CN107800706A - 一种基于高斯分布模型的网络攻击动态监测方法 - Google Patents

Abstract

本发明涉及一种基于高斯分布模型的网络攻击动态监测方法。首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图。本发明当监测到疑似的网络攻击行为时，通过数据报文建模分析是否存在攻击特征，是否存在需要进行重点监测防护；而后确认攻击序列，从大量电力移动网络数据中，快速定位到监测攻击行为；通过高斯分布模型计算网络攻击的分布概率，通过分布概率统计分析网络攻击的分布，进而产生网络攻击行为的判断与预警。

Description

一种基于高斯分布模型的网络攻击动态监测方法

技术领域

本发明涉及一种基于高斯分布模型的网络攻击动态监测方法。

背景技术

电力营销、运检等移动作业平台已逐渐应用于业务部门的日常办公和对外服务，网络发展和应用模式在不断扩展，移动终端的量级将逐渐增高。在电力系统的安全性上，电力信息系统网络架构庞大而复杂，电力移动终端与电力信息系统之间数据交互节点多，且方式多样化，在分析移动终端和信息系统之间的安全交互过程中，对交互数据的有效监测是解决电力信息系统复杂安全问题的一种有效方法。

现有技术存在不足之处或是需要改进之处：

1)由于相关电力移动应用正处在发展早期，在设计上主要考虑的还是功能实现，对安全性考虑普遍不足。当前智能终端操作系统的信息安全漏洞和应用程序本身欠缺安全设计等原因，容易导致用户敏感信息、隐私数据泄露，甚至导致系统业务数据也面临被窃取的风险。

2)目前移动客户端与电力信息系统后台的内部通信大多未采用安全协议，间接对电力传统信息系统整体安全风险产生影响，而目前的数据监测手段主要通过入侵监测设备，无法对应用层数据包进行大量数据的统计分析。

发明内容

本发明的目的在于提供一种基于高斯分布模型的网络攻击动态监测方法，当监测到疑似的网络攻击行为时，通过数据报文建模分析是否存在攻击特征，是否存在需要进行重点监测防护；而后确认攻击序列，从大量电力移动网络数据中，快速定位到监测攻击行为；通过高斯分布模型计算网络攻击的分布概率，通过分布概率统计分析网络攻击的分布，进而产生网络攻击行为的判断与预警。

为实现上述目的，本发明的技术方案是：一种基于高斯分布模型的网络攻击动态监测方法，首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图。

在本发明一实施例中，该方法具体实现如下，

S1、通过数据监测与采集模块监测网络数据，采集网络报文特征值：

(1)数据监测与采集模块的监测单元监测批量的同源、同目的、同类型请求的数据，提取应用层数据包变量名称和变量值，并将数据报文与常见攻击报文匹配，提取数据报文发送内容的特征，发送到数据监测与采集模块的采集单元；

(2)数据监测与采集模块的采集单元将接收到数据报文按时间序列、攻击源目地址、源目端口、攻击类型进行分类存储；

S2、通过异常攻击判断单元从数据监测与采集模块的采集单元提取数据，根据提取到的数据报文特征值，分析具有疑似攻击行为的数据报文，得到攻击数据序列A(i,n)，A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；

S3、通过有效攻击概率计算单元将得到的攻击数据序列A(i,n)作为输入参数，采用高斯分布模型建立有效攻击数据的概率分布模型：

假设每类电力移动网络攻击是随机特征矢量，由M个D维的高斯分量组成高斯混合模型，对于第V种攻击，用λ_j表示第j个高斯分量的参数，W_j表示j个高斯分量出现的概率，M个高斯分量加权和可以表示为

A(i,n)中，对于第i个的ip，当i不变时，定义攻击的类别用随机变量X来表示，在第n步攻击的状态值为随机变量X的采样值.则对于第j个状态定义

X(n)＝A(n,j)

定义k为状态序列，X(k)＝X(n)，f_k为分布序列，则对于第k个状态的特征分布，成功攻击概率特征分布可表示为

其中μ_k表示期望值，a_k表示权值因子，a为过减因子；

使用高斯分布密度表示初始攻击模型后，需要通过EM算法重估高斯混合模型的参数，p_i(x|φ_i)为高斯分布，π_i，μ_i是新估计的参数值，Φ^h代表旧的参数值，p(i|x_l,Φ^h)表示X属于第i个分布的概率

