一种云计算中恶意行为检测识别及安全加密装置
技术领域
本发明属于云计算网络安全技术领域,具体涉及一种云计算中恶意行为检测识别及安全加密装置。
背景技术
在当今社会中,各类计算机设备已经成为人们生活工作中必不可少的重要工具,但在受惠于计算机功能优势的同时,人们也承担着相应的网络信息安全风险。此外,在大数据时代的背景下,云处理、物联网等新技术、新理念被开发应用到社会各行各业的运行发展中,进一步为网络信息安全风险提供了产生条件。
新兴计算技术的迅速发展鼓励许多组织将其数据和计算需求外包。此类服务通常会提供安全原则,如保密性、可用性和完整性;因此,高度安全的平台是基于云计算环境的最重要方面之一。目前急需一种既能够缩短识别恶意网络攻击行为的时间,也能够对恶意网络攻击行为进行分类,并且将正常网络行为数据进行基于接收这生物信息和距离加密的云计算服务安全设备。
发明内容
本发明针对上述缺陷,提供一种具有能够识别云计算服务中的网络行为是否为恶意攻击行为,并且进行恶意攻击行为分类后归类进行安全隔离防护,将正常网络行为的数据进行基于距离算法的安全加密的一种云计算中恶意行为检测识别及安全加密装置。
本发明提供如下技术方案:一种云计算中恶意行为检测识别及安全加密装置,包括数据监听和存储模块、数据预处理和特征提取模块、粒子群优化概率神经网络处理模块、恶意攻击识别模块、攻击类别分类模块、正常网络行为归类及安全加密模块;
所述数据预处理和特征提取模块,用于将学习和建模的数据进行信息特征提取的数据处理;
所述粒子群优化概率神经网络处理模块包括粒子群优化模块、概率神经网络模型构建模块、网络行为检测模块,用于构建粒子群优化的概率神经网络模型,并使用所述模型同时训练优化和检测各种云计算中的正常和内部恶意网络攻击行为;
所述数据预处理和特征提取模块包括特征转换模块、特征筛捡模块、特征规范化模块,所述特征规范化模块采用最小-最大法规范化数据:
其中,所述X代表数据特征值,所述min(X)代表所述数据特征值X 的最小值,所述max(X)代表所有所述数据特征值X的最大值;
所述正常网路行为归类及安全加密模块为基于生物信息和距离的加密算法的模块,包括私钥生成模块、加密模块和解密模块,所述私钥生成模块用于生成私钥,所述加密模块用于根据消息接收者的生物信息发送加密信息向量
所述解密模块接收从加密模块发送的密文和私钥
其中,所述ai、aj属于所述向量
所述检测识别及安全加密装置的云计算恶意行为检测识别方法,包括以下步骤:
M1:利用数据监听和存储模块收集用户在网络通讯过程中的数据;
M2:将所述数据传递给数据预处理和特征提取模块,用于对数据进行预处理并提取数据中的信息特征,形成处理后数据向量集合X= {x1,......,xn},i=1,……,n,所述xi为第i个经过所述信息特征数据处理的特征向量;
M3:将所述处理后数据向量集合X传递给所述粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块,所述概率神经网络模型构建模块利用所述处理后数据构建概率神经网络模型,针对不同类别的所述处理后数据向量集合X输出若干个扩散参数σi;
M4:所述概率神经网络模型模块将所述若干个扩散参数σi传递给粒子群优化模块,所述粒子群优化模块将所述若干个扩散参数σi作为若干个粒子进行粒子群优化迭代,直至迭代完成,确定概率神经网络模型的最佳扩散参数σg;
M5:所述概率神经网络模型模块利用所述处理后数据向量集合X以及所述最佳扩散参数σg构建用于数据训练的概率神经网络模型Sstrain,所述模型Sstrain中的第k组的所述处理后数据向量集合X的输出为Fk,i(X);
M6:继续收集网络通讯中经过数据预处理和特征提取模块处理后的数据,形成数据向量集合Y={y1,......,yn},i=1,……,n,定义为测试数据集Sstest,将所述测试数据集Sstest传递给网络行为检测模块;
M7:将所述概率神经网络模型Sstrain输入至所述网络行为检测模块,利用所述M4步骤得到的带有最佳扩散参数σg的概率神经网络模型Sstrain连接所述测试数据集Sstest中的所有特征向量yi,得到具有不同最大输出 Gk(Y)的K个网络行为类别,所述1≤k≤K,传递给恶意攻击识别模块;
M8:所述恶意攻击识别模块识别结果数据向量类别后,将内部恶意网络攻击行为向量分类至攻击类别分类模块,将内部正常网络行为向量分类至正常网络行为模块;
M9:所述攻击类别分类模块根据求和检测结果将数据向量Y归类至最大输出相对应的类别中。
