CN107046534A

CN107046534A - 一种网络安全态势模型训练方法、识别方法及识别装置

Info

Publication number: CN107046534A
Application number: CN201710182743.9A
Authority: CN
Inventors: 邹培利; 林小淞; 张靠勤
Original assignee: XIAMEN ZHUOXUN INFORMATION TECHNOLOGY Co Ltd
Current assignee: XIAMEN ZHUOXUN INFORMATION TECHNOLOGY Co Ltd
Priority date: 2017-03-24
Filing date: 2017-03-24
Publication date: 2017-08-15

Abstract

本发明属于计算机网络安全、机器学习技术领域，具体涉及一种网络安全态势模型训练方法、识别方法及识别装置。该网络安全态势模型训练方法，它包括以下步骤：S101、获取网络数据；S102、从所述网络数据中提取网络数据样本；S103、处理提取的网络数据样本，对网络数据进行分析，得到网络数据的属性值，将网络数据的属性值与网络数据是否安全对应；S104、对网络数据属性值进行分析处理，得到网络数据属性值的特征向量；S105、通过网络数据属性值的特征向量，确定线性分类器的参数。

Description

一种网络安全态势模型训练方法、识别方法及识别装置

技术领域

本发明属于计算机网络安全、机器学习技术领域，具体涉及一种网络安全态势模型训练方法、识别方法及识别装置。

背景技术

近年来，随着移动互联网和智能终端时代的到来与普及，人们的线上行为越来越频繁，营销规模越来越大，各种社交网络组成了复杂、异构的大规模网络。然而，由于通信网络存在可移动性、可扩展性、大规模性、泛在性等特性，在网络渗入人们社会生活的同时，也成为黑客攻击的首要目标，导致网络安全漏洞数量持续快速增长。因此，安全问题必将成为未来大规模网络首要解决的问题。

互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的共享、开放、灵活和快速等需求得到满足。网络环境为共享、交流、服务创造了理想空间的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题：泄漏、污染、不易受控。

参考专利文献CN106453293A公开了一种基于混沌理论与神经网络相结合的网络安全态势预测方法，包括采用互信息法和cao氏法对归一化后的网络安全态势值序列集合进行处理得到网络安全态势样本值的最佳嵌入维数并进行相空间重构，分析重构后样本的最大李雅普诺夫指数来得到评估出来的样本是否具有混沌预测性；根据非线性时间序列的特点与经验确定反向传播神经网络的输出层与隐含层的节点数；利用改进的萤火虫算法进行参数寻优，从而确定网络权值和偏置值，建立网络安全态势的预测模型；测试样本输入到BP神经网络中进行预测，并将得到的预测值反归一化。参考专利文献CN106302522A公开了一种基于神经网络和大数据的网络安全态势分析方法和***，该***包括数据采集模块、数据分析模块和态势预测模块，数据采集模块在Flume组件上实现分布式的大数据采集；数据分析模块基于MapReduce并行化计算框架实现大数据的分布式处理；前两个模块包含在神经网络的输入层中，通过隐含层对输入层数据的融合处理传送给输出层，输出层通过局部态势判决结果，得出总体的安全态势分析预测情况，将这些有价值的数据存储在HBASE数据库中方便后续查询和展示。

上述参考专利文献对于网络安全态势的分析预测，均采用的是神经网络算法，神经网络算法具有以下缺点：1.局部极小化问题，导致每次训练得到不同的结果；2.神经网络算法的收敛速度慢；3.神经网络结构选择不一；4.神经网络预测能力和训练能力存在一定的矛盾。

发明内容

针对现有技术存在的不足之处，本发明提出了一种网络安全态势模型训练方法、识别方法及识别装置，该训练方法为特征空间上的间隔最大的线性分类器，其学习模型便是间隔最大化，最终可转化为一个凸二次规划问题的求解，在网络入侵感知过程，充分地参考历史网络攻击数据，预测未来网络数据流中潜在的威胁，提升网络安全感知的准确度，降低预测误差。

本发明采用如下技术方案：

一种网络安全态势模型训练方法，它包括以下步骤：

S101、获取网络数据；

S102、从所述网络数据中提取网络数据样本；

S103、处理提取的网络数据样本，对网络数据进行分析，得到网络数据的属性值，将网络数据的属性值与网络数据是否安全对应；

S104、对网络数据属性值进行分析处理，得到网络数据属性值的特征向量；

S105、通过网络数据属性值的特征向量，确定线性分类器的参数。

进一步的，步骤S102中网络数据样本包括安全的网络数据样本和不安全的网络数据样本。

进一步的，步骤S103中网络数据的属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制协议端口中的至少一种。

进一步的，步骤S105线性分类器采用支持向量机模型。

一种网络安全态势识别方法，包括以下步骤：

S201、获取网络数据；

S202、处理网络数据，得到网络数据的属性值，对网络数据属性值进行分析处理，得到网络数据属性值的特征向量；

S203、将网络数据属性值的特征向量输入线性分类器；

S204、根据线性分类器的输出结果对所获取的网络数据进行分类识别。

进一步的，步骤S204的分类识别包括：

若线性分类器输出结果大于零，则表示获取得的网络数据安全；

若线性分类器输出结果小于零，则表示获取得的网络数据不安全。

进一步的，步骤S202中网络数据的属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制协议端口中的至少一种。

