CN107979606B

CN107979606B - 一种具有自适应的分布式智能决策方法

Info

Publication number: CN107979606B
Application number: CN201711292594.8A
Authority: CN
Inventors: 张栗粽; 段贵多; 罗光春; 秦科
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2017-12-08
Filing date: 2017-12-08
Publication date: 2020-08-11
Anticipated expiration: 2037-12-08
Also published as: CN107979606A

Abstract

本发明属于数据安全领域，具体涉及一种具有自适应的分布式智能决策方法。本发明针对实时监控日志及操作请求日志的生成模式进行发掘，检测可能存在的异常，将神经网络在模式识别中的优势与知识的推理理论结合起来，在综合多个相邻节点信息的基础上，引入自适应的机制，以分布式的方式进行入侵检测，同时将决策过程放入分布的节点而不是中央控制台，减少了网络传输，提高了分布式决策的速度。本发明综合相邻节点的信息反馈，进行自适应调整，并且不依赖全局信息，减少了数据传输，能有效检测出单一节点难以检测出入侵的数据。

Description

一种具有自适应的分布式智能决策方法

技术领域

本发明属于数据安全领域，具体涉及一种具有自适应的分布式智能决策方法。

背景技术

入侵检测常用的技术包括专家系统，模式匹配(例如神经网络等)以及基于统计方法的技术。但近年来的研究热点越来越集中于神经网络，这是因为其有更好地处理原始数据的随机特性，不需要对这些数据作任何统计假设，同时，它也有较好的抗干扰能力。

然而，仅仅使用神经网络作为入侵检测的主要技术也有许多的局限性；同时，当前对于入侵检测的研究一般都局限于单一检测点，而当前网络攻击手段向分布式方向发展，单一节点难以检测出入侵的数据，破坏性和隐蔽性也越来越大，这些研究普遍采用综合多个探测节点的信息并由一个中央控制台进行处理和分析。但考虑到网络传输带来的延时问题，大规模网络带来的大量检测负荷，将使这种架构的入侵检测面临诸多困难。

发明内容

针对上述存在问题或不足，本发明提供了一种具有自适应的分布式智能决策方法，针对实时监控日志及操作请求日志的生成模式进行发掘，检测可能存在的异常。

本发明的步骤如下：

S1.数据预处理。

S11.定义预定义知识库；预定义知识库由入侵规则集组成，每一种入侵手段所对应的规则集对应一个预定义知识库，初始化为空。这些预定义知识库还包含两个属性：种类和权重，种类用来标识预定义知识库对应的入侵手段，权重表示该预定义知识库的规则对当前环境的重要程度，权重的范围为0到1。

S12.提取预定义知识库的环境特征；针对不同类型的入侵方式，获取该入侵方式的知识，加入到对应的预定义知识库，对所有预定义知识库获取完知识之后，将知识进行求并集获得知识总库，并根据知识所适用的入侵方式，定义一个布尔矩阵E来表示该知识所适用的环境，即用来表示其所属预定义知识库。然后建立知识关系表，用以表示知识之间的逻辑关系。

S2.节点环境识别；对每个节点的数据提取特征，使用其产生的矩阵M来描述节点所处的环境。

S21.产生特征；选取报文长度、字符频率、来源区域、端口号、协议类型和时间以及它们的各种变形与转换，采用加权移动平均(Weighted MovingAverage，WMA)方法将数据进行平滑处理。

S22.对S21步骤产生的特征数据进行降维处理。首先通过ClampingNetwork计算所有特征对结果的影响，然后根据影响按照从大到小进行排序(Ranking)，再按照排序结果，依次将特征增加到测试特征集(用来测试特征对结果的影响，初始化为空集)中，测验组合对结果准确度的影响，若精确度提升超过阈值a1(0.01-0.1)，则将该特征保留，若精确度下降超过阈值a2(0.01-0.1)，则将其剔除，否则，将其放回排序结果列表的末尾。

S23.使用人工神经网络进行模式识别。使用神经网络对S22的输出数据进行训练，神经网络训练完成后得到矩阵M，每个矩阵的元素代表着该节点属于对应环境的置信度。

S3.产生本地知识库。每个节点所使用的入侵规则集与该节点所处的环境相关，因此，需要根据步骤S2环境识别的结果来产生自身的知识库即本地知识库。本地知识库拥有一个矩阵W，其中每个元素代表对应的预定义知识库的基础权重(baseWeight，初始化为0.1-1)。具体步骤如下：

