一種基于決策樹算法的網絡安全三元組異常檢測方法
【技術領域】
[0001] 本發明設及網絡信息安全技術領域,特別是一種基于決策樹算法的網絡安全=元 組異常檢測方法。
【背景技術】
[0002] 目前,我國互聯網網絡安全防護體系仍處于萌芽階段,沒有核屯、技術的支撐,缺乏 統一的網絡安全保障體系標準,無法形成全面覆蓋、動態跟蹤的網絡安全保障格局。當前網 絡安全檢測方法仍存在對網絡環境中事件缺乏過濾、分類模糊等問題。熱點事件模型檢測 方法雖然能通過事件的數量判斷異常最為頻發的事件,但是減少了對控制IP地址和被控IP 地址的研究。入侵系統的查詢模型檢測方法雖然能夠及時發出警示,但是沒有對事后異常 的判斷。B化a訪問控制模型檢測方法提供了分級別的完整性保證,但在一定程度上卻忽視 了保密性。P2P網絡安全模型檢測方法,雖然能一針見血地分析網絡安全威脅,但是卻局限 在了 P2P網絡范圍內,不能夠跨網絡跨范圍地對威脅進行解釋。
【發明內容】
[0003] 本發明的目的在于克服現有技術的不足,提供一種設計合理、篩選精細且分類清 晰的基于決策樹算法的網絡安全=元組異常檢測方法。
[0004] 本發明解決其技術問題是采取W下技術方案實現的:
[0005] -種基于決策樹算法的網絡安全=元組異常檢測方法,包括W下步驟:
[0006] 步驟1、根據網絡設備提供的異常事件數據,通過數據挖據的決策樹算法對大量數 據進行篩選,獲得需要的有效參數;
[0007] 步驟2、將決策樹篩選歸納出來的異常事件數據根據異常事件的IP地址的分布狀 況的不同,進行異常種類識別、分類并記錄到對象數據庫中;
[000引步驟3、根據參數要求,對對象數據庫中的異常事件數據組進行參數分析后判定其 異常的程度,再將分析結果寫入態勢數據庫并生成網絡安全威脅和異常報告;
[0009] 步驟4、對于嚴重異常事件進行警示提醒。
[0010] 而且,所述步驟1的具體步驟包括:
[0011] (1)根據網絡設備提供的異常事件數據集生成決策樹;
[0012] (2)通過賭值判斷法判定是否需要對生成的決策樹進行優化,進而對異常事件數 據進行篩選歸納,獲得需要的有效參數。
[0013] 而且,所述步驟2是利用異常事件的地址分布賭計算異常事件的IP地址的分布狀 況,進而進行異常種類識別,所述異常事件的地址分布賭計算方法包括W下步驟:
[0014] (1)采用化Sh算法將32位的IPv4地址映射為16位的整數;
[0015] (2)通過公式
計算源IP地址分布賭W及目的IP 地址分布賭;其中,芯=C,
[0016] 上述公式中,Ci為經化Sh運算后的IP地址出現的次數;E為當前觀測周期內總IP地 址的個數。
[0017] 而且,所述步驟3的判定數據組異常程度具體方法為: 礦-//〇..< 2.33《掃;當前指標正常 2.3:3(? <3.1&;當前指標輕度異常 WDW 3.1《〇如-//。<3.72令當前指標中度異常 一 s-//〇;^3.72如當前指標嚴重異常
[0019] 上述表達式中,y〇、S〇分別表示各個基準指標的正態分布模型的均值和方差;S為當 前該地址分布賭的實時值。
[0020] 而且,所述步驟1的第(1)步的具體步驟包括:
[0021] ①將網絡設備提供的異常事件數據的所有記錄作為一個節點開始;
[0022] ②測試每個異常事件數據變量的每一種分割方式,找到最好的分割點,形成決策 樹節點。
[0023] 而且,所述步驟1的第(2)步中通過賭值判斷法判定是否需要對生成的決策樹進行 優化的具體方法為:
