本發(fā)明屬于移動(dòng)互聯(lián)網(wǎng)技術(shù)領(lǐng)域,尤其涉及一種基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)方法。
背景技術(shù):
由于當(dāng)前移動(dòng)互聯(lián)網(wǎng)環(huán)境下隱蔽式網(wǎng)絡(luò)攻擊還處于探索研究階段,甚至短期內(nèi)也找不到較好的解決方法。大量的實(shí)踐證明,人類的行為具有周期性和規(guī)律性,每隔一段時(shí)間內(nèi)所表現(xiàn)出來的行為是相近的;而作為與人類關(guān)系密切的移動(dòng)互聯(lián)網(wǎng)也越來越符合人類行為的某些特性,移動(dòng)互聯(lián)網(wǎng)中的移動(dòng)用戶的某些行為也具有周期性和規(guī)律性。同時(shí)考慮到現(xiàn)有的知識(shí)發(fā)現(xiàn)方法、黑名單檢測法、白名單檢測法、數(shù)字簽名檢測法、沙箱檢測技術(shù)等都無法應(yīng)對(duì)未知的隱蔽式網(wǎng)絡(luò)攻擊,也很難檢測到敵對(duì)方的攻擊行為,隱蔽式網(wǎng)絡(luò)攻擊手段或方法發(fā)展日新月異,其表現(xiàn)出來的攻擊行為也層出不窮,傳統(tǒng)基于已知的攻擊手段或方法的知識(shí)發(fā)現(xiàn)方法、黑名單檢測法、白名單檢測法、數(shù)字簽名檢測法、沙箱檢測技術(shù)等不能滿足發(fā)現(xiàn)或檢測復(fù)雜網(wǎng)絡(luò)環(huán)境下新型的攻擊手段或方法。這些檢測法都是在傳統(tǒng)網(wǎng)絡(luò)攻擊檢測及防御方法基礎(chǔ)上的改進(jìn),并沒有質(zhì)的突破,為傳統(tǒng)基于已知的攻擊手段或方法的知識(shí)發(fā)現(xiàn)方法、黑名單檢測法、白名單檢測法、數(shù)字簽名檢測法、沙箱檢測技術(shù)等都只能發(fā)現(xiàn)或檢測已知的攻擊,很難檢測及防御目前日新月異的隱蔽式網(wǎng)絡(luò)攻擊;而行為特征檢測是隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)最根本的技術(shù)(行為特征檢測首先是通過對(duì)移動(dòng)用戶行為進(jìn)行統(tǒng)計(jì)和分析;然后結(jié)合隱蔽式網(wǎng)絡(luò)攻擊行為規(guī)律對(duì)移動(dòng)用戶行為進(jìn)行檢測(與攻擊行為特征庫中的規(guī)則相比較);最后根據(jù)檢測結(jié)果發(fā)現(xiàn)是否具有攻擊行為,只能發(fā)現(xiàn)或檢測已知的攻擊行為?,F(xiàn)有的知識(shí)發(fā)現(xiàn)方法、黑名單檢測法、白名單檢測法、數(shù)字簽名檢測法、沙箱檢測技術(shù)等無法發(fā)現(xiàn)或檢測未知的網(wǎng)絡(luò)攻擊(這是因?yàn)閭鹘y(tǒng)的知識(shí)發(fā)現(xiàn)方法、黑名單檢測法、白名單檢測法、數(shù)字簽名檢測法、沙箱檢測技術(shù)等只能發(fā)現(xiàn)或檢測已知的攻擊手段或方法)
綜上所述,現(xiàn)有的知識(shí)發(fā)現(xiàn)方法、黑名單檢測法、白名單檢測法、數(shù)字簽名檢測法、沙箱檢測技術(shù)等都無法應(yīng)對(duì)未知的隱蔽式網(wǎng)絡(luò)攻擊,也很難檢測到敵對(duì)方的攻擊行為。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的在于提供一種基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)方法,旨在解決現(xiàn)有的知識(shí)發(fā)現(xiàn)方法、黑名單檢測法、白名單檢測法、數(shù)字簽名檢測法、沙箱檢測技術(shù)等都無法應(yīng)對(duì)未知的隱蔽式網(wǎng)絡(luò)攻擊,也很難檢測到敵對(duì)方的攻擊行為的問題。
本發(fā)明是這樣實(shí)現(xiàn)的,一種基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)方法,所述基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)方法包括以下步驟:
