基于数据挖掘技术的IPv6网络入侵检测方法及系统

摘要

本发明涉及一种网络入侵检测技术领域，是一种基于数据挖掘技术的IPv6网络入侵检测方法及系统，前者包括检测多个目标子系统中数据网络已知攻击和未做加密的IPv6数据流；利用多模式字符串匹配算法检测不同主机对象间传输的经IPSec协议加密的IPv6数据流；监控所有入侵检测过程，对主机入侵检测结果和网络入侵检测结果进行匹配，判断攻击类型。本发明利用信息熵协议分析算法降低了原始数据包的复杂度，完成对IPv6数据包首部的入侵检测，简化了检测复杂度，提高了检测效率，并利用多模式字符串匹配算法检测不同主机对象间传输的经IPSec协议加密的IPv6数据流，利用多模式的优点，充分提升了检测效率。

说明书

技术领域

本发明涉及一种网络入侵检测技术领域，是一种基于数据挖掘技术的IPv6网络入侵检测方法及系统。

背景技术

随着IPv4地址规模的局限性，逐渐无法满足电力物联网设备部署应用的需求，IPv6地址代替IPv4地址成为了网络地址部署趋势，IPv6地址的大容量对于未来物联网设备新增量的远景估算也是可以满足的，因此IPv6选择作为电力物联网的主要地址部署模式。IPv6技术的引入支撑了电力物联设备增设的实现，在物联设备的功能应用下，为电力开拓了多样化、多渠道的业务服务能力，例如视频多媒体、传感器监控、WLAN无线通信等业务网络，业务服务的开展必然带来数据集的井喷，大量电力数据信息暴露在错综复杂的IP网络中是存在很大安全隐患；随着4G等无线通信网络在电力应用中的深度部署，无线数据传输形式更增加了攻击风险，因此对IPv6网络的安全性能提出更高的防护要求。IPv6协议中专门在安全侧设计了IPSec协议，此协议属于加密与认证协议的范畴，主要目标是提高网络的数据传输安全性，解决了身份认证等问题，采取主动安全防控的方式。但随着网络攻击类型的多样化和不确定性，IPSec协议只能解决部分网络安全问题，还需要配合其他安全防护手段增强网络的安全等级。

目前传统的检测技术包括以下几项：基于统计类的检测分析法：通过测试历史检测经验值，设定安全阈值，在安全阈值之上的均被认定为危险行为，偏差越大表示风险越大；基于规则趋势的检测分析法：设定动态规则库，从而对入侵行为进行判断，与规则库中保持一致的特征字符串表示为安全数据，其他为危险行为；基于人工神经网络算法的检测分析法：利用神经网络对特征字符串规律的自学习特性，可以将正常与异常事件的规律进行分类判断，将非法的数据行为特征给出判定；基于条件概率的检测分析法：将入侵表示为事件序列，根据贝叶斯定理推理出入侵行为；基于免疫算法的检测分析法：通过免疫防护算法可以检测到可能攻击到网络的风险事件，可提升网络的免疫力；基于模式识别预测的检测方法；假设安全审计的记录数据符合某种模式，从而利用事件序列的相关性检测攻击行为。

上述目前入侵检测系统还存在以下问题：检测速度小于网路传输速度，容易导致误报和漏报；入侵检测系统与其他网络产品结合问题；对网络中加密的数据包不能进行检测；入侵检测体系结构有问题；入侵检测具体算法方法的精准性还存在问题。

发明内容

本发明提供了一种基于数据挖掘技术的IPv6网络入侵检测方法，克服了上述现有技术之不足，其能有效解决现有网络入侵检测方法存在的不能同时对主机和网络进行检测的问题，进一步解决现有网络入侵检测方法存在的不能对网络中加密的数据包不能进行检测的问题。

本发明的技术方案之一是通过以下措施来实现的：一种基于数据挖掘技术的IPv6网络入侵检测方法，包括：

检测多个目标子系统中数据网络已知攻击和未做加密的IPv6数据流，完成主机入侵检测；

预设存储有特征字符串的变量特征数据库，调用变量特征数据库，利用多模式字符串匹配算法检测不同主机对象间传输的经IPSec协议加密的IPv6数据流，完成网络入侵检测；

