[发明专利]一种基于信息网络关系预测的安全监控防御方法及系统

权利要求书

1.一种基于信息网络关系预测的安全监控防御方法，包括以下步骤：

(1)获取并存储网络数据特征参数，所述特征参数包括：网络节点ID号V_id、网络节点类型名称V_name、节点链接类型V_cname、节点连接地址、节点事件，其中节点连接地址包括节点IP地址V_ip、节点端口号V_port、节点连接的源IP地址V_sip、源端口号V_sport、目的IP地址V_dip、目的端口号V_dport，节点事件包括V_t，建立特征参数向量V＝[V_id,V_name,V_cname,V_ip,V_port,V_sip,V_sport,V_dip,V_dport,V_t]，并进行加密存储、传输；

(2)网络节点类型判断，根据网络数据的特征参数，判断待分析节点属于同质网络信息还是异质网络信息，如果为同质网络信息，转到步骤(3)，否则转到步骤(4)；

(3)同质网络信息关系预测，基于非监督学习进行同质网络信息关系预测，计算两个节点之间的所有路径，路径数随着路径长度呈指数衰减，这就可以给更短的路径以更高的权重，

分别为源地址到v_i、v_j的所有路径的集合，β为拓扑特征的权重系数，得出预测参数，更新特征参数向量V中连接关系，执行步骤(5)；

(4)异质网络信息关系预测，基于监督学习进行异质网络信息关系预测，给定元路径F_i，根据元路径提取的拓扑特征并组成特征向量x_i，标签y_i＝1表示目标关系R_i存在，否则目标关系R_i不存在,

通过在训练集{(x₁,y₁),(x₂,y₂),…(x_n,y_n)}上，求解公式③的最大似然估计得出预测模型，更新特征参数向量V中连接关系，执行步骤(5)；

(5)信息网络风险检测评估，根据节点网络信息关系预测模型得到的连接关系，对无法检测到对重要服务器进行的入侵行为进行预测性检测，计算风险等级，定义综合风险函数D：

D＝o×γ₁+m×γ₂+n×γ₃ ④

式中：

[o,m,n]＝[f₁(V),f₂(V),f₃(V)] ⑤

o表示反馈信息，对应权重为γ₁,m表示检测结果，对应权重为γ₂,n表示评估结果，对应权重为γ₃，γ₁+γ₂+γ₃＝1，f₁为反馈信息函数,f₂为检测结果函数,f₃为评估结果函数,根据D值范围确定风险等级，从而确定可信设备列表L_s、潜在风险设备列表L_w、风险设备列表L_d；

(6)根据设备类型实施安全防御策略。

2.根据权利要求1所述一种基于信息网络关系预测的安全监控防御方法，其特征在于步骤(2)中判断待分析节点属于同质网络信息还是异质网络信息具体包括：判断节点是否属于同一种类型，并判断节点之间的链接是否属于同一种类型，如果两者都为同种类型，则为同质网络信息，否则为异质网络信息。

3.根据权利要求2所述一种基于信息网络关系预测的安全监控防御方法，其特征在于步骤(5)中入侵行为包括记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间。