【技术实现步骤摘要】
一种基于CAVWNB_KL算法的操作系统识别方法
本专利技术属于网络安全
,具体涉及一种基于CAVWNB_KL(Correlation-basedAtrributeValueWeightedNaiveBayes_KL)算法的操作系统识别方法。
技术介绍
在网络安全领域,安全的对象是资产,其中操作系统又是资产的一大类别,目前对于操作系统的高误报率是安全资产管理客户的一大痛点,因此,如何准确识别操作系统,提高操作系统的识别率一直是网络安全领域的一大热点问题。目前在网络安全领域,对于操作系统的识别,大多采用现场采集指纹,多用的是类似于二分类的方法,即通过一个一个的对比插件识别,且人工识别规律,造成识别精度低,容易漏报误报的问题,并且由于二分类标尺不一致,对于训练数据要求也较高,一般很难满足。随着机器学习的发展,各类算法已经在不同的领域解决了许多实际问题,其中贝叶斯算法作为机器学习的十大经典算法之一,处理很多问题时直接又高效,因此在很多领域有着广泛的应用,也为降低操作系统的误报率提供了可能。但是简单的朴素贝叶斯...
【技术保护点】
1.一种基于CAVWNB_KL算法的操作系统识别方法,其特征在于,包括以下步骤:/nS1、分析nmap中的操作系统识别规则,按照nmap指纹库拆分数据,加上类标记,并映射成N列的数字向量,从拆分出的大量数据集中抽出M万数据作为训练数据,同样的方法再次抽出m万数据作为模拟测试数据;/nS2、将得到的M万数据进行封箱操作;/nS3、使用KL散度计算属性与类之间的关联度作为每个属性的权值;/nS4、将预处理过的M万数据,输入NB算法模型,计算先验概率和后验概率,作为指纹存储;/nS5、取步骤S1的m万数据集,经过同样的数据预处理封箱过程,将向量输入训练好的指纹模型通过CAVWNB...
【技术特征摘要】
1.一种基于CAVWNB_KL算法的操作系统识别方法,其特征在于,包括以下步骤:
S1、分析nmap中的操作系统识别规则,按照nmap指纹库拆分数据,加上类标记,并映射成N列的数字向量,从拆分出的大量数据集中抽出M万数据作为训练数据,同样的方法再次抽出m万数据作为模拟测试数据;
S2、将得到的M万数据进行封箱操作;
S3、使用KL散度计算属性与类之间的关联度作为每个属性的权值;
S4、将预处理过的M万数据,输入NB算法模型,计算先验概率和后验概率,作为指纹存储;
S5、取步骤S1的m万数据集,经过同样的数据预处理封箱过程,将向量输入训练好的指纹模型通过CAVWNB_KL算法计算出每条流量的最大后验概率,计算出测试精度衡量指标;
S6、模仿nmap的发包方式,通过向目标网段发包的方式,采集真实流量,将真实流量输入指纹模型,预测结果,计算真实流量的测试精度;
S7、将采集到的真实流量进行筛选,选择其中没有噪声,且nmap指纹库中缺失的规则,以贝叶斯增量学习的方式增量训练,修正原有的指纹模型,完成识别。
2.根据权利要求1所述的基于CAVWNB_KL算法的操作系统识别方法,其特征在于,步骤S1中,选取nmap指纹库的响应序列作为特征,筛选逻辑独立的维度,按照蒙特卡洛方法选取训练数据和模拟测试数据。
3.根据权利要求1所述的基于CAVWNB_KL算法的操作系统识别方法,其特征在于,步骤S2中,对于M万数据的每一个维度,将该维度的所有数据取出,去重,按从小到大排序,然后将排序后的数据均分到k个区间内,则每个区间内的数字被映射成区间的编号。
4.根据权利要求1所述的基于CAVWNB_KL算法的操作系统识别方法,其特征在于,步骤S3中,第i个属性Ai对应的权值Wi为
其中,P(ai)为第i个属性Ai的取值ai的概率,P(c)为类别c的先验概率,P(c|ai)为第i个属性Ai的取值ai上类别为c的条件概率。
5.根据权利要求1所述的基于CAVWNB_KL算法的操作系统识别方法,其特征在于,步骤S4中,设输入空间为N维向量的集合,输出空间为类标记集合γ={c1,c2,...,ck},输入为特征向量x∈χ,输出为类标记y∈γ,X是定义在输入空间χ上的随机向量,Y是定义在输出空间γ上的随机变量;采用朴素贝叶斯法通过训练数据集学习联合概率分布P(X,Y),学习先验概率分布及条件概率分布;采用贝叶斯估计条件概率和先验概率。
6.根据权利要求5所述的基于CAVWNB_KL...
【专利技术属性】
技术研发人员:桂小林,安迪,樊志甲,李瀛,范建存,
申请(专利权)人:西安交通大学,北京神州绿盟信息安全科技股份有限公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。