一种多目标信息融合的卡尔曼滤波网络防控方法与流程

1.本发明涉及网络防控技术领域，更具体地说，涉及一种多目标信息融合的卡尔曼滤波网络防控方法。


背景技术：

2.当前网络安全管控方式主要是设置防火墙，或者采用入侵防御系统进行检测。
3.防火墙通过数据流进行异常状态检测过滤，对数据的源/目标地址、协议等方面进行检测控制，记录数据流在通过防火墙的属性状态，根据已有特征对异常数据进行拦截。
4.入侵检测系统一般分为误用检测模型与异常检测模型技术两种。第一种主要是检测与数据库内已有的不可接受行为之间的匹配程度，对不可接受的风险行为进行标记，当有该种类型的行为发生时，系统做出入侵预警。第二种是检测与可接受行为之间的偏差。
5.具体在进行对信息数据流的检测时，目前的实时检测时只能独立对当前字符、字段状态进行比对，在比较时无法结合上下文进行判断，且在判断时，无法基于业务或工作流进行非法状态/入侵检测，且由于算力不足，只能针对“黑名单”中列出的特征进行判断，对于未知的网络威胁缺乏处理能力，在遇到新型入侵手段时可能因无法防范而使客户面临损失。
6.当前在进行网络防控方法对信息数据流进行实时检测时只能对当前字符、字段状态进行独立比对，无法结合上下文，也即对整条操作数据流进行综合判断，且在判断时，无法基于业务需求或工作流进行非法状态/入侵检测，由于算力不足，只能针对“黑名单”中列出的特征进行判断，对于未知的网络威胁缺乏处理能力，在遇到新型入侵手段时可能因无法防范致使客户产生损失。


技术实现要素：

7.本发明提供了一种多目标信息融合的卡尔曼滤波网络防控方法，解决现有技术在进行网络防控方法对信息数据流进行实时检测时只能对当前字符、字段状态进行独立比对，无法结合上下文，也即对整条操作数据流进行综合判断，且在判断时，无法基于业务需求或工作流进行非法状态/入侵检测，由于算力不足，只能针对“黑名单”中列出的特征进行判断，对于未知的网络威胁缺乏处理能力，在遇到新型入侵手段时可能因无法防范致使客户产生损失的问题。
8.为解决上述问题，一方面，本发明提供一种多目标信息融合的卡尔曼滤波网络防控方法，包括：获取合法操作链/数据流，并识别所述合法操作链/数据流的特征数据，将所述特征数据采用第一线性特征表达式描述；通过网络传感器对系统接收/发送的实时数据流/操作链进行实时探测以得到特征数据，利用多传感器卡尔曼跟踪融合算法对所述网络传感器实时探测得到的特征数据进行滤波处理，处理后得到对应的数据流/操作链的第二线性特征表达式；
根据得到的第二线性特征表达式查找近似的第一线性特征表达式，计算第一线性特征表达式与第二线性特征表达式的互相关系数，依据所述互相关系数确定第二线性特征表达式对应的操作链/数据流的合法性。
9.所述获取合法操作链/数据流，并识别所述合法操作链/数据流的特征数据，将所述特征数据采用第一线性特征表达式描述，包括：通过机器学习方式获取系统的合法数据流；获取所述合法数据流中的多个属性，多个属性分别采用多个特征属性表达式表示；将多个所述特征属性表达式融合得到第一线性特征表达式。
10.所述获取合法操作链/数据流，并识别所述合法操作链/数据流的特征数据，将所述特征数据采用第一线性特征表达式描述，还包括：判断所述特征数据是否线性化，若否，则采用泰勒级数展开实现线性化：其中，h(x)是所述特征数据的非线性函数表达式，μ是预设的展开点，rn(x)为预设的观测误差。
11.所述通过网络传感器对系统接收/发送的实时数据流/操作链进行实时探测以得到特征数据，利用多传感器卡尔曼跟踪融合算法对所述网络传感器实时探测得到的特征数据进行滤波处理，处理后得到对应的数据流/操作链的第二线性特征表达式，包括：通过多个子传感器对系统接收/发送的实时数据流/操作链进行实时探测以分别得到多个特征数据；其中，所述网络传感器包括多个子传感器；依据多个所述特征数据分别形成多个单特征表达式；利用多传感器卡尔曼跟踪融合算法对多个单特征表达式进行处理以得到融合后的第二线性特征表达式。
12.所述多传感器卡尔曼跟踪融合算法中的滤波结构包括集中式结构、分散式结构及分级式结构。
13.所述根据得到的第二线性特征表达式查找近似的第一线性特征表达式，计算第一线性特征表达式与第二线性特征表达式的互相关系数，依据所述互相关系数确定第二线性特征表达式对应的操作链/数据流的合法性，包括：根据得到的第二线性特征表达式查找近似的第一线性特征表达式；计算第一线性特征表达式与第二线性特征表达式的互相关系数；设置阈值λ，并判断所述互相关系数是否大于所述阈值，当所述互相关系数大于所述阈值时，认为第二线性特征表达式对应的操作链/数据流合法，否则认为第二线性特征表达式对应的操作链/数据流非法。
