(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113726810A(43)申请公布日2021.11.30(21)申请号202111044147.7(22)申请日2021.09.07(71)申请人广东电网有限责任公司广州供电局地址510665广东省广州市天河区天河南二路2号(72)发明人周鑫李明君王伟光区俊彦肖世文(74)专利代理机构广州华进联合专利商标代理有限公司44224代理人万仁彦(51)Int.Cl.H04L29/06(2006.01)H04L12/24(2006.01)G06K9/62(2006.01)权利要求书2页说明书7页附图3页(54)发明名称入侵检测系统(57)摘要本申请涉及一种入侵检测系统。本申请能够通过预先构建的事件分析器对事件进行分类，该预先构建的事件分析器是根据历史事件记录进行训练得到的，能够根据事件特征自动识别出事件为正常事件或入侵事件，提高了入侵检测系统的识别实时性和准确性。该系统包括事件产生器、预先构建的事件分析器和响应器：其中，事件产生器，用于监控并获取目标监控环境中的事件；将事件发送至预先构建的事件分析器；预先构建的事件分析器，用于针对事件进行检测分类，得到事件的事件类型；将事件发送至响应器；响应器，用于根据事件类型，针对事件作出相应的响应行为。CN113726810ACN113726810A权利要求书1/2页1.一种入侵检测系统，其特征在于，所述系统包括事件产生器、预先构建的事件分析器和响应器；其中，所述事件产生器，用于监控并获取目标监控环境中的事件，将所述事件发送至预先构建的事件分析器；所述预先构建的事件分析器，用于针对所述事件进行检测分类，得到所述事件的事件类型，将所述事件发送至所述响应器；所述响应器，用于根据所述事件类型，针对所述事件作出相应的响应行为。2.根据权利要求1所述的系统，其特征在于，所述系统还包括训练模块；所述训练模块，用于获取所述目标监控环境中的历史事件集，利用所述历史事件集对事件分析器进行训练，得到所述预先构建的事件分析器；其中，所述历史事件集中的历史事件的事件类型已知。3.根据权利要求2所述的系统，其特征在于，所述事件分析器包括数据预处理模块、判断模块和分类器；其中，所述数据预处理模块，用于获取所述事件的特征值，针对所述事件的特征值进行离散化和归一化得到标准特征值，将所述标准特征值发送至所述判断模块；所述判断模块，用于判断所述标准特征值的总个数是否小于预设阈值；若是，则将所述事件发送至所述分类器；所述分类器，用于根据所述标准特征值对所述事件进行分类，得到所述事件的事件类型。4.根据权利要求3所述的系统，其特征在于，所述事件分析器还包括特征选择模块；所述判断模块，用于判断所述标准特征值的总个数是否小于预设阈值；若否，则将所述事件发送至所述特征选择模块；所述特征选择模块，用于根据所述事件的所述标准特征值进行特征选择，得到满足预设条件的特征值子集；将所述特征值子集发送至所述分类器，以使所述分类器根据所述特征值子集对所述事件进行分类，得到所述事件的事件类型。5.根据权利要求3所述的系统，其特征在于，所述响应器包括日志记录模块；所述日志记录模块与所述分类器连接；所述日志记录模块，用于从所述分类器接收所述事件以及相应的事件类型并存储。6.根据权利要求3所述的系统，其特征在于，所述响应器还包括报警模块和响应模块；所述报警模块与所述分类器连接；所述分类器，用于在判断所述事件的事件类型为入侵事件时，将所述入侵事件发送至所述报警模块；所述报警模块，用于向管理端口发送报警信息；将所述入侵事件发送至响应模块，以指示所述响应模块作出相应的响应行为。7.根据权利要求3所述的系统，其特征在于，所述分类器是基于ID3决策树算法构建的。8.根据权利要求4所述的系统，其特征在于，所述特征选择模块是利用基于信息增益的算法构建的。9.根据权利要求8所述的系统，其特征在于，所述基于信息增益的算法包括C4.5算法。10.根据权利要求1至9任一项所述的系统，其特征在于，所述系统还包括事件数据库：2CN113726810A权利要求书2/2页所述事件数据库用于存储所述事件、所述事件的事件类型以及所述报警信息。3CN113726810A说明书1/7页入侵检测系统技术领域[0001]本申请涉及网络安全技术领域，特别是涉及一种入侵检测系统。背景技术[0002]随着信息技术的深入发展，各行各业都已离不开互联网，网络安全问题随之越来越受到重视。[0003]在网络安全领域，目前使用较多的是入侵检测系统(intrusiondetectionsystem，简称IDS)。入侵检测系统是一种对网络传输进行实时监视，在发现可疑传输时发出警报或者采取主动反应措施(例如拒绝访问)的网络安全设备。[0004]入侵