CN114844696A

CN114844696A - 一种基于风险池最小化的网络入侵动态监测方法、系统、设备和可读存储介质

Info

Publication number: CN114844696A
Application number: CN202210462320.3A
Authority: CN
Inventors: 孙静春; 邓飞; 安豆; 李健
Original assignee: Xian Jiaotong University
Current assignee: Xian Jiaotong University
Priority date: 2022-04-28
Filing date: 2022-04-28
Publication date: 2022-08-02
Anticipated expiration: 2042-04-28
Also published as: CN114844696B

Abstract

本发明公开了一种基于风险池最小化的网络入侵动态监测方法、系统、设备和可读存储介质，包括以下过程，采用逻辑回归模型处理整体的网络攻击数据；对处理完的网络攻击数据，采用移动窗口来统计局部方差与总体方差的偏移量，得出窗口宽度与方差偏移量的曲线图；对曲线图采用切点理论，找出曲线的最佳切点，使风险池指标方差偏移量达到最小；以最佳切点为依据，确定出最佳窗口宽度；采用最佳移动窗口来进行局部监测，完成网络入侵动态监测。通过采用最佳移动窗口来进行局部监测，代替总体监测，到达监测准确的同时提高时效性。较之于传统的网络入侵监测方法，采用移动窗口来监测，达到监测局部代替整体监测的效果，保证准确性的同时提高了时效性。

Description

一种基于风险池最小化的网络入侵动态监测方法、系统、设备和可读存储介质

技术领域

本发明属于信息安全技术领域，具体属于一种基于风险池最小化的网络入侵动态监测方法、系统、设备和可读存储介质。

背景技术

如今，信息网络已经成为现代生活的重要组成部分，所以的娱乐、经济和通信方面都离不开计算机网络。因此，有必要引入网络入侵检测方法来保护系统免受各种攻击。近年来，基于网络入侵检测方法的研究者，利用统计分析、数据挖掘、机器学习、神经网络、支持向量机等方法分析检测。但是，现有技术的检测方法均存在分析过程复杂、检测时间长的问题，且呈现动态监测的效果较少。

发明内容

为了解决现有技术中存在的问题，本发明提供一种基于风险池最小化的网络入侵动态监测方法，用以解决上述问题。

为实现上述目的，本发明提供如下技术方案：

一种基于风险池最小化的网络入侵动态监测方法，包括以下过程，

采用逻辑回归模型处理整体的网络攻击数据；

对处理完的网络攻击数据，采用移动窗口来统计局部方差与总体方差的偏移量，得出窗口宽度与方差偏移量的曲线图；

对曲线图采用切点理论，找出曲线的最佳切点，使风险池指标方差偏移量达到最小；

以最佳切点为依据，确定出最佳窗口宽度；

采用最佳移动窗口来进行局部监测，完成网络入侵动态监测。

优选的，对网络攻击数据进行处理的逻辑回归模型公式如下

式中，P(y_i＝1)是y_i＝1的概率，α_j是X_i的线性模型的估计值，ε是随机变量误差值，e是常数。

优选的，移动窗口W的窗口宽度为t，窗口宽度t取值为[1，m]，取整数。

进一步的，处理完的网络攻击数据Y，Y＝[Y₁,Y₂,…,Y_i,…,Y_m]，Y为1*m维的数据集，其中Y_i＝P(y_i＝1)；

从网络攻击数据Y中的第i＝1个元素开始依次进行监测：

当i<t时，移动窗口W不移动，i＝i+1，窗口宽度增加1，依次把Y_i纳入移动窗口W的监测范围，此时移动窗口W内的观测数据集为H_ti＝(Y_t1,Y_t2,…,Y_ti),i＝1,2,…t-1；

当i>＝t，且i<＝m-t时，移动窗口W依次向下移动，窗口宽度t保持不变，此时移动窗口W内的观测数据集为H_ti＝(Y_t,i+1,Y_t,i+2,…,Y_t,i+t),i＝t,t+1,…,m-t；

