入侵检测系统的制作方法

1.本技术涉及网络安全技术领域，特别是涉及一种入侵检测系统。


背景技术：

2.随着信息技术的深入发展，各行各业都已离不开互联网，网络安全问题随之越来越受到重视。
3.在网络安全领域，目前使用较多的是入侵检测系统(intrusion detection system，简称ids)。入侵检测系统是一种对网络传输进行实时监视，在发现可疑传输时发出警报或者采取主动反应措施(例如拒绝访问)的网络安全设备。
4.入侵检测系统都只能对入侵行为进行识别，还不能预防入侵行为的发生，这就要求入侵检测系统具备较高的实时性和准确性，以免没有及时识别出网络入侵，导致攻击者攻击网络系统。然而，目前使用的入侵检测系统，对网络攻击的检测速度还不够快，实时性和准确性不够。


技术实现要素：

5.基于此，有必要针对上述技术问题，提供一种入侵检测系统。
6.一种入侵检测系统，所述系统包括事件产生器、预先构建的事件分析器和响应器；其中，
7.所述事件产生器，用于监控并获取目标监控环境中的事件，将所述事件发送至预先构建的事件分析器；
8.所述预先构建的事件分析器，用于针对所述事件进行检测分类，得到所述事件的事件类型，将所述事件发送至所述响应器；
9.所述响应器，用于根据所述事件类型，针对所述事件作出相应的响应行为。
10.在其中一个实施例中，所述系统还包括训练模块；所述训练模块，用于获取所述目标监控环境中的历史事件集，利用所述历史事件集对事件分析器进行训练，得到所述预先构建的事件分析器；其中，所述历史事件集中的历史事件的事件类型已知。
11.在其中一个实施例中，所述事件分析器包括数据预处理模块、判断模块和分类器；其中，
12.所述数据预处理模块，用于获取所述事件的特征值，针对所述事件的特征值进行离散化和归一化得到标准特征值，将所述标准特征值发送至所述判断模块；
13.所述判断模块，用于判断所述标准特征值的总个数是否小于预设阈值；若是，则将所述事件发送至所述分类器；
14.所述分类器，用于根据所述标准特征值对所述事件进行分类，得到所述事件的事件类型。在其中一个实施例中，所述事件分析器还包括特征选择模块；
15.所述判断模块，用于判断所述标准特征值的总个数是否小于预设阈值；若否，则将所述事件发送至所述特征选择模块；
16.所述特征选择模块，用于根据所述事件的所述标准特征值进行特征选择，得到满足预设条件的特征值子集；将所述特征值子集发送至所述分类器，以使所述分类器根据所述特征值子集对所述事件进行分类，得到所述事件的事件类型。
17.在其中一个实施例中，所述响应器包括日志记录模块；所述日志记录模块与所述分类器连接；
18.所述日志记录模块，用于从所述分类器接收所述事件以及相应的事件类型并存储。
19.在其中一个实施例中，所述响应器还包括报警模块和响应模块；所述报警模块与所述分类器连接；
20.所述分类器，用于在判断所述事件的事件类型为入侵事件时，将所述入侵事件发送至所述报警模块；
21.所述报警模块，用于向管理端口发送报警信息；将所述入侵事件发送至响应模块，以指示所述响应模块作出相应的响应行为。
22.在其中一个实施例中，所述分类器是基于id3决策树算法构建的。
23.在其中一个实施例中，所述特征选择模块是利用基于信息增益的算法构建的。
24.在其中一个实施例中，所述基于信息增益的算法包括c4.5算法。
25.在其中一个实施例中，所述系统还包括事件数据库：
26.所述事件数据库用于存储所述事件、所述事件的事件类型以及所述报警信息。
27.上述入侵检测系统，包括事件产生器、预先构建的事件分析器和响应器：其中，事件产生器，用于监控并获取目标监控环境中的事件；将事件发送至预先构建的事件分析器；预先构建的事件分析器，用于针对事件进行检测分类，得到事件的事件类型；将事件发送至响应器；响应器，用于根据事件类型，针对事件作出相应的响应行为。该系统通过预先构建的事件分析器对事件进行分类，该预先构建的事件分析器是根据历史事件记录进行训练得到的，能够根据事件特征自动识别出事件为正常事件或入侵事件，提高了入侵检测系统的识别实时性和准确性。
附图说明
28.图1为一个实施例中入侵检测系统的应用环境图；
29.图2为一个实施例中入侵检测系统的模型结构图；
30.图3为一个实施例中入侵检测系统的流程图；
31.图4为一个实施例中计算机设备的内部结构图；
32.图5为另一个实施例中计算机设备的内部结构图。
