CN103095728B - 一种基于行为数据融合的网络安全评分***和方法 - Google Patents

Abstract

本发明涉及一种基于行为数据融合的网络安全评价***和方法，所述***包括设置在各单节点的评价模块、学习模块、标准行为特征库，信息处理模块设置在网关中，各单节点通过网络与网关连接，该***的各单节点处理本节点的信息，网关对每个节点处理完成的反馈数据进行信息融合和网络状况分析，其中：评价模块用于评价来自于用户发生过连接关系的节点以及节点之间的因果关系；学习模块用于对用户进行分类以及比较每个时间段的变化；标准行为特征库模块用于检测典型异常行为特征和可疑行为特征；信息处理模块对网络内的所有单节点安全等级状况进行计算。采用该方法可区分隐藏在正常网络中的恶意行为特征，提高网络安全检测的可靠性。

Description

一种基于行为数据融合的网络安全评分***和方法

技术领域

本发明属于网络安全技术领域，特别涉及一种基于行为数据融合的网络安全评分***和方法。

背景技术

恶意软件包括病毒、蠕虫、木马等，它们在互联网中的传播对于网络用户存在巨大的威胁，针对恶意软件传播的特性，行为特征的检测是目前较为流行且有效的检测方法，它的优势在于能够及时的发现传播行为，且能够根据恶意软件的行为特征对一些未知的恶意软件传播实现早期检测，目前这种方法的问题在于存在较高的误报率，诸如通过检测一个时间段内连接的IP地址的方法来发现蠕虫的扫描，但在目前的P2P网络盛行的情况下，短时间内连接多个IP地址同样可以是正常的网络行为，许多恶意软件设计者都会尽可能的将恶意软件的传播行为伪装得和正常数据流量一致，这样为安全检测工作增加了难度，如何区分隐藏在正常网络中的恶意行为特征是目前较难解决的问题。

发明内容

本发明的目的是提供一种基于行为数据融合的网络安全评分***和方法，采用该方法可以区分隐藏在正常网络中的恶意行为特征，提高了网络安全检测的可靠性。

本发明的技术方案如下：

一种基于行为数据融合的网络安全评价***，包括设置在各单节点的评价模块、学习模块、标准行为特征库，信息处理模块设置在网关中，各单节点通过网络与网关连接，该***的各单节点处理本节点的信息，网关对每个节点处理完成的反馈数据进行信息融合和网络运行状况分析，其中：

评价模块用于评价来自于用户发生过连接关系的节点以及节点之间的因果关系；

学习模块用于对用户进行分类以及比较每个时间段的变化；

标准行为特征库模块用于检测典型异常行为特征和可疑行为特征；

信息处理模块对网络内的所有单节点安全等级状况进行计算，并将计算值作为网络状况分析的参数值。

所述评价模块包含人工评价模块和机器反馈模块，其中，机器反馈模块通过分析节点之间的连接关系，利用反馈算法自动做出因果关系的判断。

所述学习模块包括自主学习模块和自适应学习模块，其中，自主学习模块用于对每种输出连接请求征求用户的意见，作为以后的工作方式；自适应学习模块通过对用户一段时间内的使用习惯进行记录和分析，并将分析结果以评分值传递给网关，同时对不同时间段的结果进行比较和更新。

所述信息处理模块由信息融合模块、网络状况分析模块和评分模块组成，网络状况分析模块通过提取网络数据对当前的网络运行状况进行分析，并将其结果反馈给评分模块，作为一个评价参数；信息融合模块将来自评价模块、学习模块和标准行为特征库的信息进行综合分析；评分模块综合信息融合模块的分析结果和网络状况模块的分析结果，得出评分结果，反馈给用户，并给出参考意见。

所述网关管理至少一个单节点，所述单节点为终端设备，所述终端设备为计算机、手机等。

基于行为数据融合的网络安全评价方法，有以下步骤：

1）在上述的网络安全评价***中，单节点的用户根据自身情况设置参数，配置评价模块、学习模块、标准行为特征库的权值比例；

2）选择学习模式，对用户的安全等级分类，将其安全等级信息传递给网关的信息融合模块和网络状况分析模块；

3）开启评价模块，其中，人工评价在两个节点之间直接评价；机器反馈则采用反馈算法进行评价，将评价结果传递给网关的信息融合模块；

4）检测，当检测到网络异常行为特征时，将其与标准行为特征库比对，若为典型异常行为特征，直接报警；若为可疑行为特征，则启动机器反馈机制得到判定结果，将判定结果传递给评价模块，评价模块将评价结果传递给网关的信息融合模块；

