CN117014224B - 基于高斯过程回归的网络攻击防御方法及系统 - Google Patents

Abstract

本发明提供一种基于高斯过程回归的网络攻击防御方法及系统，包括：收集用户的访问日志记录并形成访问日志记录集；对访问日志记录集进行整理，得到访问行为向量和与之对应的访问次数向量；利用高斯过程回归进行分析，预测用户发生某一访问行为的概率次数；判断用户是否具有攻击风险，若判断具有攻击风险则提前告警并对该用户的访问行为进行限制。通过访问日志获取用户的访问行为和频率次数，利用高斯过程回归对后续访问行为做出预测，并在判断具有攻击风险时提前告警并限制访问，如此能够有效发现用户的异常行为，并迅速准确地针对单个异常活动做出防御行为，解决了现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。

Description

基于高斯过程回归的网络攻击防御方法及系统

技术领域

本发明涉及计算机网络技术领域，特别涉及一种基于高斯过程回归的网络攻击防御方法及系统。

背景技术

随着计算机网络技术的发展，很多数据资料都采用电子的形式进行交互、储存，这便对网络通信安全提出了严格要求。然而，当前的网络安全环境愈发恶劣，出现了各式各样的网络攻击手段，严重影响了网络信息通信安全。

目前，防御网络攻击的措施基本集中在构建防火墙、流量监控、多因素身份验证和漏洞扫描等方式上。这些防御措施能够相对有效地阻止外部攻击者对于内部网络的渗透，通过预定规则拦截和阻断恶意数据包，有效保护信息资产。

然而随着云计算、大数据、工业互联网等新兴领域崛起，对于更加灵活的攻击和0day漏洞，这些传统的防御手段就显得捉襟见肘，缺乏强有力的抵御手段，无法满足现在及未来的安全防护需求。

发明内容

本发明的目的在于提供一种基于高斯过程回归的网络攻击防御方法及系统，以解决现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。

为解决上述技术问题，本发明提供一种基于高斯过程回归的网络攻击防御方法，包括：

收集用户在预设时间段内的访问日志记录，以形成访问日志记录集；

对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量；

利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数；

根据访问行为的概率次数，判断用户是否具有攻击风险，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制。

可选的，在所述的基于高斯过程回归的网络攻击防御方法中，所述收集用户在预设时间段内的访问日志记录，以形成访问日志记录集的方法包括：

在需要构建防御措施的网络资源的控制部分和网关处，收集网络内用户在预设时间段内的访问日志记录，所述访问日志记录包括资源访问者V_s、访问时间V_t、访问协议V_r、目标资源端口V_p和目标资源地址V_ip；

对每一用户的所有所述访问日志记录进行汇总，得到每一用户的访问日志记录集：

L_i＝{V_s,V_t,V_r,V_p,V_ip}_m

其中，i表示不同的用户，m为每一用户所产生的访问日志记录总数。

可选的，在所述的基于高斯过程回归的网络攻击防御方法中，所述收集用户在预设时间段内的访问日志记录，以形成访问日志记录集的方法还包括：

若用户的此次访问为短连接，则采用单次记录；

若用户的此次访问为长连接，则每间隔一预设周期记录一次。

可选的，在所述的基于高斯过程回归的网络攻击防御方法中，所述对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法包括：

利用访问协议V_r、目标资源端口V_p和目标资源地址V_ip构建第一变量X_i＝{V_r,V_p,V_ip}；

利用所述第一变量对用户的访问行为进行统计，以得到访问行为向量和访问次数向量/>其中，y_i为访问行为X_i发生的次数。

可选的，在所述的基于高斯过程回归的网络攻击防御方法中，所述对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法还包括：

对所述访问行为向量建立数值映射{x_i}→{X_i}，其中，映射的数值取值范围为(0,1)。

可选的，在所述的基于高斯过程回归的网络攻击防御方法中，所述利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数的方法包括：

