一种网络攻击预测的方法、系统、设备及可读存储介质与流程

本申请涉及网络攻击预测领域，特别涉及一种网络攻击预测的方法、系统、设备及可读存储介质。

背景技术：

态势感知的概念最早在军事领域被提出，随着网络的兴起而升级为“网络态势感知(cyberspacesituationawareness，csa)”，旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，进而进行决策与行动。

在现实生活中网络攻击的形式千变万化，在攻击发生并造成严重后果以后采取措施成本高且会造成不可估计的损失，所以攻击预测这项研究也就应运而生。在发明中将攻击的不确定性分析定义为攻击预测，大多的研究是通过攻击图模型来分析、预测网络空间的攻击行为。

然而，由于目前网络的网络结构变得日益复杂，而且规模不断增大，这给攻击链路的概率计算增加了很大的难度，使得网络攻击预测的效率及准确率低下。

因此，如何提高网络攻击预测的效率及准确率是本领域技术人员目前需要解决的技术问题。

技术实现要素：

本申请的目的是提供一种网络攻击预测的方法、系统、设备及可读存储介质，用于提高网络攻击预测的效率及准确率。

为解决上述技术问题，本申请提供一种网络攻击预测的方法，该方法包括：

获取目标网络空间的拓扑结构；

根据所述拓扑结构确定所述目标网络空间中所有节点的有向连接关系；

基于所述所有节点的有向连接关系生成所述目标网络空间的概率图模型；

根据所述概率图模型确定被攻击概率最高的链路。

可选的，所述基于所述所有节点的有向连接关系生成所述目标网络空间的概率图模型，包括：

计算每个子节点被攻陷的概率；

根据每个所述子节点被攻陷的概率分别确定第一条件概率表和第二条件概率表；其中，所述第一条件概率表为父节点唯一时对应的条件概率表，所述第二条件概率表为所述父节点不唯一时对应的条件概率表；

根据所述第一条件概率表和所述第二条件概率表生成所述目标网络空间的概率图模型。

可选的，还包括：

接收输入的概率计算命令；

根据所述概率计算命令确定目标节点；

根据所述概率图模型计算所述目标节点被攻击的概率。

可选的，在根据所述概率图模型确定被攻击概率最高的链路之后，还包括：

生成预测报告，并将所述预测报告上传至态势感知平台。

本申请还提供一种网络攻击预测的系统，该系统包括：

获取模块，用于获取目标网络空间的拓扑结构；

第一确定模块，用于根据所述拓扑结构确定所述目标网络空间中所有节点的有向连接关系；

模型生成模块，用于基于所述所有节点的有向连接关系生成所述目标网络空间的概率图模型；

第二确定模块，用于根据所述概率图模型确定被攻击概率最高的链路。

可选的，所述模型生成模块包括：

计算子模块，用于计算每个子节点被攻陷的概率；

确定子模块，用于根据每个所述子节点被攻陷的概率分别确定第一条件概率表和第二条件概率表；其中，所述第一条件概率表为父节点唯一时对应的条件概率表，所述第二条件概率表为所述父节点不唯一时对应的条件概率表；

生成子模块，用于根据所述第一条件概率表和所述第二条件概率表生成所述目标网络空间的概率图模型。

可选的，还包括：

接收模块，用于接收输入的概率计算命令；

第三确定模块，用于根据所述概率计算命令确定目标节点；

计算模块，用于根据所述概率图模型计算所述目标节点被攻击的概率。

可选的，还包括：

报告模块，用于在根据概率图模型确定被攻击概率最高的链路之后，生成预测报告，并将所述预测报告上传至态势感知平台。

本申请还提供一种网络攻击预测设备，该网络攻击预测设备包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述任一项所述网络攻击预测的方法的步骤。

本申请还提供一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述网络攻击预测的方法的步骤。

本申请所提供网络攻击预测的方法，包括：获取目标网络空间的拓扑结构；根据拓扑结构确定目标网络空间中所有节点的有向连接关系；基于所有节点的有向连接关系生成目标网络空间的概率图模型；根据概率图模型确定被攻击概率最高的链路。