进一步地,所述M4步骤包括以下步骤:
M40:确定粒子群优化模式的限制因子R;
M41:初始化所述扩散参数σi作为粒子的粒子群,设定使第t代粒子σi(t)为变化速率vi(t)位于边界β=[0,1]内,所述粒子群中的第t代粒子σi(t) 的初始位置为xi(t),初始化最佳数据向量位置
M42:更新每个所述粒子σi的速率vi(t)为vi(t+1);
M43:利用M42步骤得到的vi(t+1)更新每个第t代粒子σi(t)为第t+1 代粒子σi(t+1):σi(t+1)=σi(t)+vi(t+1);
M44:约束位于所述边界β内的粒子群σi的每个所述第t+1代粒子σi(t+1)位置的数据向量,计算扩散系数粒子群σi(t+1)中的比例系数 f(σi(t+1));
M45:更新最佳数据向量位置
M46:确定是否获得所述最佳扩散参数σg;若是,则停止迭代,若否,则更新迭代数由t至t+1,更新所述步骤M42至所述步骤M46。
进一步地,所述M40步骤中的限制因子R的计算公式如下:
其中,所述φ=c1+c2,k为迭代次数,k∈[0,1],所述c1为与每个粒子的最佳位置相关的系数,所述c2为是与有助于改变粒子速度的邻域的最佳位置相关的系数,0≤c1,c2≤2。
进一步地,所述步骤M42中的更新每个粒子σi的的速率vi(t)为vi(t+ 1)的公式如下:
其中,所述c1为与每个粒子的最佳位置相关的系数,所述c2为是与有助于改变粒子速度的邻域的最佳位置相关的系数,0≤c1,c2≤2;所述r1、所述r2为每次速度更新时产生的随机变量。
进一步地,所述步骤M45中的
进一步地,所述步骤M5中第k组的所述处理后数据向量集合X的输出为Fk,i(X)的公式如下:
其中,所述Xk,i是第k组的第i个数据向量。
进一步地,所述步骤M7中Gk(Y)的计算公式如下:
其中k∈(1,...,K),所述Mk为第k组的数据向量集合Y的输出神经元 Fki(Y)的个数,所述ωki是满足
进一步地,所述步骤M8中的识别结果数据向量类别的公式如下:
数据向量集合Y根据得到的C(Y)值,被分组到与从求和单元计算的最大输出相对应的类中。
进一步地,所述M9步骤中攻击类别模块分类得到的内部异常网络攻击行为模糊攻击、分析攻击、后门攻击、DoS攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击或蠕虫攻击中的一种或几种。
进一步地,所述数据监听和存储模块包括数据监听采集模块和特征集选取模块。
本发明的有益效果为:
1、本申请所要求保护的恶意行为检测识别和安全加密装置,可以能够识别云计算服务中的网络行为是否为恶意攻击行为,并且进行恶意攻击行为分类后归类进行安全隔离防护,将正常网络行为的数据进行基于距离算法的安全加密。
2、本申请的安全加密过程中使用基于生物特征的和基于距离的加密算法,该生成一个通用的阈值和距离参数来度量向量的差异。这些载体来源于对应生物特征用户。如果如果两个向量的距离小于阈值,则将两个生物特征视为“匹配”。解密条件遵循矢量识别的结果。如果向量
3、与简单的神经网络方法相比,该方法经过具有与每个粒子的最佳位置相关的系数c1和与有助于改变粒子速度的邻域的最佳位置相关的系数c2有关的限制因子R选择的粒子群优化算法模式的粒子群算法优化的概率网络神经算法,并且源数据为以特征向量形式记录的恶意行为,其被分类到各种类型的实时攻击类别模块中,能够实现检测和识别云计算和移动计算环境中的内部恶意行为。
4、现有技术中的概率神经网络性能受到扩散系数σ的影响,本申请提供的智能内部恶意行为网络攻击识别方法在应用概率神经网络针对信息特征提取处理后的数据对进行分类过程之前,采用粒子群优化算法对概率神经网络中的扩散系数σ进行优化,得到具有最佳扩散系数σg,对概率神经网络算法进行优化后,形成了针对所采集的网络数据集合具有自适应性能的概率神经网络算法。
5、本申请提供的装置内的云计算恶意行为检测识别方法在进行粒子群优化过程中,采用了与每个粒子的最佳位置相关的系数c1和与有助于改变粒子速度的邻域的最佳位置相关的系数c2之和的系数φ和迭代次数k限制得到的限制因子R,根据限制因子R确定粒子群优化模式之后,在进行粒子群的初始化,能够根据不同的网络环境所带来的数据类别不同而进行更加适合的粒子群优化方式和环境,使粒子群优化后所得到的最佳扩散系数σg能够更加准确地识别恶意网络攻击行为还是正常的网络行为。
