专利名称:基于贝叶斯网络推理的攻击意图识别方法
技术领域:
本发明涉及计算机网络安全技术领域,特别指一种基于贝叶斯网络推理的攻击意图识别方法,可用于计算机网络自组织对抗(Computer Network Self-OrganizingOperations, CNS00)中。
背景技术:
目前网络攻击向复杂性、多样性和分布性方向发展,现实中的攻击绝大多数不是孤立的行为,而是由许多分散行为(一系列的攻击动作)所构成的复合攻击。一般的入侵检测系统中,只对单独的攻击行为报警,报警信息量大而不易理解和分析,亦不能预测攻击者下一步可能发生的攻击。攻击意图是攻击者试图通过一系列攻击行为最终达到的攻击目的,而攻击意图识别是依据观察到的攻击者行为识别其攻击意图的过程。攻击意图识别可以获得隐藏在大量攻击事件背后的攻击意图,作为主动防御的基础增强系统的防御能力, 提高对入侵检测系统的有效利用。计算机网络自组织对抗(ComputerNetwork Self-Organizing Operations,CNS00)是一种为在计算机网络上获取并维持信息优势而由计算机自动地决策和组织实施的攻击、防御和利用行动。其中计算机网络自组织对抗的情报生成行为是从目标的运行状态到其态势的映射,而计算机网络自组织对抗的决策行为可构造为从企图和态势到行动方案的映射。计算机网络对抗情报系统需要能为决策系统提供攻击者的攻击意图,因此情报系统需要能识别攻击者的攻击意图并提供给决策系统作为决策的依据。因此,本发明面向CNS00的攻击意图识别技术,使其拥有更好的准确率和识别效率,为决策系统提供攻击者的攻击意图。攻击意图识别基于某一攻击场景,提出了适用于面向CNS00攻击意图识别的攻击场景描述方法,根据攻击行为、漏洞信息和拓扑信息之间的关系自动地生成攻击场景,作为攻击意图识别的基础。本发明面向CNS00的攻击意图识别中意图概率的计算方法,根据攻击场景和IDS报警信息,推理计算出攻击意图概率,并根据计算结果和历史信息更新计算参数,使计算结果更加准确。
发明内容
本发明解决的技术问题克服现有技术的不足,提供一种基于贝叶斯网络推理的攻击意图识别方法,能够根据拓扑信息、漏洞信息和攻击行为约束关系等自动地生成攻击场景,并根据攻击场景和观测攻击行为序列识别出攻击者的攻击意图,同时根据历史信息进行计算中的参数学习。本发明采用的技术方案是一种基于贝叶斯网络推理的攻击意图识别方法,该方法根据给定的拓扑信息、拓扑中主机的漏洞信息和攻击行为之间的约束关系,利用前向搜索广度优先的方法自动地生成攻击图作为攻击场景,接下来将生成的攻击场景与IDS的报警信息进行匹配,基于贝叶斯网络推理的方法,推算出攻击者的攻击意图概率,并且能够根据推算结果和历史信息对计算的参数进行更新;所述的自动地生成攻击图的方法为攻击意图识别需要基于一个给定的攻击场景,根据观察到的攻击行为序列计算攻击意图的概率,利用攻击图对攻击场景进行描述,攻击场景是在给定网络环境下攻击者实现其攻击意图的一系列攻击行为,根据攻击前件和攻击后件的关系,采用前向搜索广度优先的思想,匹配攻击规则,寻找攻击前件满足的节点,并生成相应的图节点和边;所述的推算出攻击者的攻击意图概率的方法为
攻击意图计算采用贝叶斯网络进行;贝叶斯网络是一个有向无环图,其中节点代表随机变量,节点间的边代表变量之间的直接依赖关系;根据攻击行为的前件后件关系构建出了攻击场景,以此作为贝叶斯网络的结构;根据获得的IDS报警信息聚合后的攻击行为,与贝叶斯网络中节点进行匹配,匹配到的节点及其父节点形成节点对,利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布,再根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值,利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值,根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力,最后输出攻击意图节点的概率值。其中,所述的贝叶斯网络参数学习算法具体为根据攻击行为的前件后件关系构建出了攻击场景,并以此作为贝叶斯网络的结构转;而贝叶斯网络的参数,即贝叶斯网络转换的条件概率则由贝叶斯网络参数学习的方法获得,参数学习在统计学中称为参数估计,在贝叶斯估计的框架中,参数e被视为随机变量,对它进行估计就是计算其后验概率分布,为此,首先要选用一个概率分布P (e)来总结关于0的先验知识,然后把数据D= (d”d2,…,dj的影响用似然函数L(e |d) =p(d| 0)来归纳,最后使用贝叶斯公式P(X|E = e) ocP(x)L(x|E = e)将先验分布和似然函数结合,得到0的后验分布,就是0的贝叶斯估计p( 0 D) p( 0 )L( 0 D)考虑一个由n个变量X = (X1, X2, , XJ组成的贝叶斯网络,设其中节点Xi共有A个取值1,2,...,&,其父节点(Xi)的取值共有qi个取值1,2,...,Qi,网络的参数为0 iJk = P (Xi = k n (Xi) = j)
