CN100426736C - 一种网络安全预警方法 - Google Patents
一种网络安全预警方法 Download PDFInfo
- Publication number
- CN100426736C CN100426736C CNB2004100887204A CN200410088720A CN100426736C CN 100426736 C CN100426736 C CN 100426736C CN B2004100887204 A CNB2004100887204 A CN B2004100887204A CN 200410088720 A CN200410088720 A CN 200410088720A CN 100426736 C CN100426736 C CN 100426736C
- Authority
- CN
- China
- Prior art keywords
- data
- cycle
- attack
- prediction
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种网络安全预警方法包括:1.读数据库,取出足量入侵事件数据;2.对取出的入侵时间数据进行聚类分析,取得攻击频度值序列;3.判断频度值序列是否有周期性,如果有则继续,否则执行第6步;4.确定周期大小;5.计算预测点在周期内的相对位置;执行第8步;6.根据入侵事件的频度值序列选择预测方法;7.根据选择的预测方法确定预测模型;8.预测未来时间段的攻击频次,结束。本发明提出的方法利用统计预测方法对将来的攻击发生情况进行预测,预测方法不依赖于具体的攻击类型,只要取得攻击分布的历史信息就能依据该方法对未来安全趋势进行预测;既可进行短期安全趋势预测,也可进行中长期安全趋势预测。
Description
技术领域
本发明涉及信息安全领域,尤其涉及入侵预测技术和安全预警方法。
背景技术
在网络安全领域,预防、检测和响应入侵的技术已经得到人们的广泛关注,防火墙、入侵检测系统、蜜罐、源回溯技术被部署到重要的应用系统中。但是,这些技术和系统都是要等待攻击发生之后,才能有所反应。网络安全的入侵预测/安全预警技术是在攻击发生之前,对其攻击发生的数量及时空特性进行预测,达到“防患于未然”,把对入侵的响应从检测阶段提前到预警阶段,从而为系统的安全防范争取时间,以便对入侵和攻击作出有效响应。其中,预警方法是入侵预警技术的关键内容。
Jim Y.提出了一种通过构造attack profile(包括攻击历史活动、攻击工具、操作步骤、动机、目标、审记标识等内容)的方法来预测攻击(参见Jim Y.ShyhtsunFelix W,Fengmin G,Ming-Yuh H.Intrusion Detection for an On-Going Attack.http://www.mnlab.cs.depaul.edu/seminar/fall2002/IDSongoing.pdf.1999.),但是构造attack profile本身就是很难或是开销巨大。Ming-Yuh H.提出了一种概念模型,利用攻击树对攻击意图建模,预测攻击者可能的后续攻击(参见Ming-Yuh H,Robert J.Jasper,Thomas M.Wicks.A Large-scale Distributed Intrusion DetectionFramework Based on Attack Strategy Analysis.Computer Networks(Amsterdam,Netherlands).Vol.31.No.23-24.p.2465-2475.1999),但是这种方法对短期趋势预测有效,对于长期的安全趋势预测无能为力,且需要针对各种攻击建立攻击树模型。
现有的网络安全预警方法不能对未来的网络安全趋势特别是中长期的安全趋势作出预测,而且预测特定的入侵和攻击之前,需要预先作大量工作去分析该攻击的特点,以建立攻击模型。对适应各种各样的入侵行为缺乏灵活性且无法对中长期安全趋势作出预测。
发明内容
本发明的目的就是克服现有技术中预测方法要依赖于网络攻击模型且不能长期安全趋势预测的问题,提出一种基于入侵事件预测的网络安全预警方法。
本发明的核心思想是:根据入侵事件发生的历史规律性预测将来一段时间的安全趋势,进行中短期预警和长期的安全形势预测。首先对获取的入侵事件进行聚类分析。得到特定攻击类型发生的历史数据。再按其历史规律的周期性和非周期性分别预测未来的发生趋势。
一种网络安全预警方法,其特征在于包括下列步骤:
第一步、读数据库,取出足量入侵事件数据;
第二步、对取出的入侵时间数据进行聚类分析,取得攻击频度值序列;
第三步、判断频度值序列是否有周期性,如果有则继续,否则执行第六步;
第四步、确定周期大小;
第五步、计算预测点在周期内的相对位置;执行第八步;
第六步、根据入侵事件的频度值序列选择预测方法;
第七步、根据选择的预测方法确定预测模型;
第八步、预测未来时间段的攻击频次,结束。
本发明提出的方法依据入侵事件和攻击发生的历史分布特点,利用统计预测方法对将来的攻击发生情况进行预测,从而得到未来的安全趋势信息。优点是:(1)预测方法不依赖于具体的攻击类型,只要取得攻击分布的历史信息就能依据该方法对未来安全趋势进行预测。(2)既可进行短期安全趋势预测,也可进行中长期安全趋势预测。(3)为入侵预测和安全预警提供实现机制。可以使传统的入侵检测系统实现入侵预测的功能,为入侵报警信息的再利用提供了技术支持。(4)基于统计预测的预警方法特别适合于具有周期性特点的DoS/DDoS攻击。