利用所述访问行为向量和所述访问行为向量建立样本集合

根据所述样本集合D建立访问次数y_i关于访问行为x_i的函数关系f：

y_i＝f(x_i)+ξ_i

其中，ξ_i为高斯噪声干扰；

对所述样本集合D进行高斯过程回归处理，目标为使取最小值，以预测用户发生访问行为/>对应的概率次数

可选的，在所述的基于高斯过程回归的网络攻击防御方法中，所述对所述样本集合D进行高斯过程回归处理的方法包括：

设f的均值函数为0，方差函数为κ(x,x)，方差为σ²＝0，计算访问次数向量和概率次数/>的联合概率分布：

其中，(K)_ij＝κ(x_i,x_j)，

其中，σ_f和l为超参数，通过最大似然估计求解；

通过贝叶斯后验概率，得到：

联合求得的预测值即为用户发生某一访问行为的概率次数。

可选的，在所述的基于高斯过程回归的网络攻击防御方法中，所述根据访问行为的概率次数，判断用户是否具有攻击风险的方法包括：

获取用户访问行为X_i所对应的访问次数y_i；

将访问次数y_i与高斯过程回归预测的概率次数进行比较，若比较结果满足预设条件，则判断用户具有攻击风险。

可选的，在所述的基于高斯过程回归的网络攻击防御方法中，所述预设条件包括：

设定误差标准阈值ε_t；

若则判断用户具有攻击风险。

为解决上述技术问题，本发明还提供一种基于高斯过程回归的网络攻击防御系统，用于进行如上任一项所述的基于高斯过程回归的网络攻击防御方法，所述基于高斯过程回归的网络攻击防御系统包括：

日志收集模块，用于收集用户在预设时间段内的访问日志记录，以形成访问日志记录集；

日志整理模块，用于对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量；

数据处理模块，用于利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数；

决策判断模块，用于根据访问行为的概率次数，判断用户是否具有攻击风险，并在判断用户具有攻击风险时，提前告警并对该用户的访问行为进行限制。

本发明提供的基于高斯过程回归的网络攻击防御方法及系统，包括：收集用户在预设时间段内的访问日志记录，以形成访问日志记录集；对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量；利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数；根据访问行为的概率次数，判断用户是否具有攻击风险，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制。通过访问日志获取用户的访问行为和访问频率次数，利用高斯过程回归对用户发生的后续网络访问行为做出预测，并据此判断用户是否具有攻击风险，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制，如此，能够更加有效、灵活和及时发现用户的异常行为，并迅速、敏捷、准确地针对单个异常活动调整，做出防御行为，将损失和影响降到最低，解决了现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。

附图说明

图1为本实施例提供的基于高斯过程回归的网络攻击防御方法的流程图；

图2为本实施例提供的基于高斯过程回归的网络攻击防御方法的逻辑示意图；

图3为本实施例提供的基于高斯过程回归的网络攻击防御系统的结构示意图。

具体实施方式

以下结合附图和具体实施例对本发明提出的基于高斯过程回归的网络攻击防御方法及系统作进一步详细说明。需说明的是，附图均采用非常简化的形式且均使用非精准的比例，仅用以方便、明晰地辅助说明本发明实施例的目的。此外，附图所展示的结构往往是实际结构的一部分。特别的，各附图需要展示的侧重点不同，有时会采用不同的比例。

需要说明的是，本发明的说明书和权利要求书及附图说明中的“第一”、“第二”等是用于区别类似的对象，以便描述本发明的实施例，而不用于描述特定的顺序或先后次序，应该理解这样使用的结构在适当情况下可以互换。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

高斯过程回归(Gaussian Process Regression，简称GPR)是一种非参数的回归方法，它基于高斯过程模型来建立输入变量和输出变量之间的映射关系，可以用于解决各种回归问题，并提供了对预测结果的不确定性评估，适用于各种类型的数据集和问题领域。

有基于此，本实施例提供一种基于高斯过程回归的网络攻击防御方法，如图1所示，所述基于高斯过程回归的网络攻击防御方法包括：

S1，收集用户在预设时间段内的访问日志记录，以形成访问日志记录集；

S2，对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量；

S3，利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数；

S4，根据访问行为的概率次数，判断用户是否具有攻击风险，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制。

本实施例提供的基于高斯过程回归的网络攻击防御方法，通过访问日志获取用户的访问行为和访问频率次数，利用高斯过程回归对用户发生的后续网络访问行为做出预测，并据此判断用户是否具有攻击风险，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制，如此，能够更加有效、灵活和及时发现用户的异常行为，并迅速、敏捷、准确地针对单个异常活动调整，做出防御行为，将损失和影响降到最低，解决了现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。