5）信息融合模块对评价模块、学习模块、标准行为特征库的信息进行信息融合；网络状况分析模块通过提取数据流量对当前的网络运行状况的分析（如一个IP地址在一个很短时间段内向多个IP地址发送扫描信息，则该行为所产生的数据流量可以被认定为异常数据流量），并将分析结果传递给评分模块，作为评价参数；评分模块对得到的信息融合模块的分析结果和网络状况模块的分析结果进行评分计算，并将计算结果传递给对应的单节点用户。

步骤2）所述的安全等级分类，采用安全等级值c_k分类，其中安全等级值c_k的计算公式为：

式中，k＝1,2，...10为安全等级为c_k下的条件概率分布，P(C＝c_k)为各个安全等级出现的先验概率，a表示当前的网络污染值，b表示当前的信息融合值，y(t)为信息融合值，为网络污染值。

网络污染值为网络运行状况时的异常数据流量与整个数据流量的比，

信息融合采用加权平均法计算：

$\left\{\begin{array}{c}y\left(t\right)=\mathrm{\αXp}\left(t\right)+\mathrm{\βXs}\left(t\right)+\mathrm{\γ}{X}_d\left(t\right)\\ \mathrm{\α}+\mathrm{\β}+\mathrm{\γ}=1\end{array}\right.$

式中，Xp(t)是通过机器反馈算法或者人工评价得到评价值，Xs(t)是通过学习模块得到的评分值，X_d(t)是标准行为特征库的判定值，α,β和γ分别表示评价模块，学习模块和标准行为特征库的权值。

步骤5）中的评分模块的评分计算方法为：

Score＝φ(c_k)·y(t)，

其中φ(c_k)是由安全等级c_k决定一个非线性加权，定义为：

$\mathrm{\φ}\left(c_k\right)=50+({(10\·c_k)}^{\frac{1}{2}}\·10)\·0.5.$

步骤2）选择学习模式时，若选择自适应学习模式，通过比较各个时间段的网络使用情况的变化，结合用户的安全等级作出潜在的异常网络数据作出预判，例如：如果网络的某个时段内出现了网络数据剧增的情况，有可能是病毒进行类似扫描方式的传播，也可能是由于网络内用户在传输大的数据包，如果说网络内的用户安全等级较低，则判定为病毒扫描的可能性相对较大，需进行进一步杀毒处理。

本发明所述***的优点：

（1）对于各种行为特征实现信息融合，对于恶意行为特征实现一个综合判断；

（2）每个用户的使用计算机***也不一样，将部分决定权交给用户，用户可以根据自己的情况设定自己的判决权值；

（3）加入了评价机制，相邻节点的评价作为信息融合的一个判决元素。

本发明将行为特征信息融合、自主判断和相邻节点的辅助评价相结合，在保持恶意软件行为特征检测的快速性优点下，能够进一步提高恶意软件的检测精度，同时给每个用户自主判断的权利，减小检测软件对于用户使用的影响。

附图说明

图1为本发明所述***示意图；

图2为***部署图；

图3为机器反馈算法一种实施例的示意图；

图4为本发明所述方法的流程图

具体实施方式

参见图1和图2，基于行为数据融合的网络安全评价***，包括设置在各单节点的评价模块、学习模块、标准行为特征库模块，信息处理模块设置在网关中，各单节点通过网络与网关连接，该***的各单节点处理本节点的信息，网关对每个节点处理完成的反馈数据进行信息融合和网络运行状况分析。其中，

学习模块包括：自主学习和自适应学习。自主学习的方法类似于防火墙的使用方式，在初次使用的时候，对于每种输出连接请求都会征求用户的意见，同时记住用户的选择，作为以后的工作方式，这种自主学习对于用户的要求较高，用户需要能够自主判断当前的连接是否为合法连接，并作出是否将这类连接作为合法连接的判断。自适应学习的方式是通过对用户一段时间内的使用习惯进行记录和分析，同时对不同时间段的结果进行比较和更新。

