专利名称:一种网络安全态势预测方法
技术领域:
本发明属于网络信息安全技术领域,尤其涉及一种网络安全态势预测方法。
背景技术:
随着hternet技术的飞速发展,网络安全的重要性及其对社会的影响越来越大, 网络安全问题也越来越突出,并逐渐成为hternet及各项网络服务和应用进一步发展所亟需解决的关键问题。此外网络入侵和攻击行为正朝着分布化、规模化、复杂化、间接化等趋势发展,势必对安全产品技术提出更高的要求,而现有安全产品(如IDS、IPS、防火墙等) 只能提供最基本的入侵检测信息,无法对未来网络的安全态势给出可信的预测告警。因此迫切需要研究一项新技术来实现大规模网络的安全态势预测告警。目前被广泛用来描述网络安全状况的方法是网络安全态势及网络安全态势值预测。所谓网络安全态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前安全状态和变化趋势。网络安全态势预测是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。目前网络安全态势预测方法主要是使用人工智能中单学习机的方法,将若干历史离散时间监测点的网络安全态势值抽象成时间序列,进而将网络安全态势预测问题作为回归分析问题,利用单学习机求解,该过程主要包括三个部分,分别是构造网络安全指标体系、计算网络安全态势值、建立网络安全态势预测模型。构造网络安全指标体系是将涉及网络安全的所有网络安全威胁按照一定规则构造成指标体系结构,从而适合网络安全态势值计算。指标体系的构造方法将直接决定网络安全态势值是否能准确的反映当前网络的实际态势,由此本发明引入灰色聚类分析 GCA(Grey Clustering Analysis)方法,从而得到了能准确反映当前网络安全状况的指标体系。计算网络安全态势值过程就是利用各种网络安全设备给出的入侵检测结果按类别和时间统计,再输入到网络安全指标体系,与网络安全指标体系中对应的每种网络安全威胁的权重相乘,从而得到每个历史时间监测点的网络安全态势值。目前网络安全态势值的预测方法,主要是利用神经网络、支持向量机等单学习机方法,单学习机的方法误差相对较大、易出现过拟合现象、计算过程复杂。为此本发明采用集成学习Boosting算法完成网络安全态势值的预测,有效改善了预测精度。
发明内容
针对上述背景技术中提到的单学习机方法误差较大、易出现过拟合现象、计算过程复杂等不足,本发明提出了一种网络安全态势预测方法。本发明的技术方案是,一种网络安全态势预测方法,其特征是所述方法包括以下步骤步骤1 使用灰色聚类分析方法分析每种网络安全威胁Xl,x2,L^n的危害程度,进而构造出层次化的网络安全态势指标体系T ;步骤2 将网络安全设备的历史入侵检测结果按照时间监测点i的顺序,依次输入到层次化的网络安全态势指标体系T中,得到每个时间监测点i的网络安全态势值Vi ;步骤3 使用滑动窗口方法将网络安全态势值Vi构造成时间序列S,并将时间序列 S构造成集成学习Boosting算法可读的训练样本集Strain ;步骤4 利用集成学习Boosting算法对训练样本集Steain进行迭代训练,得到弱学习机序列h,再利用对弱学习机序列h加权求和的方法得到强学习机Hj ;步骤5:利用强学习机&完成未来时间监测点的网络安全态势值预测,并设定强学习机Hj的生命周期,若强学习机Hj达到其生命周期,则返回步骤3。所述步骤1包括以下步骤步骤1. 1 构造整体指标的白化函数矩阵;步骤1. 2 根据白化函数确定灰色聚类系数;步骤1.3 计算每种网络安全威胁Xl,x2,L^n的灰色聚类系数,并确定其灰色聚类归属;步骤1. 4 将灰色聚类结果构造成层次化网络安全态势指标体系T ;步骤1. 5 确定指标体系T中的指标t1; t2,L tn相对于网络安全态势值的最终权
重ω ο所述步骤2包括以下步骤步骤2. 1 统计各时间监测点i的网络安全设备入侵检测结果A ;步骤2. 2 将r,与网络安全态势指标体系T的权重矩阵ω做乘法,得到时间监测点i的网络安全态势值\。所述步骤4包括以下步骤步骤4. 1 设定集成学习Boosting算法最大迭代次数k,并设定集成学习 Boosting算法所调用的弱学习算法;步骤4. 2 规范化训练样本集Strain ;步骤4. 3 设定集成学习Boosting算法的原始数据样本集D ;步骤4.4 以cof(l)为概率从原始数据样本集D中抽取样本集Df,并由弱学习算法训练,得到弱学习机hf;步骤4. 5 计算弱学习机hf的训练误差ε f ;步骤4. 6 计算弱学习机hf的权重α f ;步骤4. 7 更新训练样本的权重;步骤4.8 当满足下列两个条件之一,则执行步骤4.9 ;否则返回步骤4.4 ;条件1 集成学习Boosting算法达到最大迭代次数k ;条件2 样本集Df不再变化;步骤4. 9 输出强学习机Hj。所述步骤4. 1中弱学习算法为核心向量回归机CVR。所述步骤4. 5中训练误差ε f的计算公式为