附图说明
图1是本发明提出的方法的流程图;
图2是预测点在周期内的相对位置示意图。
具体实施方式
下面结合附图和实施例进一步详细说明本发明的实施过程。
本发明是基于入侵事件统计规律的安全预警方法,包括聚类分析、周期分析、趋势预测。依据某一攻击发生的历史分布特点,通过聚类分析,取得入侵频数序列;周期分析确定入侵事件发生的周期性;预测未来时间入侵发生趋势。
可用多种方法表示入侵事件,例如采用以下五元组表示:E={D,S,R,C,T},每个入侵事件具有五个属性。其中,D为目标地址集合,S为源地址集合,R为请求服务类型集合,C为攻击类型集合(文中以Snort定义的攻击类型为例),T为时间标记集合;视图V是一组聚类条件,由orExpr(与表达式)、andExpr(或表达式)、groupExpr组合条件表达式构成,即V=orExpr|andExpr|groupExpr,其中,orExpr=OR((D|S|R|C|T)=val),andExpr=AND((D|S|R|C|T)=val),(D|S|R|C|T)=val表示入侵事件的D,S,R,C,T属性分别为矢量val所示时。条件表达式由项属性、属性值表达式和关系符OR、AND的组合构成。视图可以产生具有相同属性值的一组入侵事件集。
如图1所示,预测某种类型的入侵事件的未来趋势,首先要取得该种事件的历史规律。为了计算特定视图下的入侵事件的发生频次,可采用各种聚类分析方法,聚类结果是将相似的记录分成若干组,得到相关目标聚类的入侵事件频次集。例如,基于统计信息网格(STING:STatistical INformation Grid)的多分辨率聚类方法。入侵事件的属性(目标地址,源地址,请求服务类型,攻击类型,时间)看作n维空间S的维,分别有一个有界定义域。输入的入侵事件为n维空间中的点集。具体方法如下:
利用单调性引理(基于关联规则挖掘的先验性质apriory property):频繁项集的所有非空子集也是频繁的。设k=1,遍历报警数据库,找出所有的一维密集单元格(攻击)
1)频次大于minf(事件发生的最小频次),其组成的集合记为E1;
2)若k<n则由k维的密集单元格集合Ek生成k+1维的候选密集单元格,否则转4);
3)若Ek+1不为空则,过滤掉非密集的单元格,k=k+1,转2);
4)得到最高维的密集单元格构成的子空间。
回答查询的方式(提取入侵事件历史规律,攻击频度信息):
1)确定与查询相关的聚类子空间的维数k:
2)从k维聚类子空间集合中选择与查询最相关的聚类子空间;
3)只考虑第k层中满足查询条件的单元,k+1层的处理仅对这些单元进行;
4)重复3)直到满足查询要求;
5)对最终结果的处理,过滤掉非密集单元格。
本发明提出的预警方法的第一步中,设定要预测未来第N时段攻击频次,则取出5N个时段的历史数据(这里设定预取5倍的历史数据量),对数据编号,0到5N-1。一般可以取4-10倍的历史数据量进行预测分析。
在本发明提出的预警方法的第三步中,需要对频次数据的周期性进行分析,以确定下步的周期预测分支或非周期预测分支。周期分析的方法如下:
首先默认该数据的周期cycle=3,至少从cycle=3开始向后试探;历史数据中至少要有5组周期的数据,才认为该组数据可判周期。具体如下:
1).从第四组数据(i=cycle)开始,依次往后求其它各组与第一组数据的差的绝对值,直到该差的绝对值小于等于ε(周期推测误差限),记下当前数据序号i(3≤i≤N);
2).尝试以i为周期,从0~i中随机选取3组数据,然后分别与下面四个周期中的对应点相减取绝对值。
3).如果相减取绝对值<=ε的数据的个数小于等于3,则认为周期判断成功,输出i作为周期,并退出所有循环,跳至程序出口处;
4).如果相减取绝对值>ε的数据的个数大于3,即有3个以上的奇异点,则尝试以i为周期失败,令i=i+1,重做2),3),4)步,共重做2次;
5).如果i的上述候选值均不符合条件,则再从当前数据起,依次求各数据与第一个数据的差的绝对值,直到该差值小于等于ε,记下当前数据序号i;
6).重复第2),3),4),5)步,直到i>N;
7).如果i>N,输出0,表示不存在周期。
在本发明提出的预警方法的第六步中,可选择各种预测方法进行趋势预测,以回归预测为例,操作如下:
根据历史样本值选取拟合曲线,进行回归分析。数据库中记录着的过去每一时间粒度xi内该攻击所发生的频度值yi,这对应于一组数据(xi,yi),根据该组数据样本,选择合适的回归方程。所用的回归分析的方法包括:(1)线性模型.线性模型是曲线模型中最简单的一种,其数学公式为y=a+bx.(2)指数模型.也叫复比增长模型,其数学公式为y=k+abx。(3)修正指数曲线模型.其数学公式为y=k+axb。(4)逻辑斯谛曲线模型(皮尔曲线模型),呈S形,是生长曲线的一种,其数学公式为y=1/(k+abx)。(5)非线性模型.是多项式回归模型中最常用的一种,其数学公式为y=a+bx+cx2+dx3...
