基于隐马尔可夫和概率推断的入侵意图识别系统及方法技术方案

本发明专利技术请求保护一种基于隐马尔可夫和概率推断的入侵意图识别系统及方法，属于计算机安全技术领域。首先，由于攻击事件、子目标、意图三者之间存在的因果关系，建立层次贝叶斯网络(HBN)来表示其同层与层间的因果关系。其次，子目标层具有明显的时序特征，基于隐马尔可夫模型(HMM)对子目标层和意图层的隐藏关系进行学习。最后，提出多输出隐马尔可夫模型(MO_HMM)，通过引入带环置信度传播算法(LBP)优化HMM中前向算法和后向算法单一概率输出的问题，使其可以报送多个可能意图及其概率。

Intrusion intention recognition system and method based on Hidden Markov and probability inference

The invention claims to protect an intrusion intention recognition system and method based on Hidden Markov and probabilistic inference, belonging to the field of computer security technology. Firstly, a hierarchical Bayesian network (HBN) is used to represent the causal relationship between the same layer and the layer because of the causal relationship between the three attacks, the target and the intention. Secondly, the sub target layer has obvious temporal characteristics, and the hidden relation between the target layer and the intention layer is studied based on Hidden Markov model (HMM). Finally, put forward multi output hidden Markov model (MO_HMM), by introducing the band belief propagation (LBP) algorithm to optimize the HMM algorithm and the forward backward algorithm of single output probability problem, which can be submitted to multiple possible intentions and probability.