需要说明的是，本实施例提供的上述网络攻击防御方法为实现其灵活高效防御网络攻击所必备的基本步骤，在具体应用过程中，还可以根据实际情况在各个步骤之间增加其他步骤，以进一步提升或增加功能。在不违背本申请主旨前提下的具有其他步骤的网络攻击防御方法也应当属于本申请的保护范围。

进一步的，在本实施例中，步骤S1，收集用户在预设时间段内的访问日志记录，以形成访问日志记录集的方法包括：

S11，在需要构建防御措施的网络资源的控制部分和网关处，收集网络内用户在预设时间段内的访问日志记录，所述访问日志记录包括但不限于资源访问者V_s、访问时间V_t、访问协议V_r、目标资源端口V_p和目标资源地址V_ip；

S12，对每一用户的所有所述访问日志记录进行汇总，得到每一用户的访问日志记录集：

L_i＝{V_s,V_t,V_r,V_p,V_ip}_m

其中，i表示不同的用户，m为每一用户所产生的访问日志记录总数。

如此，便可以收集到多个用户的访问日志记录集，以便于作为分析样本。

较佳的，为了减少系统的运行负荷，在本实施例中，S1，收集用户在预设时间段内的访问日志记录，以形成访问日志记录集的方法还包括：

若用户的此次访问为短连接，则采用单次记录；

若用户的此次访问为长连接，则每间隔一预设周期记录一次。

具体的，可以根据访问时长来划分短连接和长连接，例如，设置访问时长阈值，当访问时长未超过访问时长阈值，则将该访问判定为短连接，否则为长连接。访问时长阈值的具体数值可以根据应用环境进行个性化设定，如设置半小时。如此，可以在一定程度上减少访问日志所产生的数据量，提高系统运行效率。以及，预设周期也可以根据实际情况进行设定，如每隔10分钟记录一次。

在具体实施例中，可以以天为单位，来收集用户的访问日志记录，并按日期形成访问日志记录集。

再进一步的，在本实施例中，步骤S2，对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法包括：

S21，利用访问协议V_r、目标资源端口V_p和目标资源地址V_ip构建第一变量X_i＝{V_r,V_p,V_ip}。

具体的，访问协议V_r一般包含TCP、UDP、ICMP、ARP等；目标资源端口V_p为1～65535中的任一数值；目标资源地址V_ip为资源的IP地址。对访问协议V_r、目标资源端口V_p和目标资源地址V_ip构建第一变量X_i，使得用户的访问行为被简化为一个三元组变量，且该变量的个数上限是确定的(即三个元素的组合方式的数量是固定的，也即访问行为的种类是固定的)。

S22，利用所述第一变量对用户的访问行为进行统计，以得到访问行为向量和访问次数向量/>其中，y_i为访问行为X_i发生的次数。

假设第一变量X_i(三元组变量)的数量共有n个，则在本实施例中，得到访问行为向量其中访问行为向量/>中的每一个元素(代表一种访问行为)都应当不同。以及，访问次数向量/>中的每一个元素与访问行为向量/>中的每一个元素一一对应，表示每一访问行为所对应的访问次数。例如，/>表示第一种访问行为X₁在预设时间段(一天)内的访问次数为3次，第二种访问行为X₂在预设时间段(一天)内的访问次数为2次，第三种访问行为X₃在预设时间段(一天)内的访问次数为5次，……第i种访问行为X_i在预设时间段(一天)内的访问次数为0次。

较佳的，考虑到访问行为向量中的元素值包括访问协议V_r、目标资源端口V_p和目标资源地址V_ip等，而访问协议V_r和目标资源地址V_ip并非是数值，无法直接对其进行高斯过程回归处理，因此，在本实施例中，步骤S2，对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法还包括：

S23，对所述访问行为向量建立数值映射{x_i}→{X_i}，其中，映射的数值取值范围为(0,1)。

由于三元组变量的个数上限是确定的，即三个元素的组合方式的数量是固定的，也即访问行为的种类是固定的，因此可以对其类型建立数值的映射。例如，设定通过TCP协议访问192.168.0.2的80端口，这个行为所对应的映射的数值为0.5；通过UDP协议访问192.168.0.122的3479端口，这个行为所对应的映射的数值为0.8等等。如此，通过映射关系，可以将不同访问行为通过不同的数值进行替代。

在本实施例中，为了方便后续运算，映射的数值的取值范围为(0,1)，且可以根据访问行为的种类数量，对取值区间进行均分，每一个点对应的数值代表一个访问行为。当然，各个访问行为所映射的数值是预先进行设定的，在不同的实施例中，同样的访问行为可能具有不同的数值。以及，对取值的范围及方式的设定也可以有其他选择，本申请对此不做限制。

而对于访问次数向量由于其元素均为次数，即数值，因此无需通过数值映射便可以直接用于后续的高斯过程回归处理。

进一步的，在本实施例中，步骤S3，利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数的方法包括：

S31，利用所述访问行为向量和所述访问次数向量建立样本集合D＝

S32，根据所述样本集合D建立访问次数y_i关于访问行为x_i的函数关系f：

y_i＝f(x_i)+ξ_i

其中，ξ_i为高斯噪声干扰；

S33，对所述样本集合D进行高斯过程回归处理，目标为使取最小值，以预测用户发生访问行为/>对应的概率次数

具体的，在本实施例中，对所述样本集合D进行高斯过程回归处理的方法包括：

假定将f看做一个高斯过程，从考虑单个函数的视角转换到考虑函数的分布；

设f的均值函数为0，方差函数为κ(x,x)，方差为σ²＝0(基于f是高斯过程的假设，因此此处假定方差为0)，计算访问次数向量和概率次数/>的联合概率分布：

其中，(K)_ij＝κ(x_i,x_j)，

协方差函数：

其中，σ_f和l为超参数，通过最大似然估计求解；

通过贝叶斯后验概率，得到预测值的表达式为：

其中，为均值，var(y^*)为方差；

联合求得的预测值即为用户发生某一访问行为的概率次数。

需要说明的是，本实施例采用的高斯过程回归方法为本领域技术人员所熟知的，以及最大似然估计和贝叶斯后验概率均为本领域技术人员所熟知的，此处不再赘述。利用本申请提供的上述内容，应用高斯过程回归、最大似然估计和贝叶斯后验概率进行求解，便可以获得用户发生某一访问行为的概率次数。

通过高斯过程回归得到用户发生某一访问行为的概率次数后，便可以得到该用户访问行为和该访问行为对应的频率次数的大致关系。对于该用户，在数据样本(获取的访问日志记录)量较大的情况下，则可以实现对该用户的访问行为做出是否具有攻击风险(即访问行为是否存在异常)的分析。

在本实施例中，步骤S4，根据访问行为的概率次数，判断用户是否具有攻击风险，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制的方法包括：

S41，获取用户访问行为X_i所对应的访问次数y_i；

S42，将访问次数y_i与高斯过程回归预测的概率次数进行比较，若比较结果满足预设条件，则判断用户具有攻击风险。

判断采用的预设条件可以有多种，例如访问次数y_i与概率次数之间的差值大于一定值时，则判断用户的访问出现了异常，即具有攻击风险。如此判断的原理是：高斯过程回归提供的概率次数/>能够较为准确地预测用户在未来时间段内的访问行为及该访问行为对应的访问次数，若用户实际对于某一访问行为的访问次数与高斯过程回归预测的概率次数之间的偏差较大，则认为该用户的访问行为不符合高斯过程回归的规律，即判断用户的访问行为出现了异常。

当然，基于高斯过程回归提供的预测的概率次数来对用户访问行为进行判断时，需要数据样本量较大，即，当数据样本量越大时，其提供的概率次数/>结果越准确，也就是说能够更好地反映和预测用户的访问行为。

本实施例给出一种具体的预设条件，包括：设定误差标准阈值ε_t；若则判断用户具有攻击风险。

误差标准阈值ε_t可以根据具体应用环境进行设定，误差标准阈值ε_t的设定还可能依据于历史异常判断的经验。

S43，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制。

具体的，在本实施例中，可以通过预设的告警路径对相关技术人员发送信息，以使技术人员及时获知该用户的相关信息，如所述访问日志记录包括资源访问者V_s、访问时间V_t、访问协议V_r、目标资源端口V_p和目标资源地址V_ip等；然后技术人员可以根据实际情况对该用户的访问行为进行限制。

