本發明屬于數據安全領域，具體涉及一種具有自適應的分布式智能決策方法。本發明針對實時監控日志及操作請求日志的生成模式進行發掘，檢測可能存在的異常，將神經網絡在模式識別中的優勢與知識的推理理論結合起來，在綜合多個相鄰節點信息的基礎上，引入自適應的機制，以分布式的方式進行入侵檢測，同時將決策過程放入分布的節點而不是中央控制臺，減少了網絡傳輸，提高了分布式決策的速度。本發明綜合相鄰節點的信息反饋，進行自適應調整，并且不依賴全局信息，減少了數據傳輸，能有效檢測出單一節點難以檢測出入侵的數據。

技術領域

本發明屬于數據安全領域，具體涉及一種具有自適應的分布式智能決策方法。

背景技術

入侵檢測常用的技術包括專家系統，模式匹配(例如神經網絡等)以及基于統計方法的技術。但近年來的研究熱點越來越集中于神經網絡，這是因為其有更好地處理原始數據的隨機特性，不需要對這些數據作任何統計假設，同時，它也有較好的抗干擾能力。

然而，僅僅使用神經網絡作為入侵檢測的主要技術也有許多的局限性；同時，當前對于入侵檢測的研究一般都局限于單一檢測點，而當前網絡攻擊手段向分布式方向發展，單一節點難以檢測出入侵的數據，破壞性和隱蔽性也越來越大，這些研究普遍采用綜合多個探測節點的信息并由一個中央控制臺進行處理和分析。但考慮到網絡傳輸帶來的延時問題，大規模網絡帶來的大量檢測負荷，將使這種架構的入侵檢測面臨諸多困難。

發明內容

針對上述存在問題或不足，本發明提供了一種具有自適應的分布式智能決策方法，針對實時監控日志及操作請求日志的生成模式進行發掘，檢測可能存在的異常。

本發明的步驟如下：

S1.數據預處理。

S11.定義預定義知識庫；預定義知識庫由入侵規則集組成，每一種入侵手段所對應的規則集對應一個預定義知識庫，初始化為空。這些預定義知識庫還包含兩個屬性：種類和權重，種類用來標識預定義知識庫對應的入侵手段，權重表示該預定義知識庫的規則對當前環境的重要程度，權重的范圍為0到1。

S12.提取預定義知識庫的環境特征；針對不同類型的入侵方式，獲取該入侵方式的知識，加入到對應的預定義知識庫，對所有預定義知識庫獲取完知識之后，將知識進行求并集獲得知識總庫，并根據知識所適用的入侵方式，定義一個布爾矩陣E來表示該知識所適用的環境，即用來表示其所屬預定義知識庫。然后建立知識關系表，用以表示知識之間的邏輯關系。

S2.節點環境識別；對每個節點的數據提取特征，使用其產生的矩陣M來描述節點所處的環境。

S21.產生特征；選取報文長度、字符頻率、來源區域、端口號、協議類型和時間以及它們的各種變形與轉換，采用加權移動平均(Weighted MovingAverage，WMA)方法將數據進行平滑處理。

S22.對S21步驟產生的特征數據進行降維處理。首先通過ClampingNetwork計算所有特征對結果的影響，然后根據影響按照從大到小進行排序(Ranking)，再按照排序結果，依次將特征增加到測試特征集(用來測試特征對結果的影響，初始化為空集)中，測驗組合對結果準確度的影響，若精確度提升超過閾值a1(0.01-0.1)，則將該特征保留，若精確度下降超過閾值a2(0.01-0.1)，則將其剔除，否則，將其放回排序結果列表的末尾。

S23.使用人工神經網絡進行模式識別。使用神經網絡對S22的輸出數據進行訓練，神經網絡訓練完成后得到矩陣M，每個矩陣的元素代表著該節點屬于對應環境的置信度。

S3.產生本地知識庫。每個節點所使用的入侵規則集與該節點所處的環境相關，因此，需要根據步驟S2環境識別的結果來產生自身的知識庫即本地知識庫。本地知識庫擁有一個矩陣W，其中每個元素代表對應的預定義知識庫的基礎權重(baseWeight，初始化為0.1-1)。具體步驟如下：