【技术实现步骤摘要】
基于隐马尔可夫和概率推断的入侵意图识别系统及方法
本专利技术属于计算机安全
，涉及入侵意图识别，特别是基于时序关系与不确定性信息的入侵有意图识别方法。
技术介绍
随着计算机网络的发展，数据量呈几何级数增长。大数据环境下数据存储和网络接入方式使得网络攻击的成本更低、收益更高。现有的入侵意图识别方法难以模拟真实的攻击场景，进而对其意图进行有效识别和预测。因此，需要从大量攻击事件背后寻求隐藏的因果关系，基于攻击指向性，提取攻击意图。对攻击者的攻击意图进行有效提取及预测，是有效评估安全事态感知的关键所在。近年来有些专家学者采用博弈的思想，以博弈双方的单步策略和收益来分析判断攻击意图。该方法对于确定的单纯的攻击者意图有一定的效果，但难以识别多攻击源复合、多步实施、不确定性的攻击意图。并且随着参加博弈者数量的增加，算法的效率及其实时性也大大降低。专利200910080853.X“一种基于概率推理的网络入侵意图识别方法”基于层次意图识别和概率推理提出了一种识别多步攻击意图的方法。该方法最主要的贡献是提出了层次化的识别模型来进行概率推理计算。但该方法在运用人工智能理论的同时，依据了专家的知识和经验。由于所选取的专家的知识范围有限，不可避免引入了专家的主观性，导致虚警和误报。由于网络环境复杂、入侵特征粒度不易确定从底层大量的报警信息中提取因果时序相关的复合攻击场景，是一项难题。此外，在入侵环境中攻击者会千方百计地躲避甚至干扰识别，其次根据被攻击目标的反映不同，攻击者可采取动态的多目标攻击，有时甚至是多个攻击者协作攻击。众多研究表明攻击事件间最本质的逻辑联系是因果关系，即时间上的顺序性以及实施上的不确定性。基于上述特点，本专利技术使用概率来定性和定量分析复杂攻击内涵的因果关系。尽管大部分的方法都考虑了复合攻击攻击步骤间的因果关系，却忽略了两个攻击时间和空间的关系。如果考虑加入时间因素的动态贝叶斯网，模型完全满足推理的所有逻辑要求。时间因素的引入也有利于解决因果循环问题，将极大扩展贝叶斯网络在入侵检测领域能解决的范围。而隐马尔可夫模型就是最简单的动态贝叶斯网络模型。因此，使用隐马尔可夫来形式化攻击间的时序关系，再使用因果关系加以推断，能够更好地逼近真实的攻击场景。
技术实现思路
本专利技术旨在解决以上现有技术的问题。提出了一种逼近真实攻击场景的有效入侵意图识别方法。由于复合攻击具有明显的时序特征，将其引入到模型参数的学习中，能使模型更加准确可靠的基于隐马尔可夫和带环置信度的入侵意图识别系统及方法。本专利技术的技术方案如下：一种基于隐马尔可夫和带环置信度的入侵意图识别系统，其包括入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块，其中入侵数据获取模块用于获取入侵数据源；攻击模型构建模块，用于构建攻击模型，所述攻击模型分为三层节点，分别是攻击事件层、子目标层以及意图层，首先，对源IP地址，目的IP地址及报警类型相同，但攻击时间不同的报警聚合成超级报警，删除重复报警；其次，根据超级报警之间的时序关系关联超级报警并提取报警序列，并计算隶属度归并到较高目标层中；最后，提取三种节点之间的关系，建立层次贝叶斯网络，从纵向和横向表示其相互之间的因果关系；模型参数训练模块，用于将子目标层作为观测集，进而将意图层作为隐状态，子目标层和意图层抽象为隐马尔可夫模型，进行模型参数估计，输入观察到的攻击子目标序列集，输出模型λ＝(A,B,π)，其中A为状态转移矩阵，B是混淆矩阵，π为意图初始概率；预测分析模块，用带环的置信度传播算法来预测得到不同事件序列下产生多意图的概率。进一步的，入侵数据获取模块用于获取的入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999，DARPA1999评测数据给出了3周带有攻击的模拟数据，包含了属于58种类型的201次攻击实例，其中40种攻击类型并没有在第二周的训练数据中出现，属于新的攻击类型。进一步的，所述攻击模型构建模块构建包括以下步骤：建立数据库，包括攻击表、事件知识表、目标知识表、事件目标映射表、目标链表和统计表；隶属度计算，扫描目标库，提取事件目标映射关系，找到对应目标集合；计算新攻击事件目标，并更新事件映射表。根据事件映射表，得到事件空间样本集，子目标空间样本集，以及攻击意图空间样本集，建立层次化的贝叶斯网络。依次是底层为安全事件层，中间层为子目标层，顶层为攻击意图层。进一步的，所述模型参数训练模块将子目标层使用Baum-Welch算法对层次贝叶斯网络进行模型参数估计。进一步的，所述预测分析模块通过训练出的隐马尔可夫模型参数，还可以得出不同意图之间的状态转移，通过预测后的结果集，也可得到当前意图发生下的并发意图预测。一种基于所述系统的隐马尔可夫和带环置信度的入侵意图识别方法，其包括以下步骤：获取入侵数据源，所述入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999，DARPA1999评测数据给出了3周带有攻击的模拟数据，包含了属于58种类型的201次攻击实例，其中40种攻击类型并没有在第二周的训练数据中出现,属于新的攻击类型；提取节点因果关系，建立模型，对DARPA1999数据包分析提取攻击表，从攻击事件、攻击子目标、攻击意图三方面来提取因果关系，建立层次贝叶斯网络；训练模型，根据复合攻击的时序特征，对训练数据建立子目标链集合，用以学习模型参数，即意图与子目标的条件概率矩阵以及意图转移概率矩阵，使用Baum-Welch算法来迭代计算矩阵参数值，直到算法收敛为止；预测和分析过程，对于已建立的带参的层次贝叶斯网络，同一层间可能带环，因此使用带环的置信度传播算法来得到不同事件序列下产生多意图的概率。进一步的，所述提取因果关系，建立层次贝叶斯网络建立的数据库包括攻击表、事件知识表、目标知识表、事件目标映射表、目标链表和统计表。本专利技术的优点及有益效果如下：本专利技术提供一种逼近客观真实攻击场景的有效入侵意图识别方法，在层次化识别模型的基础上，引入复合攻击的时序特征，通过算法训练逼近来代替专家知识库从而克服主观性，使得意图识别分析更为全面可靠。同时，引入概率图模型算法来优化原有算法单一概率输出的问题。附图说明图1是本专利技术提供优选实施例隐马尔可夫和带环置信度的入侵意图识别方法总体流程图。图2是本专利技术的预测模型图。图3是本专利技术的Baum-Welch算法示意图。图4是本专利技术的学习算法流程图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、详细地描述。所描述的实施例仅仅是本专利技术的一部分实施例。本专利技术解决上述技术问题的技术方案是，如图1所示为本专利技术的总体流程图，包括：入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块，其中入侵数据获取模块用于获取入侵数据源；攻击模型构建模块，用于构建攻击模型，所述攻击模型分为三层节点，分别是攻击事件层、子目标层以及意图层，首先，对源IP地址，目的IP地址及报警类型相同，但攻击时间不同的报警聚合成超级报警，删除重复报警；其次，根据超级报警之间的时序关系关联超级报警并提取报警序列，并计算隶属度归并到较高目标层中；最后，提取三种节点之间的关系，建立层次贝叶斯网络，从纵向和横向表示其相互之间的因果关系；模型参数训练模块，用本文档来自技高网...