本申请所提供的技术方案，通过基于所有节点的有向连接关系生成目标网络空间的概率图模型，然后根据概率图模型确定被攻击概率最高的链路，利用概率网络中的独立性简化了网络空间中联合概率分布的方法表示，能有效处理不确定性推理，并且能够对网络空间的数据进行更为准确的分析、预测，有效提高了网络攻击预测的效率及准确率。本申请同时还提供了一种网络攻击预测的系统、设备及可读存储介质，具有上述有益效果，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例所提供的一种网络攻击预测的方法的流程图；

图2为图1所提供的一种网络攻击预测的方法中s103的一种实际表现方式的流程图；

图3为本申请实施例所提供的另一种网络攻击预测的方法的流程图；

图4为本申请实施例所提供的一种网络攻击预测的系统的结构图；

图5为本申请实施例所提供的另一种网络攻击预测的系统的结构图；

图6为本申请实施例所提供的一种网络攻击预测设备的结构图。

具体实施方式

本申请的核心是提供一种网络攻击预测的方法、系统、设备及可读存储介质，用于提高网络攻击预测的效率及准确率。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参考图1，图1为本申请实施例所提供的一种网络攻击预测的方法的流程图。

其具体包括如下步骤：

s101：获取目标网络空间的拓扑结构；

基于现有技术中通过攻击图模型来预测网络空间的攻击行为，攻击图模型需要依次遍历每条链路的每个节点之后才能完成对攻击行为的预测，这种方法适用于小规模的网络空间，在面对大规模的网络空间时预测的效率及准确率低下；故本申请提供了一种网络攻击预测的方法，用于解决上述技术问题。

s102：根据拓扑结构确定目标网络空间中所有节点的有向连接关系；

这里提到的拓扑结构是网络形状，或者是网络在物理上的连通性。网络拓扑结构是指用传输媒体互连各种设备的物理布局，即用什么方式把网络中的计算机等设备连接起来。拓扑图给出网络服务器、工作站的网络配置和相互间的连接。网络的拓扑结构有很多种，主要有星型结构、环型结构、总线结构、分布式结构、树型结构、网状结构、蜂窝状结构等；

本步骤的目的在于根据所有节点的有向连接关系确定目标网络空间中的每一条链路，进而确定被攻击概率最高的链路。

s103：基于所有节点的有向连接关系生成目标网络空间的概率图模型；

这里提到的概率图模型是一类用图形模式表达基于概率相关关系的模型的总称，概率图模型结合概率论与图论的知识，利用图来表示与模型有关的变量的联合概率分布，概率图模型利用概率网络中的独立性简化了网络空间中联合概率分布的方法表示，能有效处理不确定性推理，并且能够对网络空间的数据进行更为准确的分析、预测，有效提高了网络攻击预测的效率及准确率；

可选的，请参考图2，图2为图1所提供的一种网络攻击预测的方法中s103的一种实际表现方式的流程图。

其具体包括以下步骤：

s201：计算每个子节点被攻陷的概率；

可选的，可以通过通用漏洞评分系统(commonvulnerabilityscoringsystem，cvss)的评分数据来计算每个子节点被攻陷的概率，cvss是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”，旨在为一个已知的安全漏洞的严重程度提供一个数值(分数)，而不管这个安全漏洞影响的软件类型是操作系统、杀毒软件、数据库、邮件服务器、桌面还是商务应用程序。由于cvss评分范围非常广，cvss评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数10.0分。换句话说，cvss基准分数为10.0分的安全漏洞一般指能够完全攻破系统的安全漏洞，典型的结果是攻击者完全控制一个系统，包括操作系统层的管理或者“根”权限；

例如，可以根据公式将各子节点目标ip的cvss值转换为该子节点被攻陷的概率；

其中，pi为第i个子节点被攻陷的概率，e为自然常数，cvssi为第i个子节点的cvss值。

s202：根据每个子节点被攻陷的概率分别确定第一条件概率表和第二条件概率表；

这里提到的第一条件概率表为父节点唯一时对应的条件概率表，第二条件概率表为父节点不唯一时对应的条件概率表，父节点唯一时表示目标网络空间中只有一条链路，父节点不唯一则表示目标网络空间中有多条链路。

s203：根据第一条件概率表和第二条件概率表生成目标网络空间的概率图模型。

s104：根据概率图模型确定被攻击概率最高的链路。

可选的，可以利用联结树算法计算每条路径的可达概率，找出概率最大同时也是目标网络空间中被攻击概率最高的链路；

优选的，在根据概率图模型确定被攻击概率最高的链路之后，还可以生成预测报告，并将预测报告上传至态势感知平台，以使相关安全管理人员为下一步网络防护及相关决策提供依据。

