CN101075917B - 一种预测网络攻击行为的方法及装置 - Google Patents
一种预测网络攻击行为的方法及装置 Download PDFInfo
- Publication number
- CN101075917B CN101075917B CN2007101302329A CN200710130232A CN101075917B CN 101075917 B CN101075917 B CN 101075917B CN 2007101302329 A CN2007101302329 A CN 2007101302329A CN 200710130232 A CN200710130232 A CN 200710130232A CN 101075917 B CN101075917 B CN 101075917B
- Authority
- CN
- China
- Prior art keywords
- attack
- follow
- maximum possible
- frequency
- corresponding relation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络通信安全领域,公开了一种预测网络攻击行为的方法,包括以下步骤:监测网络状态参数,根据网络状态参数的变化,获得攻击行为;根据攻击行为与后继攻击行为的对应关系,从所述攻击行为对应的后继攻击行为中选择一个最大可能后继攻击行为,其中,所述最大可能后继攻击行为是与所述攻击行为对应的后继攻击行为中发生次数最多的一个;将所述最大可能后继攻击行为作为预测的网络攻击行为输出。本发明还公开了一种预测网络攻击行为的装置,包括攻击行为管理单元。本发明详细描述了网络攻击行为过程及攻击过程中攻击行为之间的关系,提出了网络预警的方法,为针对网络攻击采取具体措施提供了依据。
Description
技术领域
本发明涉及网络通信安全领域,特别是涉及一种预测网络攻击行为的方法及装置。
背景技术
随着计算机网络技术的飞速发展,社会的信息化程度不断提高,网络在给人们带来巨大的经济效益和社会效益的同时,也面临着日益严重的安全问题,针对网络的攻击层出不穷。攻击数量、种类越来越多;攻击越来越复杂;对依赖网络的用户危害也越来越大。因此对网络攻击行为特点的深入研究势在必行。
对网络攻击的研究不能仅从攻击的个体出发,需要对整个网络攻击系统有整体的认识。但一方面攻击行为的复杂性、多样性,难于归纳总结,特别是针对大规模网络的描述,就更加困难。另一方面现有的攻击模型大多应用于入侵检测,很少有从预警的角度对网络攻击行为进行描述分析。
如今大部分关于网络攻击的描述集中于归纳、分类漏洞和攻击方法上。比如一种利用攻击树模型的描述方法,使用树来表示攻击行为之间的关联,树的每个节点表示攻击的最终目标。攻击树直观、易于理解,但是它不区分攻击行为和攻击结果,难以利用攻击树模型进行攻击预警。另外一种是基于对离散并行系统的数学表示Petri网的攻击网描述方法,使用Petri网的库所(Place)表示攻击的阶段,变迁(Transition)表示攻击行为,有向弧(Connection)表示攻击过程。还有一种表示攻击过程的方法是状态转换图。攻击过程表示为系统状态之间的迁移,通过检测攻击过程的各个状态是否得到了满足判断是否发生了攻击,可以根据已检测到的攻击行为预测系统将会达到的危害状态,但并没有考虑各种攻击过程之间的关系。
现有入侵检测技术通过匹配已知攻击方法的特征对攻击行为进行检测。如Snort的入侵规则集通过单包特征对攻击进行检测。STATL语言基于状态和状态转移对攻击行为进行描述,为基于状态图的入侵检测系统提供入侵特征库。ESTQ方法通过<事件,协议状态,时间关系,数量关系>对网络协议攻击进行描述。IDIOT采用有色petri网对入侵进行建模和检测。
现有技术的另一种网络入侵行为和正常行为的形式化描述方法是以ASSQ四元组为理论基础,在已有Petri网模型的基础上进行了重新定义和修改,可以应用在各种入侵检测和相关系统中,用来跟踪、检测入侵行为,区分系统正常行为和入侵行为。这项技术是ESTQ方法和petri网相结合的描述方法。ASSQ四元组是ESTQ方法的改进,是对入侵行为的总体上的描述,对攻击在系统状态和网络事件中表现出来的时间和数量上的关系进行分析,通过重新定义的Petri网模型来实现对四元组的描述。
在实现本发明过程中,发明人发现现有技术至少存在如下问题:现有技术要么对攻击过程中攻击行为的描述过于简单,不能对攻击过程进行清晰的描述,没有体现出大规模网络攻击的整体性,不适用于宏观网络。要么只是单纯通过四元组对入侵行为进行定义,并以petri网描述入侵过程,没有进一步提出如何对下一步入侵行为进行预测和描述。
发明内容
本发明实施例要解决的问题是提供一种预测网络攻击行为的方法及装置。
