[发明专利]一种基于CAVWNB_KL算法的操作系统识别方法

说明书

本发明公开了一种基于CAVWNB_KL算法的操作系统识别方法，分析nmap中的操作系统识别规则，从拆分出的大量数据集中抽出M万数据作为训练数据，同样的方法再次抽出m万数据作为模拟测试数据；将得到的M万数据进行封箱操作；使用KL散度计算属性与类之间的关联度作为每个属性的权值；将预处理过的M万数据计算先验概率和后验概率，作为指纹存储；取m万数据集计算出测试精度衡量指标；计算真实流量的测试精度；将采集到的真实流量进行筛选，以贝叶斯增量学习的方式增量训练，修正原有的指纹模型，完成识别。本发明采用CAVWNB_KL算法，极大的缓解了朴素贝叶斯属性间要求的独立的条件，提高了分类精度。

技术领域

本发明属于网络安全技术领域，具体涉及一种基于CAVWNB_KL (Correlation-based Atrribute Value Weighted Naive Bayes_KL)算法的操作系统识别方法。

背景技术

在网络安全领域，安全的对象是资产，其中操作系统又是资产的一大类别，目前对于操作系统的高误报率是安全资产管理客户的一大痛点，因此，如何准确识别操作系统，提高操作系统的识别率一直是网络安全领域的一大热点问题。

目前在网络安全领域，对于操作系统的识别，大多采用现场采集指纹，多用的是类似于二分类的方法，即通过一个一个的对比插件识别，且人工识别规律，造成识别精度低，容易漏报误报的问题，并且由于二分类标尺不一致，对于训练数据要求也较高，一般很难满足。

随着机器学习的发展，各类算法已经在不同的领域解决了许多实际问题，其中贝叶斯算法作为机器学习的十大经典算法之一，处理很多问题时直接又高效，因此在很多领域有着广泛的应用，也为降低操作系统的误报率提供了可能。但是简单的朴素贝叶斯算法对于属性间独立的条件可能会降低分类的精度。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种基于CAVWNB_KL算法的操作系统识别方法，通过对模拟数据的训练，输出指纹，降低操作系统的误报率采用CAVWNB_KL算法，极大的缓解了朴素贝叶斯属性间要求的独立的条件，提高了分类精度。

本发明采用以下技术方案：

一种基于CAVWNB_KL算法的操作系统识别方法，包括以下步骤：

S1、分析nmap中的操作系统识别规则，按照nmap指纹库拆分数据，加上类标记，并映射成N列的数字向量，从拆分出的大量数据集中抽出M万数据作为训练数据，同样的方法再次抽出m万数据作为模拟测试数据；

S2、将得到的M万数据进行封箱操作；

S3、使用KL散度计算属性与类之间的关联度作为每个属性的权值；

S4、将预处理过的M万数据，输入NB算法模型，计算先验概率和后验概率，作为指纹存储；

S5、取步骤S1的m万数据集，经过同样的数据预处理封箱过程，将向量输入训练好的指纹模型通过CAVWNB_KL算法计算出每条流量的最大后验概率，计算出测试精度衡量指标；

S6、模仿nmap的发包方式，通过向目标网段发包的方式，采集真实流量，将真实流量输入指纹模型，预测结果，计算真实流量的测试精度；

S7、将采集到的真实流量进行筛选，选择其中没有噪声，且nmap指纹库中缺失的规则，以贝叶斯增量学习的方式增量训练，修正原有的指纹模型，完成识别。

具体的，步骤S1中，选取nmap指纹库的响应序列作为特征，筛选逻辑独立的维度，按照蒙特卡洛方法选取训练数据和模拟测试数据。

具体的，步骤S2中，对于M万数据的每一个维度，将该维度的所有数据取出，去重，按从小到大排序，然后将排序后的数据均分到k个区间内，则每个区间内的数字被映射成区间的编号。