CN114978617B - 一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法 - Google Patents

Abstract

本申请涉及一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法，方法包括首先对安全设备进行检查；对有告警的安全设备的IP地址进行记录；汇集安全设备的告警信息；对汇集的告警信息使用马尔柯夫过程学习模型进行异常检测；根据检测结果得到威胁统计判断结果。利用马尔柯夫过程学习模型，使用统计模型常用异常检测，统计模型中常用的测量参数方法包括操作模型、方差、多元模型、状态矩阵、时间序列分析。本发明打破目前网络各要素的静态性、确定性和相似性的缺陷。增加攻击者网络探测和网络节点渗透的难度，有效抵御针对目标网络的恶意攻击，提升目标网络的存活率。

Description

一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断 方法

技术领域

本申请涉及网络攻击威胁统计判断技术领域，尤其涉及一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法。

背景技术

从上世纪到本世纪一十年代，静态网络安全防御体系是主要安全防御体系，静态网络安全防御体系综合采用防火墙、入侵检测、主机监控、身份认证、防病毒软件、漏洞修补等多种构筑堡垒式的刚性防御体系，阻挡或隔绝外界入侵，这种静态分层的深度防御体系基于先验知识，在面对已知攻击时，具有反应迅速、防护有效的优点，但在对抗未知攻击对手时则力不从心，且存在自身易被攻击的危险。构建“关口前移，防患于未然”的网络安全管理体系。而“关口前移”则是以“面向失效的设计”为原则，在信息化环境各层级结合网络安全防御能力，更强调主动御敌。发展至今，已经在阻断这一层面做了大量工作，部署了防火墙、防病毒、IPS等基于策略和规则的统平台系统设计往往采用单一的架构、且在交付使用后长期保持不变，这样为攻击者进行侦查和攻击尝试提供了足够的时间。一旦系统漏洞被恶意攻击者发现并成功利用。系统将面临服务异常、信息被窃取、数据被篡改等严重的危害。安全设备，然而在未知安全威胁处理的能力上仍然欠缺。

通过上述分析，现有技术存在的问题及缺陷为：

(1)现有方法对抗未知攻击对手时则力不从心，且存在自身易被攻击的危险。

(2)现有方法无法处理位置安全威胁。

(3)现有传统平台系统设计架构单一，将面临服务异常、信息被窃取、数据被篡改等严重的危害。

发明内容

本申请实施例的目的在于提供一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法，通过动态虚拟的网络节点收集网络访问信息，通过分析访问的实际操作，判断其真实目的，对于可能的未知攻击行为，提取威胁样本，分析其特征，逐步将未知攻击变为已知攻击，最终实现对未知攻击的主动防御。

为实现上述目的，本申请提供如下技术方案：

本申请实施例提供一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法，包括如下步骤：

S1：首先对安全设备进行检查；

S2：对有告警的安全设备的告警信息进行记录；

S3：汇集安全设备的告警信息；

S4：对汇集的告警信息使用马尔柯夫过程学习模型进行异常检测；

S5：根据检测结果得到威胁统计判断结果。

所述S1中对安全设备进行检查，其包括以下步骤：

S11：建立防火墙，部署认证主机以及认证服务器；

S12：在认证过程中收集认证信息；

S13：对认证信息进行分析，判断是否含有攻击行为语句；

S14：若有，则发出告警，否则对下一个安全设备进行检查。

所述S2中的告警信息包括告警时间、告警类型、告警时限。

所述S4中马尔柯夫过程学习模型中常用的测量参数方法包括操作模型、方差、多元模型、状态矩阵、时间序列分析。

所述测量参数方法具体包括：

操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

多元模型，操作模型的扩展，通过同时分析多个参数实现检测；

状态矩阵，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

所述S4中的马尔可夫过程学习模型对于一个系统，由一个状态转至另一个状态的转换过程中，存在着转移概率，并且这种转移概率可以依据其紧接的前一种状态推算出来。

所述S4具体内容包括：

S111：建立告警信息马尔柯夫过程学习模型；

S112：对告警信息采样，得到特征向量，确定模型各初始参数；

S113：反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条告警信息都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1；

