[发明专利]一种基于高斯分布模型的网络攻击动态监测方法

权利要求书

1.一种基于高斯分布模型的网络攻击动态监测方法，其特征在于：首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图；该方法具体实现如下，

S1、通过数据监测与采集模块监测网络数据，采集网络报文特征值：

(1)数据监测与采集模块的监测单元监测批量的同源、同目的、同类型请求的数据，提取应用层数据包变量名称和变量值，并将数据报文与常见攻击报文匹配，提取数据报文发送内容的特征，发送到数据监测与采集模块的采集单元；

(2)数据监测与采集模块的采集单元将接收到数据报文按时间序列、攻击源目地址、源目端口、攻击类型进行分类存储；

S2、通过异常攻击判断单元从数据监测与采集模块的采集单元提取数据，根据提取到的数据报文特征值，分析具有疑似攻击行为的数据报文，得到攻击数据序列A(i,n)，A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；

S3、通过有效攻击概率计算单元将得到的攻击数据序列A(i,n)作为输入参数，采用高斯分布模型建立有效攻击数据的概率分布模型：

假设每类电力移动网络攻击是随机特征矢量，由M个D维的高斯分量组成高斯混合模型，对于第V种攻击，用λ_j表示第j个高斯分量的参数，W_j表示第j个高斯分量出现的概率，M个高斯分量加权和可以表示为

A(i,n)中，对于第i个的ip，当i不变时，定义攻击的类别用随机变量x来表示，在第n步攻击的状态值为随机变量x的采样值，则对于第j个状态定义

x(n)＝A(n,j)

定义k为状态序列，x_k＝x(n)，f_k为分布序列，则对于第k个状态的特征分布，有效攻击概率特征分布可表示为

其中μ_k表示期望值，a_k表示权值因子，a为过减因子；

使用高斯分布密度表示初始攻击模型后，需要通过EM算法重估高斯混合模型的参数，p_i(x|φ_i)为高斯分布，π_i，μ_i代表新估计的参数值，Φ^h代表旧的参数值，p(i|x_l,Φ^h)表示x属于第i个ip对应的分布的概率

由贝叶斯公式可得有效攻击概率P

S4、通过网络攻击建模单元将攻击数据序列A(i,n)进行一阶递归平滑，得到AA(i,n)

AA(i,n)＝AA(i-1,n)+(i/n)|A(i,n)|²

2)通过前向-后向相结合的双向搜索算法寻找AA(i,n)的最小值：

AA_min(i,n)＝max{AA_f(i,n),AA_b(i,n)}

其中AA_f(i,n)为前向搜索出的最小值，AA_b(i,n)为后向搜索出的最小值；

3)根据步骤S3计算得出的有效攻击概率P，计算所有攻击序列A(i,n)有效攻击的存在概率p(i,n)：

p(i,n)＝σ₁p(i-1,n)+(1-σ₁)H(i,n)

其中σ₁＝0.2为常量平滑参数；H(i,n)是有效信号存在性判别准则，可描述为：如果Y(i,n)/Y_min(i,n)＞φ(n)则H(i,n)＝1，表示该数据报文存在有效数据，否则H(i,n)＝0，表示该数据报文不存在有效数据；φ(n)是依赖于攻击频率的判别阈值，当n小于1或界于1到3时，φ(n)值为2，当n界于3至总攻击次数一半时，φ(n)值为5；

4)根据有效攻击平滑因子σ(i,n)进行有效攻击估计：

σ(i,n)＝σ₂+(1-σ₂)p(i,n)，N(i,n)＝σ(i,n)N(i-1,n)+(1-σ(i,n))|A(i,n)|²，取σ₂＝0.95，显然σ₂≤σ^*(i,n)≤1；

5)计算有效攻击因子：

其中C(i,n)＝|A(i,n)|²-N(i,n)为所有的攻击序列，α为过减因子，其值为：

6)最后计算后的网络攻击分布为：

x(i,n)＝G(i,n)|A(i,n)|²

电力移动数据处理后台通过比对正常网络通信报文分布图和网络攻击行为数据分布图，得出是否存在网络攻击行的判断结论，并产生攻击行为预警信息。

2.根据权利要求1所述方法，其特征在于：所述步骤S2具体实现如下：假设每个攻击有3种攻击状态，攻击成功、攻击失败、攻击行为被检测；由于网络攻击过程中受外在各类客观因素影响，为了量化攻击状态，因此对攻击过程状态图生成算法做了如下定义：

Vulnerability：V(i)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点；

Attacked：A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；

Intruded：I(i)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点被人攻击成功后的状态，该状态通过数据报文中的特征值来判断；

Sucessed：S(i,n)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点被人成功攻击；

在这4个定义下，生成算法如下：

i表示第i个ip地址，n表示第n次攻击，则

step1:i＝1,n＝0；

step2:若V(i)||A(n)＝1,则A(n)＝A(n)+j，转step4；否则下一步step3；

step3:n＝n+1,若i*n总攻击次数,转step5；否则转step4；

step4:若第n次攻击针对第i个ip，第2n次攻击仍然停留在第i个ip上，且存在攻击成功的状态I(i)，则取S(i,n)＝S(i,n)∪I(i+1)S(2n+1)

step5:对第i个ip第n步攻击前的每个A(i,n),都执行step1～step4；

step6:n＝n+1,若n总步数,转step8；

step7:对第i个ip地址攻击前相同的A(n)进行合并,并重新对n排序,转step1；

step8:end

通过以上步骤得到攻击数据序列A(i,n)。