一种基于PSO参数优化的工业物联网安全聚合关联方法与流程

本发明属于网络安全信息处理技术领域，具体涉及一种基于pso参数优化的工业物联网安全聚合关联方法。

背景技术：

工业物联网安全本质上是一种特殊形态的网络安全，但与普通网络安全相比，又具有更高的安全敏感性、后果严重性以及灾后恢复的时效性要求。

目前，工业物联网安全的关联方法采用通用的安全事件关联策略，因其缺乏高效的参数优化手段，存在着“过关联”和“欠关联”的问题，很难独立发挥作用，应用成效低下。

技术实现要素：

为解决上述问题，本发明提供了一种基于pso参数优化的工业物联网安全聚合关联方法，可从海量繁杂且冗余的安全告警事件中将同类网络安全事件汇聚，快速地为工业物联网络安全策略提供决策支撑。

本发明所采用的技术方案是：

一种基于pso参数优化的工业物联网安全聚合关联方法，其特征在于：所述方法包括以下步骤：

a.对原始的网络安全告警信息数据进行归类，运用特征对称思想建立标称属性的索引库，以便差异化处理；

b.针对各标称属性的特征，建立相似度函数模型，计算标称属性库中各属性的特征相似度；

c.计算标称属性间的总体差异度；

d.综合目标物联网络的拓扑结构，引入差异度阈值函数，利用pso算法对差异度阈值进行优化，实现用户柔性聚类和人工智能的接口。

进一步的，所述步骤a的具体实现方式为：

对原始的告警信息数据进行归类，建立告警信息的标称属性库evs，每一具体标称属性记为ei(i＝1,2…)，ei为n维向量，n是标称属性所含特征的维度，则告警信息的标称属性库为：evs＝{e1,e2,…,ep}，p为所选时间跨度内网络产生的标称属性数；

标称属性的详细特征记为表示标称属性i的第m维特征，则每一标称属性向量为：表示第i个、q维特征的标称属性；

用最大特征向量法，对各属性向量进行归一处理，将低维数的属性统一扩展到n维，不含有的特征赋值为0，则扩展后的各标称属性向量为

则所选时间跨度内的r个最大特征维度为n的标称属性索引库为：

进一步的，所述步骤b的具体实现方式为：

(1)对于标量特征，采用欧氏距离函数作为特征相似度函数模型，即：

其中，s(fi^m,fiⁿ)表示m和n两类标称属性的第i个特征fi^m和fiⁿ之间的相似度，fi^m表示第m类标称属性的第i个特征，fiⁿ表示第n类标称属性的第i个特征；

(2)对于地址数值类型ipv4源地址，采用异或求反的方式找到相似值，再除以数据长度得到地址特征相似度，即：

其中，addri和addrj个特征分别表征第m和第n个标称属性的ipv4地址数据，分母是ipv4地址位长度；

(3)对于二元类型数值，在本发明中两类标称属性的对比中，特征项是描述性语言的，将其转变为布尔类型，将evsi和evsj的所有特征中，感染路径相关的描述型语言也全部转换为布尔类型，就得到两类标称属性的二元类型向量

则，

(4)对于用以表征攻击因果关系后阶段关系的向量类型，采用求向量的欧几里得范数法来计算两个特征的相似度，如下：

进一步的，所述步骤c的具体实现方式为：

假设evsi和evsj两个标称属性的最大特征长度为n，则总体差异度c为：

其中，表示属性evsi和evsj间的总体差异度，δij(ft)表示两属性在第t个特征项处的指示值，取值为bool型，在evsi和evsj两属性的非对称特征项处赋值为0，对称特征项处赋值为1；ω(ft)表示两属性在第t个特征项处的期望相似权值，取值范围[0,1]，在本方法中，将b步骤中计算得到的相似度函数值赋值给期望相似权值，即，dij(ft)表示两属性在第t个特征项处的差异度。

进一步的，所述步骤d的具体实现方式为：

设置阈值函数作为用户柔性分类依据和人工智能的接口，具体算法如下：引入阈值函数在使用中，用户可根据自身关注焦点设置或使用默认的期望与方差，来得到更符合自身需求的阈值函数轮廓，并且支持程序接口反馈用户长期使用数据，通过机器学习动态的调优阈值函数中的期望和方差；

