專利名稱:基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,且特別涉及一種基于多移動代理和數(shù) 據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)�����,主要應(yīng)用于計算機網(wǎng)絡(luò)安全防御系統(tǒng)的關(guān)鍵技術(shù)��,可有 效地解決網(wǎng)絡(luò)安全漏檢和誤報問題����,進一步提高網(wǎng)絡(luò)的訪問檢測辨識決策準(zhǔn)確性和整體智 能防御能力。
背景技術(shù):
國內(nèi)外使用的入侵檢測系統(tǒng)(Intrusion Detection System����,IDS),主要通過網(wǎng)絡(luò) 數(shù)據(jù)包進行分析���、監(jiān)視����、檢測和識別系統(tǒng)中未授權(quán)或異?����,F(xiàn)象����。注重的是網(wǎng)絡(luò)監(jiān)控、審核跟 蹤�,在發(fā)現(xiàn)異常時只報告不能防范,只能通過與防火墻等安全設(shè)備聯(lián)動的方式進行防護��。目 前存在嚴重缺陷一是網(wǎng)絡(luò)缺陷��,用交換機代替可共享監(jiān)聽的HUB使IDS的網(wǎng)絡(luò)監(jiān)聽帶來麻 煩���,并且在復(fù)雜的網(wǎng)絡(luò)下精心地構(gòu)造與發(fā)送數(shù)據(jù)包也可繞過IDS的監(jiān)聽����。二是誤報量大且 出現(xiàn)漏報��,報警不斷。入侵防御系統(tǒng)(Intrusion Prevention System, IPS)可以對全部數(shù)據(jù)包認真檢 測����,實時確定是否許可或禁止訪問。IPS具有一些過濾器�����,能夠防止系統(tǒng)上各種類型的弱點 受到攻擊�。當(dāng)新的弱點被發(fā)現(xiàn)之后會創(chuàng)建一個新過濾器并納入管轄,試探攻擊這些弱點的 任何操作都會受到攔截����。IPS技術(shù)能夠?qū)W(wǎng)絡(luò)進行多層、深層���、主動的防護以有效保證企業(yè) 網(wǎng)絡(luò)安全�。IPS相當(dāng)于防火墻與入侵檢測系統(tǒng)結(jié)合��,但并不能代替防火墻或IDS��。防火墻在 基于TCP/IP協(xié)議的過濾功能突出,IDS提供的全面審計資料對于攻擊還原、入侵及異常操 作取證�、異常事件識別�����、網(wǎng)絡(luò)故障排除等都有很重要的功效�。但是仍然存在對計算機網(wǎng)絡(luò)安 全單一檢測誤報率高、錯誤報警率多和漏報等問題��。網(wǎng)絡(luò)性能��、安全精確度和安全效率是計算機網(wǎng)絡(luò)安全面臨的主要問題�����。傳統(tǒng)的基 于網(wǎng)絡(luò)的入侵防御系統(tǒng)(Network Intrusion Prevention System, NIPS)安全檢測方式單 一�、誤報率高���、錯誤報警率多和漏報等問題����,嚴重地影響計算機網(wǎng)絡(luò)安全防御和檢測的關(guān)鍵 技術(shù)和安全防御性能�����。
發(fā)明內(nèi)容
本發(fā)明專利在深入分析NIPS����、移動代理和數(shù)據(jù)挖掘(Data Mining, DM)技術(shù)特點 和優(yōu)勢的基礎(chǔ)上�����,提出了基于多個移動代理(Multi-Mobile Agent, ΜΑ)和DM的智能NIPS 新改進模型��。從一個新角度將數(shù)據(jù)庫技術(shù)與人工智能結(jié)合�。利用移動Agent的特點�����,結(jié)合 DM所具有的實時提取和辨識異常信息的優(yōu)勢��,提高訪問檢測與辨識精度和智能性����,避免誤 報和漏報,從而提高網(wǎng)絡(luò)安全可靠性和防御能力�����。為了達到上述目的��,本發(fā)明提出一種基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵 防御系統(tǒng),包括移動代理功能模塊���、數(shù)據(jù)挖掘功能模塊�����、智能模塊���、檢測器、聯(lián)動模塊和防 護審計跟蹤代理模塊�,其中�,所述移動代理功能模塊包括移動代理數(shù)據(jù)庫和特征規(guī)則庫,分別連接于所述檢測器����;所述數(shù)據(jù)挖掘功能模塊包括相互連接的數(shù)據(jù)挖掘數(shù)據(jù)庫和自適應(yīng)模型產(chǎn)生器,所 述數(shù)據(jù)挖掘數(shù)據(jù)庫連接于所述特征規(guī)則庫��;所述智能模塊包括相互連接的專家系統(tǒng)和安全知識庫�,所述專家系統(tǒng)連接于所述 檢測器和所述數(shù)據(jù)挖掘數(shù)據(jù)庫,所述安全知識庫連接于所述自適應(yīng)模型產(chǎn)生器����;所述檢測器連接于所述聯(lián)動模塊,所述防護審計跟蹤代理模塊連接于所述聯(lián)動模 塊和所述專家系統(tǒng)���。進一步的���,該系統(tǒng)包括數(shù)據(jù)源����,分別連接于所述移動代理數(shù)據(jù)庫和數(shù)據(jù)挖掘數(shù)據(jù)庫����。進一步的,所述移動代理功能模塊對所述數(shù)據(jù)源的數(shù)據(jù)進行整合���,然后分別輸入 所述移動代理數(shù)據(jù)庫和數(shù)據(jù)挖掘數(shù)據(jù)庫�����。
進一步的����,所述自適應(yīng)模型產(chǎn)生器利用移動代理算法對數(shù)據(jù)挖掘數(shù)據(jù)庫中的數(shù)據(jù) 進行特征分析��、聚類分析和關(guān)聯(lián)規(guī)則分析與提取����,從而生成檢測模型���。進一步的,所述專家系統(tǒng)和安全知識庫對異常信息進行智能檢測�����、過濾與決策����,并 通過所述檢測器調(diào)動所述聯(lián)動模塊及防護審計跟蹤代理模塊進行整體檢測、防御和審計����。進一步的�����,當(dāng)所述檢測器檢測出異常信息時實時反應(yīng)�,記錄相關(guān)信息并自動采取 措施。本發(fā)明提出的基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)���,主要將收集 到的事件序列和數(shù)據(jù)進行多個層面數(shù)據(jù)的深入挖掘和檢測辨識�,將構(gòu)建的模式或知識發(fā)現(xiàn) 分析形成結(jié)果轉(zhuǎn)入事件庫,解決了入侵規(guī)則庫的實時更新�,并具有以下優(yōu)點(1)深入分布數(shù)據(jù)挖掘。一般數(shù)據(jù)挖掘是對集中式數(shù)據(jù)存儲進行集中挖掘���,在多個 移動代理環(huán)境下�,可在不同結(jié)點或子網(wǎng)進行分布挖掘�,與異地數(shù)據(jù)間關(guān)聯(lián)時,可用代理之間 通訊實現(xiàn)����。由于無數(shù)據(jù)移動和復(fù)制,降低了數(shù)據(jù)一致性維護和數(shù)據(jù)移動通訊代價�。(2)并行數(shù)據(jù)挖掘。在總體數(shù)據(jù)挖掘目標(biāo)下可分布進行局部數(shù)據(jù)挖掘���,在多個移動 代理環(huán)境下�����,每個結(jié)點或子網(wǎng)對應(yīng)一個代理集合實現(xiàn)局部數(shù)據(jù)挖掘����。異地獨立數(shù)據(jù)集并行 數(shù)據(jù)挖掘�,異地依賴數(shù)據(jù)集的數(shù)據(jù)挖掘需要通過異地代理之間的協(xié)商和合作����,其后過程也 可并行處理����,使數(shù)據(jù)挖掘靈活高效。(3)交互式群體數(shù)據(jù)挖掘����。在數(shù)據(jù)挖掘過程中,對于異地依賴數(shù)據(jù)集的挖掘或更 高層次的數(shù)據(jù)分析和挖掘���,需要多個代理合作����,稱為群體數(shù)據(jù)挖掘(Collaborative Data Mining)�����。在基于多移動代理和數(shù)據(jù)挖掘技術(shù)的NIPS中�����,每個局部網(wǎng)的代理在數(shù)據(jù)挖掘的 過程中可相互交流且并行挖掘����,代理群體挖掘體現(xiàn)了代理之間協(xié)作和協(xié)調(diào)。(4)多代理自學(xué)習(xí)增強分布式數(shù)據(jù)挖掘的智能性�����。在多個移動代理的數(shù)據(jù)挖掘中��, 代理可獨立或合作完成一定任務(wù)����,同時還可感知外界,從外界或工作過程中挖掘有用知識 形成知識庫���。同時代理之間還可進行知識交流��,高層次的代理可及時地將有用信息提交給 用戶�����,并會及時吸收有利于提高系統(tǒng)運行效率和性能的信息或知識��。(5)信息找用戶�。移動代理具有遷移性���、智能性和協(xié)作性����,在多個移動代理的數(shù)據(jù) 挖掘中,數(shù)據(jù)挖掘系統(tǒng)是一個主動系統(tǒng)���,可及時監(jiān)視運行過程�,并將各環(huán)節(jié)所需信息提交給 用戶以指導(dǎo)工作�。
圖1所示為本發(fā)明較佳實施例的基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防 御系統(tǒng)示意圖。
具體實施例方式為了更了解本發(fā)明的技術(shù)內(nèi)容�,特舉具體實施例并配合所
如下。請參考圖1��,圖1所示為本發(fā)明較佳實施例的基于多移動代理和數(shù)據(jù)挖掘技術(shù)的 網(wǎng)絡(luò)入侵防御系統(tǒng)示意圖�。本發(fā)明提出一種基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng),包括移 動代理功能模塊100��、數(shù)據(jù)挖掘功能模塊200��、智能模塊300�、檢測器400、聯(lián)動模塊500和防 護審計跟蹤代理模塊600���,其中�,
所述移動代理功能模塊100包括移動代理數(shù)據(jù)庫110和特征規(guī)則庫120��,分別連接 于所述檢測器400 �����;所述數(shù)據(jù)挖掘功能模塊200包括相互連接的數(shù)據(jù)挖掘數(shù)據(jù)庫210和自適應(yīng)模型產(chǎn) 生器220��,所述數(shù)據(jù)挖掘數(shù)據(jù)庫210連接于所述特征規(guī)則庫120 ����;所述智能模塊300包括相互連接的專家系統(tǒng)310和安全知識庫320,所述專家系統(tǒng) 310連接于所述檢測器400和所述數(shù)據(jù)挖掘數(shù)據(jù)庫210���,所述安全知識庫320連接于所述自 適應(yīng)模型產(chǎn)生器220 �����;所述檢測器400連接于所述聯(lián)動模塊500���,所述防護審計跟蹤代理模塊600連接于 所述聯(lián)動模塊500和所述專家系統(tǒng)310。進一步的�,該系統(tǒng)包括數(shù)據(jù)源700,分別連接于所述移動代理數(shù)據(jù)庫110和數(shù)據(jù)挖 掘數(shù)據(jù)庫210���。該系統(tǒng)的核心是智能模塊300���,移動代理功能模塊100主要用于整合數(shù)據(jù)源的數(shù) 據(jù)�����,然后輸入移動代理數(shù)據(jù)庫110�。其輸出是對象狀態(tài)���,用于與預(yù)先定義的過濾����、檢測和決策 規(guī)則進行匹配分析辨識���。自適應(yīng)模型產(chǎn)生器220�,利用移動代理算法對數(shù)據(jù)挖掘數(shù)據(jù)庫210 中的數(shù)據(jù)進行特征分析��、聚類分析和關(guān)聯(lián)規(guī)則分析與提取���,從而生成新的檢測模型�����。智能模 塊300結(jié)合移動代理和數(shù)據(jù)挖掘的特性���,充分發(fā)揮二者的性能和優(yōu)勢,通過專家系統(tǒng)310和 安全知識庫320集成系統(tǒng)對異常信息進行智能檢測����、過濾與決策的整體功能,并通過檢測 器400調(diào)動聯(lián)動模塊500及防護審計跟蹤代理模塊600進行整體檢測����、防御和審計。最后 的聯(lián)動模塊500主要是響應(yīng)OTPS的系統(tǒng)����,如防火墻及路由器等,當(dāng)檢測器檢測出異常時實 時反應(yīng)��,記錄相關(guān)信息并自動采取措施�����?;诰W(wǎng)絡(luò)的入侵防御系統(tǒng)NIPS通過在線檢測辨識異常行為,可實時阻斷非授權(quán) 訪問。主要有4項關(guān)鍵技術(shù)主動防御技術(shù)可對關(guān)鍵主機和服務(wù)的數(shù)據(jù)進行全面防御和加 固��,并控制用戶權(quán)限��;防火墻聯(lián)動技術(shù)按協(xié)議以接口調(diào)用通信����、傳輸警報、實現(xiàn)聯(lián)動���,數(shù)據(jù)接 受防火墻規(guī)則驗證并檢測判斷攻擊性����,實時阻斷聯(lián)動���;綜合檢測技術(shù)以誤用檢測和異常檢 測等多種方法�,避免誤操作�����、阻塞合法事件����、造成數(shù)據(jù)丟失,提高準(zhǔn)確判斷各種攻擊;專用硬 件加速系統(tǒng)高效處理數(shù)據(jù)包����,可快速實現(xiàn)對大流量復(fù)雜網(wǎng)絡(luò)深度數(shù)據(jù)包的檢測和阻斷。移動代理MA是一具有跨平臺持續(xù)運行�����、自控移動能力���,可模擬人的行為,并提供 一定智能服務(wù)的軟件實體�。各代理可根據(jù)需要隨時掛起并傳到其他主機繼續(xù)執(zhí)行,最后將其結(jié)果返回原主機��。移動代理MA是一個具有移動性���、智能性�、自治性����、并行性、靈活性����、交互 性和持久性等特點的程序�����??墒蛊溆嬎隳P途哂泻軓姷膭討B(tài)性��、智能性�����、靈活性����、高效性和 可靠性。采用多個不同的移動代理MA可以提高整體防御布局效能����。收集代理將網(wǎng)絡(luò)分布式 克隆到其他主機,代理以相關(guān)規(guī)則標(biāo)準(zhǔn)收集數(shù)據(jù)后分配給合作代理(Correlator Agent), 分析辨識從不同的合作代理和數(shù)據(jù)挖掘的信息�。合作代理將直接和相關(guān)代理通信并預(yù)處 理。管理代理(Manager Agent)是模型的核心和整個系統(tǒng)的分布中心���,創(chuàng)建并分配分析代 理(Analyzer Agent)是解決問題的引擎�,進行特征分析、動作分析和基于抽象解釋的安全 協(xié)議分析�。入侵防御檢測代理(IPS Agent)是一個基于特征和異常信息過濾、檢測與決策 的混合式IPS�����,在各子網(wǎng)中匯集和交換各種代理和數(shù)據(jù)挖掘信息����。利用數(shù)據(jù)挖掘服務(wù)器中提 供的聚類算法和特征檢測代理串行檢測網(wǎng)絡(luò)中的異常信息,存入數(shù)據(jù)庫并通知分類數(shù)據(jù)挖 掘代理�,以便分類算法產(chǎn)生檢測規(guī)則。利用聚類的檢測大力和特征檢測代理串行連接�,并通 過特征代理再聚類檢測及辨識異常信息��,即可提高數(shù)據(jù)挖掘效果及網(wǎng)絡(luò)整體防御能力�。數(shù)據(jù)挖掘可與用戶或知識庫交互,從一個新的角度將數(shù)據(jù)庫技術(shù)�、人工智能與統(tǒng) 計學(xué)等技術(shù)相結(jié)合。目的是從繁雜的����、殘缺的、有噪聲的�����、模糊的和隨機的數(shù)據(jù)中,提取隱含 在其中的且潛在有用的信息和知識���。通過對原始數(shù)據(jù)的整理可生成特征數(shù)據(jù)倉庫�����,由數(shù)據(jù) 挖掘算法從集合中計算出特征模式��,并以此產(chǎn)生出附加的特征����,即審計規(guī)則���、審計模型�����,以 提高檢測效能����。按照圖1所示�����,將多移動代理、數(shù)據(jù)挖掘技術(shù)和智能技術(shù)進行集成��,主要將移動代 理功能模塊100�����、數(shù)據(jù)挖掘功能模塊200�、智能模塊300、檢測器400�、聯(lián)動模塊500和防護審 計跟蹤代理模塊600等集成,即可構(gòu)建“基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御 系統(tǒng)”�。最后,可以通過對其進行模擬測試的方法����,對比其效果�,可采用來源于全球信息安全 認證中心的數(shù)據(jù),分別選取20個正常和異常數(shù)據(jù)���,對新模型采用CURE和RIPPER算法�����,并對 正常用戶訓(xùn)練數(shù)據(jù)和實時用戶數(shù)據(jù)進行挖掘����,分別比較判斷用戶的歷史和當(dāng)前行為模式。 經(jīng)過5次是否異常的模擬測試��,每次測試均進行10次正常訪問和10次攻擊訪問�,即可得到 模擬系統(tǒng)的檢測結(jié)果及新專利技術(shù)的效果評價。雖然本發(fā)明已以較佳實施例揭露如上��,然其并非用以限定本發(fā)明�。本發(fā)明所屬技 術(shù)領(lǐng)域中具有通常知識者,在不脫離本發(fā)明的精神和范圍內(nèi)�����,當(dāng)可作各種的更動與潤飾�����。因 此����,本發(fā)明的保護范圍當(dāng)視權(quán)利要求書所界定者為準(zhǔn)。
權(quán)利要求
一種基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)�,其特征在于�����,包括移動代理功能模塊���、數(shù)據(jù)挖掘功能模塊、智能模塊��、檢測器����、聯(lián)動模塊和防護審計跟蹤代理模塊,其中�����,所述移動代理功能模塊包括移動代理數(shù)據(jù)庫和特征規(guī)則庫�����,分別連接于所述檢測器�;所述數(shù)據(jù)挖掘功能模塊包括相互連接的數(shù)據(jù)挖掘數(shù)據(jù)庫和自適應(yīng)模型產(chǎn)生器����,所述數(shù)據(jù)挖掘數(shù)據(jù)庫連接于所述特征規(guī)則庫��;所述智能模塊包括相互連接的專家系統(tǒng)和安全知識庫���,所述專家系統(tǒng)連接于所述檢測器和所述數(shù)據(jù)挖掘數(shù)據(jù)庫,所述安全知識庫連接于所述自適應(yīng)模型產(chǎn)生器�����;所述檢測器連接于所述聯(lián)動模塊�,所述防護審計跟蹤代理模塊連接于所述聯(lián)動模塊和所述專家系統(tǒng)。
2.根據(jù)權(quán)利要求1所述的基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)����,其特 征在于,該系統(tǒng)包括數(shù)據(jù)源��,分別連接于所述移動代理數(shù)據(jù)庫和數(shù)據(jù)挖掘數(shù)據(jù)庫�����。
3.根據(jù)權(quán)利要求2所述的基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)�,其特 征在于,所述移動代理功能模塊對所述數(shù)據(jù)源的數(shù)據(jù)進行整合����,然后分別輸入所述移動代 理數(shù)據(jù)庫和數(shù)據(jù)挖掘數(shù)據(jù)庫����。
4.根據(jù)權(quán)利要求1所述的基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)��,其特 征在于��,所述自適應(yīng)模型產(chǎn)生器利用移動代理算法對數(shù)據(jù)挖掘數(shù)據(jù)庫中的數(shù)據(jù)進行特征分 析�����、聚類分析和關(guān)聯(lián)規(guī)則分析與提取����,從而生成檢測模型。
5.根據(jù)權(quán)利要求1所述的基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)����,其特 征在于,所述專家系統(tǒng)和安全知識庫對異常信息進行智能檢測����、過濾與決策,并通過所述檢 測器調(diào)動所述聯(lián)動模塊及防護審計跟蹤代理模塊進行整體檢測��、防御和審計。
6.根據(jù)權(quán)利要求5所述的基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)���,其特 征在于,當(dāng)所述檢測器檢測出異常信息時實時反應(yīng)��,記錄相關(guān)信息并自動采取措施��。
全文摘要
本發(fā)明提出一種基于多移動代理和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵防御系統(tǒng)�,包括移動代理功能模塊、數(shù)據(jù)挖掘功能模塊����、智能模塊、檢測器���、聯(lián)動模塊和防護審計跟蹤代理模塊�,其中����,移動代理功能模塊包括移動代理數(shù)據(jù)庫和特征規(guī)則庫,分別連接于檢測器�����;數(shù)據(jù)挖掘功能模塊包括相互連接的數(shù)據(jù)挖掘數(shù)據(jù)庫和自適應(yīng)模型產(chǎn)生器,數(shù)據(jù)挖掘數(shù)據(jù)庫連接于特征規(guī)則庫���;智能模塊包括相互連接的專家系統(tǒng)和安全知識庫�����,專家系統(tǒng)連接于檢測器和數(shù)據(jù)挖掘數(shù)據(jù)庫�,安全知識庫連接于自適應(yīng)模型產(chǎn)生器����;檢測器連接于聯(lián)動模塊,防護審計跟蹤代理模塊連接于聯(lián)動模塊和專家系統(tǒng)�。本發(fā)明能夠?qū)崟r提取和辨識異常訪問信息,提高網(wǎng)絡(luò)安全可靠性和防御能力����。
文檔編號H04L29/06GK101834847SQ201010137230
公開日2010年9月15日 申請日期2010年3月31日 優(yōu)先權(quán)日2010年3月31日
發(fā)明者賈鐵軍 申請人:上海電機學(xué)院