一种网络安全态势识别装置，包括

网络数据获取模块，用于获取网络数据；

网络数据处理模块，用于处理网络数据，得到网络数据的属性值，对网络数据属性值进行分析处理，得到网络数据属性值的特征向量；

线性分类器，计算获取网络数据的识别值；

分类模块，判断所获取的网络数据的类别。

进一步的，线性分类器采用支持向量机模型。

本发明相对于与其他传统的神经网络学习模型算法不同之处在于：1.基于结构风险最小化原则，避免了过学习问题，泛化能力强；2.针对凸优化问题，在局部最优解学习模型上是全局最优解的优点；3.非线性分类进行低纬非线性转化为高线性处理。特征空间线性分类学习模型在网络空间数据流中的样本学习上具备优秀的泛化能力，得到对数据分布的结构化描述，降低了对数据规模和数据分布的要求。

附图说明

图1是网络安全态势模型训练方法的流程图；

图2是网络安全态势识别方法的流程图；

图3是网络安全态势识别装置的结构图。

具体实施方式

为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。

现结合附图和具体实施方式对本发明进一步说明。

参阅图1所示，为一种网络安全态势模型训练方法的流程图，它包括以下步骤：

S101、获取网络数据。

随着大数据的流行，采集大量的网络数据，根据需要采集的网络数据样本数量，确定采集网络数据集合大小，假设网络数据样本数量为N，则采集的网络数据需要大于或等于3N。

S102、从所述网络数据中提取网络数据样本。

从网络数据集合中随机选择网络数据样本，为了使得网络数据样本具有一定代表性，则网络数据样本的数量N大于1000，且该网络数据样本包括安全的网络数据样本和不安全的网络数据样本。

S103、处理提取的网络数据样本，对网络数据进行分析，得到网络数据的属性值，将网络数据的属性值与网络数据是否安全对应。

对所有的网络数据样本进行预处理，分析获得网络数据的属性值，该实施例网络数据的属性值包括源物理端口和源IP地址，将网络数据的属性值与网络数据是否安全对应，网络数据样本分为两类：安全和不安全。

S104、对网络数据属性值进行分析处理，得到网络数据属性值的特征向量。

将所有网络数据的源物理端口和源IP地址进行分析处理，得到网络数据的特征向量，即网络数据x(x₁,x₂),x₁代表源物理端口，x₂代表源IP地址，y表示该网络数据是否安全，y表示两类：安全、不安全。

网络数据样本处理后采用二元对表示(x_i,y_i),i＝1,…,N，

x_i∈R²，2维模式样本向量

y_i∈{+1,-1}，样本的相应类别标号

当x_i安全时，y_i＝1；当x_i不安全时，y_i＝－1。

将网络数据样本(x_i,y_i)代入公式并求Q(λ)的极值，其中，x_i为2维向量，y_i∈{1,-1}，i,j＝1,2,…,N，N为网络数据样本总数，结合得到的是λ_i的优解；

计算

S为支持向量集；λ_i ^*为最优解

式中x_s(1)表示属于y＝1的支持向量，

x_s(-1)表示属于y＝-1的支持向量；

W＝W^*,b＝b^*，得到，超平面方式g(x)＝W^Tx+b＝0。

从而得到线性分类器其中z＝W^Tx+b。

需要说明的是，该实施例选取网络数据的属性值仅仅包括源物理端口和源IP地址，本领域技术人员可知，网络数据的属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制协议端口。可从中选择至少一种进行处理。

此外，步骤S105线性分类器采用支持向量机模型。

参阅图2所示，为一种网络安全态势识别方法的流程图，包括以下步骤：

S201、获取网络数据。

获取需要判断网络安全态势的网络数据。

S202、处理网络数据，得到网络数据的属性值，对网络数据属性值进行分析处理，得到网络数据属性值的特征向量。

对网络数据进行预处理，分析获得网络数据的属性值，该实施例网络数据的属性值包括源物理端口和源IP地址，将网络数据的源物理端口和源IP地址进行分析处理，得到网络数据的特征向量，即网络数据x(x₁,x₂),x₁代表源物理端口，x₂代表源IP地址，

S203、将网络数据属性值的特征向量输入线性分类器。

线性分类器其中z＝W^Tx+b。

若线性分类器输出结果z大于零，则表示获取得的网络数据安全；

若线性分类器输出结果z小于零，则表示获取得的网络数据不安全。

该实施例步骤S202中网络数据的属性值还可包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制协议端口中一种或多种。

参阅图3所示，为一种网络安全态势识别装置的结构图，包括

网络数据获取模块，用于获取网络数据；

线性分类器，计算获取网络数据的识别值；

分类模块，判断所获取的网络数据的类别。

该装置的线性分类器采用支持向量机模型。

尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。

Claims

1.一种网络安全态势模型训练方法，其特征在于：它包括以下步骤：

S101、获取网络数据；

S102、从所述网络数据中提取网络数据样本；

2.如权利要求1所述的网络安全态势模型训练方法，其特征在于：所述步骤S102中网络数据样本包括安全的网络数据样本和不安全的网络数据样本。

3.如权利要求1所述的网络安全态势模型训练方法，其特征在于：所述步骤S03中网络数据的属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制协议端口中的至少一种。

4.如权利要求1所述的网络安全态势模型训练方法，其特征在于：所述步骤S105线性分类器采用支持向量机模型。

5.一种网络安全态势识别方法，其特征在于：包括以下步骤，

S201、获取网络数据；

S203、将网络数据属性值的特征向量输入线性分类器；

6.如权利要求5所述的网络安全态势识别方法，其特征在于：所述步骤S204的分类识别包括：

7.如权利要求5所述的网络安全态势识别方法，其特征在于：所述步骤S202中网络数据的属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制协议端口中的至少一种。

8.一种网络安全态势识别装置，其特征在于：包括

网络数据获取模块，用于获取网络数据；

线性分类器，计算获取网络数据的识别值；

分类模块，判断所获取的网络数据的类别。

9.如权利要求8所述的网络安全态势识别装置，其特征在于：所述线性分类器采用支持向量机模型。