基于联系发现技术的网络入侵预测方法
专利名称:基于联系发现技术的网络入侵预测方法
技术领域:
本发明涉及计算机网络安全技术领域,特别涉及一种基于联系发现的网络入侵预测方法。
背景技术:
现在信息和网络技术广泛而深入地渗透到商业、金融、科研、教育、军事以及人们日常生活的各个领域,根据中国互联网络信息中心(CNNIC)与2011年7月19日发布的《第 28次中国互联网络发展状况统计报告》,截止2011年6月31日,中国网民规模达4. 85亿人, 普及率达到36. 2%。网民数量较2010年底增长2770万人。目前,网络游戏、QQ聊天、网上银行和网上炒股等互联网应用曰益流行,用户在这些应用中的账户直接关系到用户在现实世界中的财产,因此网络和信息安全对人们生活甚至国家安全的影响越来越重要。而随着网络技术的发展,网络犯罪活动也日趋猖狂,网站挂马,盗号,服务器攻击等情况屡见不鲜。 尤其是网络服务器攻击,攻击者越来越多,攻击工具与手法日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。另一方面,网络环境也越来越复杂,各式各样的、需要不断升级和补漏的系统使得网络管理员的工作量不断加重,不经意的疏忽便有可能造成安全的重大隐患。网络入侵预测是防火墙的有力补充,帮助系统预先识别网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中不断或者间断的监视用户及系统活动,收集信息,并分析这些信息,然后进行异常模式的统计分析,识别反映已知进攻的活动模式,如有异常则发出警报。但是,由于“大数据时代”的来临,信息量呈现出爆炸式增长,网络数据往往呈现出流式特性,主要体现在以下几个方面(I)数据是实时非匀速到达的;(2)数据达到次序独立, 不受系统控制;(3)数据持续到达,其数量不可预知且原则上只能被访问一次或有限几次。 网络攻击行为与以往已经有较大区别,攻击行为往往潜伏在正常的网络活动中,前期不易发觉,一旦爆发后果极其严重,且发起攻击或者被当成“肉鸡”(肉鸡就是被黑客攻破,种植了木马病毒的电脑,黑客可以随意操纵它并利用它做任何事情,就像傀儡。)的网络基点关系错综复杂,传统的数据处理方法已已不能有效地对这类数据进行处理,很难快速准确地找到入侵风险较闻的关键网络基点。
发明内容
针对网络数据量大且呈现出流式,不能快速准确找到入侵风险较高的关键网络基点的问题,本发明提出基于联系发现技术的网络入侵预测方法,提供一种新的网络入侵行为预测方法以预测“大数据时代”的网络入侵行为,提前预测出入侵风险较高的关键网络基点。为实现以上目的,本发明的基于联系发现技术的网络入侵预测方法,包括步骤A、获取网络基点的网络数据,进行处理生成目标数据;
步骤B、利用目标数据计算网络基点间的相关系数;步骤D、计算网络基点的加权度WDi ;步骤E、计算网络基点的加权聚集系数WCi ;步骤F、根据网络基点的加权聚集度WDi及加权聚集系数WCi计算各网络基点的加权综合特征值WCFi ;步骤G、对各网络基点的加权综合特征值WCFi排序,找出关键网络基点;其中,所述网络基点为受监控的服务器、终端或者路由设备中的任意一种或者任意几种的组合,i为网络基点序号,I ^ i ^ N, N为网络基点个数。作为一种优选实施方式,在步骤B之后,包括步骤C、利用网络基点间的相关系数, 构建网络基点间的完全加权图。所述构建网络基点间的完全加权图为,利用相关系数构建网络基点间的加权图边的权值,重复此过程,得到某段时间内所有数据对象所访问的网络基点间的完全加权图。优选的,还包括对完全加权图进行优化,即设定完全加权图边的权值的阈值,删除权值小于阈值的边,即将小于阈值的完全加权图边的权值设置为O。作为另一种优选实施方式,在步骤G之后,包括对访问关键网络基点的数据对象自身信息进行分析,判断数据对象是否有入侵倾向。优选的,步骤A所述获取网络基点的网络数据,进行处理生成目标数据为,首先采集各受监控的网络基点的访问数据,然后对采集的数据进行处理生成目标数据;所述访问数据包括数据对象在时间段T内所访问的所有网络基点的访问流量、数据的访问行为或者数据对象自身信息的任意一种或任意几种的组合;所述对采集的数据进行处理生成目标数据,包括数据清洗,数据格式转换,数据集成的任意一种或任意几种的组合;所述数据对象自身信息,包括访问协议或/和使用端口。优选的,步骤B所述计算网络基点间的相关系数采用相似度函数
