專利名稱:一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域�����,尤其涉及一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法��。
背景技術(shù):
隨著hternet技術(shù)的飛速發(fā)展��,網(wǎng)絡(luò)安全的重要性及其對社會的影響越來越大���, 網(wǎng)絡(luò)安全問題也越來越突出����,并逐漸成為hternet及各項網(wǎng)絡(luò)服務(wù)和應(yīng)用進一步發(fā)展所亟需解決的關(guān)鍵問題�����。此外網(wǎng)絡(luò)入侵和攻擊行為正朝著分布化�����、規(guī)?���;?fù)雜化�����、間接化等趨勢發(fā)展,勢必對安全產(chǎn)品技術(shù)提出更高的要求����,而現(xiàn)有安全產(chǎn)品(如IDS、IPS����、防火墻等) 只能提供最基本的入侵檢測信息,無法對未來網(wǎng)絡(luò)的安全態(tài)勢給出可信的預(yù)測告警�。因此迫切需要研究一項新技術(shù)來實現(xiàn)大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢預(yù)測告警。目前被廣泛用來描述網(wǎng)絡(luò)安全狀況的方法是網(wǎng)絡(luò)安全態(tài)勢及網(wǎng)絡(luò)安全態(tài)勢值預(yù)測�����。所謂網(wǎng)絡(luò)安全態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況�、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當(dāng)前安全狀態(tài)和變化趨勢�。網(wǎng)絡(luò)安全態(tài)勢預(yù)測是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取����、理解、顯示以及預(yù)測未來的發(fā)展趨勢��。目前網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法主要是使用人工智能中單學(xué)習(xí)機的方法�����,將若干歷史離散時間監(jiān)測點的網(wǎng)絡(luò)安全態(tài)勢值抽象成時間序列,進而將網(wǎng)絡(luò)安全態(tài)勢預(yù)測問題作為回歸分析問題�����,利用單學(xué)習(xí)機求解�����,該過程主要包括三個部分���,分別是構(gòu)造網(wǎng)絡(luò)安全指標(biāo)體系���、計算網(wǎng)絡(luò)安全態(tài)勢值、建立網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型��。構(gòu)造網(wǎng)絡(luò)安全指標(biāo)體系是將涉及網(wǎng)絡(luò)安全的所有網(wǎng)絡(luò)安全威脅按照一定規(guī)則構(gòu)造成指標(biāo)體系結(jié)構(gòu)��,從而適合網(wǎng)絡(luò)安全態(tài)勢值計算���。指標(biāo)體系的構(gòu)造方法將直接決定網(wǎng)絡(luò)安全態(tài)勢值是否能準(zhǔn)確的反映當(dāng)前網(wǎng)絡(luò)的實際態(tài)勢�����,由此本發(fā)明引入灰色聚類分析 GCA(Grey Clustering Analysis)方法��,從而得到了能準(zhǔn)確反映當(dāng)前網(wǎng)絡(luò)安全狀況的指標(biāo)體系����。計算網(wǎng)絡(luò)安全態(tài)勢值過程就是利用各種網(wǎng)絡(luò)安全設(shè)備給出的入侵檢測結(jié)果按類別和時間統(tǒng)計,再輸入到網(wǎng)絡(luò)安全指標(biāo)體系�,與網(wǎng)絡(luò)安全指標(biāo)體系中對應(yīng)的每種網(wǎng)絡(luò)安全威脅的權(quán)重相乘,從而得到每個歷史時間監(jiān)測點的網(wǎng)絡(luò)安全態(tài)勢值���。目前網(wǎng)絡(luò)安全態(tài)勢值的預(yù)測方法�,主要是利用神經(jīng)網(wǎng)絡(luò)���、支持向量機等單學(xué)習(xí)機方法�����,單學(xué)習(xí)機的方法誤差相對較大、易出現(xiàn)過擬合現(xiàn)象�、計算過程復(fù)雜。為此本發(fā)明采用集成學(xué)習(xí)Boosting算法完成網(wǎng)絡(luò)安全態(tài)勢值的預(yù)測�,有效改善了預(yù)測精度。
發(fā)明內(nèi)容
針對上述背景技術(shù)中提到的單學(xué)習(xí)機方法誤差較大、易出現(xiàn)過擬合現(xiàn)象�����、計算過程復(fù)雜等不足���,本發(fā)明提出了一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法�。