设定阈值函数模型后，通过pso算法来优化阈值输出：

用g和(g+1)表示当前迭代状态和下一次迭代状态，个体极值差异记为pc，群体差异记为pgr，则个体和群体在每一次迭代过程中速度的更新算法如下：

其中，表示下一迭代状态下的个体i的速度，ω(g)是个体搜索速度的惯性权重函数，vi^g表示当前迭代下的个体速度，con1和con2表示两个常量，ran1和ran2表示两个随机数，pi^g表示当前迭代下的个体极值，表示当前迭代下的位置，pg^g表示当前迭代下的群体极值；

位置更新算法为：其中，表示下一迭代状态下的个体i的位置，ts为两次更新之间的时间间隔，在pso迭代过程中，认为相邻两次迭代的时间间隔为单位时间，因此上式又变为：

对于经过特征降维后，仍具有较高维度的情况，设定一个速度惯性权重函数ω(g)为：

其中，ωs表示初始速度惯性权值，ωe表示迭代次数达到设置的最大值时的速度惯性权值，g表示当前迭代的代数，gmax表示最大迭代次数；

因此，迭代过程的个体速度和位置更新算式为：

在阈值函数f(x)的优化过程中，目标是直接反应阈值函数的最优化问题，因此pso迭代的适应度函数fit(x)可以直接用f(x)表示，即：

基于以上各式，即可对阈值函数f(x)进行优化，记优化结果为f(x)

综合a、b、c、d步骤后，确定两类标称属性能否聚类的依据为：

该表达式作为工业物联网安全信息的聚合关联依据，可为用户提供柔性聚类依据和人工智能接口。

本发明的有益效果是：采用基于pso参数优化的聚合关联方法，解决目前工业物联网告警信息关联的“过关联”和“欠关联”问题，综合考虑目标网络的特性，可有效地消除繁杂的安全信息中的冗余信息，为网络安全策略提供支撑。

附图说明

图1为基于pso参数优化的工业物联网安全聚合关联方法流程图。

图2为引入阈值函数的性能表现。

具体实施方式

参照图1，本发明所述方法包括以下步骤：

a.对原始的网络安全告警信息数据进行归类，运用特征对称思想建立标称属性的索引库，以便差异化处理：

如图1所示，本实施案例所述的网络安全告警信息泛指网络物理构成中各类安全软硬件如扫描系统、入侵检测、防火墙、流量监控等输出的各类安全告警信息。

对原始的告警信息数据进行归类，建立告警信息的标称属性库evs，每一具体标称属性记为ei(i＝1,2…)ei为n维向量，n是标称属性所含特征的维度，则告警信息的标称属性库可表示为：

evs＝{e1,e2,…,ep}，p为所选时间跨度内网络产生的标称属性数；

标称属性的详细特征记为表示标称属性i的第m维特征，则每一标称属性向量可表示为：

表示第i个、q维特征的标称属性；

在实际告警信息中各标称属性的特征维度往往是不同的，为了便于将各标称属性在同一维度空间中计算，因此需要对各属性向量进行归一处理，这里用最大特征向量法，将低维数的属性统一扩展到n维的最大特征向量，例如某一标称属性库evs由{e1,e2,…,ep}p个标称属性组成，其中所有标称属性的特征最大维数为n，则将该库中所有特征维数统一扩展到n维，不含有的特征赋值为0，则扩展后的各标称属性向量可表示为

综上，可将所选时间跨度内的r个最大特征维度为n的标称属性索引库表示如下：

b.针对各标称属性的特征，分别建立相似度函数模型，计算标称属性库中各属性的特征相似度。

针对各种网络安全事件标称属性的特征，其数据类型多种多样，主要包括：标量、二元变量、地址类型、布尔类型、以及用以表征网络攻击阶段关系的向量等，两类攻击事件所有特征的比较都可以转化为以上数据类型的比较。

(1)对于标量特征，采用欧氏距离函数作为特征相似度函数模型，即：

其中，

表示m和n两类标称属性的第i个特征fi^m和fiⁿ之间的相似度；

fi^m表示第m类标称属性的第i个特征；

fiⁿ表示第n类标称属性的第i个特征。

(2)对于地址数值类型，比如ipv4源地址，采用异或求反的方式找到相似值，再除以数据长度得到地址特征相似度，即：

其中，addri和addrj个特征分别表征第m和第n个标称属性的ipv4地址数据，分母是ipv4地址位长度。

(3)对于二元类型数值。在网络安全告警信息中，描述型语言并不利于数据信息的处理，因此在本发明中两类标称属性的对比中，特征项是描述性语言的，将其转变为布尔类型。例如，两个原始告警事件信息某项描述性特征如下：

evsi的该项特征信息为“感染文件路径：c:\docume～1\admin～2.001\net～1\temp”

evsj的对应项特征信息为“感染文件路径：c:\docume～1\admin～2.000\locals～1\temp”

