一种基于大数据的预测方法及系统与流程

1.本技术涉及数据处理领域，尤其涉及一种基于大数据的预测方法及系统。


背景技术：

2.网络安全，通常指计算机网络的安全，实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来，在通信软件的支持下，实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的，利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来，并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享，通信网络是实现网络资源共享的途径，因此，计算机网络是安全的，相应的计算机通信网络也必须是安全的，应该能为网络用户实现信息交换与资源共享。
3.网络安全既指计算机网络安全，又指计算机通信网络安全，网络安全（cyber security）是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然事件或者恶意事件而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。
4.因此，如何避免因偶然事件或者恶意事件的发生而影响计算网络安全，是目前本领域技术人员急需解决的技术问题。


技术实现要素：

5.本技术提供了一种基于大数据的预测方法及系统，以避免因偶然事件或者恶意事件的发生而影响计算网络安全。
6.为解决上述技术问题，本技术提供如下技术方案：一种基于大数据的预测方法，包括如下步骤：步骤s110、采集发生了网络安全事件的网络中的异常网络行为数据；步骤s120、将异常网络行为数据进行预处理，以筛查合格的异常网络行为数据；步骤s130、将合格的异常网络行为数据按照网络安全事件的类型进行分类；步骤s140、将分类后的同一种类的异常网络行为数据输入神经网络预测模型，得到预测结果。
7.如上所述的基于大数据的预测方法，其中，优选的是，采集的异常网络行为数据是不同种类的数据。
8.如上所述的基于大数据的预测方法，其中，优选的是，计算每个异常网络行为数据的异常度，依靠异常度筛查出合格的异常网络行为数据，将不合格的异常网络行为数据舍弃。
9.如上所述的基于大数据的预测方法，其中，优选的是，通过计算每个异常网络行为数据的异常度，其中为异常网络行为数据的异常度，为网络发
生异常的第种异常源；为异常源的数量；为发生异常前在该网络中的检测时间窗口内的一个异常序列；为异常序列在所有网络中的检测时间窗口内出现的总次数。
10.如上所述的基于大数据的预测方法，其中，优选的是，将同一种类的合格的异常网络行为数据集合在一起形成该种类的异常网络行为数据集，以完成对合格的异常网络行为数据的分类。
11.一种基于大数据的预测系统，包括：采集单元、预处理单元、分类单元、输出单元、神经网络预测模和输出单元；采集单元采集发生了网络安全事件的网络中的异常网络行为数据；预处理单元将异常网络行为数据进行预处理，以筛查合格的异常网络行为数据；分类单元将合格的异常网络行为数据按照网络安全事件的类型进行分类；输出单元将分类后的同一种类的异常网络行为数据输入神经网络预测模型，输出单元输出神经网络预测模型得到的预测结果。
12.如上所述的基于大数据的预测系统，其中，优选的是，采集的异常网络行为数据是不同种类的数据。
13.如上所述的基于大数据的预测系统，其中，优选的是，计算每个异常网络行为数据的异常度，依靠异常度筛查出合格的异常网络行为数据，将不合格的异常网络行为数据舍弃。
14.如上所述的基于大数据的预测系统，其中，优选的是，通过 计算每个异常网络行为数据的异常度，其中为异常网络行为数据的异常度，为网络发生异常的第种异常源；为异常源的数量；为发生异常前在该网络中的检测时间窗口内的一个异常序列；为异常序列在所有网络中的检测时间窗口内出现的总次数。
15.如上所述的基于大数据的预测系统，其中，优选的是，将同一种类的合格的异常网络行为数据集合在一起形成该种类的异常网络行为数据集，以完成对合格的异常网络行为数据的分类。
16.相对上述背景技术， 本技术可以通过网络安全的预测结果判定网络目前的安全性，通过判定的网络目前的安全性，可以提前为操作人员起到提醒作用，避免了因偶然事件或者恶意事件的发生而影响计算网络安全。
附图说明
17.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
18.图1是本技术实施例提供的基于大数据的预测方法的流程图；图2是本技术实施例提供的基于大数据的预测系统的示意图。
具体实施方式
[0019] 下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。
[0020]
实施例一请参阅图1，图1是本技术实施例提供的基于大数据的预测方法的流程图。
[0021]