当i>m-t时，移动窗口W依次向下移动，窗口宽度减小1，此时移动窗口W内的观测数据集为H_ti＝(Y_t,m-i+1,Y_t,m-i+2,…,Y_t,m),i＝m-t+1,m-t+2,…,m；

对每个H_ti，统计出所对应的方差值VAR_ti。

优选的，确定局部方差与总体方差的偏移量公式为

式中，VAR_ti是局部方差，VAR_Y是总体方差，m是移动窗口宽度。

优选的，确定最佳切点的公式如下

式中，t^*是最优移动窗口宽度，

是最优移动窗口宽度时的方差偏移量，m是移动窗口宽度。

优选的，局部监测的准确率公式为：

式中，p为切割值，取值范围为[0,1]，依据p的取值确定局部监测代替总体监测的准确率。

一种基于风险池最小化的网络入侵动态监测系统，包括数据处理模块、计算模块和移动窗口模块；

所述数据处理模块采用逻辑回归模型处理整体的网络攻击数据；

所述计算模块用于确定移动窗口模块的最佳窗口宽度；

所述移动窗口模块用于进行局部监测，完成网络入侵动态监测。

一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如上述任意一项所述的一种基于风险池最小化的网络入侵动态监测方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上述任意一项所述的一种基于风险池最小化的网络入侵动态监测方法的步骤。

与现有技术相比，本发明具有以下有益的技术效果：

本发明提供一种基于风险池最小化的网络入侵动态监测方法，通过采用逻辑回归模型对整体的网络攻击数据进行降维处理，提高准确率；依次调整窗口宽度来统计局部方差与总体方差的偏移量，得出窗口宽度与方差偏移量的曲线图；对曲线图采用切点理论找出曲线的最佳切点，使风险池指标方差偏移量达到最小；以切点为依据，确定出最佳窗口宽度；通过采用最佳移动窗口来进行局部监测，代替总体监测，到达监测准确的同时提高时效性。该方法较之于传统的网络入侵监测方法，采用移动窗口来监测，达到监测局部代替整体监测的效果，在保证准确性的同时提高了时效性。

附图说明

图1为本发明一种基于风险池最小化的网络入侵动态监测方法。

图2为实施例中曲线图G+参考直线B+切点图。

图3为实施例中准确率曲线图。

具体实施方式

下面结合具体的实施例对本发明做进一步的详细说明，所述是对本发明的解释而不是限定。

一种基于风险池最小化的网络入侵动态监测方法，首先，采用采用逻辑回归模型来处理整体的网络攻击数据；其次，针对处理完的数据，采用移动窗口(依次调整窗口宽度)来统计局部方差与总体方差的偏移量，得出窗口宽度与方差偏移量的曲线图；第三，针对曲线图，采用切点理论，找出曲线的最佳切点(方差偏移量变化最大的点)，即使风险池指标方差偏移量达到最小；第四，以切点为依据，确定出最佳窗口宽度；第五，采用最佳移动窗口来进行局部监测，代替总体监测，到达监测准确的同时提高时效性。

逻辑回归：

针对网络入侵的流量数据X，X＝(X₁,X₂,…,X_i,…,X_n)^T，X_i＝[x_i1,x_i2,…,x_in]为X中的每一条网络流量记录，具体如下：

其中，X为m*n的多维矩阵。

针对已知的流量数据X，每条流量记录X_i都对应一个标志位Label，即该标志位Label为1或者0(为1，代表该记录为一条网络攻击流量；为0，代表该记录为一条正常流量记录)，则数据X可扩展为XT：