14.所述将多个所述特征属性表达式融合得到第一线性特征表达式，包括：将所述合法数据流中符合预设排列规律的特征字符/字符串用第一特征属性表达式表示，第一特征属性表达式为f1(x)；将所述合法数据流中的特征字符/字符串每次在整个数据流出现时的时延要求用第二特征属性表达式表示，第二特征属性表达式为f2(y)；
将第一特征属性表达式及第二特征属性表达式融合得到第一线性特征表达式，所述第一线性特征表达式为f(x,y)。
15.所述利用多传感器卡尔曼跟踪融合算法对多个单特征表达式进行处理以得到融合后的第二线性特征表达式，包括：将所述实时数据流/操作链中符合预设排列规律的特征字符/字符串用第一单特征表达式表示，第一单特征表达式为fa(x)；将所述实时数据流/操作链中的特征字符/字符串每次在整个数据流出现时的时延要求用第二单特征表达式表示，第二单特征表达式为fb(y)；将fa(x)、fb(y)融合为第二线性特征表达式，所述第二线性特征表达式为f(x,y)。
16.所述根据得到的第二线性特征表达式查找近似的第一线性特征表达式，计算第一线性特征表达式与第二线性特征表达式的互相关系数，依据所述互相关系数确定第二线性特征表达式对应的操作链/数据流的合法性，包括：计算f1(x)与fa(x)的互相关系数r1，及计算f2(x)与fb(x)的互相关系数r2；设置阈值λ；若r1及r2均大于λ，则对应的操作链/数据流合法；若r1和/或r2不大于λ，则对应的操作链/数据流非法。
17.一方面，提供一种计算机可读存储介质，所述存储介质中存储有多条指令，所述指令适于由处理器加载以执行以上所述的一种多目标信息融合的卡尔曼滤波网络防控方法。
18.本发明的有益效果是：通过互相关系数确定操作链/数据流的合法性，结合上下文，对整条操作数据流的进行综合判断，提升对于未知的网络威胁的处理能力，在遇到新型入侵手段时可以有效防范。
附图说明
19.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
20.图1是本发明一实施例提供的一种多目标信息融合的卡尔曼滤波网络防控方法的流程图；图2是本发明一实施例提供的一种多目标信息融合的卡尔曼滤波网络防控方法的流程示意图。
具体实施方式
21.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
22.在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示
的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
23.在本发明中，“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明，给出了以下描述。在以下描述中，为了解释的目的而列出了细节。应当明白的是，本领域普通技术人员可以认识到，在不使用这些特定细节的情况下也可以实现本发明。在其它实例中，不会对公知的结构和过程进行详细阐述，以避免不必要的细节使本发明的描述变得晦涩。因此，本发明并非旨在限于所示的实施例，而是与符合本发明所公开的原理和特征的最广范围相一致。
24.参见图1，图1是本发明一实施例提供的一种多目标信息融合的卡尔曼滤波网络防控方法的流程图，该卡尔曼滤波网络防控方法包括步骤s1-s3：s1、获取合法操作链/数据流，并识别所述合法操作链/数据流的特征数据，将所述特征数据采用第一线性特征表达式描述；步骤s1包括步骤s11-s14：s11、通过机器学习方式获取系统的合法数据流。
25.本实施例中，采用机器学习方式获取某系统可能发生的合法数据流——合法网络报文集，也即根据系统可能产生的业务或操作需求，推导出合法操作链集。即获取系统可能发生的合法数据流——合法网络报文集，也即根据系统可能产生的业务或操作需求，推导出合法操作链集，对该集合归类。其中，可利用类脑计算能力，通过深度学习/迁移学习等机器学习方式获取某系统可能发生的合法数据流，该合法数据流可通过穷举系统可能产生的合法业务或操作需求获得。该合法操作链集合可通过归类合并出不同的类别（例如采用聚类等算法）。
