[发明专利]一种木马事件预测方法

说明书

技术领域

本发明属于网络安全，尤其涉及木马事件预测方法。

背景技术

当前，随着信息技术的高速发展，互联网的网络规模，网络信息量以及网络应用等都在不断增长。互联网在涉及到人们生活的各方面领域，如政治，商业，金融，文教，通信等，发挥着越来越重要的作用。但是互联网在带给人们极大便利的同时，也面临着越来越多的网络安全事件。

网络安全事件预测技术是在充分收集当前网络流量状况、获取网络历史安全事件发生情况的基础之上进行预测的一门技术。由于木马攻击在大规模网络下的安全事件中占很大比例，通过对未来时刻网络中木马事件发生数量进行预测，一方面可以方便网络管理人员对整个网络的大体情况有一个初步的判断，并根据判断的情况制定与之相符的网络安全策略，另一方面可以提前预判将要发生的网络灾害或者攻击，并且在灾害和攻击发生之前及时采取应对措施，把问题消灭在萌芽状态。

现有的木马事件预测方法有如下几种：

线性回归方法：以经典的自回归滑动平均模型为代表，这类方法认为未来木马事件发生数量是受以前数量和噪声的直接影响，因此预测值即是历史数据和噪声数据的加权求和，表达式如下：

其中p为自回归模型阶数，q为滑动平均模型阶数，x为历史观测数据，(i＝1，2，L，p)，θ_j(j＝1，2，L，q)分别为自回归参数和滑动平均参数。其特点是模型简单，容易实现，但是其一方面需要用户正确的配置模型的参数，这需要用户具备相应的领域经验，限制了算法的使用，另一方面对该方法对预测函数的逼近不够准确，所以预测效果不够好。

基于规则发现的方法：如时序规则发现，这类方法是通过根据频繁项集在时间上的先后顺序，推出它们的时序关联规则，并根据这个规则对后面将要发生的时间进行预测。这种方法由于不能对预测这种复杂非线性问题建立一个结构清晰的模型，所以预测效果不够好。

发明内容

因此，本发明的目的在于针对网络中木马事件发生数量预测的问题，提供一种基于二叉树建模的预测方法来满足网络安全对木马事件发生数量的预测准确度，时间复杂性等方面的要求。

本发明的目的是通过以下技术方案实现的：

本发明提供了一种木马事件预测方法，包括以下步骤：

步骤1)确定终端集和函数集，所述终端集包括变量和常数，所述函数集中的元素则是用来对终端集中的元素进行操作的运算符；

步骤2)根据终端集和函数集随机生成一系列函数表达式，所述函数表达式用于计算当前木马事件发生数量，其输入为历史时间段中木马事件发生的数量；

步骤3)将每个函数表达式用二叉树的形式来表示，所述二叉树的根节点在函数集随机选取，中间节点可在函数集和终端集中随机选择，叶节点在终端集中随机选择；

步骤4)将整个二叉树群体作为初始的父代群体，以根据所述函数表达式所计算出的当前网络中木马数量与实际的木马数量的差值作为对适应度的评价来对所述初始的父代群体执行遗传算法；

步骤5)利用步骤4)最终生成的最佳个体所对应的所述差值最小的函数表达式来对网络中将来的木马事件的发生数量进行预测。

根据本发明实施例的木马事件预测方法，其中，在步骤3)之前还包括对终端集和函数集进行编码的步骤：对终端集和函数集中的每个的元素以自然数进行编码。

根据本发明实施例的木马事件预测方法，其中，步骤3)中每棵树的最大深度取4～6。

根据本发明实施例的木马事件预测方法，其中步骤4)包括以下步骤：

步骤4-1)对父代群体进行适应度评价，从父代群体中选择要进行遗传操作的子代群体；

步骤4-2)对步骤4-1)得到的子代群体执行交叉操作和变异操作；

步骤4-3)将步骤4-2)得到的二叉树群体作为父代群体，重复执行步骤4-1)、4-2)和4-3)，直到满足指定的重复次数为止。

根据本发明实施例的木马事件预测方法，其中步骤4-1)包括以下步骤：采用轮盘赌的方法来从父代群体中选择适应度高的二叉树群体；对所选中二叉树群体中的每颗树执行复制操作；将所复制的二叉树群体作为子代群体。

根据本发明实施例的木马事件预测方法，其中，步骤4-2)中交叉概率为0.9；变异概率为0.05。步骤4-3)中所述的重复次数为100次。