S31.选择知识。将预定义知识库的权值矩阵W，点乘每个知识的布尔矩阵E，得到结果N，将N与M相加，若相加的结果中存在大于1的值，则选择该知识。

S32.知识融合。若步骤S31所选择的知识包含冲突的知识，则需要进行知识融合。将知识间冲突的部分作为额外条件属性加入到冲突知识元素中，重复这个步骤直至找不到更多的条件属性时，开始对冲突的知识进行融合。

S4.推理。建立好本地知识库之后，对实时数据进行判断，若应用知识规则之后能做出判断为入侵或非入侵则做出决策，否则不能做出决策。

S5.自适应调整。对做出的决策进行评估，动态调整本地知识库的矩阵W，如S3所述，该矩阵每个元素代表对应的预定义知识库的baseWeight。具体步骤如下：

S51.若做出决策，则使用下式更新包含做出决策所使用的知识的预定义知识库的baseWeight，无论该决策是否正确。

其中，W_new是更新后的baseWeight；W_old是更新前的baseWeight；

是预定义知识库中未被选进该节点本地知识库的知识数量；

是该预定义知识库的知识数量；

是该节点所包含的知识数量；Q_all是系统的知识元素的总数量。

若决策出错，则按照下式更新权重，用以惩罚作出该决策所依据的知识元素的预定义知识库。

其中，

是既在该本地知识库又在预定义知识库中的知识数量；α是经验参数用以控制步长，取0-1的小数。

若在S4过程中，使用知识但未作出任何决策，则使用如下公式对baseWeight进行更新，用来惩罚对该知识的不当使用。

其中，

是更新前所有baseWeight的平均值；

是没有被选入当前节点的本地知识库的知识数量。

S52.全局自适应调整。对于每个节点，当决策次数达到10-30次时，将进行全局自适应调整。全局自适应调整考虑这段时间内所做的所有决策和与该节点直接相连的节点的信息，使用下式进行更新：

其中，W_GWA是全局权重调整参数；β是用来控制步长的参数，取0-1的小数；

是做决策所用的知识数量；E(0≤E≤1)是系统性能评估，表示决策正确率；

是所有本地知识库包含的所有知识的数量；W_pre是该节点的本地知识库上一次baseWeight；

是该节点和周围节点的本地知识库在这段时间内的baseWeight的平均值。

对于此次全局自适应调整的所用到的节点，用以下公式更新其baseWeight：

W_new＝W_old+W_GWA

S53.决定是否重建本地知识库。对进行全局自适应调整之后的节点，若如下不等式成立，将重新构建本地知识库，即从步骤S2重新开始。

其中，W_cur是当前节点预定义知识库的当前baseWeight；W_pre是该知识库上一次baseWeight；求和表示要考虑所有预定义知识库；

是用在不正确决策中的知识数量；

是该节点所包含的知识数量

是当前节点知识库上一次所有baseWeight的平均值。

本发明将神经网络在模式识别中的优势与知识的推理理论结合起来，在综合多个相邻节点信息的基础上，引入自适应的机制，以分布式的方式进行入侵检测，同时将决策过程放入分布的节点而不是中央控制台，减少了网络传输，提高了分布式决策的速度。

本发明综合相邻节点的信息反馈，进行自适应调整，并且不依赖全局信息，减少了数据传输，能有效检测出单一节点难以检测出入侵的数据。

附图说明

图1为自适应分布式决策方法框架示意图；

图2为自适应分布式决策方法的流程图；

图3为实施例使用BP神经网络进行环境识别的示意图；

图4为知识融合过程。

具体实施方式

下面结合附图对本发明做进一步说明。

如图2所示为方法流程图，具体步骤如下：

S1.预处理：将数据进行预处理，用以进行环境识别等后续步骤。

S12.提取预定义知识库的环境特征；针对不同类型的入侵方式，获取该入侵方式的知识，加入到对应的预定义知识库，对所有预定义知识库获取完知识之后，将知识进行求并集获得知识总库，并根据知识所适用的入侵方式，定义一个布尔矩阵E来表示该知识所适应的环境，即用来表示它是否属于某个预定义知识库。建立知识关系表，用以表示知识之间的逻辑关系。

S2.节点环境识别。对每个节点的数据提取特征，使用其产生的矩阵M来描述节点所处的环境。

S21.产生特征。考察报文长度、字符频率、来源区域、端口号、协议类型、时间及其各种变形与转换的数据类型；为了尽可能的准确识别出所处环境，将这些数据考虑为时间序列信息，由此以获得更多的特征数据，例如原始数据的均值，方差，中值，标准差等。我们计划将数据作为时序数据，使用滑动窗口与加权移动平均(WMA)的方法，对原始采集到的数据进行预处理与分割。采用WMA方法主要原因是需要将数据进行平滑处理，同时也为了使时间上越近的数据其影响越大：

data_t＝∑W_i·data_t-i+1，i∈N

其中，N为样本数量，t为时间，W_i为权重，并且∑W_i＝1。

S22.对S21步骤进行之后的数据进行降维处理。

首先通过Clamping Network计算所有特征对结果的影响，然后根据影响按照从大到小进行排序(Ranking)，再按照排序结果，依次将特征增加到测试特征集中(用来测试特征对结果的影响，初始化为空集)，测验组合对结果准确度的影响。每增加一种特征，就使用此测试特征集对分类神经网络进行训练与测试，如果测试结果的精度提升超过阈值(0.05)，就将其保留，如果精度下降超过阈值(0.05)，就将其剔除。如果上升下降均未超过阈值，那么将其放回待选列表(即排序列表)的末尾。具体的步骤如下：

步骤1：使用所有特征参数训练网络

步骤2：计算网络的generalized performance

步骤3：对于第i(1≤i≤N；N为特征的总数)个特征：

步骤3.1：设置网络的输入为所有特征参数

步骤3.2：计算当前特征的均值

其中P为测试样本个数；x_ip为第p个样本中的第i个特征。

步骤3.3：测试整个网络

步骤3.4：计算此时的Clamped generalized performance:

步骤3.5：计算此特征对网络表现的影响Impact:

步骤3.6：重复执行步骤3，直至所有特征参数计算完成。

步骤4：根据Impact，按照降序对所有特征参数按从大到小进行排序。

步骤5：创建测试特征集，初始化为空

步骤6：对排好序中的每一特征：

步骤6.1：将该特征加入集合。

步骤6.2：使用当前集合对网络进行训练。

步骤6.3：测试当前网络，并计算精确度。

步骤6.4：如果精确度提升超过阈值0.05，就将其保留，如果精确度下降超过阈值0.05，就将其剔除。如果上升下降均未超过阈值，那么将其放回待选列表的末尾。

步骤6.5：如果排在末尾的特征在第二次测试时，并没有使网络的精确度超过一个阈值，将其剔除。

步骤6.6：重复步骤6直至特征参数排序列表为空。

步骤7：测试特征集合中的特征即为所需特征。

S23.使用人工神经网络进行模式识别。使用BP神经网络对S22的输出数据进行训练，神经网络的输出为一个矩阵M，每个矩阵的元素代表着该节点属于对应环境的置信度。如图3所示。

S3.产生知识库。每个节点所使用的的规则集与该节点所处的环境相关，因此，需要根据步骤S2环境识别的结果来产生自身的知识库。

S31.选择知识。使用如下二元组描述知识：KO＝<P,D>其中，P为该知识对象的属性集合，D为对应的描述或值。将预定义知识库的权值baseWeight，点乘每个知识的布尔矩阵E，得到结果N，将N与M相加，若存在大于1的值，则选择该知识。

S32.知识融合。若步骤S31所选择的知识包含冲突的知识，则需要进行知识融合。将知识间冲突的部分作为额外条件属性加入到冲突知识元素中，重复这个步骤直到找不到更多的条件属性时，开始削弱知识。例如，对于以下两个知识元素：

(1)A(a＝Monday)->C

(2)B(a＝Weekday)->D

可以找到额外的条件属性为a＝Weekday&a！＝Monday，则知识将变为：

(1)A(a＝Monday)->C

(2)B(a＝Monday)->D

(3)B(a＝Weekday&a！＝Monday)->D

将上述知识进行融合后，新知识元素为：

(1)A(a＝Monday)->C&D

(2)B(a＝Weekday&a！＝Monday)->D

当C包含于D时，融合结果只有(2)B(a＝Weekday)->D，第一个知识元素由于重复而被丢弃。这个方法需要一个属性值之间的关系的表以及一组元规则来控制融合过程。这个表在预定义知识库阶段产生。

其中，W_new是更新后的baseWeight；W_old是更新前的baseWeight；

是预定义知识库中未被选进该节点的本地知识库的知识数量；

是该预定义知识库的知识数量；

若决策出错，则按照下式更新权重，用以惩罚包含该不恰当知识元素的预定义知识库。

其中，

是既在该本地知识库又在预定义知识库中的知识数量；α是经验参数用以控制步长，可取0-1的小数。

若在S4过程中，使用知识但未作出任何决策，则使用如下公式对baseWeight进行更新，用来惩罚对知识的不当使用。

其中，

是更新前所有baseWeight的平均值；

是没有被选入当前本地知识库的知识数量。

S52.全局自适应调整。对于每个节点，当决策次数达到10-30次时，将进行全局自适应调整。全局自适应调整将考虑这段时间内所做的所有决策和与该节点直接相连的节点的信息，使用下式进行更新：

W_new＝W_old+W_GWA

是用在不正确决策中的知识数量；

是该节点所包含的知识数量

是当前节点知识库上一次所有baseWeight的平均值。

综上可见，本发明通过将神经网络在模式识别中的优势与知识的推理理论结合起来，在综合多个相邻节点信息的基础上，进行自适应调整，以分布式的方式进行入侵检测，同时将决策过程放入分布的节点而不是中央控制台，减少了网络传输，提高了分布式决策的速度。并且不依赖全局信息，减少了数据传输，能有效检测出单一节点难以检测出入侵的数据。

Claims

1.一种具有自适应的分布式智能决策方法，具体步骤如下：

S1.数据预处理；

S11.定义预定义知识库；

预定义知识库由入侵规则集组成，每一种入侵手段所对应的规则集对应一个预定义知识库，初始化为空；这些预定义知识库还包含两个属性：种类和权重，种类用来标识预定义知识库对应的入侵手段，权重表示该预定义知识库的规则对当前环境的重要程度，权重的范围为0到1；

S12.提取预定义知识库的环境特征；

针对不同类型的入侵方式，获取该入侵方式的知识，加入到对应的预定义知识库，对所有预定义知识库获取完知识之后，将知识进行求并集获得知识总库，并根据知识所适用的入侵方式，定义一个布尔矩阵E来表示该知识所适用的环境，即用来表示其所属预定义知识库；然后建立知识关系表，用以表示知识之间的从属关系；

S2.节点环境识别；对每个节点的数据提取特征，使用其产生的矩阵M来描述节点所处的环境；

S21.产生特征；

选取报文长度、字符频率、来源区域、端口号、协议类型和时间以及它们的各种变形与转换，采用加权移动平均Weighted Moving Average，WMA方法将数据进行平滑处理；

S22.对S21步骤产生的特征数据进行降维处理；

首先通过Clamping Network计算所有特征对结果的影响，然后根据影响按照从大到小进行排序Ranking，再按照排序结果，依次将特征增加到测试特征集中，测验组合对结果准确度的影响，若精确度提升超过阈值a1，则将该特征保留，若精确度下降超过阈值a2，则将其剔除，否则，将其放回排序结果列表的末尾，0.01≤a1≤0.1，0.01≤a2≤0.1；所述测试特征集用来测试特征对结果的影响，初始化为空集；

S23.使用人工神经网络进行模式识别；

使用神经网络对S22的输出数据进行训练，神经网络训练完成后得到矩阵M，每个矩阵的元素代表着该节点属于对应环境的置信度；

S3.产生本地知识库；

根据步骤S2环境识别的结果来产生自身的知识库即本地知识库，本地知识库拥有的矩阵W每个元素代表对应的预定义知识库的基础权重baseWeight，初始化为0.1-1，具体步骤如下：

S31.选择知识；

将预定义知识库的权值矩阵W，点乘每个知识的布尔矩阵E，得到结果N，将N与M相加，若相加的结果中存在大于1的值，则选择该知识；

S32.知识融合；

若步骤S31所选择的知识包含冲突的知识，则需要进行知识融合，将知识间冲突的部分作为额外条件属性加入到冲突知识元素中，重复这个步骤直至找不到更多的额外条件属性时，开始对冲突的知识进行融合；

S4.推理；建立好本地知识库之后，对实时数据进行判断，若应用知识规则之后能做出判断为入侵或非入侵则做出决策，否则不能做出决策；

S5.自适应调整；对做出的决策进行评估，动态调整本地知识库的矩阵W，如S3所述，该矩阵每个元素代表对应的预定义知识库的baseWeight，具体步骤如下：

S51.若做出决策，则使用下式更新包含做出决策所使用的知识的预定义知识库的baseWeight，无论该决策是否正确；