点:抗离群噪音干扰的能力(寻找离群噪音 点的能力),对初始参数不敏感。
[0048] (2)其次,将操作数据进行关联分析,防止隐性敏感数据泄露。
[0049] 在进一步的后台分析中,我们将把相关数据进行深度融合分析,挖掘系统是否存 在隐含隐私泄露的情况发生,如果存在隐性敏感泄露路径,我们将该路径中的敏感数据进 行匿名处理,防止隐性敏感泄露。本专利采取局部鞅差方法对隐性敏感的涌现进行发现,并 通过定义有限停时的随机过程,在有限的时间内解决大规模数据的隐性敏感甄别和控制优 化问题。当检测到系统存在隐性敏感信息泄露时,我们应该对隐性敏感信息进行匿名处理, 防止再度泄露。
[0050]以个人信息为例,设(Ω,A,P)表示一个概率空间,其中Ω是空间,A是Ω上的〇域,P 是Α的概率测度。特别的,在此问题中,Ω表示全体人群,Α是人群子集,Ρ是子集测度。
[0051 ]离散滤波定义为ω上的一个递增σ域F= {Fn}。在此问题中,对于公共信息进行匿 名处理,随着匿名处理强度降低,构成了一个自然的离散滤波。
[0052] 一个随机过程X被称为F适应的,当且仅当对所有neZ+,Xn是Fn-可测的。在此问题 中,不同匿名处理方法下的隐秘性和信息量均构成F适应的随机过程。
[0053] 一个随机时间NeZ+ U {>}被称为F-停时,如果对所有neZ+,{N < η}是Fn可测的, 艮P,如果过程{Xn = l(N<n)}是F适应的。
[0054]具体方法是:
[0055]①设计强度递减的匿名处理过程An,形成离散滤波F
[0056]如果是全匿名方式,即构成了离散滤波F的首项F1,该d:或只包含两个平凡元素:空 集和全集,对于任何定义在该σ域上的可测随机变量,其测度均为0和1。对公共信息进行开 放的过程中,匿名处理程度降低,σ域不断递增,测度不断细化,相应信息量逐步增加,隐秘 性逐步减弱,构成了公共信息上的离散滤波。
[0057]特别是,由于来自不同领域、部门的公共信息交织在一起,会导致离散滤波更快地 增长。例如,一个包含20项属性的公共信息,其σ域的势(可以不严格地理解为集合元素数 量)为
其中,H i为第i项属性的值域的势。当5项来自不同领域、关于该对象类的 公共信息融合在一起,其σ域的势激增为上一表达式的5次方,同时,信息量增加为5倍,隐秘 性大幅度降低。
[0058] ②构建衡量隐秘性的随机过程X,并证明其F适应性
[0059]从"封闭"情况下的高隐秘性或者相应的0信息量,可以按照不同的"开放策略",逐 步降低匿名性、提高开放程度。对于这些开放策略,提供一种衡量其隐秘性合理程度的随机 过程,方法如下:
[0060] ,经过部分开放的孤立公共信息,其隐秘性为具有相同属性的信息集合的测度。 当测度过小时,该信息的对象已经被暴露,尽管其仍然有部分信息未被公开。
[0061] ,经过部分开放且将于其他信息进行融合的公共信息,其隐秘性为通过融合后, 具有相同属性的信息集合的测度的期望。当该期望过小时,该信息在融合中将有较高概率 被暴露,8卩"隐性"泄露,尽管其"显性"泄露并未发生。
[0062] 由于第1种为确定性的方法,因此问题的关键在于第2种这一随机过程。需要证明 其F适应性(以保证可测性),并进一步给出该测度期望的理论推导和算法。
[0063] ③采用局部鞅差方法,优化隐私保护停时策略
[0064] 鞅性是对于随机过程,特别是离散滤波下的随机过程的分析重点,也是过渡到停 时策略的桥梁。本项目前期工作已经证明了信息服务选择中的部分上鞅性。在本项目中,将 进一步对隐秘性和信息量在上述开放策略所导致的离散滤波下的鞅性进行研究。
[0065] 基于鞅性(或者部分鞅性),特别是信息量的上鞅性,采用前期工作得出的局部鞅 差方法,能够使随机时间N(停时)最小化,从而实现隐私保护条件下的信息量最大化。局部 鞅差能够达成最优或者接近最优的解。
[0066] 对于出现奇异性的情形,采用分形拟合方法给出最优策略。
