[发明专利]一种网络安全态势模型训练方法、识别方法及识别装置

说明书

技术领域

本发明属于计算机网络安全、机器学习技术领域，具体涉及一种网络安全态势模型训练方法、识别方法及识别装置。

背景技术

近年来，随着移动互联网和智能终端时代的到来与普及，人们的线上行为越来越频繁，营销规模越来越大，各种社交网络组成了复杂、异构的大规模网络。然而，由于通信网络存在可移动性、可扩展性、大规模性、泛在性等特性，在网络渗入人们社会生活的同时，也成为黑客攻击的首要目标，导致网络安全漏洞数量持续快速增长。因此，安全问题必将成为未来大规模网络首要解决的问题。

互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的共享、开放、灵活和快速等需求得到满足。网络环境为共享、交流、服务创造了理想空间的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题：泄漏、污染、不易受控。

参考专利文献CN106453293A公开了一种基于混沌理论与神经网络相结合的网络安全态势预测方法，包括采用互信息法和cao氏法对归一化后的网络安全态势值序列集合进行处理得到网络安全态势样本值的最佳嵌入维数并进行相空间重构，分析重构后样本的最大李雅普诺夫指数来得到评估出来的样本是否具有混沌预测性；根据非线性时间序列的特点与经验确定反向传播神经网络的输出层与隐含层的节点数；利用改进的萤火虫算法进行参数寻优，从而确定网络权值和偏置值，建立网络安全态势的预测模型；测试样本输入到BP神经网络中进行预测，并将得到的预测值反归一化。参考专利文献CN106302522A公开了一种基于神经网络和大数据的网络安全态势分析方法和系统，该系统包括数据采集模块、数据分析模块和态势预测模块，数据采集模块在Flume组件上实现分布式的大数据采集；数据分析模块基于MapReduce并行化计算框架实现大数据的分布式处理；前两个模块包含在神经网络的输入层中，通过隐含层对输入层数据的融合处理传送给输出层，输出层通过局部态势判决结果，得出总体的安全态势分析预测情况，将这些有价值的数据存储在HBASE数据库中方便后续查询和展示。

上述参考专利文献对于网络安全态势的分析预测，均采用的是神经网络算法，神经网络算法具有以下缺点：1.局部极小化问题，导致每次训练得到不同的结果；2.神经网络算法的收敛速度慢；3.神经网络结构选择不一；4.神经网络预测能力和训练能力存在一定的矛盾。

发明内容

针对现有技术存在的不足之处，本发明提出了一种网络安全态势模型训练方法、识别方法及识别装置，该训练方法为特征空间上的间隔最大的线性分类器，其学习模型便是间隔最大化，最终可转化为一个凸二次规划问题的求解，在网络入侵感知过程，充分地参考历史网络攻击数据，预测未来网络数据流中潜在的威胁，提升网络安全感知的准确度，降低预测误差。

本发明采用如下技术方案：

一种网络安全态势模型训练方法，它包括以下步骤：

S101、获取网络数据；

S102、从所述网络数据中提取网络数据样本；

S103、处理提取的网络数据样本，对网络数据进行分析，得到网络数据的属性值，将网络数据的属性值与网络数据是否安全对应；

S104、对网络数据属性值进行分析处理，得到网络数据属性值的特征向量；

S105、通过网络数据属性值的特征向量，确定线性分类器的参数。

进一步的，步骤S102中网络数据样本包括安全的网络数据样本和不安全的网络数据样本。

进一步的，步骤S103中网络数据的属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制协议端口中的至少一种。

进一步的，步骤S105线性分类器采用支持向量机模型。

一种网络安全态势识别方法，包括以下步骤：

S201、获取网络数据；

S202、处理网络数据，得到网络数据的属性值，对网络数据属性值进行分析处理，得到网络数据属性值的特征向量；

S203、将网络数据属性值的特征向量输入线性分类器；

S204、根据线性分类器的输出结果对所获取的网络数据进行分类识别。

进一步的，步骤S204的分类识别包括：

若线性分类器输出结果大于零，则表示获取得的网络数据安全；

若线性分类器输出结果小于零，则表示获取得的网络数据不安全。

进一步的，步骤S202中网络数据的属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制协议端口中的至少一种。