[发明专利]一种基于数据挖掘的网络态势评估方法

说明书

本发明公开了一种基于基于数据挖掘的网络态势评估方法，该方法包含：首先对海量复杂的网络安全日志进行数据清洗，清除包含缺失值的数据，并将清洗后的日志数据存储到关系数据库中；采用相似度计算函数并比较数据库中网络攻击日志，找到网络日志中所有的网络攻击序列；根据PrefixSpan算法，从网络攻击序列中挖掘出所有的频繁攻击序列；最后根据基于D‑S证据链理论，将上一步产生的频繁攻击序列作为评估网络中每个主机风险程度的证据，通过合成公式将这些证据生成信任度更高的主机风险值，以实现对网络主机乃至全网的安全状况的评估。

技术领域

本发明属于网络通信技术领域，涉及一种基于数据挖掘的网络态势评估方法。

背景技术

网络是现代信息技术基础设施的重要组成部分，并为人们交换信息和共享资源提供了极大的便利。随着计算机网络的出现和普及，网络安全隐患也逐渐暴露出来，现如今网络仍然面临着网络病毒、网络入侵、数据盗窃和篡改等诸多威胁。网络日志包括许多关于网络中发生的所有行为的有价值的信息。可对这些网络日志进行分析发现各日志间隐藏的关联关系，与此同时提高网络的安全性。网络安全问题日益严重和加剧，如何解决这个问题已经成为众多研究者关注的焦点。

在网络运行过程中，会产生大量的网络日志来记录网络中发生的所有行为。这些网络日志包含了大量有用的信息，可供网络安全专家发现网络威胁，加强网络安全。数据挖掘是对信息的一个高级处理过程，它能够从繁杂的数据中识别出有价值的知识，其核心技术是机器学习、统计等。高级处理过程是指对数据进行多步骤的处理，这些步骤之间会互相影响，在经过多次调整后，最终会形成一个统一的结果。随着大数据及数据挖掘的普及，数据挖掘算法逐渐趋于成熟，很多的日志分析解决方案得以提出。

数据挖掘的实现方式有聚类分析、分类分析、关联分析及神经网络等。频繁模式挖掘是关联分析方法中的一种。现有的频繁模式挖掘算法大致包括Apriori算法、FP-Growth算法、GSP算法和FreeSpan算法。前两种方法是挖掘频繁项集的算法，在应用上有着不错的效果，凡是也存在着以下问题：没有考虑到事件发生的时间顺序。后两种方法是挖掘频繁序列模式的算法，与本发明中应用的PrefixSpan算法相比，有着内存消耗不稳定等问题。

本发明为克服上述缺陷，提出了一种基于数据挖掘的网络态势评估方法，本发明具体步骤如下：

S1，对网络安全日志数据进行数据清洗，清除含有缺失数据的日志，并将清洗后的日志数据存储到关系数据库中；

S2，根据相似度计算函数，比较数据库中网络攻击日志，找到网络日志中所有的网络攻击序列；

S3，采用PrefixSpan算法从网络攻击序列中挖掘出所有的频繁攻击序列；

S4，根据基于D-S证据链理论，将上一步产生的频繁攻击序列作为评估网络中每个主机风险程度的证据，通过合成公式将这些证据生成信任度更高的主机风险值，以实现对网络主机安全状况的评估，最后根据每个主机的风险值生成整个网络的风险值。

本发明的技术方案特征和改进为：

1.对于步骤S2，为了从网络安全日志中找出所有的网络攻击序列，本发明采用了网络攻击记录之间的相似度计算函数，综合考虑了攻击发生的时间、攻击的IP地址和攻击的端口号，分为基于攻击发生时间的相似性计算函数、基于攻击端口号的相似度计算函数和基于攻击IP地址的相似度计算函数：

当两个网络攻击记录之间的时间间隔大于给定的时间滑动窗口时，可以认为两个网络攻击日志不属于同一个网络攻击序列，相反，则认为两个网络攻击日志属于同一个网络攻击序列，并利用高斯分布计算两个网络攻击记录的时间相似度，假设A＝{a₁，a₂...a_n}表示网络攻击记录，a_i表示一种网络攻击记录的第i个属性，其中1≤i≤n，，