基于上述技术方案，本申请所提供的一种网络攻击预测的方法，通过基于所有节点的有向连接关系生成目标网络空间的概率图模型，然后根据概率图模型确定被攻击概率最高的链路，利用概率网络中的独立性简化了网络空间中联合概率分布的方法表示，能有效处理不确定性推理，并且能够对网络空间的数据进行更为准确的分析、预测，有效提高了网络攻击预测的效率及准确率。

在上述实施例的基础上，本申请还提供了另一种网络攻击预测的方法，下面结合图3进行说明。

请参考图3，图3为本申请实施例所提供的另一种网络攻击预测的方法的流程图。

其具体包括以下步骤：

s301：接收输入的概率计算命令；

s302：根据概率计算命令确定目标节点；

s303：根据概率图模型计算目标节点被攻击的概率。

请参考图4，图4为本申请实施例所提供的一种网络攻击预测的系统的结构图。

该系统可以包括：

获取模块100，用于获取目标网络空间的拓扑结构；

第一确定模块200，用于根据所述拓扑结构确定所述目标网络空间中所有节点的有向连接关系；

模型生成模块300，用于基于所述所有节点的有向连接关系生成所述目标网络空间的概率图模型；

第二确定模块400，用于根据所述概率图模型确定被攻击概率最高的链路。

请参考图5，图5为本申请实施例所提供的另一种网络攻击预测的系统的结构图。

该模型生成模块300可以包括：

计算子模块，用于计算每个子节点被攻陷的概率；

确定子模块，用于根据每个子节点被攻陷的概率分别确定第一条件概率表和第二条件概率表；其中，第一条件概率表为父节点唯一时对应的条件概率表，第二条件概率表为父节点不唯一时对应的条件概率表；

生成子模块，用于根据第一条件概率表和第二条件概率表生成目标网络空间的概率图模型。

该系统还可以包括：

接收模块，用于接收输入的概率计算命令；

第三确定模块，用于根据概率计算命令确定目标节点；

计算模块，用于根据概率图模型计算目标节点被攻击的概率。

该系统还可以包括：

报告模块，用于在根据概率图模型确定被攻击概率最高的链路之后，生成预测报告，并将预测报告上传至态势感知平台。

以上系统中的各个组成部分可实际应用于以下的实施例中：

获取模块获取目标网络空间的拓扑结构；第一确定模块根据拓扑结构确定目标网络空间中所有节点的有向连接关系；模型生成模块基于所有节点的有向连接关系生成目标网络空间的概率图模型；第二确定模块根据概率图模型确定被攻击概率最高的链路。在根据概率图模型确定被攻击概率最高的链路之后，报告模块生成预测报告，并将预测报告上传至态势感知平台。

接收模块接收输入的概率计算命令；第三确定模块根据概率计算命令确定目标节点；计算模块根据概率图模型计算目标节点被攻击的概率。

请参考图6，图6为本申请实施例所提供的一种网络攻击预测设备的结构图。

该网络攻击预测设备600可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(centralprocessingunits，cpu)622(例如，一个或一个以上处理器)和存储器632，一个或一个以上存储应用程序642或数据644的存储介质630(例如一个或一个以上海量存储设备)。其中，存储器632和存储介质630可以是短暂存储或持久存储。存储在存储介质630的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对装置中的一系列指令操作。更进一步地，中央处理器622可以设置为与存储介质630通信，在网络攻击预测设备600上执行存储介质630中的一系列指令操作。

网络攻击预测设备600还可以包括一个或一个以上电源626，一个或一个以上有线或无线网络接口660，一个或一个以上输入输出接口668，和/或，一个或一个以上操作系统641，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm等等。

上述图1至图3所描述的网络攻击预测的方法中的步骤由网络攻击预测设备基于该图6所示的结构实现。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置、设备和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，功能调用装置，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

以上对本申请所提供的一种网络攻击预测的方法、系统、设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。