本发明专利技术涉及一种基于动态贝叶斯博弈的APT攻击预测方法。博弈双方通过当前获取的信息预测对方即将采取的行为,以自身利益最大化为目标采取应对措施;利用贝叶斯博弈均衡保证预测的有效性和合理性。本发明专利技术通过查看网络的脆弱点,根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略;在动态贝叶斯博弈体系中构建APT攻击预测模型,分析基于模型的博弈双方收益构成;通过分析攻击者和防御者双方的收益,预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率;本发明专利技术的动态贝叶斯博弈均衡将保证预测的有效性和合理性。
【技术实现步骤摘要】
基于动态贝叶斯博弈的APT攻击预测方法
本专利技术涉及网络安全领域,特别涉及一种基于动态贝叶斯博弈的APT攻击预测方法。
技术介绍
高级持续性威胁(AdvancedPersistentThreat,APT)攻击已成为较热门的网络攻击形式,由于它的高危险性、难检测性、持续时间长和攻击目标明确等特征,已引起世界各界的广泛关注。APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。一般的安全系统属于被动防御系统,即在攻击发生后才采取相应的防御措施,不能通过预测攻击行为来提前阻止攻击行为的发生,这将降低系统的安全性能。若攻击目标能够在攻击发生之前预测到攻击行为并及时采取防御措施,将能有效防止APT攻击行为发生。动态贝叶斯博弈是非合作的不完全信息的博弈,可通过攻击者的历史行为数据预测行为类型,并对攻击者采取的攻击行为类型概率进行动态修正;攻击者也可通过攻击目标的防御能力采取进一步攻击或选择不攻击,即博弈双方以自身利益最大化为原则,通过分析双方收益来预测下一博弈阶段将会采取的行为方式。贝叶斯博弈均衡将保证预测的有效性和合理性。因此本文提出一种基于动态贝叶斯博弈的APT攻击预测方法。
技术实现思路
本专利技术的目的在于提供一种以博弈者利益最大化为目的的基于动态贝叶斯博弈的APT攻击预测方法。为实现上述目的,本专利技术的技术方案是:一种基于动态贝叶斯博弈的APT攻击预测方法,包括如下步骤,S1、通过查看网络的脆弱点,根据网络拓扑结构获取攻击者和防御者可能采取的行为策略;S2、在动态贝叶斯博弈体系中构建APT攻击预测模型,分析基于模型的攻击者和防御者博弈双方收益构成;S3、通过分析攻击者和防御者双方的收益,预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率。在本专利技术一实施例中,所述步骤S1中,通过漏洞扫描工具查看网络的脆弱点。在本专利技术一实施例中,所述攻击者的收益构成包括包括三个变量:防御者没有检测出攻击时的收益、实施攻击的代价、被检测出攻击时受到的惩罚;所述防御者的收益构成包括三个变量:检测出攻击时的收益、没检测出攻击时的损失、阻止攻击的代价。在本专利技术一实施例中,所述步骤S2中,为了获得博弈均衡,需要构造博弈树来分析攻击者和防御者双方的收益,预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率;构造博弈树的方法为海萨尼转换,即引入一个虚拟的博弈局中人Nature,Nature首先根据概率分布决定攻击者的类型,接着每个攻击者再根据概率分布选择攻击行为类别和行为方式,再次,每个防御者根据概率分布选择防御行为类别和防御方式;该过程一个重复迭代的过程,直到达到结束条件停止博弈。在本专利技术一实施例中,APT攻击方式包括网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹;APT攻击目的包括无、读取文件、远程访问、获取本地用户权限、访问根目录;对于攻击者而言,不同的攻击方式将带来不同的攻击成本,而不同攻击目的也将会带来不同的收益;攻击者的攻击策略为一种或多种组合的攻击方式;防御者的行为策略则是根据攻击者采取的攻击行为而做相应改变。在本专利技术一实施例中,所述步骤S2中,APT攻击预测模型可以表示为:其中,Tk为各个博弈阶段的时间,k=0,1,2,···,n(n∈Z+);λaλd为博弈参与者的类型,λa,为攻击者的类型分别表示恶意攻击者和良性攻击者;λd表示防御者的类型,能够检测和阻止攻击;B(λa),B(λd)为参与者可选择的行为类别,其中B(λa)={attack,notattack},P[B(λa)],P(B(λd)]为每个参与者在博弈时认为其他参与者的行为类别的先验概率;为每个参与者根据其他参与者的历史行为数据来修正其他参与者的行为类别的后验概率;G(λa),G(λd)分别为攻击者和防御者可选择的攻击方式和防御方式;μ(λa),μ(λd)为参与者在博弈阶段所选择的攻击方式或防御方式所获的收益;E表示博弈均衡的状态。在本专利技术一实施例中,攻击者与防御者的收益构成的变量是在t时刻前的变量叠加和,可表示为y(t)=y(g1,t)*y(g2,t+T)*…*y(gn,t+(n-2)T);其中,gn为参与者所做的第n个行为类别;T为行为持续时间。在本专利技术一实施例中,所述结束条件为:至少一个参与者达到目的或者放弃竞争。相较于现有技术,本专利技术具有以下有益效果:本专利技术通过查看网络的脆弱点,根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略;在动态贝叶斯博弈体系中构建APT攻击预测模型,分析基于模型的博弈双方收益构成;通过分析攻击者和防御者双方的收益,预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率;本专利技术的动态贝叶斯博弈均衡将保证预测的有效性和合理性。附图说明图1为基于动态贝叶斯博弈的APT攻击预防流程图。