步驟一,采用模糊聚類算法對(duì)通過“移動(dòng)用戶行為可信評(píng)判”結(jié)果“不可信”的移動(dòng)用戶依據(jù)其行為特征進(jìn)行分類;
步驟二,從被判斷為“不可信”的移動(dòng)用戶中挖掘發(fā)現(xiàn)攻擊者;針對(duì)各移動(dòng)用戶行為特征定義為相應(yīng)的攻擊行為因子,建立移動(dòng)用戶相應(yīng)的攻擊行為度量指標(biāo),并引入基于模糊聚類的挖掘算法,采用基于模糊聚類的隱蔽式網(wǎng)絡(luò)攻擊行為深度挖掘算法;
步驟三,計(jì)算“不可信”移動(dòng)用戶的攻擊行為因子,判定“不可信”移動(dòng)用戶是否存在某種攻擊;如果該“不可信”移動(dòng)用戶有攻擊行為,則采取相應(yīng)的應(yīng)對(duì)策略。
進(jìn)一步,所述行為特征分類的方法包括:
把n個(gè)向量分為c個(gè)模糊類,通過計(jì)算每個(gè)類的聚類中心和隸屬矩陣,求解使得聚類目標(biāo)函數(shù)J最小的模糊劃分矩陣以及聚類中心;
xi為移動(dòng)用戶ui經(jīng)過加權(quán)后的行為特征值,cj為第j個(gè)聚類中心,與xi具有同樣的維度,vij為移動(dòng)用戶ui對(duì)分類j的隸屬度,V=[vij]為隸屬矩陣,目標(biāo)函數(shù)J定義為各類數(shù)據(jù)到相應(yīng)聚類中心距離的加權(quán)平均和;
通過迭代計(jì)算隸屬度和聚類中心,實(shí)現(xiàn)目標(biāo)函數(shù)最小化,隸屬度和聚類中心的計(jì)算方法分別如式所示:
其中,dij為第i個(gè)數(shù)據(jù)到第j個(gè)數(shù)據(jù)中心cj的距離dij=||xi-cj||;設(shè)置一個(gè)閥值ε(0<ε<1),當(dāng)|V(k+1)-V(k)|<ε時(shí)停止迭代。
進(jìn)一步,所述行為特征分類的方法具體包括:
(a)初始化隸屬度矩陣V;
(b)以第k次的隸屬度矩陣V(k)計(jì)算第k次的分類中心ck;
(c)利用第k次的隸屬度矩陣V(k)更新第k+1次的隸屬度矩陣V(k+1);
(d)根據(jù)閥值ε(0<ε<1)判斷是否滿足迭代條件,如果|V(k+1)-V(k)|<ε,終止迭代,否則重復(fù)步驟(b)、(c)、(d)進(jìn)行迭代。
進(jìn)一步,所述深度挖掘算法包括:
(a)初始化:特定或不可信移動(dòng)用戶集U,具有攻擊行為的用戶集U'=φ,閥值ε=0,移動(dòng)用戶ui最新的行為屬性的特征值為xi,移動(dòng)用戶ui最新具有攻擊行為屬性的特征值
(b)對(duì)移動(dòng)用戶ui的特征值xi進(jìn)行行為統(tǒng)計(jì)與分析,得到移動(dòng)用戶ui最新具有攻擊行為屬性的特征值
(c)計(jì)算xi到的歐氏距離和移動(dòng)用戶ui的攻擊行為因子并進(jìn)行歸一化處理;
(d)依據(jù)ζi判斷移動(dòng)用戶ui的攻擊行為指數(shù),通過與閥值ε進(jìn)行大小比較,給出移動(dòng)用戶ui是否具有攻擊行為的判斷。
本發(fā)明的另一目的在于提供一種利用所述基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)方法的移動(dòng)互聯(lián)網(wǎng)。
本發(fā)明提供的基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)方法,引入模糊聚類、挖掘算法、相似度比較等算法與理論,設(shè)計(jì)出移動(dòng)互聯(lián)網(wǎng)環(huán)境下隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)機(jī)制與方法,建立移動(dòng)互聯(lián)網(wǎng)環(huán)境下基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)模型,解決移動(dòng)互聯(lián)網(wǎng)環(huán)境下安全應(yīng)用的低可控性與安全需求之間的矛盾;本發(fā)明提前阻止可能發(fā)生的隱蔽式網(wǎng)絡(luò)攻擊,為構(gòu)建安全可信的移動(dòng)互聯(lián)網(wǎng)應(yīng)用環(huán)境奠定理論基礎(chǔ),對(duì)于及時(shí)發(fā)現(xiàn)安全威脅、保護(hù)個(gè)人隱私和財(cái)產(chǎn)安全、維護(hù)公共網(wǎng)絡(luò)安全、構(gòu)建安全可信的移動(dòng)互聯(lián)網(wǎng)應(yīng)用環(huán)境、促進(jìn)移動(dòng)互聯(lián)網(wǎng)安全研究發(fā)展既具有十分重要意義,又有實(shí)用價(jià)值。