一种误报自适应的网络安全态势预测方法

一种误报自适应的网络安全态势预测方法
【专利摘要】本发明涉及一种误报自适应的网络安全态势预测方法，包括如下步骤：(1)提取安全防护软件中的报警事件；(2)基于系统主机、网络异常信息消除报警事件中的误报，形成准确的训练样本集；(3)使用神经网络学习算法对样本集进行训练，建立预测模型；(4)进行在线预测，并对预测结果进行确认；(5)若预测结果为误报，标记当前预测事件序列为反例，执行增量神经网络学习，调整预测模型。本发明解决了网络安全态势预测中误报过多且无法自动消除的问题，准确地建立网络安全态势预测模型训练样本集，有效地建立预测模型，对预测结果进行自动确认以消除误报并自动调整预测模型，减少后续预测中误报的产生数量，增强了本发明的可靠性和实用性。
【专利说明】-种误报自适应的网络安全态势预测方法

【技术领域】
[0001] 本发明设及一种计算机网络的网络安全方法，具体讲设及一种误报自适应的网络 安全态势预测方法。

【背景技术】
[0002] 随着计算机、通信等信息技术的快速发展，Internet在全球的日益普及到人们工 作、学习和生活的方方面面。到2013年底，Internet已经覆盖全球近40%的人口，用户数 达到了 27亿，在中国，网民数量也快速发展到6. 18亿。其应用也在快速增长，其中电子商 务、社交网络的发展进一步促进了 Internet的繁荣。然而，随着Internet的广泛应用，其 安全问题也日益凸显。网络攻击者、黑客在追逐利益、报复、破坏等屯、理的驱动下，针对计算 机网络系统的漏洞和脆弱环节，采用各种各样的攻击手段，窃取、篡改和删除网络数据，破 坏系统的可用性，造成系统擁痕等等。面对当前严重的网络安全威胁，传统的安全防护手 段，如入侵检测、防火墙W及用户认证等，虽然从一定程度上提高了网络的安全性，但是该 些技术相互孤立，彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，使其 安全防护没有针对性，其防护功能也未得到充分发挥。因此，需要网络安全管理员把握全 局的网络的安全状况，实现网络安全事件的预警，并W此做出决策，实施具体的安全防护措 施。而如何评估网络的总体安全状况，目前可采用网络安全态势感知（Network Security SituationAwareness，NSSA)技术。
[0003] 网络态势是指由各种网络设备运行状况、网络行为W及用户行为等因素所构成的 整个网络当前状态和变化趋势。网络安全态势感知就是实时地监测网络安全状态，快速准 确地做出安全状态评判，并能利用网络安全属性的历史记录，W多角度、多尺度的可视化方 式，为用户提供一个准确直观的网络安全态势走向图。其中分为网络安全态势要素获取、网 络安全态势评估和网络安全态势预测3个阶段。
[0004] 当前，网络安全态势预测一般采用回归分析预测、时间序列预测、指数法预测W及 灰色预测等方法。如化neyNet组织基于统计学原理，开展了有关网络安全预警的研究，其 采用"3DMA(T虹ee Days MovingAverage)"的网络事件预警，通过使用一个长度为S天的滑 动时间窗来获取事件的统计规律并预测未来一天的安全事件的发生情况。研究人员任伟等 提出了一种基于RBF神经网络进行网络安全态势预测的方法。该法通过训练RBF神经网 络，找出态势风险值前N个时间点和随后M个时间点间的非线性映射关系，进而利用该映射 关系得出预测的态势风险值。目前的研究主要集中于如何选取有效方法地对未来可能出现 的网络安全事件进行预测，但如何处理预测中出现的误报尚无无措施。事实上，如果误报数 量过多，网络管理员有可能疲于应对虚假的预警信息，而忽略了正确的预警信息。更为甚 者是，若长时间产生大量虚假报警（误报），会导致网络管理员忽略预测模型产生的报警信 息，网络安全态势的预测也就失去了存在的意义。


【发明内容】

[0005] 针对现有技术的不足，本发明的目的是提供一种误报自适应的网络安全态势预测 方法，来解决网络安全态势预测结果误报消除问题。通过使用本方法可W准确地建立网络 安全态势预测模型训练样本集，有效地建立网络安全态势预测模型，对预测结果进行自动 确认W消除误报并自动调整预测模型，减少后续预测中误报的产生，增强了网络安全态势 预测方法的可靠性和实用性。
[0006] 本发明的目的是采用下述技术方案实现的：
[0007] 本发明提供一种误报自适应的网络安全态势预测方法，其改进之处在于，所述方 法包括下述步骤：
[000引 （1)提取安全防护软件中的报警事件；
[0009] (2)形成训练样本集；
[0010] (3)训练所述训练样本集，建立网络安全态势预测模型；
[0011] (4)在线预测，并确认预测结果；
[0012] (5)若预测结果为误报，标记当前预测事件序列为反例，执行增量神经网络学习， 调整预测模型。
[0013] 进一步地，所述步骤（1)包括如下步骤：
[0014] (1-1)分析IDS、防火墙安全防护软件的日志文件，提取安全威胁报警记录；
[0015] (1-2)在安全威胁报警记录中分析提取威胁发生的时间、针对的目标IP地址、目 标端口号和威胁类型信息。
[0016] 进一步地，所述步骤（2)包括如下步骤：
[0017] (2-1)获取安全威胁针对的目标主机操作系统、目标端口和安装的系统补了信 息；
[0018] (2-2)若步骤（1-2)中提取的安全威胁类型与步骤（2-1)中的信息不匹配，则判断 为误报；
[0019] (2-3)获取网络流量异常信息，若与步骤（1-2)中提取的安全威胁类型不匹配，贝U 判断为误报；
[0020] (2-4)删除误报样本，形成最终模型训练样本集。
[0021] 进一步地，所述步骤（2-2)中，首先判断操作系统信息，若安全威胁针对的操作系 统与目标主机不同（如当前安全威胁只针对Windows操作系统，而目标主机的操作系统为 Linux)，则判断为误报；接着判断目标端口信息，若目标主机的对应端口已关闭，则判断为 误报；最后判断安装的系统补了信息，即系统漏洞信息，若目标主机已安装当前安全威胁对 应的系统漏洞补了，则判断为误报。
[0022] 进一步地，所述步骤（2-3)中，使用网络连接数、网络带宽使用率、网络丢包率和 网络延时参数来衡量网络是否异常；
[0023] 设当前网络连接数为Pi，网络带宽使用率为P2,网络丢包率为P3,网络延时为P4,网 络异常值用下式①表示：
[0024]