本技术提供了一种基于大数据的预测方法，包括如下步骤：步骤s110、采集发生了网络安全事件的网络中的异常网络行为数据；网络在运行时会产生很多网络行为数据，而发生网络安全事件时，网络中产生的网络行为数据会出现异常，这些出现异常的网络行为数据即异常网络行为数据。
[0022]
为了预测网络安全事件的发生，需要采集发生了网络安全事件的网络中的异常网络行为数据。而网络安全事件具有很多不同类型，例如：拒绝服务攻击事件、后门攻击事件、网络扫描窃听事件等，在不同类型的网络安全事件中，会产生不同种类的异常网络行为数据，所以采集的异常网络行为数据也可能是不同种类的数据。
[0023]
例如：拒绝服务攻击事件是利用信息系统缺陷或通过暴力攻击的手段，以大量消耗信息系统的cpu、内存、磁盘空间或网络带宽等资源，影响信息系统正常运行为目的的信息安全事件，因此在该种类型的网络安全事件发生时，cpu、内存、磁盘空间或网络带宽等资源的参数是异常网络行为数据。后门攻击事件是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件，因此在该中类型的网络安全事件发生时，后门程序的参数是异常网络行为数据。网络扫描窃听事件是指利用网络扫描或窃听软件，获取信息系统网络配置、端口等特征而导致的信息安全事件，因此在该种类型的网络安全事件发生时，网络配置、端口特征的参数是异常网络行为数据。
[0024]
步骤s120、将异常网络行为数据进行预处理，以筛查合格的异常网络行为数据；采集的异常网络行为数据中可能存在一些干扰数据，而干扰数据的存在会对预测网络安全事件的发生产生影响，因此在采集了异常网络行为数据后，还计算每个异常网络行为数据的异常度，依靠异常度筛选出合格的异常网络行为数据，而将不合格的异常网络行为数据舍弃。
[0025]
具体的，通过 计算每个异常网络行为数据的异常度，其中为异常网络行为数据的异常度，为网络发生异常的第种异常源，即网络发生异常的第种原因；为异常源的数量；为发生异常前在该网络中的检测时间窗口内的一个异常序列；为异常序列在所有网络中的检测时间窗口内出现的总次数。将异常度
大于第一预定值以及小于第二预定值（即：以及 ）的异常网络行为数据舍弃，而将异常度不大于第一预定值且异常度不小于第二预定值（即：）的异常网络行为数据作为合格的异常网络行为数据筛选出来，接下来通过这些合格的异常网络行为数据预测网络安全事件的发生。
[0026]
步骤s130、将合格的异常网络行为数据按照网络安全事件的类型进行分类；由于采集的异常网络行为数据可能是从不同类型的网络安全事件中获得的，所以进行筛选后的合格的异常网络行为数据可能也是不同种类的，因此将同一种类的合格的异常网络行为数据集合在一起形成该种类的异常网络行为数据集，从而完成对合格的异常网络行为数据的分类。
[0027]
具体的，该种类的异常网络行为数据集，其中，为第1时刻的第1个异常网络行为数据、为第1时刻的第个异常网络行为数据、为第1时刻的第个异常网络行为数据、为第时刻的第1个异常网络行为数据、为第时刻的第个异常网络行为数据、为第时刻的第个异常网络行为数据、为第时刻的第1个异常网络行为数据、为第时刻的第个异常网络行为数据、为第时刻的第个异常网络行为数据。例如：为第1时刻的cpu参数、为第1时刻的内存参数、为第1时刻的磁盘空间参数、为第时刻的cpu参数、为第时刻的内存参数、为第时刻的磁盘空间参数、为第 时刻的cpu参数、为第时刻的内存参数、为第时刻的磁盘空间参数。
[0028]
步骤s140、将分类后的同一种类的异常网络行为数据输入神经网络预测模型，得到预测结果；具体的，神经网络预测模型；其中，为输入层到隐含层的权值，为隐含层到输出层的权值；为输入层到隐含层的阈值，为隐含层到输出层的阈值；为隐含层到输出层的函数，为输入层到隐含层的函数。
[0029]
并且，上述神经网络预测模型是通过已经发生了的大量网络安全事件以及大量网络安全事件中的异常网络行为数据训练得到的。具体的，、、、均为通过训
练得到的值；和均是通过训练得到的函数，， ，为自然常数，是一个常数（=0.58）。
[0030]
将已经进行了分类的该种类的异常网络行为数据集中的异常网络行为数据作为输入至上述神经网络预测模型中，将神经网络预测模型的输出作为网络安全的预测结果。
[0031]
若网络安全的预测结果在预定范围内，则认为该网络目前安全，暂时不会发生网络安全事件；若网络安全的预测结果没有在预定范围内，则认为该网络目前不安全，最近可能会发生网络安全事件。此时，操作人员可以注意观察，从而可以提前为操作人员起到提醒作用，避免了因偶然事件或者恶意事件的发生而影响计算网络安全。
[0032]
实施例二请参阅图2，图2是本技术实施例提供的基于大数据的预测系统的示意图。
[0033]
本技术提供了一种基于大数据的预测系统200，包括：采集单元210、预处理单元220、分类单元230、输出单元240、神经网络预测模250和输出单元260。
[0034]