监控所有入侵检测过程，预设存储有入侵行为特征的变量特征数据库，调用变量特征数据库，对主机入侵检测结果和网络入侵检测结果进行匹配，判断攻击类型，输出报警信息；

对报警信息的处理与展示。

下面是对上述发明技术方案的进一步优化或/和改进：

上述检测多个目标子系统中数据网络已知攻击和未做加密的IPv6数据流，包括：

对目标子系统中IPv6数据包首部进行IPSec协议解析；

提取IPv6数据包首部，利用信息熵协议分析算法判断IPv6数据包首部是否存在入侵行为，响应于否，则继续对IPv6数据包进行解析，响应于是，则判断存在异常入侵行为数据；

请求秘钥进行IPv6数据包解析，调用应用层规则，并利用模式识别算法对解析结果进行匹配，判断匹配是否异常，响应于是，则存在异常入侵行为数据。

上述预设存储有特征字符串的变量特征数据库，调用变量特征数据库，利用多模式字符串匹配算法检测不同主机对象间传输的经IPSec协议加密的IPv6数据流，包括：

在网络数据中利用数据捕获函数抓取IPv6数据包，其中数据捕获函数包括数据地址格式的过滤规则；

预设存储有特征字符串的变量特征数据库，利用多模式字符串匹配算法识别IPv6数据包的特征字符串，并将其与变量特征数据库中的已存特征进行匹配；

判断匹配是否异常，响应于否，则符合安全特征要求，响应于是，则存在异常入侵行为数据。

上述在IPv6数据包中所有特征匹配完成后，利用信息熵协议分析算法对数据报头中的协议信息进行内容概率计算，检测出有用的字段发现入侵行为。

上述在网络数据中利用数据捕获函数抓取IPv6数据包，包括：在网络数据中利用数据捕获函数抓取IPv6数据包，从IPv6数据包中获取网络地址和掩码信息，将网络地址和掩码信息与数据地址格式的过滤规则进行比对，提取对比一致的IPv6数据包，将对比不一致的IPv6数据包释放到网络中。

本发明的技术方案之二是通过以下措施来实现的：一种基于数据挖掘技术的IPv6网络入侵检测系统，包括：

主机入侵检测单元，检测多个目标子系统中数据网络已知攻击和未做加密的IPv6数据流，完成主机入侵检测；

网络入侵检测单元，预设存储有特征字符串的变量特征数据库，调用变量特征数据库，利用多模式字符串匹配算法检测不同主机对象间传输的经IPSec协议加密的IPv6数据流，完成网络入侵检测；

系统监测单元，监控所有入侵检测过程，预设存储有入侵行为特征的变量特征数据库，调用变量特征数据库，对主机入侵检测结果和网络入侵检测结果进行匹配，判断攻击类型，输出报警信息；

响应单元，对报警信息的处理与展示。

下面是对上述发明技术方案的进一步优化或/和改进：

上述主机入侵检测单元包括多个主机入侵检测模块，每个主机入侵检测模块均包括IPSec解密模块、应用层防护模块、应用层规则库和系统监视器；

IPSec解密模块，对目标子系统中IPv6数据包首部进行IPSec协议解析，提取IPv6数据包首部，利用信息熵协议分析算法判断IPv6数据包首部是否存在入侵行为，响应于否，则继续对IPv6数据包进行解析；

应用层规则库，存储应用层规则；这里应用层规则库为动态数据库；

应用层防护模块，请求秘钥进行IPv6数据包解析，调用应用层规则，并利用模式识别算法对解析结果进行匹配，判断匹配是否异常，响应于是，则存在入侵行为；

系统监视器，对检测过程进行监视。

上述网络入侵检测单元包括网络数据包采集模块、规则解析模块、预处理模块、变量特征数据库、协议分析模块、解析分析模块；

网络数据包采集模块，在网络数据中利用数据捕获函数抓取IPv6数据包；

规则解析模块，设置数据捕获函数，数据捕获函数包括数据地址格式的过滤规则；

预处理模块，从IPv6数据包中获取网络地址和掩码信息，将网络地址和掩码信息与数据地址格式的过滤规则进行比对，提取对比一致的IPv6数据包，将对比不一致的IPv6数据包释放到网络中；

变量特征数据库，存储特征字符串；

协议分析模块，在IPv6数据包中所有特征匹配完成后，利用信息熵协议分析算法对数据报头中的协议信息进行内容概率计算，检测出有用的字段发现入侵行为。

上述系统监测单元包括异常检测模块、监控管理模块、自学习模块和变量特征数据库；

异常检测模块，调用变量特征数据库，对主机入侵检测结果和网络入侵检测结果进行匹配，判断攻击类型，输出报警信息；

监控管理模块，监控所有入侵检测过程；

自学习模块，对检测获得的异常检测结果进行自学习；

变量特征数据库，存储入侵行为特征。

本发明公开了一种基于数据挖掘技术的IPv6网络入侵检测方法及系统，优点如下：

1、本发明利用信息熵协议分析算法降低了原始数据包的复杂度，完成对IPv6数据包首部的入侵检测，并结合模式识别算法对IPv6数据包的其余解析内容进行匹配，判断是否存在异常，相较于现有常使用的基于人工神经网络算法的检测分析法，简化了检测复杂度，提高了检测效率。