6、本申请所要求保护的装置中的数据预处理和特征提取模块中的特征规范化模块采用最小-最大法规范化数据,能够保证经过特征提取后的数据进一步规范化,去除了信息的噪声,保证了最终用于粒子群优化后的概率神经网络模型构建模块构建训练模型时的数据的整齐性,保证了训练模型的规范化,进而提高了最终的检测数据的准确性。
7、本申请能够根据粒子群优化后的概率神经网络,不仅仅是识别出网络行为到底是正常的网络行为还是网络攻击行为,还能够根据训练后的概率神经网络评估输入的检测的数据向量集合所代表的异常类—模糊攻击、分析攻击、后门攻击、DoS攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击和蠕虫攻击,进而被后续的攻击类别分类模块归类到不同的恶意攻击类别网络行为,使后续的安全防御系统有针对性的进行恶意行为阻拦和防火墙的搭建。
8、本申请所提供的装置内的云计算恶意行为检测识别方法是根据基于对用户行为的观察,而不是基于用户的凭证,即是网络用户的实时网络数据所组成的数据向量集合,并且经过信息特征处理后的网络数据,无需安全加密过程中的用户凭证进行数据采集,保证了源数据的准确性。
9、本申请提供的装置内的云计算恶意行为检测识别方法从用户的网络行为中提取有意义的信息,并利用机器学习的方式从网络中提取有意义的信息,经过粒子群优化后的概率神经网络模型构建模块将自动以特征向量形式记录的恶意行为分类到各种类型的实时攻击中,提高了检测网络攻击的精度的同时也降低了检测的复杂度和所需要的时间,加快了恶意网络攻击行为的识别速度。
附图说明
在下文中将基于实施例并参考附图来对本发明进行更详细的描述。其中:
图1为本发明提供的恶意行为检测识别和安全加密装置整体示意图;
图2为本发明提供的云计算恶意行为检测识别方法流程图;
图3为本发明提供的粒子群优化迭代示意图;
图4为本发明提供的进行信息特征提取预处理之后的网络数据经过概率神经网络构建模块输出扩散系数的概率值的示意图;
图5为本发明提供的M4步骤中的具体M41-M46步骤第t代粒子σi(t) 更新为第t+1代粒子σi(t+1)的位置变化图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本实施例提供的一种云计算中恶意行为检测识别及安全加密装置,包括数据监听和存储模块、数据预处理和特征提取模块、粒子群优化概率神经网络处理模块、恶意攻击识别模块、攻击类别分类模块、正常网络行为归类及安全加密模块;
数据预处理和特征提取模块,用于将学习和建模的数据进行信息特征提取的数据处理;收集的数据来自网络包,其中包含大量不必要和重复的值。预处理通过删除影响决策引擎识别恶意行为性能的无关或噪声信息来过滤网络数据。然后,提取的特征是识别系统的兼容输入;
粒子群优化概率神经网络处理模块包括粒子群优化模块、概率神经网络模型构建模块、网络行为检测模块,用于构建粒子群优化的概率神经网络模型,并使用模型同时训练优化和检测各种云计算中的正常和内部恶意网络攻击行为;
数据预处理和特征提取模块包括特征转换模块、特征筛捡模块、特征规范化模块,特征规范化模块采用最小-最大法规范化数据:
其中,X代表数据特征值,min(X)代表数据特征值X的最小值, max(X)代表所有数据特征值X的最大值;
数据集中的特征以定量(即数值)和定性(即符号)两种类型表示。由于识别模块只能处理定量数据,因此采用统一格式将所有非定量特征转换为数字特征;利用特征筛捡模块将不重要的数据和噪声特征数据删除,使数据占用内存少、后续的数据传输和处理时间少、检测精度高;
正常网路行为归类及安全加密模块为基于生物信息和距离的加密算法的模块,包括私钥生成模块、加密模块和解密模块,私钥生成模块用于生成私钥,加密模块用于根据消息接收者的生物信息发送加密信息向量
解密模块接收从加密模块发送的密文和私钥
其中,ai、aj属于向量
如图2所示,检测识别及安全加密装置的云计算恶意行为检测识别方法,包括以下步骤:
M1:利用数据监听和存储模块收集用户在网络通讯过程中的数据;
M2:将数据传递给数据预处理和特征提取模块,用于对数据进行预处理并提取数据中的信息特征,形成处理后数据向量集合X={x1,......,xn}, i=1,……,n,xi为第i个经过信息特征数据处理的特征向量;
M3:将处理后数据向量集合X传递给粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块,概率神经网络模型构建模块利用处理后数据构建概率神经网络模型,针对不同类别的处理后数据向量集合X 输出若干个扩散参数σi;
