【CN110086767A】一种混合入侵检测系统及方法【专利】

(19)中华人民共和国国家知识产权局

(12)发明专利申请

(10)申请公布号 (43)申请公布日 (21)申请号 201910180422.4

(22)申请日 2019.03.11

(71)申请人 中国电子科技集团公司电子科学研

究院

地址 100041 北京市石景山区双园路11号

(72)发明人 雷璟　

(74)专利代理机构 工业和信息化部电子专利中

心 11010

代理人 张然

(51)Int.Cl.

H04L 29/06(2006.01)

(54)发明名称

一种混合入侵检测系统及方法

(57)摘要

本发明公开了一种混合入侵检测系统及方

法，采用基于网络行为的两层混合入侵检测方

式，第一异常检测模块作为第一检测阶段，第二

异常检测模块和误用检测模块作为第二检测阶

段，利用两个检测阶段紧密配合，第二检测阶段

的两个检测模块对第一检测阶段的检测模块的

检测结果进行二次识别，进而识别出第一检测阶

段的检测结果中存在的误报和漏报情况，进一步

提升了整体入侵检测的准确率。权利要求书2页 说明书6页 附图1页CN 110086767 A 2019.08.02

C N 110086767

A

权　利　要　求　书1/2页CN 110086767 A

1.一种混合入侵检测系统，其特征在于，包括：

第一异常检测模块，用于检测网络行为是否为异常行为，并输出第一检测结果；

第二异常检测模块，用于在所述第一异常检测模块输出的第一检测结果为异常行为的情况下，检测所述第一异常检测模块输出的第一检测结果是否为误报，在所述第一异常检测模块输出的第一检测结果是误报的情况下，输出所述网络行为为正常行为的第二检测结果，在所述第一异常检测模块输出的第一检测结果不是误报的情况下，输出所述网络行为为异常行为的第二检测结果；

误用检测模块，用于在所述第一异常检测模块输出的第一检测结果为正常行为的情况下，检测所述网络行为是否为与正常行为相似的异常行为，在所述网络行为是与正常行为相似的异常行为的情况下，输出所述网络行为为异常行为的第三检测结果，在所述网络行为不是与正常行为相似的异常行为的情况下，输出所述网络行为为正常行为的第三检测结果。

2.如权利要求1所述的混合入侵检测系统，其特征在于，所述第一异常检测模块，具体用于：

建立正常行为模型；

根据上述正常行为模型检测所述网络行为是否为异常行为。

3.如权利要求1所述的混合入侵检测系统，其特征在于，所述第二异常检测模块，具体用于：

根据K邻近分类算法检测所述网络行为是否为异常行为；

在所述网络行为为正常行为的情况下，所述第一异常检测模块输出的第一检测结果是误报，输出所述网络行为为正常行为的第二检测结果；

在所述网络行为为异常行为的情况下，所述一异常检测模块输出的第一检测结果不是误报，输出所述网络行为为异常行为的第二检测结果。

4.如权利要求1所述的混合入侵检测系统，其特征在于，所述误用检测模块，具体用于：

根据预设时间段内用户的行为模式构建用户行为模式集；

检测所述用户行为模式集中是否存在与所述网络行为相同或相似的行为模式；

在所述用户行为模式集中存在与所述网络行为相同或相似的行为模式的情况下，所述网络行为不是与正常行为相似的异常行为，输出所述网络行为为正常行为的第三检测结果；

在所述用户行为模式集中不存在与所述网络行为相同或相似的行为模式的情况下，所述网络行为是与正常行为相似的异常行为，输出所述网络行为为异常行为的第三检测结果。

5.如权利要求1至4中任一项所述的混合入侵检测系统，其特征在于，所述网络行为至少包括以下之一：网页浏览行为、评论行为、系统交互行为、跨网交换行为、社交协作行为、文件访问行为。

6.一种混合入侵检测方法，其特征在于，包括：

S1，检测网络行为是否为异常行为，并输出第一检测结果，在所述第一异常检测模块输出的第一检测结果为异常行为的情况下，执行步骤S2，在所述第一异常检测模块输出的第一检测结果为正常行为的情况下，执行步骤S3；

2