[0024] ①通過如下公式求解決策樹節點的賭值,W該賭值的大小量化決策樹節點的分類 純度;
[002引故。-尸(驢log:戶(..');其中,P( j)=第J類總數目/總數目;
[0026] ②若節點賭值小于規定闊值,則判定需要對決策樹進行檢驗、校正和修改。
[0027] 而且,所述對象數據庫和態勢數據庫分別存儲每個異常事件的信息,該信息包括 每個異常事件的編號、事件類型、事件種類編號、事件名稱、源IP地址、目的IP地址、源端口、 目的端口、源IP專用地址、源IP通用地址、目的IP專用地址、目的IP通用地址、IP專用地址庫 編號、重點單位編號、導入時間和報警發生時間。
[002引本發明的優點和積極效果是:
[0029]本發明通過數據挖掘的決策樹算法對網絡設備提供的異常事件數據進行過濾、篩 選、分類,將挑選濾后的網絡威脅事件的相關參數放入檢測模型的入口,通過對網絡安全異 常事件參數中的源、目的IP地址和事件類型進行充分分析,判斷該威脅是否異常W及異常 的程度的同時判斷異常事件擴散趨勢W及被控制主機的感染趨勢。
【附圖說明】
[0030]圖1是本發明的處理流程不意圖;
[0031 ]圖2是本發明的決策樹算法計算流程示意圖。
【具體實施方式】
[0032] W下結合附圖對本發明實施例作進一步詳述:
[0033] -種基于決策樹算法的網絡安全=元組異常檢測方法,如圖1所示,包括W下步 驟:
[0034] 步驟1、根據網絡設備提供的異常事件數據,通過數據挖據的決策樹算法對大量數 據進行篩選,獲得需要的有效參數;
[0035] 所述步驟1的具體步驟如圖2所示,包括:(1)根據網絡設備提供的異常事件數據集 生成決策樹。該步驟(1)的具體計算過程為:
[0036] ①將網絡設備提供的異常事件數據的所有記錄作為一個節點開始;
[0037] ②測試每個異常事件數據變量的每一種分割方式,找到最好的分割點,形成決策 樹節點。
[0038] (2)通過賭值判斷法判定是否需要對生成的決策樹進行優化,進而對異常事件數 據進行篩選歸納,獲得需要的有效參數。決策樹需不需要優化是根據決策樹節點分類的純 度來決定的。量化純度有許多種方法,本發明通過計算決策樹節點的賭值來判斷的。所述通 過賭值判斷法判定是否需要對生成的決策樹進行優化的具體方法為:
[0039] ①通過如下公式求解決策樹節點的賭值,W該賭值的大小量化決策樹節點的分類 純度;
[0040] ..W =-Z:_,尸〇')*!雌:尸0.)巧中,P(j)=第j類總數目/總數目;
[0041] ②若節點賭值小于規定闊值,則判定需要對決策樹進行檢驗、校正和修改。
[0042] 賭值越小,表示節點越準確,決策樹越純。當賭值小于規定的闊值的時候,即可對 決策樹進行優化,一般選擇修剪枝葉的方式。
[0043] 步驟2、將決策樹篩選歸納出來的異常事件數據,利用異常事件的地址分布賭計算 異常事件的IP地址的分布狀況,并根據異常事件的IP地址的分布狀況的不同,進行異常種 類識別、分類并記錄入到象數據庫中。
[0044] 所述異常事件地址分布賭的計算方法包括W下步驟:
[0045] (1)采用化Sh算法將32位的IPv4地址映射為16位的整數;
[0046] (2)通過公式
log;億計算源IP地址分布賭W及目的IP 地址分布賭;其中,£ = SiT C,
[0047] 上述公式中,Cl為經化Sh運算后的IP地址出現的次數;E為當前觀測周期內總IP地 址的個數。
[004引該步驟2的計算原理是:
[0049] IP地址越混亂,分布