[发明专利]一种自适应自反馈的虚拟资产异常发现系统及实现方法

摘要

本发明属于网络与信息安全领域，本发明公开了一种自适应自反馈的虚拟资产异常发现系统及实现方法。本发明系统包括数据采集模块、异常发现模块、自适应学习模块、自反馈调节模块；所述数据采集模块连接异常发现模块，所述异常发现模块分别与自适应学习模块和自反馈调节模块连接，所述自反馈调节模块与自适应学习模块连接。本发明方法主要包括数据采集、异常发现、自适应学习处理、自反馈调节处理步骤，本发明充分考虑了虚拟资产数据海量和结构复杂、网络用户虚拟身份不唯一以及单个异常发现方法低效等特点，基于权重求和的数据异常裁定机制，有效遏制单个异常发现方法带来的检测误差，提高异常发现精度。

主权项

1.一种自适应自反馈的虚拟资产异常发现系统，其特征在于：包括数据采集模块、异常发现模块、自适应学习模块、自反馈调节模块；所述数据采集模块连接异常发现模块，所述异常发现模块分别与自适应学习模块和自反馈调节模块连接，所述自反馈调节模块与自适应学习模块连接；其中，数据采集模块负责搜集并存储网络空间中应用平台产生的虚拟资产数据；所述数据采集模块将虚拟资产数据传递至异常发现模块；异常发现模块负责构建异常模式库以及对虚拟资产数据进行异常检测，并将异常检测结果传递至自适应学习模块；自适应学习模块根据异常检测结果动态调整异常发现方法的权重系数，具体为：假设异常发现模块在时间Δt内总共进行了M次异常裁定，第i种异常发现方法Xi关联一个计数变量ci，pi表示异常得分，P表示虚拟资产数据的综合异常指标得分，δ表示预先定义的异常阈值，1≤i≤N；按照如下步骤进行，(S31)初始化计数变量ci＝0，1≤i≤N；(S32)判断虚拟资产数据的异常裁定结果，分为以下四种情形：i.若实际结果为正常，裁定为异常，转步骤(S33)；ii.若实际结果为正常，裁定为正常，转步骤(S34)；iii.若实际结果为异常，裁定为异常，转步骤(S35)；iv.若实际结果为异常，裁定为正常，转步骤(S36)；(S33)若则c_i＝c_i+1，若则1≤i≤N，否则c_i＝c_i+0；转步骤(S37)；(S34)若p_i＜P，则c_i＝c_i+1，若P≤p_i＜δ，则1≤i≤N，否则c_i＝c_i+0；转步骤(S37)；(S35)若p_i≥P，则c_i＝c_i+1，若δ≤p_i＜P，则1≤i≤N，否则c_i＝c_i+0；转步骤(S37)；(S36)若pi≥δ，则ci＝ci+1，1≤i≤N，否则ci＝ci+0；转步骤(S37)；(S37)通过公式(2)更新N种异常发现方法的权重系数(S38)通过公式(3)规范化权重系数使其满足条件自反馈调节模块负责反馈修正异常模式库及配置异常发现模块和自适应学习模块中的相关参数，具体为：针对异常发现模块、自适应学习模块处理过程中涉及的参数，提供接口支持专家进行初始化设置，所述参数包括权重系数异常阈值δ；针对异常发现中的虚拟资产数据异常裁定结果，提供接口支持专家进行实时验证；针对网络空间中新的虚拟资产数据异常模式，提供接口支持专家进行反馈修正。