[发明专利]基于多移动代理和数据挖掘技术的网络入侵防御系统

说明书

技术领域

本发明涉及计算机网络信息安全技术领域，且特别涉及一种基于多移动代理和数据挖掘技术的网络入侵防御系统，主要应用于计算机网络安全防御系统的关键技术，可有效地解决网络安全漏检和误报问题，进一步提高网络的访问检测辨识决策准确性和整体智能防御能力。

背景技术

国内外使用的入侵检测系统(Intrusion Detection System，IDS)，主要通过网络数据包进行分析、监视、检测和识别系统中未授权或异常现象。注重的是网络监控、审核跟踪，在发现异常时只报告不能防范，只能通过与防火墙等安全设备联动的方式进行防护。目前存在严重缺陷：一是网络缺陷，用交换机代替可共享监听的HUB使IDS的网络监听带来麻烦，并且在复杂的网络下精心地构造与发送数据包也可绕过IDS的监听。二是误报量大且出现漏报，报警不断。

入侵防御系统(Intrusion Prevention System，IPS)可以对全部数据包认真检测，实时确定是否许可或禁止访问。IPS具有一些过滤器，能够防止系统上各种类型的弱点受到攻击。当新的弱点被发现之后会创建一个新过滤器并纳入管辖，试探攻击这些弱点的任何操作都会受到拦截。IPS技术能够对网络进行多层、深层、主动的防护以有效保证企业网络安全。IPS相当于防火墙与入侵检测系统结合，但并不能代替防火墙或IDS。防火墙在基于TCP/IP协议的过滤功能突出，IDS提供的全面审计资料对于攻击还原、入侵及异常操作取证、异常事件识别、网络故障排除等都有很重要的功效。但是仍然存在对计算机网络安全单一检测误报率高、错误报警率多和漏报等问题。

网络性能、安全精确度和安全效率是计算机网络安全面临的主要问题。传统的基于网络的入侵防御系统(Network Intrusion Prevention System，NIPS)安全检测方式单一、误报率高、错误报警率多和漏报等问题，严重地影响计算机网络安全防御和检测的关键技术和安全防御性能。

发明内容

本发明专利在深入分析NIPS、移动代理和数据挖掘(Data Mining，DM)技术特点和优势的基础上，提出了基于多个移动代理(Multi-Mobile Agent，MA)和DM的智能NIPS新改进模型。从一个新角度将数据库技术与人工智能结合。利用移动Agent的特点，结合DM所具有的实时提取和辨识异常信息的优势，提高访问检测与辨识精度和智能性，避免误报和漏报，从而提高网络安全可靠性和防御能力。

为了达到上述目的，本发明提出一种基于多移动代理和数据挖掘技术的网络入侵防御系统，包括：移动代理功能模块、数据挖掘功能模块、智能模块、检测器、联动模块和防护审计跟踪代理模块，其中，

所述移动代理功能模块包括移动代理数据库和特征规则库，分别连接于所述检测器；

所述数据挖掘功能模块包括相互连接的数据挖掘数据库和自适应模型产生器，所述数据挖掘数据库连接于所述特征规则库；

所述智能模块包括相互连接的专家系统和安全知识库，所述专家系统连接于所述检测器和所述数据挖掘数据库，所述安全知识库连接于所述自适应模型产生器；

所述检测器连接于所述联动模块，所述防护审计跟踪代理模块连接于所述联动模块和所述专家系统。

进一步的，该系统包括数据源，分别连接于所述移动代理数据库和数据挖掘数据库。

进一步的，所述移动代理功能模块对所述数据源的数据进行整合，然后分别输入所述移动代理数据库和数据挖掘数据库。

进一步的，所述自适应模型产生器利用移动代理算法对数据挖掘数据库中的数据进行特征分析、聚类分析和关联规则分析与提取，从而生成检测模型。

进一步的，所述专家系统和安全知识库对异常信息进行智能检测、过滤与决策，并通过所述检测器调动所述联动模块及防护审计跟踪代理模块进行整体检测、防御和审计。

进一步的，当所述检测器检测出异常信息时实时反应，记录相关信息并自动采取措施。

本发明提出的基于多移动代理和数据挖掘技术的网络入侵防御系统，主要将收集到的事件序列和数据进行多个层面数据的深入挖掘和检测辨识，将构建的模式或知识发现分析形成结果转入事件库，解决了入侵规则库的实时更新，并具有以下优点：

(1)深入分布数据挖掘。一般数据挖掘是对集中式数据存储进行集中挖掘，在多个移动代理环境下，可在不同结点或子网进行分布挖掘，与异地数据间关联时，可用代理之间通讯实现。由于无数据移动和复制，降低了数据一致性维护和数据移动通讯代价。