本發(fā)明的技術(shù)方案是�����,一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法���,其特征是所述方法包括以下步驟步驟1 使用灰色聚類分析方法分析每種網(wǎng)絡(luò)安全威脅Xl�����,x2�����,L^n的危害程度�����,進而構(gòu)造出層次化的網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系T ����;步驟2 將網(wǎng)絡(luò)安全設(shè)備的歷史入侵檢測結(jié)果按照時間監(jiān)測點i的順序,依次輸入到層次化的網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系T中���,得到每個時間監(jiān)測點i的網(wǎng)絡(luò)安全態(tài)勢值Vi ���;步驟3 使用滑動窗口方法將網(wǎng)絡(luò)安全態(tài)勢值Vi構(gòu)造成時間序列S,并將時間序列 S構(gòu)造成集成學(xué)習(xí)Boosting算法可讀的訓(xùn)練樣本集Strain ����;步驟4 利用集成學(xué)習(xí)Boosting算法對訓(xùn)練樣本集Steain進行迭代訓(xùn)練,得到弱學(xué)習(xí)機序列h����,再利用對弱學(xué)習(xí)機序列h加權(quán)求和的方法得到強學(xué)習(xí)機Hj ;步驟5:利用強學(xué)習(xí)機&完成未來時間監(jiān)測點的網(wǎng)絡(luò)安全態(tài)勢值預(yù)測��,并設(shè)定強學(xué)習(xí)機Hj的生命周期���,若強學(xué)習(xí)機Hj達(dá)到其生命周期,則返回步驟3����。所述步驟1包括以下步驟步驟1. 1 構(gòu)造整體指標(biāo)的白化函數(shù)矩陣�����;步驟1. 2 根據(jù)白化函數(shù)確定灰色聚類系數(shù)���;步驟1.3 計算每種網(wǎng)絡(luò)安全威脅Xl,x2����,L^n的灰色聚類系數(shù),并確定其灰色聚類歸屬�����;步驟1. 4 將灰色聚類結(jié)果構(gòu)造成層次化網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系T ����;步驟1. 5 確定指標(biāo)體系T中的指標(biāo)t1; t2,L tn相對于網(wǎng)絡(luò)安全態(tài)勢值的最終權(quán)
重ω ο所述步驟2包括以下步驟步驟2. 1 統(tǒng)計各時間監(jiān)測點i的網(wǎng)絡(luò)安全設(shè)備入侵檢測結(jié)果A ���;步驟2. 2 將r,與網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系T的權(quán)重矩陣ω做乘法�����,得到時間監(jiān)測點i的網(wǎng)絡(luò)安全態(tài)勢值\��。所述步驟4包括以下步驟步驟4. 1 設(shè)定集成學(xué)習(xí)Boosting算法最大迭代次數(shù)k�,并設(shè)定集成學(xué)習(xí) Boosting算法所調(diào)用的弱學(xué)習(xí)算法;步驟4. 2 規(guī)范化訓(xùn)練樣本集Strain �����;步驟4. 3 設(shè)定集成學(xué)習(xí)Boosting算法的原始數(shù)據(jù)樣本集D �;步驟4.4 以cof(l)為概率從原始數(shù)據(jù)樣本集D中抽取樣本集Df,并由弱學(xué)習(xí)算法訓(xùn)練��,得到弱學(xué)習(xí)機hf;步驟4. 5 計算弱學(xué)習(xí)機hf的訓(xùn)練誤差ε f �����;步驟4. 6 計算弱學(xué)習(xí)機hf的權(quán)重α f ���;步驟4. 7 更新訓(xùn)練樣本的權(quán)重��;步驟4.8 當(dāng)滿足下列兩個條件之一�����,則執(zhí)行步驟4.9 ��;否則返回步驟4.4 ���;條件1 集成學(xué)習(xí)Boosting算法達(dá)到最大迭代次數(shù)k ;條件2 樣本集Df不再變化����;步驟4. 9 輸出強學(xué)習(xí)機Hj。所述步驟4. 1中弱學(xué)習(xí)算法為核心向量回歸機CVR����。所述步驟4. 5中訓(xùn)練誤差ε f的計算公式為
ιsf=Y/°f(l)
5
式中ε f為訓(xùn)練誤差,f e [1,…�,k];COf(I)為抽取概率�����。所述步驟4. 6中權(quán)重α f的計算公式為
權(quán)利要求
1.一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法�����,其特征是所述方法包括以下步驟步驟1 使用灰色聚類分析方法分析每種網(wǎng)絡(luò)安全威脅Xl����,x2����,L�����,xn的危害程度���,進而構(gòu)造出層次化的網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系T ����;步驟2 將網(wǎng)絡(luò)安全設(shè)備的歷史入侵檢測結(jié)果按照時間監(jiān)測點i的順序�,依次輸入到層次化的網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系T中,得到每個時間監(jiān)測點i的網(wǎng)絡(luò)安全態(tài)勢值Vi ��;步驟3 使用滑動窗口方法將網(wǎng)絡(luò)安全態(tài)勢值Vi構(gòu)造成時間序列S���,并將時間序列S構(gòu)造成集成學(xué)習(xí)Boosting算法可讀的訓(xùn)練樣本集Steain ����;步驟4 利用集成學(xué)習(xí)Boosting算法對訓(xùn)練樣本集Steain進行迭代訓(xùn)練�,得到弱學(xué)習(xí)機序列h,再利用對弱學(xué)習(xí)機序列h加權(quán)求和的方法得到強學(xué)習(xí)機Hj ;步驟5 利用強學(xué)習(xí)機&完成未來時間監(jiān)測點的網(wǎng)絡(luò)安全態(tài)勢值預(yù)測�����,并設(shè)定強學(xué)習(xí)機&的生命周期��,若強學(xué)習(xí)機&達(dá)到其生命周期����,則返回步驟3��。