2、本发明预设存储有特征字符串的变量特征数据库，调用变量特征数据库，利用多模式字符串匹配算法(AC-BC多模式字符串匹配算法)检测不同主机对象间传输的经IPSec协议加密的IPv6数据流，利用多模式的优点，充分提升了检测效率。

3、本发明中设置的数据库均为动态数据库，能不断更新，提升了入侵检测能力，保证了入侵检测准确性。

附图说明

附图1为本发明实施例1的方法流程图。

附图2为本发明实施例2的方法流程图。

附图3为本发明实施例3的方法流程图。

附图4为本发明实施例3中多模式字符串匹配算法的匹配模型示意图。

附图5为本发明实施例4和实施例5的系统结构图。

具体实施方式

本发明不受下述实施例的限制，可根据本发明的技术方案与实际情况来确定具体的实施方式。

下面结合实施例及附图对本发明作进一步描述：

实施例1：如附图1所示，本发明实施例公开了一种基于数据挖掘技术的IPv6网络入侵检测方法，包括：

步骤S101，检测多个目标子系统中数据网络已知攻击和未做加密的IPv6数据流，完成主机入侵检测；

这里主机入侵检测主要是对IPv6网络中的日志文件、误操作行为、冗余数据等进行安全检测，保障主机间数据的互联互通功能。

步骤S102，预设存储有特征字符串的变量特征数据库，调用变量特征数据库，利用多模式字符串匹配算法检测不同主机对象间传输的经IPSec协议加密的IPv6数据流，完成网络入侵检测；

这里不同主机对象间传输的经IPSec协议加密的IPv6数据流从网络数据中抓取获得，同时为了提高入侵行为检测效率，引入变量特征数据库为匹配对比对象，并利用多模式字符串匹配算法对数据包的各个特征进行特征匹配，完成网络入侵检测，同时若发现新的特征字符串，可以录入变量特征数据库，保持变量特征数据库的实时性，提高网络入侵检测准确性。其中变量特征数据库存储有各类特征字符串(即为字符串)。

步骤S103，监控所有入侵检测过程，预设存储有入侵行为特征的变量特征数据库，调用变量特征数据库，对主机入侵检测结果和网络入侵检测结果进行匹配，判断攻击类型，输出报警信息；

这里监控所有入侵检测过程通过搜集及管理主机间的信息完成；变量特征数据库存储各类入侵行为特征，调用变量特征数据库中的入侵行为特征，对主机入侵检测结果和网络入侵检测结果进行匹配，发现入侵行为则发出报警信息，报警信息可包括告警信息、入侵行为信息、攻击类型信息。同时变量特征数据库可以不断更新，保持了变量特征数据库的实时性，提高了入侵检测准确性。

步骤S104，对报警信息的处理与展示。

本发明实施例公开了一种基于数据挖掘技术的IPv6网络入侵检测方法，针对IPv6网络的安全协议防护漏洞问题，在IPSec安全协议基础上增加了新型的入侵检测方法，构建了网络检测、主机检测、系统监控、结构响应于一体的入侵行为检测方法；其中主机检测可同时对多个目标子系统中数据网络已知攻击和未做加密的IPv6数据流进行同步检测，满足IPv6网络多业务路的数据并发接入的需求；网络检测可以抓取大量的主机对象间传输的经IPSec协议加密的IPv6数据流进行检测，且利用多模式字符串匹配算法对数据包的特征字符串进行匹配检测，该过程简单高效，保证了入侵监测速度；两个变量特征数据库能动态更新，保持了变量特征数据库的实时性，提高了入侵检测准确性。综上本发明实施例适用于未来IPv6网络的大量部署，能有效对多路IPv6封装的数据进行安全检测。

实施例2：如附图2所示，本发明实施例公开了一种基于数据挖掘技术的IPv6网络入侵检测方法，其中检测多个目标子系统中数据网络已知攻击和未做加密的IPv6数据流，进一步包括：

步骤S201，对目标子系统中IPv6数据包首部进行IPSec协议解析；这里目标子系统中IPv6数据包即为主机IPv6数据包；

步骤S202，提取IPv6数据包首部，利用信息熵协议分析算法判断IPv6数据包首部是否存在入侵行为，响应于否，则继续对IPv6数据包进行解析，响应于是，则判断存在异常入侵行为数据；