权利要求
1.基于联系发现技术的网络入侵预测方法,其特征在于,包括步骤A、获取网络基点的网络数据,进行处理生成目标数据;步骤B、利用目标数据计算网络基点间的相关系数;步骤D、计算网络基点的加权度WDi ;步骤E、计算网络基点的加权聚集系数WCi ;步骤F、根据网络基点的加权聚集度WDi及加权聚集系数WCi计算各网络基点的加权综合特征值WCFi ;步骤G、对各网络基点的加权综合特征值WCFi排序,找出关键网络基点;其中,所述网络基点为受监控的服务器、终端或者路由设备中的任意一种或者任意几种的组合,i为网络基点序号,I ^ i ^ N, N为网络基点个数。
2.如权利要求I所述方法,其特征在于,在步骤B之后,包括步骤C、利用网络基点间的相关系数,构建网络基点间的完全加权图。
3.如权利要求2所述方法,其特征在于,所述构建网络基点间的完全加权图为,利用相关系数构建网络基点间的加权图边的权值,重复此过程,得到某段时间内所有数据对象所访问的网络基点间的完全加权图。
4.如权利要求3所述方法,其特征在于,还包括对完全加权图进行优化,即设定完全加权图边的权值的阈值,删除权值小于阈值的边,即将小于阈值的完全加权图边的权值设置为O。
5.如权利要求I所述方法,其特征在于,在步骤G之后,包括对访问关键网络基点的数据对象自身信息进行分析,判断数据对象是否有入侵倾向。
6.如权利要求1-5任一所述方法,其特征在于,步骤A所述获取网络基点的网络数据, 进行处理生成目标数据为,首先采集各受监控的网络基点的访问数据,然后对采集的数据进行处理生成目标数据;所述访问数据包括数据对象在时间段T内所访问的所有网络基点的访问流量、数据的访问行为或者数据对象自身信息的任意一种或任意几种的组合;所述对采集的数据进行处理生成目标数据,包括数据清洗,数据格式转换,数据集成的任意一种或任意几种的组合;所述数据对象自身信息,包括访问协议或/和使用端口。
7.如权利要求1-5所述方法,其特征在于,步骤B所述计算网络基点间的相关系数采用相似度函数 其中,A为网络基点间的两个变量间的相关系数,&取值范围为[-1,1],若& > 0,表明两个变量是正相关,^ < 0,表明两个变量是负相关,^ = O表明两个变量不相关,η为要计算的变量的总数,Xi> Ii分别为两个变量的统计值,mx、my分别为变量的平均值,β i为变量相关系数的比例系数,O彡1彡1,且文爲=1。/=!
8.如权利要求7所述方法,其特征在于,步骤D所述计算网络基点的加权度WDi为该网络基点与同一网络环境下的其他网络基点间的相关系数之和,WD'=iWu,其中,Wij = R0J=I
9.如权利要求8所述方法,其特征在于,步骤E所述计算网络基点的加权聚集系数WCi 为,WCi = SWDiZiDi(Di-I),其中,Di是网络基点Si的度,即Si与其它网络基点相关联的边数。
10.如权利要求9所述方法,其特征在于,步骤F所述计算被访问网络基点的加权综合特征值 WCFi 为,WCF]= (dWC, +(I-d)WD,)/ W,其中,3为调节参数,O < 3 < I。
全文摘要
本发明涉及计算机网络安全技术领域,提供一种基于联系发现的网络入侵预测方法,获取网络基点的网络数据,进行处理生成目标数据;计算网络基点间的相关系数;计算网络基点的加权度;计算网络基点的加权聚集系数;计算各网络基点的加权综合特征值;对各网络基点的加权综合特征值排序,找出关键网络基点;有效地解决了网络数据量大且呈现出流式,不能快速准确找到入侵风险较高的关键网络基点的问题,并且,本发明计算量小、响应速度快、准确率高,能有效提高网络安全防护能力。
文档编号H04L12/26GK102611714SQ20121010332
公开日2012年7月25日 申请日期2012年4月10日 优先权日2012年4月10日
