一种基于目标图分析的网络入侵识别方法技术

本发明专利技术属于网络安全技术领域，具体涉及一种基于目标图分析的网络入侵识别方法，包括以下步骤：步骤一、将报警集与建立的攻击因果网络进行对应；步骤二、根据攻击因果网络构建概率目标图，通过计算各个节点的概率值，预测攻击目标策略；步骤三、判断是否发生新的网络攻击，当存在新的网络攻击时，通过概率目标图对网络攻击进行识别，否则循环至步骤一；步骤四、概率目标图对网络攻击的动作进行识别，输出网络攻击的攻击规划并预测其下一步动作。克服了现有技术的不足，采用报警关联来对报警信息先进行处理，可以减少报警数量，增强报警语意，识别误报及其触发根源，提高报警准确度。提高报警准确度。提高报警准确度。

【技术实现步骤摘要】
一种基于目标图分析的网络入侵识别方法


[0001]本专利技术属于网络安全
，具体涉及一种基于目标图分析的网络入侵识别方法。

技术介绍

[0002]入侵检测系统能在系统遭受攻击的时候检测到攻击，并利用警报通知系统管理员或者在攻击已经发生的情况下与其他防护系统合作来驱逐入侵攻击。目前的入侵检测系统由于检测机制不健全或不能检测未知的入侵等原因，使得系统经常出现漏报，严重地影响了检测的性能。因此，必须使系统能通过分析攻击行为来推测攻击者的真正意图。入侵检测要想进一步发展，就必须要引入人工智能中的规划识别方法。
[0003]2001年，Geib和Goldman将规划识别应用到入侵检测领域[i]。该方法采用了Geib等人之前的基于规划执行的规划识别方法，由于没有做太多的限制性假设，所以能够处理较广泛的规划识别问题。2007年，王雷提出了基于行为状态图的规划识别模型[ii]，该模型针对特定的入侵检测问题的攻击事件进行模拟演示，并在封闭的虚拟状态下对入侵行为进行检测。此后，有许多学者热衷于该领域的研究，有基于条件概率的误用检测方法，基于贝叶斯推理的异常检测方法，基于贝叶斯网络的异常检测方法，基于模式预测的异常检测方法等。2010年，彭武和姚淑萍提出了基于概率推理的入侵意图的识别算法，都大大推动了概率规划识别方法在入侵检测中的应用[iii]。诸葛建伟等人提出的基于扩展目标规划图的网络攻击规划识别算法[iv]，该算法可以对受监控系统和攻击者的状态进行有效跟踪，并识别出对手规划。但是，该方法不能完成对攻击者高层目标的有效识别和对攻击者下一步动作的预测。尹吉丽等人也在目标图的基础上提出了基于完全目标图的对手规划识别方法[v]，该方法使动作直接与目标相关，能够根据对手的动作来预测对手下一步动作，并可以识别出不同完成度的不同目标。
[0004]目前网络上的攻击大都不是单一的攻击行为，而是多个有联系的攻击步骤组合，即复杂的网络攻击。当IDS检测到攻击时会产生报警事件，这些报警事件也存在一定的联系。
[0005]专利申请号为200910080853.X的专利技术专利公开了一种基于概率推理的网络入侵意图识别方法，其中公开了根据报警信息直接进行识别，但是该技术方案容易产生漏报率高，可信度低的情况。

