CN107046534A - 一种网络安全态势模型训练方法、识别方法及识别装置 - Google Patents

一种网络安全态势模型训练方法、识别方法及识别装置 Download PDF

Info

Publication number
CN107046534A
CN107046534A CN201710182743.9A CN201710182743A CN107046534A CN 107046534 A CN107046534 A CN 107046534A CN 201710182743 A CN201710182743 A CN 201710182743A CN 107046534 A CN107046534 A CN 107046534A
Authority
CN
China
Prior art keywords
network data
network
property value
data
safety situation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710182743.9A
Other languages
English (en)
Inventor
邹培利
林小淞
张靠勤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XIAMEN ZHUOXUN INFORMATION TECHNOLOGY Co Ltd
Original Assignee
XIAMEN ZHUOXUN INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by XIAMEN ZHUOXUN INFORMATION TECHNOLOGY Co Ltd filed Critical XIAMEN ZHUOXUN INFORMATION TECHNOLOGY Co Ltd
Priority to CN201710182743.9A priority Critical patent/CN107046534A/zh
Publication of CN107046534A publication Critical patent/CN107046534A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本发明属于计算机网络安全、机器学习技术领域,具体涉及一种网络安全态势模型训练方法、识别方法及识别装置。该网络安全态势模型训练方法,它包括以下步骤:S101、获取网络数据;S102、从所述网络数据中提取网络数据样本;S103、处理提取的网络数据样本,对网络数据进行分析,得到网络数据的属性值,将网络数据的属性值与网络数据是否安全对应;S104、对网络数据属性值进行分析处理,得到网络数据属性值的特征向量;S105、通过网络数据属性值的特征向量,确定线性分类器的参数。