则，算法将其转换为布尔类型数值，如下：

“感染文件路径是否是c:\docume～1\admin～2.001\net～1\temp？是1，否0”，同理，将evsi和evsj的所有特征中，感染路径相关的描述型语言全部转换为布尔类型，就得到两类标称属性的二元类型向量

则，

(4)对于用以表征攻击因果关系后阶段关系的向量类型，采用求向量的欧几里得范数法来计算两个特征的相似度，如下：

c.有了上述标称属性的相似度计算模型，就可计算标称属性间的总体差异度。

假设evsi和evsj两个标称属性的最大特征长度为n，则总体差异度c为：

其中，表示属性evsi和evsj间的总体差异度，δij(ft)表示两属性在第t个特征项处的指示值，取值为bool型，在evsi和evsj两属性的非对称特征项处赋值为0，对称特征项处赋值为1；ω(ft)表示两属性在第t个特征项处的期望相似权值，取值范围[0,1]，在本算法中，将b步骤中计算得到的相似度函数值赋值给期望相似权值，即，

dij(ft)表示两属性在第t个特征项处的差异度。

d.综合目标物联网络的拓扑结构，引入差异度阈值函数，利用pso算法对差异度阈值进行优化，实现用户柔性聚类和人工智能的接口。

计算得两个标称属性的总体差异度后，需要设置一个阈值作为关联方法的分类依据，本发明的一个重要创新性在于设置了一个阈值函数，作为用户柔性分类依据和人工智能的接口。具体方法如下：

在实际关联分类工作中，不同用户对于关联阈值的关注度符合基本高斯分布x～n(μ，σ²)，因此引入阈值函数在使用中，用户可根据自身关注焦点设置或使用默认的期望与方差，来得到更符合自身需求的阈值函数轮廓，并且算法支持程序接口反馈用户长期使用数据，通过机器学习动态的调优阈值函数中的期望和方差。

设定阈值函数模型后，通过pso算法来优化阈值输出：

用g和(g+1)表示当前迭代状态和下一次迭代状态，个体极值差异记为pc，群体差异记为pgr，则个体和群体在每一次迭代过程中速度的更新算法如下：

其中，表示下一迭代状态下的个体i的速度；ω(g)是个体搜索速度的惯性权重函数；vi^g表示当前迭代下的个体速度；con1和con2表示两个常量；ran1和ran2表示两个随机数；pi^g表示当前迭代下的个体极值；表示当前迭代下的位置；pg^g表示当前迭代下的群体极值；

位置更新算法如下：

其中，表示下一迭代状态下的个体i的位置；ts为两次更新之间的时间间隔，在pso迭代过程中，认为相邻两次迭代的时间间隔为单位时间，因此上式又变为：

对于经过特征降维后，仍具有较高维度的情况，为保证pso优化算法在迭代前期具有较强的全局搜索能力，而在迭代末端能够进行更精确的局部搜索能力，基于此目的，设定一个速度惯性权重函数ω(g)为：

其中，ωs表示初始速度惯性权值；ωe表示迭代次数达到设置的最大值时的速度惯性权值；g表示当前迭代的代数；gmax表示最大迭代次数；

因此，迭代过程的个体速度和位置更新算式可表达如下：

在阈值函数f(x)的优化过程中，目标是直接反应阈值函数的最优化问题，因此pso迭代的适应度函数fit(x)可以直接用f(x)表示，即：

基于以上各式，即可对阈值函数f(x)进行优化，记优化结果为f′(x)

综合a、b、c、d步骤后，确定两类标称属性能否聚类的依据为：

该表达式作为工业物联网安全信息的聚合关联依据，可为用户提供柔性聚类依据和人工智能接口。

本发明所述的基于pso参数优化的聚合关联方法，可解决目前工业物联网告警信息关联的“过关联”和“欠关联”问题，综合考虑目标网络的特性，有效地消除繁杂的安全信息中的冗余信息，为网络安全策略提供支撑，并且在方法中引入了阈值函数，实现网络安全信息的适应性聚类和人工智能接口，具有越用越准的效果。