发明者徐毅, 朱振国, 王勇, 米波 申请人:重庆交通大学
技术领域:
本发明涉及计算机网络安全技术领域,特别涉及一种基于联系发现的网络入侵预测方法。
背景技术:
现在信息和网络技术广泛而深入地渗透到商业、金融、科研、教育、军事以及人们日常生活的各个领域,根据中国互联网络信息中心(CNNIC)与2011年7月19日发布的《第 28次中国互联网络发展状况统计报告》,截止2011年6月31日,中国网民规模达4. 85亿人, 普及率达到36. 2%。网民数量较2010年底增长2770万人。目前,网络游戏、QQ聊天、网上银行和网上炒股等互联网应用曰益流行,用户在这些应用中的账户直接关系到用户在现实世界中的财产,因此网络和信息安全对人们生活甚至国家安全的影响越来越重要。而随着网络技术的发展,网络犯罪活动也日趋猖狂,网站挂马,盗号,服务器攻击等情况屡见不鲜。 尤其是网络服务器攻击,攻击者越来越多,攻击工具与手法日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。另一方面,网络环境也越来越复杂,各式各样的、需要不断升级和补漏的系统使得网络管理员的工作量不断加重,不经意的疏忽便有可能造成安全的重大隐患。网络入侵预测是防火墙的有力补充,帮助系统预先识别网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中不断或者间断的监视用户及系统活动,收集信息,并分析这些信息,然后进行异常模式的统计分析,识别反映已知进攻的活动模式,如有异常则发出警报。但是,由于“大数据时代”的来临,信息量呈现出爆炸式增长,网络数据往往呈现出流式特性,主要体现在以下几个方面(I)数据是实时非匀速到达的;(2)数据达到次序独立, 不受系统控制;(3)数据持续到达,其数量不可预知且原则上只能被访问一次或有限几次。 网络攻击行为与以往已经有较大区别,攻击行为往往潜伏在正常的网络活动中,前期不易发觉,一旦爆发后果极其严重,且发起攻击或者被当成“肉鸡”(肉鸡就是被黑客攻破,种植了木马病毒的电脑,黑客可以随意操纵它并利用它做任何事情,就像傀儡。)的网络基点关系错综复杂,传统的数据处理方法已已不能有效地对这类数据进行处理,很难快速准确地找到入侵风险较闻的关键网络基点。
发明内容
针对网络数据量大且呈现出流式,不能快速准确找到入侵风险较高的关键网络基点的问题,本发明提出基于联系发现技术的网络入侵预测方法,提供一种新的网络入侵行为预测方法以预测“大数据时代”的网络入侵行为,提前预测出入侵风险较高的关键网络基点。为实现以上目的,本发明的基于联系发现技术的网络入侵预测方法,包括步骤A、获取网络基点的网络数据,进行处理生成目标数据;
步骤B、利用目标数据计算网络基点间的相关系数;步骤D、计算网络基点的加权度WDi ;步骤E、计算网络基点的加权聚集系数WCi ;步骤F、根据网络基点的加权聚集度WDi及加权聚集系数WCi计算各网络基点的加权综合特征值WCFi ;步骤G、对各网络基点的加权综合特征值WCFi排序,找出关键网络基点;其中,所述网络基点为受监控的服务器、终端或者路由设备中的任意一种或者任意几种的组合,i为网络基点序号,I ^ i ^ N, N为网络基点个数。作为一种优选实施方式,在步骤B之后,包括步骤C、利用网络基点间的相关系数, 构建网络基点间的完全加权图。所述构建网络基点间的完全加权图为,利用相关系数构建网络基点间的加权图边的权值,重复此过程,得到某段时间内所有数据对象所访问的网络基点间的完全加权图。优选的,还包括对完全加权图进行优化,即设定完全加权图边的权值的阈值,删除权值小于阈值的边,即将小于阈值的完全加权图边的权值设置为O。作为另一种优选实施方式,在步骤G之后,包括对访问关键网络基点的数据对象自身信息进行分析,判断数据对象是否有入侵倾向。优选的,步骤A所述获取网络基点的网络数据,进行处理生成目标数据为,首先采集各受监控的网络基点的访问数据,然后对采集的数据进行处理生成目标数据;所述访问数据包括数据对象在时间段T内所访问的所有网络基点的访问流量、数据的访问行为或者数据对象自身信息的任意一种或任意几种的组合;所述对采集的数据进行处理生成目标数据,包括数据清洗,数据格式转换,数据集成的任意一种或任意几种的组合;所述数据对象自身信息,包括访问协议或/和使用端口。优选的,步骤B所述计算网络基点间的相关系数采用相似度函数
