一种基于数据挖掘的洪泛攻击检测系统.pdf

上传人：n****g

文档编号：6366150

上传时间：2019-06-04

格式：PDF

页数：8

大小：435.32KB

《一种基于数据挖掘的洪泛攻击检测系统.pdf》由会员分享，可在线阅读，更多相关《一种基于数据挖掘的洪泛攻击检测系统.pdf（8页完整版）》请在专利查询网上搜索。

本发明公开了一种基于数据挖掘的洪泛攻击检测系统，其特征是，包括在线处理模块、攻击检测分类模块、脱机模块和管理模块；所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区；所述攻击检测分类模块与MIB数据存储区相连接；所述脱机模块包括关联规则挖掘模块和C4.5学习模块；所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。本发明所达到的有益效果：。

摘要
申请专利号：	CN201510293449.6	申请日：	2015.06.01
公开号：	CN104933357A	公开日：	2015.09.23
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):G06F 21/55申请公布日:20150923\|\|\|专利申请权的转移IPC(主分类):G06F 21/55登记生效日:20161009变更事项:申请人变更前权利人:国家电网公司变更后权利人:国家电网公司变更事项:地址变更前权利人:100031 北京市西城区西长安街86号变更后权利人:100031 北京市西长安街86号变更事项:申请人变更前权利人:南京南瑞集团公司南京南瑞信息通信科技有限公司变更后权利人:国网浙江省电力公司信息通信分公司南京南瑞集团公司南京南瑞信息通信科技有限公司\|\|\|著录事项变更IPC(主分类):G06F 21/55变更事项:发明人变更前:杨维永王红凯黄益彬刘昀廖鹏金倩倩变更后:王红凯张旭东杨维永黄益彬刘昀廖鹏金倩倩\|\|\|实质审查的生效IPC(主分类):G06F 21/55申请日:20150601\|\|\|公开
IPC分类号：	G06F21/55(2013.01)I	主分类号：	G06F21/55
申请人：	国家电网公司; 南京南瑞集团公司; 南京南瑞信息通信科技有限公司
发明人：	杨维永; 王红凯; 黄益彬; 刘昀; 廖鹏; 金倩倩
地址：	100031北京市西城区西长安街86号
优先权：
专利代理机构：	南京纵横知识产权代理有限公司32224	代理人：	董建林
PDF完整版下载：	PDF下载

内容摘要

本发明公开了一种基于数据挖掘的洪泛攻击检测系统，其特征是，包括在线处理模块、攻击检测分类模块、脱机模块和管理模块；所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区；所述攻击检测分类模块与MIB数据存储区相连接；所述脱机模块包括关联规则挖掘模块和C4.5学习模块；所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。本发明所达到的有益效果：本系统基于数据挖掘技术，以C4.5算法为基础，从大量的网络流量中准确提取洪泛攻击的特征，建立洪泛攻击检测模型，提高洪泛攻击检测的准确度。

权利要求书

权利要求书
1.  一种基于数据挖掘的洪泛攻击检测系统，其特征是，包括在线处理模块、攻击检测分类模块、脱机模块和管理模块；
所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区；
所述攻击检测分类模块与MIB数据存储区相连接；
所述脱机模块包括关联规则挖掘模块和C4.5学习模块；所述C4.5学习模块通过随机生成各种流量攻击执行以C4.5算法为基础的学习；所述关联规则挖掘模块提取和分析存储在MIB数据存储区中数据的数据特征；
所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。

2.  根据权利要求1所述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述SNMP MIB发生器模块根据网络流量数据产生MIB信息；所述MIB更新检测模块用于收集ifInOctets，确定检测系统的激活时间并更新MIB数据存储区；所述MIB数据储存区模块存储C4.5学习模块中的数据；所述攻击检测分类模块通过收集信息实时判断攻击发生时间和攻击类型。

3.  根据权利要求1所述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述攻击检测分类模块设置有两层，第一层分类出正常流量和攻击流量，用于实时向攻击反应系统中的系统管理员报告任何检测到的攻击流量；第二层将所有被当作洪泛攻击的攻击流量按照流量数据包类型分别分类为TCP-SYN洪泛、UDP洪泛和ICMP洪泛。

4.  根据权利要求1所述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述管理模块用于实施检测洪泛攻击，检测有关分类类型的详细信息，建立用于入侵检测和响应系统的策略。