其中，y_i即为每条流量记录X_i所对应一个标志位。

然后，采用逻辑回归模型来处理数据，即因变量取y_i，解释变量取为X_i，y_i与X_i之间的关系由概率P(y_i＝1)来解释，因此概率P(y_i＝1)定义如下：

其中，α_j是X_i的线性模型的估计值，ε是随机变量误差值。

利用逻辑回归模型对(1)进行变换，y_i可以如下表示：

其中，p为切割值，取值范围为[0，1]，这里可以通过p的取值来计算准确率。

在该发明专利中，利用公式(1)，可以得到逻辑回归分析后的数据集Y，Y＝[Y₁,Y₂,…,Y_i,…,Y_m]，Y为1*m维的数据集，其中Y_i＝P(y_i＝1)。

移动窗口：

设定一个观测移动窗口W，窗口宽度为t，使用该W来对数据集Y进行动态监测，该移动窗口W的宽度t取值为[1，m]，取整数。观测原则如下：

从数据集Y中的第i＝1个元素开始依次进行监测：

针对每个H_ti，统计出所对应的方差值，记为VAR_ti；再统计出数据集Y的方差值，记为VAR_Y；然后可以计算得到每个移动窗口宽度下方差偏移量，即

然后根据移动窗口宽度t依次在[1，m]取值，可以得到方差偏移量与移动窗口宽度的点集D，D＝(t,EVAR_t)，通过点集D可以得到关于方差偏移量与移动窗口宽度的曲线图G。(此时，可以剔除异常点(1,EVAR₁)，因为当t＝1时，方差VAR_1i都为0，方差偏移无意义。所以，可以修正t的取值范围为[2，m]，此时移动窗口的总个数相应减少为m-1个。)

寻找切点及最佳移动窗口宽度：

针对数据集D，当t＝2及t＝m时所对应的两个点为(2,EVAR₂)、(m,EVAR_m)，该两个点构成一条参考直线B，记为：

其中，E为纵坐标轴，t为横坐标轴。

接着，利用点到直线的距离公式，可以得到点集D中所有的点(t,EVAR_t)与直线B的距离，记为L_t。

然后，寻找曲线图G上与参考直线B的距离最大的点，即切点D^*，为：

根据切点D^*，可以确定出最优移动窗口宽度t^*。在此情况下，风险池方差偏移达到最小状态。

局部监测：

采用窗口宽度为t^*的移动窗口W来进行局部监测，代替总体监测。这里可以通过公式(2)，对p取值，然后通过计算移动窗口W范围内的准确率来代替整体准确率，到达局部监测代替总体监测、提高时间效率的效果。

实施例

本发明以CIC-IDS2017数据集中的PortScan攻击数据为例。CIC-IDS2017数据集中的PortScan攻击数据“Friday-WorkingHours-Afternoon-PortScan”一共有286469条数据(其中，Lable为BENIGN的数据为127539条，标记为“0”，Label为PortScan的数据为158930条，标记为“1”)，每条数据具有84个特征，即数据集X为286469*84维，再加上Label列，形成286469*85维的数据集XT。

利用逻辑回归模型，采用公式(1)，可以对XT中的每条数据进行逻辑回归分析，最后得到的数据集Y(286469*1维)。

设定一个观测移动窗口W，窗口宽度为t，使用该W来对数据集Y进行动态监测，该移动窗口W的宽度t取值为[2，286469]。在本实例中，为了简化说明，选取了131个窗口宽度来统计局部方法与整体方差的偏移量，具体如下：

表1移动窗口宽度与方法偏移量的点集表

由上表中的131个点，共同构成点集D，且由D可以画出关于方差偏移量与移动窗口宽度的曲线图G，如图2中的曲线。在由(10，2031.482245)和(15000，539.1692503)，可以得到参考直线B，如图2中的直线所示。

