CN102724199B - 基于贝叶斯网络推理的攻击意图识别方法 - Google Patents

Abstract

本发明提供一种基于贝叶斯网络推理的攻击意图识别方法，包括如下内容：用于计算机网络自组织对抗中加入参数学习机制的面向情报决策系统的攻击意图识别方法，该方法能够在计算机网络自组织对抗环境中，让情报系统根据已给定的主机漏洞信息、网络拓扑信息和攻击知识库，利用IDS报警信息识别攻击者的攻击意图并提供给决策系统作为决策的依据。攻击意图识别过程为攻击场景生成，IDS报警信息聚合匹配，更新攻击行为对的条件概率分布，利用贝叶斯网络推理中团树传播算法计算攻击意图节点概率，进行贝叶斯网络参数和IDS检测能力的更新。并根据计算结果和历史信息更新计算参数，使计算结果更加准确。

Description

基于贝叶斯网络推理的攻击意图识别方法

技术领域

本发明涉及计算机网络安全技术领域，特别指一种基于贝叶斯网络推理的攻击意图识别方法，可用于计算机网络自组织对抗(Computer Network Self-Organizing Operations，CNSOO)中。

背景技术

目前网络攻击向复杂性、多样性和分布性方向发展，现实中的攻击绝大多数不是孤立的行为，而是由许多分散行为（一系列的攻击动作）所构成的复合攻击。一般的入侵检测系统中，只对单独的攻击行为报警，报警信息量大而不易理解和分析，亦不能预测攻击者下一步可能发生的攻击。攻击意图是攻击者试图通过一系列攻击行为最终达到的攻击目的，而攻击意图识别是依据观察到的攻击者行为识别其攻击意图的过程。攻击意图识别可以获得隐藏在大量攻击事件背后的攻击意图，作为主动防御的基础增强系统的防御能力，提高对入侵检测系统的有效利用。

计算机网络自组织对抗(Computer Network Self-Organizing Operations，CNSOO)是一种为在计算机网络上获取并维持信息优势而由计算机自动地决策和组织实施的攻击、防御和利用行动。其中计算机网络自组织对抗的情报生成行为是从目标的运行状态到其态势的映射，而计算机网络自组织对抗的决策行为可构造为从企图和态势到行动方案的映射。计算机网络对抗情报系统需要能为决策系统提供攻击者的攻击意图，因此情报系统需要能识别攻击者的攻击意图并提供给决策系统作为决策的依据。

因此，本发明面向CNSOO的攻击意图识别技术，使其拥有更好的准确率和识别效率，为决策系统提供攻击者的攻击意图。攻击意图识别基于某一攻击场景，提出了适用于面向CNSOO攻击意图识别的攻击场景描述方法，根据攻击行为、漏洞信息和拓扑信息之间的关系自动地生成攻击场景，作为攻击意图识别的基础。

本发明面向CNSOO的攻击意图识别中意图概率的计算方法，根据攻击场景和IDS报警信息，推理计算出攻击意图概率，并根据计算结果和历史信息更新计算参数，使计算结果更加准确。

发明内容

本发明解决的技术问题：克服现有技术的不足，提供一种基于贝叶斯网络推理的攻击意图识别方法，能够根据拓扑信息、漏洞信息和攻击行为约束关系等自动地生成攻击场景，并根据攻击场景和观测攻击行为序列识别出攻击者的攻击意图，同时根据历史信息进行计算中的参数学习。

本发明采用的技术方案是：一种基于贝叶斯网络推理的攻击意图识别方法，该方法根据给定的拓扑信息、拓扑中主机的漏洞信息和攻击行为之间的约束关系，利用前向搜索广度优先的方法自动地生成攻击图作为攻击场景，接下来将生成的攻击场景与IDS的报警信息进行匹配，基于贝叶斯网络推理的方法，推算出攻击者的攻击意图概率，并且能够根据推算结果和历史信息对计算的参数进行更新；

所述的自动地生成攻击图的方法为：

攻击意图识别需要基于一个给定的攻击场景，根据观察到的攻击行为序列计算攻击意图的概率，利用攻击图对攻击场景进行描述，攻击场景是在给定网络环境下攻击者实现其攻击意图的一系列攻击行为，根据攻击前件和攻击后件的关系，采用前向搜索广度优先的思想，匹配攻击规则，寻找攻击前件满足的节点，并生成相应的图节点和边；