技术实现思路

[0006]本专利技术的目的在于提供一种基于目标图分析的网络入侵识别方法，克服了现有技术的不足，采用报警关联来对报警信息先进行处理，可以减少报警数量，增强报警语意，识别误报及其触发根源，提高报警准确度。
[0007]为解决上述问题，本专利技术所采取的技术方案如下：
[0008]一种基于目标图分析的网络入侵识别方法，包括以下步骤：
[0009]步骤一、将报警集与建立的攻击因果网络进行对应；
[0010]步骤二、根据攻击因果网络构建概率目标图，通过计算各个节点的概率值，预测攻击目标策略；
[0011]步骤三、判断是否发生新的网络攻击，当存在新的网络攻击时，通过概率目标图对网络攻击进行识别，否则循环至步骤一；
[0012]步骤四、概率目标图对网络攻击的动作进行识别，输出网络攻击的攻击规划并预测其下一步动作。
[0013]进一步，所述攻击因果网络包括一个总目标和若干多层次的子目标，且每层的各个子目标之间存在与/或的关系；若子目标之间为与的关系，则当所有子目标都实现时才能实现总目标，若子目标之间为或的关系，则当其中一个子目标实现时就能实现总目标。
[0014]进一步，步骤二中所述通过计算各个节点的概率值，具体方法包括：
[0015]根据攻击因果网络内各个子目标的分布计算出每个子目标和总目标的概率分布；
[0016](1)与运算：存在一个上层结点G，若其下层结点为与运算，即P(g1)∩P(g2)∩
······
∩P(g
n
)，则该结点G的概率值为P(g)＝Max{P(g1)*P(g2)*
······
*P(g
n
)}，n≥0；
[0017](2)或运算：存在一个上层结点G，若其下层结点为或运算，即P(g1)∪P(g2)∪
······
∪P(g
n
)，则该结点G的概率值为P(g)＝Max{P(g1)，P(g2)，
······
，P(g
n
)}，n≥0；
[0018](3)若一个上层结点与下层结点既存在或运算，又存在与运算，则先进行与运算，然后进行或运算。
[0019]进一步，所述概率目标图定义为一个八元组<Q，O，A，Pa，Pg，G，P，E>，其中，Q为状态结点集合；
[0020]O是观察结点集合，时间步i所进行的观察记为O
i
；
[0021]A是动作结点集合，ai∈A，a
i
是第i时间步的动作
[0022]Pa是预测动作结点集合；Pg为预测目标结点集合；
[0023]G是目标结点集合，时间步i所达到的目标记为g
i
，g
i
∈G；
[0024]P表示各结点的概率分布；
[0025]E是边的集合，其中包括：
[0026]支持边：表示时间步i的抽象动作支持时间步i的目标，
[0027]实现边：表示时间步i+1的抽象动作可以实现时间步i的目标，
[0028]抽象边：表示具体动作抽象于抽象动作，
[0029]观察边：表示观察结点对于具体动作的观察事件。
[0030]目标保持边：表示目标结点从第i时间步到第i+1时间步没有发生变化。
[0031]进一步，所述概率目标图的构建方法包括以下步骤：
[0032](1)输入为一个仅包含初始状态结点集的目标规划图(1)输入为一个仅包含初始状态结点集的目标规划图初始状态通过网络环境自动感知机制获取可通过经验规则进行估计；
[0033](2)已知初始状态，根据观察得到动作a，用观察边连接观察结点与所观察到的动
作结点；
[0034](3)查询攻击因果网络，对动作a进行实例化，连接前提条件边和后果状态边；
[0035](4)通过后果状态结点和知识库比对，预测下一步动作和目标，用预测动作边连接后果状态结点与预测动作结点，用预测目标边连接后果状态结点与预测目标结点；
[0036](5)继续通过观察到的动作进行下一步扩展；
[0037](6)对于在第i时间步和第i+1时间步没有发生任何变化的状态结点，用持续边连接。
[0038]进一步，步骤四中所述概率目标图对网络攻击的动作进行识别，具体步骤包括：
[0039]对第i个时间步中新实现的每个目标结点g
i
，找出用目标描述边与g
i
相连的状态结点，再向前找出得到该状态结点的动作，将动作添加到攻击规划的动作集合中，并根据因果链接的定义，循环结束后，找到一个攻本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于目标图分析的网络入侵识别方法，其特征在于：包括以下步骤：步骤一、将报警集与建立的攻击因果网络进行对应；步骤二、根据攻击因果网络构建概率目标图，通过计算各个节点的概率值，预测攻击目标策略；步骤三、判断是否发生新的网络攻击，当存在新的网络攻击时，通过概率目标图对网络攻击进行识别，否则循环至步骤一；步骤四、概率目标图对网络攻击的动作进行识别，输出网络攻击的攻击规划并预测其下一步动作。2.根据权利要求1所述的一种基于目标图分析的网络入侵识别方法，其特征在于：所述攻击因果网络包括一个总目标和若干多层次的子目标，且每层的各个子目标之间存在与/或的关系；若子目标之间为与的关系，则当所有子目标都实现时才能实现总目标，若子目标之间为或的关系，则当其中一个子目标实现时就能实现总目标。3.根据权利要求2所述的一种基于目标图分析的网络入侵识别方法，其特征在于：步骤二中所述通过计算各个节点的概率值，具体方法包括：根据攻击因果网络内各个子目标的分布计算出每个子目标和总目标的概率分布；(1)与运算：存在一个上层结点G，若其下层结点为与运算，即Pg1∩Pg2)∩
······
∩Pg
n
)，则该结点G的概率值为P(g)＝Max{P(g1)*P(g2)*
······
*P(g
n
)}，n≥0；(2)或运算：存在一个上层结点G，若其下层结点为或运算，即P(g1)∪P(g2)∪
······
∪P(g
n
)，则该结点G的概率值为P(g)＝Max{P(g1)，P(g2)，
······
，P(g
n
)}，n≥0；(3)若一个上层结点与下层结点既存在或运算，又存在与运算，则先进行与运算，然后进行或运算。4.根据权利要求1所述的一种基于目标图分析的网络入侵识别方法，其特征在于：所述概率目标图定义为一个八元组<Q，O，A，Pa，...

【专利技术属性】
技术研发人员：刘莹，李东兵，杨柏楠，王秋楠，穆笑妍，张斯钰，于龙权，曹宇，
申请(专利权)人：长春汽车工业高等专科学校，
类型：发明
国别省市：