图2为基于动态贝叶斯博弈阶段构造的博弈树。具体实施方式下面结合附图1-2,对本专利技术的技术方案进行具体说明。本专利技术最关键的构思在于:在动态贝叶斯博弈体系中,每个攻击者和防御者都是理性的参与者,不违背博弈均衡的原则,即都以自身利益最大化为原则,通过分析攻击者和防御者的收益,来预测下一博弈阶段攻击者和防御者将会采取的行为方式。每次博弈过程将包含多个博弈阶段,并且每个博弈阶段为一次性博弈,即双方若选定策略之后,将不会改变各自的策略直到该博弈阶段结束。如图1所示,所述的基于动态贝叶斯博弈的APT攻击预防方法为:通过查看网络的脆弱点,根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略;在动态贝叶斯博弈体系中构建APT攻击预测模型,分析基于模型的博弈双方收益构成;通过分析攻击者和防御者双方的收益,预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率。动态贝叶斯博弈均衡将保证预测的有效性和合理性。从上述描述可知,本专利技术的有益效果在于:通过动态贝叶斯博弈过程,可以预测攻击者在下一博弈阶段将会采取的攻击行为方式。该预测可以为安全系统提供有价值的防御参考,将传统的防御方式变被动为主动,通过预测攻击行为来提前阻止攻击行为的发生,能够有效提高系统的安全性能。进一步的,通过查看网络的脆弱点,根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略的方法为:通过漏洞扫描工具对指定的网络系统的安全脆弱性进行检测,及时发现安全漏洞和网络的脆弱点,根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略。本方法的关键构思在于:APT攻击方式可以分为网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹等;攻击目的可分为无、读取文件、远程访问、获取本地用户权限、访问根目录等。对于攻击者而言,不同的攻击方式将带来不同的攻击成本,例如木马攻击和缓冲区溢出攻击所产生的攻击成本不同,而不同攻击目的也将会带来不同的收益,例如获取本地用户权限的利益比获取根目录访问权限小。攻击者的攻击策略可以是一种攻击方式,也可以是组合攻击方式。防御者的行为策略则是根据攻击者采取的攻击行为而做相应改变。进一步的,在动态贝叶斯博弈体系中构建APT攻击预测模型,分析本文档来自技高网...
【技术保护点】
一种基于动态贝叶斯博弈的APT攻击预测方法,其特征在于:包括如下步骤,S1、通过查看网络的脆弱点,根据网络拓扑结构获取攻击者和防御者可能采取的行为策略;S2、在动态贝叶斯博弈体系中构建APT攻击预测模型,分析基于模型的攻击者和防御者博弈双方收益构成;S3、通过分析攻击者和防御者双方的收益,预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率。
【技术特征摘要】
1.一种基于动态贝叶斯博弈的APT攻击预测方法,其特征在于:包括如下步骤,S1、通过查看网络的脆弱点,根据网络拓扑结构获取攻击者和防御者可能采取的行为策略;S2、在动态贝叶斯博弈体系中构建APT攻击预测模型,分析基于模型的攻击者和防御者博弈双方收益构成;S3、通过分析攻击者和防御者双方的收益,预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率。2.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法,其特征在于:所述步骤S1中,通过漏洞扫描工具查看网络的脆弱点。3.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法,其特征在于:所述攻击者的收益构成包括包括三个变量:防御者没有检测出攻击时的收益、实施攻击的代价、被检测出攻击时受到的惩罚;所述防御者的收益构成包括三个变量:检测出攻击时的收益、没检测出攻击时的损失、阻止攻击的代价。4.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法,其特征在于:所述步骤S2中,为了获得博弈均衡,需要构造博弈树来分析攻击者和防御者双方的收益,预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率;构造博弈树的方法为海萨尼转换,即引入一个虚拟的博弈局中人Nature,Nature首先根据概率分布决定攻击者的类型,接着每个攻击者再根据概率分布选择攻击行为类别和行为方式,再次,每个防御者根据概率分布选择防御行为类别和防御方式;该过程一个重复迭代的过程,直到达到结束条件停止博弈。5.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法,其特征在于:APT攻击方式包括网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹;APT攻击目的包括无、读取文件、远程访问、获取本地用户权限、访问根目录;对于攻击者而言,不同的攻击方式将带来不同的攻击成本,而不同攻击目的也将会带来不同的收益;攻击者的攻击策略为一种或多种组合的攻击方式;防御者的行为策略则是根据攻击者采取的攻击行为而做相应改变。6.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预...
【专利技术属性】
技术研发人员:何颖,沈楚成,杨业良,吴翠云,林锴,
申请(专利权)人:福建中信网安信息科技有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。