專利名稱:一種網(wǎng)絡安全態(tài)勢預測方法
技術領域:
本發(fā)明屬于網(wǎng)絡信息安全技術領域����,尤其涉及一種網(wǎng)絡安全態(tài)勢預測方法。
背景技術:
隨著hternet技術的飛速發(fā)展���,網(wǎng)絡安全的重要性及其對社會的影響越來越大����, 網(wǎng)絡安全問題也越來越突出�,并逐漸成為hternet及各項網(wǎng)絡服務和應用進一步發(fā)展所亟需解決的關鍵問題。此外網(wǎng)絡入侵和攻擊行為正朝著分布化�、規(guī)?����;?���、復雜化�����、間接化等趨勢發(fā)展�,勢必對安全產(chǎn)品技術提出更高的要求���,而現(xiàn)有安全產(chǎn)品(如IDS���、IPS、防火墻等) 只能提供最基本的入侵檢測信息����,無法對未來網(wǎng)絡的安全態(tài)勢給出可信的預測告警。因此迫切需要研究一項新技術來實現(xiàn)大規(guī)模網(wǎng)絡的安全態(tài)勢預測告警����。目前被廣泛用來描述網(wǎng)絡安全狀況的方法是網(wǎng)絡安全態(tài)勢及網(wǎng)絡安全態(tài)勢值預測���。所謂網(wǎng)絡安全態(tài)勢是指由各種網(wǎng)絡設備運行狀況、網(wǎng)絡行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡當前安全狀態(tài)和變化趨勢�。網(wǎng)絡安全態(tài)勢預測是指在大規(guī)模網(wǎng)絡環(huán)境中,對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行獲取�����、理解�����、顯示以及預測未來的發(fā)展趨勢�。目前網(wǎng)絡安全態(tài)勢預測方法主要是使用人工智能中單學習機的方法,將若干歷史離散時間監(jiān)測點的網(wǎng)絡安全態(tài)勢值抽象成時間序列�����,進而將網(wǎng)絡安全態(tài)勢預測問題作為回歸分析問題�����,利用單學習機求解�����,該過程主要包括三個部分,分別是構(gòu)造網(wǎng)絡安全指標體系�����、計算網(wǎng)絡安全態(tài)勢值�、建立網(wǎng)絡安全態(tài)勢預測模型。構(gòu)造網(wǎng)絡安全指標體系是將涉及網(wǎng)絡安全的所有網(wǎng)絡安全威脅按照一定規(guī)則構(gòu)造成指標體系結(jié)構(gòu)���,從而適合網(wǎng)絡安全態(tài)勢值計算��。指標體系的構(gòu)造方法將直接決定網(wǎng)絡安全態(tài)勢值是否能準確的反映當前網(wǎng)絡的實際態(tài)勢����,由此本發(fā)明引入灰色聚類分析 GCA(Grey Clustering Analysis)方法��,從而得到了能準確反映當前網(wǎng)絡安全狀況的指標體系����。計算網(wǎng)絡安全態(tài)勢值過程就是利用各種網(wǎng)絡安全設備給出的入侵檢測結(jié)果按類別和時間統(tǒng)計�,再輸入到網(wǎng)絡安全指標體系,與網(wǎng)絡安全指標體系中對應的每種網(wǎng)絡安全威脅的權(quán)重相乘����,從而得到每個歷史時間監(jiān)測點的網(wǎng)絡安全態(tài)勢值��。目前網(wǎng)絡安全態(tài)勢值的預測方法�����,主要是利用神經(jīng)網(wǎng)絡�����、支持向量機等單學習機方法���,單學習機的方法誤差相對較大、易出現(xiàn)過擬合現(xiàn)象���、計算過程復雜���。為此本發(fā)明采用集成學習Boosting算法完成網(wǎng)絡安全態(tài)勢值的預測,有效改善了預測精度��。
發(fā)明內(nèi)容
