[发明专利]基于贝叶斯网络推理的攻击意图识别方法

摘要

本发明提供一种基于贝叶斯网络推理的攻击意图识别方法，包括如下内容：用于计算机网络自组织对抗中加入参数学习机制的面向情报决策系统的攻击意图识别方法，该方法能够在计算机网络自组织对抗环境中，让情报系统根据已给定的主机漏洞信息、网络拓扑信息和攻击知识库，利用IDS报警信息识别攻击者的攻击意图并提供给决策系统作为决策的依据。攻击意图识别过程为攻击场景生成，IDS报警信息聚合匹配，更新攻击行为对的条件概率分布，利用贝叶斯网络推理中团树传播算法计算攻击意图节点概率，进行贝叶斯网络参数和IDS检测能力的更新。并根据计算结果和历史信息更新计算参数，使计算结果更加准确。

主权项

1.一种基于贝叶斯网络推理的攻击意图识别方法，其特征在于：根据给定的拓扑信息、拓扑中主机的漏洞信息和攻击行为之间的约束关系，利用前向搜索广度优先的方法自动地生成攻击图作为攻击场景，接下来将生成的攻击场景与IDS的报警信息进行匹配，基于贝叶斯网络推理的方法，推算出攻击者的攻击意图概率，并且能够根据推算结果和历史信息对计算的参数进行更新；所述的自动地生成攻击图的方法为：攻击意图识别需要基于一个给定的攻击场景，根据观察到的攻击行为序列计算攻击意图的概率，利用攻击图对攻击场景进行描述，攻击场景是在给定网络环境下攻击者实现其攻击意图的一系列攻击行为，根据攻击前件和攻击后件的关系，采用前向搜索广度优先的思想，匹配攻击规则，寻找攻击前件满足的节点，并生成相应的图节点和边；所述的推算出攻击者的攻击意图概率的方法为：攻击意图计算采用贝叶斯网络进行；贝叶斯网络是一个有向无环图，其中节点代表随机变量，节点间的边代表变量之间的直接依赖关系；根据攻击行为的前件后件关系构建出了攻击场景，以此作为贝叶斯网络的结构；根据获得的IDS报警信息聚合后的攻击行为，与贝叶斯网络中节点进行匹配，匹配到的节点及其父节点形成节点对，利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布，再根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值，利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值，根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力，最后输出攻击意图节点的概率值；其中，所述的贝叶斯网络参数学习算法具体为：根据攻击行为的前件后件关系构建出了攻击场景，并以此作为贝叶斯网络的结构转；而贝叶斯网络的参数，即贝叶斯网络转换的条件概率则由贝叶斯网络参数学习的方法获得，参数学习在统计学中称为参数估计，在贝叶斯估计的框架中，参数θ被视为随机变量，对它进行估计就是计算其后验概率分布，为此，首先要选用一个概率分布p(θ)来总结关于θ的先验知识，然后把数据D＝(d₁,d₂,...,d_m)的影响用似然函数L(θ|D)＝P(D|θ)来归纳，最后使用贝叶斯公式P(X|E＝e)∝P(X)L(X|E＝e)将先验分布和似然函数结合，得到θ的后验分布，就是θ的贝叶斯估计：p(θ|D)∝p(θ)L(θ|D)考虑一个由n个变量X＝{X₁,X₂,...,X_n}组成的贝叶斯网络，设其中节点X_i共有r_i个取值1,2,...,r_i，其父节点π(X_i)的取值共有q_i个取值1,2,...,q_i，网络的参数为：θ_ijk＝P(X_i＝k|π(X_i)＝j)贝叶斯网络样本D＝(d₁,d₂,...,d_m，定义即m_ijk是数据中满足X_i＝k和π(X_i)＝j的样本的数量，称为充分统计量，因此，对数似然函数为：l(θ|D)=Σl=1mlogP(dl|θ)=Σi=1nΣj=1qiΣk=1rimijklogθijk]]>θ的似然函数为：L(θ|D)=Πi=1nΠj=1qiΠk=1riθijkmijk]]>根据贝叶斯公式，有：p(θ|D)∝p(θ)Πi=1nΠj=1qiΠk=1riθijkmijk]]>为了计算方便，假设p(θ_ij*)是狄利克雷分布则有：p(θ)=Πi=1nΠj=1qip(θij*)∝Πi=1nΠj=1qiΠk=1riθijkaijk-1]]>p(θ|D)∝p(θ)Πi=1nΠj=1qiΠk=1riθijkmijk+aijk-1]]>后验分布p(θ|D)也是一个乘积狄利克雷分布，并且p(θ_ij*|D)是狄利克雷分布D[mij1+aij1,mij2+aij2,...,mijri+aijri],]]>因此θijk′=mijk+aijkΣk=1ri(mijk+aijk);]]>我们为每一对攻击行为建立先验分布，例如攻击行为A作为攻击行为B的先序攻击，假设先验分布p(θ)是乘积狄利克雷分布，其超参数a^t＝{a_jk^t|j＝0,1;k＝0,1}；若样本D＝(1,1)，即攻击A发生且随即攻击B发生，则后验分布p(θ|D)也是乘积狄利克雷分布，其超参数为a₀₀^t+1＝a₀₀^t，a₀₁^t+1＝a₀₁^t，a₁₀^t+1＝a₁₀^t，a₁₁^t+1＝a₁₁^t+1，则下一个样本的分布根据IDS的告警信息生成攻击行为序列，为攻击行为序列中的每一对攻击行为更新条件概率分布，实现贝叶斯网络参数学习；所述的团树传播算法具体为：利用团树传播算法进行贝叶斯网络推理计算攻击意图的概率，在贝叶斯网络推理中，接收到的证据就认为其发生，并不考虑证据的可信程度，在攻击意图识别中，需根据IDS的报警信息更新贝叶斯网络推理得出攻击意图的概率，而IDS对不同类型的攻击检测能力不同，存在误报现象，而简单认为观测到的为真是不妥的，因此，为IDS对不同类型的攻击检测设置一个[0,1]的能力值，其中0表示IDS无法检测该类型攻击，1表示IDS检测到该类型攻击则攻击切实发生，考虑攻击行为A作为攻击行为B的先序攻击；假设条件概率分布P(B＝1|A＝1)＝0.8,P(B＝0|A＝1)＝0.2,P(B＝1|A＝0)＝0.1,P(B＝0|A＝0)＝0.9,IDS检测到攻击A发生，且IDS对攻击类型A的检测能力为0.9，则设置P(A＝1)＝0.9,计算得到攻击B发生的概率P(B＝1)＝0.73；此时，如果IDS检测到攻击B发生，且IDS对攻击类型B的检测能力为0.8；因此设置P(B'＝1)＝0.8，根据信息传播算法，计算得到攻击A发生的后验分布P(A'＝1)＝0.96，认为由于攻击A为攻击B的前提，而观测到攻击B进一步证明了攻击A发生；并且，我们也可以根据此进一步证明了IDS对攻击类型A的检测能力，需要更新IDS对于攻击类型A的检测能力的评价；IDS检测能力更新采用如下方法，根据公式θ^t+1＝ηθ+(1-η)θ^t，其中θ^t为更新前IDS对于攻击类型A的检测能力，θ为检测到攻击B后A的后验分布，θ^t+1为更新后IDS对攻击类型A的检测能力；因子η控制参数的收敛速度，当η比较小的时候收敛速度较慢，其中取η＝0.3。