由贝叶斯公式可得成功攻击概率P

S4、通过网络攻击建模单元将攻击数据序列A(i,n)进行一阶递归平滑，得到AA(i,n)

AA(i,n)＝AA(i-1,n)+(i/n)|A(i,n)|²

2)通过前向-后向相结合的双向搜索算法寻找AA(i,n)的最小值：

AA_min(i,n)＝max{AA_f(i,n),AA_b(i,n)}

其中AA_f(i,n)为前向搜索出的最小值，AA_b(i,n)为后向搜索出的最小值；

3)根据步骤S3计算得出的有效攻击概率P，计算所有攻击序列A(i,n)有效攻击的存在概率p(i,n)：

p(i,n)＝σ₁p(i-1,n)+(1-σ₁)H(i,n)

其中σ₁＝0.2为常量平滑参数；H(i,n)是有效信号存在性判别准则，可描述为：如果Y(i,n)/Y_min(i,n)＞φ(n)则H(i,n)＝1，表示该数据报文存在有效数据，否则H(i,n)＝0，表示该数据报文不存在有效数据；φ(n)是依赖于攻击频率的判别阈值，当n小于1或界于1到3时，φ(n)值为2，当n界于3至总攻击次数一半时，φ(n)值为5；

4)根据有效攻击平滑因子σ(i,n)进行有效攻击估计：

σ(i,n)＝σ₂+(1-σ₂)p(i,n)，N(i,n)＝σ(i,n)N(i-1,n)+(1-σ(i,n))|A(i,n)|²，取σ₂＝0.95，显然σ₂≤σ^*(i,n)≤1；

5)计算有效攻击因子：

其中C(i,n)＝|A(i,n)|²-N(i,n)为所有的攻击序列，α为过减因子，其值为：

6)最后计算后的网络攻击分布为：

X(i,n)＝G(i,n)|A(i,n)|²

电力移动数据处理后台通过比对正常网络通信报文分布图和网络攻击行为数据分布图，得出是否存在网络攻击行的判断结论，并产生攻击行为预警信息。

在本发明一实施例中，所述步骤S2具体实现如下：假设每个攻击有3种攻击状态，攻击成功、攻击失败、攻击行为被检测；由于网络攻击过程中受外在各类客观因素影响，为了量化攻击状态，因此对攻击过程状态图生成算法做了如下定义：

Vulnerability：V(i)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点；

Attacked：A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；

Intruded：I(i)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点被人攻击成功后的状态，该状态通过数据报文中的特征值来判断；

Sucessed：S(i,n)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点被人成功攻击；

在这4个定义下，生成算法如下：

i表示第i个ip地址，n表示第n次攻击，则

step1:i＝1,n＝0；

step2:若V(i)||A(n)＝1,则A(n)＝A(n)+j，转step4；否则下一步step3；

step3:n＝n+1,若i*n>总攻击次数,转step5；否则转step4；

step4:若第n次攻击针对第i个ip，第2n次攻击仍然停留在第i个ip上，且存在攻击成功的状态I(i)，则取S(i,n)＝S(i,n)∪I(i+1)S(2n+1)

step5:对第i个ip第n步攻击前的每个A(i,n),都执行step1～step4。

step6:n＝n+1,若n>总步数,转step8；

step7:对第i步攻击前相同的A(n)进行合并,并重新对n排序,转step1；

step8:end

通过以上步骤得到攻击数据序列A(i,n)。

相较于现有技术，本发明具有以下有益效果：

1)当监测到疑似的网络攻击行为时，通过数据报文建模分析是否存在攻击特征，是否存在需要进行重点监测防护；

2)根据提取到的攻击特征进行数据分析，并将攻击行为按攻击前，攻击后得不同状态，确认攻击序列，从大量电力移动网络数据中，快速定位到监测攻击行为；

3)通过高斯分布模型计算网络攻击的分布概率，通过分布概率统计分析网络攻击的分布，进而产生网络攻击行为的判断与预警。

具体实施方式

下面，对本发明的技术方案进行具体说明。

本发明的一种基于高斯分布模型的网络攻击动态监测方法，首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图。

