The invention claims to protect an intrusion intention recognition system and method based on Hidden Markov and probabilistic inference, belonging to the field of computer security technology. Firstly, a hierarchical Bayesian network (HBN) is used to represent the causal relationship between the same layer and the layer because of the causal relationship between the three attacks, the target and the intention. Secondly, the sub target layer has obvious temporal characteristics, and the hidden relation between the target layer and the intention layer is studied based on Hidden Markov model (HMM). Finally, put forward multi output hidden Markov model (MO_HMM), by introducing the band belief propagation (LBP) algorithm to optimize the HMM algorithm and the forward backward algorithm of single output probability problem, which can be submitted to multiple possible intentions and probability.
【技术实现步骤摘要】
基于隐马尔可夫和概率推断的入侵意图识别系统及方法
本专利技术属于计算机安全
,涉及入侵意图识别,特别是基于时序关系与不确定性信息的入侵有意图识别方法。
技术介绍
随着计算机网络的发展,数据量呈几何级数增长。大数据环境下数据存储和网络接入方式使得网络攻击的成本更低、收益更高。现有的入侵意图识别方法难以模拟真实的攻击场景,进而对其意图进行有效识别和预测。因此,需要从大量攻击事件背后寻求隐藏的因果关系,基于攻击指向性,提取攻击意图。对攻击者的攻击意图进行有效提取及预测,是有效评估安全事态感知的关键所在。近年来有些专家学者采用博弈的思想,以博弈双方的单步策略和收益来分析判断攻击意图。该方法对于确定的单纯的攻击者意图有一定的效果,但难以识别多攻击源复合、多步实施、不确定性的攻击意图。并且随着参加博弈者数量的增加,算法的效率及其实时性也大大降低。专利200910080853.X“一种基于概率推理的网络入侵意图识别方法”基于层次意图识别和概率推理提出了一种识别多步攻击意图的方法。该方法最主要的贡献是提出了层次化的识别模型来进行概率推理计算。但该方法在运用人工智能理论的同时,依据了专家的知识和经验。由于所选取的专家的知识范围有限,不可避免引入了专家的主观性,导致虚警和误报。由于网络环境复杂、入侵特征粒度不易确定从底层大量的报警信息中提取因果时序相关的复合攻击场景,是一项难题。此外,在入侵环境中攻击者会千方百计地躲避甚至干扰识别,其次根据被攻击目标的反映不同,攻击者可采取动态的多目标攻击,有时甚至是多个攻击者协作攻击。众多研究表明攻击事件间最本质的逻辑联系是因果关系, ...
【技术保护点】
一种基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,包括入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块,其中入侵数据获取模块用于获取入侵数据源;攻击模型构建模块,用于构建攻击模型,所述攻击模型分为三层节点,分别是攻击事件层、子目标层以及意图层,首先,对源IP地址、目的IP地址及报警类型相同,但攻击时间不同的报警聚合成超级报警,删除重复报警;其次,根据超级报警之间的时序关系,对超级报警进行关联并提取报警序列,再通过隶属度计算归并到较高目标层中;最后,提取三种节点之间的关系,建立层次贝叶斯网络,从纵向和横向表示其相互之间的因果关系;模型参数训练模块,用于将子目标层作为观测集,进而将意图层作为隐状态,子目标层和意图层抽象为隐马尔可夫模型,进行模型参数估计,输入观察到的攻击子目标序列集,输出模型λ=(A,B,π),其中A为状态转移矩阵,B是混淆矩阵,π为意图初始概率;预测分析模块,用带环的置信度传播算法来预测得到不同事件序列下产生多意图的概率。
【技术特征摘要】
1.一种基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,包括入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块,其中入侵数据获取模块用于获取入侵数据源;攻击模型构建模块,用于构建攻击模型,所述攻击模型分为三层节点,分别是攻击事件层、子目标层以及意图层,首先,对源IP地址、目的IP地址及报警类型相同,但攻击时间不同的报警聚合成超级报警,删除重复报警;其次,根据超级报警之间的时序关系,对超级报警进行关联并提取报警序列,再通过隶属度计算归并到较高目标层中;最后,提取三种节点之间的关系,建立层次贝叶斯网络,从纵向和横向表示其相互之间的因果关系;模型参数训练模块,用于将子目标层作为观测集,进而将意图层作为隐状态,子目标层和意图层抽象为隐马尔可夫模型,进行模型参数估计,输入观察到的攻击子目标序列集,输出模型λ=(A,B,π),其中A为状态转移矩阵,B是混淆矩阵,π为意图初始概率;预测分析模块,用带环的置信度传播算法来预测得到不同事件序列下产生多意图的概率。2.根据权利要求1所述的基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,入侵数据获取模块用于获取的入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999,DARPA1999评测数据给出了3周带有攻击的模拟数据,包含了属于58种类型的201次攻击实例,其中40种攻击类型并没有在第二周的训练数据中出现,属于新的攻击类型。3.根据权利要求1所述的基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,所述攻击模型构建模块构建包括以下步骤:建立数据库,包括攻击表、事件知识表、目标知识表、事件目标映射表、目标链表和统计表;隶属度计算,扫描目标库,提取事件目标映射关系,找到对应目标集合;计算新攻击事件目标,并更新事件映射表;根据事件映射表,得到事件空间样本集,子目标空间样本...
【专利技术属性】
技术研发人员:刘雨恬,肖云鹏,刘宴兵,邝瑶,李唯果,赵金哲,
申请(专利权)人:重庆邮电大学,
类型:发明
国别省市:重庆,50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。