学习模块有两个作用：（1）对于用户进行分类，不同用户的使用习惯不一样，有些用户喜欢使用P2P网络上传或者下载，有些用户仅仅喜欢浏览网页，这两类用户的网络连接的特性会有很大的差别，通过学习，将不同类的用户进行分类，如网关所管理的网络内使用P2P网络上传或者下载的用户数量较多，则一旦检测到网络数据流量变大，该行为被判定为恶意软件传播行为的概率相对较小，相反，此概率相对较高；（2）自适应学习分时间段进行，比较每个时间段的变化可以发现一些潜在的恶意软件行为，如相邻时间段的数据流量的变化太大，则可以判断存在恶意软件传播的可能性。

标准行为特征库包含两类数据：典型异常行为特征和可疑行为特征。典型异常行为特征是发现并经过证明的现有恶意软件的典型行为特征，且区别于正常网络连接；可疑行为特征是发现并经过证明的现有恶意软件的典型行为特征，但和正常的网络连接行为具有一定的相似性。例如，经过证明，很多蠕虫进行传播的方式都采用了扫描计算机漏洞的方式，但有些蠕虫扫描的是固定的计算机端口，且扫描的频率和正常的网络数据连接频率区别较大，这一类的行为特征称为典型行为特征，比较容易被判定，而另外一些蠕虫同样采用扫描漏洞的方式，但是它们扫描的计算机端口不固定，且扫描的频率可以变化，可以和正常的网络数据连接频率一致，这一类的行为特征不容易被判定，称为可疑行为特征。检测到典型异常行为特征可以直接报警，而检测到可疑行为特征则需要则采用反馈算法做进一步分析验证。

评价模块用于评价用户的相邻节点，即和用户发生过连接关系的节点。评价原则主要体现了节点之间的因果关系，例如节点A从节点B处下载了文件后出现了异常行为特征，则节点A很大的可能性是造成节点B感染的原因，节点B反馈给节点A的信息对于节点A的恶意软件检测有很大的帮助。评价模块包含两个部分：人工评价和机器反馈。

人工评价：节点B在从节点A下载了文件以后，直接给节点A反馈评价信息。人工评价有两个弊端：（1）随意的评价和恶意的评价考验评价模块的鲁棒性；（2）用户的参与度会影响评价模块的有效性。机器反馈的方式能够克服这这种弊端，通过分析节点之间的连接关系，利用反馈算法自动做出因果关系的判断，在不影响节点正常使用的情况下实现自动反馈。

信息处理模块类似一个专家***，由信息融合模块、网络状况分析模块和评分模块组成。在不同的时间段，网络运行状况具有差异性，不同时刻的网络状况也会不同，网络状况分析模块通过提取数据流量对当前的网络运行状况的分析（如一个IP地址在一个很短时间段内向多个IP地址发送扫描信息，则该行为所产生的数据流量可以被认定为异常数据流量），并将分析结果传递给评分模块，作为评价参数。网络运行状况与网络内用户安全等级和网络内异常行为特征所占比例相关，若当网络内的用户安全等级越高，则相应的网络污染状况低，网络内的用户安全等级越低，则相应的网络污染高；若当网络内的异常行为特征少，则相应的网络污染低，网络内的异常行为特征多，则相应的网络污染高。信息处理模块会对网络内的对应的节点安全等级状况进行统计计算，并将计算值作为网络运行状况分析的参数值；信息融合模块将来自评价模块、学习模块和标准行为特征库的判断信息实现综合分析；评评分模块对得到的信息融合模块的分析结果和网络状况模块的分析结果进行评分计算，并将计算结果反馈给相应的用户，同时给出参考意见。

本发明所述***，每个单节点向网络传输数据都必须通过自身的网关，所述单节点为计算机、手机等终端设备，每个网关管理一台或多台终端设备，如计算机等。该***的配置原则是：减小对网关的影响，减小对单个节点的影响。当网关管理局域网内的多台计算机，如果网关受到影响，则会影响局域网内所有计算机的网络使用，所以***首先必须要减少对网关的影响，将部分任务（评价模块、学习模块和标准行为特征库）配置给单节点，单节点只需要处理本节点的信息，所以对单节点的影响不会太大；网关只需要对每个节点处理完成的反馈数据实现信息融合，运行的信息处理算法比较单一，对于网关的负荷影响不大。

