【技术实现步骤摘要】
本专利技术涉及网络安全,具体是一种基于协同入侵检测的网络安全防御系统。
技术介绍
1、协同入侵检测是指多个入侵检测系统之间相互协作、共享信息和协同分析以提高入侵检测的效果和准确性,传统的单一入侵检测在面对复杂的入侵行为时可能存在一些限制,协同入侵检测试图通过入侵检测系统之间的协作来弥补这些缺点;
2、在现有技术中,对于协同入侵检测的协作往往只是将不同的入侵检测系统所获得的检测结果进行叠加,该方法虽然提高了入侵检测的覆盖面,却也加大了系统的报警量,没能提高入侵检测的准确性,且现有技术中,也没能对历史入侵数据形成有效的利用,针对现有技术的不足,本专利技术提供了一种基于协同入侵检测的网络安全防御系统。
技术实现思路
1、本专利技术的目的在于提供一种基于协同入侵检测的网络安全防御系统。
2、本专利技术的目的可以通过以下技术方案实现:一种基于协同入侵检测的网络安全防御系统,包括主控中心,所述主控中心通信连接有数据采集模块、数据处理模块、入侵检测模块、协同分析模块、信息反馈模块;
3、所述数据采集模块用于对计算机网络的检测数据和入侵数据进行采集并存储;
4、所述数据处理模块用于对所获得的检测数据进行处理以获得相应的可用数据;
5、所述入侵检测模块用于根据所获得的可用数据对计算机网络进行日志分析、行为分析、流量分析以判断是否存在单独入侵行为,并生成相应的检测结果;
6、所述协同分析模块用于对日志分析、行为分析、流量分析的检测
7、所述信息反馈模块用于对所获得的检测结果和报警信息进行反馈。
8、进一步的,所述数据采集模块对计算机网络的检测数据和入侵数据进行采集并存储的过程包括:
9、设置数据库和数据采集单元,通过所述数据采集单元对计算机网络的检测数据和入侵数据进行采集,所述检测数据包括用户行为和活动数据、网络流量数据、主机日志、安全设备日志、威胁情报、资产和配置信息,所述入侵数据是指计算机网络被入侵时的检测数据,通过主控中心对所获得的检测数据和入侵数据进行审核,并将通过审核的检测数据和入侵数据上传至数据库进行保存。
10、进一步的,所述数据处理模块对所获得的检测数据进行处理以获得相应的可用数据的过程包括:
11、设置数据处理单元,通过所述数据处理单元对检测数据进行处理,所述数据处理单元对检测数据的处理过程包括:离群点处理、缺失值处理以及规范化处理,将经过处理后获得的检测数据标记为相应的可用数据。
12、进一步的,所述入侵检测模块根据所获得的可用数据对计算机网络进行日志分析以判断是否存在单独入侵行为,并生成相应的检测结果的过程包括:
13、获得检测数据中的主机日志和安全设备日志的可用数据,并将其标记为日志可用数据,对所获得的日志可用数据进行特征提取以获得相应的特征信息,所述特征信息包括登录失败次数、非法文件访问、异常网络连接;
14、利用机器学习算法根据所述入侵数据中的主机日志和安全设备日志获得入侵日志标准,并不断对其进行更新,将所获得的日志可用数据与入侵日志标准进行比较,若存在符合入侵日志标准的日志可用数据,则判断存在单独入侵行为,将当前的计算机网络标记为入侵状态,将该日志可用数据标记为入侵数据,并生成相应的检测结果,所述检测结果包括入侵状态和入侵数据,若不存在符合入侵日志标准的日志可用数据,则不对其进行任何操作。
15、进一步的,所述入侵检测模块根据所获得的可用数据对计算机网络进行行为分析以判断是否存在单独入侵行为,并生成相应的检测结果的过程包括:
16、获得检测数据中的用户行为和活动数据的可用数据,并将其标记为行为可用数据,对所获得的行为可用数据进行特征提取以获得相应的特征信息,所述特征信息包括登录失败次数、文件访问模式、网络异常行为;
17、利用机器学习算法根据所述入侵数据中的用户行为和活动数据获得入侵行为标准,并不断对其进行更新,将所获得的行为可用数据与入侵行为标准进行比较,若存在符合入侵行为标准的行为可用数据,则判断存在单独入侵行为,将当前的计算机网络标记为入侵状态,将该行为可用数据标记为入侵数据,并生成相应的检测结果,所述检测结果包括入侵状态和入侵数据,若不存在符合入侵行为标准的行为可用数据,则不对其进行任何操作。
18、进一步的,所述入侵检测模块根据所获得的可用数据对计算机网络进行流量分析以判断是否存在单独入侵行为,并生成相应的检测结果的过程包括:
19、获得检测数据中的网络流量数据的可用数据,并将其标记为流量可用数据,对所获得的流量可用数据进行特征提取以获得相应的特征信息,所述特征信息包括源地址、目标地址、协议类型、端口号、传输速率、数据包大小;