在本发明一实施例中，该方法具体实现如下，

S1、通过数据监测与采集模块监测网络数据，采集网络报文特征值：

(1)数据监测与采集模块的监测单元监测批量的同源、同目的、同类型请求的数据，提取应用层数据包变量名称和变量值，并将数据报文与常见攻击报文匹配，提取数据报文发送内容的特征，发送到数据监测与采集模块的采集单元；

(2)数据监测与采集模块的采集单元将接收到数据报文按时间序列、攻击源目地址、源目端口、攻击类型进行分类存储；

S2、通过异常攻击判断单元从数据监测与采集模块的采集单元提取数据，根据提取到的数据报文特征值，分析具有疑似攻击行为的数据报文，得到攻击数据序列A(i,n)，A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击：

假设每个攻击有3种攻击状态，攻击成功、攻击失败、攻击行为被检测；由于网络攻击过程中受外在各类客观因素影响，为了量化攻击状态，因此对攻击过程状态图生成算法做了如下定义：

Vulnerability：V(i)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点；

Attacked：A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；

Intruded：I(i)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点被人攻击成功后的状态，该状态通过数据报文中的特征值来判断；

Sucessed：S(i,n)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点被人成功攻击；

在这4个定义下，生成算法如下：

i表示第i个ip地址，n表示第n次攻击，则

step1:i＝1,n＝0；

step2:若V(i)||A(n)＝1,则A(n)＝A(n)+j，转step4；否则下一步step3；

step3:n＝n+1,若i*n>总攻击次数,转step5；否则转step4；

step4:若第n次攻击针对第i个ip，第2n次攻击仍然停留在第i个ip上，且存在攻击成功的状态I(i)，则取S(i,n)＝S(i,n)∪I(i+1)S(2n+1)

step5:对第i个ip第n步攻击前的每个A(i,n),都执行step1～step4。

step6:n＝n+1,若n>总步数,转step8；

step7:对第i步攻击前相同的A(n)进行合并,并重新对n排序,转step1；

step8:end

通过以上步骤得到攻击数据序列A(i,n)；

S3、通过有效攻击概率计算单元将得到的攻击数据序列A(i,n)作为输入参数，采用高斯分布模型建立有效攻击数据的概率分布模型：

假设每类电力移动网络攻击是随机特征矢量，由M个D维的高斯分量组成高斯混合模型，对于第V种攻击，用λ_j表示第j个高斯分量的参数，W_j表示j个高斯分量出现的概率，M个高斯分量加权和可以表示为

A(i,n)中，对于第i个的ip，当i不变时，定义攻击的类别用随机变量X来表示，在第n步攻击的状态值为随机变量X的采样值.则对于第j个状态定义

X(n)＝A(n,j)

定义k为状态序列，X(k)＝X(n)，f_k为分布序列，则对于第k个状态的特征分布，成功攻击概率特征分布可表示为

其中μ_k表示期望值，a_k表示权值因子，a为过减因子；

使用高斯分布密度表示初始攻击模型后，需要通过EM算法重估高斯混合模型的参数，p_i(x|φ_i)为高斯分布，π_i，μ_i是新估计的参数值，Φ^h代表旧的参数值，p(i|x_l,Φ^h)表示X属于第i个分布的概率

由贝叶斯公式可得成功攻击概率P

S4、通过网络攻击建模单元将攻击数据序列A(i,n)进行一阶递归平滑，得到AA(i,n)

AA(i,n)＝AA(i-1,n)+(i/n)|A(i,n)|²

2)通过前向-后向相结合的双向搜索算法寻找AA(i,n)的最小值：

AA_min(i,n)＝max{AA_f(i,n),AA_b(i,n)}

其中AA_f(i,n)为前向搜索出的最小值，AA_b(i,n)为后向搜索出的最小值；

3)根据步骤S3计算得出的有效攻击概率P，计算所有攻击序列A(i,n)有效攻击的存在概率p(i,n)：

p(i,n)＝σ₁p(i-1,n)+(1-σ₁)H(i,n)

其中σ₁＝0.2为常量平滑参数；H(i,n)是有效信号存在性判别准则，可描述为：如果Y(i,n)/Y_min(i,n)＞φ(n)则H(i,n)＝1，表示该数据报文存在有效数据，否则H(i,n)＝0，表示该数据报文不存在有效数据；φ(n)是依赖于攻击频率的判别阈值，当n小于1或界于1到3时，φ(n)值为2，当n界于3至总攻击次数一半时，φ(n)值为5；