由于大多數(shù)隱蔽式網(wǎng)絡(luò)攻擊都是將自身網(wǎng)絡(luò)通信偽裝或隱蔽于合法的正常網(wǎng)絡(luò)數(shù)據(jù)流中,以躲避安全檢測;而本發(fā)明的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)模型是在前面研究基于云模型理論的移動(dòng)用戶行為管理數(shù)學(xué)模型和基于云模型推理的移動(dòng)用戶行為可信評(píng)判模型的基礎(chǔ)上,利用本發(fā)明基于模糊C均值聚類的行為特征分類算法和基于模糊聚類的網(wǎng)絡(luò)攻擊行為深度挖據(jù)算法,從隱藏于移動(dòng)用戶的復(fù)雜行為中挖掘出是否具有攻擊行為(隱蔽式攻擊行為),具有主動(dòng)性。行為特征分類方法采用基于模糊C均值聚類的行為特征分類算法,通過迭代計(jì)算隸屬度和聚類中心,實(shí)現(xiàn)目標(biāo)函數(shù)最小化,記錄移動(dòng)用戶的最新行為特征。所述深度挖掘算法是在行為特征分類的基礎(chǔ)上對(duì)特定(不可信)移動(dòng)用戶相似度比較等理論,找出具有攻擊行為的移動(dòng)用戶。
附圖說明
圖1是本發(fā)明實(shí)施例提供的基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)方法流程圖。
圖2是本發(fā)明實(shí)施例提供的基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)方法具體實(shí)現(xiàn)流程圖。
具體實(shí)施方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
下面結(jié)合附圖對(duì)本發(fā)明的應(yīng)用原理作詳細(xì)的描述。
如圖1所示,本發(fā)明實(shí)施例提供的基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)方法包括以下步驟:
S101:采用模糊聚類算法對(duì)通過“移動(dòng)用戶行為可信評(píng)判”結(jié)果“不可信”的移動(dòng)用戶依據(jù)其行為特征進(jìn)行分類;
S102:從被判斷為“不可信”的移動(dòng)用戶中挖掘發(fā)現(xiàn)攻擊者;針對(duì)各移動(dòng)用戶行為特征定義為相應(yīng)的攻擊行為因子,建立移動(dòng)用戶相應(yīng)的攻擊行為度量指標(biāo),并引入基于模糊聚類的挖掘算法,采用基于模糊聚類的隱蔽式網(wǎng)絡(luò)攻擊行為深度挖掘算法;
S103:計(jì)算“不可信”移動(dòng)用戶的攻擊行為因子,判定“不可信”移動(dòng)用戶是否存在某種攻擊;如果該“不可信”移動(dòng)用戶有攻擊行為,則采取相應(yīng)的應(yīng)對(duì)策略。
下面結(jié)合附圖對(duì)本發(fā)明的應(yīng)用原理作進(jìn)一步的描述。
本發(fā)明的基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)的基本思路(如圖2所示):首先采用模糊聚類算法(本發(fā)明擬采用模糊C均值聚類算法,研究移動(dòng)互聯(lián)網(wǎng)環(huán)境下基于模糊C均值聚類的行為特征分類算法)對(duì)通過“移動(dòng)用戶行為可信評(píng)判”結(jié)果“不可信”的移動(dòng)用戶依據(jù)其行為特征進(jìn)行分類(為了快速、高效地挖掘發(fā)現(xiàn)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的隱蔽式攻擊,在本發(fā)明中,擬首先從被判斷為“不可信”的移動(dòng)用戶中挖掘發