面对传统检测技术、过滤技术漏报率高而检测不及时的问题,提出了基于信息熵的网络异常检测及入侵防御系统设计。将主机探测器部署在Linux操作系统上,采集相关数据,并传递给分析模块,部署策略管理中心,根据指令作出相应决策;依赖Web服务器,监听TCP端口,并发送反馈信息,结合熵理论推导熵计算公式,分析网络异常情况,计算熵的估算量,确定熵阈值取值范围,划分出网络流量,由此检测入侵流程。实验结果表明,该系统检测率最高为97%,漏报率最高为9%,能够及时检测出网络异常情况并作出对应防御行为。

• 单位
  中国南方电网有限责任公司超高压输电公司