S114：对待告警信息采样，得到特征向量；

S115：将待检测告警信息的特征向量分割，对所有马尔柯夫过程学习模型递进地计算最大相似度，同时排除相似度最小的马尔柯夫过程学习模型，最后得到识别结果；

其中建立告警信息马尔柯夫过程学习模型是告警时间、告警类型、告警时限。

所述建立告警信息马尔柯夫过程学习模型具体包括：

1)隐含状态的数目N，状态集为S＝{s₁,s₂,s₃}，分别对应告警时间、告警类型、告警时限；

2)观察序列的数目M，观察序列集为V＝{v₁,v₂,...,v_m}，m≥1，对于告警信息马尔柯夫过程学习模型，观察序列集为信息采样窗口得到的特征值；

3)状态转移矩阵A，A＝{a_ij}，aij＝P[q_t+1＝s_j|q_t＝s_i]，1≤i,j≤N，其中q_t为在时刻t的状态，A为N×N的方阵，行和列都对应所有的状态，表示状态之间转移的概率；

4)观察序列概率矩阵B，B＝{b_j(k)}，b_j(k)＝P[v_t at t|q_t＝s_j]，1≤j≤N，1≤k≤M，即表示在时刻t，隐含状态为s_j下观察值为v_t的概率；连续型HMM的B通过一个连续的函数得到观察序列与状态的关系，常用的是混合高斯概率密度函数；

5)初始状态分布概率∏＝{π_i}，π_i＝P{s₁＝q_i}，其中1≤i≤N，则对于告警信息马尔柯夫过程学习模型，总有π₁＝1。

所述对待告警信息采样，得到特征向量具体包括：

对待识别信息进行预处理，归一化处理，对待识别告警信息进行采样和特征提取，提取后的特征作为待识别告警信息的观察序列。

所述步骤11中使用Baum-Welch算法对模型参数进行重估直到收敛，然后保存各个参数值。

与现有技术相比，本发明的有益效果是：本发明中采取的马尔可夫模型(MarkovModel)是一种统计模型，对于一个系统，由一个状态转至另一个状态的转换过程中，存在着转移概率，并且这种转移概率可以依据其紧接的前一种状态推算出来，与该系统的原始状态和此次转移前的马尔可夫过程无关。利用马尔柯夫过程学习模型，使用统计模型常用异常检测。本发明打破目前网络各要素的静态性、确定性和相似性的缺陷。增加攻击者网络探测和网络节点渗透的难度，有效抵御针对目标网络的恶意攻击，提升目标网络的存活率。同时，通过动态虚拟的网络节点收集网络访问信息，通过分析访问的实际操作，判断其真实目的，对于可能的未知攻击行为，提取威胁样本，分析其特征，逐步将未知攻击变为已知攻击，最终实现对未知攻击的主动防御。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明实施例提供的基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法流程示意图；

图2是本发明实施例提供的基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法中对安全设备进行检查流程示意图；

图3是本发明实施例提供的对汇集的告警信息使用马尔柯夫过程学习模型进行异常检测流程示意图；

图4是本发明实施例提供的基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法中统计模型测量参数示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法，下面结合附图对本发明作详细的描述。

主要方案和效果描述部分：

如图1所示，本发明实施例提供的一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法，所述马尔柯夫过程学习模型的网络攻击威胁统计判断方法包括如下步骤：

