得越分散,地址分布赌就越高;反之IP地址越有序,分布越集 中,地址分布赌就越低。本发明异常事件中所有源IP地址、目的IP地址的出现次数。为了便 于统计,采用化Sh算法将32位的IPv4地址映射为16位的整数,运样只需两个元素个数为 65536的数组,就可W分别统计源IP地址、目的IP地址的出现次数。
[0050] 步骤3、根据参数要求,对对象数据库中的异常事件数据组进行参数分析后判定其 异常的程度,再将分析结果写入态势数据库并生成网络安全威胁和异常报告。
[0051] 由于各个基准指标均服从正态分布,因此正常情况下基准指标的实时值与统计模 型相比不应有太大的偏差。假设对于当前该地址分布赌的实时值S,在建模时得到的指标模 型参数为N(ii〇,S日),其中y日、S日分别表示正态分布模型的均值和方差。当前地址分布赌的实 时值为S,则所述步骤3的判定数据组异常程度具体方法为: - A'-//。<2.33命当前指标正常 2.334 < S -片〇 < 3.崎;当前指标轻度异常 [00对 3.M) 5^*^-,"0 <3.72命当前指标中度异常 S-//0 >3.72命当前指标严重异常
[0053] 上述表达式中,y〇、S〇分别表示各个基准指标的正态分布模型的均值和方差;S为当 前该地址分布赌的实时值。
[0054] 对于地址赌指标来说,应该对I s-叫I进行判断,因为地址赌实时值过大(IP地址分 布过于分散)或过小(IP地址分布过于集中)都是异常。
[0055] 所述对象数据库和态势数据库分别存储每个异常事件的信息,该信息如下表所 示,包括每个异常事件的编号、事件类型、事件种类编号、事件名称、源IP地址、目的IP地址、 源端口、目的端口、源IP专用地址、源IP通用地址、目的IP专用地址、目的IP通用地址、IP专 用地址库编号、重点单位编号、导入时间和报警发生时间。
[0057] 步骤4、对于严重异常事件进行警示提醒。
[0058] 本发明的一次统计个数N的取值范围为10-50,其具体计算内容为:
[0059] 频发事件(被利用最多的攻击事件):事件类型相同,控制IP地址、被控IP地址任意 的事件集合。
[0060] 溯危受害目标(被攻击最多的主机):被控IP地址在统计范围内,控制IP地址、事件 类型任意的事件集合。
[0061] 主要攻击来源(从外部利用木马等威胁控制的最活跃的主机):控制IP地址在统计 范围内,被控IP地址、事件类型任意的事件集合。
[0062] 遭受同种攻击(同一目标被多个攻击者采用同种方法反复攻击):被控IP地址在统 计范围内、事件类型相同,控制IP地址任意的事件集合。
[0063] 多种攻击方式(攻击者尝试多种方法,对同一目标进行反复攻击):控制IP地址、被 控IP地址均在统计范围内,事件类型任意的事件集合。
[0064] 同种攻击方式(攻击者采用同一方法,对多个目标进行攻击):控制IP地址在统计 范围内、事件类型相同,被控IP地址任意的事件集合。
[0065] 单一方式攻击(攻击者采用同一方法,对同一目标进行反复攻击):控制IP地址、被 控IP地址均在统计范围内,且事件类型相同的事件集合。
[0066] 需要强调的是,本发明所述的实施例是说明性的,而不是限定性的,因此本发明包 括并不限于【具体实施方式】中所述的实施例,凡是由本领域技术人员根据本发明的技术方案 得出的其他实施方式,同样属于本发明保护的范围。
【主权项】