20、利用机器学习算法根据所述入侵数据中的网络流量数据获得入侵流量标准,并不断对其进行更新,将所获得的流量可用数据与入侵流量标准进行比较,若存在符合入侵流量标准的流量可用数据,则判断存在单独入侵行为,将当前的计算机网络标记为入侵状态,将该流量可用数据标记为入侵数据,并生成相应的检测结果,所述检测结果包括入侵状态和入侵数据,若不存在符合入侵流量标准的流量可用数据,则不对其进行任何操作。
21、进一步的,所述协同分析模块对日志分析、行为分析、流量分析的检测结果设置匹配度和协同权重以获得入侵系数,根据入侵系数以判断是否存在协同入侵行为,并生成相应的报警信息的过程包括:
22、设置分析周期和分析单元,通过所述分析单元获得上一个分析周期内的日志分析、行为分析、流量分析的检测结果中的单独入侵行为的次数,并将其分别标记为日志入侵次数、行为入侵次数、流量入侵次数;
23、获得上一个分析周期内的计算机网络的入侵总次数,根据入侵总次数与日志入侵次数、行为入侵次数、流量入侵次数之间的数值差距对日志入侵次数、行为入侵次数、流量入侵次数分别设置匹配度,对不同的匹配度设置不同的协同权重;
24、对当前分析周期内的日志入侵次数、行为入侵次数、流量入侵次数进行统计,获得入侵系数,设置入侵阈值,将入侵系数与入侵阈值进行比较,根据比较结果获得协同入侵行为,并生成相应的报警信息。
25、进一步的,所述信息反馈模块对所获得的检测结果和报警信息进行反馈的过程包括:
26、设置反馈单元,通过所述反馈单元将所获得的检测结果和报警信息向工作人员进行反馈,由工作人员根据所获得的检测结果和报警信息对计算机网络进行进一步的处理。
27、与现有技术相比,本专利技术的有益效果是:
28、1、通过对计算机网络进行日志分析、行为分析、流量分析以获得相应的检测结果,通过对各项检测结果设置匹配度和协同权重以获得相应的入侵系数,根据入侵系数以判断是否存在入侵行为,本专利技术所采取的协同分析的方法能够明显提高入侵检测的准确性,可本文档来自技高网...
【技术保护点】
1.一种基于协同入侵检测的网络安全防御系统,包括主控中心,其特征在于,所述主控中心通信连接有数据采集模块、数据处理模块、入侵检测模块、协同分析模块、信息反馈模块;
2.根据权利要求1所述的一种基于协同入侵检测的网络安全防御系统,其特征在于,所述数据采集模块对计算机网络的检测数据和入侵数据进行采集并存储的过程包括:
3.根据权利要求2所述的一种基于协同入侵检测的网络安全防御系统,其特征在于,所述数据处理模块对所获得的检测数据进行处理以获得相应的可用数据的过程包括:
4.根据权利要求3所述的一种基于协同入侵检测的网络安全防御系统,其特征在于,所述入侵检测模块根据所获得的可用数据对计算机网络进行日志分析以判断是否存在单独入侵行为,并生成相应的检测结果的过程包括:
5.根据权利要求4所述的一种基于协同入侵检测的网络安全防御系统,其特征在于,所述入侵检测模块根据所获得的可用数据对计算机网络进行行为分析以判断是否存在单独入侵行为,并生成相应的检测结果的过程包括:
6.根据权利要求5所述的一种基于协同入侵检测的网络安全防御系统,其特征
7.根据权利要求6所述的一种基于协同入侵检测的网络安全防御系统,其特征在于,所述协同分析模块对日志分析、行为分析、流量分析的检测结果设置匹配度和协同权重以获得入侵系数,根据入侵系数以判断是否存在协同入侵行为,并生成相应的报警信息的过程包括:
8.根据权利要求7所述的一种基于协同入侵检测的网络安全防御系统,其特征在于,所述信息反馈模块对所获得的检测结果和报警信息进行反馈的过程包括:
...【技术特征摘要】
1.一种基于协同入侵检测的网络安全防御系统,包括主控中心,其特征在于,所述主控中心通信连接有数据采集模块、数据处理模块、入侵检测模块、协同分析模块、信息反馈模块;
2.根据权利要求1所述的一种基于协同入侵检测的网络安全防御系统,其特征在于,所述数据采集模块对计算机网络的检测数据和入侵数据进行采集并存储的过程包括:
3.根据权利要求2所述的一种基于协同入侵检测的网络安全防御系统,其特征在于,所述数据处理模块对所获得的检测数据进行处理以获得相应的可用数据的过程包括:
4.根据权利要求3所述的一种基于协同入侵检测的网络安全防御系统,其特征在于,所述入侵检测模块根据所获得的可用数据对计算机网络进行日志分析以判断是否存在单独入侵行为,并生成相应的检测结果的过程包括:
5.根据权利要求4所述的一种基于协同入侵检测的网络...
【专利技术属性】
技术研发人员:张婷,鞠淼,王秀山,
申请(专利权)人:内蒙古汇启网络服务有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。