S1：首先对安全设备进行检查；

S2：对有告警的安全设备的告警信息进行记录；

S3：汇集安全设备的告警信息；

S4：对汇集的告警信息使用马尔柯夫过程学习模型进行异常检测；

S5：根据检测结果得到威胁统计判断结果。

如图2所示，所述S1中对安全设备进行检查，其包括以下步骤：

S11：建立防火墙，部署认证主机以及认证服务器；

S12：在认证过程中收集认证信息；

S13：对认证信息进行分析，判断是否含有攻击行为语句；

S14：若有，则发出告警，否则对下一个安全设备进行检查。

所述S2中的告警信息包括告警时间、告警类型、告警时限。

所述S4中马尔柯夫过程学习模型中常用的测量参数方法包括操作模型、方差、多元模型、状态矩阵、时间序列分析。

如图4所示，所述测量参数方法具体包括：

操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

多元模型，操作模型的扩展，通过同时分析多个参数实现检测；

状态矩阵，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

所述S4中的马尔可夫过程学习模型对于一个系统，由一个状态转至另一个状态的转换过程中，存在着转移概率，并且这种转移概率可以依据其紧接的前一种状态推算出来。

如图3所示，所述S4具体内容包括：

S111：建立告警信息马尔柯夫过程学习模型；

S112：对告警信息采样，得到特征向量，确定模型各初始参数；

S113：反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条告警信息都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1；

S114：对待告警信息采样，得到特征向量；

S115：将待检测告警信息的特征向量分割，对所有马尔柯夫过程学习模型递进地计算最大相似度，同时排除相似度最小的马尔柯夫过程学习模型，最后得到识别结果；

其中建立告警信息的马尔柯夫过程学习模型是告警时间、告警类型、告警时限。

所述建立告警信息马尔柯夫过程学习模型具体包括：

1)隐含状态的数目N，状态集为S＝{s₁,s₂,s₃}，分别对应告警时间、告警类型、告警时限；

2)观察序列的数目M，观察序列集为V＝{v₁,v₂,...,v_m}，m≥1，对于告警信息马尔柯夫过程学习模型，观察序列集为信息采样窗口得到的特征值；

3)状态转移矩阵A，A＝{a_ij}，aij＝P[q_t+1＝s_j|q_t＝s_i]，1≤i,j≤N，其中q_t为在时刻t的状态，A为N×N的方阵，行和列都对应所有的状态，表示状态之间转移的概率；

4)观察序列概率矩阵B，B＝{b_j(k)}，b_j(k)＝P[v_t at t|q_t＝s_j]，1≤j≤N，1≤k≤M，即表示在时刻t，隐含状态为s_j下观察值为v_t的概率；连续型HMM的B通过一个连续的函数得到观察序列与状态的关系，常用的是混合高斯概率密度函数；

5)初始状态分布概率∏＝{π_i}，π_i＝P{s₁＝q_i}，其中1≤i≤N，则对于告警信息马尔柯夫过程学习模型，总有π₁＝1。

所述对待告警信息采样，得到特征向量具体包括：

对待识别信息进行预处理，归一化处理，对待识别告警信息进行采样和特征提取，提取后的特征作为待识别告警信息的观察序列。

所述步骤112中使用Baum-Welch算法对模型参数进行重估直到收敛，然后保存各个参数值。

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合实施例，进一步阐述本发明。

实施例一：

参考图1、2、3，在马尔柯夫过程学习模型的网络攻击威胁统计判断中，首先对系统平台中安全设备进行检查，建立防火墙，部署认证主机以及认证服务器，在认证过程中收集认证信息，对认证信息进行分析，判断是否含有攻击行为语句，若有，则发出告警，否则对下一个安全设备进行检查，接下来对有告警的安全设备的告警信息进行记录，汇集安全设备的告警信息，对汇集的告警信息使用马尔柯夫过程学习模型进行异常检测，首先建立告警信息马尔柯夫过程学习模型，对告警信息采样，得到特征向量，确定模型各初始参数，反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条告警信息都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1，对待告警信息采样，得到特征向量，最后将待检测告警信息的特征向量分割，对所有马尔柯夫过程学习模型递进地计算最大相似度，同时排除相似度最小的马尔柯夫过程学习模型，最后得到识别结果，最终根据检测结果得到威胁统计判断结果。