具体实施方式
33.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
34.本技术提供的入侵检测系统，该入侵检测系统可以是轻量级的入侵检测系统，其可以应用于如图1所示的应用环境中。其中，内部网与外部网之间有防火墙，ids系统可以被
视为是内部网的监控系统，ids系统中的ids服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
35.在一个实施例中，如图2所示，图2展示了一种入侵检测系统的模型结构图，包括事件产生器、预先构建的事件分析器和响应器；其中，事件产生器，用于监控并获取目标监控环境中的事件；将事件发送至预先构建的事件分析器；预先构建的事件分析器，用于针对事件进行检测分类，得到事件的事件类型；将事件发送至响应器；响应器，用于根据事件类型，针对事件作出相应的响应行为。
36.其中，目标监控环境是指部署了轻量级入侵检测系统的内部局域网。
37.具体地，事件产生器用于从上述内部局域网中的各个网络节点(包括用户主机、服务器、数据库等)进行网络流量抓取，将获取的流量数据包进行分析，得到各个事件，这些事件包括但不限于访问请求、权限请求、信息发送及获取等。在一些情况下，事件产生器还可以自己模拟产生事件。事件产生器将获取或产生的事件发送至预先构建的事件分析器。
38.预先构建的事件分析器，针对上述事件进行分类，可检测出该事件的事件类型为正常事件还是入侵事件；并将事件及其检测结果发送至响应器。
39.响应器根据检测结果，即上述事件类型对事件进行相应的处理。例如，若为正常事件，则仅将该正常事件写入日志记录，并保存于事件数据库中；若为入侵事件，则拒绝该入侵事件进入内部网，并向相关处理人员发出报警；同时，记录该入侵事件，将其保存于事件数据库中，以供后续分析。
40.可选地，上述轻量级入侵检测系统还可以包含事件数据库，用于存储上述各个事件、事件的事件类型以及其他的报警信息、相应的处理行为等。
41.上述实施例，提供了一种轻量级入侵检测系统，包括事件产生器、预先构建的事件分析器和响应器：其中，事件产生器，用于监控并获取目标监控环境中的事件；将事件发送至预先构建的事件分析器；预先构建的事件分析器，用于针对事件进行检测分类，得到事件的事件类型；将事件发送至响应器；响应器，用于根据事件类型，针对事件作出相应的响应行为。该系统通过预先构建的事件分析器对事件进行分类，该预先构建的事件分析器是根据历史事件记录进行训练得到的，能够根据事件特征自动识别出事件为正常事件或入侵事件，提高了入侵检测系统的识别实时性和准确性。
42.在一实施例中，上述系统还包括训练模块，用于获取目标监控环境中的历史事件集；其中，历史事件集中的历史事件的事件类型已知；利用所述历史事件集对事件分析器进行训练，得到所述预先构建的事件分析器。
43.具体地，从事件数据库中获取针对该内部网的历史时间集，这些历史事件的事件类型已知，可以分为正常事件和入侵事件。利用这些已知事件类型的历史事件集针对事件分析器训练，得到训练好的事件分析器，即上述预先构建的事件分析器。
44.上述实施例，利用训练模块得到训练好的事件分析器，为后续事件检测分类提供必要前提。
45.在一实施例中，如图3所示，事件分析器包括数据预处理模块、判断模块、特征选择模块和分类器；其中，数据预处理模块，用于获取事件的特征值；针对事件的特征值进行离散化和归一化，得到标准特征值；将标准特征值发送至判断模块；判断模块，用于判断标准特征值的总个数是否小于预设阈值；若是，则将事件发送至分类器；分类器，用于根据标准
特征值对事件进行分类，得到事件的事件类型。特征选择模块，用于根据事件的标准特征值进行特征选择，得到满足预设条件的特征值子集；将特征值子集发送至分类器，以使分类器根据特征值子集对事件进行分类，得到事件的事件类型。