26.s12、获取所述合法数据流中的多个属性，多个属性分别采用多个特征属性表达式表示。
27.本实施例中，利用机器学习方法对该合法操作链集合进行归类（采用聚类等归类算法）。识别出步骤s11以上集合中能够代表某条或某类合法操作链/数据流的特征，包括并不限于数据流中部分或全部字符排列顺序、数据传输时出现的时延、数据包头/包尾特征、数据校验特征、数据流/操作链发送方向、通讯协议、编码等。
28.s13、将多个所述特征属性表达式融合得到第一线性特征表达式。步骤s13包括步骤s131-s133：s131、将所述合法数据流中符合预设排列规律的特征字符/字符串用第一特征属性表达式表示，第一特征属性表达式为f1(x)。
29.本实施例中，可选择步骤s11中数据流集合中某个数据流的某特征字符/字符串的排列规律（例如该特征字符或特殊含义的字符串在数据流中多次出现时的位置），用特征表达式f1(x)表示。
30.s132、将所述合法数据流中的特征字符/字符串每次在整个数据流出现时的时延
要求用第二特征属性表达式表示，第二特征属性表达式为f2(y)。
31.本实施例中，将某特征字符/字符串每次在整个数据流出现时的时延要求，用特征表达式f2(y)表示。
32.s133、将第一特征属性表达式及第二特征属性表达式融合得到第一线性特征表达式，所述第一线性特征表达式为f(x,y)。
33.本实施例中，将f1(x)及f2(y)通过某种方式融合后得到的特征表达式f(x,y)可认为是对该数据流的一种有效表达方式。即识别出步骤以上集合中能代表某条或某类合法操作链/数据流的特征，将其采用线性化特征表达式f(x)描述，将步骤s11中的合法操作链/数据流集合转为合法的特征表达式库。关于函数f1(x)及f2(y)融合的方式，包括并不限于线性加权融合、交叉融合、分步融合、预测融合等。
34.本案提供如下实施例（1）：设某信息流是语音及手动按键的操作组合，例如进行某种购票或办卡操作，需要按屏幕提示按下某些屏幕按键，其中某些时段伴随录入语音信息；某些按键操作存在排列顺序，而按键操作有操作时限（每个按键有时间间隔要求，每个按键操作时间有限制）；因此可设表达式f1(x)表示信息流中语音信息的某个字所代表的字符串在信息流中的位置，设有f1(x)=2x,(x=1,2,3)；也即该字符串在整个数据流中1，2，4,
…
位置出现；设f2(y)为某个按键操作的时延表达式（也即按下某按键后，间隔一段时间再按下一次，作为一种密码保护特征）；则设代表该种操作特征的表达式为f2(y)=y（单位为秒）。
35.综上，单独f1(x)或f2(y)表达式，均无法完整描述该信息流的整体特征，因此需要将两者（或者更多表达式）融合后对该信息流进行描述，例如上例的信息流可描述为：f(x,y)=[ f1(x),f2(y)]=[2x,y], (x,y=1,2,3)可将该表达式加入表达式库作为匹配目标之一。
[0036]
s14、判断所述特征数据是否线性化，若否，则采用泰勒级数展开实现线性化：其中，h(x)是所述特征数据的非线性函数表达式，μ是预设的展开点，rn(x)为预设的观测误差。
[0037]
本实施例中，对非线性的特征数据需首先线性化，一般采用泰勒级数展开实现近似逼近。总之，将以上部分或全部特征采用线性特征表达式f(x)来描述（一般的，可通过泰勒级数将非线性表达式线性化），可近似认为特征表达式f(x)是对该条或该类操作链/数据流的有效表达，因此可将步骤s11中的合法操作链/数据流的集合转为合法的特征表达式库。
[0038]
s2、通过网络传感器对系统接收/发送的实时数据流/操作链进行实时探测以得到特征数据，利用多传感器卡尔曼跟踪融合算法对所述网络传感器实时探测得到的特征数据进行滤波处理，处理后得到对应的数据流/操作链的第二线性特征表达式；步骤s2包括步骤s21-s23：s21、通过多个子传感器对系统接收/发送的实时数据流/操作链进行实时探测以分别得到多个特征数据；其中，所述网络传感器包括多个子传感器。
[0039]
本实施例中，在该系统传输数据时，通过多个网络传感器对系统接收/发送的数据
流/操作链的各种信息进行实时探测，包括并不限于对数据流中部分或全部字符排列顺序、数据传输时出现的时延、数据包头/包尾特征、数据校验特征、数据流/操作链发送方向、通讯协议、编码等，在系统传输某个数据流时，优选的，可使用网络传感器对如下特征进行探测：（a）该数据流中某特征字符/字符串的排列规律（例如该特征字符或特殊含义的字符串在数据流中多次出现时的位置），（b）该数据流中某特征字符/字符串每次在整个数据流出现时的时延，作为网络传感器的探测目标，（c）其他特征。
