一种基于模糊不确定性推理的攻击检测方法

摘要

本发明涉及一种基于模糊不确定性推理的攻击检测方法，属于网络信息安 全技术领域。适用于误用检测系统。本发明在提取模糊攻击特征以及建立模糊 知识模板的基础上，采用模糊推理技术对攻击发生的可能性进行检测。误用检 测系统采用本发明方法，能够有效的提高对攻击行为及其变体的检测准确率。

主权项

1.一种基于模糊不确定性推理的攻击检测方法，其特征在于：在提取模糊攻击特征以及建立模糊知识模板的基础上，采用模糊推理技术对攻击发生的可能性进行检测。具体实现步骤如下：步骤一、建立模糊攻击知识模板第1步：提取模糊攻击特征通过对某一类攻击进行详细分析，提取出针对该类攻击的一组模糊特征，表示为x_j(j＝1，2，…，n)；第2步：建立模糊知识模板根据领域专家的经验和知识，利用第1步提取的模糊特征建立模糊知识模板。模糊知识模板由一组IF和THEN语句组成，如下：其中是模糊特征x_j(j＝1，2，…，n)的取值范围X_j上的模糊集合，是攻击可能性y的取值范围Y上的模糊集合。步骤二、建立隶属函数库在步骤一的基础上，根据领域专家的经验和知识建立模糊知识模板中模糊集合的隶属函数，生成隶属函数库。定义模糊集合和(i＝1，2，…，m，j＝1，2，…，n)对应的隶属函数分别为和步骤三、采集模糊证据在步骤一的基础上，通过收集网络数据包、操作系统日志、应用系统日志等，对收集到的数据进行初步过滤后，计算模糊特征x_j的具体数量值，用表示。步骤四、模糊化在步骤二和步骤三的基础上，将模糊特征x_j的值代入步骤二中建立的隶属函数，得到对应的隶属度值，用表示，即为模糊化后的模糊证据。步骤五、进行模糊推理在步骤四的基础上，进行模糊推理。具体步骤如下：第1步：建立模糊蕴含关系的隶属函数根据步骤一建立的模糊知识模板确定特征变量x_j(j＝1，2，…，n)与攻击类型y之间的一个模糊蕴含关系，用表示。模糊关系的隶属函数由下式求得：其中运算符∧和∨分别是逻辑“与”和逻辑“或”运算。第2步：进行模糊推理利用步骤四中得到的模糊证据进行模糊推理，得到攻击y的可能性的模糊集合模糊集合的隶属函数计算如下：步骤六、去模糊化针对步骤五得到的攻击y发生可能性的模糊集合取其隶属函数曲线与横坐标轴围成面积的重心作为攻击y发生可能性的具体值，计算公式如下：$u=\frac{\int y{\mu }_{{\tilde{B}}^{\prime }}\left(y\right)\mathrm{dy}}{{\int \mu }_{{\tilde{B}}^{\prime }}\left(y\right)\mathrm{dy}}---\left(3\right)$其中，u值是一个0到1之间的数，表示通过模糊推理得到的某一攻击发生的可能性大小。