在给定一个实际观察时序列yt(t=0,1,2,...,n)的条件下,能建立的预测模型可以不同,但预测模型选择的正确与否直接关系到预测的准确程度。多项式曲线模型的选择:(1)若一阶差分Δyt=yt-yt-1=c(t=0,1,2,...,n),则可用线性模型进行预测;(2)若k阶差分Δkyt=Δk-1yt-Δk-1yt-1=c(t=k,k+1,...,n),其中c为不等于零的常数,则可用k阶多项式曲线趋势模拟进行预测。增长型曲线模型的选择:(1)若yt/yt-1=b(t=1,2,..n),其中b是不为零的常数。则用指数曲线模型yt=abt(t=0,1,2,...,n)进行预测。(2)若Δyt/Δyt-1=b(t=2,3,...,n),其中b是不为零的常数。则用修正指数曲线模型yt=k+abt(t=0,1,2,...,n)进行预测。(3)若(1/yt-1/yt-1)/(1/yt-1-1/yt-2)=b(t=2,3,...,n),其中b是不为零的常数,则可用逻辑斯谛曲线模型y=1/(k+abx)(t=1,2,...,n)进行预测。
确定预测模型之后,为了通过回归分析求出个曲线模型的系数,需要将一些曲线方程变为线性形式:y=k+abx→ln(y-k)=lna+(lnb)*x;y=1/(k+abx)→ln(1/y-k)=lna+(lnb)*x。设共取m组数据(所取数据量与所预测的未来时间有关,设取5倍时间段的历史数据量)。然后根据选定的曲线方程,建立函数关系y=f(x,a1,...,an),确定其中n个参数a1,...,an通过最小二乘法确定,使得
最小。根据确定的该模型和参数,计算未来t,可能发生的该种攻击的次数。这里,预警方法的算法效率可根据需要灵活配置。算法的复杂度取决于选择回归曲线的复杂度。设给定的实际观察时序列为:yt(t=0,1,2,...,n)。若为线性模型,计算复杂度为:O(n);若为指数模型,也即复比增长模型:O(n);若为修正指数曲线模型,计算复杂度为:O(n2);若为逻辑斯谛曲线模型,计算复杂度为:O(n);若为非线性(m阶多项式)模型,计算复杂度为:O(nm)。
在本发明提出的预警方法的第五步中,确定预测点在周期中相对位置的方法如图2所示。对所取的历史数据,以长度T顺序分组,统计各个周期内相对位置的平均值,得到预测向量[y1,y2,...,yT]。所求的预测点在周期内对应于坐标X=6N mod T,(注:这里设定预取5倍的历史数据量,也即,m=5),则返回预测值y[X]。
Claims (8)
1、一种网络安全预警方法,其特征在于包括下列步骤:
第一步、读数据库,取出入侵事件数据,其中,入侵事件数据的时段是所要预测时段的4-10倍;
第二步、对取出的入侵时间数据进行聚类分析,取得攻击频度值序列;
第三步、判断频度值序列是否有周期性,如果有则继续,否则执行第六步;
第四步、确定周期大小;
第五步、计算预测点在周期内的相对位置;执行第八步;
第六步、根据入侵事件的频度值序列选择预测方法;
第七步、根据选择的预测方法确定预测模型;
第八步、预测未来时间段的攻击频次,结束。
2、根据权利要求1所述的方法,其特征在于所述第一步中入侵事件数据的内容包括目标地址,源地址,请求服务类型,攻击类型和时间。
3、根据权利要求1所述的方法,其特征在于所述第二步中的聚类分析采用基于统计信息网格的多分辨率聚类方法。
4、根据权利要求1所述的方法,其特征在于所述第三步中判断频度值序列是否有周期性的方法为:首先默认该数据的周期为3,至少从周期为3开始向后试探;历史数据中至少要有5组周期的数据,才认为该组数据具有周期性。
5、根据权利要求4所述的方法,其特征在于具体包括如下步骤:
1).从第四组数据开始,依次往后求其它各组与第一组数据的差的绝对值,直到该差的绝对值小于等于周期推测误差限ε,记下当前数据序号i,其中3≤i≤N,N为与所要预测时段相等的历史时段的数据个数;
2).尝试以i为周期,从0-i中随机选取3组数据,然后分别与下面四个周期中的对应点相减取绝对值;
3).如果相减取绝对值小于等于ε的数据的个数小于等于3,则认为周期判断成功,输出i作为周期;
4).如果相减取绝对值大于ε的数据的个数大于3,即有3个以上的奇异点,则尝试以i为周期失败,令i=i+1,重新执行2),3),4)步2次;
5).如果i的上述候选值均不符合条件,则再从当前数据起,依次求各数据与第一个数据的差的绝对值,直到该差值小于等于ε,记下当前数据序号i;
6).重复第2),3),4),5)步,直到i>N;
7).如果i>N,输出周期不存在。
6、根据权利要求1所述的方法,其特征在于所述第五步中计算预测点在周期内的相对位置的方法为:对所取的历史数据,以长度T顺序分组,统计各个周期内相对位置的平均值,得到预测向量[y1,y2,...,yT]。设预取数据量为m倍历史数据,则所求的预测点在周期内对应于坐标X=(m+1)N mod T,则返回预测值y[x],其中T为周期。
7、根据权利要求1所述的方法,其特征在于所述第六步中选择的预测方法为回归预测法。
8、根据权利要求7所述的方法,其特征在于所述预测模型包括多项式回归模型,线性模型,指数模型,修正指数曲线模型和逻辑斯谛曲线模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100887204A CN100426736C (zh) | 2004-11-01 | 2004-11-01 | 一种网络安全预警方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100887204A CN100426736C (zh) | 2004-11-01 | 2004-11-01 | 一种网络安全预警方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1770699A CN1770699A (zh) | 2006-05-10 |
