[发明专利]一种基于网络安全的入侵检测系统

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种基于网络安全的入侵检测系统。

背景技术

随着计算机和网络技术的快速发展，网络信息已经成为社会发展的重要组成部分，涉及到国家的政府、军事、经济等诸多领域。由于计算机网络组成形式的多样性和网络的开放性等特点，致使这些网络信息容易受到来自世界各地的各种人为攻击。据统计，全球每20秒就有一起黑客事件发生，因此网络安全成为了全世界范围内一个无法回避且急需解决的问题。

传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，它们主要是基于各种形式的静态禁止策略，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测作为近年发展起来的一种动态的监控、预防或防御系统入侵行为的安全机制，同时也是动态安全最核心技术之一，主要通过实时监控网络和系统的状态、行为以及系统的使用情况，来检测系统用户的越权使用行为，以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。在目前日益复杂的网络形势下有其不可取代的地位，因此入侵检测技术正成为当前网络安全方面研究的热点和重要方向。

发明内容

本发明的目的在于克服上述现有技术的不足，提供一种基于网络安全的入侵检测系统。

一种基于网络安全的入侵检测系统，包括：训练模块、控制中心、检测模块；其特征在于：所述控制中心用于对训练模块和检测模块进行管理、接收报警信息并显示、日志数据管理、用户管理和定义规则，所述训练模块包括数据预处理模块、数据分析模块、数据库，所述数据预处理模块主要完成对未作标记的网络训练数据进行值化、去除冗余属性以及存储至数据库，检测模块包括响应模块、入侵检测模块、检测端数据预处理模块、数据捕获模块，所述数据捕获模块对流经网卡的网络数据包的实时捕获，检测端数据预处理模块根据截获到的数据包类型，进行相应的初始处理操作，完成进制的转换和初始存储工作，将采集到的进程的系统调用序列存入临时数据库，等待入侵检测模块读取，入侵检测模块根据训练阶段得到的数据库对实时捕获到的数据进行匹配，检测是否出现入侵行为。

优选地，所述入侵检测模块对实时收集到的网络数据包与数据库中存储的网络训练数据进行匹配，匹配过程通过计算得到的相似度值与事先定义好的闭值相比较，从而判断该数据包是否正常，然后将匹配结果传递给响应模块做进一步处理。

优选地，所述响应模块自动地或以用户设置的方式来阻断攻击过程或以其它方式影响攻击过程。

与现有技术相比，本发明的有益效果：

本发明通过将网络数据包与数据库中存储的数据相似度的分析比较，可以快速的发现己知攻击，也够检测出未知的入侵行为，具有准确率高、速度快、误报率低的优点，能够有效保证网络安全。

附图说明

图1为本发明一种基于网络安全的入侵检测系统的结构示意图。

图中，1、训练模块，2、控制中心，3、检测模块，4、以太网，101、数据预处理模块，102、数据分析模块，103、数据库，301、响应模块，302、入侵检测模块，303、检测端数据预处理模块，304、数据捕获模块。

具体实施方式

参见图1，一种基于网络安全的入侵检测系统，包括：训练模块1、控制中心2、检测模块3；其特征在于：所述控制中心2用于对训练模块1和检测模块3进行管理、接收报警信息并显示、日志数据管理、用户管理和定义规则，所述训练模块1包括数据预处理模块101、数据分析模块102、数据库103，所述数据预处理模块101主要完成对未作标记的网络训练数据进行值化、去除冗余属性以及存储至数据库103，检测模块3包括响应模块301、入侵检测模块302、检测端数据预处理模块303、数据捕获模块304，所述数据捕获模块304对流经网卡的网络数据包的实时捕获，检测端数据预处理模块303根据截获到的数据包类型，进行相应的初始处理操作，完成进制的转换和初始存储工作，将采集到的进程的系统调用序列存入临时数据库，等待入侵检测模块302读取，入侵检测模块302根据训练阶段得到的数据库103对实时捕获到的数据进行匹配，检测是否出现入侵行为。

所述入侵检测模块302对实时收集到的网络数据包与数据库103中存储的网络训练数据进行匹配，匹配过程通过计算得到的相似度值与事先定义好的闭值相比较，从而判断该数据包是否正常，然后将匹配结果传递给响应模块301做进一步处理。

所述响应模块301自动地或以用户设置的方式来阻断攻击过程或以其它方式影响攻击过程。

本发明技术方案在上面结合附图对发明进行了示例性描述，显然本发明具体实现并不受上述方式的限制，只要采用了本发明的方法构思和技术方案进行的各种非实质性改进，或未经改进将发明的构思和技术方案直接应用于其它场合的，均在本发明的保护范围之内。