[发明专利]一种面向数据服务的自适应入侵响应博弈方法及其系统

权利要求书

1.一种面向数据服务的自适应入侵响应博弈方法，其特征在于：包括以下步骤：

步骤1：发现入侵攻击行为；

步骤2：根据IDS响应和用户入侵造成的影响定义变量，构建博弈模型；所述变量包括：用户因入侵成功而获得的正效用、执行一次入侵响应所需成本、惩罚给入侵者带来的负效用、检测成功后对数据的恢复、成功入侵对数据带来的破坏成本和数据入侵检测系统成功响应的概率；

步骤3：基于博弈模型和期望效用函数理论建立检测系统和用户的支付函数g_system和g_user：

g_system＝θ{[H_j+p(-K_d+N)γ+N(1-γ)]} (1)

g_user＝γ{[pR_i+(1-p)(-B_e)]θ+(-B_e)(1-θ)} (2)

式中，B_e表示用户因入侵成功而获得的正效用，N表示执行一次入侵响应所需成本，R_i表示惩罚给入侵者带来的负效用，K_d表示检测成功后对数据的恢复，H_j表示成功入侵对数据带来的破坏成本，p表示数据入侵检测系统成功响应的概率，θ表示检测系统选择报警的概率，1-θ表示检测系统选择不报警的概率，γ表示用户实施入侵的概率，1-γ表示用户执行正常活动的概率；其中，B_e、N、K_d、R_i＞0，B_e＜R_i，N＜K_d，K_d＜H_j；0p≤1；

步骤4：对检测系统的支付函数g_system关于θ求偏导并令等式为零，对用户的支付函数g_user关于γ求偏导并令等式为零，求得：

步骤5：判断用户实施入侵的概率γ是否小于阈值γ^*，若小于，则检测系统的最优选择为不报警，否则检测系统的最优选择为报警；当检测系统选择报警时，对数据服务攻击进行响应，若检测系统没有报警，则继续执行正常操作；

其中，γ^*的值等于

2.根据权利要求1所述的一种面向数据服务的自适应入侵响应博弈方法，其特征在于：在步骤5中，对数据服务攻击进行响应，具体包括以下步骤：

S1：采集数据服务中的数据，构成数据集D，将数据集D中的所有数据对象标记为未读，通过定义ε-邻域从所有数据对象中筛选得到核心对象；

S2：从数据集D中取子集D_i，将子集D_i中的所有数据对象标记为已读，判断子集D_i中的数据对象m是否为核心对象，若是，则找出数据对象m的所有密度可达数据对象，将所有密度可达数据对象标记为已读；否则将数据对象m标记为噪声数据；

S3：在满足的条件下，重复S2，直至所有数据对象均被标记为已读，执行S4；

S4：将每个核心对象的所有密度可达数据对象归为一类，形成一数据对象集合，当所有核心对象遍历完后，没有归为一类的剩下数据为异常数据；

S5：取所有核心对象对应的所有密度可达数据的均值替代异常数据，执行正常操作，结束攻击响应。

3.根据权利要求2所述的一种面向数据服务的自适应入侵响应博弈方法，其特征在于：在S1中，采用闵科夫斯基距离公式定义ε-邻域：

N_ε(x_i)＝(x_i∈D|dist(x_i，x_j)≤ε) (8)

其中N_ε(x_i)表示数据对象x_i的ε-邻域内所有数据对象的集合，ε表示半径参数；

当数据对象x_i的ε-邻域中数据对象个数大于ρ时，则称数据对象x_i为核心对象，其中，ρ为最小对象参数。