[发明专利]基于贝叶斯网络及STRIDE模型的XSS风险分析方法及装置

说明书

本申请涉及一种基于贝叶斯网络及STRIDE模型的XSS风险分析方法及装置。所述方法包括：构建网络信息发布系统关于XSS攻击相关的STRIDE威胁模型；根据STRIDE威胁模型，得到XSS攻击贝叶斯网络风险分析模型的网络结构；根据专家经验和排序节点算法，上述网络结构中所有节点的先验概率；然后通过拒绝性采样算法或直接抽样的方式进行仿真得到训练数据集；采用训练数据集对XSS攻击贝叶斯网络风险分析模型的网络结构进行网络训练，得到XSS攻击贝叶斯网络风险分析模型，然后对贝叶斯网络进行推理，得到网络系统遭受XSS攻击风险的量化分析结果。采用本方法能够实现针对C2网络中Web系统遭受XSS攻击风险的积极量化分析。

技术领域

本申请涉及数据处理领域，特别是涉及一种基于贝叶斯网络及STRIDE模型的XSS风险分析方法、装置、计算机设备和存储介质。

背景技术

随着现代社会对Web应用程序的依赖性大大增加，传统的指挥与控制系统也逐渐转变为一种信息化网络平台，但指挥与控制网络(Command and Control Network,C2网络)的安全防护体系在检测和响应环节还不完善，例如传统星型拓扑结构的C2网络和天基C2网络，尤其缺乏针对Web攻击等威胁的风险评估，在各种Web攻击的高危态势下，仍面临着机密数据泄露、管理权限窃取等严峻威胁，在各类Web攻击中，比较常见且危害较大的是跨站脚本攻击(Cross Site Scripting,XSS)

目前，XSS防范方法主要为在服务端对输入信息进行过滤，但这种方法漏报率较高，不能及时保护网络系统，且一旦面对复杂的网络战时基本无能为力，目前有人使用三种机器学习算法来预测XSS攻击，包括朴素贝叶斯、SVM支持向量机和J48决策树，这三种算法都给出了较好的离散属性和检测结果，还有人使用决策树分类算法实现对XSS攻击的高效分析检测或采用NO TEARS算法，找到贝叶斯网络结构学习问题的全局解，并用于XSS攻击检测，使其具有更高的准确率。虽然目前的机器学习算法都能有效地解决XSS攻击的检测问题，但缺少对XSS攻击威胁风险的量化分析，不能很好的支持后续的防御决策活动。

发明内容

基于此，有必要针对上述技术问题，提供一种能够完成XSS风险分析的基于贝叶斯网络及STRIDE模型的XSS风险分析方法、装置、计算机设备和存储介质。

一种基于贝叶斯网络及STRIDE模型的XSS风险分析方法，所述方法包括：

构建网络信息发布系统关于XSS攻击相关的STRIDE威胁模型；

从STRIDE威胁模型中提取网络信息发布系统的信息资产、信息资产之间的数据流以及数据流对应的XSS攻击类型；根据信息资产、信息资产之间的数据流以及数据流对应的XSS攻击类型，得到XSS攻击贝叶斯网络风险分析模型的网络结构；

根据专家经验和排序节点算法，得到XSS攻击贝叶斯网络风险分析模型的网络结构中所有节点的先验概率；

根据节点的先验概率，通过拒绝性采样算法或直接抽样的方式进行仿真得到训练数据集；

采用训练数据集对XSS攻击贝叶斯网络风险分析模型的网络结构进行网络训练，得到XSS攻击贝叶斯网络风险分析模型；

根据XSS攻击贝叶斯网络风险分析模型，对贝叶斯网络进行推理，得到网络系统遭受XSS攻击风险的量化分析结果。

在其中一个实施例中，根据信息资产、信息资产之间的数据流以及数据流对应的XSS攻击类型，得到XSS攻击贝叶斯网络风险分析模型的网络结构，包括：

将信息资产作为贝叶斯网络模型节点，数据流对应的XSS攻击类型作为所述贝叶斯网络模型节点的变量内容；根据各个信息资产的层级关系以及信息资产之间的数据流的走向设置贝叶斯网络模型各节点间的关系；根据贝叶斯网络模型节点、贝叶斯网络模型节点的变量内容和贝叶斯网络模型各节点间的关系，得到XSS攻击贝叶斯网络风险分析模型的网络结构。