[发明专利]基于BP神经网络的木马事件预测方法

说明书

技术领域

本发明属于网络安全，尤其涉及木马事件预测方法。

背景技术

当前，随着信息技术的高速发展，互联网的网络规模，网络信息量以及网络应用等都在不断增长。互联网在涉及到人们生活的各方面领域，如政治，商业，金融，文教，通信等，发挥着越来越重要的作用。但是互联网在带给人们极大便利的同时，也面临着越来越多的网络安全事件。由于互联网的开放互联性，网络协议自身的缺陷，操作系统的漏洞以及应用程序漏洞等多方面原因，导致了各种网络安全事件的发生。如常见的网络攻击手段有：木马攻击，蠕虫病毒攻击，缓冲区溢出攻击，拒绝服务攻击，分布式拒绝服务攻击等。

网络安全事件预测技术是在充分收集当前流量数据状况、获取网络历史安全事件发生情况的基础之上进行预测的一门技术。由于木马攻击在大规模网络下的安全事件中占很大比例，通过对未来时刻网络中木马事件发生数量进行预测，一方面可以方便网络管理人员对整个网络的大体情况有一个初步的判断，并根据判断的情况制定与之相符的网络安全策略，如访问控制策略，信息加密策略，另一方面可以提前预判将要发生的网络灾害或者攻击，并且在灾害和攻击发生之前及时采取应对措施，把问题消灭在萌芽状态。

现有的木马事件预测方法有如下几种：

线性回归方法：以经典的自回归滑动平均模型模型为代表，其特点是模型简单，容易实现，但对带有噪声的数据预测效果不明显。并且对于复杂非线性问题的解决效果不好。

基于规则发现的方法：如时序规则发现，频繁情节挖掘等，这类方法的特点是能够提供预测数据的可信度等信息，但规则转化过程中易损失数据信息。

基于傅里叶变换或者小波变换的方法：这类方法由于分解平稳化方法不稳定，因此受具体数据集影响较大，泛化性能较差。

发明内容

因此，本发明的目的在于克服上述现有技术的缺陷，提供一种基于BP神经网络的预测方法来满足网络安全对木马事件发生数量的预测准确度，时间复杂性等方面的要求。

本发明的目的是通过以下技术方案实现的：

一方面，本发明提供了一种用于木马事件预测的BP神经网络训练方法，包括：

步骤1)以一定时间段网络流量数据中对木马事件发生的数量的统计数据为训练样本；

步骤2)以之前k-1次对某类木马事件发生的数量的统计数据为输入，以第k次对该类木马事件发生数量的统计数据为输出，训练所述BP神经网络，其中k为大于1的自然数。

根据本发明实施例的BP神经网络训练方法，其中，步骤2)包括以下步骤：

步骤a)设置一个滑动窗口，其大小为m，所述滑动窗口覆盖所述时间段内的某类木马事件发生的数量的n个统计数据中的m个数据；

步骤b)取滑动窗口内的数据作为输入，滑动窗口之后紧邻的数据作为期望输出；

步骤c)BP神经网络的输入层节点数为m，输出层节点数定为1；

步骤d)设置误差精度，神经元权值随机取0到1之间的任何数；

步骤e)计算输出结果；

步骤f)如果输出结果与期望输出之间的误差大于所述误差精度，则进行反向传播，调整神经元权值，直到输出结果与期望输出之间的误差小于所述误差精度为止；

步骤g)滑动窗口向后滑动一个数据值，重复执行步骤b)至步骤g)直到处理完所有n个统计数据为止。

根据本发明实施例的BP神经网络训练方法，其中，所述时间段为1小时。

根据本发明实施例的BP神经网络训练方法，其中，所述误差精度为0.05，所述BP神经网络的层数为三层，所述BP神经网络隐含层节点数是采用试凑法来确定的。

根据本发明实施例的BP神经网络训练方法，其中，在步骤1)之前还包括以下步骤：

根据包含木马事件的流量数据训练分类BP神经网络；

利用训练好的分类BP神经网络对所述时间段网络流量数据中的各个木马事件进行分类统计，得到该时间段内流量数据中各类木马事件的数量。

根据本发明实施例的BP神经网络训练方法，其中，在训练分类BP神经网络的步骤之前还包括以下步骤：

去掉离群点，所述离群点是指在一个流量序列中，远离序列一般水平的极端大值和极端小值，所述流量序列指木马事件发生数量序列；

补足缺损值，所述缺损值是指流量信息的丢失。

根据本发明实施例的BP神经网络训练方法，其中，训练分类BP网络包括以下步骤：

以已知的各类木马事件对一组API的调用为输入；