[发明专利]一种基于数据挖掘的网络态势评估方法

权利要求书

1.一种基于数据挖掘的网络态势评估方法，其特征及具体步骤如下：

S1，对网络安全日志数据进行数据清洗，清除含有缺失数据的日志，并将清洗后的日志数据存储到关系数据库中；

S2，根据相似度计算函数，比较数据库中网络攻击日志，找到网络日志中所有的网络攻击序列；

S3，采用PrefixSpan算法从网络攻击序列中挖掘出所有的频繁攻击序列；

S4，根据基于D-S证据链理论，将上一步产生的频繁攻击序列作为评估网络中每个主机风险程度的证据，通过合成公式将这些证据生成信任度更高的主机风险值，以实现对网络主机安全状况的评估，最后根据每个主机的风险值生成整个网络的风险值。

2.根据权利要求1所述的一种基于数据挖掘的网络态势评估方法，其特征在于，对于步骤

S2，为了从网络安全日志中找出所有的网络攻击序列，本发明采用了网络攻击记录之间的相似度计算函数，综合考虑了攻击发生的时间、攻击的IP地址和攻击的端口号，分为基于攻击发生时间的相似性计算函数、基于攻击端口号的相似度计算函数和基于攻击IP地址的相似度计算函数：

当两个网络攻击记录之间的时间间隔大于给定的时间滑动窗口时，可以认为两个网络攻击日志不属于同一个网络攻击序列，相反，则认为两个网络攻击日志属于同一个网络攻击序列，并利用高斯分布计算两个网络攻击记录的时间相似度，假设A＝{a₁，a₂...a_n}表示网络攻击记录，a_i表示一种网络攻击记录的第i个属性，其中1≤i≤n，

攻击发生时间的相似度计算函数S_time(A_i，A_j)如公式(1)所示：

在上式中，A_i，A_j为两个网络攻击记录，A_i.time，A_j.time分别表示两个攻击发生的时间，Δt表示两个时间的间隔，W为事先给定的时间滑动窗口值；

攻击的IP地址相似度计算时，先用L(ip_i，ip_j)判断两个攻击的IP地址是否相同，如公式(2)所示：

在上式中ip_i，ip_j，分别表示需要进行判断的两个IP地址，如果IP地址相同则返回1，反之则返回0，

攻击的IP地址相似度计算函数S_ip(A_i，A_j)如公式(3)所示：

S_ip(A_i，A_j)＝(L(A_i.srcIP，A_j.srcIP)+L(A_i.desIP，A_j.desIP))/2 (3)

在上式中，A_i.srcIP，A_j.srcIP分别表示两个攻击源IP地址，A_i.desIP，A_j.desIP分别表示两个攻击的目的地址；

攻击端口号的相似度计算时，先用L(port_i，port_j)判断两个攻击的端口号是否相同，如公式(4)所示：

在上式中port_i，port_j，分别表示需要进行判断的两个端口号，如果端口号相同则返回1，反之则返回0，

攻击的端口号相似度计算函数S_port(A_i，A_j)如公式(5)所示：

S_port(A_i，A_j)＝(L(A_i.srcPort，A_j.srcPort)+L(A_i·desPort，A_j.desPort))/2 (5)

在上式中，A_i·srcPort，A_j·srcPort分别表示两个攻击的源端口号，A_i.desPort，A_j.desPort分别表示两个攻击的目的端口号；

结合上述公式，可以得到两个攻击记录的相似度计算函数如公式(6)所示：

S(A_i，A_j)＝∑_kw_k×S_k(A_i，A_j) (6)

在上式中，w_k是权重系数，其中k分别代表时间、ip地址或端口号，并且满足w_time+w_ip+w_port＝1。