权利要求
1.基于联系发现技术的网络入侵预测方法,其特征在于,包括步骤A、获取网络基点的网络数据,进行处理生成目标数据;步骤B、利用目标数据计算网络基点间的相关系数;步骤D、计算网络基点的加权度WDi ;步骤E、计算网络基点的加权聚集系数WCi ;步骤F、根据网络基点的加权聚集度WDi及加权聚集系数WCi计算各网络基点的加权综合特征值WCFi ;步骤G、对各网络基点的加权综合特征值WCFi排序,找出关键网络基点;其中,所述网络基点为受监控的服务器、终端或者路由设备中的任意一种或者任意几种的组合,i为网络基点序号,I ^ i ^ N, N为网络基点个数。
2.如权利要求I所述方法,其特征在于,在步骤B之后,包括步骤C、利用网络基点间的相关系数,构建网络基点间的完全加权图。
3.如权利要求2所述方法,其特征在于,所述构建网络基点间的完全加权图为,利用相关系数构建网络基点间的加权图边的权值,重复此过程,得到某段时间内所有数据对象所访问的网络基点间的完全加权图。
4.如权利要求3所述方法,其特征在于,还包括对完全加权图进行优化,即设定完全加权图边的权值的阈值,删除权值小于阈值的边,即将小于阈值的完全加权图边的权值设置为O。
5.如权利要求I所述方法,其特征在于,在步骤G之后,包括对访问关键网络基点的数据对象自身信息进行分析,判断数据对象是否有入侵倾向。
6.如权利要求1-5任一所述方法,其特征在于,步骤A所述获取网络基点的网络数据, 进行处理生成目标数据为,首先采集各受监控的网络基点的访问数据,然后对采集的数据进行处理生成目标数据;所述访问数据包括数据对象在时间段T内所访问的所有网络基点的访问流量、数据的访问行为或者数据对象自身信息的任意一种或任意几种的组合;所述对采集的数据进行处理生成目标数据,包括数据清洗,数据格式转换,数据集成的任意一种或任意几种的组合;所述数据对象自身信息,包括访问协议或/和使用端口。
7.如权利要求1-5所述方法,其特征在于,步骤B所述计算网络基点间的相关系数采用相似度函数 其中,A为网络基点间的两个变量间的相关系数,&取值范围为[-1,1],若& > 0,表明两个变量是正相关,^ < 0,表明两个变量是负相关,^ = O表明两个变量不相关,η为要计算的变量的总数,Xi> Ii分别为两个变量的统计值,mx、my分别为变量的平均值,β i为变量相关系数的比例系数,O彡1彡1,且文爲=1。/=!
8.如权利要求7所述方法,其特征在于,步骤D所述计算网络基点的加权度WDi为该网络基点与同一网络环境下的其他网络基点间的相关系数之和,WD'=iWu,其中,Wij = R0J=I
9.如权利要求8所述方法,其特征在于,步骤E所述计算网络基点的加权聚集系数WCi 为,WCi = SWDiZiDi(Di-I),其中,Di是网络基点Si的度,即Si与其它网络基点相关联的边数。
10.如权利要求9所述方法,其特征在于,步骤F所述计算被访问网络基点的加权综合特征值 WCFi 为,WCF]= (dWC, +(I-d)WD,)/ W,其中,3为调节参数,O < 3 < I。
全文摘要
本发明涉及计算机网络安全技术领域,提供一种基于联系发现的网络入侵预测方法,获取网络基点的网络数据,进行处理生成目标数据;计算网络基点间的相关系数;计算网络基点的加权度;计算网络基点的加权聚集系数;计算各网络基点的加权综合特征值;对各网络基点的加权综合特征值排序,找出关键网络基点;有效地解决了网络数据量大且呈现出流式,不能快速准确找到入侵风险较高的关键网络基点的问题,并且,本发明计算量小、响应速度快、准确率高,能有效提高网络安全防护能力。
文档编号H04L12/26GK102611714SQ20121010332
公开日2012年7月25日 申请日期2012年4月10日 优先权日2012年4月10日
发明者徐毅, 朱振国, 王勇, 米波 申请人:重庆交通大学
最新回复(0)