采集单元210采集发生了网络安全事件的网络中的异常网络行为数据。
[0035]
网络在运行时会产生很多网络行为数据，而发生网络安全事件时，网络中产生的网络行为数据会出现异常，这些出现异常的网络行为数据即异常网络行为数据。
[0036]
为了预测网络安全事件的发生，需要采集发生了网络安全事件的网络中的异常网络行为数据。而网络安全事件具有很多不同类型，例如：拒绝服务攻击事件、后门攻击事件、网络扫描窃听事件等，在不同类型的网络安全事件中，会产生不同种类的异常网络行为数据，所以采集的异常网络行为数据也可能是不同种类的数据。
[0037]
例如：拒绝服务攻击事件是利用信息系统缺陷或通过暴力攻击的手段，以大量消耗信息系统的cpu、内存、磁盘空间或网络带宽等资源，影响信息系统正常运行为目的的信息安全事件，因此在该种类型的网络安全事件发生时，cpu、内存、磁盘空间或网络带宽等资源的参数是异常网络行为数据。后门攻击事件是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件，因此在该中类型的网络安全事件发生时，后门程序的参数是异常网络行为数据。网络扫描窃听事件是指利用网络扫描或窃听软件，获取信息系统网络配置、端口等特征而导致的信息安全事件，因此在该种类型的网络安全事件发生时，网络配置、端口特征的参数是异常网络行为数据。
[0038]
预处理单元220将异常网络行为数据进行预处理，以筛查合格的异常网络行为数据。
[0039]
采集的异常网络行为数据中可能存在一些干扰数据，而干扰数据的存在会对预测网络安全事件的发生产生影响，因此在采集了异常网络行为数据后，还计算每个异常网络行为数据的异常度，依靠异常度筛选出合格的异常网络行为数据，而将不合格的异常网络行为数据舍弃。
[0040]
具体的，通过 计算每个异常网络行为数据的异常度，其中为异常网络行为数据的异常度，为网络发生异常的第种异常源，即网络发生异常的第种原因；为异常源的数量；为发生异常前在该网络中的检测时间窗口内的一个异常序列；为异常序列在所有网络中的检测时间窗口内出现的总次数。将异常度大于第一预定值以及小于第二预定值（即：以及）的异常网络行为数据舍弃，而将异常度不大于第一预定值且异常度不小于第二预定值（即：）的异常网络行为数据作为合格的异常网络行为数据筛选出来，接下来通过这些合格的异常网络行为数据预测网络安全事件的发生。
[0041]
分类单元230将合格的异常网络行为数据按照网络安全事件的类型进行分类。
[0042]
由于采集的异常网络行为数据可能是从不同类型的网络安全事件中获得的，所以进行筛选后的合格的异常网络行为数据可能也是不同种类的，因此将同一种类的合格的异常网络行为数据集合在一起形成该种类的异常网络行为数据集，从而完成对合格的异常网络行为数据的分类。
[0043]
具体的，该种类的异常网络行为数据集，其中，为第1时刻的第1个异常网络行为数据、为第1时刻的第个异常网络行为数据、为第1时刻的第 个异常网络行为数据、为第时刻的第1个异常网络行为数据、为第时刻的第个异常网络行为数据、为第时刻的第个异常网络行为数据、为第时刻的第1个异常网络行为数据、为第时刻的第个异常网络行为数据、为第时刻的第个异常网络行为数据。例如：为第1时刻的cpu参数、为第1时刻的内存参数、为第1时刻的磁盘空间参数、为第时刻的cpu参数、为第时刻的内存参数、为第时刻的磁盘空间参数、为第时刻的cpu参数、为第时刻的内存参数、为第时刻的磁盘空间参数。
[0044]
输出单元240将分类后的同一种类的异常网络行为数据输入神经网络预测模型250，输出单元260输出神经网络预测模型250得到的预测结果。
[0045]
具体的，神经网络预测模型；其中，
为输入层到隐含层的权值， 为隐含层到输出层的权值；为输入层到隐含层的阈值，为隐含层到输出层的阈值；为隐含层到输出层的函数，为输入层到隐含层的函数。
[0046]
并且，上述神经网络预测模型是通过已经发生了的大量网络安全事件以及大量网络安全事件中的异常网络行为数据训练得到的。具体的，、、、均为通过训练得到的值；和均是通过训练得到的函数， ，，为自然常数，是一个常数（=0.58）。
[0047]
将已经进行了分类的该种类的异常网络行为数据集中的异常网络行为数据作为输入至上述神经网络预测模型中，将神经网络预测模型的输出
ꢀꢀ
作为网络安全的预测结果。
[0048]
若网络安全的预测结果在预定范围内，则认为该网络目前安全，暂时不会发生网络安全事件；若网络安全的预测结果没有在预定范围内，则认为该网络目前不安全，最近可能会发生网络安全事件。此时，操作人员可以注意观察，从而可以提前为操作人员起到提醒作用，避免了因偶然事件或者恶意事件的发生而影响计算网络安全。
[0049]
对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
[0050]
此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。