国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于決策樹算法的網(wǎng)絡(luò)安全三元組異常檢測方法

      文檔序號:9791085閱讀:1175來源:國知局
      一種基于決策樹算法的網(wǎng)絡(luò)安全三元組異常檢測方法
      【技術(shù)領(lǐng)域】
      [0001] 本發(fā)明設(shè)及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,特別是一種基于決策樹算法的網(wǎng)絡(luò)安全=元 組異常檢測方法。
      【背景技術(shù)】
      [0002] 目前,我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護體系仍處于萌芽階段,沒有核屯、技術(shù)的支撐,缺乏 統(tǒng)一的網(wǎng)絡(luò)安全保障體系標(biāo)準(zhǔn),無法形成全面覆蓋、動態(tài)跟蹤的網(wǎng)絡(luò)安全保障格局。當(dāng)前網(wǎng) 絡(luò)安全檢測方法仍存在對網(wǎng)絡(luò)環(huán)境中事件缺乏過濾、分類模糊等問題。熱點事件模型檢測 方法雖然能通過事件的數(shù)量判斷異常最為頻發(fā)的事件,但是減少了對控制IP地址和被控IP 地址的研究。入侵系統(tǒng)的查詢模型檢測方法雖然能夠及時發(fā)出警示,但是沒有對事后異常 的判斷。B化a訪問控制模型檢測方法提供了分級別的完整性保證,但在一定程度上卻忽視 了保密性。P2P網(wǎng)絡(luò)安全模型檢測方法,雖然能一針見血地分析網(wǎng)絡(luò)安全威脅,但是卻局限 在了 P2P網(wǎng)絡(luò)范圍內(nèi),不能夠跨網(wǎng)絡(luò)跨范圍地對威脅進行解釋。

      【發(fā)明內(nèi)容】

      [0003] 本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種設(shè)計合理、篩選精細且分類清 晰的基于決策樹算法的網(wǎng)絡(luò)安全=元組異常檢測方法。
      [0004] 本發(fā)明解決其技術(shù)問題是采取W下技術(shù)方案實現(xiàn)的:
      [0005] -種基于決策樹算法的網(wǎng)絡(luò)安全=元組異常檢測方法,包括W下步驟:
      [0006] 步驟1、根據(jù)網(wǎng)絡(luò)設(shè)備提供的異常事件數(shù)據(jù),通過數(shù)據(jù)挖據(jù)的決策樹算法對大量數(shù) 據(jù)進行篩選,獲得需要的有效參數(shù);
      [0007] 步驟2、將決策樹篩選歸納出來的異常事件數(shù)據(jù)根據(jù)異常事件的IP地址的分布狀 況的不同,進行異常種類識別、分類并記錄到對象數(shù)據(jù)庫中;
      [000引步驟3、根據(jù)參數(shù)要求,對對象數(shù)據(jù)庫中的異常事件數(shù)據(jù)組進行參數(shù)分析后判定其 異常的程度,再將分析結(jié)果寫入態(tài)勢數(shù)據(jù)庫并生成網(wǎng)絡(luò)安全威脅和異常報告;
      [0009] 步驟4、對于嚴(yán)重異常事件進行警示提醒。
      [0010] 而且,所述步驟1的具體步驟包括:
      [0011] (1)根據(jù)網(wǎng)絡(luò)設(shè)備提供的異常事件數(shù)據(jù)集生成決策樹;
      [0012] (2)通過賭值判斷法判定是否需要對生成的決策樹進行優(yōu)化,進而對異常事件數(shù) 據(jù)進行篩選歸納,獲得需要的有效參數(shù)。
      [0013] 而且,所述步驟2是利用異常事件的地址分布賭計算異常事件的IP地址的分布狀 況,進而進行異常種類識別,所述異常事件的地址分布賭計算方法包括W下步驟:
      [0014] (1)采用化Sh算法將32位的IPv4地址映射為16位的整數(shù);
      [0015] (2)通過公式
      計算源IP地址分布賭W及目的IP 地址分布賭;其中,芯=C,
      [0016] 上述公式中,Ci為經(jīng)化Sh運算后的IP地址出現(xiàn)的次數(shù);E為當(dāng)前觀測周期內(nèi)總IP地 址的個數(shù)。
      [0017] 而且,所述步驟3的判定數(shù)據(jù)組異常程度具體方法為: 礦-//〇..< 2.33《掃;當(dāng)前指標(biāo)正常 2.3:3(? <3.1&;當(dāng)前指標(biāo)輕度異常 WDW 3.1《〇如-//。<3.72令當(dāng)前指標(biāo)中度異常 一 s-//〇;^3.72如當(dāng)前指標(biāo)嚴(yán)重異常
      [0019] 上述表達式中,y〇、S〇分別表示各個基準(zhǔn)指標(biāo)的正態(tài)分布模型的均值和方差;S為當(dāng) 前該地址分布賭的實時值。
      [0020] 而且,所述步驟1的第(1)步的具體步驟包括:
      [0021] ①將網(wǎng)絡(luò)設(shè)備提供的異常事件數(shù)據(jù)的所有記錄作為一個節(jié)點開始;
      [0022] ②測試每個異常事件數(shù)據(jù)變量的每一種分割方式,找到最好的分割點,形成決策 樹節(jié)點。
      [0023] 而且,所述步驟1的第(2)步中通過賭值判斷法判定是否需要對生成的決策樹進行 優(yōu)化的具體方法為:
      [0024] ①通過如下公式求解決策樹節(jié)點的賭值,W該賭值的大小量化決策樹節(jié)點的分類 純度;
      [002引故。-尸(驢log:戶(..');其中,P( j)=第J類總數(shù)目/總數(shù)目;
      [0026] ②若節(jié)點賭值小于規(guī)定闊值,則判定需要對決策樹進行檢驗、校正和修改。
      [0027] 而且,所述對象數(shù)據(jù)庫和態(tài)勢數(shù)據(jù)庫分別存儲每個異常事件的信息,該信息包括 每個異常事件的編號、事件類型、事件種類編號、事件名稱、源IP地址、目的IP地址、源端口、 目的端口、源IP專用地址、源IP通用地址、目的IP專用地址、目的IP通用地址、IP專用地址庫 編號、重點單位編號、導(dǎo)入時間和報警發(fā)生時間。
      [002引本發(fā)明的優(yōu)點和積極效果是:
      [0029]本發(fā)明通過數(shù)據(jù)挖掘的決策樹算法對網(wǎng)絡(luò)設(shè)備提供的異常事件數(shù)據(jù)進行過濾、篩 選、分類,將挑選濾后的網(wǎng)絡(luò)威脅事件的相關(guān)參數(shù)放入檢測模型的入口,通過對網(wǎng)絡(luò)安全異 常事件參數(shù)中的源、目的IP地址和事件類型進行充分分析,判斷該威脅是否異常W及異常 的程度的同時判斷異常事件擴散趨勢W及被控制主機的感染趨勢。
      【附圖說明】
      [0030]圖1是本發(fā)明的處理流程不意圖;
      [0031 ]圖2是本發(fā)明的決策樹算法計算流程示意圖。
      【具體實施方式】
      [0032] W下結(jié)合附圖對本發(fā)明實施例作進一步詳述:
      [0033] -種基于決策樹算法的網(wǎng)絡(luò)安全=元組異常檢測方法,如圖1所示,包括W下步 驟:
      [0034] 步驟1、根據(jù)網(wǎng)絡(luò)設(shè)備提供的異常事件數(shù)據(jù),通過數(shù)據(jù)挖據(jù)的決策樹算法對大量數(shù) 據(jù)進行篩選,獲得需要的有效參數(shù);
      [0035] 所述步驟1的具體步驟如圖2所示,包括:(1)根據(jù)網(wǎng)絡(luò)設(shè)備提供的異常事件數(shù)據(jù)集 生成決策樹。該步驟(1)的具體計算過程為:
      [0036] ①將網(wǎng)絡(luò)設(shè)備提供的異常事件數(shù)據(jù)的所有記錄作為一個節(jié)點開始;
      [0037] ②測試每個異常事件數(shù)據(jù)變量的每一種分割方式,找到最好的分割點,形成決策 樹節(jié)點。
      [0038] (2)通過賭值判斷法判定是否需要對生成的決策樹進行優(yōu)化,進而對異常事件數(shù) 據(jù)進行篩選歸納,獲得需要的有效參數(shù)。決策樹需不需要優(yōu)化是根據(jù)決策樹節(jié)點分類的純 度來決定的。量化純度有許多種方法,本發(fā)明通過計算決策樹節(jié)點的賭值來判斷的。所述通 過賭值判斷法判定是否需要對生成的決策樹進行優(yōu)化的具體方法為:
      [0039] ①通過如下公式求解決策樹節(jié)點的賭值,W該賭值的大小量化決策樹節(jié)點的分類 純度;
      [0040] ..W =-Z:_,尸〇')*!雌:尸0.)巧中,P(j)=第j類總數(shù)目/總數(shù)目;
      [0041] ②若節(jié)點賭值小于規(guī)定闊值,則判定需要對決策樹進行檢驗、校正和修改。
      [0042] 賭值越小,表示節(jié)點越準(zhǔn)確,決策樹越純。當(dāng)賭值小于規(guī)定的闊值的時候,即可對 決策樹進行優(yōu)化,一般選擇修剪枝葉的方式。
      [0043] 步驟2、將決策樹篩選歸納出來的異常事件數(shù)據(jù),利用異常事件的地址分布賭計算 異常事件的IP地址的分布狀況,并根據(jù)異常事件的IP地址的分布狀況的不同,進行異常種 類識別、分類并記錄入到象數(shù)據(jù)庫中。
      [0044] 所述異常事件地址分布賭的計算方法包括W下步驟:
      [0045] (1)采用化Sh算法將32位的IPv4地址映射為16位的整數(shù);
      [0046] (2)通過公式
      log;億計算源IP地址分布賭W及目的IP 地址分布賭;其中,£ = SiT C,
      [0047] 上述公式中,Cl為經(jīng)化Sh運算后的IP地址出現(xiàn)的次數(shù);E為當(dāng)前觀測周期內(nèi)總IP地 址的個數(shù)。
      [004引該步驟2的計算原理是:
      [0049] IP地址越混亂,分布
      當(dāng)前第1頁1 2 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1