[发明专利]一种云平台的时序演化网络安全预警方法

摘要

一种云平台的时序演化网络安全预警方法，事件演化分析与维度约简在界定云计算服务安全事件性质和特点的基础上，基于安全事件时序演化分析，确定并约简云计算服务安全预警的事件维度；基于事件分群的安全事件深度预警建模，是基于事件相似度分析划分有相似行为模式的关联事件群，通过建立多个变换阶段分层的深度学习网络对事件进行分类和解释；多维模型应用与优化，通过典型云平台数据分析与优化，从多个安全事件维度来分析和预测多维安全事件的演化，形成对事件的判定和预测，按照不断优化，提高云平台网络安全预警的稳定性和预测质量；解决云平台海量复杂事件中的安全威胁快速发现和早期预警问题。

主权项

1.一种云平台的时序演化网络安全预警方法，分为三个阶段，其特征在于，包括以下步骤：第一阶段是事件演化分析与维度约简：1)收集云平台的安全事件数据，并在预处理数据和事件时，要保持数据的原始性，数据的维度包括但不限于时间、路径(URL)、人物、地点、分布、带宽、起因、经过、状态、结果，采用决策树分析方法从破坏强度、威胁范围和影响程度三方面初步过滤事件无关的维度或微弱相关度的维度，在此基础上，根据各维度的因素时序演化规律来调整维度和影响因素的权值；2)基于稀疏时间序列的动态贝叶斯方法构造安全事件的演化时序分析模型，并通过对安全事件的演化规律的分析，辅以空间视觉投影算法提取关键事件特征；3)其中构建基于稀疏时间序列的动态贝叶斯方法需要较强的先验知识，利用先验知识和似然函数来估计给定数据的后验分布，采用稀疏时间序列的贝叶斯网络方法使其稀疏化，就给参数增加了约束函数，即其中，α为假设的参数向量，β是未知的可调参数，||β||₁＝∑_j|β_j|是β的一次范式，运用稀疏贝叶斯网络的过程可以使大部分的参数趋于零，保留了少数的参数不为零，为解决由于先验知识的不足导致事件降维脱离现实情况，采用马尔可夫链蒙特卡洛方法解决确定性问题，并使用有反馈的随机过程分析方法提炼事件演化的规律；4)其中马尔科夫蒙特卡洛事件关联方法的使用，对已有事件演化归集为5类动作，分别是发现/消失、分割/合并、扩展/减少、跟踪刷新、跟踪切换，其中输入初始状态ω₀以及有界函数X:Ω‑>Rm,ω是马尔科夫链的当前状态，事件的轨迹服从概率P(ω，ω′)；5)其中事件状态ω∈Ω,Ω是事件观测区间的状态空间，ω′∈Ω服从参考分布q(ω，ω′),π(ω)是事件的稳定分布值，通过状态值ω和π(ω)建立马尔科夫链M来协助实现事件关联；6)通过上述步骤，依据事件各维度因素随时序发生变化的规律对事件维度和权值进行分析，确定并降低事件分析的维度，降低后续分析的复杂度，且排除多余非主成因要素；第二阶段是基于事件分群的安全事件深度预警建模：1)安全事件深度预警建模是云计算服务安全预警的关键环节，在复杂大规模安全事件中存在一些攻击的行为模式具有一定的趋同性，因此在大规模事件数据的基础上，基于攻击行为特征的相似性，采用频繁模式关联规则挖掘得到特定群体事件存在关联关系，然后通过经训练的深度学习神经网络对群体事件行为进行精准判定和分类：2)进行存在关联关系的群体事件的建模识别，对任一两个事件的特征相似度进行计算，可以依据下式：f(e_i，e_j)＝[1‑|P_ki‑P_kj|]f′[h_i，h_j]     (3)3)式中，f(e_i，e_j)是两个事件行为的相似度，Pki是事件发生行为k的概率，h是事件的行为特征，f′[h_i，h_j]是两个事件特征的相似度，并且两个用户采用同一行为h的可能性越大，其行为的相似度就越大，反之越小；4)基于上述相似度的算法，进一步选取频繁模式挖掘算法分析事件集中的主要行为模式P矩阵，如下式所示：5)式中P_ij为具有行为特征i的事件关联行为j的概率值，m是事件行为特征的数量，n是行为种类的数量，整合所有的用户行为集合，并约减其中的重复的模式，得到某一事件的主要行为模式，并基于该模式应用频繁模式挖掘得到若干相似模式的事件集合；6)最后在该群体事件集合的基础上，将数据划分为多个批次，选择基于无监督学习或半监督学习技术，逐层预训练学习过程用于初始化深度学习模型的参数，在多层进行初始化后，用监督学习算法对整个深度结构神经网络进行调整，综合考虑拟采用吉布斯更新随机近似法，应用深度玻尔兹曼近似推断算法，假设一组可见单元v∈{0，1}^D，隐藏单元分别为同层单元没有连接，则可见向量V概率如下：7)对于存在三个隐藏单元的情况，其中h＝{h(1),h(2),h(3)}是假设的隐藏单元集，θ＝{W⁽¹⁾，W⁽²⁾，W⁽³⁾}是模型的参数，反映了隐藏单元和可见单元的相互影响；8)结合自底向上和自顶向下有效学习识别模型，可快速初始化所有隐单元的值，并利用层次化架构学习出群体事件在不同层次上的表达，帮助从复杂网络环境下的提取出规律和预测，辅助决策；9)引入频繁模式挖掘构造群体事件选择模型的深度、每层包含的隐单元、学习率等参数，可以缓解数据训练中的局部极值问题；第三阶段是多维模型应用与优化：1)选择合适的典型应用对象，环境具有一定的典型性，其信息资源、应用服务的高度集中共享，带来了安全事件复杂性，危害后果和风险较传统信息系统高出许多，且目前已经建设有比较完善的日志中心，可以采集到相当全面的事件：2)大部分安全事件是由多种攻击综合形成并导致对平台的危害，因此，从安全威胁发生和演化的角度，通过对云计算服务安全事件构成要素的分析，抽取其关键因素，并以破坏强度、威胁范围和影响程度三要素的安全事件维度来分析和预测多维安全事件的演化，相关平台的预警要与业务、数据关联，能适应各种需求环境，不能对假设环境做出过死的约定，为了更好的支持攻击特征分析的实践应用，增加更多与目标和背景相关的直接说明模式，采用的具体技术包括URL离散性界定、状态码的比例波动、日志多维过滤等，对行为特征进行细分和判定，实现攻击路径和方法的确定；3)因为云计算服务安全事件规模大，且深度玻尔兹曼等算法需要提供足够的性能，采用优化模型和训练方法使其适合于海量数据的处理，提高并行化分析的能力，对于深度学习算法可利用GPU群加速深度学习过程，并引入并行吉布斯采样法、网络结构因式分解法、并行马尔科夫随机场法和并行坐标下降法等算法来优化并行学习算法，对于事件分群和模式挖掘可基于Hadoop2平台结合Map/Reduce、TEZ和YARN等技术来提高挖掘的速度，相关算法需要改造以适应Map/Reduce的处理要求；4)将来自典型云计算平台的事件和处置信息作为信息输入，综合分析环境中所有事件的动机、过程和溯源结果，应用事件演化时序图模型，推理出事件演化规律，并约简事件维度，选择适当的相似度判定方法，挖掘出事件间关联关系区分事件群，在此基础上训练深度学习网络，形成对事件的判定和预测，按照上述方式不断优化，并对各种事件判定和预测结果进行分析评价，并将相关结果反馈到建模过程。