本发明专利技术涉及一种基于因果贝叶斯网络的多步攻击预测方法,首先采用频繁模式挖掘攻击场景样本中的多步攻击模式,通过因果贝叶斯网络模型刻画多步攻击模式,在此基础上通过攻击证据来计算未来攻击发生的概率,实现网络多步攻击的下一步攻击行为以及攻击者的攻击意图的预测。本发明专利技术优化了采用人工构建网络攻击结构图的多步攻击预测方法,基于频繁序列模式自动挖掘多步攻击模式,并借助因果贝叶斯网络刻画攻击模式、学习网络参数、预测下一步攻击和攻击意图,提高了对未知的、变化的多步攻击模式的攻击预测能力,能够快速、准确地预测多步攻击的下一步攻击手段和最终攻击意图,对保护网络和计算机信息安全具有重要的现实意义。
【技术实现步骤摘要】
本专利技术属于计算机网络通信
,特别涉及一种基于因果贝叶斯网络的多步攻击预测方法。
技术介绍
伴随着计算机网络技术的飞速发展,网络安全问题日益成为网络领域的关注焦点。网络攻击变得越来越频繁、手段也更多样化和复杂化,造成网络安全威胁越来越严重。目前,网络攻击中多步攻击所占比例很高,它是由多个不同的攻击步骤构成的一个完整攻击,前期攻击行为不明显,但当检测到攻击发生时,就已经对攻击目标带来了严重的损害。快速、准确地预测多步攻击的下一步攻击手段和最终攻击意图,对保护网络和计算机信息安全具有重要的现实意义。目前有多种网络安全防护技术被广泛应用在复杂的网络中,其中入侵检测系统(IDS)作为网络主动防御手段之一,能够识别攻击者、攻击行为和已发生攻击,并触发报警。但这些入侵检测系统仅能对单个攻击事件进行报警,无法检测到多步攻击以及预测攻击者的下一步攻击和攻击意图。网络攻击预测技术作为入侵检测系统的补充,它是在原始报警日志或网络流量分析得到的攻击事件基础上,实现攻击预测功能。现有网络攻击预测技术大多根据攻击行为的特征对单步攻击进行预测,而少数适用于多步攻击的攻击预测方法存在攻击模式单一、需设定预测参数等问题,导致预测结果不准确或预测能力不足。
技术实现思路
为克服现有技术中的不足,本专利技术提供一种基于因果贝叶斯网络的多步攻击预测方法,实现自动挖掘多步攻击模式、推理预测下一步攻击及最终攻击,解决人工构建攻击模式和设定预测参数的方法不能很好地适应网络攻击模式动态变化的问题。按照本专利技术所提供的设计方案,一种基于因果贝叶斯网络的多步攻击预测方法,包含如下步骤:步骤1、搜集已知攻击场景数据,其中,一部分数据作为训练数据集,另一部分数据作为测试数据集;步骤2、采用Prefixspan序列模式挖掘算法对训练数据集进行频繁序列模式挖掘,得到攻击行为的因果关系关联规则,根据因果关系关联规则,构建因果贝叶斯攻击图;通过训练数据集对贝叶斯攻击图进行参数学习;步骤3、将测试数据集中的多步攻击场景中的攻击步骤作为攻击证据,对因果贝叶斯攻击图进行参数概率推理,计算因果贝叶斯攻击图中未知攻击的发生概率,预测网络多步攻击的下一步攻击行为及其攻击意图。