[0040]
s22、依据多个所述特征数据分别形成多个单特征表达式。
[0041]
本实施例中，参见图2，图2是本发明一实施例提供的一种多目标信息融合的卡尔曼滤波网络防控方法的流程示意图，图2可以更加直观地看到多个单特征表达式的形成过程，上述经传感器探测得到的特征数据应是线性的，或经处理后是线性的，需符合高斯分布，以便采用卡尔曼滤波方法对其进行跟踪滤波。每个传感器测得数据可形成单特征表达式；由于采用上述特征中单独一种无法全面描述该信息流的特征，因此上述多种特征数据需要通过多目标信息融合的卡尔曼滤波方法进行处理。之后利用类脑算力，采用存算一体的方式，利用多传感器卡尔曼跟踪融合算法对以上各传感器实时探测得到的特征数据进行滤波处理（滤波前，对非线性化数据需先进行线性化），处理后得到该条数据流/操作链的线性化特征表达式f(x)。
[0042]
s23、利用多传感器卡尔曼跟踪融合算法对多个单特征表达式进行处理以得到融合后的第二线性特征表达式。所述多传感器卡尔曼跟踪融合算法中的滤波结构包括集中式结构、分散式结构及分级式结构。步骤s23包括步骤s231-s233：s231、将所述实时数据流/操作链中符合预设排列规律的特征字符/字符串用第一单特征表达式表示，第一单特征表达式为fa(x)。
[0043]
s232、将所述实时数据流/操作链中的特征字符/字符串每次在整个数据流出现时的时延要求用第二单特征表达式表示，第二单特征表达式为fb(y)。
[0044]
本实施例中，设当待测数据流通过网络传感器时，按照以下两种方式筛选特征：（a）该数据流中某特征字符/字符串的排列规律（例如该特征字符或特殊含义的字符串在数据流中多次出现时的位置），（b）该数据流中某特征字符/字符串每次在整个数据流出现时的时延；通过以上筛选后可得到对该数据流的两个特征表达式fa(x)（某种字符排列位置）；fb(y)（某种字符出现的时延）。
[0045]
s233、将fa(x)、fb(y)融合为第二线性特征表达式，所述第二线性特征表达式为f(x,y)。
[0046]
本实施例中，针对得到的两个单特征表达式，通过预处理，变为更适合卡尔曼滤波算法处理的数据。例如对上述的两个传感器的应用场景，可以使用状态向量d记录某特征字符的位置及时延信息，可表示为d=[a,b]
t
；根据已有特征表达式的构建方式，采用适当的融合方式，包括并不限于线性加权融合、交叉融合、分步融合、预测融合等，将fa(x)、fb(y)融合为特征表达式f(x,y)，使得该表达式可以综合表现整个数据流的状态特征。
[0047]
通过多目标信息融合卡尔曼滤波方法进行处理后可得到信息融合后的特征表达式f(x,y)。需要说明，多传感器进行实时信息融合滤波需要计算资源庞大，需采用存算一体的类脑智能计算算力进行处理，以确保滤波的实时性。这里采用的多目标信息融合卡尔曼滤波方法，其滤波结构可以是集中式、分散式、分级式结构，其中分级式结构还可分为有反
馈结构和无反馈结构的。卡尔曼滤波状态转移方程和观测方程如下所示：x
t
=a
t|t-1
x
t-1
+w
t-1
;z
t
=hx
t
+v
t
;z
t
表示t时刻的观测状态；x
t
与x
t-1
为t及t-1时刻系统状态；a
t|t-1
是状态转移矩阵；h是观测矩阵；v
t
是测量噪声，其协方差为r；w
t
是系统噪声，协方差为q；预测和更新方程如下所示：x
ˉ
t|t-1
=a
t|t-1
x
ut-1
;p
ˉ
t|t-1
=a
t|t-1
p
t-1att|t-1
+q
t-1
;k
t
=p
ˉ
t|t-1ht
(hp
ˉ
t|t-1ht
+r
t
)-1
;x
ut
=x
ˉ
t|t-1
+k
t
(z
t-hx
ˉ
t|t-1
);p
t
=p
ˉ
t|t-1-k
t
hp
ˉ
t|t-1
;x
ut-1
是t-1时刻的最优估计状态；x
ˉ
t|t-1
是在最优估计基础上的预测状态；p
t-1
是t-1时刻更新后的误差协方差矩阵；p
ˉ
t|t-1
是误差协方差的预测值；k
t
是t时刻的卡尔曼增益；x
ut
是t时刻最优预测值；p
t
是t时刻最优估计值。
[0048]