【技术保护点】
一种基于隐马尔可夫和概率推断的入侵意图识别系统，其特征在于，包括入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块，其中入侵数据获取模块用于获取入侵数据源；攻击模型构建模块，用于构建攻击模型，所述攻击模型分为三层节点，分别是攻击事件层、子目标层以及意图层，首先，对源IP地址、目的IP地址及报警类型相同，但攻击时间不同的报警聚合成超级报警，删除重复报警；其次，根据超级报警之间的时序关系，对超级报警进行关联并提取报警序列，再通过隶属度计算归并到较高目标层中；最后，提取三种节点之间的关系，建立层次贝叶斯网络，从纵向和横向表示其相互之间的因果关系；模型参数训练模块，用于将子目标层作为观测集，进而将意图层作为隐状态，子目标层和意图层抽象为隐马尔可夫模型，进行模型参数估计，输入观察到的攻击子目标序列集，输出模型λ＝(A,B,π)，其中A为状态转移矩阵，B是混淆矩阵，π为意图初始概率；预测分析模块，用带环的置信度传播算法来预测得到不同事件序列下产生多意图的概率。

【技术特征摘要】
1.一种基于隐马尔可夫和概率推断的入侵意图识别系统，其特征在于，包括入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块，其中入侵数据获取模块用于获取入侵数据源；攻击模型构建模块，用于构建攻击模型，所述攻击模型分为三层节点，分别是攻击事件层、子目标层以及意图层，首先，对源IP地址、目的IP地址及报警类型相同，但攻击时间不同的报警聚合成超级报警，删除重复报警；其次，根据超级报警之间的时序关系，对超级报警进行关联并提取报警序列，再通过隶属度计算归并到较高目标层中；最后，提取三种节点之间的关系，建立层次贝叶斯网络，从纵向和横向表示其相互之间的因果关系；模型参数训练模块，用于将子目标层作为观测集，进而将意图层作为隐状态，子目标层和意图层抽象为隐马尔可夫模型，进行模型参数估计，输入观察到的攻击子目标序列集，输出模型λ＝(A,B,π)，其中A为状态转移矩阵，B是混淆矩阵，π为意图初始概率；预测分析模块，用带环的置信度传播算法来预测得到不同事件序列下产生多意图的概率。2.根据权利要求1所述的基于隐马尔可夫和概率推断的入侵意图识别系统，其特征在于，入侵数据获取模块用于获取的入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999，DARPA1999评测数据给出了3周带有攻击的模拟数据，包含了属于58种类型的201次攻击实例，其中40种攻击类型并没有在第二周的训练数据中出现，属于新的攻击类型。3.根据权利要求1所述的基于隐马尔可夫和概率推断的入侵意图识别系统，其特征在于，所述攻击模型构建模块构建包括以下步骤：建立数据库，包括攻击表、事件知识表、目标知识表、事件目标映射表、目标链表和统计表；隶属度计算，扫描目标库，提取事件目标映射关系，找到对应目标集合；计算新攻击事件目标，并更新事件映射表；根据事件映射表，得到事件空间样本集，子目标空间样本...

【专利技术属性】
技术研发人员：刘雨恬，肖云鹏，刘宴兵，邝瑶，李唯果，赵金哲，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：重庆,50