[发明专利]基于联系发现技术的网络入侵预测方法

说明书

技术领域

本发明涉及计算机网络安全技术领域，特别涉及一种基于联系发现的网络入侵预测方法。

背景技术

现在信息和网络技术广泛而深入地渗透到商业、金融、科研、教育、军事以及人们日常生活的各个领域，根据中国互联网络信息中心(CNNIC)与2011年7月19日发布的《第28次中国互联网络发展状况统计报告》，截止2011年6月31日，中国网民规模达4.85亿人，普及率达到36.2％。网民数量较2010年底增长2770万人。目前，网络游戏、QQ聊天、网上银行和网上炒股等互联网应用曰益流行，用户在这些应用中的账户直接关系到用户在现实世界中的财产，因此网络和信息安全对人们生活甚至国家安全的影响越来越重要。而随着网络技术的发展，网络犯罪活动也日趋猖狂，网站挂马，盗号，服务器攻击等情况屡见不鲜。尤其是网络服务器攻击，攻击者越来越多，攻击工具与手法日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。另一方面，网络环境也越来越复杂，各式各样的、需要不断升级和补漏的系统使得网络管理员的工作量不断加重，不经意的疏忽便有可能造成安全的重大隐患。

网络入侵预测是防火墙的有力补充，帮助系统预先识别网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中不断或者间断的监视用户及系统活动，收集信息，并分析这些信息，然后进行异常模式的统计分析，识别反映已知进攻的活动模式，如有异常则发出警报。但是，由于“大数据时代”的来临，信息量呈现出爆炸式增长，网络数据往往呈现出流式特性，主要体现在以下几个方面：(1)数据是实时非匀速到达的；(2)数据达到次序独立，不受系统控制；(3)数据持续到达，其数量不可预知且原则上只能被访问一次或有限几次。网络攻击行为与以往已经有较大区别，攻击行为往往潜伏在正常的网络活动中，前期不易发觉，一旦爆发后果极其严重，且发起攻击或者被当成“肉鸡”(肉鸡就是被黑客攻破，种植了木马病毒的电脑，黑客可以随意操纵它并利用它做任何事情，就像傀儡。)的网络基点关系错综复杂，传统的数据处理方法已已不能有效地对这类数据进行处理，很难快速准确地找到入侵风险较高的关键网络基点。

发明内容

针对网络数据量大且呈现出流式，不能快速准确找到入侵风险较高的关键网络基点的问题，本发明提出基于联系发现技术的网络入侵预测方法，提供一种新的网络入侵行为预测方法以预测“大数据时代”的网络入侵行为，提前预测出入侵风险较高的关键网络基点。

为实现以上目的，本发明的基于联系发现技术的网络入侵预测方法，包括：

步骤A、获取网络基点的网络数据，进行处理生成目标数据；

步骤B、利用目标数据计算网络基点间的相关系数；

步骤D、计算网络基点的加权度WD_i；

步骤E、计算网络基点的加权聚集系数WC_i；

步骤F、根据网络基点的加权聚集度WD_i及加权聚集系数WC_i计算各网络基点的加权综合特征值WCF_i；

步骤G、对各网络基点的加权综合特征值WCF_i排序，找出关键网络基点；

其中，所述网络基点为受监控的服务器、终端或者路由设备中的任意一种或者任意几种的组合，i为网络基点序号，1≤i≤N，N为网络基点个数。

作为一种优选实施方式，在步骤B之后，包括步骤C、利用网络基点间的相关系数，构建网络基点间的完全加权图。

所述构建网络基点间的完全加权图为，利用相关系数构建网络基点间的加权图边的权值，重复此过程，得到某段时间内所有数据对象所访问的网络基点间的完全加权图。

优选的，还包括对完全加权图进行优化，即设定完全加权图边的权值的阈值，删除权值小于阈值的边，即将小于阈值的完全加权图边的权值设置为0。

作为另一种优选实施方式，在步骤G之后，包括对访问关键网络基点的数据对象自身信息进行分析，判断数据对象是否有入侵倾向。

优选的，步骤A所述获取网络基点的网络数据，进行处理生成目标数据为，首先采集各受监控的网络基点的访问数据，然后对采集的数据进行处理生成目标数据；

所述访问数据包括数据对象在时间段T内所访问的所有网络基点的访问流量、数据的访问行为或者数据对象自身信息的任意一种或任意几种的组合；