说明书

说明书一种基于数据挖掘的洪泛攻击检测系统
技术领域
本发明涉及一种基于数据挖掘的洪泛攻击检测系统，属于数据安全技术领域。
背景技术
计算机网络规模的日趋增大，使得发生网络攻击的机会不断增大，而且攻击过程也越来越不易被发现，尤其是随着网络种类的增多，攻击检测变得日益具有挑战性。攻击检测技术是用来发现外部攻击与合法用户滥用特权的一种方法，它通过从计算机网络或计算机系统中的若干关键信息点或关键网段收集信息，并对其进行分析，以识别网络或系统中的违规行为和遭受攻击的迹象，从而完成对网络攻击的探测、预警、评估、响应和恢复。它利用攻击者的蛛丝马迹，如试图登录的失败记录，试图连接特定文件、程序和其它资源的失败记录，或通过监视某些特定指标如CPU、内存、磁盘的不寻常活动等，有效地发现来自外部或内部的非法攻击。
已经有一些研究使用SNMP MIB的数据进行入侵检测。Jun等人开发了一个名为MAID的系统，此系统使用SNMP MIB-II数据进行异常检测。他们从四组MIB-II(Interface，IP，TCP，UDP)中定期收集27个MIB变量，并把它们转换成一个概率密度函数(PDF)来计算统计相似性指标，并把指标作为攻击分类器的输入数据。Puttini等人将相关的贝叶斯分类应用到SNMP MIB变量中来检测在MANET中的异常网络流量行为。Ramah等人在Shyu等人提出的基于无监督异常检测方案的基础上开发了一个使用从一个PCA上衍生的使用周期性SNMP数据采集的异常检测系统。然而，由于洪泛攻击种类众多，而且具备速度快、欺骗性强等特征，现存的理论和方法只能针对特定的攻击途径进行有限程度的检测和防御，仍然需要进一步的研究和发掘更为有效的措施来应对洪泛攻击带来的威胁。
现有的网络攻击检测系统在提取用户行为特征以及建立检测模型时，由于没有很好地利用数据挖掘技术，所提取的正常和攻击行为特征不能很好地反映实际情况，因此建立的攻击检测模型不够完善，容易造成误警和漏警，给网络系统带来损失。
发明内容
为解决现有技术的不足，本发明的目的在于提供一种基于数据挖掘的洪泛攻击检测系统，通过构建以C4.5算法为基础的两级分层结构，检测出正常流量中的攻击，并识别出攻击类型。
为了实现上述目标，本发明采用如下的技术方案：
一种基于数据挖掘的洪泛攻击检测系统，其特征是，包括在线处理模块、攻击检测分类模块、脱机模块和管理模块；
所述在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和MIB数据存储区；
所述攻击检测分类模块与MIB数据存储区相连接；
所述脱机模块包括关联规则挖掘模块和C4.5学习模块；所述C4.5学习模块通过随机生成各种流量攻击执行以C4.5算法为基础的学习；所述关联规则挖掘模块提取和分析存储在MIB数据存储区中数据的数据特征；
所述管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。
前述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述SNMP MIB 发生器模块根据网络流量数据产生MIB信息；所述MIB更新检测模块用于收集ifInOctets，确定检测系统的激活时间并更新MIB数据存储区；所述MIB数据储存区模块存储C4.5学习模块中的数据；所述攻击检测分类模块通过收集信息实时判断攻击发生时间和攻击类型。
前述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述攻击检测分类模块设置有两层，第一层分类出正常流量和攻击流量，用于实时向攻击反应系统中的系统管理员报告任何检测到的攻击流量；第二层将所有被当作洪泛攻击的攻击流量按照流量数据包类型分别分类为TCP-SYN洪泛、UDP洪泛和ICMP洪泛。
前述的一种基于数据挖掘的洪泛攻击检测系统，其特征是，所述管理模块用于实施检测洪泛攻击，检测有关分类类型的详细信息，建立用于入侵检测和响应系统的策略。
本发明所达到的有益效果：本系统基于数据挖掘技术，以C4.5算法为基础，从大量的网络流量中准确提取洪泛攻击的特征，建立洪泛攻击检测模型，提高洪泛攻击检测的准确度。
附图说明
图1是本发明的系统结构示意图；
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
本系统通过运用数据挖掘技术，从大量的网络流量中准确提取洪泛攻击的特征，并构建攻击检测模型，以此提高洪泛攻击检测的准确度。
具体结构如图1所示，包括在线处理模块、攻击检测分类模块、脱机模块和管理模块。
其中，在线处理模块包括SNMP MIB发生器模块、MIB更新检测模块和 MIB数据存储区。攻击检测分类模块与MIB数据存储区相连接。SNMP MIB发生器模块根据网络流量数据产生MIB信息。MIB更新检测模块用于收集ifInOctets，确定检测系统的激活时间并执行MIB数据存储区。MIB数据储存区模块存储在C4.5从目标系统学习模型中确定的MIB信息。
攻击检测分类模块通过收集信息实时判断攻击发生时间和攻击类型。攻击检测分类模块设置有两层，第一层分类出正常流量和攻击流量，用于实时向攻击反应系统中的系统管理员报告任何检测到的攻击流量；第二层将所有被当作洪泛攻击的攻击流量分别分类为TCP-SYN洪泛、UDP洪泛和ICMP洪泛。
脱机模块包括关联规则挖掘模块和C4.5学习模块。C4.5学习模块通过随机生成各种流量攻击执行以C4.5算法为基础的学习，关联规则挖掘模块提取和分析存储在MIB数据存储区中数据的数据特征。
管理模块分别用于管理攻击检测分类模块、关联规则挖掘模块和C4.5学习模块。管理模块用于实施检测洪泛攻击，检测有关分类类型的详细信息，建立用于入侵检测和响应系统的策略。
下面构建一个测试平台网络来进行实际的攻击实验。测试平台由一个受攻击系统，两个攻击代理系统，一个攻击处理系统和一个数据集收集系统构成。受攻击系统的操作系统是Linux Fedora 7，其他系统的操作系统是Linux Fedora 8。该测试平台连接的是校园网，所以在实验过程中，受攻击主义和测试平台网络之外的其他主机之间的正常流量也会生成。
使用Stacheldraht这个分布式拒绝服务攻击工具，来产生攻击流量。之所以会选择Stacheldraht这个工具是因为相较于TFN，TFN2K，Trinoo等其他攻击工具而言，更为成熟。Stacheldraht由处理器(主)和代理(守护进程)程序构成。代理系统以受害主机为目标产生大量的数据包，同时破坏系统资源和网络资源。试验中，实施三种洪泛攻击类型：TCP-SYN洪泛，UDP洪泛和ICMP洪泛攻击。
在攻击实验中，数据集收集器系统通过SNMP查询信息从受害者系统中收集SNMP MIB数据。首先，从5个MIB-II组：接口，IP，TCP，UDP，ICMP中调查66个MIB变量。这66个MIB变量的数据类型是Counter(计数器)类型，即一个非负的4字节整形，且只可递增不能减少。根据一个全面的但是不是详尽的调查，在66个MIB变量中选择13个可能会受到红花及流量影响的变量。这13个MIB变量和它们相应的MIB组如表1所示。
表1用于攻击检测系统的SNMP MIB变量