46.具体地，数据预处理模块是将采集到的原始事件的数据格式转换为c4.5算法所能识别并处理的格式，具体包括对事件的特征值进行离散化和归一化，事件包含多个特征，其中一些特征的特征值为连续值，因此需要将连续特征值离散化。数据预处理模块可通过excel宏工具formatdatalibsvm.xls实现原始事件中的特征离散化。另外，为了保证后续检测分类的准确性，避免取值范围小的特征值被取值范围大的特征值淹没，需要将特征值的取值进行归一化处理，即按一定比例处理，使得所有特征值的取值范围都在同一个数量级上。本技术可使用线性最大值最小值归一化的方法进行归一化处理。数据预处理模块进行离散化和归一化处理后，得到标准特征值，将标准特征值发送至判断模块。判断模块，用于判断所有标准特征值的总个数是否小于预设阈值，当特征数较少时，可直接将该事件发送至分类器进行检测分类，当特征数较多时，则将该事件发送至特征选择模块，特征选择模块根据事件的标准特征值进行特征选择，选用的特征选择算法是过滤器模式下的基于信息增益的算法，目的是选出具有最高信息增益的特征，即该特征在数据集中具有较高的区分度。具体地，特征选择模块，可以计算出各个特征的信息增益，进而在所有的特征中选择信息增益值较高的特征构建特征值子集；将特征值子集发送至上述分类器，以使分类器根据特征值子集中的特征对事件进行分类，得到事件类型。
47.上述实施例，通过设置判断模块判断事件是否需要特征选择，若特征数较少，则直接分类，若特征数较多，则选取最具有区分度的特征构成特征值子集，再利用特征值子集进行分类。有利于提高分类器的处理效率，使得在特征数较多时，分类器不需要对每个特征都进行判断，构建了轻量级的入侵检测系统。与采用全特征分类的分类器相比，平均建模时间短，检测的准确性也有较大提升。
48.在一实施例中，上述响应器包括日志记录模块。如图3所示，日志记录模块与分类器连接，用于从分类器接收事件以及相应的时间类型并存储，无论是正常事件还是入侵事件，日志记录模块都会进行存储。
49.上述实施例，通过日志记录能够保存所有历史记录，有利于后续积累经验进行积累学习。
50.在一实施例中，如图3所示，上述响应器还包括报警模块和响应模块，报警模块与分类器连接；分类器，用于在判断事件的事件类型为入侵事件时，将入侵事件发送至报警模块；报警模块，用于向管理端口发送报警信息；将入侵事件发送至响应模块，以指示响应模块作出相应的响应行为。
51.具体地，当判断事件为入侵事件时，分类器将该入侵事件发送给报警模块，报警模块向相关的管理人员(管理端口)发送报警信息，并将入侵事件发送至响应模块，以使响应模块根据该事件的具体类型作出响应行为，例如入侵事件的入侵方式分为四种，包括dos攻击、r2l远程攻击、u2r提权攻击和probing探测攻击，响应模块可根据入侵方式作出相应的处理。若事件为入侵行为，则响应器发出警报通知系统管理员，同时可主动采取相应措施，如与防火墙实现联动、与安全管理平台或其安全设备进行互联。当ids检测到异常行为后，响应模块在规则中进行添加，使防火墙能对攻击源和攻击目标(包括ip、端口和服务)及时
的封堵，从而达到对计算机网络的保护。在此过程中，将所检测的异常行为具体信息和添加的规则都写入事件日志，报告给系统管理员。
52.上述实施例，通过设置报警模块和响应模块，能够及时处理入侵事件，防范入侵事件对内部网造成消极影响。
53.在一实施例中，上述分类器是基于id3(iterative dichotmizer 3)决策树算法构建的。上述特征选择模块是利用基于信息增益的算法构建的；其中，基于信息增益的算法包括c4.5算法。id3和c4.5都属于决策树算法，决策树学习本质上是从训练数据集中归纳出一组分类规则；id3算法的核心思想是利用信息熵原理选择信息增益最大的属性作为分类属性，递归地拓展决策树的分枝，完成决策树的构造。
54.上述实施例，通过使用决策树算法，提高数据挖掘的能力，进一步提高入侵检测系统的准确性。
55.在一实施例中，上述系统中的事件发生器还包括数据采集模块和信息源，来自信息源的数据以数据包的形式被数据采集模块接收，经处理后形成审计记录到达数据预处理模块。
56.入侵检测系统中的信息源为网络数据，因此，数据采集模块主要功能为从网卡获取数据，并将乱序的tcp连接进行重组。本文使用windows操作系统，实现数据包捕获可采用winpcap方式，这是一个可以过滤底层包的程序。
57.首先将网卡模式调成混杂模式，然后通过设置bpf(伯克利包过滤器)内核中的参数，设置过滤数据的规则。再调用packetsetbuff()函数，设置系统的缓冲区大小，并将数据包对象分配在里面。采用packetreceivepacket()函数实现捕获数据包功能，在数据包充满系统缓冲区后，将其复制到用户缓冲区。这样便可以进行进一步地数据包分析处理。