这里，步骤S202具体包括：

1、提取IPv6数据包首部；

2、通过下式计算其对应的信息熵(信息熵是计算每个随机数据发生的概率分布)；

其中，x表示随机数据变量，p(x)表示输出数据概率，a表示对数底数参数；

3、将所得信息熵与已标记数据集对比，相关性大的做累加并格式化操作,相关性小的则丢弃；这里数据不确定概率越大，熵值越大，通过提取信息量中熵的信息，达到数据压缩降维的目的，降低了原始数据的复杂度；

4、降维后的数据与阈值相比，将超过阈值的数据判定为异常入侵行为数据，其余数据为安全数据；这阈值并非长时间固定值，而会根据每次的计算结果实时调整与更新阈值，不断提升阈值评估的精准度。

步骤S203，请求秘钥进行IPv6数据包解析，调用应用层规则，并利用模式识别算法对解析结果进行匹配，判断匹配是否异常，响应于是，则存在异常入侵行为数据。这里应用层规则提前存储在应用层规则数据库中，该数据库可为动态数据库。

实施例3：如附图3、4所示，本发明实施例公开了一种基于数据挖掘技术的IPv6网络入侵检测方法，其中预设存储有特征字符串的变量特征数据库，调用变量特征数据库，利用多模式字符串匹配算法检测不同主机对象间传输的经IPSec协议加密的IPv6数据流，进一步包括：

步骤S301，在网络数据中利用数据捕获函数抓取IPv6数据包，其中数据捕获函数包括数据地址格式的过滤规则；

这里具体包括：

1、在网络数据中利用数据捕获函数抓取IPv6数据包；

2、从IPv6数据包中获取网络地址和掩码信息，将网络地址和掩码信息与数据地址格式的过滤规则进行比对，提取对比一致的IPv6数据包，将对比不一致的IPv6数据包释放到网络中。

步骤S302，预设存储有特征字符串的变量特征数据库，利用多模式字符串匹配算法识别IPv6数据包的特征字符串，并将其与变量特征数据库中的已存特征进行匹配；

这里变量特征数据库为动态变量特征数据库，能不断更新变量特征数据库中的特征字符串。

利用多模式字符串匹配算法识别IPv6数据包的特征字符串，并将其与变量特征数据库中的已存特征进行匹配；其中多模式字符串匹配算法可以是AC-BC多模式字符串匹配算法，该算法结合了BM算法(B.Boyer和JS.Moore)和AC算法(Alfred和Corasick)的联合优势，BM算法是一种传统字符串搜索单模式匹配算法，其优势在于不用逐个对字符串进行内容对比，而是利用预处理技术的降维优点，仅对“好字符”串进行匹配，设定一定的模式字符长度，实现字符串移的匹配模式，可以中间越过多个“坏字符”的匹配，其中通过对“坏字符”字符锁定，仅完成“好字符”的内容配对，直到最后一个字符结束匹配，其优势在于面对越长的字符串需求，效率越高。AC算法是一种新型的多模态字符串所搜算法，通过建立一个树型有限的状态机，状态机可以将不同的状态做上模式标记，当字符串输入到状态机中时，可以同时进行多模态的特征锁定，并行完成字符匹配，针对已锁定的状态字符输出状态标识为1，否则标识为0，该算法具有较高的并行匹配的优势，但缺乏状态转移的特征。因此将AC和BM算法结合，将其两种算法优势聚集，更高效的完成模式匹配。具体匹配识别流程包括：

1、读取IPv6数据包的特征字符串；

2、依照AC模型构造模式字符串的特征存储结构，利用BM算法的移动跳跃思想，形成正反两个方向的有限状态机模型；

3、设定模式字符长度和初始匹配位置；

4、构建失效函数；

5、以初始匹配位置为起点，调用失效函数逐一对内容匹配和检测，分别从正反两个方向同时进行模式匹配；匹配规则定义如下：正向是从右到左，当特征字符串未匹配上时，则向右移动；同理，反向是从左到右匹配，当特征字符串未匹配上时，则向左移动，定位“坏字符”后，进行字符内容配对，直到完成所有字符串的检测，算法结束。在其中会构建失效函数，调用失效函数完成字符的逐一内容匹配和检测，进行匹配判断。

