[发明专利]一种具有自适应的分布式智能决策方法

摘要

本发明属于数据安全领域，具体涉及一种具有自适应的分布式智能决策方法。本发明针对实时监控日志及操作请求日志的生成模式进行发掘，检测可能存在的异常，将神经网络在模式识别中的优势与知识的推理理论结合起来，在综合多个相邻节点信息的基础上，引入自适应的机制，以分布式的方式进行入侵检测，同时将决策过程放入分布的节点而不是中央控制台，减少了网络传输，提高了分布式决策的速度。本发明综合相邻节点的信息反馈，进行自适应调整，并且不依赖全局信息，减少了数据传输，能有效检测出单一节点难以检测出入侵的数据。

主权项

一种具有自适应的分布式智能决策方法，具体步骤如下：S1.数据预处理；S11.定义预定义知识库；预定义知识库由入侵规则集组成，每一种入侵手段所对应的规则集对应一个预定义知识库，初始化为空；这些预定义知识库还包含两个属性：种类和权重，种类用来标识预定义知识库对应的入侵手段，权重表示该预定义知识库的规则对当前环境的重要程度，权重的范围为0到1；S12.提取预定义知识库的环境特征；针对不同类型的入侵方式，获取该入侵方式的知识，加入到对应的预定义知识库，对所有预定义知识库获取完知识之后，将知识进行求并集获得知识总库，并根据知识所适用的入侵方式，定义一个布尔矩阵E来表示该知识所适用的环境，即用来表示其所属预定义知识库；然后建立知识关系表，用以表示知识之间的从属关系；S2.节点环境识别；对每个节点的数据提取特征，使用其产生的矩阵M来描述节点所处的环境；S21.产生特征；选取报文长度、字符频率、来源区域、端口号、协议类型和时间以及它们的各种变形与转换，采用加权移动平均Weighted Moving Average，WMA方法将数据进行平滑处理；S22.对S21步骤产生的特征数据进行降维处理；首先通过Clamping Network计算所有特征对结果的影响，然后根据影响按照从大到小进行排序Ranking，再按照排序结果，依次将特征增加到测试特征集中，测验组合对结果准确度的影响，若精确度提升超过阈值a1，则将该特征保留，若精确度下降超过阈值a2，则将其剔除，否则，将其放回排序结果列表的末尾，0.01≤a1≤0.1，0.01≤a2≤0.1；所述测试特征集用来测试特征对结果的影响，初始化为空集；S23.使用人工神经网络进行模式识别；使用神经网络对S22的输出数据进行训练，神经网络训练完成后得到矩阵M，每个矩阵的元素代表着该节点属于对应环境的置信度；S3.产生本地知识库；根据步骤S2环境识别的结果来产生自身的知识库即本地知识库，本地知识库拥有的矩阵W每个元素代表对应的预定义知识库的基础权重baseWeight，初始化为0.1‑1，具体步骤如下：S31.选择知识；将预定义知识库的权值矩阵W，点乘每个知识的布尔矩阵E，得到结果N，将N与M相加，若相加的结果中存在大于1的值，则选择该知识；S32.知识融合；若步骤S31所选择的知识包含冲突的知识，则需要进行知识融合，将知识间冲突的部分作为额外条件属性加入到冲突知识元素中，重复这个步骤直至找不到更多的条件属性时，开始对冲突的知识进行融合；S4.推理；建立好本地知识库之后，对实时数据进行判断，若应用知识规则之后能做出判断为入侵或非入侵则做出决策，否则不能做出决策；S5.自适应调整；对做出的决策进行评估，动态调整本地知识库的矩阵W，如S3所述，该矩阵每个元素代表对应的预定义知识库的baseWeight，具体步骤如下：S51.若做出决策，则使用下式更新包含做出决策所使用的知识的预定义知识库的baseWeight，无论该决策是否正确；Wnew=Wold*[1+(Qidlepb/Qallpb)]*(Qalllb/Qall)]]>其中，Wnew是更新后的baseWeight，Wold是更新前的baseWeight，是预定义知识库中未被选进该节点本地知识库的知识数量，是该预定义知识库的知识数量，是该节点所包含的知识数量，Qall是系统的知识元素的总数量；若决策出错，则按照下式更新权重，用以惩罚作出该决策所依据的知识元素的预定义知识库；Wnew=Wold*[1-(Qactpb/Qallpb)*α]]]>其中，是既在该本地知识库又在预定义知识库中的知识数量，α是经验参数用以控制步长，取0‑1的小数；若在S4过程中，使用知识但未作出任何决策，则使用如下公式对baseWeight进行更新，用来惩罚对该知识的不当使用；Wnew=Wold+(Wold-Wold)‾*(QidleALL/Qall)]]>其中，是更新前所有baseWeight的平均值，是没有被选入当前节点的本地知识库的知识数量；S52.全局自适应调整；对于每个节点，当决策次数达到10‑30次时，将进行全局自适应调整，全局自适应调整考虑这段时间内所做的所有决策和与该节点直接相连的节点的信息，使用下式进行更新：WGWA=(Wpre-Wglobalpre‾)*[(Qusedlb/QactALL)+E]*β]]>其中，WGWA是全局权重调整参数；β是用来控制步长的参数，取0‑1的小数；是做决策所用的知识数量；E是系统性能评估，表示决策正确率，0≤E≤1；是所有本地知识库包含的所有知识的数量；Wpre是该节点的本地知识库上一次baseWeight；是该节点和周围节点的本地知识库在这段时间内的baseWeight的平均值；对于此次全局自适应调整的所用到的节点，用以下公式更新其baseWeight：Wnew＝Wold+WGWAS53.决定是否重建本地知识库；对进行全局自适应调整之后的节点，若如下不等式成立，将重新构建本地知识库，即从步骤S2重新开始；Σ|Wcur-WpreWpre|≥(1-QerrlbQalllb)*Wlocalpre‾]]>其中，Wcur是当前节点预定义知识库的当前baseWeight，Wpre是该知识库上一次baseWeight，求和表示要考虑所有预定义知识库，是用在不正确决策中的知识数量，是该节点所包含的知识数量是当前节点知识库上一次所有baseWeight的平均值。