一种具有自适应的分布式智能决策方法技术
An adaptive distributed intelligent decision method
The invention belongs to the field of data security, and specifically relates to an adaptive distributed intelligent decision-making method. This invention explores the generation mode of real-time monitoring log and operation request log, detects the possible abnormality, combines the advantage of neural network in pattern recognition with the reasoning theory of knowledge, and introduces self adaptive mechanism based on the information of multiple adjacent nodes, and carries out in a distributed way. Intrusion detection also puts the decision process into the distributed node instead of the central console, which reduces the network transmission and improves the speed of distributed decision. The invention integrates the information feedback of adjacent nodes, adjusts adaptively, and reduces the data transmission without relying on the global information, and can effectively detect the undetected data from a single node.
【技术实现步骤摘要】
一种具有自适应的分布式智能决策方法
本专利技术属于数据安全领域,具体涉及一种具有自适应的分布式智能决策方法。
技术介绍
入侵检测常用的技术包括专家系统,模式匹配(例如神经网络等)以及基于统计方法的技术。但近年来的研究热点越来越集中于神经网络,这是因为其有更好地处理原始数据的随机特性,不需要对这些数据作任何统计假设,同时,它也有较好的抗干扰能力。然而,仅仅使用神经网络作为入侵检测的主要技术也有许多的局限性;同时,当前对于入侵检测的研究一般都局限于单一检测点,而当前网络攻击手段向分布式方向发展,单一节点难以检测出入侵的数据,破坏性和隐蔽性也越来越大,这些研究普遍采用综合多个探测节点的信息并由一个中央控制台进行处理和分析。但考虑到网络传输带来的延时问题,大规模网络带来的大量检测负荷,将使这种架构的入侵检测面临诸多困难。
技术实现思路
针对上述存在问题或不足,本专利技术提供了一种具有自适应的分布式智能决策方法,针对实时监控日志及操作请求日志的生成模式进行发掘,检测可能存在的异常。本专利技术的步骤如下:S1.数据预处理。S11.定义预定义知识库;预定义知识库由入侵规则集组成,每...
【技术保护点】
一种具有自适应的分布式智能决策方法,具体步骤如下:S1.数据预处理;S11.定义预定义知识库;预定义知识库由入侵规则集组成,每一种入侵手段所对应的规则集对应一个预定义知识库,初始化为空;这些预定义知识库还包含两个属性:种类和权重,种类用来标识预定义知识库对应的入侵手段,权重表示该预定义知识库的规则对当前环境的重要程度,权重的范围为0到1;S12.提取预定义知识库的环境特征;针对不同类型的入侵方式,获取该入侵方式的知识,加入到对应的预定义知识库,对所有预定义知识库获取完知识之后,将知识进行求并集获得知识总库,并根据知识所适用的入侵方式,定义一个布尔矩阵E来表示该知识所适用的环...
【技术特征摘要】
1.一种具有自适应的分布式智能决策方法,具体步骤如下:S1.数据预处理;S11.定义预定义知识库;预定义知识库由入侵规则集组成,每一种入侵手段所对应的规则集对应一个预定义知识库,初始化为空;这些预定义知识库还包含两个属性:种类和权重,种类用来标识预定义知识库对应的入侵手段,权重表示该预定义知识库的规则对当前环境的重要程度,权重的范围为0到1;S12.提取预定义知识库的环境特征;针对不同类型的入侵方式,获取该入侵方式的知识,加入到对应的预定义知识库,对所有预定义知识库获取完知识之后,将知识进行求并集获得知识总库,并根据知识所适用的入侵方式,定义一个布尔矩阵E来表示该知识所适用的环境,即用来表示其所属预定义知识库;然后建立知识关系表,用以表示知识之间的从属关系;S2.节点环境识别;对每个节点的数据提取特征,使用其产生的矩阵M来描述节点所处的环境;S21.产生特征;选取报文长度、字符频率、来源区域、端口号、协议类型和时间以及它们的各种变形与转换,采用加权移动平均WeightedMovingAverage,WMA方法将数据进行平滑处理;S22.对S21步骤产生的特征数据进行降维处理;首先通过ClampingNetwork计算所有特征对结果的影响,然后根据影响按照从大到小进行排序Ranking,再按照排序结果,依次将特征增加到测试特征集中,测验组合对结果准确度的影响,若精确度提升超过阈值a1,则将该特征保留,若精确度下降超过阈值a2,则将其剔除,否则,将其放回排序结果列表的末尾,0.01≤a1≤0.1,0.01≤a2≤0.1;所述测试特征集用来测试特征对结果的影响,初始化为空集;S23.使用人工神经网络进行模式识别;使用神经网络对S22的输出数据进行训练,神经网络训练完成后得到矩阵M,每个矩阵的元素代表着该节点属于对应环境的置信度;S3.产生本地知识库;根据步骤S2环境识别的结果来产生自身的知识库即本地知识库,本地知识库拥有的矩阵W每个元素代表对应的预定义知识库的基础权重baseWeight,初始化为0.1-1,具体步骤如下:S31.选择知识;将预定义知识库的权值矩阵W,点乘每个知识的布尔矩阵E,得到结果N,将N与M相加,若相加的结果中存在大于1的值,则选择该知识;S32.知识融合;若步骤S31所选择的知识包含冲突的知识,则需要进行知识融合,将知识间冲突的部分作为额外条件属性加入到冲突知识元素中,重复这个步骤直至找不到更多的条件属性时,开始对冲突的知识进行融合;S4.推理;建立好本地知识库之后,对实时数据进行判断,若应用知识规则之后能做出判断为入侵或非入侵则做出决策,否则不能做出决策;S5.自适应调整;对做出的决策进行评估,动态调整本地知识库的矩阵W,如S3所述,该矩阵每个元素代表对应的预定义知识库的baseWeight,具体步骤如下:S51.若做出决策,则使用下式更新包含做出决策所使用的知识的预定义知识库的baseWeight,无论该决策是否正确;
【专利技术属性】
技术研发人员:张栗粽,段贵多,罗光春,秦科,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。