m贝叶斯网络样本D = ((I1, d2,…,dm),定义w =^x(i,j,k: dt)唧m..k是数据中满
I=I
权利要求
1.一种基于贝叶斯网络推理的攻击意图识别方法,其特征在于根据给定的拓扑信息、拓扑中主机的漏洞信息和攻击行为之间的约束关系,利用前向搜索广度优先的方法自动地生成攻击图作为攻击场景,接下来将生成的攻击场景与IDS的报警信息进行匹配,基于贝叶斯网络推理的方法,推算出攻击者的攻击意图概率,并且能够根据推算结果和历史信息对计算的 参数进行更新; 所述的自动地生成攻击图的方法为 攻击意图识别需要基于一个给定的攻击场景,根据观察到的攻击行为序列计算攻击意图的概率,利用攻击图对攻击场景进行描述,攻击场景是在给定网络环境下攻击者实现其攻击意图的一系列攻击行为,根据攻击前件和攻击后件的关系,采用前向搜索广度优先的思想,匹配攻击规则,寻找攻击前件满足的节点,并生成相应的图节点和边; 所述的推算出攻击者的攻击意图概率的方法为 攻击意图计算采用贝叶斯网络进行;贝叶斯网络是一个有向无环图,其中节点代表随机变量,节点间的边代表变量之间的直接依赖关系;根据攻击行为的前件后件关系构建出了攻击场景,以此作为贝叶斯网络的结构;根据获得的IDS报警信息聚合后的攻击行为,与贝叶斯网络中节点进行匹配,匹配到的节点及其父节点形成节点对,利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布,再根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值,利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值,根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力,最后输出攻击意图节点的概率值; 其中,所述的贝叶斯网络参数学习算法具体为 根据攻击行为的前件后件关系构建出了攻击场景,并以此作为贝叶斯网络的结构转;而贝叶斯网络的参数,即贝叶斯网络转换的条件概率则由贝叶斯网络参数学习的方法获得,参数学习在统计学中称为参数估计,在贝叶斯估计的框架中,参数e被视为随机变量,对它进行估计就是计算其后验概率分布,为此,首先要选用一个概率分布P (e)来总结关于e的先验知识,然后把数据D= ((I1,d2,...,dffl)的影响用似然函数L(e |d) =p(d 0)来归纳,最后使用贝叶斯公式P(X|E = e) ocP(x)L(x|E = e)将先验分布和似然函数结合,得到0的后验分布,就是0的贝叶斯估计 p(9 D) °-p(0)L(0 D) 考虑一个由n个变量X= (X1, X2,, XJ组成的贝叶斯网络,设其中节点Xi共有&个取值1,2,...,&,其父节点(Xi)的取值共有qi个取值1,2,...,Qi,网络的参数为0iJk = P (Xi = k n (Xi) = j) m 贝叶斯网络样本D = ((I1, d2,. .,dm,定义% =Xx(U,k'為),即mijk是数据中满足Xi ^=I=k和(Xi) = j的样本的数量,称为充分统计量,因此,对数似然函数为mnf'i KO |£>)=Z log Pidl \m=yjZ iog % t=lI=I j=l k=l 0的似然函数为 ^i^)=flflficri=l J=I k=l根据贝叶斯公式,有
全文摘要
本发明提供一种基于贝叶斯网络推理的攻击意图识别方法,包括如下内容用于计算机网络自组织对抗中加入参数学习机制的面向情报决策系统的攻击意图识别方法,该方法能够在计算机网络自组织对抗环境中,让情报系统根据已给定的主机漏洞信息、网络拓扑信息和攻击知识库,利用IDS报警信息识别攻击者的攻击意图并提供给决策系统作为决策的依据。攻击意图识别过程为攻击场景生成,IDS报警信息聚合匹配,更新攻击行为对的条件概率分布,利用贝叶斯网络推理中团树传播算法计算攻击意图节点概率,进行贝叶斯网络参数和IDS检测能力的更新。并根据计算结果和历史信息更新计算参数,使计算结果更加准确。
文档编号H04L29/06GK102724199SQ20121021317
公开日2012年10月10日 申请日期2012年6月26日 优先权日2012年6月26日
发明者冯杰, 原志超, 夏春和, 姚珊 申请人:北京航空航天大学