然后，在曲线G中寻找与直线B距离最大的点，即上图中的切点D^*＝(17000，1187.2130)，在此位置，曲线G上的方差偏移量达到最小。

由此，可以确定移动窗口的最佳窗口宽度为：t^*＝17000。

最后，利用利用t^*＝17000的移动窗口来监测，得到其准确率曲线图，如图3所示，利用t^*＝17000的移动窗口来监测，利用公式(2)来计算每个移动窗口内的准确率，可以得出其平均准确率为93％(此时，取p＝0.69)。接着，利用公式(2)，同样取p＝0.69，计算结果与原始的Label值进行比对，可以计算出整体准确率依然为93％。采用局部监测来代替总体监测，每次只用监测17000条记录就可以代替监测286469条记录，得到的监测准确率一样，时间效率得到明显提升。

下述为本发明的装置实施例，可以用于执行本发明方法实施例。对于装置实施例中未纰漏的细节，请参照本发明方法实施例。

本发明再一个实施例中，提供了一种计算机设备，该计算机设备包括处理器以及存储器，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器用于执行所述计算机存储介质存储的程序指令。处理器可能是中央处理单元(CentralProcessing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor、DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable GateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，其是终端的计算核心以及控制核心，其适于实现一条或一条以上指令，具体适于加载并执行一条或一条以上指令从而实现相应方法流程或相应功能；本发明实施例所述的处理器可以用于一种基于风险池最小化的网络入侵动态监测方法的操作。

本发明再一个实施例中，本发明还提供了一种存储介质，具体为计算机可读存储介质(Memory)，所述计算机可读存储介质是计算机设备中的记忆设备，用于存放程序和数据。可以理解的是，此处的计算机可读存储介质既可以包括计算机设备中的内置存储介质，当然也可以包括计算机设备所支持的扩展存储介质。计算机可读存储介质提供存储空间，该存储空间存储了终端的操作系统。并且，在该存储空间中还存放了适于被处理器加载并执行的一条或一条以上的指令，这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是，此处的计算机可读存储介质可以是高速RAM存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。可由处理器加载并执行计算机可读存储介质中存放的一条或一条以上指令，以实现上述实施例中有关一种基于风险池最小化的网络入侵动态监测方法的相应步骤。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims

1.一种基于风险池最小化的网络入侵动态监测方法，其特征在于，包括以下过程，

采用逻辑回归模型处理整体的网络攻击数据；

以最佳切点为依据，确定出最佳窗口宽度；

2.根据权利要求1所述的一种基于风险池最小化的网络入侵动态监测方法，其特征在于，对网络攻击数据进行处理的逻辑回归模型公式如下

3.根据权利要求1所述的一种基于风险池最小化的网络入侵动态监测方法，其特征在于，移动窗口W的窗口宽度为t，窗口宽度t取值为[1，m]，取整数。

4.根据权利要求3所述的一种基于风险池最小化的网络入侵动态监测方法，其特征在于，处理完的网络攻击数据Y，Y＝[Y₁,Y₂,…,Y_i,…,Y_m]，Y为1*m维的数据集，其中Y_i＝P(y_i＝1)；

从网络攻击数据Y中的第i＝1个元素开始依次进行监测：

对每个H_ti，统计出所对应的方差值VAR_ti。

5.根据权利要求1所述的一种基于风险池最小化的网络入侵动态监测方法，其特征在于，确定局部方差与总体方差的偏移量公式为

6.根据权利要求1所述的一种基于风险池最小化的网络入侵动态监测方法，其特征在于，确定最佳切点的公式为

式中，t^*是最优移动窗口宽度，

是最优移动窗口宽度时的方差偏移量，m是移动窗口宽度。

7.根据权利要求1所述的一种基于风险池最小化的网络入侵动态监测方法，其特征在于，局部监测的准确率公式为：

8.一种基于风险池最小化的网络入侵动态监测系统，其特征在于，包括数据处理模块、计算模块和移动窗口模块；

所述计算模块用于确定移动窗口模块的最佳窗口宽度；

9.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-7任意一项所述的一种基于风险池最小化的网络入侵动态监测方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-7任意一项所述的一种基于风险池最小化的网络入侵动态监测方法的步骤。