專(zhuān)利名稱(chēng)：基于聯(lián)系發(fā)現(xiàn)技術(shù)的網(wǎng)絡(luò)入侵預(yù)測(cè)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種基于聯(lián)系發(fā)現(xiàn)的網(wǎng)絡(luò)入侵預(yù)測(cè)方法。
背景技術(shù)：
現(xiàn)在信息和網(wǎng)絡(luò)技術(shù)廣泛而深入地滲透到商業(yè)、金融、科研、教育、軍事以及人們?nèi)粘Ｉ畹母鱾€(gè)領(lǐng)域，根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)與2011年7月19日發(fā)布的《第 28次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截止2011年6月31日，中國(guó)網(wǎng)民規(guī)模達(dá)4. 85億人， 普及率達(dá)到36. 2%。網(wǎng)民數(shù)量較2010年底增長(zhǎng)2770萬(wàn)人。目前，網(wǎng)絡(luò)游戲、QQ聊天、網(wǎng)上銀行和網(wǎng)上炒股等互聯(lián)網(wǎng)應(yīng)用曰益流行，用戶在這些應(yīng)用中的賬戶直接關(guān)系到用戶在現(xiàn)實(shí)世界中的財(cái)產(chǎn)，因此網(wǎng)絡(luò)和信息安全對(duì)人們生活甚至國(guó)家安全的影響越來(lái)越重要。而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)犯罪活動(dòng)也日趨猖狂，網(wǎng)站掛馬，盜號(hào)，服務(wù)器攻擊等情況屢見(jiàn)不鮮。 尤其是網(wǎng)絡(luò)服務(wù)器攻擊，攻擊者越來(lái)越多，攻擊工具與手法日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感的部門(mén)的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。另一方面，網(wǎng)絡(luò)環(huán)境也越來(lái)越復(fù)雜，各式各樣的、需要不斷升級(jí)和補(bǔ)漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作量不斷加重，不經(jīng)意的疏忽便有可能造成安全的重大隱患。網(wǎng)絡(luò)入侵預(yù)測(cè)是防火墻的有力補(bǔ)充，幫助系統(tǒng)預(yù)先識(shí)別網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中不斷或者間斷的監(jiān)視用戶及系統(tǒng)活動(dòng)，收集信息，并分析這些信息，然后進(jìn)行異常模式的統(tǒng)計(jì)分析，識(shí)別反映已知進(jìn)攻的活動(dòng)模式，如有異常則發(fā)出警報(bào)。但是，由于“大數(shù)據(jù)時(shí)代”的來(lái)臨，信息量呈現(xiàn)出爆炸式增長(zhǎng)，網(wǎng)絡(luò)數(shù)據(jù)往往呈現(xiàn)出流式特性，主要體現(xiàn)在以下幾個(gè)方面(I)數(shù)據(jù)是實(shí)時(shí)非勻速到達(dá)的；(2)數(shù)據(jù)達(dá)到次序獨(dú)立， 不受系統(tǒng)控制；(3)數(shù)據(jù)持續(xù)到達(dá)，其數(shù)量不可預(yù)知且原則上只能被訪問(wèn)一次或有限幾次。 網(wǎng)絡(luò)攻擊行為與以往已經(jīng)有較大區(qū)別，攻擊行為往往潛伏在正常的網(wǎng)絡(luò)活動(dòng)中，前期不易發(fā)覺(jué)，一旦爆發(fā)后果極其嚴(yán)重，且發(fā)起攻擊或者被當(dāng)成“肉雞”(肉雞就是被黑客攻破，種植了木馬病毒的電腦，黑客可以隨意操縱它并利用它做任何事情，就像傀儡。)的網(wǎng)絡(luò)基點(diǎn)關(guān)系錯(cuò)綜復(fù)雜，傳統(tǒng)的數(shù)據(jù)處理方法已已不能有效地對(duì)這類(lèi)數(shù)據(jù)進(jìn)行處理，很難快速準(zhǔn)確地找到入侵風(fēng)險(xiǎn)較聞的關(guān)鍵網(wǎng)絡(luò)基點(diǎn)。