步骤S303，判断匹配是否异常，响应于否，则符合安全特征要求，响应于是，则存在异常入侵行为数据。

步骤S304，在IPv6数据包中所有特征匹配完成后，利用信息熵协议分析算法对数据报头中的协议信息进行内容概率计算，检测出有用的字段发现入侵行为；这里与实施例2中利用信息熵协议分析算法分析入侵行为的过程相同。

本发明实施例2充分发挥数据挖掘处理大数据量的优势，并且充分利用了AC模型的多状态并行匹配和BM的多字符串移动匹配的优势，提高了检测的效率和准确性。

实施例4：如附图5所示，本发明实施例公开了一种基于数据挖掘技术的IPv6网络入侵检测系统，包括：

主机入侵检测单元，检测多个目标子系统中数据网络已知攻击和未做加密的IPv6数据流，完成主机入侵检测；

网络入侵检测单元，预设存储有特征字符串的变量特征数据库，调用变量特征数据库，利用多模式字符串匹配算法检测不同主机对象间传输的经IPSec协议加密的IPv6数据流，完成网络入侵检测；

系统监测单元，监控所有入侵检测过程，预设存储有入侵行为特征的变量特征数据库，调用变量特征数据库，对主机入侵检测结果和网络入侵检测结果进行匹配，判断攻击类型，输出报警信息；

响应单元，对报警信息的处理与展示。

实施例5：如附图5所示，本发明实施例公开了一种基于数据挖掘技术的IPv6网络入侵检测系统，包括：

(一)主机入侵检测单元包括多个主机入侵检测模块，每个主机入侵检测模块均包括IPSec解密模块、应用层防护模块、应用层规则库和系统监视器；

IPSec解密模块，对目标子系统中IPv6数据包首部进行IPSec协议解析，提取IPv6数据包首部，利用信息熵协议分析算法判断IPv6数据包首部是否存在入侵行为，响应于否，则继续对IPv6数据包进行解析；

应用层规则库，存储应用层规则；这里应用层规则库为动态数据库；

应用层防护模块，请求秘钥进行IPv6数据包解析，调用应用层规则，并利用模式识别算法对解析结果进行匹配，判断匹配是否异常，响应于是，则存在入侵行为；

系统监视器，对检测过程进行监视。

(二)网络入侵检测单元包括网络数据包采集模块、规则解析模块、预处理模块、变量特征数据库、协议分析模块、解析分析模块；

网络数据包采集模块，在网络数据中利用数据捕获函数抓取IPv6数据包；

规则解析模块，设置数据捕获函数，数据捕获函数包括数据地址格式的过滤规则；

预处理模块，从IPv6数据包中获取网络地址和掩码信息，将网络地址和掩码信息与数据地址格式的过滤规则进行比对，提取对比一致的IPv6数据包，将对比不一致的IPv6数据包释放到网络中；

变量特征数据库，存储特征字符串；这里变量特征数据库为动态数据库；利用多模式联合匹配算法识别新入库的IPv6数据包的特征字符串，将其与变量特征数据库中的已存特征进行匹配；

协议分析模块，在IPv6数据包中所有特征匹配完成后，利用信息熵协议分析算法对数据报头中的协议信息进行内容概率计算，检测出有用的字段发现入侵行为。

(三)系统监测单元包括异常检测模块、监控管理模块、自学习模块和变量特征数据库；

异常检测模块，调用变量特征数据库，对主机入侵检测结果和网络入侵检测结果进行匹配，判断攻击类型，输出报警信息；

监控管理模块，监控所有入侵检测过程；

自学习模块，对检测获得的异常检测结果进行自学习；

变量特征数据库，存储入侵行为特征。

(四)响应单元包括报警响应模块和数据显示模块；

报警响应模块，对接收到的报警信息进行响应处理，并对报警信息反馈给IPv6网管系统，防止同类攻击的下一次入侵；

数据显示模块，对接收到的报警信息进行显示。

实施例6，本发明实施例公开了一种存储介质，所述存储介质上存储有能被计算机读取的计算机程序，所述计算机程序被设置为运行时执行基于数据挖掘技术的IPv6网络入侵检测方法。

上述存储介质可以包括但不限于：U盘、只读存储器、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

实施例7，本发明实施例公开了一种电子设备，包括处理器和存储器，所述存储器中存储有计算机程序，计算机程序由处理器加载并执行以实现基于数据挖掘技术的IPv6网络入侵检测方法。

上述电子设备还包括传输设备、输入输出设备，其中，传输设备和输入输出设备均与处理器连接。

以上技术特征构成了本发明的最佳实施例，其具有较强的适应性和最佳实施效果，可根据实际需要增减非必要的技术特征，来满足不同情况的需求。