一种智能内部恶意行为网络攻击识别方法及电子设备技术

本发明专利技术提供一种智能内部恶意行为网络攻击识别方法和电子设备，方法包括以下步骤：收集用户在网络通讯过程中的数据；提取数据中的信息特征，形成处理后数据向量集合，针对不同类别的所述处理后数据向量集合X输出若干个扩散参数，将其进行粒子群优化迭代，确定概率神经网络模型的最佳扩散参数，形成用于数据训练的概率神经网络模型，检测测试数据中的所有特征向量，得到具有不同最大输出G

【技术实现步骤摘要】
一种智能内部恶意行为网络攻击识别方法及电子设备
本专利技术属于通讯安全
，具体涉及一种智能内部恶意行为网络攻击识别方法及电子设备。
技术介绍
将敏感数据上载到公共云存储服务会给组织带来安全风险，如可访问性、机密性和集成性。此外，不间断的云服务已经造成了高水平的入侵和滥用。使用防火墙和入侵检测系统是保护用户数据和云资源的唯一永久解决方案。有些攻击，如DOS，对于防火墙来说过于复杂；因此，可以使用攻击检测方法来检测各种类型的攻击。尽管传统的安全系统在识别用户凭据方面是可信的，但是当系统需要在登录级别以外的级别识别用户的异常行为时，恶意行为识别问题就会出现。更重要的是，传统的安全技术面临着恶意软件创造者和恶意软件防御者之间的竞争；当前的恶意软件防御对于未知的恶意软件是不够的，因为未知恶意软件通常是使用新的攻击技术设计的。且以往的恶意攻击检测方法只能识别网络行为为正常(0)或恶意攻击(1)，不能识别出恶意攻击的类别并进行归类。
技术实现思路
本专利技术针对上述缺陷，提供一种以特征向量形式记录的恶意行为分类到各种类型的实时攻击类别模块中，能够实现检测和识别云计算和移动计算环境中的内部恶意行为的智能内部恶意行为网络攻击识别方法及电子设备。本专利技术提供如下技术方案：一种智能内部恶意行为网络攻击识别方法，包括以下步骤：M1：利用数据监听和存储模块收集用户在网络通讯过程中的数据；M2：将所述数据传递给数据预处理和特征提取模块，用于对数据进行预处理并提取数据中的信息特征，形成处理后数据向量集合X＝{x1,......,xn}，i＝1,……,n，所述xi为第i个经过所述信息特征数据处理的特征向量；M3：将所述处理后数据向量集合X传递给所述粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块，所述概率神经网络模型构建模块利用所述处理后数据构建概率神经网络模型，针对不同类别的所述处理后数据向量集合X输出若干个扩散参数σi；M4：所述概率神经网络模型模块将所述若干个扩散参数σi传递给粒子群优化模块，所述粒子群优化模块将所述若干个扩散参数σi作为若干个粒子进行粒子群优化迭代，直至迭代完成，确定概率神经网络模型的最佳扩散参数σg；M5：所述概率神经网络模型模块利用所述处理后数据向量集合X以及所述最佳扩散参数σg构建用于数据训练的概率神经网络模型Sstrain，所述模型Sstrain中的第k组的所述处理后数据向量集合X的输出为Fk,i(X)；M6：继续收集网络通讯中的数据，形成数据向量集合Y＝{y1,......,yn}，i＝1,……,n，定义为测试数据集Sstest，将所述测试数据集Sstest传递给网络行为检测模块；M7：将所述概率神经网络模型Sstrain输入至所述网络行为检测模块，利用所述M4步骤得到的带有最佳扩散参数σg的概率神经网络模型Sstrain连接所述测试数据集Sstest中的所有特征向量yi，得到具有不同最大输出Gk(Y)的K个网络行为类别，所述1≤k≤K，传递给恶意攻击识别模块；M8：所述恶意攻击识别模块识别结果数据向量类别后，将内部恶意网络攻击行为向量分类至攻击类别分类模块，将内部正常网络行为向量分类至正常网络行为模块；M9：所述攻击类别分类模块根据求和检测结果将数据向量Y归类至最大输出相对应的类别中。进一步地，所述M4步骤包括以下步骤：M40：确定粒子群优化模式的限制因子R；M41：初始化所述扩散参数σi作为粒子的粒子群，设定使第t代粒子σi(t)为变化速率vi(t)位于边界β＝[0,1]内，所述粒子群中的第t代粒子粒子σi(t)的初始位置为xi(t)，初始化最佳数据向量位置和第i个粒子领域内所有粒子中达到最佳初始位置的粒子的指数gi，即σi(t)∈β，vi(t)∈β；M42：更新每个所述粒子σi的速率vi(t)为vi(t+1)；M43：利用M42步骤得到的vi(t+1)更新每个第t代粒子σi(t)为第t+1代粒子σi(t+1)：σi(t+1)＝σi(t)+vi(t+1)；M44：约束位于所述边界β内的粒子群σi的每个所述第t+1代粒子σi(t+1)位置的数据向量，计算扩散系数粒子群σi(t+1)中的比例系数f(σi(t+1))；M45：更新最佳数据向量位置和所述指数gi；M46：确定是否获得所述最佳扩散参数σg；若是，则停止迭代，若否，则更新迭代数由t至t+1，更新所述步骤M42至所述步骤M46，直至获得。进一步地，所述M40步骤中的限制因子R的计算公式如下：其中，所述φ＝c1+c2，k为迭代次数，k∈[0,1]，所述c1为与每个粒子的最佳位置相关的系数，所述c2为与有助于改变粒子速度的邻域的最佳位置相关的系数，0≤c1,c2≤2。进一步地，所述步骤M42中的更新每个粒子σi的的速率vi(t)为vi(t+1)的公式如下：其中，所述c1为与每个粒子的最佳位置相关的系数，所述c2为是与有助于改变粒子速度的邻域的最佳位置相关的系数，0≤c1,c2≤2；所述r1、所述r2为每次速度更新时产生的随机变量。进一步地，所述步骤M45中的进一步地，所述步骤M5中第k组的所述处理后数据向量集合X的输出为Fk,i(X)的公式如下：其中，所述Xk,i是第k组的第i个数据向量，它引用了决定内核可修改字段大小的扩展参数。进一步地，所述步骤M7中Gk(Y)的计算公式如下：其中k∈(1,...,K)，所述Mk为第k组的数据向量集合Y的输出神经元Fki(Y)的个数，所述ωki是满足的正系数。进一步地，所述步骤M8中的识别结果数据向量类别的公式如下：数据向量集合Y根据得到的C(Y)值，被分组到与从求和单元计算的最大输出相对应的类中。进一步地，所述M9步骤中攻击类别模块分类得到的内部异常网络攻击行为模糊攻击、分析攻击、后门攻击、DoS攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击或蠕虫攻击中的一种或几种。本专利技术还提供一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述智能内部恶意行为网络攻击识别方法的步骤。本专利技术的有益效果为：1、与简单的神经网络方法相比，该方法经过具有与每个粒子的最佳位置相关的系数c1和与有助于改变粒子速度的邻域的最佳位置相关的系数c2有关的限制因子R选择的粒子群优化算法模式的粒子群算法优化的概率网络神经算法，并且源数据为以特征向量形式记录的恶意行为，其被分类到各种类型的实时攻击类别模块中，能够实现检测和识别云计算和移动计算环境中的内部恶意行为。2、现有技术中的概率神经网络性能受到扩散系数σ的影响，本申请提供的智能内部恶意行为网络攻击识别方法在应用概率神经网络针对信息特征提取处理后的数据对进行分类过程之前，采用粒子群优化算法对概率神经网络中的扩散系数σ进行优化，得到具有最本文档来自技高网...

【技术保护点】
1.一种智能内部恶意行为网络攻击识别方法，其特征在于，包括以下步骤：/nM1：利用数据监听和存储模块收集用户在网络通讯过程中的数据；/nM2：将所述数据传递给数据预处理和特征提取模块，用于对数据进行预处理并提取数据中的信息特征，形成处理后数据向量集合X＝{x

【技术特征摘要】
1.一种智能内部恶意行为网络攻击识别方法，其特征在于，包括以下步骤：
M1：利用数据监听和存储模块收集用户在网络通讯过程中的数据；
M2：将所述数据传递给数据预处理和特征提取模块，用于对数据进行预处理并提取数据中的信息特征，形成处理后数据向量集合X＝{x1，......，xn}，i＝1，......，n，所述xi为第i个经过所述信息特征数据处理的特征向量；
M3：将所述处理后数据向量集合X传递给所述粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块，所述概率神经网络模型构建模块利用所述处理后数据构建概率神经网络模型，针对不同类别的所述处理后数据向量集合X输出若干个扩散参数σi；
M4：所述概率神经网络模型模块将所述若干个扩散参数σi传递给粒子群优化模块，所述粒子群优化模块将所述若干个扩散参数σi作为若干个粒子进行粒子群优化迭代，直至迭代完成，确定概率神经网络模型的最佳扩散参数σg；
M5：所述概率神经网络模型模块利用所述处理后数据向量集合X以及所述最佳扩散参数σg构建用于数据训练的概率神经网络模型Sstrain，所述模型Sstrain中的第k组的所述处理后数据向量集合X的输出为Fk，i(X)；
M6：继续收集网络通讯中经过数据预处理和特征提取模块处理后的数据，形成数据向量集合Y＝{y1，......，yn}，i＝1，......，n，定义为测试数据集Sstest，将所述测试数据集Sstest传递给网络行为检测模块；
M7：将所述概率神经网络模型Sstrain输入至所述网络行为检测模块，利用所述M4步骤得到的带有最佳扩散参数σg的概率神经网络模型Sstrain连接所述测试数据集Sstest中的所有特征向量yi，得到具有不同最大输出Gk(Y)的K个网络行为类别，所述1≤k≤K，传递给恶意攻击识别模块；
M8：所述恶意攻击识别模块识别结果数据向量类别后，将内部恶意网络攻击行为向量分类至攻击类别分类模块，将内部正常网络行为向量分类至正常网络行为模块；
M9：所述攻击类别分类模块根据求和检测结果将数据向量Y归类至最大输出相对应的类别中。


2.根据权利要求1所述的一种智能内部恶意行为网络攻击识别方法，其特征在于，所述M4步骤包括以下步骤：
M40：确定粒子群优化模式的限制因子R；
M41：初始化所述扩散参数σi作为粒子的粒子群，设定使第t代粒子σi(t)为变化速率vi(t)位于边界β＝[0，1]内，所述粒子群中的第t代粒子σi(t)的初始位置为xi(t)，初始化最佳数据向量位置和第i个粒子领域内所有粒子中达到最佳初始位置的粒子的指数gi；
M42：更新每个所述粒子σi的速率vi(t)为vi(t+1)；
M43：利用M42步骤得到的vi(t+1)更新每个第t代粒子σi(t)为第t+1代粒子σi(t+1)：σi(t+1)＝σi(t)+vi(t+1)；...

【专利技术属性】
技术研发人员：戴燎元，
申请(专利权)人：湖南匡楚科技有限公司，
类型：发明
国别省市：湖南;43