(fā)現(xiàn)攻擊者(這是因?yàn)樵u(píng)判結(jié)果為“可信”的移動(dòng)用戶一般都是“遵紀(jì)守法”用戶);當(dāng)然,在實(shí)際應(yīng)用中,可以根據(jù)實(shí)際情況對(duì)評(píng)判結(jié)果為“可信”的移動(dòng)用戶進(jìn)一步挖掘發(fā)現(xiàn)是否具有隱蔽式攻擊行為,杜絕“可信就是安全”情況的發(fā)生,防止遺漏掉真正的攻擊者。),劃分為粒度更小的移動(dòng)用戶行為特征;然后針對(duì)各移動(dòng)用戶行為特征定義為相應(yīng)的攻擊行為因子,建立移動(dòng)用戶相應(yīng)的攻擊行為度量指標(biāo),并引入基于模糊聚類的挖掘算法,研究并提出基于模糊聚類的隱蔽式網(wǎng)絡(luò)攻擊行為深度挖掘算法;最后計(jì)算“不可信”移動(dòng)用戶的攻擊行為因子,判定“不可信”移動(dòng)用戶是否存在某種攻擊;如果該“不可信”移動(dòng)用戶有攻擊行為,則采取相應(yīng)的應(yīng)對(duì)策略。(由于大多數(shù)隱蔽式網(wǎng)絡(luò)攻擊都是將自身網(wǎng)絡(luò)通信偽裝或隱蔽于合法的正常網(wǎng)絡(luò)數(shù)據(jù)流中,以躲避安全檢測;而本發(fā)明的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)模型是在前面研究基于云模型理論的移動(dòng)用戶行為管理數(shù)學(xué)模型和基于云模型推理的移動(dòng)用戶行為可信評(píng)判模型的基礎(chǔ)上,利用本發(fā)明的基于模糊C均值聚類的行為特征分類算法和基于模糊聚類的網(wǎng)絡(luò)攻擊行為深度挖據(jù)算法,從隱藏于移動(dòng)用戶的復(fù)雜行為中挖掘出是否具有攻擊行為(隱蔽式攻擊行為),具有主動(dòng)性,因此本發(fā)明將其稱之為基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)模型。)
本發(fā)明基于模糊C均值聚類的行為特征分類算法和基于模糊聚類的隱蔽式網(wǎng)絡(luò)攻擊行為深度挖掘算法。
定義1.xi為第i個(gè)移動(dòng)用戶ui(i=1,2,...,n)行為屬性的特征值(i=1,2,...,n),tj為權(quán)重系數(shù)其中xij(j=1,2,...,m)為用戶ui關(guān)于第j個(gè)行為屬性的特征值。
定義2.移動(dòng)用戶ui(i=1,2,...,n)的攻擊行為因子是移動(dòng)用戶ui的基于歐氏距離的攻擊行為度量標(biāo)準(zhǔn),其中為移動(dòng)用戶ui具有攻擊行為屬性的特征值。
①基于模糊C均值聚類的行為特征分類算法
模糊C均值聚類(Fuzzy C-Means Clustering,FCM)把n個(gè)向量分為c個(gè)模糊類,通過計(jì)算每個(gè)類的聚類中心和隸屬矩陣,求解使得聚類目標(biāo)函數(shù)J(目標(biāo)函數(shù)見公式(1))最小的模糊劃分矩陣以及聚類中心。
在公式(2)中,xi為移動(dòng)用戶ui經(jīng)過加權(quán)后的行為特征值,cj為第j個(gè)聚類中心(與xi具有同樣的維度),vij為移動(dòng)用戶ui對(duì)分類j的隸屬度,V=[vij]為隸屬矩陣,目標(biāo)函數(shù)J可以定義為各類數(shù)據(jù)到相應(yīng)聚類中心距離的加權(quán)平均和(本發(fā)明的研究采用歐氏距離計(jì)算數(shù)據(jù)到聚類中心的距離)。
基于模糊C均值聚類的行為特征分類算法通過迭代計(jì)算隸屬度和聚類中心,實(shí)現(xiàn)目標(biāo)函數(shù)最小化。隸屬度和聚類中心的計(jì)算方法分別如公式(2)和公式(3)所示:
其中,dij為第i個(gè)數(shù)據(jù)到第j個(gè)數(shù)據(jù)中心cj的距離dij=||xi-cj||。在基于模糊C均值聚類的行為特征分類算法中設(shè)置一個(gè)閥值ε(0<ε<1),當(dāng)|V(k+1)-V(k)|<ε時(shí)停止迭代;在m接近于1時(shí),算法接近C均值算法(m的選值均需來自大量實(shí)驗(yàn)和實(shí)際經(jīng)驗(yàn))。
基于模糊C均值聚類的行為特征分類算法流程如下:
