The invention discloses a network security inference method and inference system based on a two-layer Bayesian network model, which includes pretreatment of network attack data, pre-construction of a two-layer Bayesian network model framework, and use Bayesian network structure learning method to construct a Bayesian network security inference system using data pretreated by network attack at each layer. The Markov boundary node importance of the important nodes in the Bayesian network of the first and second layers is sorted, and the nodes whose importance ranks in the front are taken as the key observation nodes, and the key observation nodes are output. By sorting the maximum JSD values of the Markov boundary nodes of the important nodes in each layer model, the key observation nodes are obtained, so that the possible attack points can be quickly reacted to when the network attack is detected, and the function of the existing network monitoring system can be effectively improved.
【技术实现步骤摘要】
基于两层贝叶斯网络模型的网络安全推断方法
本专利技术属于网络安全
,尤其涉及一种基于两层贝叶斯网络模型的网络安全推断方法及推断系统。
技术介绍
目前的主流网络监控系统提供的大都是统计指标,如某个时段的全局平均网络流量、个体平均网络流量、异常流量等,管理人员可以对网络的总体情况进行宏观掌握。在攻击检测方面,传统的入侵检测系统(IntrusionDetectionSystem,IDS)大部分利用既定规则对网络攻击进行检测,或是利用机器学习方法对异常进行检测,这些方法通常基于黑盒模型(black-boxmodel),使用者不能了解为何产生了报警,在进行安全事件的处理或溯源时有较大的困难。通常,一次网络攻击的发动会产生很多的连带反应,会反映在网络的一些数据中,IDS通常只会给出自身的判断结果,不能对实际意义进行解释。现有的网络监控系统多半显示统计指标,网络管理员要根据这些统计指标和自身经验对目前可能的异常行为进行分析。对于整合了IDS的监控系统,这些系统通常会给当前监控环境提供定量化的评分,这个评分可以给管理人员提供参考。但是,在一些具体的攻击发生时,网络管理人员通常要对大量日志进行分析来找到攻击发生的原因并进行修复,这种方式极大浪费了管理人员的时间和精力。同时,在网络的攻击行为中,不同的攻击类型数据在一个公司的内部数据中量上会有较大差距,有些攻击类型数据量丰富,在分类器模型中对该类型的攻击进行了较好的建模,而有些则数据量很少,对这些类型的攻击的建模就难以很好的进行。现有模型多是将所有数据均放在一个分类器中,所使用的分类器不能对自身的实际意义进行分析,属于黑...
【技术保护点】
1.一种基于两层贝叶斯网络模型的网络安全推断方法,其特征在于,包括以下步骤:步骤1,对网络攻击数据中的连续型数据离散化;步骤2,预先构建两层贝叶斯网络模型框架;其中第一层模型框架对攻击大类进行分类,所述攻击大类包含有多种子攻击类型,第二层模型框架对所述第一层模型框架中的每一个攻击大类进行细分类;步骤3,利用贝叶斯网络结构学习在所述第一层模型框架和第二层模型框架分别利用对网络攻击数据进行预处理后的数据构建贝叶斯网络结构;步骤4,分别对第一层模型框架和第二层模型框架中的贝叶斯网络结构中重要节点的马尔科夫边界节点重要程度进行排序,所述重要节点是指贝叶斯网络中用来指示当前攻击类型的节点;步骤5,取马尔科夫边界节点重要程度排序在前的节点作为关键的观察节点,输出所述观察节点。
【技术特征摘要】
1.一种基于两层贝叶斯网络模型的网络安全推断方法,其特征在于,包括以下步骤:步骤1,对网络攻击数据中的连续型数据离散化;步骤2,预先构建两层贝叶斯网络模型框架;其中第一层模型框架对攻击大类进行分类,所述攻击大类包含有多种子攻击类型,第二层模型框架对所述第一层模型框架中的每一个攻击大类进行细分类;步骤3,利用贝叶斯网络结构学习在所述第一层模型框架和第二层模型框架分别利用对网络攻击数据进行预处理后的数据构建贝叶斯网络结构;步骤4,分别对第一层模型框架和第二层模型框架中的贝叶斯网络结构中重要节点的马尔科夫边界节点重要程度进行排序,所述重要节点是指贝叶斯网络中用来指示当前攻击类型的节点;步骤5,取马尔科夫边界节点重要程度排序在前的节点作为关键的观察节点,输出所述观察节点。2.根据权利要求1所述的基于两层贝叶斯网络模型的网络安全推断方法,其特征在于:所述步骤3中贝叶斯网络结构学习是对预处理后的网络攻击数据进行学习,所述结构学习方法是基于评分搜索的算法;所述步骤3包括以下步骤:步骤31,将网络攻击数据集中的每条记录的属性作为贝叶斯网络中的变量;步骤32,调用R语言中的bnlearn扩展包中的tabu函数进行贝叶斯结构学习获取贝叶斯网络的结构。3.根据权利要求1所述的基于两层贝叶斯网络模型的网络安全推断方法,其特征在于:所述步骤4中一个重要节点X的马尔科夫边界节点包括其父节点、子节点以及子节点的父节点,表达公式如下:mb(X)=π(X)∪ch(X)∪(∪Y∈ch(X)π(Y))其中,π(X)代表节点X的所有父节点,ch(X)代表节点X的子节点,∪Y∈ch(x)π(Y)代表所有子节点的父节点,mb(X)表示变量X的马尔科夫边界节点。4.根据权利要求3所述的基于两层贝叶斯网络模型的网络安全推断方法,其特征在于:所述步骤4中马尔科夫边界节点重要程度的排序步骤包括:步骤41,设得到的两层模型框架中的全部贝叶斯网络数量为Nbn,对于每个贝叶斯网络BNi(i=1,2,…,Nbn)进行下一个步骤;步骤42,计算每个马尔科夫边界节点指标值,获取最大JSD(MaxJensen–Shannondivergence,最大杰森-香农散度)指标值;步骤43,判断当前是否有BN剩余:若有,返回步骤42;若没有,进行下一步骤;步骤44,对每个马尔科夫边界节点的最大JSD指标值进行排序,形成一个排序序列。5.根据权利要求4所述的基于两层贝叶斯网络模型的网络安全推断方法,其特征在于:步骤42中最大JSD指标值的计算步骤为:步骤421,设重要节点Xt的马尔科夫边界为mb(Xt)={X1,…,Xi,…,XM},i=1,2,…,M,M表示重要节点Xt的马尔科夫边界节点数量,节点Xi有ri个可能的取值;步骤422,改变重要节点Xt的马尔科夫边界中一个节点Xi的观测值,采用联结树算法(junctiontreealgorithm)计算重要节点Xt在马尔科夫边界节点Xi的取值为e时的后验概率分布P(Xt|Xi=e),一个马尔科夫边界节点Xi可以计算得到重要节点Xt的ri个后验概率分布;步骤423,计算JSD值:其中P1、P2表示重要节点Xt在马尔科夫边界节点Xi值变化时的任意两个后验概率分布值,依次计算每两个后验概率分布值的JSD值,则对于重要节点Xt的马尔科夫边界节点Xi,共有个组合,相应计算出个JSD值其中,KL代表KL(Kullback-Leiblerdivergence)散度,其计算公式为:p和q为两个后验概率分布,p(xi)、q(xi)代表相应后验概率分布中取值为xi时对应的概率值;步骤424,获得重要节点Xt的所有马尔科夫边界节点Xi的JSD值后,计算最大JSD指标值:JSDmax(Xi)表示马尔科夫边界节点Xi的最大JSD值,JSDj表示马尔科...
【专利技术属性】
技术研发人员:周鋆,王培超,朱承,张维明,修保新,朱先强,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。