采用本发明所述***进行网络安全评分的方法如下，参见图4：

1.用户根据自身情况设置参数，对评价模块、学习模块、标准行为特征库三个模块的权值比例分配。

在进行加权平均的时候，因为标准行为特征库起着非常重要的作用，因而它的加权系数不得小于50%，而另外的50%则由评价模块和学习模块共同分享。，如：比较精通网络安全知识的用户可以更多的依靠自我的判断能力，将标准行为特征库的加权系数设置为50%，将评价模块的加权系数设置为10%，而学习模块的加权系数设置为40%等等。

2.选择学习模式，对用户的安全等级实现分类。

单节点的安全等级值c_k通过每个节点的学***衡，而调整系数可以针对安全等级进行选择，此处为方便讨论，可以直接设置为1，得到其中，在网络非常安全（安全等级为10的时候），结合安全等级值c_k对当前网络进行评分，由上述得知y(t)∈[0,1]，通过贝叶斯方法给出网络污染概率的判定：

由上所知，安全等级值c_k为大于等于1而小于等于10的整数，通过观测网络数据流量，统计出各个安全等级出现的先验概率P(C＝c_k)，由于网络安全等级与网络污染值信息融合值y(t)密切相关，因而可以得到安全等级为c_k下的条件概率分布：

通过求解联合概率分布即可获得当前网络的感染情况（评分）。由贝叶斯方法，可得：

通过此公式，可以计算出在当前的和y(t)下P(C＝c_k)出现的概率值，通过选择最大值（即表达最可能出现的c_k）作为当前网络的安全等级：

网络安全等级值c_k通过对网络内每个节点的学***均值得到。式中，a表示当前的网络污染值，b表示当前的信息融合值，c_k表示网络安全等级值，表示网络污染值，y(t)表示信息融合值，。

3.如果选择自主学习模块，自主学习的方法类似于防火墙的使用方式，在初次使用的时候，对于每种输出连接请求都会征求用户的意见，同时记住用户的选择，作为以后的工作方式，这种自主学习对于用户的要求较高，用户需要能够自主判断当前的连接是否为合法连接，并作出是否将这类连接作为合法连接的判断用户可以自主对于网络的应用程序；如果选择自适应学习模式，通过比较各个时间段的网络使用情况的变化，结合用户的安全等级作出一些潜在的异常网络数据作出一些预判；

4.监测到网络数据出现异常行为特征，将该异常行为特征与标准行为特征库比对，如果是典型异常行为特征，直接报警，如果是可疑行为特征，则启动机器反馈机制；

5.开启评价模块，可以接受相邻节点的评价信息，人工评价可以在两个节点之间直接完成，机器反馈则需要通过反馈算法实现。

机器反馈算法的步骤如下：

（1）用户设定数据周期参数cn，时间周期参数表示确认感染连接所需要的集群节点数，参数的确定决定了***检测的灵敏度，数值越低灵敏度越高，但同时检测的误报率会相应增加；

（2）节点监控到异常数据以后，会向连接子节点发送标示信息，信息结构：(数据+st+cn)；st为当前异常数据的行为特征，由于每个节点终端都安装了相同的标准行为库，所以每个节点都能够对于st的特征进行识别；

（3）接收数据节点作为发送节点的子节点，保存来自父节点的行为特征，同时将cn值减1，保存为函数F_i→j(st，cn)，i表示父节点，j表示子节点。

（4）接收数据节点监控到自己出现异常数据以后，搜索存储的具有相同异常行为特征值st的函数F_i→j(st，cn)；判断cn值，如果cn＝1，则表示此数据周期结束，则将发送此信息的父节点发送反馈信息，同时将此函数清零，表示此路节点集群判断结束，否则向新的子节点发送标示信息。

机器反馈算法原则是：节点在被感染之后必然会以相同的方式感染其他节点，以节点集群的方式确认感染连接。

图3为机器反馈算法的一种实施例：

（1）节点A和节点B分别为两个源节点，分别设置时间周期参数cn1＝3和cn2＝2；

（2）节点A连接节点C出现了异常数据行为特征st1，节点B连接节点C出现了异常数据行为特征st2，节点C分别保存两组函数F_A→C(st1，2)和F_B→C(st2，1)；