【权利要求】
1. 一种误报自适应的网络安全态势预测方法，其特征在于，所述方法包括下述步骤： (1) 提取安全防护软件中的报警事件； (2) 形成训练样本集； (3) 训练所述训练样本集，建立网络安全态势预测模型； (4) 在线预测，并确认预测结果； (5) 若预测结果为误报，标记当前预测事件序列为反例，执行增量神经网络学习，调整 预测模型。
2. 如权利要求1所述的网络安全态势预测方法，其特征在于，所述步骤（1)包括如下步 骤： (1-1)分析IDS、防火墙安全防护软件的日志文件，提取安全威胁报警记录； (1-2)在安全威胁报警记录中分析提取威胁发生的时间、针对的目标IP地址、目标端 口号和威胁类型信息。
3. 如权利要求1所述的网络安全态势预测方法，其特征在于，所述步骤（2)包括如下步 骤： (2-1)获取安全威胁针对的目标主机操作系统、目标端口和安装的系统补丁信息； (2-2)若步骤（1-2)中提取的安全威胁类型与步骤（2-1)中的信息不匹配，则判断为误 报； (2-3)获取网络流量异常信息，若与步骤（1-2)中提取的安全威胁类型不匹配，则判断 为误报； (2-4)删除误报样本，形成最终模型训练样本集。
4. 如权利要求3所述的网络安全态势预测方法，其特征在于，所述步骤（2-2)中，首先 判断操作系统信息，若安全威胁针对的操作系统与目标主机不同（如当前安全威胁只针对 Windows操作系统，而目标主机的操作系统为Linux)，则判断为误报；接着判断目标端口信 息，若目标主机的对应端口已关闭，则判断为误报；最后判断安装的系统补丁信息，即系统 漏洞信息，若目标主机已安装当前安全威胁对应的系统漏洞补丁，则判断为误报。
5. 如权利要求3所述的网络安全态势预测方法，其特征在于，所述步骤（2-3)中，使用 网络连接数、网络带宽使用率、网络丢包率和网络延时参数来衡量网络是否异常； 设当前网络连接数为Pl，网络带宽使用率为P2，网络丢包率为口3，网络延时为P4，网络异 常值用下式①表示：
其中：A为参数平均值，且计算时P需进行规格化，格式化公式如下式②表示：
若检测出DDoS、端口扫描网络攻击，而当前的网络参数未超出设定的阈值，则判断检测 结果为误报。
6. 如权利要求1所述的网络安全态势预测方法，其特征在于，在所述步骤（3)中，使用 神经网络学习算法对样本集进行训练，建立预测模型；将安全威胁预警时间按出现的先后 时间顺序排列，形成时间序列S，序列长度为L;将时间序列S前N个观察到的数据作为滑动 窗口，并将其映射为M个值；M个值代表在滑动窗口之后M个预测值；将训练样本集进行划 分，把数据分为K个长度为N+M的数据段，每一个数据段看作一个样本，得到K=L- (N+M) +1 个样本；将每个样本的前N个值作为增量神经网络学习算法的输入，后M个值为目标输出， 即为建立的预测模型。
7. 如权利要求1所述的网络安全态势预测方法，其特征在于，所述步骤（4)包括如下步 骤： (4-1)根据观察到的N个安全威胁事件（N个观察到的数据），预测后续出现的M个安 全威胁； (4-2)在后续时间范围T内，若IDS、防火墙安全防护软件未检测到预测出现的M个安 全威胁，则判断之前的预测为误报。
8. 如权利要求1所述的网络安全态势预测方法，其特征在于，所述步骤（5)中，若步骤 (4)判断某项预测结果为误报，标记当前预测事件序列为反例，执行增量神经网络学习算 法，调整预测模型；设增加的数据集为B，增量神经网络学习算法如下： (5-1)检验数据集B中是否存在异类样本，如果不存在，则执行停止；如果存在，根据检 验结果将数据集B分为B1异类样本集（标记为反例的预测序列）和B2正常样本集两部分， 并转向步骤（5-2); (5-2)在原有RBF神经网络分类器的基础上，增加一个输出节点，依据K均值算法对集 合B1中的样本进行聚类，确定隐层新增节点数及对应的中心和宽度参数，同时随机初始化 隐层到输出层的新增连接权值，采用最速下降法学习新类样本，并修正新增加的连接权值。
【文档编号】H04L29/06GK104486141SQ201410705040
【公开日】2015年4月1日 申请日期:2014年11月26日 优先权日:2014年11月26日
【发明者】何高峰, 管小娟, 张涛, 马媛媛, 陈璐, 黄秀丽, 王玉斐, 张波, 陈亚东 申请人:国家电网公司, 中国电力科学研究院, 国网天津市电力公司