一种基于决策树算法的网络安全三元组异常检测方法
【技术领域】
[0001] 本发明设及网络信息安全技术领域,特别是一种基于决策树算法的网络安全=元 组异常检测方法。
【背景技术】
[0002] 目前,我国互联网网络安全防护体系仍处于萌芽阶段,没有核屯、技术的支撑,缺乏 统一的网络安全保障体系标准,无法形成全面覆盖、动态跟踪的网络安全保障格局。当前网 络安全检测方法仍存在对网络环境中事件缺乏过滤、分类模糊等问题。热点事件模型检测 方法虽然能通过事件的数量判断异常最为频发的事件,但是减少了对控制IP地址和被控IP 地址的研究。入侵系统的查询模型检测方法虽然能够及时发出警示,但是没有对事后异常 的判断。B化a访问控制模型检测方法提供了分级别的完整性保证,但在一定程度上却忽视 了保密性。P2P网络安全模型检测方法,虽然能一针见血地分析网络安全威胁,但是却局限 在了 P2P网络范围内,不能够跨网络跨范围地对威胁进行解释。
【发明内容】
[0003] 本发明的目的在于克服现有技术的不足,提供一种设计合理、筛选精细且分类清 晰的基于决策树算法的网络安全=元组异常检测方法。
[0004] 本发明解决其技术问题是采取W下技术方案实现的:
[0005] -种基于决策树算法的网络安全=元组异常检测方法,包括W下步骤:
[0006] 步骤1、根据网络设备提供的异常事件数据,通过数据挖据的决策树算法对大量数 据进行筛选,获得需要的有效参数;
[0007] 步骤2、将决策树筛选归纳出来的异常事件数据根据异常事件的IP地址的分布状 况的不同,进行异常种类识别、分类并记录到对象数据库中;
[000引步骤3、根据参数要求,对对象数据库中的异常事件数据组进行参数分析后判定其 异常的程度,再将分析结果写入态势数据库并生成网络安全威胁和异常报告;
[0009] 步骤4、对于严重异常事件进行警示提醒。
[0010] 而且,所述步骤1的具体步骤包括:
[0011] (1)根据网络设备提供的异常事件数据集生成决策树;
[0012] (2)通过赌值判断法判定是否需要对生成的决策树进行优化,进而对异常事件数 据进行筛选归纳,获得需要的有效参数。
[0013] 而且,所述步骤2是利用异常事件的地址分布赌计算异常事件的IP地址的分布状 况,进而进行异常种类识别,所述异常事件的地址分布赌计算方法包括W下步骤:
[0014] (1)采用化Sh算法将32位的IPv4地址映射为16位的整数;
[0015] (2)通过公式
计算源IP地址分布赌W及目的IP 地址分布赌;其中,芯=C,
[0016] 上述公式中,Ci为经化Sh运算后的IP地址出现的次数;E为当前观测周期内总IP地 址的个数。
[0017] 而且,所述步骤3的判定数据组异常程度具体方法为: 矿-//〇..< 2.33《扫;当前指标正常 2.3:3(? <3.1&;当前指标轻度异常 WDW 3.1《〇如-//。<3.72令当前指标中度异常 一 s-//〇;^3.72如当前指标严重异常
[0019] 上述表达式中,y〇、S〇分别表示各个基准指标的正态分布模型的均值和方差;S为当 前该地址分布赌的实时值。
[0020] 而且,所述步骤1的第(1)步的具体步骤包括:
[0021] ①将网络设备提供的异常事件数据的所有记录作为一个节点开始;
[0022] ②测试每个异常事件数据变量的每一种分割方式,找到最好的分割点,形成决策 树节点。
[0023] 而且,所述步骤1的第(2)步中通过赌值判断法判定是否需要对生成的决策树进行 优化的具体方法为:
[0024] ①通过如下公式求解决策树节点的赌值,W该赌值的大小量化决策树节点的分类 纯度;
[002引故。-尸(驴log:户(..');其中,P( j)=第J类总数目/总数目;
[0026] ②若节点赌值小于规定阔值,则判定需要对决策树进行检验、校正和修改。
[0027] 而且,所述对象数据库和态势数据库分别存储每个异常事件的信息,该信息包括 每个异常事件的编号、事件类型、事件种类编号、事件名称、源IP地址、目的IP地址、源端口、 目的端口、源IP专用地址、源IP通用地址、目的IP专用地址、目的IP通用地址、IP专用地址库 编号、重点单位编号、导入时间和报警发生时间。
[002引本发明的优点和积极效果是:
[0029]本发明通过数据挖掘的决策树算法对网络设备提供的异常事件数据进行过滤、筛 选、分类,将挑选滤后的网络威胁事件的相关参数放入检测模型的入口,通过对网络安全异 常事件参数中的源、目的IP地址和事件类型进行充分分析,判断该威胁是否异常W及异常 的程度的同时判断异常事件扩散趋势W及被控制主机的感染趋势。
【附图说明】
[0030]图1是本发明的处理流程不意图;
[0031 ]图2是本发明的决策树算法计算流程示意图。
【具体实施方式】
[0032] W下结合附图对本发明实施例作进一步详述:
[0033] -种基于决策树算法的网络安全=元组异常检测方法,如图1所示,包括W下步 骤:
[0034] 步骤1、根据网络设备提供的异常事件数据,通过数据挖据的决策树算法对大量数 据进行筛选,获得需要的有效参数;
[0035] 所述步骤1的具体步骤如图2所示,包括:(1)根据网络设备提供的异常事件数据集 生成决策树。该步骤(1)的具体计算过程为:
[0036] ①将网络设备提供的异常事件数据的所有记录作为一个节点开始;
[0037] ②测试每个异常事件数据变量的每一种分割方式,找到最好的分割点,形成决策 树节点。
[0038] (2)通过赌值判断法判定是否需要对生成的决策树进行优化,进而对异常事件数 据进行筛选归纳,获得需要的有效参数。决策树需不需要优化是根据决策树节点分类的纯 度来决定的。量化纯度有许多种方法,本发明通过计算决策树节点的赌值来判断的。所述通 过赌值判断法判定是否需要对生成的决策树进行优化的具体方法为:
[0039] ①通过如下公式求解决策树节点的赌值,W该赌值的大小量化决策树节点的分类 纯度;
[0040] ..W =-Z:_,尸〇')*!雌:尸0.)巧中,P(j)=第j类总数目/总数目;
[0041] ②若节点赌值小于规定阔值,则判定需要对决策树进行检验、校正和修改。
[0042] 赌值越小,表示节点越准确,决策树越纯。当赌值小于规定的阔值的时候,即可对 决策树进行优化,一般选择修剪枝叶的方式。
[0043] 步骤2、将决策树筛选归纳出来的异常事件数据,利用异常事件的地址分布赌计算 异常事件的IP地址的分布状况,并根据异常事件的IP地址的分布状况的不同,进行异常种 类识别、分类并记录入到象数据库中。
[0044] 所述异常事件地址分布赌的计算方法包括W下步骤:
[0045] (1)采用化Sh算法将32位的IPv4地址映射为16位的整数;
[0046] (2)通过公式
log;亿计算源IP地址分布赌W及目的IP 地址分布赌;其中,£ = SiT C,
[0047] 上述公式中,Cl为经化Sh运算后的IP地址出现的次数;E为当前观测周期内总IP地 址的个数。
[004引该步骤2的计算原理是:
[0049] IP地址越混乱,分布