[发明专利]一种具有自适应的分布式智能决策方法

说明书

本发明属于数据安全领域，具体涉及一种具有自适应的分布式智能决策方法。本发明针对实时监控日志及操作请求日志的生成模式进行发掘，检测可能存在的异常，将神经网络在模式识别中的优势与知识的推理理论结合起来，在综合多个相邻节点信息的基础上，引入自适应的机制，以分布式的方式进行入侵检测，同时将决策过程放入分布的节点而不是中央控制台，减少了网络传输，提高了分布式决策的速度。本发明综合相邻节点的信息反馈，进行自适应调整，并且不依赖全局信息，减少了数据传输，能有效检测出单一节点难以检测出入侵的数据。

技术领域

本发明属于数据安全领域，具体涉及一种具有自适应的分布式智能决策方法。

背景技术

入侵检测常用的技术包括专家系统，模式匹配(例如神经网络等)以及基于统计方法的技术。但近年来的研究热点越来越集中于神经网络，这是因为其有更好地处理原始数据的随机特性，不需要对这些数据作任何统计假设，同时，它也有较好的抗干扰能力。

然而，仅仅使用神经网络作为入侵检测的主要技术也有许多的局限性；同时，当前对于入侵检测的研究一般都局限于单一检测点，而当前网络攻击手段向分布式方向发展，单一节点难以检测出入侵的数据，破坏性和隐蔽性也越来越大，这些研究普遍采用综合多个探测节点的信息并由一个中央控制台进行处理和分析。但考虑到网络传输带来的延时问题，大规模网络带来的大量检测负荷，将使这种架构的入侵检测面临诸多困难。

发明内容

针对上述存在问题或不足，本发明提供了一种具有自适应的分布式智能决策方法，针对实时监控日志及操作请求日志的生成模式进行发掘，检测可能存在的异常。

本发明的步骤如下：

S1.数据预处理。

S11.定义预定义知识库；预定义知识库由入侵规则集组成，每一种入侵手段所对应的规则集对应一个预定义知识库，初始化为空。这些预定义知识库还包含两个属性：种类和权重，种类用来标识预定义知识库对应的入侵手段，权重表示该预定义知识库的规则对当前环境的重要程度，权重的范围为0到1。

S12.提取预定义知识库的环境特征；针对不同类型的入侵方式，获取该入侵方式的知识，加入到对应的预定义知识库，对所有预定义知识库获取完知识之后，将知识进行求并集获得知识总库，并根据知识所适用的入侵方式，定义一个布尔矩阵E来表示该知识所适用的环境，即用来表示其所属预定义知识库。然后建立知识关系表，用以表示知识之间的逻辑关系。

S2.节点环境识别；对每个节点的数据提取特征，使用其产生的矩阵M来描述节点所处的环境。

S21.产生特征；选取报文长度、字符频率、来源区域、端口号、协议类型和时间以及它们的各种变形与转换，采用加权移动平均(Weighted MovingAverage，WMA)方法将数据进行平滑处理。

S22.对S21步骤产生的特征数据进行降维处理。首先通过ClampingNetwork计算所有特征对结果的影响，然后根据影响按照从大到小进行排序(Ranking)，再按照排序结果，依次将特征增加到测试特征集(用来测试特征对结果的影响，初始化为空集)中，测验组合对结果准确度的影响，若精确度提升超过阈值a1(0.01-0.1)，则将该特征保留，若精确度下降超过阈值a2(0.01-0.1)，则将其剔除，否则，将其放回排序结果列表的末尾。

S23.使用人工神经网络进行模式识别。使用神经网络对S22的输出数据进行训练，神经网络训练完成后得到矩阵M，每个矩阵的元素代表着该节点属于对应环境的置信度。

S3.产生本地知识库。每个节点所使用的入侵规则集与该节点所处的环境相关，因此，需要根据步骤S2环境识别的结果来产生自身的知识库即本地知识库。本地知识库拥有一个矩阵W，其中每个元素代表对应的预定义知识库的基础权重(baseWeight，初始化为0.1-1)。具体步骤如下：