一种基于高斯分布模型的网络攻击动态监测方法技术

本发明专利技术涉及一种基于高斯分布模型的网络攻击动态监测方法。首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图。本发明专利技术当监测到疑似的网络攻击行为时，通过数据报文建模分析是否存在攻击特征，是否存在需要进行重点监测防护；而后确认攻击序列，从大量电力移动网络数据中，快速定位到监测攻击行为；通过高斯分布模型计算网络攻击的分布概率，通过分布概率统计分析网络攻击的分布，进而产生网络攻击行为的判断与预警。

A dynamic monitoring method for network attack based on Gauss distribution model

The invention relates to a dynamic monitoring method of network attack based on Gauss distribution model. First of all, the monitoring network data collection, network packet characteristic value; then, according to the extracted data packets, data packets with the suspected attack behavior analysis, attack data sequence; then, according to the data distribution model to establish an effective attack sequence number attack according to probability distribution model by Gauss; finally, according to the established network attack data sequence attack map. The present invention when monitoring network attacks is suspected, the data message modeling and analysis of the existence of attacking characteristics, whether there is need to focus on monitoring and protection; and then confirm the attack sequence, from a large number of mobile power network data, rapid positioning to monitor aggressive behavior; probability distribution of network attack by Gauss distribution model, the probability distribution statistical analysis of the distribution network attack, judging and early warning and network attack.

【技术实现步骤摘要】
一种基于高斯分布模型的网络攻击动态监测方法
本专利技术涉及一种基于高斯分布模型的网络攻击动态监测方法。
技术介绍
电力营销、运检等移动作业平台已逐渐应用于业务部门的日常办公和对外服务，网络发展和应用模式在不断扩展，移动终端的量级将逐渐增高。在电力系统的安全性上，电力信息系统网络架构庞大而复杂，电力移动终端与电力信息系统之间数据交互节点多，且方式多样化，在分析移动终端和信息系统之间的安全交互过程中，对交互数据的有效监测是解决电力信息系统复杂安全问题的一种有效方法。现有技术存在不足之处或是需要改进之处：1)由于相关电力移动应用正处在发展早期，在设计上主要考虑的还是功能实现，对安全性考虑普遍不足。当前智能终端操作系统的信息安全漏洞和应用程序本身欠缺安全设计等原因，容易导致用户敏感信息、隐私数据泄露，甚至导致系统业务数据也面临被窃取的风险。2)目前移动客户端与电力信息系统后台的内部通信大多未采用安全协议，间接对电力传统信息系统整体安全风险产生影响，而目前的数据监测手段主要通过入侵监测设备，无法对应用层数据包进行大量数据的统计分析。
技术实现思路
本专利技术的目的在于提供一种基于高斯分布模型的网络攻击动态监测方法，当监测到疑似的网络攻击行为时，通过数据报文建模分析是否存在攻击特征，是否存在需要进行重点监测防护；而后确认攻击序列，从大量电力移动网络数据中，快速定位到监测攻击行为；通过高斯分布模型计算网络攻击的分布概率，通过分布概率统计分析网络攻击的分布，进而产生网络攻击行为的判断与预警。为实现上述目的，本专利技术的技术方案是：一种基于高斯分布模型的网络攻击动态监测方法，首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图。在本专利技术一实施例中，该方法具体实现如下，S1、通过数据监测与采集模块监测网络数据，采集网络报文特征值：(1)数据监测与采集模块的监测单元监测批量的同源、同目的、同类型请求的数据，提取应用层数据包变量名称和变量值，并将数据报文与常见攻击报文匹配，提取数据报文发送内容的特征，发送到数据监测与采集模块的采集单元；(2)数据监测与采集模块的采集单元将接收到数据报文按时间序列、攻击源目地址、源目端口、攻击类型进行分类存储；S2、通过异常攻击判断单元从数据监测与采集模块的采集单元提取数据，根据提取到的数据报文特征值，分析具有疑似攻击行为的数据报文，得到攻击数据序列A(i,n)，A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；S3、通过有效攻击概率计算单元将得到的攻击数据序列A(i,n)作为输入参数，采用高斯分布模型建立有效攻击数据的概率分布模型：假设每类电力移动网络攻击是随机特征矢量，由M个D维的高斯分量组成高斯混合模型，对于第V种攻击，用λj表示第j个高斯分量的参数，Wj表示j个高斯分量出现的概率，M个高斯分量加权和可以表示为A(i,n)中，对于第i个的ip，当i不变时，定义攻击的类别用随机变量X来表示，在第n步攻击的状态值为随机变量X的采样值.则对于第j个状态定义X(n)＝A(n,j)定义k为状态序列，X(k)＝X(n)，fk为分布序列，则对于第k个状态的特征分布，成功攻击概率特征分布可表示为其中μk表示期望值，ak表示权值因子，a为过减因子；使用高斯分布密度表示初始攻击模型后，需要通过EM算法重估高斯混合模型的参数，pi(x|φi)为高斯分布，πi，μi是新估计的参数值，Φh代表旧的参数值，p(i|xl,Φh)表示X属于第i个分布的概率由贝叶斯公式可得成功攻击概率PS4、通过网络攻击建模单元将攻击数据序列A(i,n)进行一阶递归平滑，得到AA(i,n)AA(i,n)＝AA(i-1,n)+(i/n)|A(i,n)|22)通过前向-后向相结合的双向搜索算法寻找AA(i,n)的最小值：AAmin(i,n)＝max{AAf(i,n),AAb(i,n)}其中AAf(i,n)为前向搜索出的最小值，AAb(i,n)为后向搜索出的最小值；3)根据步骤S3计算得出的有效攻击概率P，计算所有攻击序列A(i,n)有效攻击的存在概率p(i,n)：p(i,n)＝σ1p(i-1,n)+(1-σ1)H(i,n)其中σ1＝0.2为常量平滑参数；H(i,n)是有效信号存在性判别准则，可描述为：如果Y(i,n)/Ymin(i,n)＞φ(n)则H(i,n)＝1，表示该数据报文存在有效数据，否则H(i,n)＝0，表示该数据报文不存在有效数据；φ(n)是依赖于攻击频率的判别阈值，当n小于1或界于1到3时，φ(n)值为2，当n界于3至总攻击次数一半时，φ(n)值为5；4)根据有效攻击平滑因子σ(i,n)进行有效攻击估计：σ(i,n)＝σ2+(1-σ2)p(i,n)，N(i,n)＝σ(i,n)N(i-1,n)+(1-σ(i,n))|A(i,n)|2，取σ2＝0.95，显然σ2≤σ*(i,n)≤1；5)计算有效攻击因子：其中C(i,n)＝|A(i,n)|2-N(i,n)为所有的攻击序列，α为过减因子，其值为：6)最后计算后的网络攻击分布为：X(i,n)＝G(i,n)|A(i,n)|2电力移动数据处理后台通过比对正常网络通信报文分布图和网络攻击行为数据分布图，得出是否存在网络攻击行的判断结论，并产生攻击行为预警信息。在本专利技术一实施例中，所述步骤S2具体实现如下：假设每个攻击有3种攻击状态，攻击成功、攻击失败、攻击行为被检测；由于网络攻击过程中受外在各类客观因素影响，为了量化攻击状态，因此对攻击过程状态图生成算法做了如下定义：Vulnerability：V(i)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点；Attacked：A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；Intruded：I(i)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点被人攻击成功后的状态，该状态通过数据报文中的特征值来判断；Sucessed：S(i,n)表示一个ip地址对应主机运行服务上存在漏洞或脆弱点被人成功攻击；在这4个定义下，生成算法如下：i表示第i个ip地址，n表示第n次攻击，则step1:i＝1,n＝0；step2:若V(i)||A(n)＝1,则A(n)＝A(n)+j，转step4；否则下一步step3；step3:n＝n+1,若i*n>总攻击次数,转step5；否则转step4；step4:若第n次攻击针对第i个ip，第2n次攻击仍然停留在第i个ip上，且存在攻击成功的状态I(i)，则取S(i,n)＝S(i,n)∪I(i+1)S(2n+1)step5:对第i个ip第n步攻击前的每个A(i,n),都执行step1～step4。step6:n＝n+1,若n>总步数,转step8；step7:对第i步攻击前相同的A(n)进行合并,并重新对n排序,转step1；step8:end通过以上步骤得到攻击数据序列A(i,n)。相较于现有技术，本专利技术具有以下有益效果：1)当监测到疑似的网络攻击行为时，通过数据报本文档来自技高网...

【技术保护点】
一种基于高斯分布模型的网络攻击动态监测方法，其特征在于：首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图。

【技术特征摘要】
1.一种基于高斯分布模型的网络攻击动态监测方法，其特征在于：首先，监测网络数据，采集网络报文特征值；而后，根据提取到的数据报文，分析具有疑似攻击行为的数据报文，得到攻击数据序列；再而，根据攻击数据序列采用高斯分布模型建立有效攻击数据的概率分布模型；最后，根据攻击数据序列建立网络攻击分布图。2.根据权利要求1所述方法，其特征在于：该方法具体实现如下，S1、通过数据监测与采集模块监测网络数据，采集网络报文特征值：(1)数据监测与采集模块的监测单元监测批量的同源、同目的、同类型请求的数据，提取应用层数据包变量名称和变量值，并将数据报文与常见攻击报文匹配，提取数据报文发送内容的特征，发送到数据监测与采集模块的采集单元；(2)数据监测与采集模块的采集单元将接收到数据报文按时间序列、攻击源目地址、源目端口、攻击类型进行分类存储；S2、通过异常攻击判断单元从数据监测与采集模块的采集单元提取数据，根据提取到的数据报文特征值，分析具有疑似攻击行为的数据报文，得到攻击数据序列A(i,n)，A(i,n)表示一个ip地址对应主机运行服务上存在的第n个漏洞或脆弱点被人攻击；S3、通过有效攻击概率计算单元将得到的攻击数据序列A(i,n)作为输入参数，采用高斯分布模型建立有效攻击数据的概率分布模型：假设每类电力移动网络攻击是随机特征矢量，由M个D维的高斯分量组成高斯混合模型，对于第V种攻击，用λj表示第j个高斯分量的参数，Wj表示j个高斯分量出现的概率，M个高斯分量加权和可以表示为A(i,n)中，对于第i个的ip，当i不变时，定义攻击的类别用随机变量X来表示，在第n步攻击的状态值为随机变量X的采样值.则对于第j个状态定义X(n)＝A(n,j)定义k为状态序列，X(k)＝X(n)，fk为分布序列，则对于第k个状态的特征分布，成功攻击概率特征分布可表示为其中可μk表示期望值，ak表示权值因子，a为过减因子；使用高斯分布密度表示初始攻击模型后，需要通过EM算法重估高斯混合模型的参数，pi(x|φi)为高斯分布，πi，μi新估计的参数值，Φh代表旧的参数值，p(i|xl,Φh)表示X属于第i个分布的概率由贝叶斯公式可得成功攻击概率PS4、通过网络攻击建模单元将攻击数据序列A(i,n)进行一阶递归平滑，得到AA(i,n)AA(i,n)＝A...

【专利技术属性】
技术研发人员：吴丽进，赵志超，吴丹，吴雅燕，何金栋，谢新志，
申请(专利权)人：国网福建省电力有限公司，国家电网公司，国网福建省电力有限公司电力科学研究院，
类型：发明
国别省市：福建,35