当然，在其他实施例中，还可以预先在系统中设置有多种攻击防御策略，以对应不同的异常访问行为。当判断具有攻击风险时，系统自动根据异常访问行为调取对应的攻击防御策略，从而自动对该用户的访问行为进行限制。

较佳的，还可以对判断存在攻击风险的用户建立黑名单。如该用户被判定存在攻击风险的次数超出一定次数后，将该用户拉入黑名单并进行管理。

对于具有攻击风险的访问行为的告警和限制策略可以有多种，本实施例仅以上述示例说明可以实现的若干方案，但本申请的保护范围不应当以此为限。本领域技术人员在不违背本申请主旨前提下采用的其他告警和限制策略也应当属于本申请的保护范围。

以下，参考图2，对本申请提供的基于高斯过程回归的网络攻击防御方法进行简要说明：

首先，收集用户的访问日志记录，并对用户访问日志进行整理；然后，对访问日志记录中的数据进行清洗，得到访问行为向量和与之相对应的访问次数向量(频率次数向量)/>之后，进行高斯过程回归，得到用户行为预测模型；接着，利用用户行为预测模型检测用户访问行为频次是否超出允许误差阈值，若超出允许误差阈值，则判定用户具有攻击风险，则提前告警并对该用户的访问行为进行限制。

本实施例还提供一种基于高斯过程回归的网络攻击防御系统，用于进行如上所述的基于高斯过程回归的网络攻击防御方法，如图3所示，所述基于高斯过程回归的网络攻击防御系统包括：日志收集模块，用于收集用户在预设时间段内的访问日志记录，以形成访问日志记录集；日志整理模块，用于对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量；数据处理模块，用于利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数；决策判断模块，用于根据访问行为的概率次数，判断用户是否具有攻击风险，并在判断用户具有攻击风险时，提前告警并对该用户的访问行为进行限制。

本实施例提供的基于高斯过程回归的网络攻击防御系统，通过访问日志获取用户的访问行为和访问频率次数，利用高斯过程回归对用户发生的后续网络访问行为做出预测，并据此判断用户是否具有攻击风险，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制，如此，能够更加有效、灵活和及时发现用户的异常行为，并迅速、敏捷、准确地针对单个异常活动调整，做出防御行为，将损失和影响降到最低，解决了现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。

在具体应用过程中，基于高斯过程回归的网络攻击防御系统中的各个功能模块还可以具有更具体的子单元，以实现具体的工作内容分工。例如，日志收集模块包括数据接口、数据采集单元和数据存储单元，数据接口与用户对接，以使访问日志数据通过数据接口到达数据采集单元，经过数据采集单元初步整理后放入数据存储单元进行存储。日志整理模块包括数据调用单元、数据整理单元和向量生成单元，通过数据调用单元将数据存储单元内存储的访问日志数据进行调取，然后通过数据整理单元对同一用户的访问日志数据进行整理，最后通过向量生成单元生成访问行为向量和访问次数向量。数据处理模块包括高斯过程模型，通过高斯过程模型对访问行为向量和访问次数向量进行分析处理，得到用户发生某一访问行为的概率次数的预测值。决策判断模块包括风险判断单元和决策告警单元，风险判断单元将访问行为的次数与高斯过程模型计算的概率次数进行对比，判断用户是否具有攻击风险，决策告警单元在判断用户具有攻击风险时进行提前告警并对该用户的访问行为进行限制。

当然，在其他具体实施例中，基于高斯过程回归的网络攻击防御系统中的各个功能模块还可以有不同的设计，本申请在此不再赘述。

需要说明的是，本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可，此外，各个实施例之间不同的部分也可互相组合使用，本发明对此不作限定。

本实施例提供的基于高斯过程回归的网络攻击防御方法及系统，包括：收集用户在预设时间段内的访问日志记录，以形成访问日志记录集；对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量；利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数；根据访问行为的概率次数，判断用户是否具有攻击风险，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制。通过访问日志获取用户的访问行为和访问频率次数，利用高斯过程回归对用户发生的后续网络访问行为做出预测，并据此判断用户是否具有攻击风险，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制，如此，能够更加有效、灵活和及时发现用户的异常行为，并迅速、敏捷、准确地针对单个异常活动调整，做出防御行为，将损失和影响降到最低，解决了现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。

上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。

Claims (8)

1.一种基于高斯过程回归的网络攻击防御方法，其特征在于，包括：

收集用户在预设时间段内的访问日志记录，以形成访问日志记录集；

对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量；

利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数；

根据访问行为的概率次数，判断用户是否具有攻击风险，若判断具有攻击风险，则提前告警并对该用户的访问行为进行限制；

其中，利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数的方法包括：

利用所述访问行为向量和所述访问次数向量建立样本集合n为访问行为X_i的总数；

根据所述样本集合D建立访问次数y_i关于访问行为x_i的函数关系f：

y_i＝f(x_i)+ξ_i

其中，ξ_i为高斯噪声干扰；

对所述样本集合D进行高斯过程回归处理，目标为使取最小值，以预测用户发生访问行为/>对应的概率次数设f的均值函数为0，方差函数为κ(x,x)，方差为σ²＝0，计算访问次数向量/>和概率次数/>的联合概率分布：

其中，(K)_ij＝κ(x_i,x_j)，

其中，σ_f和l为超参数，通过最大似然估计求解；

通过贝叶斯后验概率，得到：

其中，为均值，var(y^*)为方差；

联合求得的预测值即为用户发生某一访问行为的概率次数。

2.根据权利要求1所述的基于高斯过程回归的网络攻击防御方法，其特征在于，所述收集用户在预设时间段内的访问日志记录，以形成访问日志记录集的方法包括：

在需要构建防御措施的网络资源的控制部分和网关处，收集网络内用户在预设时间段内的访问日志记录，所述访问日志记录包括资源访问者V_s、访问时间V_t、访问协议V_r、目标资源端口V_p和目标资源地址V_ip；

对每一用户的所有所述访问日志记录进行汇总，得到每一用户的访问日志记录集：

L_i＝{V_s,V_t,V_r,V_p,V_ip}_m

其中，i表示不同的用户，m为每一用户所产生的访问日志记录总数。

3.根据权利要求2所述的基于高斯过程回归的网络攻击防御方法，其特征在于，所述收集用户在预设时间段内的访问日志记录，以形成访问日志记录集的方法还包括：

若用户的此次访问为短连接，则采用单次记录；

若用户的此次访问为长连接，则每间隔一预设周期记录一次。

4.根据权利要求2所述的基于高斯过程回归的网络攻击防御方法，其特征在于，所述对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法包括：

利用访问协议V_r、目标资源端口V_p和目标资源地址V_ip构建第一变量

X_i＝{V_r,V_p,V_ip}；

利用所述第一变量对用户的访问行为进行统计，以得到访问行为向量和访问次数向量/>其中，y_i为访问行为X_i发生的次数，n为访问行为X_i的总数。

5.根据权利要求4所述的基于高斯过程回归的网络攻击防御方法，其特征在于，所述对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法还包括：

对所述访问行为向量建立数值映射{x_i}→{X_i}，其中，映射的数值取值范围为(0,1)。

6.根据权利要求1所述的基于高斯过程回归的网络攻击防御方法，其特征在于，所述根据访问行为的概率次数，判断用户是否具有攻击风险的方法包括：

获取用户访问行为X_i所对应的访问次数y_i；

将访问次数y_i与高斯过程回归预测的概率次数进行比较，若比较结果满足预设条件，则判断用户具有攻击风险。

7.根据权利要求6所述的基于高斯过程回归的网络攻击防御方法，其特征在于，所述预设条件包括：

设定误差标准阈值ε_t；

若则判断用户具有攻击风险。

8.一种基于高斯过程回归的网络攻击防御系统，用于进行如权利要求1～7任一项所述的基于高斯过程回归的网络攻击防御方法，其特征在于，所述基于高斯过程回归的网络攻击防御系统包括：

日志收集模块，用于收集用户在预设时间段内的访问日志记录，以形成访问日志记录集；

日志整理模块，用于对所述访问日志记录集进行整理，以得到访问行为向量和与所述访问行为向量对应的访问次数向量；

数据处理模块，用于利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析，以预测用户发生某一访问行为的概率次数；

决策判断模块，用于根据访问行为的概率次数，判断用户是否具有攻击风险，并在判断用户具有攻击风险时，提前告警并对该用户的访问行为进行限制。