系统传输信息时，通过多个网络传感器对数据流信息进行探测，采用类脑智能算力，利用多传感器卡尔曼跟踪融合算法对实时探测到特征数据滤波处理，得到该条数据流的线性化特征表达式f(x)。
[0049]
本案提供如下实施例（2）：接实施例（1），针对某个信息流，采用了两个网络传感器进行探测，传感器a探测某字符串的位置（实施例（1）中语音信息中某特殊字符串的探测传感器），测得位置信息经卡尔曼滤波，经数据拟合得到空间特征表达式fa(x)=2x+0.001,(x=1,2,3)；传感器b探测某个字符串出现的时延（实施例（1）中某按键时延探测传感器），测得时延信息经卡尔曼滤波，假设经数据拟合得到时间特征表达式fb(y)=0.99y,(y=1,2,3);最终融合后的特征表达式：f(x,y)=[fa(x),fb(y)]=[2x+0.001,0.99y],(x,y=1,2,3)，该表达式可表达该信息流的时空特征。
[0050]
s3、根据得到的第二线性特征表达式查找近似的第一线性特征表达式，计算第一线性特征表达式与第二线性特征表达式的互相关系数，依据所述互相关系数确定第二线性特征表达式对应的操作链/数据流的合法性。步骤s3包括步骤s31-s33：s31、根据得到的第二线性特征表达式查找近似的第一线性特征表达式。
[0051]
本实施例中，根据步骤s2得到的特征表达式f(x)，在步骤s1的函数库中查找近似
表达式f(x)。
[0052]
s32、计算第一线性特征表达式与第二线性特征表达式的互相关系数。
[0053]
本实施例中，函数f(x)与f(x)互相关系数r的计算方法如下所示：。
[0054]
s33、设置阈值λ，并判断所述互相关系数是否大于所述阈值，当所述互相关系数大于所述阈值时，认为第二线性特征表达式对应的操作链/数据流合法，否则认为第二线性特征表达式对应的操作链/数据流非法。
[0055]
本实施例中，一般有r≤1，选择阈值λ(一般选择0.9《λ《0.99)，当r》λ时，认为该信息流合法，否则认为信息流非法。计算f(x)与f(x)的互相关系数r高于某个阈值λ，认为步骤s3的特征表达式合法以及该特征表达式代表的操作链/数据流合法；否则认为操作链/数据流非法。
[0056]
针对合法数据流中符合预设排列规律的特征字符/字符串分类以及合法数据流中的特征字符/字符串每次在整个数据流出现时的时延要求分类的情况，步骤s3包括步骤s34-s37：s34、计算f1(x)与fa(x)的互相关系数r1，及计算f2(x)与fb(x)的互相关系数r2；s35、设置阈值λ；s36、若r1及r2均大于λ，则对应的操作链/数据流合法；s37、若r1和/或r2不大于λ，则对应的操作链/数据流非法。
[0057]
本案提供如下实施例（3）：在实施例（2）中经多目标融合的卡尔曼滤波处理后的表达式f(x,y)=[fa(x),fb(y)]=[2x+0.001,0.99y],(x,y=1,2,3)可匹配到表达式库中的表达式f(x,y)=[f1(x),f2(y)]=[2x,y], (x,y=1,2,3)，经计算得到fa(x)与f1(x)互相关系数r1及fb(y)与f2(y)互相关系数r
12
，如1≥r1＞λ与1≥r
12
＞λ同时成立，表示该数据流合法；若1≥r1＞λ与1≥r
12
＞λ有一个不成立或均不成立，表示数据流非法。
[0058]
本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储介质中，并由处理器进行加载和执行。为此，本发明实施例提供一种存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本发明实施例所提供的任一种多目标信息融合的卡尔曼滤波网络防控方法中的步骤。
[0059]
其中，该存储介质可以包括：只读存储器(rom，read only memory)、随机存取记忆体(ram，random access memory)、磁盘或光盘等。
[0060]
由于该存储介质中所存储的指令，可以执行本发明实施例所提供的任一种多目标信息融合的卡尔曼滤波网络防控方法中的步骤，因此，可以实现本发明实施例所提供的任一种多目标信息融合的卡尔曼滤波网络防控方法所能实现的有益效果，详见前面的实施例，在此不再赘述。
[0061]
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。