（3）节点C连接节点F出现了异常数据行为特征st2，由于cn2＝1，表示此路节点集群判断结束，异常数据行为特征被确认，则节点C对节点B完成机器反馈；

（4）节点C连接节点D出现了异常数据行为特征st1，节点D保存函数F_C→D(st1，1)；

（5）节点D连接节点E出现率异常数据行为特征st1，由于cn1＝1，表示此路节点集群判断结束，异常数据行为特征被确认，则节点D通过节点C对节点A完成机器反馈；

6.将评价模块、学习模块、标准行为特征库的比对信息发送给信息处理模块，信息模块对各类信息实现信息融合，再结合当前网络运行状况，结合贝叶斯公式作出专家判断，并将结果反馈给对应的单个节点。

信息处理算法：

信息处理的功能主要是将单个节点收集到多种信息根据该节点的配置方案进行融合，再结合当前的网络状况进行评分，将最终的判断结果反馈给该节点。

信息融合采用加权平均法实现：

$\left\{\begin{array}{c}y\left(t\right)=\mathrm{\αXp}\left(t\right)+\mathrm{\βXs}\left(t\right)+\mathrm{\γ}{X}_d\left(t\right)\\ \mathrm{\α}+\mathrm{\β}+\mathrm{\γ}=1\end{array}\right.$

其中Xp(t)是通过机器反馈算法或者人工评价得到的，而Xs(t)则是通过学习模块得到的异常值信息，而X_d(t)则是通过标准行为特征库得到的信息，α,β和γ分别表示评价模块，学习模块和标准行为特征库的权值。通过此方法将各个模块的信息统一起来，得到对于网络异常情况的综合判定。

因为此加权系数的和为1，对应的各个函数值均在[0,1]之间，因而信息融合的异常值判定也会在[0,1]之间。

网络状况分析通过配置在网关的数据监测模块实现，通过对统计时间段内异常数据流量在整个数据流量的比例来实现，网络状况和网络内的节点安全等级相关，且和安全等级值成反比关系，通过网络污染值体现，定义网络污染值为：

求出网络的安全等级值c_k后，可以通过安全等级、信息融合值和网络异常值对网络进行评分，评分的原则：网络安全级越高，则出现的异常的概率越低，评分也就应该越高。评分计算公式为：

Score＝φ(c_k)·y(t)

其中φ(c_k)是由安全等级c_k决定一个非线性加权，定义为：

$\mathrm{\φ}\left(c_k\right)=50+({(10\·c_k)}^{\frac{1}{2}}\·10)\·0.5$

通过设置好的阈值就可以判断网络是否被污染，并反馈给异常数据节点，并给出参考意见。

下表为不同安全等级下，对信息融合值y(t)进行处理以后得到的最终评分结果：

由上表可知，在安全等级比较低的情况下，即使单个用户的信息融合值比较高，但是由于整个网络处于较为危险的状态，所以反馈给用户的评分值也不会太高，用户可以综合信息融合值、安全等级以及最终评分值作出判断是否需要进行进一步杀毒处理；而在安全等级较高的情况下，最终评分值和信息融合值差异不大，最终评分值能够真实反应单个用户的网络状况，用户可以直接根据最终评分值作出判断是否需要进一步进行杀毒处理。如上表所示，将评分结果分为三个等级：优、中和差。80分以上的表示当前用户处于安全状态，60分-79分表示用户当前的状态可能存在一定的安全隐患，建议用户可以检查当前计算机使用情况做一个自我检查，如判断当前是否正在使用P2P软件进行文件下载等，或者用查毒软件进行扫描，60分以下表示当前用户处于极度不安全状态，强烈建议用户进行杀毒处理。

Claims (10)

1.一种基于行为数据融合的网络安全评价***，其特征在于，包括设置在各单节点的评价模块、学习模块、标准行为特征库，信息处理模块设置在网关中，各单节点通过网络与网关连接，该***的各单节点处理本节点的信息，网关对每个节点处理完成的反馈数据进行信息融合和网络运行状况分析，其中：

