基于因果贝叶斯网络的多步攻击预测方法与流程

本发明属于计算机网络通信技术领域，特别涉及一种基于因果贝叶斯网络的多步攻击预测方法。

背景技术：

伴随着计算机网络技术的飞速发展，网络安全问题日益成为网络领域的关注焦点。网络攻击变得越来越频繁、手段也更多样化和复杂化，造成网络安全威胁越来越严重。目前，网络攻击中多步攻击所占比例很高，它是由多个不同的攻击步骤构成的一个完整攻击，前期攻击行为不明显，但当检测到攻击发生时，就已经对攻击目标带来了严重的损害。快速、准确地预测多步攻击的下一步攻击手段和最终攻击意图，对保护网络和计算机信息安全具有重要的现实意义。

目前有多种网络安全防护技术被广泛应用在复杂的网络中，其中入侵检测系统(IDS)作为网络主动防御手段之一，能够识别攻击者、攻击行为和已发生攻击，并触发报警。但这些入侵检测系统仅能对单个攻击事件进行报警，无法检测到多步攻击以及预测攻击者的下一步攻击和攻击意图。网络攻击预测技术作为入侵检测系统的补充，它是在原始报警日志或网络流量分析得到的攻击事件基础上，实现攻击预测功能。现有网络攻击预测技术大多根据攻击行为的特征对单步攻击进行预测，而少数适用于多步攻击的攻击预测方法存在攻击模式单一、需设定预测参数等问题，导致预测结果不准确或预测能力不足。

技术实现要素：

为克服现有技术中的不足，本发明提供一种基于因果贝叶斯网络的多步攻击预测方法，实现自动挖掘多步攻击模式、推理预测下一步攻击及最终攻击，解决人工构建攻击模式和设定预测参数的方法不能很好地适应网络攻击模式动态变化的问题。

按照本发明所提供的设计方案，一种基于因果贝叶斯网络的多步攻击预测方法，包含如下步骤：

步骤1、搜集已知攻击场景数据，其中，一部分数据作为训练数据集，另一部分数据作为测试数据集；

步骤2、采用Prefixspan序列模式挖掘算法对训练数据集进行频繁序列模式挖掘，得到攻击行为的因果关系关联规则，根据因果关系关联规则，构建因果贝叶斯攻击图；通过训练数据集对贝叶斯攻击图进行参数学习；

步骤3、将测试数据集中的多步攻击场景中的攻击步骤作为攻击证据，对因果贝叶斯攻击图进行参数概率推理，计算因果贝叶斯攻击图中未知攻击的发生概率，预测网络多步攻击的下一步攻击行为及其攻击意图。

上述的，步骤2具体包含如下内容：

步骤2.1、对训练数据集进行扫描，找到训练数据攻击序列集所有频繁项，每个频繁项对应一个攻击步骤，得到频繁项集，其中，频繁项集包含n个频繁项；

步骤2.2、根据频繁项集，得到以各频繁项为前缀的长度为1的序列模式集，记为频繁序列子集，其中，以一个频繁项为前缀的全部序列模式包含的所有后缀构成的集合称为该前缀的投影数据库；

步骤2.3、在不同前缀对应的投影数据库上，重复步骤2.2，直至找不到新的长度为1的序列模式为止，得到不同前缀对应的频繁序列模式；

步骤2.4、合并不同前缀对应的频繁序列模式中的相同项，得到序列长度大于1的序列模式集合，将序列模式集合中的项映射为攻击行为，得到攻击行为的因果关联规则集S；

步骤2.5、根据因果关联规则集S构建因果贝叶斯攻击图，通过合并相同项将因果序列集映射到因果贝叶斯攻击图上；

步骤2.6、依据贝叶斯网络参数学习过程，通过训练数据集学习贝叶斯攻击图参数的概率分布。

上述的，所述步骤3具体包含如下内容：

步骤3.1、对加入攻击证据的因果贝叶斯攻击图进行参数概率计算，得到该攻击证据的直接节点与间接节点概率值；

步骤3.2、通过步骤3.1得到的概率值来预测网络多步攻击的下一步攻击行为及其攻击意图。

上述的，所述步骤3.1中的参数概率计算通过概率计算表达式实现，具体内容如下：假设攻击事件Evt为攻击证据，在贝叶斯攻击图上Evt的所有直接和间接节点的概率值都发生变化，间接节点为Pre(Evt)，直接节点为DPre(Evt)，则计算攻击事件发生的概率，公式如下：

P(Evt)＝P(Evt|DPre(Evt))×P(DPre(Evt))