1. 一种基于决策树算法的网络安全Ξ元组异常检测方法,其特征在于:包括W下步骤: 步骤1、根据网络设备提供的异常事件数据,通过数据挖据的决策树算法对大量数据进 行筛选,获得需要的有效参数; 步骤2、将决策树筛选归纳出来的异常事件数据根据异常事件的IP地址的分布状况的 不同,进行异常种类识别、分类并记录到对象数据库中; 步骤3、根据参数要求,对对象数据库中的异常事件数据组进行参数分析后判定其异常 的程度,再将分析结果写入态势数据库并生成网络安全威胁和异常报告; 步骤4、对于严重异常事件进行警示提醒。2. 根据权利要求1所述的一种基于决策树算法的网络安全Ξ元组异常检测方法,其特 征在于:所述步骤1的具体步骤包括: (1) 根据网络设备提供的异常事件数据集生成决策树; (2) 通过赌值判断法判定是否需要对生成的决策树进行优化,进而对异常事件数据进 行筛选归纳,获得需要的有效参数。3. 根据权利要求1所述的一种基于决策树算法的网络安全Ξ元组异常检测方法,其特 征在于:所述步骤2是利用异常事件的地址分布赌计算异常事件的IP地址的分布状况,进而 进行异常种类识别,所述异常事件的地址分布赌计算方法包括W下步骤: (1) 采用化sh算法将32位的IPv4地址映射为16位的整数; (2) 通过公式E计算源IP地址分布赌W及目的IP地址 分布赌;其中:上述公式中,Cl为经化sh运算后的IP地址出现的次数;E为当前观测周期内总IP地址的 个数。4. 根据权利要求1所述的一种基于决策树算法的网络安全Ξ元组异常检测方法,其特 征在于:所述步骤3的判定数据组异常程度具体方法为:上述表达式中,μ〇、δ〇分别表示各个基准指标的正态分布模型的均值和方差;S为当前该 地址分布赌的实时值。5. 根据权利要求2所述的一种基于决策树算法的网络安全Ξ元组异常检测方法,其特 征在于:所述步骤1的第(1)步的具体步骤包括: ① 将网络设备提供的异常事件数据的所有记录作为一个节点开始; ② 测试每个异常事件数据变量的每一种分割方式,找到最好的分割点,形成决策树节 点。6. 根据权利要求2所述的一种基于决策树算法的网络安全Ξ元组异常检测方法,其特 征在于:所述步骤1的第(2)步中通过赌值判断法判定是否需要对生成的决策树进行优化的 具体方法为: ① 通过如下公式求解决策树节点的赌值,w该赌值的大小量化决策树节点的分类纯 度;其中,P( j)=第j类总数目/总数目; ② 若节点赌值小于规定阔值,则判定需要对决策树进行检验、校正和修改。7.根据权利要求1所述的一种基于决策树算法的网络安全Ξ元组异常检测方法,其特 征在于:所述对象数据库和态势数据库分别存储每个异常事件的信息,该信息包括每个异 常事件的编号、事件类型、事件种类编号、事件名称、源IP地址、目的IP地址、源端口、目的端 口、源IP专用地址、源IP通用地址、目的IP专用地址、目的IP通用地址、IP专用地址库编号、 重点单位编号、导入时间和报警发生时间。
【专利摘要】本发明涉及一种基于决策树算法的网络安全三元组异常检测方法,其技术特点是:包括以下步骤:步骤1、根据网络设备提供的异常事件数据,通过数据挖据的决策树算法对大量数据进行筛选,获得需要的有效参数;步骤2、将决策树筛选归纳出来的异常事件数据根据异常事件的IP地址的分布状况的不同,进行异常种类识别、分类并记录到对象数据库中;步骤3、根据参数要求,对对象数据库中的数据组进行参数分析后判定其异常的程度,再将分析结果写入态势数据库并生成网络安全威胁和异常报告;步骤4、对于严重异常事件进行警示提醒。本发明通过决策树算法对网络设备提供的异常事件数据进行筛选分类,能够判断该威胁是否异常以及异常的程度。
【IPC分类】H04L29/06
【公开号】CN105553990
【申请号】CN201510967024
【发明人】陆炜灏, 姜婷, 张玉
【申请人】国网天津市电力公司, 国家电网公司
【公开日】2016年5月4日
【申请日】2015年12月18日