[发明专利]一种面向高级可持续威胁攻击的大数据平台防御方法

权利要求书

1.一种面向高级可持续威胁攻击的大数据平台防御方法，其特征在于：它包含以下步骤：

步骤1.构建APT攻防模型，根据模型中参与方的行为确定攻击方和防御方进行收益分析；

步骤2.防御方评估并确定目标资源的价值B_A，执行防御动作的成本c_D以及从情报机构获得情报的成本c₂；

步骤3.训练随机森林分类器用于APT攻击流量的识别：采用流量数据集D进行训练，对流量数据集进行划分为训练集D_train和测试集D_test；

步骤4.在训练集D_train中，使用BootStrap方法生成子数据集D_sub；

步骤5.子数据集D_sub可表示为x_i表示第i个样本，每个样本中包含M个特征和一个标签L；从流量数据的全部M个特征中随机选择m个特征(mM)；

步骤6.在子数据集D_sub中计算步骤5中选择的m个特征对应的信息增益，并根据信息增益的大小从m个特征中选择信息增益值最大的特征作为最佳特征，并选择最佳分裂点cp_k；

步骤7.根据分裂点cp_k将D_sub分成两个子数据集D_left和D_right，分别对D_left和D_right递归执行步骤5～步骤6，直至子数据集中所有数据属于同一类，则一个完整的决策树分类器训练完成；

步骤8.并行生成多个决策树分类器，每次执行步骤4～步骤7，为所有决策树分类器生成深度相同的所有节点；循环执行步骤4～步骤7，直至所有决策树分类器生成完毕；所有的决策树分类器共同构成随机森林分类器；

步骤9.将测试集D_test中的数据输入随机森林分类器得到预测结果集D_predict，将预测结果D_predict与实验结果D_test对比，评价分类器的分类性能，得出防御方有效识别APT攻击的准确率，从而得出防御方防御失败的概率p，失败概率p将用于步骤10中计算；

步骤10.防御的收益函数为

判别函数为

式中l为防御方周期性进行防御动作的时间间隔，f_a(l)为l的概率密度函数，

F_a(l)为l的概率分布函数，

求解判别函数的函数值为0时对应的解l^*，若存在l^*满足BR_D＝0，则防御方应该以l^*为周期进行防御动作，若不满足，则防御方的最佳策略为不进行防御动作。

2.根据权利要求1所述的一种面向高级可持续威胁攻击的大数据平台防御方法，其特征在于：所述的APT攻防模型中有三个角色，分别是APT攻击者、大数据平台和第三方情报机构；所述的APT攻击者对大数据平台发起攻击，同时从第三方情报机构获取情报辅助攻击决策；所述的大数据平台通过APT检测防御系统对攻击者发起的攻击进行防御，同时从第三方情报机构获取情报辅助决策；所述的第三方情报机构以自身收益最大化为准为攻防双方提供情报。

3.根据权利要求1所述的一种面向高级可持续威胁攻击的大数据平台防御方法，其特征在于：所述步骤4生成子数据集的具体过程如下：记训练集D_train中的流量样本总数为n，从D_train中随机选择一个样本，将其记录后放回D_train中，重复n次；取出每次记录的样本组成子数据集D_sub。

4.根据权利要求1所述的一种面向高级可持续威胁攻击的大数据平台防御方法，其特征在于：所述步骤6的信息增益值根据式(1)来计算：

I(D_sub,A_k)＝H(D_sub)-H(D_sub|A_k) (1)

式中，H(D_sub)表示子数据集D_sub的信息熵，H(D_sub|A_k)表示根据特征A_k对子数据集D_sub进行划分后的信息熵；H(D_sub)根据式(2)来计算：

式中p_j表示D_sub中L值为l_j的样本所占的比例；H(D_sub|A_k)根据式(3)来计算：

式中D_left＝{x_i∈D|v(x_i,A_k)≤cp_k}，D_right＝{x_i∈D|v(x_i,A_k)cp_k}。