，根据计算出的概率，取直接节点中概率最大者为预测出的下一步可能发生的攻击行为；将叶子节点中概率最大值视为最终攻击意图。

本发明的有益效果：

本发明采用频繁模式挖掘攻击场景样本中的多步攻击模式，通过因果贝叶斯网络模型刻画多步攻击模式，在此基础上通过攻击证据来计算未来攻击发生的概率，实现网络多步攻击的下一步攻击行为以及攻击者的攻击意图的预测；优化了采用人工构建网络攻击结构图的多步攻击预测方法，基于频繁序列模式自动挖掘多步攻击模式，并借助因果贝叶斯网络刻画攻击模式、学习网络参数、预测下一步攻击和攻击意图，提高了对未知的、变化的多步攻击模式的攻击预测能力，能够快速、准确地预测多步攻击的下一步攻击手段和最终攻击意图，通过实验验证，其具有较高的可信度，对保护网络和计算机信息安全具有重要的现实意义。

附图说明：

图1为本发明的流程示意图；

图2为实施例中各攻击场景所含攻击步骤信息表截图；

图3为因果贝叶斯网络攻击图示意图；

图4为基于因果贝叶斯网络攻击图的预测结果。

具体实施方式：

下面结合附图和技术方案对本发明作进一步详细的说明，并通过优选的实施例详细说明本发明的实施方式，但本发明的实施方式并不限于此。

实施例一，参见图1所示，一种基于因果贝叶斯网络的多步攻击预测方法，包含如下步骤：

步骤1、搜集已知攻击场景数据，其中，一部分数据作为训练数据集，另一部分数据作为测试数据集；

步骤2、将训练数据集中的多步攻击场景中的攻击步骤作为攻击证据，对因果贝叶斯攻击图进行参数概率推理，计算因果贝叶斯攻击图中未知攻击的发生概率，预测网络多步攻击的下一步攻击行为及其攻击意图；

步骤3、基于因果贝叶斯攻击图，通过攻击证据计算未知攻击发生概率，预测网络多步攻击的下一步攻击行为及其攻击意图。

本发明采用频繁模式挖掘攻击场景样本中的多步攻击模式，采用因果贝叶斯网络模型刻画多步攻击模式，在此基础上通过攻击证据来计算未来攻击发生的概率，实现网络多步攻击的下一步攻击行为以及攻击者的攻击意图的预测，提高了对未知的、变化的多步攻击模式的攻击预测能力，对保护网络和计算机信息安全具有重要的现实意义

实施例二，参见图1～4所示，一种基于因果贝叶斯网络的多步攻击预测方法，包含如下内容：

步骤1、搜集已知攻击场景数据，其中，一部分数据作为训练数据集，另一部分数据作为测试数据集；

步骤2、对训练数据集进行扫描，找到训练数据攻击序列集所有频繁项，每个频繁项对应一个攻击步骤，得到频繁项集，其中，频繁项集包含n个频繁项；根据频繁项集，得到以各频繁项为前缀的长度为1的序列模式集，记为频繁序列子集，其中，以一个频繁项为前缀的全部序列模式包含的所有后缀构成的集合称为该前缀的投影数据库，在不同前缀对应的投影数据库上，重复执行，直至找不到新的长度为1的序列模式为止，得到不同前缀对应的频繁序列模式；合并不同前缀对应的频繁序列模式中的相同项，得到序列长度大于1的序列模式集合，将序列模式集合中的项映射为攻击行为，得到攻击行为的因果关联规则集S；根据因果关联规则集S构建因果贝叶斯攻击图，通过合并相同项将因果序列集映射到因果贝叶斯攻击图上；依据贝叶斯网络参数学习过程，通过训练数据集学习贝叶斯攻击图参数的概率分布。

步骤3、基于因果贝叶斯攻击图，对加入攻击证据的因果贝叶斯攻击图进行参数概率计算，得到该攻击证据的直接节点与间接节点概率值，参数概率计算通过概率计算表达式实现，具体内容如下：假设攻击事件Evt为攻击证据，在贝叶斯攻击图上Evt的所有直接和间接节点的概率值都发生变化，间接节点为Pre(Evt)，直接节点为DPre(Evt)，则计算攻击事件发生的概率，公式如下：

P(Evt)＝P(Evt|DPre(Evt))×P(DPre(Evt))

，根据计算出的概率，取直接节点中概率最大者为预测出的下一步可能发生的攻击行为；将叶子节点中概率最大值视为最终攻击意图；通过概率值来预测网络多步攻击的下一步攻击行为及其攻击意图。

