[发明专利]一种基于因果机器学习的网络安全监测分析方法与系统

权利要求书

1.一种基于因果机器学习的网络安全监测分析方法，其特征在于，包括：

1)针对网络流量的训练数据集的特征集合P进行预处理；

2)针对预处理后的特征集合P删除非因果噪声特征，得到只包含因果特征集合V的训练数据；

3)通过机器学习方法在训练数据中选择与监测数据接近的M类攻击标签；

4)通过反事实诊断方法计算M类攻击标签在反事实中异常特征的期望值，并选择使得期望值最大的攻击标签作为最终的网络入侵检测结果，包括：4.1)设定各个特征异常与否的阈值δ，将训练数据和检测数据的所有特征取值转变成{0,1}分布，使其服从伯努利分布；4.2)根据训练数据求出X和Y的条件概率分布表；4.3)根据X和Y的条件概率分布表，分别计算M类攻击标签在反事实中异常特征的期望值；4.4)将M类攻击标签在反事实中计算出的异常特征的期望值进行排序；4.5)选择所有在反事实中异常特征期望值中的最大值所对应的攻击标签作为检测数据最终的网络入侵检测结果。

2.根据权利要求1所述的基于因果机器学习的网络安全监测分析方法，其特征在于，步骤1)中的预处理依次包括Z分数标准化、最大最小标准化以及删除无效和错误的数据集合。

3.根据权利要求1所述的基于因果机器学习的网络安全监测分析方法，其特征在于，步骤2)包括：

2.1)初始化循环变量i，在预处理后的包含p个特征的特征集合P中选择第i个特征为当前特征，初始化当前特征的删除特征集合Cu[i]，其中0≤ip；

2.2)分别遍历特征集合P中的所有特征，针对遍历得到的第j％个特征，计算该第j％个特征与网络攻击之间的因果效应值，如果因果效应值小于设定的阈值δ，则将该第j％个特征值改为全0，并记为非因果特征添加到当前特征的删除特征集合Cu[i]，其中i≤jp+i；

2.3)判断循环变量i小于特征集合P的特征数量p是否成立，若成立则将循环变量i加1，跳转执行步骤2.1)；否则，跳转执行步骤2.4)；

2.4)将得到的所有的删除特征集合Cu[1]～Cu[p]按包含特征个数进行排序；

2.5)在排序后的所有的删除特征集合Cu[1]～Cu[p]中选取包含特征数最多的删除特征集合Cu[i]_max，根据包含特征数最多的删除特征集合Cu[i]_max中包含的特征编号删除特征集合P中对应的特征，并将所有剩余的特征保存至集合中作为得到的因果特征集合V。

4.根据权利要求3所述的基于因果机器学习的网络安全监测分析方法，其特征在于，步骤2.2)中因果效应值的计算函数表达式为：

E_j％＝[X]-E[X|do(Y_j％)]，

上式中，E_j％表示第j％个特征与网络攻击X之间的因果效应值，E[X]表示网络攻击X的期望值，E[X|do(Y_j％p)]表示干预删除第j％p个特征后网络攻击X的期望值。

5.根据权利要求1所述的基于因果机器学习的网络安全监测分析方法，其特征在于，步骤3)包括：

3.1)计算检测数据与训练数据集之间的距离，其中训练数据集为n行v列，且每行都有自己的攻击标签，其中v为因果特征集合V的长度；检测数据为1行v列；

3.2)对检测数据与训练数据集每一行之间的距离进行排序，选取与检测数据距离最近的K行训练数据；

3.3)对K行训练数据中攻击标签出现的频率进行排序；

3.4)选取出现频率最靠前的M类攻击标签，M小于训练数据集的攻击标签总类数。

6.根据权利要求5所述的基于因果机器学习的网络安全监测分析方法，其特征在于，步骤3.1)中的距离是指曼哈顿距离或者欧式距离。