Description

一种网络安全态势模型训练方法、识别方法及识别装置
技术领域
[0001] 本发明属于计算机网络安全、机器学习技术领域,具体涉及一种网络安全态势模 型训练方法、识别方法及识别装置。
背景技术
[0002] 近年来,随着移动互联网和智能终端时代的到来与普及,人们的线上行为越来越 频繁,营销规模越来越大,各种社交网络组成了复杂、异构的大规模网络。然而,由于通信网 络存在可移动性、可扩展性、大规模性、泛在性等特性,在网络渗入人们社会生活的同时,也 成为黑客攻击的首要目标,导致网络安全漏洞数量持续快速增长。因此,安全问题必将成为 未来大规模网络首要解决的问题。
[0003] 互联网与生倶有的开放性、交互性和分散性特征使人类所憧憬的共享、开放、灵活 和快速等需求得到满足。网络环境为共享、交流、服务创造了理想空间的迅速发展和广泛应 用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多 安全问题:泄漏、污染、不易受控。
[0004] 参考专利文献CN106453293A公开了一种基于混沌理论与神经网络相结合的网络 安全态势预测方法,包括采用互信息法和cao氏法对归一化后的网络安全态势值序列集合 进行处理得到网络安全态势样本值的最佳嵌入维数并进行相空间重构,分析重构后样本的 最大李雅普诺夫指数来得到评估出来的样本是否具有混沌预测性;根据非线性时间序列的 特点与经验确定反向传播神经网络的输出层与隐含层的节点数;利用改进的萤火虫算法进 行参数寻优,从而确定网络权值和偏置值,建立网络安全态势的预测模型;测试样本输入到 BP神经网络中进行预测,并将得到的预测值反归一化。参考专利文献CN106302522A公开了 一种基于神经网络和大数据的网络安全态势分析方法和系统,该系统包括数据采集模块、 数据分析模块和态势预测模块,数据采集模块在Flume组件上实现分布式的大数据采集;数 据分析模块基于MapReduce并行化计算框架实现大数据的分布式处理;前两个模块包含在 神经网络的输入层中,通过隐含层对输入层数据的融合处理传送给输出层,输出层通过局 部态势判决结果,得出总体的安全态势分析预测情况,将这些有价值的数据存储在HBASE数 据库中方便后续查询和展示。
[0005] 上述参考专利文献对于网络安全态势的分析预测,均采用的是神经网络算法,神 经网络算法具有以下缺点:1.局部极小化问题,导致每次训练得到不同的结果;2.神经网络 算法的收敛速度慢;3.神经网络结构选择不一;4.神经网络预测能力和训练能力存在一定 的矛盾。
发明内容
[0006] 针对现有技术存在的不足之处,本发明提出了一种网络安全态势模型训练方法、 识别方法及识别装置,该训练方法为特征空间上的间隔最大的线性分类器,其学习模型便 是间隔最大化,最终可转化为一个凸二次规划问题的求解,在网络入侵感知过程,充分地参 考历史网络攻击数据,预测未来网络数据流中潜在的威胁,提升网络安全感知的准确度,降 低预测误差。
[0007] 本发明采用如下技术方案:
[0008] 一种网络安全态势模型训练方法,它包括以下步骤:
[0009] SIOI、获取网络数据;
[0010] S102、从所述网络数据中提取网络数据样本;
[0011] S103、处理提取的网络数据样本,对网络数据进行分析,得到网络数据的属性值, 将网络数据的属性值与网络数据是否安全对应;
[0012] S104、对网络数据属性值进行分析处理,得到网络数据属性值的特征向量;
[0013] S105、通过网络数据属性值的特征向量,确定线性分类器的参数。
[0014] 进一步的,步骤S102中网络数据样本包括安全的网络数据样本和不安全的网络数 据样本。
[0015] 进一步的,步骤S103中网络数据的属性值包括源物理端口、虚拟局域网标识、源网 络硬件地址、源IP地址、源传输控制协议端口中的至少一种。
[0016] 进一步的,步骤S105线性分类器采用支持向量机模型。
[0017] —种网络安全态势识别方法,包括以下步骤:
[0018] S201、获取网络数据;
[0019] S202、处理网络数据,得到网络数据的属性值,对网络数据属性值进行分析处理, 得到网络数据属性值的特征向量;
[0020] S203、将网络数据属性值的特征向量输入线性分类器;
[0021] S204、根据线性分类器的输出结果对所获取的网络数据进行分类识别。
[0022] 进一步的,步骤S204的分类识别包括:
[0023] 若线性分类器输出结果大于零,则表示获取得的网络数据安全;
[0024] 若线性分类器输出结果小于零,则表示获取得的网络数据不安全。
[0025] 进一步的,步骤S202中网络数据的属性值包括源物理端口、虚拟局域网标识、源网 络硬件地址、源IP地址、源传输控制协议端口中的至少一种。
[0026] —种网络安全态势识别装置,包括
[0027] 网络数据获取模块,用于获取网络数据;
[0028] 网络数据处理模块,用于处理网络数据,得到网络数据的属性值,对网络数据属性 值进行分析处理,得到网络数据属性值的特征向量;
[0029] 线性分类器,计算获取网络数据的识别值;
[0030] 分类模块,判断所获取的网络数据的类别。
[0031] 进一步的,线性分类器采用支持向量机模型。
[0032] 本发明相对于与其他传统的神经网络学习模型算法不同之处在于:1.基于结构风 险最小化原则,避免了过学习问题,泛化能力强;2.针对凸优化问题,在局部最优解学习模 型上是全局最优解的优点;3.非线性分类进行低炜非线性转化为高线性处理。特征空间线 性分类学习模型在网络空间数据流中的样本学习上具备优秀的泛化能力,得到对数据分布 的结构化描述,降低了对数据规模和数据分布的要求。
附图说明
[0033] 图1是网络安全态势模型训练方法的流程图;
[0034] 图2是网络安全态势识别方法的流程图;
[0035] 图3是网络安全态势识别装置的结构图。
具体实施方式
[0036] 为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部 分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参 考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中 的组件并未按比例绘制,而类似的组件符号通常用来表示类似的组件。
[0037] 现结合附图和具体实施方式对本发明进一步说明。
[0038] 参阅图1所示,为一种网络安全态势模型训练方法的流程图,它包括以下步骤:
[0039] SlOl、获取网络数据。
[0040] 随着大数据的流行,采集大量的网络数据,根据需要采集的网络数据样本数量,确 定采集网络数据集合大小,假设网络数据样本数量为N,则采集的网络数据需要大于或等于 3N〇
[0041] S102、从所述网络数据中提取网络数据样本。
[0042] 从网络数据集合中随机选择网络数据样本,为了使得网络数据样本具有一定代表 性,则网络数据样本的数量N大于1000,且该网络数据样本包括安全的网络数据样本和不安 全的网络数据样本。
[0043] S103、处理提取的网络数据样本,对网络数据进行分析,得到网络数据的属性值, 将网络数据的属性值与网络数据是否安全对应。
[0044] 对所有的网络数据样本进行预处理,分析获得网络数据的属性值,该实施例网络 数据的属性值包括源物理端口和源IP地址,将网络数据的属性值与网络数据是否安全对 应,网络数据样本分为两类:安全和不安全。
[0045] S104、对网络数据属性值进行分析处理,得到网络数据属性值的特征向量。
[0046] 将所有网络数据的源物理端口和源IP地址进行分析处理,得到网络数据的特征向 量,即网络数据X(X1,X2),xi代表源物理端口,X2代表源IP地址,y表示该网络数据是否安全, y表示两类:安全、不安全。
[0047] 网络数据样本处理后采用二元对表示(Xl,yi),i = l,…,N,
[0048] X1 e R2,2维模式样本向量
[0049] yiG {+1 ,-1},样本的相应类别标号
[0050] 当Xi安全时,yi = 1;当Xi不安全时,yi = — 1。
[0051] S105、通过网络数据属性值的特征向量,确定线性分类器的参数。
[0052] 将网络数据样本(Xi,yi)代入公式
Figure CN107046534AD00051
,并求Q⑷的 极值,其中^1为2维向量,71^{1,-1},1,」=1,2广_川小为网络数据样本总数,结合
Figure CN107046534AD00061
,得到的.<是^4的优解;
[0053] 计算
[0054]
Figure CN107046534AD00062
为支持向量集;为最优解
[0055]
Figure CN107046534AD00063
[0056] 式中xs⑴表示属于y=l的支持向量,
[0057] Xs (-1)表示属于y = _l的支持向量;
[0058] w=W*,b = b*,得至丨J,超平面方式g (X) =WTx+b = 0。
[0059] 从而得到线性分类器
Figure CN107046534AD00064
,其中z=WTx+b。
[0060] 需要说明的是,该实施例选取网络数据的属性值仅仅包括源物理端口和源IP地 址,本领域技术人员可知,网络数据的属性值包括源物理端口、虚拟局域网标识、源网络硬 件地址、源IP地址、源传输控制协议端口。可从中选择至少一种进行处理。
[0061] 此外,步骤S105线性分类器采用支持向量机模型。
[0062] 参阅图2所示,为一种网络安全态势识别方法的流程图,包括以下步骤:
[0063] S201、获取网络数据。
[0064] 获取需要判断网络安全态势的网络数据。
[0065] S202、处理网络数据,得到网络数据的属性值,对网络数据属性值进行分析处理, 得到网络数据属性值的特征向量。
[0066] 对网络数据进行预处理,分析获得网络数据的属性值,该实施例网络数据的属性 值包括源物理端口和源IP地址,将网络数据的源物理端口和源IP地址进行分析处理,得到 网络数据的特征向量,即网络数据X (X1,X2),X1代表源物理端口,X2代表源IP地址,
[0067] S203、将网络数据属性值的特征向量输入线性分类器。
Figure CN107046534AD00065
[0068] 线性分类器 其中z=WTx+b。 ,
[0069] S204、根据线性分类器的输出结果对所获取的网络数据进行分类识别。
[0070] 若线性分类器输出结果z大于零,则表示获取得的网络数据安全;
[0071] 若线性分类器输出结果z小于零,则表示获取得的网络数据不安全。
[0072] 该实施例步骤S202中网络数据的属性值还可包括源物理端口、虚拟局域网标识、 源网络硬件地址、源IP地址、源传输控制协议端口中一种或多种。
[0073] 参阅图3所示,为一种网络安全态势识别装置的结构图,包括
[0074] 网络数据获取模块,用于获取网络数据;
[0075] 网络数据处理模块,用于处理网络数据,得到网络数据的属性值,对网络数据属性 值进行分析处理,得到网络数据属性值的特征向量;
[0076] 线性分类器,计算获取网络数据的识别值;
[0077] 分类模块,判断所获取的网络数据的类别。
[0078] 该装置的线性分类器采用支持向量机模型。
[0079]尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明 白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对 本发明做出各种变化,均为本发明的保护范围。

