1.一種基于高斯分布模型的網(wǎng)絡(luò)攻擊動態(tài)監(jiān)測方法，其特征在于：首先，監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)，采集網(wǎng)絡(luò)報文特征值；而后，根據(jù)提取到的數(shù)據(jù)報文，分析具有疑似攻擊行為的數(shù)據(jù)報文，得到攻擊數(shù)據(jù)序列；再而，根據(jù)攻擊數(shù)據(jù)序列采用高斯分布模型建立有效攻擊數(shù)據(jù)的概率分布模型；最后，根據(jù)攻擊數(shù)據(jù)序列建立網(wǎng)絡(luò)攻擊分布圖；該方法具體實現(xiàn)如下，

S1、通過數(shù)據(jù)監(jiān)測與采集模塊監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)，采集網(wǎng)絡(luò)報文特征值：

(1)數(shù)據(jù)監(jiān)測與采集模塊的監(jiān)測單元監(jiān)測批量的同源、同目的、同類型請求的數(shù)據(jù)，提取應(yīng)用層數(shù)據(jù)包變量名稱和變量值，并將數(shù)據(jù)報文與常見攻擊報文匹配，提取數(shù)據(jù)報文發(fā)送內(nèi)容的特征，發(fā)送到數(shù)據(jù)監(jiān)測與采集模塊的采集單元；

(2)數(shù)據(jù)監(jiān)測與采集模塊的采集單元將接收到數(shù)據(jù)報文按時間序列、攻擊源目地址、源目端口、攻擊類型進行分類存儲；

S2、通過異常攻擊判斷單元從數(shù)據(jù)監(jiān)測與采集模塊的采集單元提取數(shù)據(jù)，根據(jù)提取到的數(shù)據(jù)報文特征值，分析具有疑似攻擊行為的數(shù)據(jù)報文，得到攻擊數(shù)據(jù)序列A(i,n)，A(i,n)表示一個ip地址對應(yīng)主機運行服務(wù)上存在的第n個漏洞或脆弱點被人攻擊；

S3、通過有效攻擊概率計算單元將得到的攻擊數(shù)據(jù)序列A(i,n)作為輸入?yún)?shù)，采用高斯分布模型建立有效攻擊數(shù)據(jù)的概率分布模型：

假設(shè)每類電力移動網(wǎng)絡(luò)攻擊是隨機特征矢量，由M個D維的高斯分量組成高斯混合模型，對于第V種攻擊，用λ_j表示第j個高斯分量的參數(shù)，W_j表示第j個高斯分量出現(xiàn)的概率，M個高斯分量加權(quán)和可以表示為

A(i,n)中，對于第i個的ip，當i不變時，定義攻擊的類別用隨機變量x來表示，在第n步攻擊的狀態(tài)值為隨機變量x的采樣值，則對于第j個狀態(tài)定義

x(n)＝A(n,j)

定義k為狀態(tài)序列，x_k＝x(n)，f_k為分布序列，則對于第k個狀態(tài)的特征分布，有效攻擊概率特征分布可表示為

其中μ_k表示期望值，a_k表示權(quán)值因子，a為過減因子；

使用高斯分布密度表示初始攻擊模型后，需要通過EM算法重估高斯混合模型的參數(shù)，p_i(x|φ_i)為高斯分布，π_i，μ_i代表新估計的參數(shù)值，Φ^h代表舊的參數(shù)值，p(i|x_l,Φ^h)表示x屬于第i個ip對應(yīng)的分布的概率

由貝葉斯公式可得有效攻擊概率P

S4、通過網(wǎng)絡(luò)攻擊建模單元將攻擊數(shù)據(jù)序列A(i,n)進行一階遞歸平滑，得到AA(i,n)

AA(i,n)＝AA(i-1,n)+(i/n)|A(i,n)|²

2)通過前向-后向相結(jié)合的雙向搜索算法尋找AA(i,n)的最小值：

AA_min(i,n)＝max{AA_f(i,n),AA_b(i,n)}

其中AA_f(i,n)為前向搜索出的最小值，AA_b(i,n)為后向搜索出的最小值；

3)根據(jù)步驟S3計算得出的有效攻擊概率P，計算所有攻擊序列A(i,n)有效攻擊的存在概率p(i,n)：

p(i,n)＝σ₁p(i-1,n)+(1-σ₁)H(i,n)

其中σ₁＝0.2為常量平滑參數(shù)；H(i,n)是有效信號存在性判別準則，可描述為：如果Y(i,n)/Y_min(i,n)＞φ(n)則H(i,n)＝1，表示該數(shù)據(jù)報文存在有效數(shù)據(jù)，否則H(i,n)＝0，表示該數(shù)據(jù)報文不存在有效數(shù)據(jù)；φ(n)是依賴于攻擊頻率的判別閾值，當n小于1或界于1到3時，φ(n)值為2，當n界于3至總攻擊次數(shù)一半時，φ(n)值為5；

4)根據(jù)有效攻擊平滑因子σ(i,n)進行有效攻擊估計：

σ(i,n)＝σ₂+(1-σ₂)p(i,n)，N(i,n)＝σ(i,n)N(i-1,n)+(1-σ(i,n))|A(i,n)|²，取σ₂＝0.95，顯然σ₂≤σ^*(i,n)≤1；

5)計算有效攻擊因子：

其中C(i,n)＝|A(i,n)|²-N(i,n)為所有的攻擊序列，α為過減因子，其值為：

6)最后計算后的網(wǎng)絡(luò)攻擊分布為：

x(i,n)＝G(i,n)|A(i,n)|²

電力移動數(shù)據(jù)處理后臺通過比對正常網(wǎng)絡(luò)通信報文分布圖和網(wǎng)絡(luò)攻擊行為數(shù)據(jù)分布圖，得出是否存在網(wǎng)絡(luò)攻擊行的判斷結(jié)論，并產(chǎn)生攻擊行為預(yù)警信息。