CN111191683B - 基于随机森林和贝叶斯网络的网络安全态势评估方法 - Google Patents

基于随机森林和贝叶斯网络的网络安全态势评估方法 Download PDF

Info

Publication number
CN111191683B
CN111191683B CN201911277644.4A CN201911277644A CN111191683B CN 111191683 B CN111191683 B CN 111191683B CN 201911277644 A CN201911277644 A CN 201911277644A CN 111191683 B CN111191683 B CN 111191683B
Authority
CN
China
Prior art keywords
network
network security
bayesian
constructing
random forest
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911277644.4A
Other languages
English (en)
Other versions
CN111191683A (zh
Inventor
任勋益
王文思
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN201911277644.4A priority Critical patent/CN111191683B/zh
Publication of CN111191683A publication Critical patent/CN111191683A/zh
Application granted granted Critical
Publication of CN111191683B publication Critical patent/CN111191683B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • G06F18/24155Bayesian classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

基于随机森林和贝叶斯的网络安全态势评估方法,包括如下步骤,步骤S1、构建随机森林方法,并使用该方法获取对网络安全有影响的因素;步骤S2、综合网络的稳定性、脆弱性、威胁性和容灾性构建网络安全态势评估模型;步骤S3、对网络安全有影响的因素进行分析归纳,构造有向无环图,形成贝叶斯网络;步骤S4、计算网络安全态势值,获取网络的安全状态。本发明运用随机森林方法挖掘影响网络安全的因素,并利用贝叶斯网络安全方法对影响网络安全的因素进行关联重组和分析,从而获取最准确详细的网络安全态势信息。

Description

基于随机森林和贝叶斯网络的网络安全态势评估方法
技术领域
本发明属于网络安全技术领域,具体涉及一种基于随机森林和贝叶斯的网络安全态势评估方法。
背景技术
随着经济的发展,计算机走进了千家万户,网络的开放、共享和互连程度越来越大,给人们的生活、工作都带来了极大的便利。但是有好的一面必然也会有坏的一面,各种各样的网络安全事件不断发生,网络的安全性面临着极大的挑战,严重的影响了信息财产安全,所以有效地增强网络系统的安全成为当前的重要目标。
目前增强网络的安全性一般采用的是安装防火墙、入侵检测系统或者杀毒软件等措施,这些措施为网络筑起了一道安全防线。但是伴随着网络的不断发展,其复杂性和不确定性因素逐步增加,这些措施只能检测已经发生的攻击行为或者异常活动,且只能从某个方面或者某个方法对网络进行独立防护,这些措施每天产生大量的警报信息,误报率高,不能够动态的调整来高效安全的保护网络,在大规模网络中很难起到有效的保护作用。网络安全态势评估技术的提出可以帮助网络管理人员更好的掌握网络系统的安全运行情况,对网络中的脆弱点和潜在的威胁有更清晰的了解,从而可以及时有效地采取准确的防范措施。
发明内容
本发明所要解决的技术问题是克服现有技术的不足,提供一种基于随机森林和贝叶斯的网络安全态势评估方法,运用随机森林方法挖掘影响网络安全的因素,并利用贝叶斯网络安全方法对影响网络安全的因素进行关联重组和分析,从而获取最准确详细的网络安全态势信息。
本发明提供一种基于随机森林和贝叶斯的网络安全态势评估方法,包括如下步骤,
步骤S1、构建随机森林方法,并使用该方法获取对网络安全有影响的因素;
步骤S2、综合网络的稳定性、脆弱性、威胁性和容灾性构建网络安全态势评估模型;
步骤S3、对网络安全有影响的因素进行分析归纳,构造有向无环图,形成贝叶斯网络;
步骤S4、计算网络安全态势值,获取网络的安全状态。
作为本发明的进一步技术方案,步骤S1构建随机森林方法的具体步骤为:
步骤S11、将森林中总的树的数目M平均分成4个部分分给各个进程分担,每个进程创建M/4棵决策树,创建好的M/4棵决策树以列表的形式返回主进程;
步骤S12、主进程获取4个子进程的决策树列表后,将4个子列表整合到一个长度为M的决策树列表L中;
步骤S13、为每棵决策树产生训练集,使用bagging中的bootstrap aggregating方法从原始训练样本集中有放回的重复随机抽取n个样本作为一组训练集
步骤S14、构建单棵决策树,从每个样本的特征中随机抽取m个特征,使用基于特征的方式将m个特征划分为样本集D来计算基尼指数,即将样本集合为等于指定特征的样本集D1和不等于给定特征的样本集D2,其纯度为其中,A为当前的特征,然后从所有Gini(D,Ai)中找出Gini指数最小的划分A,使用特征A作为分裂特征,重复本步骤获取决策树;
步骤S15、每个进程重复按照步骤S13和步骤S14构造M/4棵决策树,整合组成随机森林,每棵决策树的最后一个叶节点为对网络安全影响最大的特征,构成特征集A1,A2......AM
进一步的,稳定性包括CPU的占有率、网络流量变化情况和系统平均无故障时间;所述脆弱性包括系统漏洞情况、系统的配置信息、防护软件安装情况和端口开放情况;所述威胁性包括木马攻击、蠕虫攻击、DOS攻击及各类病毒和黑客攻击、数据的变化率和流入量;所述容灾性包括网络带宽、网络结构、组件提供的服务类型和操作系统的版本。
进一步的,步骤S3中构建贝叶斯网络的具体步骤为:
步骤S31、通过计算统计模型获取每种安全威胁(A1...AM)的发生概率P(Ai),将其作为先验概率值;
步骤S32、获取新的样本数据,利用贝叶斯公式对先验概率进行修正,求后验概率;
步骤S33、将步骤S32所得的后验概率作为下一次的先验概率,对后验概率反复修正。
进一步的,步骤S4中利用贝叶斯公式计算当前网络发生危险的概率,贝叶斯公式为
本发明可以准确快速的定位网络中潜在的安全性问题,运用并行随机森林构造方法挖掘网络中潜在的威胁,充分利用计算机资源,与现有方法相比具有更高的准确性和效率,对大规模的数据集训练速度快,避免了过度拟合问题,无需保留数据进行检验。
同时,本发明先通过随机森林挖掘网络中潜在的威胁,再构造贝叶斯网络,可以减少贝叶斯网络由于参数过多而造成的计算代价,进而可以更高效的保护网络安全。
附图说明
图1为本发明的方法流程示意图;
图2为本发明的随机森林方法产生某段时间影响网络安全的主要因素结构图;
图3为本发明构造的贝叶斯网络模型用来评估网络安全态势示意图;
具体实施方式
请参阅图1,本实施例提供一种基于随机森林和贝叶斯的网络安全态势评估方法,包括如下步骤,
步骤S1、构建随机森林方法,并使用该方法获取对网络安全有影响的因素;
步骤S2、综合网络的稳定性、脆弱性、威胁性和容灾性构建网络安全态势评估模型;
步骤S3、对网络安全有影响的因素进行分析归纳,构造有向无环图,形成贝叶斯网络;
步骤S4、计算网络安全态势值,获取网络的安全状态,及时发现导致网络不安全的最大潜在因素。
步骤S1中,随机森林有2个参数为人为控制,一是森林中树的数量M,二是在决策树的每个节点进行分裂时需要考虑的输入特征的个数m。
如图2所示,随机森林方法采用并行算法,充分利用计算机的硬件配置,加快决策树的构造速度。由于计算机有4个CPU核,Python只用了其中一个核,即使程序把那个CPU核完全占满,其他3个CPU核也处于闲置状态,通过并行运算可以充分运用资源,加快程序的运行。multiprocessing是Python标准库中的模块,实现了共享内存机制,可以让运行在不同处理器核心的进程能读取共享内存。
构建随机森林方法的具体步骤为:
步骤S11、将森林中总的树的数目M平均分成4个部分分给各个进程分担,每个进程创建M/4棵决策树,创建好的M/4棵决策树以列表的形式返回主进程;
步骤S12、主进程获取4个子进程的决策树列表后,将4个子列表整合到一个长度为M的决策树列表L中;
步骤S13、为每棵决策树产生训练集,使用bagging中的bootstrap aggregating方法从原始训练样本集中有放回的重复随机抽取n个样本作为一组训练集
步骤S14、构建单棵决策树,从每个样本的特征中随机抽取m个特征,使用基于特征的方式将m个特征划分为样本集D来计算基尼指数,即将样本集合为等于指定特征的样本集D1和不等于给定特征的样本集D2,其纯度为其中,A为当前的特征,然后从所有Gini(D,Ai)中找出Gini指数最小的划分A,使用特征A作为分裂特征,重复本步骤获取决策树;
步骤S15、每个进程重复按照步骤S13和步骤S14构造M/4棵决策树,整合组成随机森林,每棵决策树的最后一个叶节点为对网络安全影响最大的特征,构成特征集A1,A2......AM
步骤S2中,网络的稳定性包括CPU的占有率、网络流量变化情况和系统平均无故障时间;所述脆弱性包括系统漏洞情况、系统的配置信息、防护软件安装情况和端口开放情况;所述威胁性包括木马攻击、蠕虫攻击、DOS攻击及各类病毒和黑客攻击、数据的变化率和流入量;所述容灾性包括网络带宽、网络结构、组件提供的服务类型和操作系统的版本。
步骤S3中构建贝叶斯网络的具体步骤为:
步骤S31、通过计算统计模型获取每种安全威胁(A1...AM)的发生概率P(Ai),将其作为先验概率值;
步骤S32、获取新的样本数据,利用贝叶斯公式对先验概率进行修正,求后验概率;
步骤S33、将步骤S32所得的后验概率作为下一次的先验概率,对后验概率反复修正。
步骤S4中利用贝叶斯公式计算当前网络发生危险的概率,贝叶斯公式为
以上显示和描述了本发明的基本原理、主要特征和优点。本领域的技术人员应该了解,本发明不受上述具体实施例的限制,上述具体实施例和说明书中的描述只是为了进一步说明本发明的原理,在不脱离本发明精神范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护的范围由权利要求书及其等效物界定。

Claims (4)

1.一种基于随机森林和贝叶斯的网络安全态势评估方法,其特征在于,包括如下步骤,
步骤S1、构建随机森林方法,并使用该方法获取对网络安全有影响的因素;
步骤S2、综合网络的稳定性、脆弱性、威胁性和容灾性构建网络安全态势评估模型;
步骤S3、对网络安全有影响的因素进行分析归纳,构造有向无环图,形成贝叶斯网络;
步骤S4、计算网络安全态势值,获取网络的安全状态;
所述步骤S1构建随机森林方法的具体步骤为:
步骤S11、将森林中总的树的数目M平均分成4个部分分给各个进程分担,每个进程创建M/4棵决策树,创建好的M/4棵决策树以列表的形式返回主进程;
步骤S12、主进程获取4个子进程的决策树列表后,将4个子列表整合到一个长度为M的决策树列表L中;
步骤S13、为每棵决策树产生训练集,使用bagging中的bootstrap aggregating方法从原始训练样本集中有放回的重复随机抽取n个样本作为一组训练集;
步骤S14、构建单棵决策树,从每个样本的特征中随机抽取m个特征,使用基于特征的方式将m个特征划分为样本集D来计算基尼指数,即将样本集合为等于指定特征的样本集D1和不等于给定特征的样本集D2,其纯度为其中,A为当前的特征,然后从所有Gini(D,Ai)中找出Gini指数最小的划分A,使用特征A作为分裂特征,重复本步骤获取决策树;
步骤S15、每个进程重复按照步骤S13和步骤S14构造M/4棵决策树,整合组成随机森林,每棵决策树的最后一个叶节点为对网络安全影响最大的特征,构成特征集A1,A2......AM
2.根据权利要求1所述的一种基于随机森林和贝叶斯的网络安全态势评估方法,其特征在于,所述稳定性包括CPU的占有率、网络流量变化情况和系统平均无故障时间;所述脆弱性包括系统漏洞情况、系统的配置信息、防护软件安装情况和端口开放情况;所述威胁性包括木马攻击、蠕虫攻击、DOS攻击及各类病毒和黑客攻击、数据的变化率和流入量;所述容灾性包括网络带宽、网络结构、组件提供的服务类型和操作系统的版本。
3.根据权利要求1所述的一种基于随机森林和贝叶斯的网络安全态势评估方法,其特征在于,所述步骤S3中构建贝叶斯网络的具体步骤为:
步骤S31、通过计算统计模型获取每种安全威胁A1...AM的发生概率P(Ai),将其作为先验概率值;
步骤S32、获取新的样本数据,利用贝叶斯公式对先验概率进行修正,求后验概率;
步骤S33、将步骤S32所得的后验概率作为下一次的先验概率,对后验概率反复修正。
4.根据权利要求1所述的一种基于随机森林和贝叶斯的网络安全态势评估方法,其特征在于,所述步骤S4中利用贝叶斯公式计算当前网络发生危险的概率,贝叶斯公式为
CN201911277644.4A 2019-12-13 2019-12-13 基于随机森林和贝叶斯网络的网络安全态势评估方法 Active CN111191683B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911277644.4A CN111191683B (zh) 2019-12-13 2019-12-13 基于随机森林和贝叶斯网络的网络安全态势评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911277644.4A CN111191683B (zh) 2019-12-13 2019-12-13 基于随机森林和贝叶斯网络的网络安全态势评估方法

Publications (2)

Publication Number Publication Date
CN111191683A CN111191683A (zh) 2020-05-22
CN111191683B true CN111191683B (zh) 2023-09-22

Family

ID=70707380

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911277644.4A Active CN111191683B (zh) 2019-12-13 2019-12-13 基于随机森林和贝叶斯网络的网络安全态势评估方法

Country Status (1)

Country Link
CN (1) CN111191683B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114511131A (zh) * 2021-12-27 2022-05-17 河北师范大学 一种基于机器学习算法的网络安全态势预测方法及系统
CN114519302B (zh) * 2022-01-25 2024-06-28 江苏科技大学 基于数字孪生的公路交通态势仿真方法
CN114679338A (zh) * 2022-05-26 2022-06-28 山东林天信息科技有限责任公司 一种基于网络安全态势感知的网络风险评估方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104394015A (zh) * 2014-11-13 2015-03-04 河南理工大学 一种网络安全态势评估方法
CN109787979A (zh) * 2019-01-22 2019-05-21 电子科技大学 一种电力网络事件和入侵的检测方法
CN110224990A (zh) * 2019-07-17 2019-09-10 浙江大学 一种基于软件定义安全架构的入侵检测系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104394015A (zh) * 2014-11-13 2015-03-04 河南理工大学 一种网络安全态势评估方法
CN109787979A (zh) * 2019-01-22 2019-05-21 电子科技大学 一种电力网络事件和入侵的检测方法
CN110224990A (zh) * 2019-07-17 2019-09-10 浙江大学 一种基于软件定义安全架构的入侵检测系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于随机森林特征选择的贝叶斯分类模型及应用;鲁亚会;《中国优秀硕士学位论文全文数据库》;20180315;第21-25页 *

Also Published As

Publication number Publication date
CN111191683A (zh) 2020-05-22

Similar Documents

Publication Publication Date Title
US11212306B2 (en) Graph database analysis for network anomaly detection systems
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
US11818014B2 (en) Multi-baseline unsupervised security-incident and network behavioral anomaly detection in cloud-based compute environments
EP3107026B1 (en) Event anomaly analysis and prediction
CN111191683B (zh) 基于随机森林和贝叶斯网络的网络安全态势评估方法
AU2017224993A1 (en) Malicious threat detection through time series graph analysis
Garitano et al. A review of SCADA anomaly detection systems
AU2015201161A1 (en) Event correlation
CN112134877A (zh) 网络威胁检测方法、装置、设备及存储介质
CN111885033B (zh) 基于多源安全检测框架的机器学习场景检测方法及系统
CN106850647B (zh) 基于dns请求周期的恶意域名检测算法
CN113422763B (zh) 基于攻击场景构建的报警关联分析方法
Tang et al. Disclosure of cyber security vulnerabilities: time series modelling
Marchetti et al. Identification of correlated network intrusion alerts
Ahmed Thwarting dos attacks: A framework for detection based on collective anomalies and clustering
CN114679327B (zh) 网络攻击等级确定方法、装置、计算机设备和存储介质
US20230087309A1 (en) Cyberattack identification in a network environment
CN113536299B (zh) 一种基于贝叶斯神经网络的入侵检测系统的设计方法
US12052274B2 (en) Techniques for enriching device profiles and mitigating cybersecurity threats using enriched device profiles
CN111865958B (zh) 基于多源安全检测框架的检测方法及系统
CN113132414B (zh) 一种多步攻击模式挖掘方法
CN113032774A (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
US20240111902A1 (en) Defense against xai adversarial attacks by detection of computational resource footprints
Youssef et al. Behavioural analysis approach for IDS based on attack pattern and risk assessment in cloud computing
Zhou et al. Representation-enhanced APT Detection Using Contrastive Learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant