[实用新型]一种级联融合式网络入侵检测系统

说明书

技术领域

本实用新型涉及网络攻击检测技术，尤其涉及一种级联融合式网络入侵检测系统。

背景技术

为避免连接到因特网中的个人计算机遭受到入侵和攻击而使得计算机上的信息安全受到侵害，人们在网络上采用了防火墙技术，或者进一步使用了网络入侵/攻击检测系统.但目前的网络入侵/攻击检测系统普遍存在一下问题：对网络攻击的检测要么误报率高(即把网络正常通讯误判为攻击)，要么漏报率高(即把网络攻击误判为正常通讯)，使得在实际应用中网络入侵检测系统的使用效果不够理想。

实用新型内容

本实用新型实施例所要解决的技术问题在于，提供一种能够提高对网络攻击行为检测的准确率的级联融合式网络入侵检测系统。

为了解决上述技术问题，本实用新型实施例提供了一种级联融合式网络入侵检测系统，其包括：

网络连接特征提取模块，用于在互联网层和传输层对数据报进行连接分析，按照不同的服务分别提取网络连接特征；

级联分类器，用于对所述提取出的网络连接特征进行分类判断，判断网络连接是否正常，输出判断结果；

数据报内容特征提取模块，用于对传输层的数据报做应用层解析，提取数据报的内容特征；

单级并联分类器，用于对所述内容特征进行分类判断，以判断数据报中的内容有无包含特定的网络攻击行为，输出判断结果；

融合判断分类器，用于根据所述级联分类器输出的判断结果和所述单级并联分类器输出的判断结果，进行最终判定是否有网络入侵行为。

具体地，所述网络连接特征包括但不限定于以下统计值：

在过去一段时间内与现行连接为同一主机的连接数目、

在过去一段时间内与现行连接为同一主机且具有SYN错误标记的连接数目、

在过去一段时间内与现行连接为同一主机且具有REJ错误标记的连接数目、

在过去一段时间内与现行连接为同一主机且具有同一服务的连接数目、

在过去一段时间内与现行连接为同一主机且具有不同一服务的连接数目、

在过去一段时间内与现行连接为同一服务的连接数目、

在过去一段时间内与现行连接为同一服务且具有SYN错误标记的连接数目、

在过去一段时间内与现行连接为同一服务且具有REJ错误标记的连接数目、

在过去一段时间内与现行连接为同一服务且与不同主机相连的连接数目、

在一段时间内来自同一主机的连接数目、

在一段时间内来自同一主机且具有同一服务的连接数目、

在一段时间内来自同一主机且具有不同服务的连接数目。

所述数据报内容特征包括但不限定于以下特征值：

协议类型、服务类型、从源机发往目标机的数据字节数目、从目标机发往源机的数据字节数目、连接是正常抑或是异常的标记、连接是否来自或发往同一主机或端口的标记、错误的分片数目、紧急分片数目、登陆失败的尝试数目、是否成功登陆标记、处于妥协状态的数目、是否获得root shell的标记、进入root的次数、执行生成文件操作的次数、发生shell提示的次数、发生试图操作受控文件的次数、登陆属性标记。

所述级联分类器包括但不限定于电子邮件状态分类器、服务器状态分类器、远程登陆状态分类器。

所述单级并联分类器包括但不限定于人工神经网络分类器、贝叶斯分类器、最近邻分类器、SVM分类器、基于随机方法的分类器、基于判定树的分类器、基于聚类的分类器。

本实用新型利用事先训练好的分类器分别对提取的网络连接特征和数据报内容特征进行双重分类解析判断，大大提高了对网络攻击行为检测的准确率。

附图说明

图1是本实用新型实施例一种级联融合式网络入侵检测系统的整体结构框图；

图2是本实用新型实施例一种级联融合式网络入侵检测系统的详细示意图；

图3是本实用新型一种级联融合式网络入侵检测系统在一具体实施例中的示意图。

具体实施方式

为使本实用新型的目的、技术方案和优点更加清楚，下面将结合附图对本实用新型作进一步地详细描述。

参照图1，本实用新型一种级联融合式网络入侵检测系统，其包括：

网络连接特征提取模块11，用于在互联网层和传输层对数据报进行连接分析，按照不同的服务分别提取网络连接特征；

级联分类器12，用于对所述提取出的网络连接特征进行分类判断，判断网络连接是否正常，输出判断结果；

数据报内容特征提取模块21，用于对传输层的数据报做应用层解析，提取数据报的内容特征；