[发明专利]一种基于高斯分布模型的网络攻击动态监测方法

说明书

本发明涉及一种基于高斯分布模型的网络攻击动态监测方法。首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图。本发明当监测到疑似的网络攻击行为时，通过数据报文建模分析是否存在攻击特征，是否存在需要进行重点监测防护；而后确认攻击序列，从大量电力移动网络数据中，快速定位到监测攻击行为；通过高斯分布模型计算网络攻击的分布概率，通过分布概率统计分析网络攻击的分布，进而产生网络攻击行为的判断与预警。

技术领域

本发明涉及一种基于高斯分布模型的网络攻击动态监测方法。

背景技术

电力营销、运检等移动作业平台已逐渐应用于业务部门的日常办公和对外服务，网络发展和应用模式在不断扩展，移动终端的量级将逐渐增高。在电力系统的安全性上，电力信息系统网络架构庞大而复杂，电力移动终端与电力信息系统之间数据交互节点多，且方式多样化，在分析移动终端和信息系统之间的安全交互过程中，对交互数据的有效监测是解决电力信息系统复杂安全问题的一种有效方法。

现有技术存在不足之处或是需要改进之处：

1)由于相关电力移动应用正处在发展早期，在设计上主要考虑的还是功能实现，对安全性考虑普遍不足。当前智能终端操作系统的信息安全漏洞和应用程序本身欠缺安全设计等原因，容易导致用户敏感信息、隐私数据泄露，甚至导致系统业务数据也面临被窃取的风险。

2)目前移动客户端与电力信息系统后台的内部通信大多未采用安全协议，间接对电力传统信息系统整体安全风险产生影响，而目前的数据监测手段主要通过入侵监测设备，无法对应用层数据包进行大量数据的统计分析。

发明内容

本发明的目的在于提供一种基于高斯分布模型的网络攻击动态监测方法，当监测到疑似的网络攻击行为时，通过数据报文建模分析是否存在攻击特征，是否存在需要进行重点监测防护；而后确认攻击序列，从大量电力移动网络数据中，快速定位到监测攻击行为；通过高斯分布模型计算网络攻击的分布概率，通过分布概率统计分析网络攻击的分布，进而产生网络攻击行为的判断与预警。

为实现上述目的，本发明的技术方案是：一种基于高斯分布模型的网络攻击动态监测方法，首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图。

在本发明一实施例中，该方法具体实现如下，

S1、通过数据监测与采集模块监测网络数据，采集网络报文特征值：

(1)数据监测与采集模块的监测单元监测批量的同源、同目的、同类型请求的数据，提取应用层数据包变量名称和变量值，并将数据报文与常见攻击报文匹配，提取数据报文发送内容的特征，发送到数据监测与采集模块的采集单元；

(2)数据监测与采集模块的采集单元将接收到数据报文按时间序列、攻击源目地址、源目端口、攻击类型进行分类存储；

S2、通过异常攻击判断单元从数据监测与采集模块的采集单元提取数据，根据提取到的数据报文特征值，分析具有疑似攻击行为的数据报文，得到攻击数据序列A(i,n)，A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；

S3、通过有效攻击概率计算单元将得到的攻击数据序列A(i,n)作为输入参数，采用高斯分布模型建立有效攻击数据的概率分布模型：

假设每类电力移动网络攻击是随机特征矢量，由M个D维的高斯分量组成高斯混合模型，对于第V种攻击，用λ_j表示第j个高斯分量的参数，W_j表示j个高斯分量出现的概率，M个高斯分量加权和可以表示为