ιsf=Y/°f(l)
5
式中ε f为训练误差,f e [1,…,k];COf(I)为抽取概率。所述步骤4. 6中权重α f的计算公式为
权利要求
1.一种网络安全态势预测方法,其特征是所述方法包括以下步骤步骤1 使用灰色聚类分析方法分析每种网络安全威胁Xl,x2,L,xn的危害程度,进而构造出层次化的网络安全态势指标体系T ;步骤2 将网络安全设备的历史入侵检测结果按照时间监测点i的顺序,依次输入到层次化的网络安全态势指标体系T中,得到每个时间监测点i的网络安全态势值Vi ;步骤3 使用滑动窗口方法将网络安全态势值Vi构造成时间序列S,并将时间序列S构造成集成学习Boosting算法可读的训练样本集Steain ;步骤4 利用集成学习Boosting算法对训练样本集Steain进行迭代训练,得到弱学习机序列h,再利用对弱学习机序列h加权求和的方法得到强学习机Hj ;步骤5 利用强学习机&完成未来时间监测点的网络安全态势值预测,并设定强学习机&的生命周期,若强学习机&达到其生命周期,则返回步骤3。
2.根据权利要求1所述一种网络安全态势预测方法,其特征是所述步骤1包括以下步骤步骤1. 1 构造整体指标的白化函数矩阵; 步骤1. 2 根据白化函数确定灰色聚类系数;步骤1.3:计算每种网络安全威胁Xl,x2, L,^的灰色聚类系数,并确定其灰色聚类归属;步骤1. 4 将灰色聚类结果构造成层次化网络安全态势指标体系T ;步骤1. 5 确定指标体系T中的指标t1;t2,L tn相对于网络安全态势值的最终权重ω。
3.根据权利要求1所述一种网络安全态势预测方法,其特征是所述步骤2包括以下步骤步骤2. 1 统计各时间监测点i的网络安全设备入侵检测结果A ; 步骤2. 2 将r,与网络安全态势指标体系T的权重矩阵ω做乘法,得到时间监测点i 的网络安全态势值Vi。
4.根据权利要求1所述一种网络安全态势预测方法,其特征是所述步骤4包括以下步骤步骤4. 1 设定集成学习Boosting算法最大迭代次数k,并设定集成学习Boosting算法所调用的弱学习算法;步骤4. 2 规范化训练样本集Steain ;步骤4. 3 设定集成学习Boosting算法的原始数据样本集D ; 步骤4. 4:以cof(l)为概率从原始数据样本集D中抽取样本集Df,并由弱学习算法训练,得到弱学习机hf ;步骤4. 5 计算弱学习机hf的训练误差ε f ; 步骤4. 6 计算弱学习机hf的权重α f ; 步骤4. 7 更新训练样本的权重;步骤4. 8 当满足下列两个条件之一,则执行步骤4. 9 ;否则返回步骤4. 4 ; 条件1 集成学习Boosting算法达到最大迭代次数k ; 条件2:样本集Df不再变化; 步骤4. 9:输出强学习机H」。
5.根据权利要求5所述一种网络安全态势预测方法,其特征是所述步骤4.1中弱学习算法为核心向量回归机CVR。
6.根据权利要求5所述一种网络安全态势预测方法,其特征是所述步骤4.5中训练误差ε f的计算公式为
7.根据权利要求5所述一种网络安全态势预测方法,其特征是所述步骤4. 6中权重Cif 的计算公式为
8.根据权利要求5所述一种网络安全态势预测方法,其特征是所述步骤4. 9中强学习机H1的计算公式为
全文摘要
本发明公开了网络信息安全技术领域中的一种网络安全态势预测方法。该方法使用灰色聚类分析方法分析每种网络安全威胁的危害程度,进而构造出层次化的网络安全态势指标体系,得到每个时间监测点的网络安全态势值并构造成时间序列,将其构造成训练样本集,利用集成学习Boosting算法对训练样本集进行迭代训练得到满足误差要求的弱学习机序列;再利用对弱学习机序列加权求和的方法得到强学习机;利用强学习机完成未来时间监测点的网络安全态势值预测。本发明在降低网络安全态势值预测误差方面,有较好的适应性和较低的预测误差。
文档编号H04L12/26GK102185735SQ20111010527
公开日2011年9月14日 申请日期2011年4月26日 优先权日2011年4月26日
发明者李元诚, 王宇飞 申请人:华北电力大学