4)根据有效攻击平滑因子σ(i,n)进行有效攻击估计：

σ(i,n)＝σ₂+(1-σ₂)p(i,n)，N(i,n)＝σ(i,n)N(i-1,n)+(1-σ(i,n))|A(i,n)|²，取σ₂＝0.95，显然σ₂≤σ^*(i,n)≤1；

5)计算有效攻击因子：

其中C(i,n)＝|A(i,n)|²-N(i,n)为所有的攻击序列，a为过减因子，其值为：

6)最后计算后的网络攻击分布为：

X(i,n)＝G(i,n)|A(i,n)|²

电力移动数据处理后台通过比对正常网络通信报文分布图和网络攻击行为数据分布图，得出是否存在网络攻击行的判断结论，并产生攻击行为预警信息。

以上是本发明的较佳实施例，凡依本发明技术方案所作的改变，所产生的功能作用未超出本发明技术方案的范围时，均属于本发明的保护范围。

Claims (3)

1.一种基于高斯分布模型的网络攻击动态监测方法，其特征在于：首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图。

2.根据权利要求1所述方法，其特征在于：该方法具体实现如下，

S1、通过数据监测与采集模块监测网络数据，采集网络报文特征值：

(1)数据监测与采集模块的监测单元监测批量的同源、同目的、同类型请求的数据，提取应用层数据包变量名称和变量值，并将数据报文与常见攻击报文匹配，提取数据报文发送内容的特征，发送到数据监测与采集模块的采集单元；

(2)数据监测与采集模块的采集单元将接收到数据报文按时间序列、攻击源目地址、源目端口、攻击类型进行分类存储；

S2、通过异常攻击判断单元从数据监测与采集模块的采集单元提取数据，根据提取到的数据报文特征值，分析具有疑似攻击行为的数据报文，得到攻击数据序列A(i,n)，A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；

S3、通过有效攻击概率计算单元将得到的攻击数据序列A(i,n)作为输入参数，采用高斯分布模型建立有效攻击数据的概率分布模型：

假设每类电力移动网络攻击是随机特征矢量，由M个D维的高斯分量组成高斯混合模型，对于第V种攻击，用λ_j表示第j个高斯分量的参数，W_j表示j个高斯分量出现的概率，M个高斯分量加权和可以表示为

<mrow> <mi>P</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>/</mo> <mi>V</mi> <mo>)</mo> </mrow> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>M</mi> </munderover> <msub> <mi>W</mi> <mi>j</mi> </msub> <mi>P</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>/</mo> <msub> <mi>&amp;lambda;</mi> <mi>j</mi> </msub> <mo>)</mo> </mrow> </mrow>

A(i,n)中，对于第i个的ip，当i不变时，定义攻击的类别用随机变量X来表示，在第n步攻击的状态值为随机变量X的采样值.则对于第j个状态定义

X(n)＝A(n,j)

定义k为状态序列，X(k)＝X(n)，f_k为分布序列，则对于第k个状态的特征分布，成功攻击概率特征分布可表示为

<mrow> <msub> <mi>p</mi> <mi>k</mi> </msub> <mrow> <mo>(</mo> <msub> <mi>x</mi> <mi>n</mi> </msub> <mo>|</mo> <mi>k</mi> <mo>,</mo> <msub> <mi>f</mi> <mi>k</mi> </msub> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mn>1</mn> <mrow> <msup> <mrow> <mo>(</mo> <mn>2</mn> <mi>&amp;pi;</mi> <mo>)</mo> </mrow> <mrow> <mi>n</mi> <mo>/</mo> <mn>2</mn> </mrow> </msup> <mo>|</mo> <msub> <mi>a</mi> <mi>k</mi> </msub> <msup> <mo>|</mo> <mrow> <mn>1</mn> <mo>/</mo> <mn>2</mn> </mrow> </msup> </mrow> </mfrac> <msup> <mi>e</mi> <mrow> <mfrac> <mn>1</mn> <mn>2</mn> </mfrac> <msup> <mrow> <mo>(</mo> <msub> <mi>x</mi> <mi>n</mi> </msub> <mo>-</mo> <msub> <mi>&amp;mu;</mi> <mi>k</mi> </msub> <mo>)</mo> </mrow> <mrow> <msub> <mi>T</mi> <mi>a</mi> </msub> <mo>-</mo> <mn>1</mn> </mrow> </msup> <mrow> <mo>(</mo> <msub> <mi>x</mi> <mi>n</mi> </msub> <mo>-</mo> <msub> <mi>&amp;mu;</mi> <mi>k</mi> </msub> <mo>)</mo> </mrow> </mrow> </msup> </mrow>

其中可μ_k表示期望值，a_k表示权值因子，a为过减因子；

使用高斯分布密度表示初始攻击模型后，需要通过EM算法重估高斯混合模型的参数，p_i(x|φ_i)为高斯分布，π_i，μ_i新估计的参数值，Φ^h代表旧的参数值，p(i|x_l,Φ^h)表示X属于第i个分布的概率

<mrow> <msub> <mi>&amp;pi;</mi> <mi>i</mi> </msub> <mo>=</mo> <mfrac> <mn>1</mn> <mi>N</mi> </mfrac> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>l</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mi>p</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>|</mo> <msub> <mi>x</mi> <mi>l</mi> </msub> <mo>,</mo> <msup> <mi>&amp;Phi;</mi> <mi>h</mi> </msup> <mo>)</mo> </mrow> </mrow>

<mrow> <msub> <mi>&amp;mu;</mi> <mi>i</mi> </msub> <mo>=</mo> <mfrac> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>l</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <msub> <mi>x</mi> <mi>l</mi> </msub> <mi>p</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>|</mo> <msub> <mi>x</mi> <mi>l</mi> </msub> <mo>,</mo> <msup> <mi>&amp;Phi;</mi> <mi>h</mi> </msup> <mo>)</mo> </mrow> </mrow> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>l</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mi>p</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>|</mo> <msub> <mi>x</mi> <mi>l</mi> </msub> <mo>,</mo> <msup> <mi>&amp;Phi;</mi> <mi>h</mi> </msup> <mo>)</mo> </mrow> </mrow> </mfrac> </mrow>

<mrow> <msub> <mi>&amp;Sigma;</mi> <mi>i</mi> </msub> <mo>=</mo> <mfrac> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>l</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mi>p</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>|</mo> <msub> <mi>x</mi> <mi>l</mi> </msub> <mo>,</mo> <msup> <mi>&amp;Phi;</mi> <mi>h</mi> </msup> <mo>)</mo> </mrow> <mrow> <mo>(</mo> <msub> <mi>x</mi> <mi>l</mi> </msub> <mo>-</mo> <msub> <mi>&amp;mu;</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <msup> <mrow> <mo>(</mo> <msub> <mi>x</mi> <mi>l</mi> </msub> <mo>-</mo> <msub> <mi>&amp;mu;</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mi>T</mi> </msup> </mrow> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>l</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mi>p</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>|</mo> <msub> <mi>x</mi> <mi>l</mi> </msub> <mo>,</mo> <msup> <mi>&amp;Phi;</mi> <mi>h</mi> </msup> <mo>)</mo> </mrow> </mrow> </mfrac> </mrow>

由贝叶斯公式可得成功攻击概率P

<mrow> <mi>p</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>|</mo> <msub> <mi>x</mi> <mi>l</mi> </msub> <mo>,</mo> <msup> <mi>&amp;Phi;</mi> <mi>h</mi> </msup> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mrow> <msub> <mi>&amp;pi;</mi> <mi>i</mi> </msub> <mi>p</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>|</mo> <msub> <mi>x</mi> <mi>l</mi> </msub> <mo>,</mo> <msup> <mi>&amp;Phi;</mi> <mi>h</mi> </msup> <mo>)</mo> </mrow> </mrow> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>M</mi> </munderover> <msub> <mi>&amp;pi;</mi> <mi>j</mi> </msub> <msub> <mi>p</mi> <mi>j</mi> </msub> <mrow> <mo>(</mo> <msub> <mi>x</mi> <mi>l</mi> </msub> <mo>|</mo> <msup> <mi>&amp;Phi;</mi> <mi>h</mi> </msup> <mo>)</mo> </mrow> </mrow> </mfrac> </mrow>

S4、通过网络攻击建模单元将攻击数据序列A(i,n)进行一阶递归平滑，得到AA(i,n)

AA(i,n)＝AA(i-1,n)+(i/n)|A(i,n)|²

2)通过前向-后向相结合的双向搜索算法寻找AA(i,n)的最小值：

AA_min(i,n)＝max{AA_f(i,n),AA_b(i,n)}

其中AA_f(i,n)为前向搜索出的最小值，AA_b(i,n)为后向搜索出的最小值；

3)根据步骤S3计算得出的有效攻击概率P，计算所有攻击序列A(i,n)有效攻击的存在概率p(i,n)：

p(i,n)＝σ₁p(i-1,n)+(1-σ₁)H(i,n)

其中σ₁＝0.2为常量平滑参数；H(i,n)是有效信号存在性判别准则，可描述为：如果Y(i,n)/Y_min(i,n)＞φ(n)则H(i,n)＝1，表示该数据报文存在有效数据，否则H(i,n)＝0，表示该数据报文不存在有效数据；φ(n)是依赖于攻击频率的判别阈值，当n小于1或界于1到3时，φ(n)值为2，当n界于3至总攻击次数一半时，φ(n)值为5；

4)根据有效攻击平滑因子σ(i,n)进行有效攻击估计：

σ(i,n)＝σ₂+(1-σ₂)p(i,n)，N(i,n)＝σ(i,n)N(i-1,n)+(1-σ(i,n))|A(i,n)|²，取σ₂＝0.95，显然σ₂≤σ^*(i,n)≤1；

5)计算有效攻击因子：

<mrow> <mi>G</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>n</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mrow> <mi>C</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>n</mi> <mo>)</mo> </mrow> </mrow> <mrow> <mi>C</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>n</mi> <mo>)</mo> </mrow> <mo>+</mo> <mi>&amp;alpha;</mi> <mi>N</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </mfrac> </mrow>

其中C(i,n)＝|A(i,n)|²-N(i,n)为所有的攻击序列，α为过减因子，其值为：

<mrow> <mi>&amp;alpha;</mi> <mo>=</mo> <mn>8</mn> <mo>-</mo> <mfrac> <mn>9</mn> <mn>25</mn> </mfrac> <mo>&amp;times;</mo> <mn>10</mn> <mi>lg</mi> <mfrac> <mrow> <mo>|</mo> <mi>A</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>n</mi> <mo>)</mo> </mrow> <msup> <mo>|</mo> <mn>2</mn> </msup> </mrow> <mrow> <mi>N</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </mfrac> </mrow>

6)最后计算后的网络攻击分布为：

X(i,n)＝G(i,n)|A(i,n)|²

电力移动数据处理后台通过比对正常网络通信报文分布图和网络攻击行为数据分布图，得出是否存在网络攻击行的判断结论，并产生攻击行为预警信息。

3.根据权利要求2所述方法，其特征在于：所述步骤S2具体实现如下：假设每个攻击有3种攻击状态，攻击成功、攻击失败、攻击行为被检测；由于网络攻击过程中受外在各类客观因素影响，为了量化攻击状态，因此对攻击过程状态图生成算法做了如下定义：

Vulnerability：V(i)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点；

Attacked：A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；

Intruded：I(i)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点被人攻击成功后的状态，该状态通过数据报文中的特征值来判断；

Sucessed：S(i,n)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点被人成功攻击；

在这4个定义下，生成算法如下：

i表示第i个ip地址，n表示第n次攻击，则

step1:i＝1,n＝0；

step2:若V(i)||A(n)＝1,则A(n)＝A(n)+j，转step4；否则下一步step3；

step3:n＝n+1,若i*n>总攻击次数,转step5；否则转step4；

step4:若第n次攻击针对第i个ip，第2n次攻击仍然停留在第i个ip上，且存在攻击成功的状态I(i)，则取S(i,n)＝S(i,n)∪I(i+1)S(2n+1)

step5:对第i个ip第n步攻击前的每个A(i,n),都执行step1～step4；

step6:n＝n+1,若n>总步数,转step8；

step7:对第i步攻击前相同的A(n)进行合并,并重新对n排序,转step1；

step8:end

通过以上步骤得到攻击数据序列A(i,n)。