所述的推算出攻击者的攻击意图概率的方法为：

攻击意图计算采用贝叶斯网络进行；贝叶斯网络是一个有向无环图，其中节点代表随机变量，节点间的边代表变量之间的直接依赖关系；根据攻击行为的前件后件关系构建出了攻击场景，以此作为贝叶斯网络的结构；根据获得的IDS报警信息聚合后的攻击行为，与贝叶斯网络中节点进行匹配，匹配到的节点及其父节点形成节点对，利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布，再根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值，利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值，根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力，最后输出攻击意图节点的概率值。

其中，所述的贝叶斯网络参数学习算法具体为：

根据攻击行为的前件后件关系构建出了攻击场景，并以此作为贝叶斯网络的结构转；而贝叶斯网络的参数，即贝叶斯网络转换的条件概率则由贝叶斯网络参数学习的方法获得，参数学习在统计学中称为参数估计，在贝叶斯估计的框架中，参数θ被视为随机变量，对它进行估计就是计算其后验概率分布，为此，首先要选用一个概率分布p(θ)来总结关于θ的先验知识，然后把数据D＝(d₁,d₂,...,d_m)的影响用似然函数L(θ|D)＝P(D|θ)来归纳，最后使用贝叶斯公式P(X|E＝e)∝P(X)L(X|E＝e)将先验分布和似然函数结合，得到θ的后验分布，就是θ的贝叶斯估计：

p(θ|D)∝p(θ)L(θ|D)

考虑一个由n个变量X＝{X₁,X₂,...,X_n}组成的贝叶斯网络，设其中节点X_i共有r_i个取值1,2,...,r_i，其父节点π(X_i)的取值共有q_i个取值1,2,...,q_i，网络的参数为：

θ_ijk＝P(X_i＝k|π(X_i)＝j)

贝叶斯网络样本D＝(d₁,d₂,...,d_m)，定义即m_ijk是数据中满足X_i＝k和π(X_i)＝j的样本的数量，称为充分统计量，因此，对数似然函数为：

$l\left(\mathrm{\θ}\right|D)=\underset{l=1}{\overset{m}{\mathrm{\Σ}}}\log P\left(d_l\right|\mathrm{\θ})=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\underset{j=1}{\overset{q_i}{\mathrm{\Σ}}}\underset{k=1}{\overset{r_i}{\mathrm{\Σ}}}{m}_{\mathrm{ijk}}\log {\mathrm{\θ}}_{\mathrm{ijk}}$

θ的似然函数为：

$L\left(\mathrm{\θ}\right|D)=\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{m_{\mathrm{ijk}}}$

根据贝叶斯公式，有：

$p\left(\mathrm{\θ}\right|D)\∝p\left(\mathrm{\θ}\right)\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{m_{\mathrm{ijk}}}$

为了计算方便，假设p(θ_ij*)是狄利克雷分布则有：

$p\left(\mathrm{\θ}\right)=\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}p\left({\mathrm{\θ}}_{\mathrm{ij}*}\right)\∝\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{a_{\mathrm{ijk}}-1}$

$p\left(\mathrm{\θ}\right|D)\∝p\left(\mathrm{\θ}\right)\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{{m_{\mathrm{ijk}}+a}_{\mathrm{ijk}}-1}$

后验分布p(θ|D)也是一个乘积狄利克雷分布，并且p(θ_ij*|D)是狄利克雷分布 $D[m_{\mathrm{ij}1}+a_{\mathrm{ij}1},m_{\mathrm{ij}2}+a_{\mathrm{ij}2},...,m_{\mathrm{ij}{r}_i}+a_{\mathrm{ij}{r}_i}],$ 因此 ${\mathrm{\θ}}_{\mathrm{ijk}}^{\′}=\frac{m_{\mathrm{ijk}}+a_{\mathrm{ijk}}}{\underset{k=1}{\overset{r_i}{\mathrm{\Σ}}}(m_{\mathrm{ijk}}+a_{\mathrm{ijk}})}.$

我们为每一对攻击行为建立先验分布，例如攻击行为A作为攻击行为B的先序攻击，假设先验分布p(θ)是乘积狄利克雷分布，其超参数a^t＝{a_jk ^t|j＝0,1;k＝0,1}；若样本D＝(1,1)，即攻击A发生且随即攻击B发生，则后验分布p(θ|D)也是乘积狄利克雷分布，其超参数为a₀₀ ^t+1＝a₀₀ ^t，a₀₁ ^t+1＝a₀₁ ^t，a₁₀ ^t+1＝a₁₀ ^t，a₁₁ ^t+1＝a₁₁ ^t+1，则下一个样本的分布根据IDS的告警信息生成攻击行为序列，为攻击行为序列中的每一对攻击行为更新条件概率分布，实现贝叶斯网络参数学习；所述的团树传播算法具体为：