針對上述背景技術中提到的單學習機方法誤差較大��、易出現(xiàn)過擬合現(xiàn)象���、計算過程復雜等不足����,本發(fā)明提出了一種網(wǎng)絡安全態(tài)勢預測方法。本發(fā)明的技術方案是����,一種網(wǎng)絡安全態(tài)勢預測方法,其特征是所述方法包括以下步驟步驟1 使用灰色聚類分析方法分析每種網(wǎng)絡安全威脅Xl�,x2,L^n的危害程度��,進而構(gòu)造出層次化的網(wǎng)絡安全態(tài)勢指標體系T ����;步驟2 將網(wǎng)絡安全設備的歷史入侵檢測結(jié)果按照時間監(jiān)測點i的順序,依次輸入到層次化的網(wǎng)絡安全態(tài)勢指標體系T中���,得到每個時間監(jiān)測點i的網(wǎng)絡安全態(tài)勢值Vi ��;步驟3 使用滑動窗口方法將網(wǎng)絡安全態(tài)勢值Vi構(gòu)造成時間序列S,并將時間序列 S構(gòu)造成集成學習Boosting算法可讀的訓練樣本集Strain ���;步驟4 利用集成學習Boosting算法對訓練樣本集Steain進行迭代訓練�,得到弱學習機序列h,再利用對弱學習機序列h加權(quán)求和的方法得到強學習機Hj �����;步驟5:利用強學習機&完成未來時間監(jiān)測點的網(wǎng)絡安全態(tài)勢值預測���,并設定強學習機Hj的生命周期�,若強學習機Hj達到其生命周期����,則返回步驟3。所述步驟1包括以下步驟步驟1. 1 構(gòu)造整體指標的白化函數(shù)矩陣��;步驟1. 2 根據(jù)白化函數(shù)確定灰色聚類系數(shù)�;步驟1.3 計算每種網(wǎng)絡安全威脅Xl,x2����,L^n的灰色聚類系數(shù),并確定其灰色聚類歸屬�����;步驟1. 4 將灰色聚類結(jié)果構(gòu)造成層次化網(wǎng)絡安全態(tài)勢指標體系T �����;步驟1. 5 確定指標體系T中的指標t1; t2,L tn相對于網(wǎng)絡安全態(tài)勢值的最終權(quán)
重ω ο所述步驟2包括以下步驟步驟2. 1 統(tǒng)計各時間監(jiān)測點i的網(wǎng)絡安全設備入侵檢測結(jié)果A ��;步驟2. 2 將r,與網(wǎng)絡安全態(tài)勢指標體系T的權(quán)重矩陣ω做乘法�����,得到時間監(jiān)測點i的網(wǎng)絡安全態(tài)勢值\�。所述步驟4包括以下步驟步驟4. 1 設定集成學習Boosting算法最大迭代次數(shù)k,并設定集成學習 Boosting算法所調(diào)用的弱學習算法�;步驟4. 2 規(guī)范化訓練樣本集Strain ;步驟4. 3 設定集成學習Boosting算法的原始數(shù)據(jù)樣本集D ��;步驟4.4 以cof(l)為概率從原始數(shù)據(jù)樣本集D中抽取樣本集Df��,并由弱學習算法訓練���,得到弱學習機hf;步驟4. 5 計算弱學習機hf的訓練誤差ε f ����;步驟4. 6 計算弱學習機hf的權(quán)重α f �;步驟4. 7 更新訓練樣本的權(quán)重����;步驟4.8 當滿足下列兩個條件之一�����,則執(zhí)行步驟4.9 ����;否則返回步驟4.4 ��;條件1 集成學習Boosting算法達到最大迭代次數(shù)k ����;條件2 樣本集Df不再變化;步驟4. 9 輸出強學習機Hj����。所述步驟4. 1中弱學習算法為核心向量回歸機CVR。所述步驟4. 5中訓練誤差ε f的計算公式為
ιsf=Y/°f(l)
5
式中ε f為訓練誤差����,f e [1,…,k]��;COf(I)為抽取概率���。所述步驟4. 6中權(quán)重α f的計算公式為
權(quán)利要求
1.一種網(wǎng)絡安全態(tài)勢預測方法��,其特征是所述方法包括以下步驟步驟1 使用灰色聚類分析方法分析每種網(wǎng)絡安全威脅Xl�,x2,L��,xn的危害程度��,進而構(gòu)造出層次化的網(wǎng)絡安全態(tài)勢指標體系T ���;步驟2 將網(wǎng)絡安全設備的歷史入侵檢測結(jié)果按照時間監(jiān)測點i的順序��,依次輸入到層次化的網(wǎng)絡安全態(tài)勢指標體系T中��,得到每個時間監(jiān)測點i的網(wǎng)絡安全態(tài)勢值Vi ��;步驟3 使用滑動窗口方法將網(wǎng)絡安全態(tài)勢值Vi構(gòu)造成時間序列S�����,并將時間序列S構(gòu)造成集成學習Boosting算法可讀的訓練樣本集Steain �����;步驟4 利用集成學習Boosting算法對訓練樣本集Steain進行迭代訓練���,得到弱學習機序列h,再利用對弱學習機序列h加權(quán)求和的方法得到強學習機Hj ����;步驟5 利用強學習機&完成未來時間監(jiān)測點的網(wǎng)絡安全態(tài)勢值預測,并設定強學習機&的生命周期����,若強學習機&達到其生命周期,則返回步驟3�����。
2.根據(jù)權(quán)利要求1所述一種網(wǎng)絡安全態(tài)勢預測方法����,其特征是所述步驟1包括以下步驟步驟1. 1 構(gòu)造整體指標的白化函數(shù)矩陣; 步驟1. 2 根據(jù)白化函數(shù)確定灰色聚類系數(shù)�����;步驟1.3:計算每種網(wǎng)絡安全威脅Xl�����,x2, L,^的灰色聚類系數(shù)���,并確定其灰色聚類歸屬�����;步驟1. 4 將灰色聚類結(jié)果構(gòu)造成層次化網(wǎng)絡安全態(tài)勢指標體系T �;步驟1. 5 確定指標體系T中的指標t1;t2����,L tn相對于網(wǎng)絡安全態(tài)勢值的最終權(quán)重ω。
3.根據(jù)權(quán)利要求1所述一種網(wǎng)絡安全態(tài)勢預測方法����,其特征是所述步驟2包括以下步驟步驟2. 1 統(tǒng)計各時間監(jiān)測點i的網(wǎng)絡安全設備入侵檢測結(jié)果A ; 步驟2. 2 將r,與網(wǎng)絡安全態(tài)勢指標體系T的權(quán)重矩陣ω做乘法�,得到時間監(jiān)測點i 的網(wǎng)絡安全態(tài)勢值Vi。
4.根據(jù)權(quán)利要求1所述一種網(wǎng)絡安全態(tài)勢預測方法�����,其特征是所述步驟4包括以下步驟步驟4. 1 設定集成學習Boosting算法最大迭代次數(shù)k��,并設定集成學習Boosting算法所調(diào)用的弱學習算法;步驟4. 2 規(guī)范化訓練樣本集Steain �����;步驟4. 3 設定集成學習Boosting算法的原始數(shù)據(jù)樣本集D �; 步驟4. 4:以cof(l)為概率從原始數(shù)據(jù)樣本集D中抽取樣本集Df,并由弱學習算法訓練����,得到弱學習機hf �;步驟4. 5 計算弱學習機hf的訓練誤差ε f ; 步驟4. 6 計算弱學習機hf的權(quán)重α f �����; 步驟4. 7 更新訓練樣本的權(quán)重�;步驟4. 8 當滿足下列兩個條件之一,則執(zhí)行步驟4. 9 �;否則返回步驟4. 4 ; 條件1 集成學習Boosting算法達到最大迭代次數(shù)k �; 條件2:樣本集Df不再變化; 步驟4. 9:輸出強學習機H」�����。
5.根據(jù)權(quán)利要求5所述一種網(wǎng)絡安全態(tài)勢預測方法,其特征是所述步驟4.1中弱學習算法為核心向量回歸機CVR�����。
6.根據(jù)權(quán)利要求5所述一種網(wǎng)絡安全態(tài)勢預測方法��,其特征是所述步驟4.5中訓練誤差ε f的計算公式為
7.根據(jù)權(quán)利要求5所述一種網(wǎng)絡安全態(tài)勢預測方法����,其特征是所述步驟4. 6中權(quán)重Cif 的計算公式為
8.根據(jù)權(quán)利要求5所述一種網(wǎng)絡安全態(tài)勢預測方法,其特征是所述步驟4. 9中強學習機H1的計算公式為
全文摘要
本發(fā)明公開了網(wǎng)絡信息安全技術領域中的一種網(wǎng)絡安全態(tài)勢預測方法����。該方法使用灰色聚類分析方法分析每種網(wǎng)絡安全威脅的危害程度,進而構(gòu)造出層次化的網(wǎng)絡安全態(tài)勢指標體系��,得到每個時間監(jiān)測點的網(wǎng)絡安全態(tài)勢值并構(gòu)造成時間序列���,將其構(gòu)造成訓練樣本集���,利用集成學習Boosting算法對訓練樣本集進行迭代訓練得到滿足誤差要求的弱學習機序列;再利用對弱學習機序列加權(quán)求和的方法得到強學習機��;利用強學習機完成未來時間監(jiān)測點的網(wǎng)絡安全態(tài)勢值預測����。本發(fā)明在降低網(wǎng)絡安全態(tài)勢值預測誤差方面����,有較好的適應性和較低的預測誤差�����。
文檔編號H04L12/26GK102185735SQ20111010527
公開日2011年9月14日 申請日期2011年4月26日 優(yōu)先權(quán)日2011年4月26日
發(fā)明者李元誠, 王宇飛 申請人:華北電力大學