58.应该理解的是，虽然上述流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，上述流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
59.下面以一具体应用场景进行说明：
60.本实施例通过对二进制远程代码执行类漏洞的研究，针对二进制远程代码执行类漏洞中对地址空间随机化的绕过手段，设计并实现了基于流量的轻量级入侵检测系统。
61.本次实验所用的实验数据均来自kdd 99，该数据集包含超过500万条连接记录，可从取得。每条连接记录有41个属性值，其中34个属性为连续值，7个为离散值。每条记录都有个标签，即正常或入侵，共用4种入侵方式，即dos攻击、r2l远程攻击、u2r提权攻击和probing探测攻击。实验环境为：cpu inter core i7 1.73ghz；内存512m；操作系统windows 2007；编程环境vc 6.0。
62.采用kdd 99数据集的训练数据进行训练，为避免偶然性，测试数据集包含的数据量需比较大。因此训练数据集包含100000条数据，取与训练数据不同的60000条数据用作测试数据。
63.本次实验在weka(怀卡托智能分析环境)开源平台上完成。weka是一个数据挖掘系
统，用java语言实现，提供适用于任意数据集的数据预处理和算法性能评估的方法，扩展性和兼容性都很强，可以根据具体需要，将个性化的算法封装进系统。模型采用基于信息增益的特征选择算法和id3决策树分类算法。id3分类算法已较为成熟，现有的开发工具很多都已预开发该函数，可以在程序函数库中直接调用。
64.该工具的检测流程如下：
65.步骤一：下载kdd 99数据包，解压缩后随机选取数据构建两个数据集x和c，其中x数据集包含100000条数据，为训练数据集；c数据集包含60000条数据，为测试数据集；
66.步骤二：对x内的数据进行预处理，经过连续属性离散化和归一化处理后，对此时的数据集x进行复制操作，结果为x_1与x_2；
67.步骤三：将x_1送入本次提出的入侵检测模型的事件分析模块，经特征选择后由id3算法构建分类器f_1；将x_2直接送入分类器模块，经训练构建分类器f_2；
68.步骤四：将测试数据集c重复步骤2操作，此时得到数据集c_1和c_2，再分别送入分类器f_1和f_2，进行分类，得到分类后的事件类型。
69.上述实施例，将征选择算法与分类算法结合，能有效提高入侵检测系统的检测速度，加快对大数据量的检测，提高了入侵检测系统的性能；与采用全特征训练的分类器相比，结合特征选择算法时，平均建模时间较短，检测的准确性也有较大提升。
70.在一个实施例中，提供了一种计算机设备，可用于实现上述轻量级的入侵检测系统，该计算机设备可以是服务器，其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储事件、事件类型以及相应的响应处理信息等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。
71.在一个实施例中，提供了一种计算机设备，可用于实现上述轻量级的入侵检测系统，该计算机设备可以是终端，其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、运营商网络、nfc(近场通信)或其他技术实现。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
72.本领域技术人员可以理解，图4
‑
5中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
73.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，
本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read
‑
only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
74.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
75.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。