为了便于对Prefixspan序列模式挖掘算法的理解，下面将举例说明因果序列模式的产生过程，序列数据库如表1所示：

表1 序列数据库

首先，得到长度为1的序列模式。对序列数据库扫描一次得到全部频繁项目n，即所有长度为1的频繁序列集合。扫描S一次，找到所有的频繁项，每个频繁项都是一个长度为1的序列模式。找到的频繁项以及支持度为<a>:4，<b>:4，<c>:4，<d>:3，为最初的prefix前缀。长度为1分离的序列模式1-project序列模式如表2所示：

表2 1-project序列模式

然后，划分搜索空间，将频繁序列完整的集合分为n个具有不同前缀的频繁序列的子集；序列模式的完全集可根据4个前缀划分为下面的4个子集：即前缀分别为<a>，<b>，<c>，<d>的子集。

最后，找出序列模式的子集。通过构造相应的投影数据库并在其中递归地挖掘频繁序列为Prefix的长度为K+1的频繁序列。具体过程如下：首先发现以<a>为前缀的序列模式，将包含项a的数据序列搜集起来，且在这些序列中，只考虑其中以第一次出现的a为前缀的子序列。S中包含<a>的投影构成了<a>-投影数据库，它包含x个后缀序列。通过对该投影数据库扫描一次，可发现以<a>为前缀的2-project模式。通过构造投影数据库并在其中递归挖掘可得到的各个子集。相似地，通过构造<b>-，<c>-，<d>-投影数据库来构造相应的序列模式的子集。投影数据库和序列模式的完整集合见表3所示：

表3 投影数据库和序列模式

此时的序列模式集合为所求因果关联规则集S，将其作为因果贝叶斯攻击图的结构构建依据，通过合并相同项把因果序列集映射到攻击图上。因果贝叶斯攻击图的结构构建依据是攻击行为之间的因果关系，通过对大量攻击序列训练集进行频繁模式挖掘，得到攻击行为的因果关系关联规则；采用Prefixspan算法从包含大量攻击序列的数据集中挖掘出具有因果关联规则的序列模式，将其作为因果贝叶斯攻击图结构的构建依据。

本发明基于频繁序列模式自动挖掘多步攻击模式，并借助因果贝叶斯网络刻画攻击模式、学习网络参数、预测下一步攻击和攻击意图，优化了采用人工构建网络攻击结构图的多步攻击预测方法，提高了对未知的、变化的多步攻击模式的攻击预测能力，能够快速、准确地预测多步攻击的下一步攻击手段和最终攻击意图，通过实验验证，其具有较高的可信度，对保护网络和计算机信息安全具有重要的现实意义。

为了验证方法的有效性，选取攻击模式挖掘、攻击场景还原、网络攻击预测等实验的常用数据集DARPA 2000的两个攻击场景LLDOS 1.0、LLDOS 2.0和从公开资料搜集的攻击场景，累计30个攻击场景数据，作为实验中因果贝叶斯攻击场景图的训练数据集和攻击场景预测的测试数据，具体过程如下：

DARPA 2000数据集由美国麻省理工大学林肯实验室提供，包含了两个完整的DDoS攻击过程和详细的网络攻击说明，给出了特定时间内发生的攻击种类和攻击类型，在网络入侵检测和安全态势感知研究中应用最广泛，在该数据集上进行相关实验验证，其结果具有较高的可信度，且便于对实验结果的比对分析。

30个攻击场景共归类为8个攻击步骤，含13种攻击类型，各攻击场景包含的攻击步骤信息表的部分内容截图，如图2所示。

实验训练得到的因果贝叶斯攻击图，如图3所示，其中灰色节点和连线构成了因果贝叶斯攻击场景图的网络结构，数字是学习出的贝叶斯网络参数的概率分布；攻击预测过程和预测结果，如图4所示，其中红色线标示的是预测结果，红色实线椭圆代表当前发生的攻击行为，连接节点的虚线表示受到当前攻击发生直接影响到的攻击行为，红色虚线椭圆表示根据条件概率预测下一步发生的攻击行为，每一步预测推理得到的攻击行为概率分布如表4所示。

表4 攻击行为概率分布表

从表4可以看出，基于构建的因果贝叶斯网络攻击图所预测出的下一步攻击行为准确率较高，由于因果贝叶斯网络攻击图是依据因果关系来构建的，在攻击行为发生时，存在因果关系的节点受到的直接影响比较大，故其推断得到的概率比较高(一般大于0.7)；该网络在最终攻击意图预测方面，虽然概率值总体较低，但其概率值也在随着攻击进度的推进而逐渐提高。

本发明不局限于上述具体实施方式，本领域技术人员还可据此做出多种变化，但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。