礎(chǔ),從大 量的網(wǎng)絡(luò)流量中準(zhǔn)確提取洪泛攻擊的特征,建立洪泛攻擊檢測(cè)模型,提高洪泛攻擊檢測(cè)的 準(zhǔn)確度。
【附圖說(shuō)明】
[0016] 圖1是本發(fā)明的系統(tǒng)結(jié)構(gòu)示意圖;
【具體實(shí)施方式】
[0017] 下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步描述。以下實(shí)施例僅用于更加清楚地說(shuō)明本發(fā)明 的技術(shù)方案,而不能以此來(lái)限制本發(fā)明的保護(hù)范圍。
[0018] 本系統(tǒng)通過(guò)運(yùn)用數(shù)據(jù)挖掘技術(shù),從大量的網(wǎng)絡(luò)流量中準(zhǔn)確提取洪泛攻擊的特征, 并構(gòu)建攻擊檢測(cè)模型,以此提高洪泛攻擊檢測(cè)的準(zhǔn)確度。
[0019] 具體結(jié)構(gòu)如圖1所示,包括在線處理模塊、攻擊檢測(cè)分類(lèi)模塊、脫機(jī)模塊和管理模 塊。
[0020] 其中,在線處理模塊包括SNMP MIB發(fā)生器模塊、MIB更新檢測(cè)模塊和MIB數(shù)據(jù)存 儲(chǔ)區(qū)。攻擊檢測(cè)分類(lèi)模塊與MIB數(shù)據(jù)存儲(chǔ)區(qū)相連接。SNMP MIB發(fā)生器模塊根據(jù)網(wǎng)絡(luò)流量 數(shù)據(jù)產(chǎn)生MIB信息。MIB更新檢測(cè)模塊用于收集iflnOctets,確定檢測(cè)系統(tǒng)的激活時(shí)間并 執(zhí)行MIB數(shù)據(jù)存儲(chǔ)區(qū)。MIB數(shù)據(jù)儲(chǔ)存區(qū)模塊存儲(chǔ)在C4. 5從目標(biāo)系統(tǒng)學(xué)習(xí)模型中確定的MIB 信息。
[0021] 攻擊檢測(cè)分類(lèi)模塊通過(guò)收集信息實(shí)時(shí)判斷攻擊發(fā)生時(shí)間和攻擊類(lèi)型。攻擊檢測(cè)分 類(lèi)模塊設(shè)置有兩層,第一層分類(lèi)出正常流量和攻擊流量,用于實(shí)時(shí)向攻擊反應(yīng)系統(tǒng)中的系 統(tǒng)管理員報(bào)告任何檢測(cè)到的攻擊流量;第二層將所有被當(dāng)作洪泛攻擊的攻擊流量分別分類(lèi) 為T(mén)CP-SYN洪泛、UDP洪泛和ICMP洪泛。
[0022] 脫機(jī)模塊包括關(guān)聯(lián)規(guī)則挖掘模塊和C4. 5學(xué)習(xí)模塊。C4. 5學(xué)習(xí)模塊通過(guò)隨機(jī)生成 各種流量攻擊執(zhí)行以C4. 5算法為基礎(chǔ)的學(xué)習(xí),關(guān)聯(lián)規(guī)則挖掘模塊提取和分析存儲(chǔ)在MIB數(shù) 據(jù)存儲(chǔ)區(qū)中數(shù)據(jù)的數(shù)據(jù)特征。
[0023] 管理模塊分別用于管理攻擊檢測(cè)分類(lèi)模塊、關(guān)聯(lián)規(guī)則挖掘模塊和C4. 5學(xué)習(xí)模塊。 管理模塊用于實(shí)施檢測(cè)洪泛攻擊