Claims (9)

1. 一种网络安全态势模型训练方法,其特征在于:它包括以下步骤: 5101、 获取网络数据; 5102、 从所述网络数据中提取网络数据样本; 5103、 处理提取的网络数据样本,对网络数据进行分析,得到网络数据的属性值,将网 络数据的属性值与网络数据是否安全对应; 5104、 对网络数据属性值进行分析处理,得到网络数据属性值的特征向量; 5105、 通过网络数据属性值的特征向量,确定线性分类器的参数。
2. 如权利要求1所述的网络安全态势模型训练方法,其特征在于:所述步骤S102中网络 数据样本包括安全的网络数据样本和不安全的网络数据样本。
3. 如权利要求1所述的网络安全态势模型训练方法,其特征在于:所述步骤S03中网络 数据的属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制 协议端口中的至少一种。
4. 如权利要求1所述的网络安全态势模型训练方法,其特征在于:所述步骤S105线性分 类器采用支持向量机模型。
5. —种网络安全态势识别方法,其特征在于:包括以下步骤, 5201、 获取网络数据; 5202、 处理网络数据,得到网络数据的属性值,对网络数据属性值进行分析处理,得到 网络数据属性值的特征向量; 5203、 将网络数据属性值的特征向量输入线性分类器; 5204、 根据线性分类器的输出结果对所获取的网络数据进行分类识别。
6. 如权利要求5所述的网络安全态势识别方法,其特征在于:所述步骤S204的分类识别 包括: 若线性分类器输出结果大于零,则表示获取得的网络数据安全; 若线性分类器输出结果小于零,则表示获取得的网络数据不安全。
7. 如权利要求5所述的网络安全态势识别方法,其特征在于:所述步骤S202中网络数据 的属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制协议 端口中的至少一种。
8. —种网络安全态势识别装置,其特征在于:包括 网络数据获取模块,用于获取网络数据; 网络数据处理模块,用于处理网络数据,得到网络数据的属性值,对网络数据属性值进 行分析处理,得到网络数据属性值的特征向量; 线性分类器,计算获取网络数据的识别值; 分类模块,判断所获取的网络数据的类别。
9. 如权利要求8所述的网络安全态势识别装置,其特征在于:所述线性分类器采用支持 向量机模型。
CN201710182743.9A 2017-03-24 2017-03-24 一种网络安全态势模型训练方法、识别方法及识别装置 Pending CN107046534A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710182743.9A CN107046534A (zh) 2017-03-24 2017-03-24 一种网络安全态势模型训练方法、识别方法及识别装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710182743.9A CN107046534A (zh) 2017-03-24 2017-03-24 一种网络安全态势模型训练方法、识别方法及识别装置

Publications (1)

Publication Number Publication Date
CN107046534A true CN107046534A (zh) 2017-08-15

Family

ID=59545105

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710182743.9A Pending CN107046534A (zh) 2017-03-24 2017-03-24 一种网络安全态势模型训练方法、识别方法及识别装置

Country Status (1)

