【技术实现步骤摘要】
一种基于因果机器学习的网络安全监测分析方法与系统
[0001]本专利技术涉及网络安全监测,具体涉及一种基于因果机器学习的网络安全监测分析方法与系统。
技术介绍
[0002]网络安全监测是针对计算机网络传输提供即时监视的一种安全监测设备,这种设备在发现可疑传输时会及时发出警报或主动采取相应措施对可疑行为进行封杀。相对于其他网络安全设备来说,网络安全监测是一种更加积极主动的网络安全防护技术。与防火墙等传统防御系统相比,网络安全监测可以捕获数据包并提取它们的特征,然后将这些特征与已知的攻击模式进行对比。网络安全监测主要有基于贝叶斯推理、特征选择、模式预测、数据挖掘等检测方法。
[0003]近年来,随着决策树、随机森林、神经网络等机器学习方法被广泛应用于入侵检测领域,网络安全监测的检测精度也愈发提高了很多。然而现有基于关联的机器学习方法无法将相关性与因果性解耦,对于未知的测试数据集就很难达到稳定的预测。特别是许多的机器学习方法或者基于特征选择的方法,均是基于关联驱动来判断流量特征属性与网络攻击类型之间的因果关系的,这种关联关...
【技术保护点】
【技术特征摘要】
1.一种基于因果机器学习的网络安全监测分析方法,其特征在于,包括:1)针对网络流量的训练数据集的特征集合P进行预处理;2)针对预处理后的特征集合P删除非因果噪声特征,得到只包含因果特征集合V的训练数据;3)通过机器学习方法在训练数据中选择与监测数据接近的M类攻击标签;4)通过反事实诊断方法计算M类攻击标签在反事实中异常特征的期望值,并选择使得期望值最大的攻击标签作为最终的网络入侵检测结果。2.根据权利要求1所述的基于因果机器学习的网络安全监测分析方法,其特征在于,步骤1)中的预处理依次包括Z分数标准化、最大最小标准化以及删除无效和错误的数据集合。3.根据权利要求1所述的基于因果机器学习的网络安全监测分析方法,其特征在于,步骤2)包括:2.1)初始化循环变量i,在预处理后的包含p个特征的特征集合P中选择第i个特征为当前特征,初始化当前特征的删除特征集合Cu[i],其中0≤i<p;2.2)分别遍历特征集合P中的所有特征,针对遍历得到的第j%p个特征,计算该第j%p个特征与网络攻击之间的因果效应值,如果因果效应值小于设定的阈值δ,则将该第j%p个特征值改为全0,并记为非因果特征添加到当前特征的删除特征集合Cu[i],其中i≤j<p+i;2.3)判断循环变量i小于特征集合P的特征数量p是否成立,若成立则将循环变量i加1,跳转执行步骤2.1);否则,跳转执行步骤2.4);2.4)将得到的所有的删除特征集合Cu[1]~Cu[p]按包含特征个数进行排序;2.5)在排序后的所有的删除特征集合Cu[1]~Cu[p]中选取包含特征数最多的删除特征集合Cu[i]
max
,根据包含特征数最多的删除特征集合Cu[i]
max
中包含的特征编号删除特征集合P中对应的特征,并将所有剩余的特征保存至集合中作为得到的因果特征集合V。4.根据权利要求3所述的基于因果机器学习的网络安全监测分析方法,其特征在于,步骤2.2)中因果效应值的计算函数表达式为:E
j%p
=E[X]
‑
E[X|do(Y
j%p
)],上式中,E
j%p
表示第j%p个特征与网络攻击X之间的因果效应值,E[X]表示网络攻击X的期望值,E[X|do(Y
j%p
)]表示干预删除第j%p个特征后网络攻击X的期望值。5.根据权利要求1所述的基于因果机器学习的网络安全监测分析方法,其特征在于,步骤3)包括:3.1)计算检测数据与训练数据集之间的距离,其中训练数据集为n行v列,且每行都有自己的攻击标签,其中v为因果特征集合V的长度;检测数据为1行v列;3.2)对检测数据与训练数据集每一行之间的...
【专利技术属性】
技术研发人员:曾增日,彭伟,赵宝康,曾德天,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。