發(fā)明內(nèi)容
針對(duì)網(wǎng)絡(luò)數(shù)據(jù)量大且呈現(xiàn)出流式，不能快速準(zhǔn)確找到入侵風(fēng)險(xiǎn)較高的關(guān)鍵網(wǎng)絡(luò)基點(diǎn)的問(wèn)題，本發(fā)明提出基于聯(lián)系發(fā)現(xiàn)技術(shù)的網(wǎng)絡(luò)入侵預(yù)測(cè)方法，提供一種新的網(wǎng)絡(luò)入侵行為預(yù)測(cè)方法以預(yù)測(cè)“大數(shù)據(jù)時(shí)代”的網(wǎng)絡(luò)入侵行為，提前預(yù)測(cè)出入侵風(fēng)險(xiǎn)較高的關(guān)鍵網(wǎng)絡(luò)基點(diǎn)。為實(shí)現(xiàn)以上目的，本發(fā)明的基于聯(lián)系發(fā)現(xiàn)技術(shù)的網(wǎng)絡(luò)入侵預(yù)測(cè)方法，包括步驟A、獲取網(wǎng)絡(luò)基點(diǎn)的網(wǎng)絡(luò)數(shù)據(jù)，進(jìn)行處理生成目標(biāo)數(shù)據(jù)；
步驟B、利用目標(biāo)數(shù)據(jù)計(jì)算網(wǎng)絡(luò)基點(diǎn)間的相關(guān)系數(shù)；步驟D、計(jì)算網(wǎng)絡(luò)基點(diǎn)的加權(quán)度WDi ；步驟E、計(jì)算網(wǎng)絡(luò)基點(diǎn)的加權(quán)聚集系數(shù)WCi ；步驟F、根據(jù)網(wǎng)絡(luò)基點(diǎn)的加權(quán)聚集度WDi及加權(quán)聚集系數(shù)WCi計(jì)算各網(wǎng)絡(luò)基點(diǎn)的加權(quán)綜合特征值WCFi ；步驟G、對(duì)各網(wǎng)絡(luò)基點(diǎn)的加權(quán)綜合特征值WCFi排序，找出關(guān)鍵網(wǎng)絡(luò)基點(diǎn)；其中，所述網(wǎng)絡(luò)基點(diǎn)為受監(jiān)控的服務(wù)器、終端或者路由設(shè)備中的任意一種或者任意幾種的組合，i為網(wǎng)絡(luò)基點(diǎn)序號(hào)，I ^ i ^ N, N為網(wǎng)絡(luò)基點(diǎn)個(gè)數(shù)。作為一種優(yōu)選實(shí)施方式，在步驟B之后，包括步驟C、利用網(wǎng)絡(luò)基點(diǎn)間的相關(guān)系數(shù)， 構(gòu)建網(wǎng)絡(luò)基點(diǎn)間的完全加權(quán)圖。所述構(gòu)建網(wǎng)絡(luò)基點(diǎn)間的完全加權(quán)圖為，利用相關(guān)系數(shù)構(gòu)建網(wǎng)絡(luò)基點(diǎn)間的加權(quán)圖邊的權(quán)值，重復(fù)此過(guò)程，得到某段時(shí)間內(nèi)所有數(shù)據(jù)對(duì)象所訪問(wèn)的網(wǎng)絡(luò)基點(diǎn)間的完全加權(quán)圖。優(yōu)選的，還包括對(duì)完全加權(quán)圖進(jìn)行優(yōu)化，即設(shè)定完全加權(quán)圖邊的權(quán)值的閾值，刪除權(quán)值小于閾值的邊，即將小于閾值的完全加權(quán)圖邊的權(quán)值設(shè)置為O。作為另一種優(yōu)選實(shí)施方式，在步驟G之后，包括對(duì)訪問(wèn)關(guān)鍵網(wǎng)絡(luò)基點(diǎn)的數(shù)據(jù)對(duì)象自身信息進(jìn)行分析，判斷數(shù)據(jù)對(duì)象是否有入侵傾向。優(yōu)選的，步驟A所述獲取網(wǎng)絡(luò)基點(diǎn)的網(wǎng)絡(luò)數(shù)據(jù)，進(jìn)行處理生成目標(biāo)數(shù)據(jù)為，首先采集各受監(jiān)控的網(wǎng)絡(luò)基點(diǎn)的訪問(wèn)數(shù)據(jù)，然后對(duì)采集的數(shù)據(jù)進(jìn)行處理生成目標(biāo)數(shù)據(jù)；所述訪問(wèn)數(shù)據(jù)包括數(shù)據(jù)對(duì)象在時(shí)間段T內(nèi)所訪問(wèn)的所有網(wǎng)絡(luò)基點(diǎn)的訪問(wèn)流量、數(shù)據(jù)的訪問(wèn)行為或者數(shù)據(jù)對(duì)象自身信息的任意一種或任意幾種的組合；所述對(duì)采集的數(shù)據(jù)進(jìn)行處理生成目標(biāo)數(shù)據(jù)，包括數(shù)據(jù)清洗，數(shù)據(jù)格式轉(zhuǎn)換，數(shù)據(jù)集成的任意一種或任意幾種的組合；所述數(shù)據(jù)對(duì)象自身信息，包括訪問(wèn)協(xié)議或/和使用端口。優(yōu)選的，步驟B所述計(jì)算網(wǎng)絡(luò)基點(diǎn)間的相關(guān)系數(shù)采用相似度函數(shù)
權(quán)利要求
1.基于聯(lián)系發(fā)現(xiàn)技術(shù)的網(wǎng)絡(luò)入侵預(yù)測(cè)方法，其特征在于，包括步驟A、獲取網(wǎng)絡(luò)基點(diǎn)的網(wǎng)絡(luò)數(shù)據(jù)，進(jìn)行處理生成目標(biāo)數(shù)據(jù)；步驟B、利用目標(biāo)數(shù)據(jù)計(jì)算網(wǎng)絡(luò)基點(diǎn)間的相關(guān)系數(shù)；步驟D、計(jì)算網(wǎng)絡(luò)基點(diǎn)的加權(quán)度WDi ；步驟E、計(jì)算網(wǎng)絡(luò)基點(diǎn)的加權(quán)聚集系數(shù)WCi ；步驟F、根據(jù)網(wǎng)絡(luò)基點(diǎn)的加權(quán)聚集度WDi及加權(quán)聚集系數(shù)WCi計(jì)算各網(wǎng)絡(luò)基點(diǎn)的加權(quán)綜合特征值WCFi ；步驟G、對(duì)各網(wǎng)絡(luò)基點(diǎn)的加權(quán)綜合特征值WCFi排序，找出關(guān)鍵網(wǎng)絡(luò)基點(diǎn)；其中，所述網(wǎng)絡(luò)基點(diǎn)為受監(jiān)控的服務(wù)器、終端或者路由設(shè)備中的任意一種或者任意幾種的組合，i為網(wǎng)絡(luò)基點(diǎn)序號(hào)，I ^ i ^ N, N為網(wǎng)絡(luò)基點(diǎn)個(gè)數(shù)。
2.如權(quán)利要求I所述方法，其特征在于，在步驟B之后，包括步驟C、利用網(wǎng)絡(luò)基點(diǎn)間的相關(guān)系數(shù)，構(gòu)建網(wǎng)絡(luò)基點(diǎn)間的完全加權(quán)圖。
3.如權(quán)利要求2所述方法，其特征在于，所述構(gòu)建網(wǎng)絡(luò)基點(diǎn)間的完全加權(quán)圖為，利用相關(guān)系數(shù)構(gòu)建網(wǎng)絡(luò)基點(diǎn)間的加權(quán)圖邊的權(quán)值，重復(fù)此過(guò)程，得到某段時(shí)間內(nèi)所有數(shù)據(jù)對(duì)象所訪問(wèn)的網(wǎng)絡(luò)基點(diǎn)間的完全加權(quán)圖。
4.如權(quán)利要求3所述方法，其特征在于，還包括對(duì)完全加權(quán)圖進(jìn)行優(yōu)化，即設(shè)定完全加權(quán)圖邊的權(quán)值的閾值，刪除權(quán)值小于閾值的邊，即將小于閾值的完全加權(quán)圖邊的權(quán)值設(shè)置為O。
5.如權(quán)利要求I所述方法，其特征在于，在步驟G之后，包括對(duì)訪問(wèn)關(guān)鍵網(wǎng)絡(luò)基點(diǎn)的數(shù)據(jù)對(duì)象自身信息進(jìn)行分析，判斷數(shù)據(jù)對(duì)象是否有入侵傾向。
6.如權(quán)利要求1-5任一所述方法，其特征在于，步驟A所述獲取網(wǎng)絡(luò)基點(diǎn)的網(wǎng)絡(luò)數(shù)據(jù)， 進(jìn)行處理生成目標(biāo)數(shù)據(jù)為，首先采集各受監(jiān)控的網(wǎng)絡(luò)基點(diǎn)的訪問(wèn)數(shù)據(jù)，然后對(duì)采集的數(shù)據(jù)進(jìn)行處理生成目標(biāo)數(shù)據(jù)；所述訪問(wèn)數(shù)據(jù)包括數(shù)據(jù)對(duì)象在時(shí)間段T內(nèi)所訪問(wèn)的所有網(wǎng)絡(luò)基點(diǎn)的訪問(wèn)流量、數(shù)據(jù)的訪問(wèn)行為或者數(shù)據(jù)對(duì)象自身信息的任意一種或任意幾種的組合；所述對(duì)采集的數(shù)據(jù)進(jìn)行處理生成目標(biāo)數(shù)據(jù)，包括數(shù)據(jù)清洗，數(shù)據(jù)格式轉(zhuǎn)換，數(shù)據(jù)集成的任意一種或任意幾種的組合；所述數(shù)據(jù)對(duì)象自身信息，包括訪問(wèn)協(xié)議或/和使用端口。
7.如權(quán)利要求1-5所述方法，其特征在于，步驟B所述計(jì)算網(wǎng)絡(luò)基點(diǎn)間的相關(guān)系數(shù)采用相似度函數(shù) 其中，A為網(wǎng)絡(luò)基點(diǎn)間的兩個(gè)變量間的相關(guān)系數(shù)，&取值范圍為[-1，1]，若& > 0，表明兩個(gè)變量是正相關(guān)，^ < 0，表明兩個(gè)變量是負(fù)相關(guān)，^ = O表明兩個(gè)變量不相關(guān)，η為要計(jì)算的變量的總數(shù)，Xi> Ii分別為兩個(gè)變量的統(tǒng)計(jì)值，mx、my分別為變量的平均值，β i為變量相關(guān)系數(shù)的比例系數(shù)，O彡1彡1，且文爲(wèi)=1。/=!
8.如權(quán)利要求7所述方法，其特征在于，步驟D所述計(jì)算網(wǎng)絡(luò)基點(diǎn)的加權(quán)度WDi為該網(wǎng)絡(luò)基點(diǎn)與同一網(wǎng)絡(luò)環(huán)境下的其他網(wǎng)絡(luò)基點(diǎn)間的相關(guān)系數(shù)之和，WD'=iWu，其中，Wij = R0J=I
9.如權(quán)利要求8所述方法，其特征在于，步驟E所述計(jì)算網(wǎng)絡(luò)基點(diǎn)的加權(quán)聚集系數(shù)WCi 為，WCi = SWDiZiDi(Di-I),其中，Di是網(wǎng)絡(luò)基點(diǎn)Si的度，即Si與其它網(wǎng)絡(luò)基點(diǎn)相關(guān)聯(lián)的邊數(shù)。
10.如權(quán)利要求9所述方法，其特征在于，步驟F所述計(jì)算被訪問(wèn)網(wǎng)絡(luò)基點(diǎn)的加權(quán)綜合特征值 WCFi 為，WCF]= (dWC, +(I-d)WD,)/ W，其中，3為調(diào)節(jié)參數(shù)，O < 3 < I。
全文摘要
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，提供一種基于聯(lián)系發(fā)現(xiàn)的網(wǎng)絡(luò)入侵預(yù)測(cè)方法，獲取網(wǎng)絡(luò)基點(diǎn)的網(wǎng)絡(luò)數(shù)據(jù)，進(jìn)行處理生成目標(biāo)數(shù)據(jù)；計(jì)算網(wǎng)絡(luò)基點(diǎn)間的相關(guān)系數(shù)；計(jì)算網(wǎng)絡(luò)基點(diǎn)的加權(quán)度；計(jì)算網(wǎng)絡(luò)基點(diǎn)的加權(quán)聚集系數(shù)；計(jì)算各網(wǎng)絡(luò)基點(diǎn)的加權(quán)綜合特征值；對(duì)各網(wǎng)絡(luò)基點(diǎn)的加權(quán)綜合特征值排序，找出關(guān)鍵網(wǎng)絡(luò)基點(diǎn)；有效地解決了網(wǎng)絡(luò)數(shù)據(jù)量大且呈現(xiàn)出流式，不能快速準(zhǔn)確找到入侵風(fēng)險(xiǎn)較高的關(guān)鍵網(wǎng)絡(luò)基點(diǎn)的問(wèn)題，并且，本發(fā)明計(jì)算量小、響應(yīng)速度快、準(zhǔn)確率高，能有效提高網(wǎng)絡(luò)安全防護(hù)能力。
文檔編號(hào)H04L12/26GK102611714SQ20121010332
公開(kāi)日2012年7月25日 申請(qǐng)日期2012年4月10日 優(yōu)先權(quán)日2012年4月10日
發(fā)明者徐毅, 朱振國(guó), 王勇, 米波 申請(qǐng)人:重慶交通大學(xué)