| CN100426736C true CN100426736C (zh) | 2008-10-15 |
Family
ID=36751727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100887204A Expired - Fee Related CN100426736C (zh) | 2004-11-01 | 2004-11-01 | 一种网络安全预警方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100426736C (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075917B (zh) * | 2007-07-16 | 2010-08-25 | 华为技术有限公司 | 一种预测网络攻击行为的方法及装置 |
| CN101355504B (zh) * | 2008-08-14 | 2012-08-08 | 成都市华为赛门铁克科技有限公司 | 一种用户行为的确定方法和装置 |
| CN101729389B (zh) * | 2008-10-21 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 基于流量预测和可信网络地址学习的流量控制装置和方法 |
| CN101995823B (zh) * | 2010-09-28 | 2012-12-12 | 吴伪亮 | 基于统计预测技术的节能控制方法 |
| CN102148701B (zh) * | 2011-01-14 | 2014-04-30 | 广东商学院 | 用于监控系统中监控指标的趋势分析方法及装置 |
| CN102098180B (zh) * | 2011-02-17 | 2013-10-16 | 华北电力大学 | 一种网络安全态势感知方法 |
| CN102801548B (zh) * | 2011-05-27 | 2015-11-04 | 腾讯科技(深圳)有限公司 | 一种智能预警的方法、装置及信息系统 |
| CN106685674B (zh) * | 2015-11-05 | 2020-01-10 | 华为技术有限公司 | 网络事件预测以及建立网络事件预测模型的方法和装置 |
| CN109951476B (zh) * | 2019-03-18 | 2021-06-22 | 中国科学院计算机网络信息中心 | 基于时序的攻击预测方法、装置及存储介质 |
| CN111600894B (zh) * | 2020-05-20 | 2023-05-16 | 新华三信息安全技术有限公司 | 一种网络攻击检测方法及装置 |
| CN114205212A (zh) * | 2021-12-08 | 2022-03-18 | 国网冀北电力有限公司计量中心 | 一种网络安全预警方法、装置、设备及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030110396A1 (en) * | 2001-05-03 | 2003-06-12 | Lewis Lundy M. | Method and apparatus for predicting and preventing attacks in communications networks |
| CN1477792A (zh) * | 2002-08-22 | 2004-02-25 | 鸿富锦精密工业(深圳)有限公司 | 多渠道信息预警系统及方法 |
-
2004
- 2004-11-01 CN CNB2004100887204A patent/CN100426736C/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030110396A1 (en) * | 2001-05-03 | 2003-06-12 | Lewis Lundy M. | Method and apparatus for predicting and preventing attacks in communications networks |
| CN1477792A (zh) * | 2002-08-22 | 2004-02-25 | 鸿富锦精密工业(深圳)有限公司 | 多渠道信息预警系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1770699A (zh) | 2006-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111091233B (zh) | 一种风电场短期风电预测建模方法 | |
| Hu et al. | No free lunch theorem for concept drift detection in streaming data classification: A review | |
