[发明专利]基于数据挖掘的网络入侵检测方法在审
| 申请号: | 201711339616.1 | 申请日: | 2017-12-14 |
| 公开(公告)号: | CN108156142A | 公开(公告)日: | 2018-06-12 |
| 发明(设计)人: | 陈锐;张凤斌;苏子恒;樊好义;李宜卓;梁建;赵学文 | 申请(专利权)人: | 哈尔滨理工大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/24;G06F17/30 |
| 代理公司: | 哈尔滨市文洋专利代理事务所(普通合伙) 23210 | 代理人: | 王玉霞 |
| 地址: | 150080 黑龙*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 基于数据挖掘的网络入侵检测方法,涉及一种网络入侵检测方法。本发明为了解决现有的实时入侵检测存在的不能及时检测出特征发生变化的网络入侵行为进行的问题。本发明首先对已知的网络入侵类型进行分析,提取程序活动周期,获得已知的网络入侵类型对应的特征并训练网络入侵类型模型;模拟网络入侵,通过布置ELK日志分析平台的主机进行对所有日志文件进行监控;最后基于网络入侵类型模型进行实时进行网络入侵监控,同时利用ELK日志分析平台检测发生变化的日志文件及日志文件中的异常数据更新重点检测对象,完善网络入侵类型模型。本发明适用于网络入侵行为的检测。 | ||
| 搜索关键词: | 网络入侵 网络入侵检测 日志文件 网络入侵行为 日志分析 数据挖掘 入侵 实时入侵检测 活动周期 检测对象 模拟网络 平台检测 提取程序 训练网络 异常数据 监控 检测 主机 更新 分析 | ||
【主权项】:
基于数据挖掘的网络入侵检测方法,其特征在于,所述方法包括以下步骤:步骤一、利用Bro的分析函数定义事件引擎和规则引擎对已知的网络入侵类型进行分析,提取程序活动周期,获得已知的网络入侵类型对应的特征;将已知的网络入侵类型对应的特征作为神经网络模型的输入,将已知的网络入侵类型作为神经网络模型的标签,通过训练获得网络入侵类型模型;并对网络入侵类型模型进行验证,当网络入侵类型模型的分类准确率达到阈值后,作为建立好的网络入侵类型模型;步骤二、利用不同已知类型的网络入侵检对象模拟网络入侵,同时通过布置ELK日志分析平台的主机进行对所有日志文件进行监控,并进行数据挖掘,获取在模拟网络入侵时发生异常的日志文件及对应日志文件中的异常数据;基于ELK日志分析平台对发生发生异常的日志文件及对应日志文件中的异常数据作为重点监测对象;同时建立日志文件及日志文件中的异常数据对应的异常数据库;步骤三、基于网络入侵类型模型,利用Bro的分析函数定义事件引擎和规则引擎进行实时进行网络入侵监控;同时对重点监测对象进行监控;当进行网络入侵监控时,能够通过网络入侵类型模型确定对应网络入侵类型则发出报警信息,同时利用ELK日志分析平台检测发生变化的日志文件及日志文件中的异常数据,如果该日志文件及日志文件中的异常数据并没有在重点检测对象中,则将其加入重点检测对象中;当进行网络入侵监控时不能通过网络入侵类型模型确定对应网络入侵类型,但是重点检测对象中对应的日志文件及日志文件中数据发生改变,则发出报警信息;并在用户确认的基础上,将发生改变的日志文件及日志文件中数据对应的网络通信作为已知网络入侵类型返回步骤一完善网络入侵类型模型;当重点检测对象中对应的日志文件及日志文件中数据没有发生改变,但是除了重点检测对象中的日志文件及日志文件中数据以外的其他日志文件及日志文件中数据发生了变化,则发出提示信息,提示用户利用ELK日志分析平台对发生变化的日志文件及日志文件中数据进行分析,并进一步检查是否有网络入侵发生。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于哈尔滨理工大学,未经哈尔滨理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201711339616.1/,转载请声明来源钻瓜专利网。