Country Link
CN (1) CN107046534A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108399272A (zh) * 2018-01-15 2018-08-14 北京航空航天大学 人工智能程序员书写数字飞行器代码的神经网络决策方法
CN108650139A (zh) * 2018-05-18 2018-10-12 深圳众厉电力科技有限公司 一种电力通信网络监测系统
WO2021051536A1 (zh) * 2019-09-18 2021-03-25 平安科技(深圳)有限公司 安全预警方法及相关设备、计算机可读存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795723A (zh) * 2014-01-28 2014-05-14 河南科技大学 一种分布式物联网安全态势感知方法
CN104660594A (zh) * 2015-02-09 2015-05-27 中国科学院信息工程研究所 一种面向社交网络的虚拟恶意节点及其网络识别方法
CN104767757A (zh) * 2015-04-17 2015-07-08 国家电网公司 基于web业务的多维度安全监测方法和系统
CN105022960A (zh) * 2015-08-10 2015-11-04 济南大学 基于网络流量的多特征移动终端恶意软件检测方法及系统
US9183384B1 (en) * 2009-11-02 2015-11-10 Symantec Corporation Leveraging indexed document matching to automatically train SVM classifiers
CN105491013A (zh) * 2015-11-20 2016-04-13 电子科技大学 一种基于sdn的多域网络安全态势感知模型及方法
US20160315952A1 (en) * 2015-04-27 2016-10-27 Cisco Technology, Inc. Detecting Network Address Translation Devices In A Network Based On Network Traffic Logs
CN106506485A (zh) * 2016-10-26 2017-03-15 中国电子产品可靠性与环境试验研究所 网络空间安全态势感知分析方法和系统
CN106779215A (zh) * 2016-12-15 2017-05-31 全球能源互联网研究院 一种基于机器学习的电网全局延时态势感知方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9183384B1 (en) * 2009-11-02 2015-11-10 Symantec Corporation Leveraging indexed document matching to automatically train SVM classifiers
CN103795723A (zh) * 2014-01-28 2014-05-14 河南科技大学 一种分布式物联网安全态势感知方法
CN104660594A (zh) * 2015-02-09 2015-05-27 中国科学院信息工程研究所 一种面向社交网络的虚拟恶意节点及其网络识别方法
CN104767757A (zh) * 2015-04-17 2015-07-08 国家电网公司 基于web业务的多维度安全监测方法和系统
US20160315952A1 (en) * 2015-04-27 2016-10-27 Cisco Technology, Inc. Detecting Network Address Translation Devices In A Network Based On Network Traffic Logs
CN105022960A (zh) * 2015-08-10 2015-11-04 济南大学 基于网络流量的多特征移动终端恶意软件检测方法及系统
CN105491013A (zh) * 2015-11-20 2016-04-13 电子科技大学 一种基于sdn的多域网络安全态势感知模型及方法
CN106506485A (zh) * 2016-10-26 2017-03-15 中国电子产品可靠性与环境试验研究所 网络空间安全态势感知分析方法和系统
CN106779215A (zh) * 2016-12-15 2017-05-31 全球能源互联网研究院 一种基于机器学习的电网全局延时态势感知方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108399272A (zh) * 2018-01-15 2018-08-14 北京航空航天大学 人工智能程序员书写数字飞行器代码的神经网络决策方法
CN108399272B (zh) * 2018-01-15 2021-05-07 北京航空航天大学 人工智能程序员书写数字飞行器代码的神经网络决策方法
CN108650139A (zh) * 2018-05-18 2018-10-12 深圳众厉电力科技有限公司 一种电力通信网络监测系统
WO2021051536A1 (zh) * 2019-09-18 2021-03-25 平安科技(深圳)有限公司 安全预警方法及相关设备、计算机可读存储介质

Similar Documents

Publication Publication Date Title
Zeng et al. $ Deep-full-range $: A deep learning based network encrypted traffic classification and intrusion detection framework
CN107046534A (zh) 一种网络安全态势模型训练方法、识别方法及识别装置
CN103189836B (zh) 用于对图数据流中的对象分类的方法
CN109284606A (zh) 基于经验特征与卷积神经网络的数据流异常检测系统
CN109768985B (zh) 一种基于流量可视化与机器学习算法的入侵检测方法
CN109639710B (zh) 一种基于对抗训练的网络攻击防御方法
CN107391369A (zh) 一种基于数据筛选和数据过采样的跨项目缺陷预测方法
Yan et al. Learning URL embedding for malicious website detection
Mei et al. Sgnn: A graph neural network based federated learning approach by hiding structure
Li et al. Intelligent anti-money laundering solution based upon novel community detection in massive transaction networks on spark
Yin et al. Adaptive Online Learning for Vulnerability Exploitation Time Prediction
Fan et al. An interactive visual analytics approach for network anomaly detection through smart labeling
Zhang et al. A novel effective and efficient capsule network via bottleneck residual block and automated gradual pruning
CN107742140B (zh) 基于rfid技术的智能身份信息识别方法
Shirbhate et al. Performance evaluation of PCA filter in clustered based intrusion detection system
CN109063721A (zh) 一种行为特征数据提取的方法及装置
Weng et al. Image inpainting technique based on smart terminal: A case study in CPS ancient image data
Kumar et al. Knowledge discovery in databases (kdd) with images: A novel approach toward image mining and processing
Guo et al. A Context-aware Data Processing Model in power communication networks
Nouri et al. Improving Image steganalysis performance using a graph-based feature selection method
Liu et al. A Network Intrusion Detection Method Based on CNN and CBAM
Jie Research on Malicious TLS Traffic Identification Based on Hybrid Neural Network
Elshazly et al. Weighted reduct selection metaheuristic based approach for rules reduction and visualization
Kumar et al. Fog Data Analytics: Systematic Computational Classification and Procedural Paradigm
Kozel Hierarchical models of network traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170815

RJ01 Rejection of invention patent application after publication