2.根據(jù)權(quán)利要求1所述一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法���,其特征是所述步驟1包括以下步驟步驟1. 1 構(gòu)造整體指標(biāo)的白化函數(shù)矩陣���; 步驟1. 2 根據(jù)白化函數(shù)確定灰色聚類系數(shù);步驟1.3:計算每種網(wǎng)絡(luò)安全威脅Xl��,x2, L�,^的灰色聚類系數(shù),并確定其灰色聚類歸屬�;步驟1. 4 將灰色聚類結(jié)果構(gòu)造成層次化網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系T ;步驟1. 5 確定指標(biāo)體系T中的指標(biāo)t1;t2�����,L tn相對于網(wǎng)絡(luò)安全態(tài)勢值的最終權(quán)重ω。
3.根據(jù)權(quán)利要求1所述一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法�����,其特征是所述步驟2包括以下步驟步驟2. 1 統(tǒng)計各時間監(jiān)測點i的網(wǎng)絡(luò)安全設(shè)備入侵檢測結(jié)果A �; 步驟2. 2 將r,與網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系T的權(quán)重矩陣ω做乘法,得到時間監(jiān)測點i 的網(wǎng)絡(luò)安全態(tài)勢值Vi��。
4.根據(jù)權(quán)利要求1所述一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法�,其特征是所述步驟4包括以下步驟步驟4. 1 設(shè)定集成學(xué)習(xí)Boosting算法最大迭代次數(shù)k,并設(shè)定集成學(xué)習(xí)Boosting算法所調(diào)用的弱學(xué)習(xí)算法��;步驟4. 2 規(guī)范化訓(xùn)練樣本集Steain ��;步驟4. 3 設(shè)定集成學(xué)習(xí)Boosting算法的原始數(shù)據(jù)樣本集D ����; 步驟4. 4:以cof(l)為概率從原始數(shù)據(jù)樣本集D中抽取樣本集Df,并由弱學(xué)習(xí)算法訓(xùn)練��,得到弱學(xué)習(xí)機hf �����;步驟4. 5 計算弱學(xué)習(xí)機hf的訓(xùn)練誤差ε f ; 步驟4. 6 計算弱學(xué)習(xí)機hf的權(quán)重α f ����; 步驟4. 7 更新訓(xùn)練樣本的權(quán)重;步驟4. 8 當(dāng)滿足下列兩個條件之一�����,則執(zhí)行步驟4. 9 ���;否則返回步驟4. 4 ; 條件1 集成學(xué)習(xí)Boosting算法達(dá)到最大迭代次數(shù)k �����; 條件2:樣本集Df不再變化���; 步驟4. 9:輸出強學(xué)習(xí)機H」�����。
5.根據(jù)權(quán)利要求5所述一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法����,其特征是所述步驟4.1中弱學(xué)習(xí)算法為核心向量回歸機CVR。
6.根據(jù)權(quán)利要求5所述一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法�,其特征是所述步驟4.5中訓(xùn)練誤差ε f的計算公式為
7.根據(jù)權(quán)利要求5所述一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法,其特征是所述步驟4. 6中權(quán)重Cif 的計算公式為
8.根據(jù)權(quán)利要求5所述一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法�,其特征是所述步驟4. 9中強學(xué)習(xí)機H1的計算公式為
全文摘要
本發(fā)明公開了網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域中的一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法。該方法使用灰色聚類分析方法分析每種網(wǎng)絡(luò)安全威脅的危害程度���,進而構(gòu)造出層次化的網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系�,得到每個時間監(jiān)測點的網(wǎng)絡(luò)安全態(tài)勢值并構(gòu)造成時間序列�,將其構(gòu)造成訓(xùn)練樣本集,利用集成學(xué)習(xí)Boosting算法對訓(xùn)練樣本集進行迭代訓(xùn)練得到滿足誤差要求的弱學(xué)習(xí)機序列�����;再利用對弱學(xué)習(xí)機序列加權(quán)求和的方法得到強學(xué)習(xí)機����;利用強學(xué)習(xí)機完成未來時間監(jiān)測點的網(wǎng)絡(luò)安全態(tài)勢值預(yù)測。本發(fā)明在降低網(wǎng)絡(luò)安全態(tài)勢值預(yù)測誤差方面�����,有較好的適應(yīng)性和較低的預(yù)測誤差����。
文檔編號H04L12/26GK102185735SQ20111010527
公開日2011年9月14日 申請日期2011年4月26日 優(yōu)先權(quán)日2011年4月26日
發(fā)明者李元誠, 王宇飛 申請人:華北電力大學(xué)