[0067]上述随机过程方法,主要适合公共信息分布正常的情况,如符合正态分布的概率 测度、符合Possion分布的数据产生、符合指数分布的请求响应时间等。对于出现奇异性(聚 集性、自相似性和尺度无关性)的情形,如果仍采用随机过程的期望计算方法,则可能跟你 实际情况有较大偏差。
[0068] 本专利采用分形方法进行处理,方法如下:
[0069] ,对公共信息的聚集性、自相似性、尺度无关性进行模式识别。以判定是否适用分 形学方法;
[0070] ,对于尺度无关区间,计算主要的分形参数,如分数维数;
[0071] ,根据总体分布和分数维数所形成的方程组,求解符合分形分布特征的拟合参 数;
[0072] ,用拟合参数构建分布模型,并计算相应期望值,用于衡量开放策略和计算最佳 停时。
[0073] (3)最后,将历史数据和当前数据进行深度融合,深度挖掘其是否存在APT等攻击 方式。
[0074] 本专利通过对大量的历史日志信息和行为数据进行机器学习与算法分析来侦测 出异常行为模式和隐藏的威胁,无论是外部APT攻击,还是内部人员泄密。通过过滤和分析 大而复杂的数据集,洞彻最新的安全威胁的变化。同时,系统创建出多层次的仪表盘和报 告,使决策层、管理层和一线运维人员从不同的视角来监控最新的安全态势并不断从中学 习和改进。
[0075] 3)可视化展示
[0076] 网络安全信息可视化技术与传统的分析日志数据的方法不同,可视化技术带来研 究方法的变革。网络安全信息可视化不但能有效处理海量数据信息,而且能够通过图形对 攻击和异常进行有效的显示,甚至对网络中潜在的威胁进行预警。随着近年来网络的普及, 攻击形式多样化、难检测等。如APT攻击,具有长期性、隐蔽性很强的特征。可视化在分析复 杂数据时必不可少,是发现数据之间的关系及是否存在APT攻击的一种手段。
[0077] 本专利通过对日志、操作行为等数据进行提取分析和统计,对数据按照一定的算 法原则进行图形元素的属性计算,然后将其显示,并结合用户的参数调节,对显示模型效果 可以进行各种调整,以便发现网络数据详尽的信息。
[0078] 可视化展示子系统分为四个模块,分别是:数据提取统计模块、节点坐标计算模 块、图形显示模块和参数调整模块。
[0079]①数据提取统计模块
[0080]数据统计模块的目的是对原始数据进行的初步统计分析,采用哈希表进行存储, 哈希表中关键字Key采用字符串形式,字符串由:源IP、操作主体、证据链以及操作时间四项 组成,把这四项作为一个新建元素插入到哈希表中,每一个元素在将来的图形化表示中都 是一个节点,表示证据链之间的操作关系;Key对应的值表示该次连接通信活动中的数据总 量。
[0081]②节点坐标计算模块
[0082]由于最终的目的是绘制图形用以表示APT攻击的证据链变化状况,节点坐标的计 算是最重要的准备工作,也是最终保证可视化模型显示的有效性和高效性的基本条件和算 法。本专利采用IP地址、行为主体和证据链作为IP地址计算的因素。
[0083] ③图形显示模块
[0084] 节点计算完成,会将所有需要绘制的节点坐标和其他相关信息储存在程序中,然 后将绘制的工作交给图形显示模块进行,而图形显示模块也并不参与任何节点的计算,这 就使得两项工作完全独立的工作,是有利于逻辑的划分和后期的修改和更新。
[0085] ④参数调整模块
[0086]参数的调整从可视化模型的核心结构来看,是不介于算法和显示范围中的,由于 在模型运行过程中,将会遇到很多参数,这些参数有固定不变的,也有可以调节的,参数的 改变会导致显示结果的重新绘制,当然,也会导致筛选条件的改变。
[0087] 4)威胁预测分析
[0088] 本专利主要利用基于时间序列分析的态势预测算法,时间序列分析是根据系统观 测得到的时间序列数据,通过曲线拟合和参数估计来建立数学模型的理论和方法。本专利 将利用一阶灰色预测GM( 1,1)模型、ARMA模型和Holt-W