评价模块用于评价来自于用户发生过连接关系的节点以及节点之间的因果关系；

学习模块用于对用户进行分类以及比较每个时间段的变化；

标准行为特征库模块用于检测典型异常行为特征和可疑行为特征；

信息处理模块采用二级评分机制，一级为单节点网络安全信息分析，一级为当前网络运行状况的安全信息分析，综合两级分析结果，得出最终安全评分结果。

2.根据权利要求1所述的基于行为数据融合的网络安全评价***，其特征在于：所述评价模块包含人工评价模块和机器反馈模块，其中，机器反馈模块通过分析节点之间的连接关系，利用反馈算法自动做出因果关系的判断。

3.根据权利要求1所述的基于行为数据融合的网络安全评价***，其特征在于：所述学习模块包括自主学习模块和自适应学习模块，其中，自主学习模块用于对每种输出连接请求征求用户的意见，作为以后的工作方式；自适应学习模块通过对用户一段时间内的使用习惯进行记录和分析，并将分析结果以评分值传递给网关，同时对不同时间段的结果进行比较和更新。

4.根据权利要求1所述的基于行为数据融合的网络安全评价***，其特征在于：所述信息处理模块由信息融合模块、网络状况分析模块和评分模块组成，网络状况分析模块通过提取网络数据对当前的网络运行状况进行分析，并将其结果反馈给评分模块，作为一个评价参数；信息融合模块将来自评价模块、学习模块和标准行为特征库的信息进行综合分析；评分模块综合信息融合模块的分析结果和网络状况分析模块的分析结果，得出评分结果，反馈给用户，并给出参考意见。

5.根据权利要求1所述的基于行为数据融合的网络安全评价***，其特征在于：所述网关管理至少一个单节点，所述单节点为终端设备。

6.一种基于行为数据融合的网络安全评价方法，其特征在于，有以下步骤：

1)在权利要求1所述的网络安全评价***中，单节点的用户根据自身情况设置参数，配置评价模块、学习模块、标准行为特征库的权值比例；

2)选择学习模式，对用户的安全等级分类，将其安全等级信息传递给网关的信息融合模块和网络状况分析模块；

3)开启评价模块，其中，人工评价在两个节点之间直接评价；机器反馈则采用反馈算法进行评价，将评价结果传递给网关的信息融合模块；

4)检测，当检测到网络异常行为特征时，将其与标准行为特征库比对，若为典型异常行为特征，直接报警；若为可疑行为特征，则启动机器反馈机制得到判定结果，将判定结果传递给评价模块，评价模块将评价结果传递给网关的信息融合模块；

5)信息融合模块对评价模块、学习模块、标准行为特征库的信息进行信息融合；网络状况分析模块通过提取数据流量对当前的网络运行状况的分析，并将分析结果传递给评分模块，作为评价参数；评分模块对得到的信息融合模块的分析结果和网络状况分析模块的分析结果进行评分计算，并将计算结果传递给对应的单节点用户。

7.根据权利要求6所述的方法，其特征在于，步骤2)所述的安全等级分类，采用安全等级值c_k分类，其中安全等级值c_k的计算公式为：

式中，为当k＝1,2,...10时，安全等级为c_k下的条件概率分布，P(C＝c_k)为各个安全等级出现的先验概率，a表示当前的网络污染值，b表示当前的信息融合值，y(t)为信息融合值，为网络污染值。

8.根据权利要求7所述的方法，其特征在于，网络污染值为网络运行状况时的异常数据流量与整个数据流量的比，

9.根据权利要求6所述的方法，其特征在于，信息融合采用加权平均法计算：

$\left\{\begin{array}{c}y\left(t\right)=\mathrm{\α}Xp\left(t\right)+\mathrm{\β}Xs\left(t\right)+{\mathrm{\γX}}_d\left(t\right)\\ \mathrm{\α}+\mathrm{\β}+\mathrm{\γ}=1\end{array}\right.$

式中，Xp(t)是通过机器反馈算法或者人工评价得到评价值，Xs(t)是通过学习模块得到的评分值，X_d(t)是标准行为特征库的判定值，α,β和γ分别表示评价模块，学习模块和标准行为特征库的权值。

10.根据权利要求7所述的方法，其特征在于：步骤5)中的评分模块的评分计算方法为：

Score＝φ(c_k)·y(t)，

其中φ(c_k)是由安全等级c_k决定一个非线性加权，定义为：

$\mathrm{\φ}\left(c_k\right)=50+({\left(10\·c_k\right)}^{\frac{1}{2}}\·10)\·\mathrm{0.5.}$