本发明专利技术公开了一种基于数据挖掘的洪泛攻击检测系统,其特征是,包括在线处理模块、攻击检测分类模块、脱机模块和管理模块;所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区;所述攻击检测分类模块与MIB数据存储区相连接;所述脱机模块包括关联规则挖掘模块和C4.5学习模块;所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。本发明专利技术所达到的有益效果:本系统基于数据挖掘技术,以C4.5算法为基础,从大量的网络流量中准确提取洪泛攻击的特征,建立洪泛攻击检测模型,提高洪泛攻击检测的准确度。
【技术实现步骤摘要】
本专利技术涉及一种基于数据挖掘的洪泛攻击检测系统,属于数据安全
技术介绍
计算机网络规模的日趋增大,使得发生网络攻击的机会不断增大,而且攻击过程 也越来越不易被发现,尤其是随着网络种类的增多,攻击检测变得日益具有挑战性。攻击检 测技术是用来发现外部攻击与合法用户滥用特权的一种方法,它通过从计算机网络或计算 机系统中的若干关键信息点或关键网段收集信息,并对其进行分析,以识别网络或系统中 的违规行为和遭受攻击的迹象,从而完成对网络攻击的探测、预警、评估、响应和恢复。它利 用攻击者的蛛丝马迹,如试图登录的失败记录,试图连接特定文件、程序和其它资源的失败 记录,或通过监视某些特定指标如CPU、内存、磁盘的不寻常活动等,有效地发现来自外部或 内部的非法攻击。 已经有一些研宄使用SNMP MIB的数据进行入侵检测。Jun等人开发了一个名为 MAID的系统,此系统使用SNMP MIB-II数据进行异常检测。他们从四组MIB-II (Interface, IP,TCP,UDP)中定期收集27个MIB变量,并把它们转换成一个概率密度函数(PDF)来计算 统计相似性指标,并把指标作为攻击分类器的输入数据。Puttini等人将相关的贝叶斯分类 应用到SNMP MIB变量中来检测在MANET中的异常网络流量行为。Ramah等人在Shyu等人 提出的基于无监督异常检测方案的基础上开发了一个使用从一个PCA上衍生的使用周期 性SNMP数据采集的异常检测系统。然而,由于洪泛攻击种类众多,而且具备速度快、欺骗性 强等特征,现存的理论和方法只能针对特定的攻击途径进行有限程度的检测和防御,仍然 需要进一步的研宄和发掘更为有效的措施来应对洪泛攻击带来的威胁。 现有的网络攻击检测系统在提取用户行为特征以及建立检测模型时,由于没有很 好地利用数据挖掘技术,所提取的正常和攻击行为特征不能很好地反映实际情况,因此建 立的攻击检测模型不够完善,容易造成误警和漏警,给网络系统带来损失。
技术实现思路
为解决现有技术的不足,本专利技术的目的在于提供一种基于数据挖掘的洪泛攻击检 测系统,通过构建以C4. 5算法为基础的两级分层结构,检测出正常流量中的攻击,并识别 出攻击类型。 为了实现上述目标,本专利技术采用如下的技术方案: 一种基于数据挖掘的洪泛攻击检测系统,其特征是,包括在线处理模块、攻击检测 分类模块、脱机模块和管理模块; 所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储 区; 所述攻击检测分类模块与MIB数据存储区相连接; 所述脱机模块包括关联规则挖掘模块和C4. 5学习模块;所述C4. 5学习模块通过 随机生成各种流量攻击执行以C4. 5算法为基础的学习;所述关联规则挖掘模块提取和分 析存储在MIB数据存储区中数据的数据特征; 所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4. 5学习 丰旲块。 前述的一种基于数据挖掘的洪泛攻击检测系统,其特征是,所述SNMP MIB发生器 模块根据网络流量数据产生MIB信息;所述MIB更新检测模块用于收集if InOctets,确定 检测系统的激活时间并更新MIB数据存储区;所述MIB数据储存区模块存储C4. 5学习模块 中的数据;所述攻击检测分类模块通过收集信息实时判断攻击发生时间和攻击类型。 前述的一种基于数据挖掘的洪泛攻击检测系统,其特征是,所述攻击检测分类模 块设置有两层,第一层分类出正常流量和攻击流量,用于实时向攻击反应系统中的系统管 理员报告任何检测到的攻击流量;第二层将所有被当作洪泛攻击的攻击流量按照流量数据 包类型分别分类为TCP-SYN洪泛、UDP洪泛和ICMP洪泛。 前述的一种基于数据挖掘的洪泛攻击检测系统,其特征是,所述管理模块用于实 施检测洪泛攻击,检测有关分类类型的详细信息,建立用于入侵检测和响应系统的策略。 本专利技术所达到的有益效果:本系统基于数据挖掘技术,以C4. 5算法为基础,从大 量的网络流量中准确提取洪泛攻击的特征,建立洪泛攻击检测模型,提高洪泛攻击检测的 准确度。【附图说明】 图1是本专利技术的系统结构示意图;【具体实施方式】 下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术 的技术方案,而不能以此来限制本专利技术的保护范围。 本系统通过运用数据挖掘技术,从大量的网络流量中准确提取洪泛攻击的特征, 并构建攻击检测模型,以此提高洪泛攻击检测的准确度。 具体结构如图1所示,包括在线处理模块、攻击检测分类模块、脱机模块和管理模 块。 其中,在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存 储区。攻击检测分类模块与MIB数据存储区相连接。SNMP MIB发生器模块根据网络流量 数据产生MIB信息。MIB更新检测模块用于收集iflnOctets,确定检测系统的激活时间并 执行MIB数据存储区。MIB数据储存区模块存储在C4. 5从目标系统学习模型中确定的MIB 信息。 攻击检测分类模块通过收集信息实时判断攻击发生时间和攻击类型。攻击检测分 类模块设置有两层,第一层分类出正常流量和攻击流量,用于实时向攻击反应系统中的系 统管理员报告任何检测到的攻击流量;第二层将所有被当作洪泛攻击的攻击流量分别分类 为TCP-SYN洪泛、UDP洪泛和ICMP洪泛。 脱机模块包括关联规则挖掘模块和C4. 5学习模块。C4. 5学习模块通过随机生成 各种流量攻击执行以C4. 5算法为基础的学习,关联规则挖掘模块提取和分析存储在MIB数 据存储区中数据的数据特征。 管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4. 5学习模块。 管理模块用于实施检测洪泛攻击当前第1页1 2 本文档来自技高网...
【技术保护点】
一种基于数据挖掘的洪泛攻击检测系统,其特征是,包括在线处理模块、攻击检测分类模块、脱机模块和管理模块;所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区;所述攻击检测分类模块与MIB数据存储区相连接;所述脱机模块包括关联规则挖掘模块和C4.5学习模块;所述C4.5学习模块通过随机生成各种流量攻击执行以C4.5算法为基础的学习;所述关联规则挖掘模块提取和分析存储在MIB数据存储区中数据的数据特征;所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。
【技术特征摘要】
【专利技术属性】
技术研发人员:杨维永,王红凯,黄益彬,刘昀,廖鹏,金倩倩,
申请(专利权)人:国家电网公司,南京南瑞集团公司,南京南瑞信息通信科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。