上述的,步骤2具体包含如下内容:步骤2.1、对训练数据集进行扫描,找到训练数据攻击序列集所有频繁项,每个频繁项对应一个攻击步骤,得到频繁项集,其中,频繁项集包含n个频繁项;步骤2.2、根据频繁项集,得到以各频繁项为前缀的长度为1的序列模式集,记为频繁序列子集,其中,以一个频繁项为前缀的全部序列模式包含的所有后缀构成的集合称为该前缀的投影数据库;步骤2.3、在不同前缀对应的投影数据库上,重复步骤2.2,直至找不到新的长度为1的序列模式为止,得到不同前缀对应的频繁序列模式;步骤2.4、合并不同前缀对应的频繁序列模式中的相同项,得到序列长度大于1的序列模式集合,将序列模式集合中的项映射为攻击行为,得到攻击行为的因果关联规则集S;步骤2.5、根据因果关联规则集S构建因果贝叶斯攻击图,通过合并相同项将因果序列集映射到因果贝叶斯攻击图上;步骤2.6、依据贝叶斯网络参数学习过程,通过训练数据集学习贝叶斯攻击图参数的概率分布。上述的,所述步骤3具体包含如下内容:步骤3.1、对加入攻击证据的因果贝叶斯攻击图进行参数概率计算,得到该攻击证据的直接节点与间接节点概率值;步骤3.2、通过步骤3.1得到的概率值来预测网络多步攻击的下一步攻击行为及其攻击意图。上述的,所述步骤3.1中的参数概率计算通过概率计算表达式实现,具体内容如下:假设攻击事件Evt为攻击证据,在贝叶斯攻击图上Evt的所有直接和间接节点的概率值都发生变化,间接节点为Pre(Evt),直接节点为DPre(Evt),则计算攻击事件发生的概率,公式如下:P(Evt)=P(Evt|DPre(Evt))×P(DPre(Evt)),根据计算出的概率,取直接节点中概率最大者为预测出的下一步可能发生的攻击行为;将叶子节点中概率最大值视为最终攻击意图。本专利技术的有益效果:本专利技术采用频繁模式挖掘攻击场景样本中的多步攻击模式,通过因果贝叶斯网络模型刻画多步攻击模式,在此基础上通过攻击证据来计算未来攻击发生的概率,实现网络多步攻击的下一步攻击行为以及攻击者的攻击意图的预测;优化了采用人工构建网络攻击结构图的多步攻击预测方法,基于频繁序列模式自动挖掘多步攻击模式,并借助因果贝叶斯网络刻画攻击模式、学习网络参数、预测下一步攻击和攻击意图,提高了对未知的、变化的多步攻击模式的攻击预测能力,能够快速、准确地预测多步攻击的下一步攻击手段和最终攻击意图,通过实验验证,其具有较高的可信度,对保护网络和计算机信息安全具有重要的现实意义。附图说明:图1为本专利技术的流程示意图;图2为实施例中各攻击场景所含攻击步骤信息表截图;图3为因果贝叶斯网络攻击图示意图;图4为基于因果贝叶斯网络攻击图的预测结果。具体实施方式:下面结合附图和技术方案对本专利技术作进一步详细的说明,并通过优选的实施例详细说明本专利技术的实施方式,但本专利技术的实施方式并不限于此。实施例一,参见图1所示,一种基于因果贝叶斯网络的多步攻击预测方法,包含如下步骤:步骤1、搜集已知攻击场景数据,其中,一部分数据作为训练数据集,另一部分数据作为测试数据集;步骤2、将训练数据集中的多步攻击场景中的攻击步骤作为攻击证据,对因果贝叶斯攻击图进行参数概率推理,计算因果贝叶斯攻击图中未知攻击的发生概率,预测网络多步攻击的下一步攻击行为及其攻击意图;步骤3、基于因果贝叶斯攻击图,通过攻击证据计算未知攻击发生概率,预测网络多步攻击的下一步攻击行为及其攻击意图。