[发明专利]基于可信度的内网安全威胁多模型协同防御方法

说明书

基于可信度的内网安全威胁多模型协同防御方法。通过以下方式实现：第1、利用LogSig等十三种日志分析算法从海量日志中提取出异构的日志模板集，通过block_id分块，生成特征矩阵，利用SVM等三种机器学习算法对特征矩阵学习，建立三十九种日志检测模型；第2、通过统计学习算法计算不同检测模型对待测日志预测结果的可信度；第3、利用计算得到的多种模型预测结果的可信度进行多模型预测结果的融合，实现异构模型的协同防御。本发明区别于基于阈值和单模型的分析方式，利用了十三种日志解析算法，三种机器学习算法生成日志检测模型，实现多模型协同；利用统计学习方法，提高了对异常日志的探测能力。

技术领域

本发明属于计算机网络安全领域。

背景技术

随着计算机网络的不断发展，网络安全问题成为了人们关注的焦点以及面临的挑战。内网安全威胁是网络安全问题中值得关注的焦点，内网攻击频发且攻击性强。就目前来说，设备产生日志的量越来越大，难以手工分析，同时单一模型随时间会出现退化，导致无法得到全面准确的检测结果，故而需要构建出一个可以利用机器对日志进行分析，并且可以通过多模型协同进行防御的模型来发现威胁。

本系统综合使用多个日志解析算法、机器学习算法以及统计学习算法协同分析内网攻击问题，提高准确性以及稳定性。

发明内容

本发明目的是为了解决在内网产生大量日志的情况下，这些日志易被篡改、不能被合并使用、并且模型会出现退化，导致预测无法得到全面准确的结果的问题，提供了一种基于统计学习的内网安全威胁智能分析方法。本方法利用机器学习分析而不是手工分析，实现对日志的分析，并实现对内网不同设备产生的日志的合并使用；该方法支持多种日志解析模型，实现多模型协同；利用机器学习算法、统计学习算法提高对异常日志的识别能力。

本发明的技术方案

基于可信度的内网安全威胁多模型协同防御方法，该方法涉及的基本概念：

(1)日志：记录有价值的应用和系统运行信息的文本，内容包括时间戳等；

(2)日志流：具有标准格式的日志，可用作日志解析算法的输入；

(3)日志块：基于同一行为产生的一系列日志；

(4)日志模板：仅由日志流中的常量组成，可代表一组日志流；

(5)机器学习：研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能；

(6)不一致性度量函数：是通过得分来评价待测日志流与已知日志流集合相似性的函数；描述一个日志流与一组已知日志流的相似性，输入是一个日志模板和一个待测日志流，输出是一个数值，也叫做不一致性得分，得分越高，说明待测日志流与该组日志流越相似；得分越低，说明待测日志流与该组日志流越不相似；

(7)P-Value：是衡量待测日志流在已知日志流集合中显著度的统计量，用于多模型预测结果可信度的比较；

该方法具体步骤如下：

第1、多模型不一致性得分的计算，包括如下步骤：

第1.1步、生成日志模板集，获得日志的特征值；

第1.1.1、首先预处理原始日志生成日志流集合。利用日志解析算法f对日志流集合进行处理，得到日志模板集合T；

第1.1.2、日志解析的输入：原始日志流集X，日志解析算法集合G：

①日志流集合X：包含n个日志块x_j，j∈{1，2，…，n},X＝{x₁,…，x_n}；