M4:如图3所示,概率神经网络模型模块将若干个扩散参数σi传递给粒子群优化模块,粒子群优化模块将若干个扩散参数σi作为若干个粒子进行粒子群优化迭代,直至迭代完成,确定概率神经网络模型的最佳扩散参数σg;
具体地,M4步骤包括如下步骤:
M40:确定粒子群优化模式的限制因子R:
其中,φ=c1+c2,k为迭代次数,k∈[0,1],c1为与每个粒子的最佳位置相关的系数,c2为是与有助于改变粒子速度的邻域的最佳位置相关的系数,0≤c1,c2≤2;如图4所示,当处理后数据向量集合X输送至粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块中后,概率神经网络模型构建模块会根据每个处理后数据向量集合X输出一个扩散系数的概率值,为σ1,σ2,…,σk,...,σi,i∈n,输送至粒子群优化模块中,粒子群优化模块再根据输出的n个扩散系数σi作为粒子,进行粒子群算法的优化,得到最佳扩散系数σg;
M41:如图5所示,初始化扩散参数σi作为粒子的粒子群,设定使第 t代粒子σi(t)为变化速率vi(t)位于边界β=[0,1]内,所述粒子群中的粒子σi(t)的初始位置为xi(t),初始化最佳数据向量位置
M42:更新每个粒子σi的速率vi(t)为vi(t+1):
其中,r1、r2为每次速度更新时产生的随机变量;
M43:利用M42步骤得到的vi(t+1)更新每个第t代粒子σi(t)为第t+1 代粒子σi(t+1):σi(t+1)=σi(t)+vi(t+1);
M44:约束位于边界β内的粒子群σi的每个第t+1代粒子σi(t+1)位置的数据向量,计算扩散系数粒子群σi(t+1)中的比例系数f(σi(t+1));
M45:更新最佳数据向量位置
M46:依照上述方法继续更新第t+1代粒子σi(t+1),确定是否获得最佳扩散参数σg;若是,则停止迭代,若否,则更新迭代数由t至t+1,更新步骤M42至步骤M46;
M5:概率神经网络模型模块利用处理后数据向量集合X以及最佳扩散参数σg构建用于数据训练的概率神经网络模型Sstrain,模型Sstrain中的第k组的处理后数据向量集合X的输出为Fk,i(X):
其中,Xk,i是第k组的第i个数据向量,它引用了决定内核可修改字段大小的扩散参数σg;
M6:继续收集网络通讯中的数据,形成数据向量集合Y={y1,......,yn}, i=1,……,n,定义为测试数据集Sstest,将测试数据集Sstest传递给网络行为检测模块;
M7:将概率神经网络模型Sstrain输入至网络行为检测模块,利用M4 步骤得到的带有最佳扩散参数σg的概率神经网络模型Sstrain连接测试数据集Sstest中的所有特征向量yi,得到具有不同最大输出Gk(Y)的K个网络行为类别,1≤k≤K,传递给恶意攻击识别模块;
其中k∈(1,...,K),Mk为第k组的数据向量集合Y的输出神经元Fki(Y) 的个数,ωki是满足
M8:恶意攻击识别模块识别结果数据向量类别后,将内部恶意网络攻击行为向量分类至攻击类别分类模块,将内部正常网络行为向量分类至正常网络行为模块,其中识别结果数据向量的公式为:
数据向量集合Y根据得到的C(Y)值,被分组到与从求和单元计算的最大输出相对应的类中;
M9:攻击类别分类模块根据求和检测结果将数据向量Y归类至最大输出相对应的类别中,攻击类别可以为模糊攻击、分析攻击、后门攻击、 DoS攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击或蠕虫攻击中的一种或几种。
根据限制因子R确定粒子群优化模式之后,在进行粒子群的初始化,能够根据不同的网络环境所带来的数据类别不同而进行更加适合的粒子群优化方式和环境,使粒子群优化后所得到的最佳扩散系数σg能够更加准确地识别恶意网络攻击行为还是正常的网络行为。
进一步地,数据监听和存储模块包括数据监听采集模块和特征集选取模块,用于将云计算服务中的网络数据经过数据肩颈采集模块采集后,经过特征集选取模块将不同的特征的数据归类成为一个集合输送给数据预处理模块和特征提取模块。数据集中收集的所有用户观察结果被分为五个不同的组,以确定用户行为的潜在特征,这些组包括:流特征、基本特征、内容特征、时间特征、生成特征和附加特征。
虽然已经参考优选实施例对本发明进行了描述,但在不脱离本发明的范围的情况下,以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