实施例二：

参考图3，在系统平台中建立告警信息马尔柯夫过程学习模型，首先记录隐含状态的数目N，状态集为S＝{s₁,s₂,s₃}，分别对应告警时间、告警类型、告警时限；观察序列的数目M，观察序列集为V＝{v₁,v₂,...,v_m}，m≥1，对于告警信息马尔柯夫过程学习模型，观察序列集为信息采样窗口得到的特征值；得到状态转移矩阵A，A＝{a_ij}，aij＝P[q_t+1＝s_j|q_t＝s_i]，1≤i,j≤N，其中q_t为在时刻t的状态，A为N×N的方阵，行和列都对应所有的状态，表示状态之间转移的概率；观察序列概率矩阵B，B＝{b_j(k)}，b_j(k)＝P[v_t at t|q_t＝s_j]，1≤j≤N，1≤k≤M，即表示在时刻t，隐含状态为s_j下观察值为v_t的概率；连续型HMM的B通过一个连续的函数得到观察序列与状态的关系，常用的是混合高斯概率密度函数；对于初始状态分布概率∏＝{π_i}，π_i＝P{s₁＝q_i}，其中1≤i≤N，则对于告警信息马尔柯夫过程学习模型，总有π₁＝1。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (2)

1.一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法，其特征在于，包括如下步骤：

S1：首先对安全设备进行检查；

S2：对有告警的安全设备的告警信息进行记录；

S3：汇集安全设备的告警信息；

S4：对汇集的告警信息使用马尔柯夫过程学习模型进行异常检测；

S5：根据检测结果得到威胁统计判断结果；

所述S1中对安全设备进行检查，其包括以下步骤：

S11：建立防火墙，部署认证主机以及认证服务器；

S12：在认证过程中收集认证信息；

S13：对认证信息进行分析，判断是否含有攻击行为语句；

S14：若有，则发出告警，否则对下一个安全设备进行检查；

所述S2中的告警信息包括告警时间、告警类型、告警时限；

所述S4中马尔柯夫过程学习模型中常用的测量参数方法包括操作模型、方差、多元模型、状态矩阵、时间序列分析；

所述S4具体内容包括：

S111：建立告警信息马尔柯夫过程学习模型；

S112：对告警信息采样，得到特征向量，确定模型各初始参数；

S113：反复迭代训练马尔柯夫过程学习模型，根据给定样本个数，对于每条告警信息都产生一个具有不同参数马尔柯夫过程学习模型，一共m个，m≥1；

S114：对待告警信息采样，得到特征向量；

S115：将待检测告警信息的特征向量分割，对所有马尔柯夫过程学习模型递进地计算最大相似度，同时排除相似度最小的马尔柯夫过程学习模型，最后得到识别结果；

其中建立告警信息马尔柯夫过程学习模型是告警时间、告警类型、告警时限；

所述建立告警信息马尔柯夫过程学习模型具体包括：

1)隐含状态的数目N，状态集为S＝{s₁,s₂,s₃}，分别对应告警时间、告警类型、告警时限；

2)观察序列的数目M，观察序列集为V＝{v₁,v₂,...,v_m}，m≥1，对于告警信息马尔柯夫过程学习模型，观察序列集为信息采样窗口得到的特征值；

3)状态转移矩阵A，A＝{a_ij}，aij＝P[q_t+1＝s_j|q_t＝s_i]，1≤i,j≤N，其中q_t为在时刻t的状态，A为N×N的方阵，行和列都对应所有的状态，表示状态之间转移的概率；

4)观察序列概率矩阵B，B＝{b_j(k)}，b_j(k)＝P[v_t at t|q_t＝s_j]，1≤j≤N，1≤k≤M，即表示在时刻t，隐含状态为s_j下观察值为v_t的概率；连续型HMM的B通过一个连续的函数得到观察序列与状态的关系，常用的是混合高斯概率密度函数；

5)初始状态分布概率∏＝{π_i}，π_i＝P{s₁＝q_i}，其中1≤i≤N，则对于告警信息马尔柯夫过程学习模型，总有π₁＝1；

所述对待告警信息采样，得到特征向量具体包括：

对待识别信息进行预处理，归一化处理，对待识别告警信息进行采样和特征提取，提取后的特征作为待识别告警信息的观察序列；

所述步骤112中使用Baum-Welch算法对模型参数进行重估直到收敛，然后保存各个参数值。

2.根据权利要求1所述的一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法，其特征在于，所述测量参数方法具体包括：

操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；

方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；

多元模型，操作模型的扩展，通过同时分析多个参数实现检测；

状态矩阵，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；

时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。