为达到上述目的,本发明的一个实施例的技术方案提供一种预测网络攻击行为的方法,包括以下步骤:建立攻击行为名称、攻击行为状态与所述攻击行为的后继攻击行为之间的对应关系;建立后继攻击行为名称、后继攻击行为状态、由所述攻击行为到后继攻击行为的发生次数以及阻止最大可能后继攻击行为发生的策略之间的对应关系;监测网络状态参数,根据网络状态参数的变化,获得攻击行为;根据所述攻击行为与后继攻击行为的对应关系,从所述攻击行为对应的后继攻击行为中选择一个最大可能后继攻击行为,其中,所述最大可能后继攻击行为是与所述攻击行为对应的后继攻击行为中发生次数最多的一个;将所述最大可能后继攻击行为作为预测的网络攻击行为输出;对所述最大可能后继攻击行为进行阻止,如果阻止成功,则增加由所述攻击行为到所述最大可能后继攻击行为的发生次数,如果阻止失败,则减小由所述攻击行为到所述最大可能后继攻击行为的发生次数。
本发明实施例的技术方案还提供了一种预测网络攻击行为的装置,包括:第一单元,用于建立攻击行为名称、攻击行为状态与所述攻击行为的后继攻击行为之间的对应关系;建立后继攻击行为名称、后继攻击行为状态、由所述攻击行为到后继攻击行为的发生次数以及阻止最大可能后继攻击行为发生的策略之间的对应关系;第二单元,用于监测网络状态参数,根据网络状态参数的变化,获得攻击行为;第三单元,用于根据所述攻击行为与后继攻击行为的对应关系,从所述攻击行为对应的后继攻击行为中选择一个最大可能后继攻击行为,其中,所述最大可能后继攻击行为是与所述攻击行为对应的后继攻击行为中发生次数最多的一个;第四单元,用于将所述最大可能后继攻击行为作为预测的网络攻击行为输出;第五单元,用于对所述最大可能后继攻击行为进行阻止,如果阻止成功,则增加由所述攻击行为到所述最大可能后继攻击行为的发生次数,如果阻止失败,则减小由所述攻击行为到所述最大可能后继攻击行为的发生次数。
与现有技术相比,本发明的实施例具有以下优点:
本发明的实施例通过详细描述攻击行为过程及攻击过程中攻击行为之间的关系,对后继攻击行为进行预测和阻止,解决了只单一描述攻击行为,没有描述整个攻击过程的问题,并且提出了预警的方法,达到了预警的目的,从而提高了网络的安全性。
附图说明
图1是本发明实施例的一种描述网络攻击行为的攻击行为带权有向图的结构图;
图2是本发明实施例的一种描述网络攻击行为的索引表和后继攻击行为表的结构图;
图3是本发明实施例的一种预测网络攻击行为的流程图;
图4是本发明实施例的一种描述网络攻击行为的攻击支撑树流程图;
图5是本发明实施例的另一种描述网络攻击行为的攻击支撑树流程图;
图6是本发明实施例的一种装置结构图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
结合图1、图2来具体介绍描述网络攻击行为的方法。攻击行为与其后继攻击行为之间的对应关系用攻击行为带权有向图来表示。图1是本发明实施例的一种描述网络攻击行为的攻击行为带权有向图的结构图,圆圈是攻击行为带权有向图中的顶点,每个顶点表示一种攻击行为,圆圈内的字母表示具体攻击行为的名称;箭头线是攻击行为带权有向图中的弧,弧代表由攻击行为到后继攻击行为的指向关系,弧尾连接前驱攻击行为,弧头指向后继攻击行为,例如A为前驱攻击行为,B、C、D是A的后继攻击行为;箭头线上的字母是攻击行为带权有向图中的弧的权重,描述的是从前驱攻击行为到后继攻击行为这一攻击行为序列的历史发生次数。例如弧AB的权重为i,则表示以前从攻击行为A到攻击行为B发生过i次;而弧AC的权重为j,如果i>j,则表明由攻击行为A到攻击行为B的攻击行为序列历史上发生次数大于由攻击行为A到攻击行为C的攻击行为序列;反之,如果i<j,由攻击行为A到攻击行为C的攻击行为序列历史上发生次数大于由攻击行为A到攻击行为B的攻击行为序列。
图2是本发明实施例的一种描述网络攻击行为的索引表和后继攻击行为表的结构图。攻击行为名称、攻击行为状态与后继攻击行为之间的对应关系用索引表来表示,后继攻击行为名称、后继攻击行为状态、由攻击行为到后继攻击行为发生次数以及阻止所述最大可能后继攻击行为发生的策略之间的对应关系用后继攻击表来表示。根据图1,建立一个索引表21和多个后继攻击行为表22。索引表21中每一项的结构为name 211,active 212,*next_table213。其中,name 211是攻击行为名称,name∈n,n是攻击行为名称集合;active212表示攻击行为状态,其中Y表示该攻击行为没有被屏蔽;N表示该攻击行为被屏蔽,active初始值均为Y。在查找攻击行为时,被屏蔽的攻击行为不能够被遍历和查找。在攻击行为带权有向图上也不显示出来。方便快速查找最大可能后继攻击行为。*next_table213是指向后继攻击行为表的指针,指向该攻击行为对应的后继攻击行为表。后继攻击行为表22用于存储后继攻击行为的所有相关信息,表中的各项分别用来描述攻击行为带权有向图中的各条弧。每一个表项的结构为next_name 221,num 222,active 223,*respond 224。其中next_name 221是后继攻击行为名称,next_name∈n;num 222是由攻击行为到后继攻击行为发生次数;active 223表示后继攻击行为状态,具体是指攻击行为与其后继攻击行为之间的弧的状态,其中Y表示该弧没有被屏蔽;N表示该弧被屏蔽。active初始值均为Y。被屏蔽的弧被设置为隐藏状态,在攻击行为带权有向图上不显示出来。*respond224是指向阻止后继攻击行为发生的响应子单元的指针。
建立索引表21和后继攻击行为表22的具体实施例为:
根据经验知识获知如图1的各顶点之间的先驱和后继关系,利用历史样本数据确定弧的权重数据。然后建立索引表21,将所有攻击行为名称填入索引表21中的每一个表项中的name 211字段,active 212字段均设为Y。针对每一个攻击行为,建立一个后继攻击行为表22,将该攻击行为的所有后继攻击行为名称填入后继攻击行为表22中的next_name 221字段内,每一个后继攻击行为对应一个表项;将每一个攻击行为所对应表项的*next_table 213指针指向对应的后继攻击行为表22;根据历史样本数据,填写每个后继攻击行为表22中的弧的权重num 222;active 223字段均设为Y;将后继攻击行为表22每一项中的*respond 224指针指向用于阻止该后继攻击行为的响应子单元。通过上述步骤得到索引表21和后继攻击行为表22。
通过以上实施例可以看出,本发明实施例详细描述了攻击过程中攻击行为之间的重要关系,不再单一描述某一攻击。使我们对整个攻击序列有了更加清楚的认识。
图3是本发明实施例的一种预测网络攻击行为的流程图。下面结合图3,对本发明实施例预测网络攻击行为进行详细描述,具体步骤为:
步骤S31,检测网络状态参数,如果网络状态参数发生变化,说明发生攻击行为。根据网络参数的变化,获得攻击行为。
步骤S32,判断该攻击行为是否为唯一确定的攻击行为,如果是唯一确定的攻击行为,则转步骤S33;否则转步骤S34。
步骤S33,根据攻击行为与其后继攻击行为的对应关系,将该攻击行为的所有后继攻击行为放入集合GP中。
步骤S331,在集合GP中查找最大可能后继攻击行为。遍历所有指向后继攻击行为的弧的权重,弧的权重越大,表明对应的后继攻击行为发生的次数越多。数值最大的弧的权重所指向的后继攻击行为即为最大可能后继攻击行为。
步骤S332,最大可能后继攻击行为所对应的响应子单元对其进行阻止。
步骤S333,判断该响应子单元是否阻止了最大可能后继攻击行为的发生。如果该响应子单元阻止了最大可能后继攻击行为的发生,则转到步骤S334;否则转到步骤S335。
步骤S334,该响应子单元阻止了最大可能后继攻击行为的发生,将网络状态恢复到安全状态,则指向最大可能后继攻击行为的弧的权重加1,说明对网络攻击行为的预警成功,流程结束。
步骤S335,该响应子单元阻止了最大可能后继攻击行为失败,网络状态未恢复到安全状态,则指向最大可能后继攻击行为的弧的权重减1。
步骤S336,在集合GP中除去最大可能后继攻击行为。
步骤S337,判断集合GP是否为空,如果为空,则转到步骤S31;否则,转到步骤S331。
步骤S34,该攻击行为是几个可能攻击行为之一,则根据攻击行为与后继攻击行为的对应关系,在几个可能攻击行为的后继攻击行为中查找共同的最大可能后继攻击行为。
步骤S341,判断几个可能攻击行为的后继攻击行为是否存在共同的最大可能后继攻击行为,如果存在,则转到步骤S342,否则转到步骤S31。
步骤S342,共同的最大可能后继攻击行为所对应的响应子单元对其进行阻止。
步骤S343,判断该响应子单元是否阻止了最大可能后继攻击行为的发生。如果该响应子单元阻止了最大可能后继攻击行为的发生,则转到步骤S344;否则转到步骤S345。
步骤S344,该响应子单元阻止了最大可能后继攻击行为的发生,将网络状态恢复到安全状态,则指向最大可能后继攻击行为的弧的权重加β/k,其中β在0至1之间取值,k是可能攻击行为的个数,说明对网络攻击行为的预警成功,流程结束。
步骤S345,该响应子单元阻止了最大可能后继攻击行为失败,网络状态未恢复到安全状态,则指向最大可能后继攻击行为的弧的权重减β/k,其中β在0至1之间取值,k是可能攻击行为的个数。转到步骤S31。
下面结合图1、图2,以一个具体实施例对预测网络攻击行为的方法进行详细描述。由图1、图2可知,A、B、C、D均为攻击行为,B、C、D均为A的后继攻击行为,弧AB的权重为i,弧AC的权重为j,弧AD的权重为k。响应模块1、3、n分别阻止攻击行为B、C、D的发生。
如果当前网络状态参数发生变化,确定当前发生攻击行为是A,则由A的后继攻击行为B、C、D组成集合GP,并在集合GP中查找最大可能后继攻击行为,如果i>j>k,则B为最大可能后继攻击行为,调用B对应的响应子单元1,如果响应子单元1阻止了B,网络状态恢复到安全状态,则预测成功,弧AB的权重i加1,流程结束;若响应子单元1没有阻止B,网络状态未恢复到安全状态,则表明预测失败,弧AB的权重i减1,并将B从GP中去除,然后返回到GP,继续寻找最大可能后继攻击行为,直到响应模块阻止了最大可能后继攻击行为或GP为空。
如果当前网络状态参数发生变化,确定当前发生攻击行为可能是B或D,则分别查找B、D的最大可能后继攻击行为。在图1中,攻击E、F、C均为攻击B的后继攻击行为,弧BE、BF、BC的权重分别为d、e、a;攻击C、F、G为攻击D的后继攻击行为,弧DC、DF、DG的权重分别为b、g、h。如果d>e,d>a,h>b,h>g,则B的最大可能后继攻击行为为E,D的最大可能后继攻击行为为G,即B和D没有最大可能后继攻击行为,则继续监测网络状态。如果e>d,e>a,g>b,g>h,B和D的最大可能后继攻击行为均为F,调用F对应的响应子单元5,如果响应子单元5阻止了F,网络状态恢复到安全状态,则预测成功,弧BF、DF的权重e、g分别增加β/2,流程结束;如果响应子单元5没有阻止了F,网络状态未恢复到安全状态,则预测失败,弧BF、DF的权重e、g分别减小β/2,然后继续监测网络状态参数。
以上实施例通过分析后继攻击行为,查找最大可能后继攻击行为,由响应子单元对最大可能后继攻击行为进行阻止,达到了预警的目的。
图4是本发明实施例的一种描述网络攻击行为的攻击支撑树流程图。攻击支撑树是对攻击行为带权有向图进行简化得到的,具体步骤包括:
步骤S41,根据历史数据和经验,设定一个权重阈值t。
步骤S42,访问后继攻击行为表,对num222表项遍历。
步骤S43,判断是否所有后继攻击行为表遍历完毕,如果遍历完毕,则转步骤S46,否则转步骤S44。
步骤S44,用当前后继攻击行为表中的num222数值与t进行比较,如果当前后继攻击行为表中的num222数值小于t,则转步骤S45,否则转步骤S42。
步骤S45,后继攻击行为表中的num222数值小于t,则表明该后继攻击行为发生的几率比较小,可以认为是安全的,所以屏蔽该当前后继攻击行为表中的num222数值对应的弧。不对该弧指向的后继攻击行为进行查找和遍历。被屏蔽的弧在攻击行为带权有向图上被隐藏,不显示出来。
步骤S46,当所有后继攻击行为表遍历完毕后,判断所述攻击行为带权有向图是否因为屏蔽一些弧,而使一些弧的顶点变成孤点,如果所述攻击行为带权有向图出现孤点,则转步骤步骤S47,否则转步骤S48。
步骤S47,屏蔽上述孤点。孤点表示具体的攻击行为,在查找最大可能后继攻击行为时,对被屏蔽的攻击行为不进行遍历和查找。以快速查找到最大可能后继攻击行为。
步骤S48,屏蔽了上述弧和孤点的攻击行为带权有向图即为所求的攻击支撑树。
如果判断到的攻击行为所对应的顶点是被屏蔽的,则取消对该顶点以及和其关联的弧的屏蔽。如果某个被屏蔽的弧所对应的攻击序列再次确定地出现,则取消对其的屏蔽。实施例的流程如图5所示,具体步骤包括:
步骤S51,通过监测网络状态参数的变化,确定了某个具体攻击行为发生。
步骤S52,判断该攻击行为是否被屏蔽。如果被屏蔽,则转步骤S53,否则转步骤S56。判断该攻击行为是否被屏蔽具体为:查找索引表21,如果该攻击行为对应的acctive212为N,则表示被屏蔽,为Y,则表示未被屏蔽。
步骤S53,取消对该顶点的屏蔽,即将acctive212改为Y。
步骤S54,取消对该攻击行为指向其所有后继攻击行为的弧的屏蔽。具体实施步骤为:查找该攻击行为对应的所有后继攻击行为表22,将所有后继攻击行为表22内的active 223改为Y。
步骤S55,取消对该攻击行为的所有后继攻击行为对应的顶点的屏蔽。具体实施步骤为:由步骤S54,得到该攻击行为所有后继攻击行为的名称next_name 221,查找索引表21,将所有名称与next_name 221对应的表项内的acctive212改为Y。
步骤S56,得到的新图即为所求的攻击支撑树。
以上实施例通过简化攻击行为带权有向图来建立攻击支撑树,可以更快的判断当前攻击的模式,缩短检测的响应时间,从而提高了预测网络攻击行为的效率。
图6是本发明实施例的一种装置结构图,包括攻击行为管理单元61和告警单元62,其中告警单元又包括响应子单元621和权重管理子单元622。攻击行为管理单元61主要是监测网络状态参数,当网络状态参数发生变化,确定攻击行为发生,根据攻击行为与后继攻击行为的对应关系,找出攻击行为的最大可能后继攻击行为,并通过告警单元62控制响应子单元621对最大可能后继攻击行为进行阻止。响应子单元621存储了阻止对应后继攻击行为发生的策略,用于阻止后继攻击行为的发生。权重管理子单元622是根据响应子单元621对后继攻击行为的阻止结果来更新由攻击行为到最大后继攻击行为的发生次数。如果响应子单元621阻止后继攻击行为成功,将网络状态恢复到安全状态,则权重管理子单元622增加由攻击行为到最大后继攻击行为的发生次数。如果响应子单元621阻止后继攻击行为失败,未将网络状态恢复到安全状态,则权重管理子单元622减小由攻击行为到最大后继攻击行为的发生次数。通过更新由攻击行为到最大后继攻击行为的发生次数,可以更加准确、及时的描述和预测网络攻击行为的发生。下面结合图1、图2具体实例,进行进一步解释:
如果攻击行为管理单元61确定攻击行为A发生攻击行为,找到B为A的最大后继攻击行为,则控制响应子单元621中的响应子单元1对B进行阻止。如果响应子单元1阻止B成功,将网络状态恢复到安全状态,则权重管理子单元622把i更新为i+1;如果响应子单元1阻止B失败,未将网络状态恢复到安全状态,则权重管理子单元622把i更新为i-1。
如果攻击行为管理单元61确定攻击行为B或D中间的一个发生攻击行为,则在B和D的后继攻击行为中寻找共同的最大后继攻击行为,如果找到共同的最大后继攻击行为为F,则控制响应子单元621中的响应子单元5对F进行阻止。如果响应子单元5阻止F成功,将网络状态恢复到安全状态,则权重管理子单元622把e和g更新为e+β/2和g+β/2;如果响应子单元5阻止F失败,未将网络状态恢复到安全状态,则权重管理子单元622把e和g更新为e-β/2和g-β/2。其中β在0至1间取值。
通过以上实施例,可以看出本发明实施例通过对攻击行为过程及攻击过程中攻击行为之间的关系的描述,实现了对后继攻击行为的预警,从而提高了网络的安全性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种预测网络攻击行为的方法,其特征在于,包括以下步骤:
建立攻击行为名称、攻击行为状态与所述攻击行为的后继攻击行为之间的对应关系;建立后继攻击行为名称、后继攻击行为状态、由所述攻击行为到后继攻击行为的发生次数以及阻止最大可能后继攻击行为发生的策略之间的对应关系;
监测网络状态参数,根据网络状态参数的变化,获得攻击行为;
根据所述攻击行为与后继攻击行为的对应关系,从所述攻击行为对应的后继攻击行为中选择一个最大可能后继攻击行为,其中,所述最大可能后继攻击行为是与所述攻击行为对应的后继攻击行为中发生次数最多的一个;
将所述最大可能后继攻击行为作为预测的网络攻击行为输出;
对所述最大可能后继攻击行为进行阻止,如果阻止成功,则增加由所述攻击行为到所述最大可能后继攻击行为的发生次数,如果阻止失败,则减小由所述攻击行为到所述最大可能后继攻击行为的发生次数。
2.如权利要求1所述预测网络攻击行为的方法,其特征在于,如果所述攻击行为是唯一确定的攻击行为,则在所述攻击行为的所有后继攻击行为中查找最大可能后继攻击行为。
3.如权利要求1所述预测网络攻击行为的方法,其特征在于,如果所述攻击行为是多个可能攻击行为,则在多个可能攻击行为中查找共同的最大可能后继攻击行为。
4.如权利要求1所述预测网络攻击行为的方法,其特征在于,增加或减小由所述攻击行为到所述最大可能后继攻击行为的发生次数,具体为:
如果所述攻击行为是唯一确定的攻击行为,则由所述攻击行为到所述最大可能后继攻击行为的发生次数增加或减小1;
如果所述攻击行为是多个可能攻击行为之一,则由所述攻击行为到所述最大可能后继攻击行为的发生次数增加或减小β/k,其中β在0至1之间取值,k是可能攻击行为的个数。
5.如权利要求1所述预测网络攻击行为的方法,其特征在于,在建立后继攻击行为名称、后继攻击行为状态、由所述攻击行为到后继攻击行为的发生次数以及阻止最大可能后继攻击行为发生的策略之间的对应关系之后,还包括以下步骤:
判断由所述攻击行为到后继攻击行为的发生次数是否小于权重阈值;
如果是,则屏蔽所述后继攻击行为及由所述攻击行为到所述后继攻击行为的指向关系。
6.如权利要求5所述预测网络攻击行为的方法,其特征在于,如果被屏蔽的所述后继攻击行为的前驱攻击行为发生攻击,则取消对所述后继攻击行为的屏蔽,并取消对由所述前驱攻击行为到其所有后继攻击行为的指向关系的屏蔽。
7.一种预测网络攻击行为的装置,其特征在于,包括:
第一单元,用于建立攻击行为名称、攻击行为状态与所述攻击行为的后继攻击行为之间的对应关系;建立后继攻击行为名称、后继攻击行为状态、由所述攻击行为到后继攻击行为的发生次数以及阻止最大可能后继攻击行为发生的策略之间的对应关系;
第二单元,用于监测网络状态参数,根据网络状态参数的变化,获得攻击行为;
第三单元,用于根据所述攻击行为与后继攻击行为的对应关系,从所述攻击行为对应的后继攻击行为中选择一个最大可能后继攻击行为,其中,所述最大可能后继攻击行为是与所述攻击行为对应的后继攻击行为中发生次数最多的一个;
第四单元,用于将所述最大可能后继攻击行为作为预测的网络攻击行为输出;
第五单元,用于对所述最大可能后继攻击行为进行阻止,如果阻止成功,则增加由所述攻击行为到所述最大可能后继攻击行为的发生次数,如果阻止失败,则减小由所述攻击行为到所述最大可能后继攻击行为的发生次数。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101302329A CN101075917B (zh) | 2007-07-16 | 2007-07-16 | 一种预测网络攻击行为的方法及装置 |
| PCT/CN2008/071218 WO2009009975A1 (fr) | 2007-07-16 | 2008-06-06 | Procédé et appareil pour prédire une action d'attaque de réseau |
| EP08160556A EP2026527A1 (en) | 2007-07-16 | 2008-07-16 | Method and device for predicting a network attack action |
| US12/174,335 US20090307777A1 (en) | 2007-07-16 | 2008-07-16 | Method and device for predicting network attack action |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101302329A CN101075917B (zh) | 2007-07-16 | 2007-07-16 | 一种预测网络攻击行为的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101075917A CN101075917A (zh) | 2007-11-21 |
| CN101075917B true CN101075917B (zh) | 2010-08-25 |
Family
ID=38976746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101302329A Expired - Fee Related CN101075917B (zh) | 2007-07-16 | 2007-07-16 | 一种预测网络攻击行为的方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20090307777A1 (zh) |
| EP (1) | EP2026527A1 (zh) |
| CN (1) | CN101075917B (zh) |
| WO (1) | WO2009009975A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9680855B2 (en) | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075917B (zh) * | 2007-07-16 | 2010-08-25 | 华为技术有限公司 | 一种预测网络攻击行为的方法及装置 |
| CN101754241B (zh) * | 2008-12-18 | 2012-12-19 | 中兴通讯股份有限公司 | 一种用于无线通信的预警系统及方法 |
| CN102447695B (zh) * | 2011-11-14 | 2015-12-09 | 中国科学院软件研究所 | 一种识别业务系统中关键攻击路径的方法 |
| US8863293B2 (en) * | 2012-05-23 | 2014-10-14 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
| US10095978B2 (en) * | 2013-01-05 | 2018-10-09 | Microsoft Technology Licensing, Llc | Monitor-mine-manage cycle |
| CN103281317B (zh) * | 2013-05-09 | 2016-06-08 | 浙江师范大学 | 一种软件定义网络的攻击测试方法 |
| US9171167B2 (en) * | 2013-06-20 | 2015-10-27 | The Boeing Company | Methods and systems for use in analyzing cyber-security threats in an aviation platform |
| CN105683987B (zh) | 2013-10-24 | 2018-11-16 | 三菱电机株式会社 | 信息处理装置和信息处理方法 |
| US9253204B2 (en) * | 2014-03-19 | 2016-02-02 | International Business Machines Corporation | Generating accurate preemptive security device policy tuning recommendations |
| CN105488393B (zh) * | 2014-12-27 | 2018-07-03 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
| FR3033971B1 (fr) * | 2015-03-20 | 2018-06-15 | Airbus Defence And Space | Procede, serveur et systeme de determination d'une strategie a mener par un observateur contre un agent hostile |
| CN106487534B (zh) | 2015-08-24 | 2019-08-13 | 华为技术有限公司 | 网络控制策略的生成方法、装置及网络控制器 |
| US10262132B2 (en) * | 2016-07-01 | 2019-04-16 | Entit Software Llc | Model-based computer attack analytics orchestration |
| CN106506567A (zh) * | 2017-01-12 | 2017-03-15 | 成都信息工程大学 | 一种基于行为评判的隐蔽式网络攻击主动发现方法 |
| CN110999249A (zh) * | 2017-08-03 | 2020-04-10 | T移动美国公司 | 发现多个向量攻击的相似搜索 |
| IL258345B2 (en) * | 2018-03-25 | 2024-01-01 | B G Negev Technologies And Applications Ltd At Ben Gurion Univ – 907553 | A rapid framework for ensuring cyber protection, inspired by biological systems |
| US10749890B1 (en) * | 2018-06-19 | 2020-08-18 | Architecture Technology Corporation | Systems and methods for improving the ranking and prioritization of attack-related events |
| JP7111249B2 (ja) * | 2019-03-28 | 2022-08-02 | 日本電気株式会社 | 分析システム、方法およびプログラム |
| US11902312B2 (en) * | 2019-11-01 | 2024-02-13 | Cymulate Ltd. | Security threats from lateral movements and mitigation thereof |
| CN110855715B (zh) * | 2019-11-29 | 2022-02-18 | 国家电网有限公司客户服务中心 | 基于随机Petri网的DOS攻防模拟方法 |
| US11930026B1 (en) * | 2020-07-09 | 2024-03-12 | EJ2 Communications, Inc. | Automating interactions with web services |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7603709B2 (en) * | 2001-05-03 | 2009-10-13 | Computer Associates Think, Inc. | Method and apparatus for predicting and preventing attacks in communications networks |
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| CN100426736C (zh) * | 2004-11-01 | 2008-10-15 | 中兴通讯股份有限公司 | 一种网络安全预警方法 |
| CN101075917B (zh) * | 2007-07-16 | 2010-08-25 | 华为技术有限公司 | 一种预测网络攻击行为的方法及装置 |
-
2007
- 2007-07-16 CN CN2007101302329A patent/CN101075917B/zh not_active Expired - Fee Related
-
2008
- 2008-06-06 WO PCT/CN2008/071218 patent/WO2009009975A1/zh active Application Filing
- 2008-07-16 US US12/174,335 patent/US20090307777A1/en not_active Abandoned
- 2008-07-16 EP EP08160556A patent/EP2026527A1/en not_active Withdrawn
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9680855B2 (en) | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2026527A1 (en) | 2009-02-18 |
| CN101075917A (zh) | 2007-11-21 |
| WO2009009975A1 (fr) | 2009-01-22 |
| US20090307777A1 (en) | 2009-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101075917B (zh) | 一种预测网络攻击行为的方法及装置 | |
| Mirheidari et al. | Alert correlation algorithms: A survey and taxonomy | |
| US9369484B1 (en) | Dynamic security hardening of security critical functions | |
| CN108494810A (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
| Tianfield | Cyber security situational awareness | |
| CN107992746A (zh) | 恶意行为挖掘方法及装置 | |
| CN108123939A (zh) | 恶意行为实时检测方法及装置 | |
| CN111641653A (zh) | 基于云平台的网络安全威胁态势感知系统 | |
| CN111753303A (zh) | 一种基于深度学习和强化学习的多粒度代码漏洞检测方法 | |
| CN107104951A (zh) | 网络攻击源的检测方法和装置 | |
| CN115544519A (zh) | 对计量自动化系统威胁情报进行安全性关联分析的方法 | |
| Yu et al. | Research and design of subway BAS intrusion detection expert system | |
| CN113486754B (zh) | 基于视频的事件演化预测方法、系统 | |
| Sabri et al. | Hybrid of rough set theory and artificial immune recognition system as a solution to decrease false alarm rate in intrusion detection system | |
| CN107835153A (zh) | 一种脆弱性态势数据融合方法 | |
| Chen et al. | Minimizing link generation in constraint checking for context inconsistency detection | |
| Li et al. | Intrusion detection system based on new association rule mining model | |
| Ning et al. | Design and application of penetration attack tree model oriented to attack resistance test | |
| Huailin et al. | Research on adaptive distributed intrusion detection system model based on Multi-Agent | |
| Mischiatti et al. | Applying local search and genetic evolution in concept learning systems to detect intrusion in computer networks | |
| Wei et al. | Security Analysis of Car Driving Identification System Based on Deep Learning | |
| CN117596078B (zh) | 一种基于规则引擎实现的模型驱动用户风险行为判别方法 | |
| Shikhaliyev | Conceptual model of intelligent monitoring system for computer networks | |
| Lai et al. | Predicting density-based spatial clusters over time | |
| Ayoughi et al. | Enhancing Automata Learning with Statistical Machine Learning: A Network Security Case Study |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100825 Termination date: 20150716 |
|
| EXPY | Termination of patent right or utility model |