| Zhang et al. | A novel Encoder-Decoder model based on read-first LSTM for air pollutant prediction | |
| Du et al. | Probabilistic time series forecasting with deep non‐linear state space models | |
| Dou et al. | Hybrid model for renewable energy and loads prediction based on data mining and variational mode decomposition | |
| CN100426736C (zh) | 一种网络安全预警方法 | |
| Luo et al. | Traffic data imputation algorithm based on improved low-rank matrix decomposition | |
| CN117035073B (zh) | 一种基于分层事件发展模式归纳的未来气象事件预测方法 | |
| Chen et al. | Combined probabilistic forecasting method for photovoltaic power using an improved Markov chain | |
| CN114077913A (zh) | 基于自动储层神经网络的多步预测未来风速的方法和系统 | |
| Wang et al. | Short-term wind speed forecasting using variational mode decomposition and support vector regression | |
| Ch et al. | Groundwater level forecasting using SVM-PSO | |
| Ouyang et al. | Optimisation of time window size for wind power ramps prediction | |
| Hussain et al. | A novel framework based on cnn-lstm neural network for prediction of missing values in electricity consumption time-series datasets | |
| Qin et al. | Weather division‐based wind power forecasting model with feature selection | |
| Xu et al. | Deep‐learning‐based scenario generation strategy considering correlation between multiple wind farms | |
| CN117175588A (zh) | 基于时空相关性的用电负荷预测方法及装置 | |
| CN117034169A (zh) | 基于时序因果关系网络的电网主变设备异常状态预测方法 | |
| Zhu et al. | Markov chain‐based wind power time series modelling method considering the influence of the state duration on the state transition probability | |
| Li et al. | Evolving a Bayesian network model with information flow for time series interpolation of multiple ocean variables | |
| He et al. | A robust spatio‐temporal prediction approach for wind power generation based on spectral temporal graph neural network | |
| Peng et al. | Short‐term wind power prediction based on stacked denoised auto‐encoder deep learning and multi‐level transfer learning | |
| CN115794548A (zh) | 日志异常的检测方法及装置 | |
| Dang-Ha et al. | Graph of virtual actors (gova): A big data analytics architecture for IoT | |
| CN111027680B (zh) | 基于变分自编码器的监控量不确定性预测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081015 Termination date: 20171101 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |