CN114629728B - 一种卡尔曼滤波的网络攻击追踪方法及装置 - Google Patents

一种卡尔曼滤波的网络攻击追踪方法及装置 Download PDF

Info

Publication number
CN114629728B
CN114629728B CN202210508222.9A CN202210508222A CN114629728B CN 114629728 B CN114629728 B CN 114629728B CN 202210508222 A CN202210508222 A CN 202210508222A CN 114629728 B CN114629728 B CN 114629728B
Authority
CN
China
Prior art keywords
network
service
chain
state
space
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210508222.9A
Other languages
English (en)
Other versions
CN114629728A (zh
Inventor
戚建淮
崔宸
韩丹丹
唐娟
刘航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Y&D Electronics Information Co Ltd
Original Assignee
Shenzhen Y&D Electronics Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Y&D Electronics Information Co Ltd filed Critical Shenzhen Y&D Electronics Information Co Ltd
Priority to CN202210508222.9A priority Critical patent/CN114629728B/zh
Publication of CN114629728A publication Critical patent/CN114629728A/zh
Application granted granted Critical
Publication of CN114629728B publication Critical patent/CN114629728B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/11Complex mathematical operations for solving equations, e.g. nonlinear equations, general mathematical optimization problems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Theoretical Computer Science (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Algebra (AREA)
  • Operations Research (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种卡尔曼滤波的网络攻击追踪方法及装置,该网络攻击追踪方法包括:通过自动化测试平台产生网络报文集;在网络报文集映射的特征值中排列时空序列以构建操作链和服务链;将操作链和服务链同业务系统的角色和状态按照业务工作流进行配置以形成业务安全状态机;对所述业务安全状态机遍历训练,通过卡尔曼滤波器对网络入侵状态进行估计。本发明的有益效果:利用卡尔曼滤波的扩展方程,实现业务机密性保护,可实现机密性、完整性并存的强制访问控制的网络安全管控技术。

Description

一种卡尔曼滤波的网络攻击追踪方法及装置
技术领域
本发明涉及网络攻击追踪技术领域,更具体地说,涉及一种卡尔曼滤波的网络攻击追踪方法及装置。
背景技术
当前网络信息系统缺乏一种系统内生的能够有效感知和应对未知特征网络威胁的非特异性防御能力。正因为此,网络空间很难形成一整套体系化的内生安全防线,常常呈现出一种“亡羊补牢”场景:一种未知的网络威胁往往只能在爆发并造成危害后才会被发现和分析,建立基于业务模式的行为安全基线,实现“未知”变“已知”,然后才能针对性防御。而各大安全体系受限于算力,只能抓大放小,根据短板原理造成安全防护失效。
发明内容
本发明提供了一种卡尔曼滤波的网络攻击追踪方法及装置,解决当前网络信息系统缺乏一种系统内生的能够有效感知和应对未知特征网络威胁的非特异性防御能力的问题。
为解决上述问题,一方面,本发明提供一种卡尔曼滤波的网络攻击追踪方法,包括:
通过自动化测试平台产生网络报文集;
在网络报文集映射的特征值中排列时空序列以构建操作链和服务链;
将操作链和服务链同业务系统的角色和状态按照业务工作流进行配置以形成业务安全状态机;
对所述业务安全状态机遍历训练,通过卡尔曼滤波器对网络入侵状态进行估计。
所述通过自动化测试平台产生网络报文集,包括:
设置分布在网络空间中的感知系统,通过所述感知系统从协议、状态、编码、拓扑关系方面感知网络空间的关键信息,还原出由所述关键信息构成的IT系统动态全景;
通过自动化测试平台产生所述网络报文集。
所述在网络报文集映射的特征值中排列时空序列以构建操作链和服务链,包括:
依据所述网络报文集自动生成网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串;
在网络报文中映射的特征值排列时空序列,构建操作链和服务链。
所述对所述业务安全状态机遍历训练,通过卡尔曼滤波器对网络入侵状态进行估计,包括:
对所述业务安全状态机遍历训练并进行大规模深度记忆存储;
将网络空间全息化并划分为晶格化网络,从而通过优化目标轨迹,对格化空间下可能出现位置进行预判;其中,所述网络空间的晶格化网络的格点计算为:
Figure 939201DEST_PATH_IMAGE001
Figure 736256DEST_PATH_IMAGE002
Figure 345092DEST_PATH_IMAGE003
其中,θ为神经网络的权重,p为系统的运动演化,x为状态机,u是执行参数,λ为拉格朗日乘数,以便寻找多变量约束下的极值的方法。
所述对所述业务安全状态机遍历训练,通过卡尔曼滤波器对网络入侵状态进行估计,还包括:
引入泰勒级数展开的线性卡尔曼滤波器,其中,所述线性卡尔曼滤波器状态方程和观测方程为:
Figure 705535DEST_PATH_IMAGE004
Figure 716216DEST_PATH_IMAGE005
其中,系统状态取
Figure 684172DEST_PATH_IMAGE006
,在观测矩阵中加入虚拟观测噪声r(k),得到直角坐标系下的扩展卡尔曼滤波器算法:
确定初值:
Figure 780304DEST_PATH_IMAGE007
状态预测:
Figure 226329DEST_PATH_IMAGE008
预测方差:
Figure 294779DEST_PATH_IMAGE009
新息:
Figure 433637DEST_PATH_IMAGE010
滤波增益:
Figure 17065DEST_PATH_IMAGE011
状态滤波:
Figure 266780DEST_PATH_IMAGE012
滤波方差:
Figure 252054DEST_PATH_IMAGE013
其中,
Figure 748763DEST_PATH_IMAGE014
一方面,提供一种卡尔曼滤波的网络攻击追踪装置,包括:
报文产生模块,用于通过自动化测试平台产生网络报文集;
构建模块,用于在网络报文集映射的特征值中排列时空序列以构建操作链和服务链;
状态机形成模块,用于将操作链和服务链同业务系统的角色和状态按照业务工作流进行配置以形成业务安全状态机;
入侵估计模块,用于对所述业务安全状态机遍历训练,通过卡尔曼滤波器对网络入侵状态进行估计。
所述报文产生模块包括:
设置子模块,用于设置分布在网络空间中的感知系统,通过所述感知系统从协议、状态、编码、拓扑关系方面感知网络空间的关键信息,还原出由所述关键信息构成的IT系统动态全景;
产生子模块,用于通过自动化测试平台产生所述网络报文集。
所述构建模块包括:
生成子模块,用于依据所述网络报文集自动生成网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串;
构建子模块,用于在网络报文中映射的特征值排列时空序列,构建操作链和服务链。
所述入侵估计模块包括:
遍历存储子模块,用于对所述业务安全状态机遍历训练并进行大规模深度记忆存储;
全息化子模块,用于将网络空间全息化并划分为晶格化网络,从而通过优化目标轨迹,对格化空间下可能出现位置进行预判;其中,所述网络空间的晶格化网络的格点计算为:
Figure 819487DEST_PATH_IMAGE015
Figure 872894DEST_PATH_IMAGE016
Figure 712674DEST_PATH_IMAGE017
其中,θ为神经网络的权重,p为系统的运动演化,x为状态机,u是执行参数,λ为拉格朗日乘数,以便寻找多变量约束下的极值的方法。
泰勒展开子模块,用于引入泰勒级数展开的线性卡尔曼滤波器,其中,所述线性卡尔曼滤波器状态方程和观测方程为:
Figure 193334DEST_PATH_IMAGE004
Figure 423458DEST_PATH_IMAGE005
其中,系统状态取
Figure 280556DEST_PATH_IMAGE006
,在观测矩阵中加入虚拟观测噪声r(k),得到直角坐标系下的扩展卡尔曼滤波器算法:
确定初值:
Figure 974842DEST_PATH_IMAGE007
状态预测:
Figure 626403DEST_PATH_IMAGE008
预测方差:
Figure 671720DEST_PATH_IMAGE009
新息:
Figure 250950DEST_PATH_IMAGE010
滤波增益:
Figure 799743DEST_PATH_IMAGE011
状态滤波:
Figure 887785DEST_PATH_IMAGE012
滤波方差:
Figure 154818DEST_PATH_IMAGE013
其中,
Figure 25822DEST_PATH_IMAGE014
一方面,提供一种计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行以上所述的一种卡尔曼滤波的网络攻击追踪方法。
本发明的有益效果是:利用卡尔曼滤波的扩展方程,实现业务机密性保护,可实现机密性、完整性并存的强制访问控制的网络安全管控技术。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种卡尔曼滤波的网络攻击追踪方法的流程图;
图2是本发明一实施例提供的一种多目标信息融合的网络攻击追踪方法的方框示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明,给出了以下描述。在以下描述中,为了解释的目的而列出了细节。应当明白的是,本领域普通技术人员可以认识到,在不使用这些特定细节的情况下也可以实现本发明。在其它实例中,不会对公知的结构和过程进行详细阐述,以避免不必要的细节使本发明的描述变得晦涩。因此,本发明并非旨在限于所示的实施例,而是与符合本发明所公开的原理和特征的最广范围相一致。
参见图1,图1是本发明一实施例提供的一种卡尔曼滤波的网络攻击追踪方法的流程图,该卡尔曼滤波的网络攻击追踪方法包括步骤S1-S4:
S1、通过自动化测试平台产生网络报文集;步骤S1包括步骤S11-S12:
S11、设置分布在网络空间中的感知系统,通过所述感知系统从协议、状态、编码、拓扑关系方面感知网络空间的关键信息,还原出由所述关键信息构成的IT系统动态全景。
本实施例中,参见图2,图2是本发明一实施例提供的一种多目标信息融合的网络攻击追踪方法的方框示意图,网络信息空间防御系统作为离散的数据空间,同样存在着位置、运动和流数据。其中,流数据是由报文数据构成的,报文即服务和协议演化生成。协议组合不同、出现的周期不同造成不同的目标离散空间分布。通过分布在网络空间中的感知系统作为行为传感器,从协议、状态、编码、拓扑关系方面感知网络空间的各种关键信息,还原出由这些信息构成的IT系统动态全景,包括网络正常行为的描绘、数据包全面检测、可疑活动的偏离行为、前端设备的运行情况等,将数据通过中间神经元进行实时上报。
S12、通过自动化测试平台产生所述网络报文集。
本实施例中,感知器为安全行为终端,通过感知器进行大数据采集和分析。在感知器收集到相关数据后,通过边缘端设备进行数据与处理,相关设备包含:主机管控器、核心管控器、网络管控器、接入管控器和安全管控器。基于操作手册通过自动化测试平台,产生各类正常操作的网络报文集。
S2、在网络报文集映射的特征值中排列时空序列以构建操作链和服务链;步骤S2包括步骤S21-S22:
S21、依据所述网络报文集自动生成网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串。
本实施例中,结合大数据采集和智能学习方法,自动生成各种网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串。
S22、在网络报文中映射的特征值排列时空序列,构建操作链和服务链。
本实施例中,在网络报文中映射的特征值排列时空序列,构建操作链和服务链。
S3、将操作链和服务链同业务系统的角色和状态按照业务工作流进行配置以形成业务安全状态机。
本实施例中,将操作链与服务链同业务系统的角色和状态按照业务工作流进行配置,形成业务安全状态机,以此作为网络数据机动检测与机动辨识的基础。具体的,构建状态机包括:在安全空间内构建基于白名单、操作链/服务链、业务状态机的可信计算体系。通过大数据采集和分析,基于操作手册通过自动化测试平台,产生各类正常操作的网络报文集。结合大数据采集和智能学习方法,自动生成各种网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串。同时,在网络报文中映射的特征值排列时空序列,构建操作链和服务链。将操作链与服务链同业务系统的角色和状态按照业务工作流进行配置,形成业务安全状态机。
S4、对所述业务安全状态机遍历训练,通过卡尔曼滤波器对网络入侵状态进行估计。步骤S4包括步骤S41-S43:
S41、对所述业务安全状态机遍历训练并进行大规模深度记忆存储。
本实施例中,将网络空间进行网格化划分,将上述操作链与服务链生成信息作为初始数据,输出多目标状态估计,并利用卡尔曼滤波对进入防御空间的轨迹动态路径进行全息化预测,利用存算一体模型快速锁定入侵信息。将基于卡尔曼滤波预测得到的数据再次作为初始化数据进行存储,作为数据互联中的一项,对下一次进入防御空间的轨迹动态路径进行预测判断。通过类脑超算力,在日常过程中把状态机的所有情况进行遍历训练,利用存练一体进行大规模深度记忆存储。利用已有数据对进入防御空间的轨迹动态路径进行全息化预测,利用存算一体快速锁定入侵信息。
S42、将网络空间全息化并划分为晶格化网络,从而通过优化目标轨迹,对格化空间下可能出现位置进行预判;其中,所述网络空间的晶格化网络的格点计算为:
Figure 694701DEST_PATH_IMAGE015
Figure 953644DEST_PATH_IMAGE018
Figure 442394DEST_PATH_IMAGE017
其中,θ为神经网络的权重,p为系统的运动演化,x为状态机,u是执行参数,λ为拉格朗日乘数,以便寻找多变量约束下的极值的方法。arg 是变元(即自变量argument)的英文缩写,arg min表示其后式子达到最小值时的变量的取值。
本实施例中,在网络空间中,目标定位与跟踪问题是一个非线性滤波问题,将网络空间全息化,划分为晶格化网络,通过优化目标轨迹,对格化空间下可能出现位置进行预判。
S43、引入泰勒级数展开的线性卡尔曼滤波器,其中,所述线性卡尔曼滤波器状态方程和观测方程为:
Figure 444985DEST_PATH_IMAGE004
Figure 155321DEST_PATH_IMAGE005
其中,系统状态取
Figure 319586DEST_PATH_IMAGE006
,在观测矩阵中加入虚拟观测噪声r(k),得到直角坐标系下的扩展卡尔曼滤波器算法:
确定初值:
Figure 561212DEST_PATH_IMAGE007
状态预测:
Figure 101914DEST_PATH_IMAGE008
预测方差:
Figure 479806DEST_PATH_IMAGE019
新息:
Figure 18235DEST_PATH_IMAGE010
滤波增益:
Figure 481577DEST_PATH_IMAGE011
状态滤波:
Figure 825971DEST_PATH_IMAGE020
滤波方差:
Figure 323948DEST_PATH_IMAGE013
其中,
Figure 830016DEST_PATH_IMAGE014
z(k)表示第k步的观测状态;
X(k+1)及X(k)为第k+1步及第k步的系统状态;
Φ(k+1,k)是状态转移矩阵;
h()是观测矩阵的变量;
v(k)是测量噪声,其协方差为R;
W(k)是系统噪声,协方差为Q;
X(k+1/k)是在最优估计基础上的预测状态;
P(k/k)是更新后的误差协方差矩阵;
P(k+1/k)是误差协方差的预测值;
X(k+1/k+1)是k+1步的最优预测值;
P(k+1/k+1)是k+1步的最优估计值;
H是观测矩阵;
vt是测量噪声,其协方差为R;
wt是系统噪声,协方差为Q;
xt-1 u是t-1时刻的最优估计状态;
t|t-1是在最优估计基础上的预测状态;
Pt-1是t-1时刻更新后的误差协方差矩阵;
t|t-1是误差协方差的预测值;
Kt是t时刻的卡尔曼增益;
xt u是t时刻最优预测值;
Pt是t时刻最优估计值。
本实施例中,在操作链构建的状态机基础上,加入非线性滤波,从而得到一个理想的估计器,此时,为了进一步对网络入侵状态进行估计,引入泰勒级数展开的线性卡尔曼滤波器,即扩展卡尔曼滤波器。
综上,在实际操作过程中通过大数据采集和分析,基于操作手册通过自动化测试平台,产生各类正常操作的网络报文集。结合大数据采集和智能学习方法,自动生成各种网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串。同时,在网络报文中映射的特征值排列时空序列,构建操作链和服务链。将操作链与服务链同业务系统的角色和状态按照业务工作流进行配置,形成业务安全状态机,扩展了可信计算在网络行为上的表达与度量,以此构成从点到线到面的结构化保护。利用卡尔曼滤波的扩展方程,形成基于信息流“无干扰”安全模型,参考业务工作流构建“网络行为安全信息流状态方程”,“以“资产”等级为基础,检测并控制计算操作链/服务链于网络报文中映射的“读、写”信息流,实现业务机密性保护;同步以“角色/权限”和“业务工作流状态机”为基础,检测并控制计算操作链/服务链于网络报文中映射的信息流,实行业务完整性保护”,即可实现机密性、完整性并存的强制访问控制的网络安全管控技术。
本发明还提供一种卡尔曼滤波的网络攻击追踪装置,包括:
报文产生模块,用于通过自动化测试平台产生网络报文集;
构建模块,用于在网络报文集映射的特征值中排列时空序列以构建操作链和服务链;
状态机形成模块,用于将操作链和服务链同业务系统的角色和状态按照业务工作流进行配置以形成业务安全状态机;
入侵估计模块,用于对所述业务安全状态机遍历训练,通过卡尔曼滤波器对网络入侵状态进行估计。
所述报文产生模块包括:
设置子模块,用于设置分布在网络空间中的感知系统,通过所述感知系统从协议、状态、编码、拓扑关系方面感知网络空间的关键信息,还原出由所述关键信息构成的IT系统动态全景;
产生子模块,用于通过自动化测试平台产生所述网络报文集。
所述构建模块包括:
生成子模块,用于依据所述网络报文集自动生成网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串;
构建子模块,用于在网络报文中映射的特征值排列时空序列,构建操作链和服务链。
所述入侵估计模块包括:
遍历存储子模块,用于对所述业务安全状态机遍历训练并进行大规模深度记忆存储;
全息化子模块,用于将网络空间全息化并划分为晶格化网络,从而通过优化目标轨迹,对格化空间下可能出现位置进行预判;其中,所述网络空间的晶格化网络的格点计算为:
Figure 233184DEST_PATH_IMAGE015
Figure 115690DEST_PATH_IMAGE018
Figure 468174DEST_PATH_IMAGE017
其中,θ为神经网络的权重,p为系统的运动演化,x为状态机,u是执行参数,λ为拉格朗日乘数,以便寻找多变量约束下的极值的方法。
泰勒展开子模块,用于引入泰勒级数展开的线性卡尔曼滤波器,其中,所述线性卡尔曼滤波器状态方程和观测方程为:
Figure 145143DEST_PATH_IMAGE004
Figure 520760DEST_PATH_IMAGE005
其中,系统状态取
Figure 206957DEST_PATH_IMAGE006
,在观测矩阵中加入虚拟观测噪声r(k),得到直角坐标系下的扩展卡尔曼滤波器算法:
确定初值:
Figure 413947DEST_PATH_IMAGE007
状态预测:
Figure 527397DEST_PATH_IMAGE008
预测方差:
Figure 452627DEST_PATH_IMAGE009
新息:
Figure 863886DEST_PATH_IMAGE010
滤波增益:
Figure 190962DEST_PATH_IMAGE011
状态滤波:
Figure 475313DEST_PATH_IMAGE012
滤波方差:
Figure 622260DEST_PATH_IMAGE013
其中,
Figure 650259DEST_PATH_IMAGE014
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。为此,本发明实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种卡尔曼滤波的网络攻击追踪方法中的步骤。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种卡尔曼滤波的网络攻击追踪方法中的步骤,因此,可以实现本发明实施例所提供的任一种卡尔曼滤波的网络攻击追踪方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种卡尔曼滤波的网络攻击追踪方法,其特征在于,包括:
通过自动化测试平台产生网络报文集;
在网络报文集映射的特征值中排列时空序列以构建操作链和服务链;
将操作链和服务链同业务系统的角色和状态按照业务工作流进行配置以形成业务安全状态机;构建状态机包括:在安全空间内构建基于白名单、操作链/服务链、业务状态机的可信计算体系;通过大数据采集和分析,基于操作手册通过自动化测试平台,产生各类正常操作的网络报文集;结合大数据采集和智能学习方法,自动生成各种网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串;同时,在网络报文中映射的特征值排列时空序列,构建操作链和服务链;将操作链与服务链同业务系统的角色和状态按照业务工作流进行配置,形成业务安全状态机;
对所述业务安全状态机遍历训练,通过卡尔曼滤波器对网络入侵状态进行估计;所述对所述业务安全状态机遍历训练,通过卡尔曼滤波器对网络入侵状态进行估计,包括:
对所述业务安全状态机遍历训练并进行大规模深度记忆存储;
将网络空间全息化并划分为晶格化网络,从而通过优化目标轨迹,对格化空间下可能出现位置进行预判;其中,所述网络空间的晶格化网络的格点计算为:
Figure FDA0003722022180000011
Figure FDA0003722022180000021
Figure FDA0003722022180000022
其中,θ为神经网络的权重,p为系统的运动演化,x为状态机,u是执行参数,λ为拉格朗日乘数,以便寻找多变量约束下的极值的方法;arg是自变量argument的英文缩写,arg min表示其后式子达到最小值时的变量的取值;
引入泰勒级数展开的线性卡尔曼滤波器,其中,所述线性卡尔曼滤波器状态方程和观测方程为:
X(k+1)=Φ(k+1,k)X(k)+U(k)+W(k)
z(k)=(X(k))+v(k)
其中,系统状态取X(k)=[rxt,ryt,vxt,vyt]T,在观测矩阵中加入虚拟观测噪声r(k),得到直角坐标系下的扩展卡尔曼滤波器算法:
Figure FDA0003722022180000023
其中,
Figure FDA0003722022180000024
z(k)表示第k步的观测状态;
X(k+1)及X(k)为第k+1步及第k步的系统状态;
Φ(k+1,k)是状态转移矩阵;
h()是观测矩阵的变量;
v(k)是测量噪声,其协方差为R;
W(k)是系统噪声,协方差为Q;
X(k+1/k)是在最优估计基础上的预测状态;
P(k/k)是更新后的误差协方差矩阵;
P(k+1/k)是误差协方差的预测值;
X(k+1/k+1)是k+1步的最优预测值;
P(k+1/k+1)是k+1步的最优估计值;
H是观测矩阵;
vt是测量噪声,其协方差为R;
wt是系统噪声,协方差为Q;
Figure FDA0003722022180000031
是t-1时刻的最优估计状态;
Figure FDA0003722022180000032
是在最优估计基础上的预测状态;
Pt-1是t-1时刻更新后的误差协方差矩阵;
Figure FDA0003722022180000033
是误差协方差的预测值;
Kt是t时刻的卡尔曼增益;
Figure FDA0003722022180000034
是t时刻最优预测值;
Pt是t时刻最优估计值。
2.根据权利要求1所述的网络攻击追踪方法,其特征在于,所述通过自动化测试平台产生网络报文集,包括:
设置分布在网络空间中的感知系统,通过所述感知系统从协议、状态、编码、拓扑关系方面感知网络空间的关键信息,还原出由所述关键信息构成的IT系统动态全景;
通过自动化测试平台产生所述网络报文集。
3.根据权利要求1所述的网络攻击追踪方法,其特征在于,所述在网络报文集映射的特征值中排列时空序列以构建操作链和服务链,包括:
依据所述网络报文集自动生成网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串;
在网络报文中映射的特征值排列时空序列,构建操作链和服务链。
4.一种卡尔曼滤波的网络攻击追踪装置,其特征在于,包括:
报文产生模块,用于通过自动化测试平台产生网络报文集;
构建模块,用于在网络报文集映射的特征值中排列时空序列以构建操作链和服务链;
状态机形成模块,用于将操作链和服务链同业务系统的角色和状态按照业务工作流进行配置以形成业务安全状态机;构建状态机包括:在安全空间内构建基于白名单、操作链/服务链、业务状态机的可信计算体系;通过大数据采集和分析,基于操作手册通过自动化测试平台,产生各类正常操作的网络报文集;结合大数据采集和智能学习方法,自动生成各种网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串;同时,在网络报文中映射的特征值排列时空序列,构建操作链和服务链;将操作链与服务链同业务系统的角色和状态按照业务工作流进行配置,形成业务安全状态机;
入侵估计模块,用于对所述业务安全状态机遍历训练,通过卡尔曼滤波器对网络入侵状态进行估计;所述入侵估计模块包括:
遍历存储子模块,用于对所述业务安全状态机遍历训练并进行大规模深度记忆存储;
全息化子模块,用于将网络空间全息化并划分为晶格化网络,从而通过优化目标轨迹,对格化空间下可能出现位置进行预判;其中,所述网络空间的晶格化网络的格点计算为:
Figure FDA0003722022180000051
Figure FDA0003722022180000052
Figure FDA0003722022180000053
其中,θ为神经网络的权重,p为系统的运动演化,x为状态机,u是执行参数,λ为拉格朗日乘数,以便寻找多变量约束下的极值的方法;arg是自变量argument的英文缩写,arg min表示其后式子达到最小值时的变量的取值;
泰勒展开子模块,用于引入泰勒级数展开的线性卡尔曼滤波器,其中,所述线性卡尔曼滤波器状态方程和观测方程为:
X(k+1)=Φ(k+1,k)X(k)+U(k)+W(k)
z(k)=(X(k))+v(k)
其中,系统状态取X(k)=[rxt,ryt,vxt,vyt]T,在观测矩阵中加入虚拟观测噪声r(k),得到直角坐标系下的扩展卡尔曼滤波器算法:
Figure FDA0003722022180000054
其中,
Figure FDA0003722022180000055
z(k)表示第k步的观测状态;
X(k+1)及X(k)为第k+1步及第k步的系统状态;
Φ(k+1,k)是状态转移矩阵;
h()是观测矩阵的变量;
v(k)是测量噪声,其协方差为R;
W(k)是系统噪声,协方差为Q;
X(k+1/k)是在最优估计基础上的预测状态;
P(k/k)是更新后的误差协方差矩阵;
P(k+1/k)是误差协方差的预测值;
X(k+1/k+1)是k+1步的最优预测值;
P(k+1/k+1)是k+1步的最优估计值;
H是观测矩阵;
vt是测量噪声,其协方差为R;
wt是系统噪声,协方差为Q;
Figure FDA0003722022180000061
是t-1时刻的最优估计状态;
Figure FDA0003722022180000062
是在最优估计基础上的预测状态;
Pt-1是t-1时刻更新后的误差协方差矩阵;
Figure FDA0003722022180000063
是误差协方差的预测值;
Kt是t时刻的卡尔曼增益;
Figure FDA0003722022180000064
是t时刻最优预测值;
Pt是t时刻最优估计值。
5.根据权利要求4所述的网络攻击追踪装置,其特征在于,所述报文产生模块包括:
设置子模块,用于设置分布在网络空间中的感知系统,通过所述感知系统从协议、状态、编码、拓扑关系方面感知网络空间的关键信息,还原出由所述关键信息构成的IT系统动态全景;
产生子模块,用于通过自动化测试平台产生所述网络报文集。
6.根据权利要求5所述的网络攻击追踪装置,其特征在于,所述构建模块包括:
生成子模块,用于依据所述网络报文集自动生成网络报文映射的业务操作手册中的单一操作指令/参数、操作内容,协议特征字符/字符串;
构建子模块,用于在网络报文中映射的特征值排列时空序列,构建操作链和服务链。
7.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行权利要求1至3任一项所述的一种卡尔曼滤波的网络攻击追踪方法。
CN202210508222.9A 2022-05-11 2022-05-11 一种卡尔曼滤波的网络攻击追踪方法及装置 Active CN114629728B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210508222.9A CN114629728B (zh) 2022-05-11 2022-05-11 一种卡尔曼滤波的网络攻击追踪方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210508222.9A CN114629728B (zh) 2022-05-11 2022-05-11 一种卡尔曼滤波的网络攻击追踪方法及装置

Publications (2)

Publication Number Publication Date
CN114629728A CN114629728A (zh) 2022-06-14
CN114629728B true CN114629728B (zh) 2022-09-09

Family

ID=81905829

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210508222.9A Active CN114629728B (zh) 2022-05-11 2022-05-11 一种卡尔曼滤波的网络攻击追踪方法及装置

Country Status (1)

Country Link
CN (1) CN114629728B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115840363B (zh) * 2022-12-06 2024-05-10 上海大学 一种针对信息物理系统远程状态估计的拒绝服务攻击方法
CN115664851A (zh) * 2022-12-14 2023-01-31 深圳市永达电子信息股份有限公司 一种基于业务行为的安全管控方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111862165A (zh) * 2020-06-17 2020-10-30 南京理工大学 一种基于深度强化学习更新卡尔曼滤波器的目标追踪方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9367683B2 (en) * 2013-03-15 2016-06-14 Cyberricade, Inc. Cyber security
US11110895B2 (en) * 2018-04-09 2021-09-07 Cisco Technology, Inc. Vehicle network intrusion detection system (IDS) using vehicle state predictions
CN110740127B (zh) * 2019-09-26 2022-03-04 浙江工业大学 一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法
CN112769825B (zh) * 2021-01-07 2023-02-21 深圳市永达电子信息股份有限公司 一种网络安全保障方法、系统以及计算机存储介质
CN113268730B (zh) * 2021-05-01 2023-07-25 群智未来人工智能科技研究院(无锡)有限公司 一种基于强化学习的智能电网虚假数据注入攻击检测方法
CN113254674B (zh) * 2021-07-12 2021-11-30 深圳市永达电子信息股份有限公司 一种网络安全设备知识推理方法、装置、系统及存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111862165A (zh) * 2020-06-17 2020-10-30 南京理工大学 一种基于深度强化学习更新卡尔曼滤波器的目标追踪方法

Also Published As

Publication number Publication date
CN114629728A (zh) 2022-06-14

Similar Documents

Publication Publication Date Title
CN114629728B (zh) 一种卡尔曼滤波的网络攻击追踪方法及装置
CN111652496B (zh) 基于网络安全态势感知系统的运行风险评估方法及装置
Liu et al. Toward security monitoring of industrial cyber-physical systems via hierarchically distributed intrusion detection
CN108418841B (zh) 基于ai的下一代关键信息基础设施网络安全态势感知系统
US10305917B2 (en) Graph-based intrusion detection using process traces
US9544321B2 (en) Anomaly detection using adaptive behavioral profiles
US20170134401A1 (en) System and method for detecting abnormal traffic behavior using infinite decaying clusters
JP2019061565A (ja) 異常診断方法および異常診断装置
CN108881250B (zh) 电力通信网络安全态势预测方法、装置、设备及存储介质
CN105009132A (zh) 基于置信因子的事件关联
Fillatre et al. A statistical method for detecting cyber/physical attacks on SCADA systems
CN113094707B (zh) 一种基于异质图网络的横向移动攻击检测方法及系统
CN103905440A (zh) 一种基于日志和snmp信息融合的网络安全态势感知分析方法
WO2017019391A1 (en) Graph-based intrusion detection using process traces
CN112182564A (zh) 一种基于时间序列预测的工控蜜罐交互系统
CN111049680A (zh) 一种基于图表示学习的内网横向移动检测系统及方法
CN108600275A (zh) 基于人工智能的威胁情景感知信息安全主动防御系统
CN113872943A (zh) 网络攻击路径预测方法及装置
Zhu et al. Revisit dynamic arima based anomaly detection
Ma et al. Detecting replay attacks in power systems: A data-driven approach
CN108805427A (zh) 一种基于大数据的配电网运行状态风险预警系统
CN116346638B (zh) 基于电网功率及告警信息交互验证的数据篡改推断方法
Cheng et al. Protecting VNF services with smart online behavior anomaly detection method
CN113518062B (zh) 攻击检测方法、装置及计算机设备
Nakayama et al. Detection of false data injection attacks in cyber-physical systems using dynamic invariants

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant