一种基于大数据的自适应网络安全态势评估模型制造技术

本发明专利技术涉及一种基于大数据的自适应网络安全态势评估模型，包括：数据预处理模块，用于对采集到的网络数据进行预处理；临时数据库，用于对经过预处理模块预处理后的网络数据的时间、空间以及原始特征进行记录储存；数据筛选模块，用于对经过数据预处理模块处理后的数据进行筛选；在线模块，用于对数据预处理模块处理后的数据进行实时监测；离线模块，用于对经过数据筛选模块筛选后的数据进行处理并录入至在线模块；态势评估模块，用于根据在线模块监测得到的数据进行态势评估。本发明专利技术通过设置离线模块对网络数据进行实时收集，可以增加对新型数据的处理能力，且具有自适应性。且具有自适应性。且具有自适应性。

【技术实现步骤摘要】
一种基于大数据的自适应网络安全态势评估模型


[0001]本专利技术涉及于网络安全
，尤其涉及一种基于大数据的自适应网络安全态势评估模型。

技术介绍

[0002][0003]现有的网络安全技术依赖于防火墙、入侵检测和反病毒软件等，属于静态片面被动的防御措施，缺乏主动性、对网络攻击没有有效的预测能力。为了保证网络系统的健壮性和安全性，并能够应对日益复杂而隐蔽的网络威胁，出现了各种检测技术,如入侵检测，漏洞和恶意代码检测。这些技术以不同的角度为出发点，寻找网络中的安全问题，然而，要及时全面地发现网络中真实存在的威胁时效果并不理想，这限制了网络安全管理员做出最佳决策并及时响应的能力。

技术实现思路

[0004]为了现有技术存在的上述技术缺陷，本专利技术提供了一种基于大数据的自适应网络安全态势评估模型，可以有效解决
技术介绍
中的问题。
[0005]为了解决上述技术问题，本专利技术提供的技术方案具体如下：本专利技术实施例公开了一种基于大数据的自适应网络安全态势评估模型，包括：数据预处理模块，用于对采集到的网络数据进行预处理；临时数据库，用于对经过预处理模块预处理后的网络数据的时间、空间以及原始特征进行记录储存；数据筛选模块，用于对经过数据预处理模块处理后的数据进行筛选；在线模块，用于对数据预处理模块处理后的数据进行实时监测；离线模块，用于对经过数据筛选模块筛选后的数据进行处理并录入至在线模块；态势评估模块，用于根据在线模块监测得到的数据进行态势评估。
[0006]在上述任一方案中优选的是，所述数据预处理模块在对采集到的网络数据进行预处理时，包括以下步骤：步骤一：对收集到的原始数据进行降维操作；步骤二：利用经过粒子群优化算法优化后的K
‑
均值算法在降维后的数据记录中根据数据特征进行聚类划分，并强化数据记录的特征。
[0007]在上述任一方案中优选的是，在对收集到的原始数据进行降维操作，采用基于特征分解的降维算法，包括以下步骤：步骤一：根据公式推导出原始数据的协方差矩阵的特征向量和特征值，得到相应的特征矩阵；步骤二：通过对原始数据的特征矩阵(M*N)的变换，得到了临时对角矩阵(K*K）；步骤三：通过对临时对角矩阵（K*K）的特征分解得到的特征向量与特征值；
步骤四：将原始数据的特征矩阵与得到的特征向量一起处理，得到经过预处理后的矩阵。
[0008]在上述任一方案中优选的是，所述数据筛选模块在对经过数据预处理模块处理后的数据进行筛选时，采用FP
‑
Growth算法对经过数据预处理模块处理后的数据进行筛选，具体的，包括以下步骤：步骤一：找出初始数据中的一维频繁项集和编码；步骤二：根据一维频繁项集对初始数据进行分组；步骤三：为每个分组数据构建一棵FP
‑
tree；步骤四：对构建的每一棵FP
‑
tree挖掘频繁项集；步骤五：将在每一棵树中挖掘出的频繁项集汇总到一起生成最终的全局频繁项集。
[0009]在上述任一方案中优选的是，所述在线模块包括数据库，所述数据库用于对攻击和异常的数据的模板数据进行记录，所述在线模块在对数据预处理模块处理后的数据进行实时监测时，包括以下步骤：步骤一：将数据预处理模块处理后的数据T={t1，t2...t
n
}进行标准化处理，其中，t
n
为数据T的第n个特征属性；其中，通过公式对数据T进行标准化处理，其中t
j
为数据T的第j个特征属性,t
m
为数据T所有特征属性的均值，t
s
为数据T所有特征属性的标准差；步骤二：建立距离矩阵，对标准化后的每一个属性计算两者之间的距离，并建立矩阵；步骤三：利用公式计算数据T与数据库中的模板数据R={r1，r2...r
n
}，的相似度，其中，为计算得到的累计距离，为特征属性t
j
与模板数据R的特征属性r
i
的距离；步骤四：根据测试情况建立阈值，当相似度大于阈值时则记录该组数据，并根据特征属性判断其威胁类型。
[0010]在上述任一方案中优选的是，在所述在线模块在对数据的威胁类型进行判断时，将数据分为“正常”、“拒绝服务攻击”、“未授权的本地超级用户特权访问”、“远程主机未授权访问”和“端口扫描”五种类型。
[0011]在上述任一方案中优选的是，所述在线模块的数据库中的模板数据分为“正常”、“拒绝服务攻击”、“未授权的本地超级用户特权访问”、“远程主机未授权访问”和“端口扫描”五种类型，在所述在线模块在对数据的威胁类型进行判断时，首先数据T与数据库中的模板数据R进行匹配，找到与数据T相似度最大的模板数据R，将数据T划分为模板数据R所在的数据类型中。
[0012]在上述任一方案中优选的是，所述离线模块在对经过数据筛选模块筛选后的数据进行处理时，采用FP
‑
Growth关联分析算法进行处理，具体的，FP
‑
Growth关联分析算法的具
体处理过程包括以下步骤：步骤一：扫描数据形成1维频繁项集；步骤二：利用得到的1维频繁项集生成FP
‑
tree；步骤三：挖掘生成的FP
‑
tree中的关联规则，得到包含每一个符合最小支持度阈值的属性所形成的频繁项集，并对频繁项集包含的冗余重复的部分进行简单冗余去除。
[0013]在上述任一方案中优选的是，在所述态势评估模块根据在线模块监测得到的数据进行态势评估时，包括以下步骤：步骤一：记录时间段内检测到的攻击数量和时间段内各类型攻击类型的攻击频次；步骤二：根据公式对在时间段t内各类型攻击类型的威胁指数；其中，为各类型攻击类型在时间段t内的威胁指数，N为时间段t内检测到的攻击数量；C
i
为时间段t内各类型攻击类型的攻击频次，i表示不同的攻击类型；X
i
为不同的攻击类型对网络安全运行具有的影响程度，i表示不同的攻击类型；步骤三：根据威胁指数对时间段t内每一类型的安全等级进行划分，其中在0到0.2之间时网络安全等级为安全，在0.2到0.5之间时安全等级为轻度危险，在0.5到0.8之间时网络安全等级为中度危险，网络安全等级在0.8到1之间时网络安全等级为重度危险。
[0014]在上述任一方案中优选的是，“正常”数据对网络安全运行具有的影响程度X1=0，“拒绝服务攻击”数据对网络安全运行具有的影响程度X2=0.3，“未授权的本地超级用户特权访问”数据对网络安全运行具有的影响程度X3=0.5，“远程主机未授权访问”数据对网络安全运行具有的影响程度X4=0.6，“端口扫描”数据对网络安全运行具有的影响程度X5=0.8。
[0015]在上述任一方案中优选的是，基于大数据的自适应网络安全态势评估模型在运行时，包括以下步骤：步骤一：利用数据预处理模块对采集到的网络数据进行数据预处理；步骤二：利用数据筛选模块对经过数据预处理模块处理后的网络数据进行筛选，得到具有显著异常特征值的网络数据；步骤本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于大数据的自适应网络安全态势评估模型，其特征在于：包括：数据预处理模块，用于对采集到的网络数据进行预处理；临时数据库，用于对经过预处理模块预处理后的网络数据的时间、空间以及原始特征进行记录储存；数据筛选模块，用于对经过数据预处理模块处理后的数据进行筛选；在线模块，用于对数据预处理模块处理后的数据进行实时监测；离线模块，用于对经过数据筛选模块筛选后的数据进行处理并录入至在线模块；态势评估模块，用于根据在线模块监测得到的数据进行态势评估；所述离线模块在对经过数据筛选模块筛选后的数据进行处理时，采用FP
‑
Growth关联分析算法进行处理，具体的，FP
‑
Growth关联分析算法的具体处理过程包括以下步骤：步骤一：扫描数据形成1维频繁项集；步骤二：利用得到的1维频繁项集生成FP
‑
tree；步骤三：挖掘生成的FP
‑
tree中的关联规则，得到包含每一个符合最小支持度阈值的属性所形成的频繁项集，并对频繁项集包含的冗余重复的部分进行简单冗余去除。2.根据权利要求1所述的一种基于大数据的自适应网络安全态势评估模型，其特征在于：所述数据预处理模块在对采集到的网络数据进行预处理时，包括以下步骤：步骤一：对收集到的原始数据进行降维操作；步骤二：利用经过粒子群优化算法优化后的K
‑
均值算法在降维后的数据记录中根据数据特征进行聚类划分，并强化数据记录的特征。3.根据权利要求2所述的一种基于大数据的自适应网络安全态势评估模型，其特征在于：在对收集到的原始数据进行降维操作，采用基于特征分解的降维算法，包括以下步骤：步骤一：根据公式推导出原始数据的协方差矩阵的特征向量和特征值，得到相应的特征矩阵；步骤二：通过对原始数据的特征矩阵(M*N)的变换，得到了临时对角矩阵(K*K）；步骤三：通过对临时对角矩阵（K*K）的特征分解得到的特征向量与特征值；步骤四：将原始数据的特征矩阵与得到的特征向量一起处理，得到经过预处理后的矩阵。4.根据权利要求3所述的一种基于大数据的自适应网络安全态势评估模型，其特征在于：所述数据筛选模块在对经过数据预处理模块处理后的数据进行筛选时，采用FP
‑
Growth算法对经过数据预处理模块处理后的数据进行筛选，具体的，包括以下步骤：步骤一：找出初始数据中的一维频繁项集和编码；步骤二：根据一维频繁项集对初始数据进行分组；步骤三：为每个分组数据构建一棵FP
‑
tree；步骤四：对构建的每一棵FP
‑
tree挖掘频繁项集；步骤五：将在每一棵树中挖掘出的频繁项集汇总到一起生成最终的全局频繁项集。5.根据权利要求4所述的一种基于大数据的自适应网络安全态势评估模型，其特征在于：所述在线模块包括数据库，所述数据库用于对攻击和异常的数据的模板数据进行记录，所述在线模块在对数据预处理模块处理后的数据进行实时监测时，包括以下步骤：步骤一：将数据预处理模块处理后的数据T={t1，t2...t
n
}进行标准化处理，其中，t
n
为数
据T的第n个特征属性；其中，通过公式对数据T进行标准化处理，其中t
j
为数据T的第j个特征属性,t

【专利技术属性】
技术研发人员：李权，汤富彬，
申请(专利权)人：成都工业职业技术学院，
类型：发明
国别省市：