本专利技术采用频繁模式挖掘攻击场景样本中的多步攻击模式,采用因果贝叶斯网络模型刻画多步攻击模式,在此基础上通过攻击证据来计算未来攻击发生的概率,实现网络多步攻击的下一步攻击行为以及攻击者的攻击意图的预测,提高了对未知的、变化的多步攻击模式的攻击预测能力,对保护网络和计算机信息安全具有重要的现实意义实施例二,参见图1~4所示,一种基于因果贝叶斯网络的多步攻击预测方法,包含如下内容:步骤1、搜集已知攻击场景数据,其中,一部分数据作为训练数据集,另一部分数据作为测试数据集;步骤2、对训练数据集进行扫描,找到训练数据攻击序列集所有频繁项,每个频繁项对应一个攻击步骤,得到频繁项集,其中,频繁项集包含n个频繁项;根据频繁项集,得到以各频繁项为前缀的长度为1的序列模式集,记为频繁序列子集,其中,以一个频繁项为前缀的全部序列模式包含的所有后缀构成的集合称为该前缀的投影数据库,在不同前缀对应的投影数据库上,重复执行,直至找不到新的长度为1的序列模式为止,得到不同前缀对应的频繁序列模式;合并不同前缀对应的频繁序列模式中的相同项,得到序列长度大于1的序列模式集合,将序列模式集合中的项映射为攻击行为,得到攻击行为的因果关联规则集S;根据因果关联规则集S构建因果贝叶斯攻击图,通过合并相同项将因果序列集映射到因果贝叶斯攻击图上;依据贝叶斯网络参数学习过程,通过训练数据集学习贝叶斯攻击图参数的概率分布。步骤3、基于因果贝叶斯攻击图,对加入攻击证据的因果贝叶斯攻击图进行参数概率计算,得到该攻击证据的直接节点与间接节点概率值,参数概率计算通过概率计算本文档来自技高网...
【技术保护点】
一种基于因果贝叶斯网络的多步攻击预测方法,其特征在于:包含如下步骤:步骤1、搜集已知攻击场景数据,其中,一部分数据作为训练数据集,另一部分数据作为测试数据集;步骤2、采用Prefixspan序列模式挖掘算法对训练数据集进行频繁序列模式挖掘,得到攻击行为的因果关系关联规则,根据因果关系关联规则,构建因果贝叶斯攻击图;通过训练数据集对贝叶斯攻击图进行参数学习;步骤3、将测试数据集中的多步攻击场景中的攻击步骤作为攻击证据,对因果贝叶斯攻击图进行参数概率推理,计算因果贝叶斯攻击图中未知攻击的发生概率,预测网络多步攻击的下一步攻击行为及其攻击意图。
【技术特征摘要】
1.一种基于因果贝叶斯网络的多步攻击预测方法,其特征在于:包含如下步骤:步骤1、搜集已知攻击场景数据,其中,一部分数据作为训练数据集,另一部分数据作为测试数据集;步骤2、采用Prefixspan序列模式挖掘算法对训练数据集进行频繁序列模式挖掘,得到攻击行为的因果关系关联规则,根据因果关系关联规则,构建因果贝叶斯攻击图;通过训练数据集对贝叶斯攻击图进行参数学习;步骤3、将测试数据集中的多步攻击场景中的攻击步骤作为攻击证据,对因果贝叶斯攻击图进行参数概率推理,计算因果贝叶斯攻击图中未知攻击的发生概率,预测网络多步攻击的下一步攻击行为及其攻击意图。2.根据权利要求1所述的基于因果贝叶斯网络的多步攻击预测方法,其特征在于:所述步骤2具体包含如下内容:步骤2.1、对训练数据集进行扫描,找到训练数据攻击序列集所有频繁项,每个频繁项对应一个攻击步骤,得到频繁项集,其中,频繁项集包含n个频繁项;步骤2.2、根据频繁项集,得到以各频繁项为前缀的长度为1的序列模式集,记为频繁序列子集,其中,以一个频繁项为前缀的全部序列模式包含的所有后缀构成的集合称为该前缀的投影数据库;步骤2.3、在不同前缀对应的投影数据库上,重复步骤2.2,直至找不到新的长度为1的序列模式为止,得到不同前缀对应的频繁序列模式;步骤2.4、合并不同前缀对应的频...
【专利技术属性】
技术研发人员:尹美娟,刘晓楠,刘琰,罗军勇,胡倩,郑燕,丁文博,韩冬,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。