[发明专利]大规模网络安全事件的规模预测知识训练方法和预测方法

权利要求书

1.一种大规模网络安全事件的规模预测知识的训练方法，包括：

步骤1)、将作为训练数据的历史数据分段，从分段所得到的多个子段中提取与预测有关的数据特征，将这些数据特征分别离散化为特征事件，形成特征事件序列；

步骤2)、从所述训练数据的特征事件序列中挖掘频繁情节，得到用于预测的频繁情节集合。

2.根据权利要求1所述的大规模网络安全事件的规模预测知识的训练方法，其特征在于，所述的挖掘频繁情节包括：

步骤2-1)、从候选邻接情节集合中按顺序依次选取候选邻接情节；

步骤2-2)、将所述候选邻接情节在所述特征事件序列中的出现次数加以统计，将出现次数高于支持度阈值的情节作为频繁邻接情节；

步骤2-3)、将一个频繁邻接情节的后缀与另一个频繁邻接情节的前缀做匹配测试，合并匹配的频繁邻接情节从而得到最终的频繁情节。

3.根据权利要求1或2所述的大规模网络安全事件的规模预测知识的训练方法，其特征在于，所述的步骤1)包括：

步骤1-1-1)、将作为训练数据的历史数据分段，从分段所得到的多个子段中提取均值特征；

步骤1-1-2)、将训练数据中整个均值特征的值域分成两个部分，分别对应两种事件类型，将切分后的值域称为离散间隔；

步骤1-1-3)、在训练数据的各个离散间隔内分别挖掘频繁情节，当所挖掘出的频繁情节中的最后一个事件与其前一个事件的类型相同，则认为该频繁情节是一个平稳的频繁情节；

步骤1-1-4)、当所述的平稳的频繁情节在总的频繁情节中所占的比重大于第一阈值时，将训练数据中整个均值特征的值域做进一步切分，然后重新执行步骤1-1-3)，直到所述平稳的频繁情节在总的频繁情节中所占比重小于该第一阈值或者切分次数达到最大切分次数；

步骤1-1-5)、将各个所述离散间隔内的均值特征转换为与该离散间隔所对应的事件。

4.根据权利要求1或2所述的大规模网络安全事件的规模预测知识的训练方法，其特征在于，所述的步骤1)包括：

步骤1-2-1)、将作为训练数据的历史数据分段，从分段所得到的多个子段中提取斜率值；

步骤1-2-2)、将各个子段中出现过的斜率值的值域等值离散为N个不同的数值区间，每一个数值区间设定为一个事件类型。

5.一种大规模网络安全事件的规模预测方法，包括：

步骤1)、对近期数据分段，从分段所得到的多个子段中提取数据特征，将这些数据特征分别离散化为特征事件，形成近期数据的特征事件序列；

步骤2)、从权利要求1-4之一的大规模网络安全事件的规模预测知识的训练方法得到的用于预测的频繁情节集合的频繁情节中提取前缀事件，然后将这些前缀事件与所述近期数据的特征事件序列进行匹配，在匹配成功的前提下由频繁情节中的后缀事件得到预测值。

6.根据权利要求5所述的大规模网络安全事件的规模预测方法，其特征在于，在所述的步骤1)中，所述的数据特征为均值特征，所述的特征事件为均值特征事件；所述的步骤2)包括：

步骤2-1-1)、从由均值特征事件所组成的频繁情节中提取前缀事件；

步骤2-1-2)、将所得到的前缀事件与从近期数据中所得到的均值特征事件序列进行匹配；

步骤2-1-3)、在匹配过程中，当找到适合的频繁情节时，用该频繁情节的后缀事件来预测未来时序子段的均值特征事件；

步骤2-1-4)、由所述均值特征事件的类型所对应的数值区间的中点得到相应时序子段中各点的数值预测值。

7.根据权利要求5所述的大规模网络安全事件的规模预测方法，其特征在于，在所述的步骤1)中，所述的数据特征为趋势特征，所述的特征事件为趋势特征事件；所述的步骤2)包括：

步骤2-2-1)、从由趋势特征事件所组成的频繁情节中提取前缀事件；

步骤2-2-2)、将所得到的前缀事件与从近期数据中所得到的趋势特征事件序列进行匹配；

步骤2-2-3)、在匹配过程中，当找到适合的频繁情节时，用该频繁情节的后缀事件来预测未来时序子段的预测斜率；

步骤2-2-4)、根据当前时序子段的末端值以及预测得到的下一时序子段的斜率计算下一时序子段的预测值。