第一个实验是及时检测到攻击流量，并根据规则进行语义解释。我们通过学习数据集中的1000条正常的MIB记录进行C4.5学习。然后，用测试数据集中的2500条MIB记录进行测试，其中有1000条正常的MIB记录，另外三种攻击类型TCP-SYN，UDP和ICMP洪泛攻击，每种类型500条MIB记录。我们使用三个重要的通式来评估识别的第一步的性能：攻击检测率，假阳性(False Positive Rate,FPR)，假阴性(False Negative Rate,FNR)。

FPR=Σi=1nPiΣi=1nNi]]>
FNR=Σi=1nFiΣi=1nIi]]>
其中，I——单个攻击流量的MIB记录
N——单个正常流量的MIB记录
T——被系统定义为攻击的一个攻击流量的记录
P——误判为攻击流量的一个正常流量的记录
F——误判为正常流量的一个攻击流量的记录
攻击识别检测实验结果为
表2系统在检测识别攻击的性能结果
攻击检测率FPRFNR99.06％0.42％0.89％
选择三套MIB记录值来为三种攻击类型TCP-SYN，UDP和ICMP洪泛攻击进行C4.5学习。每一套500条MIB记录值是在总的1500条攻击流量记录中随机选择的。使用以下公式来进行分类精度性能评估：

其中，K——相应攻击类的单个攻击流量的记录
S——正确分类的攻击流量的记录
攻击类型分类实验结果为
表3攻击类型分类的性能结果
TCP-SYN floodingUDP floodingFNR flooding100％100％100％
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。