(a)初始化隸屬度矩陣V;
(b)以第k次的隸屬度矩陣V(k)計(jì)算第k次的分類中心ck;
(c)利用第k次的隸屬度矩陣V(k)更新第k+1次的隸屬度矩陣V(k+1);
(d)根據(jù)閥值ε(0<ε<1)判斷是否滿足迭代條件,如果|V(k+1)-V(k)|<ε,終止迭代,否則重復(fù)步驟(b)、(c)、(d)進(jìn)行迭代。
②基于模糊聚類的隱蔽式網(wǎng)絡(luò)攻擊行為深度挖掘算法
為利用基于模糊C均值聚類的分類算法實(shí)現(xiàn)對(duì)移動(dòng)用戶攻擊行為的度量,首先對(duì)移動(dòng)用戶的行為分布規(guī)律進(jìn)行統(tǒng)計(jì)與分析,同時(shí)記錄移動(dòng)用戶的最新行為特征;在此基礎(chǔ)上,提出基于模糊聚類的隱蔽式網(wǎng)絡(luò)攻擊行為深度挖掘算法,具體流程如下:
(a)初始化:特定(不可信)移動(dòng)用戶集U,具有攻擊行為的用戶集U'=φ,閥值ε=0,移動(dòng)用戶ui最新的行為屬性的特征值為xi,移動(dòng)用戶ui最新具有攻擊行為屬性的特征值
(b)對(duì)移動(dòng)用戶ui的特征值xi進(jìn)行行為統(tǒng)計(jì)與分析,得到移動(dòng)用戶ui最新具有攻擊行為屬性的特征值
(c)計(jì)算xi到的歐氏距離和移動(dòng)用戶ui的攻擊行為因子并進(jìn)行歸一化處理;
(d)依據(jù)ζi判斷移動(dòng)用戶ui的攻擊行為指數(shù),通過與閥值ε進(jìn)行大小比較,給出移動(dòng)用戶ui是否具有攻擊行為的判斷。
引入模糊聚類、挖掘算法、相似度比較等理論,設(shè)計(jì)出移動(dòng)互聯(lián)網(wǎng)環(huán)境下基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)機(jī)制與方法,解決移動(dòng)互聯(lián)網(wǎng)環(huán)境下安全應(yīng)用的低可控性與安全需求之間的矛盾,低可控性是指在當(dāng)前網(wǎng)絡(luò)環(huán)境下,由于黑客的攻擊,用戶有時(shí)都無法控制自己的資源;在網(wǎng)絡(luò)時(shí)代,用戶有“能控制自己資源的安全需求”,及時(shí)發(fā)現(xiàn)攻擊可以有效地解決這種低可控性和安全需求之間的矛盾。提前阻止可能發(fā)生的隱蔽式網(wǎng)絡(luò)攻擊。
下面結(jié)合實(shí)驗(yàn)對(duì)本發(fā)明的應(yīng)用效果作詳細(xì)的描述。
為了驗(yàn)證本發(fā)明的基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)模型的有效性、可行性和安全性,模擬移動(dòng)互聯(lián)網(wǎng)環(huán)境下實(shí)際應(yīng)用場景,進(jìn)行網(wǎng)絡(luò)攻擊發(fā)現(xiàn)的實(shí)驗(yàn)驗(yàn)證。比如設(shè)計(jì)移動(dòng)辦公環(huán)境下預(yù)先設(shè)定好若干隱蔽式網(wǎng)絡(luò)攻擊,將本發(fā)明的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)模型模擬應(yīng)用于移動(dòng)辦公網(wǎng)絡(luò),驗(yàn)證能否發(fā)現(xiàn)預(yù)先設(shè)定好的隱蔽式網(wǎng)絡(luò)攻擊,以驗(yàn)證本發(fā)明的模型的可行性和有效性;通過模擬設(shè)計(jì)移動(dòng)辦公環(huán)境下移動(dòng)用戶篡改實(shí)驗(yàn),分析說明本發(fā)明的模型是如何防止移動(dòng)用戶可控性問題,以及如何解決移動(dòng)辦公網(wǎng)絡(luò)環(huán)境下安全應(yīng)用的低可控性與安全需求之間矛盾的問題,同時(shí)根據(jù)實(shí)驗(yàn)結(jié)果數(shù)據(jù)的分析,修正并完善本發(fā)明研究的基于行為評(píng)判的隱蔽式網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)模型。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。