自适应网络入侵检测系统
专利类型:发明专利
语 言:中文
申 请 号:CN200910103880.4
申 请 日:20090518
申 请 人:重庆大学
申请人地址:400044 重庆市沙坪坝区沙坪坝正街174号
公 开 日:20110525
公 开 号:CN101562539B
代 理 人:郭云
代理机构:重庆市前沿专利事务所 50211
摘 要:本发明提供一种自适应网络入侵检测系统,包括报文预处理与转发模块、误用检测模块、异常响应模块、输出装置,该报文预处理与转发模块用来提取网络连接对象中的非加密报文并转发到误用检测模块,误用检测模块用来将检测到的异常网络连接对象转发到异常响应模块,其关键在于,该系统还包括实时数据库、特征数据整理与存储模块、历史数据库、半监督自适应学习模块、异常检测模块,异常检测模块用来分析实时数据库中的网络连接特征向量,然后将检测到的异常网络连接转发至异常响应模块。本发明的有益效果:本发明利用半监督自适应学习模块根据历史数据库中的数据建立异常检测规则,无需大量人工标记训练数据,从而极大降低了异常检测系统的部署成本。
主 权 项:1、一种自适应网络入侵检测系统,包括报文预处理与转发模块(1)、误用检测模块(8)、异常响应模块(7)、输出装置(9),所述报文预处理与转发模块(1)用来提取网络连接对象中的非加密报文并转发到误用检测模块(8),所述误用检测模块(8)用来将检测到的异常网络连接对象转发到异常响应模块(7),其特征在于:该系统还包括实时数据库(2)、特征数据整理与存储模块(3)、历史数据库(4)、半监督自适应学习模块(5)、异常检测模块(6);报文预处理与转发模块(1)还用来提取网络连接对象的网络连接特征向量并存储到实时数据库(2);误用检测模块(8)还用来将非加密报文的报文检测结果存储到实时数据库(2);特征数据整理与存储模块(3)用来定期检查和整合实时数据库(2)中的网络连接特征数据和报文状态,将整理后的网络连接特征数据存储到历史数据库(4);半监督自适应学习模块(5)根据历史数据库(4)中的各种数据,利用半监督学习算法生成异常检测规则,且将异常检测规则动态更新到异常检测模块(6)中;异常检测模块(6)用来分析实时数据库(2)中的网络连接特征向量,然后将检测到的异常网络连接对象转发至异常响应模块(7)。
关 键 词:
法律状态:生效
IPC专利分类号:H04L29/06; H04L12/24