利用团树传播算法进行贝叶斯网络推理计算攻击意图的概率，在贝叶斯网络推理中，接收到的证据就认为其发生，并不考虑证据的可信程度，在攻击意图识别中，需根据IDS的报警信息更新贝叶斯网络推理得出攻击意图的概率，而IDS对不同类型的攻击检测能力不同，存在误报现象，而简单认为观测到的为真是不妥的，因此，为IDS对不同类型的攻击检测设置一个[0,1]的能力值，其中0表示IDS无法检测该类型攻击，1表示IDS检测到该类型攻击则攻击切实发生，考虑攻击行为A作为攻击行为B的先序攻击；

假设条件概率分布P(B＝1|A＝1)＝0.8,P(B＝0|A＝1)＝0.2,P(B＝1|A＝0)＝0.1,P(B＝0|A＝0)＝0.9,IDS检测到攻击A发生，且IDS对攻击类型A的检测能力为0.9，则设置P(A＝1)＝0.9,计算得到攻击B发生的概率P(B＝1)＝0.73；此时，如果IDS检测到攻击B发生，且IDS对攻击类型B的检测能力为0.8；因此设置P(B'＝1)＝0.8，根据信息传播算法，计算得到攻击A发生的后验分布P(A'＝1)＝0.96，认为由于攻击A为攻击B的前提，而观测到攻击B进一步证明了攻击A发生；并且，我们也可以根据此进一步证明了IDS对攻击类型A的检测能力，需要更新IDS对于攻击类型A的检测能力的评价；

IDS检测能力更新采用如下方法，根据公式θ^t+1＝ηθ+(1-η)θ^t，其中θ^t为更新前IDS对于攻击类型A的检测能力，θ为检测到攻击B后A的后验分布，θ^t+1为更新后IDS对攻击类型A的检测能力；因子η控制参数的收敛速度，当η比较小的时候收敛速度较慢，其中取η＝0.3。

本发明与现有的攻击意图识别技术相比的优点在于以下：

（1）、本发明提出了一种适合于攻击意图识别的攻击场景的描述方法。

（2）、本发明提出了一种攻击场景自动生成机制，根据拓扑信息、漏洞信息和攻击行为约束关系等自动地生成攻击场景，具有良好的扩展性。

（3）、本发明计算攻击意图概率时，通过参数学习机制获得贝叶斯网络参数，并将历史信息加入，对计算参数修订，从而使计算结果更加准确。

附图说明

图1为本发明的结构组成示意图；

图2为图1中攻击场景生成模块流程图；

图3为图1中攻击意图计算模块流程图；

图4为图1中攻击意图识别中实体概念间的关系；

图5为图1中攻击意图识别中活动间的关系。

具体实施方式

下面结合附图及具体实施方式具体说明本发明。

本发明一种基于贝叶斯网络推理的攻击意图识别方法，其可用于计算机网络自组织对抗中，根据给定的拓扑信息、拓扑中主机的漏洞信息和攻击行为之间的约束关系等，利用前向搜索广度优先的方法自动地生成攻击图作为攻击场景，接下来将生成的攻击场景与IDS的报警信息进行匹配，基于贝叶斯网络推理的方法，推算出攻击者的攻击意图概率，并且能够根据计算结果和历史信息对计算的参数进行更新。本发明的攻击意图识别中实体划分和活动划分分别见图4、图5。

其中主要设计两个关键算法：攻击场景生成方法和攻击意图计算方法。

1.攻击场景生成方法

攻击意图识别需要基于一个给定的攻击场景，根据观察到的攻击行为序列计算攻击意图的概率。利用攻击图对攻击场景进行描述，攻击场景是在给定网络环境下攻击者实现其攻击意图的一系列攻击行为，根据攻击前件和攻击后件的关系，采用前向搜索广度优先的思想，匹配攻击规则，寻找攻击前件满足的节点，并生成相应的图节点和边。

2.攻击意图计算方法

攻击意图计算采用贝叶斯网络进行。贝叶斯网络是一个有向无环图，其中节点代表随机变量，节点间的边代表变量之间的直接依赖关系。前面根据攻击行为的前件后件关系构建出了攻击场景，以此作为贝叶斯网络的结构。根据获得的IDS报警信息聚合后的攻击行为，与贝叶斯网络中节点进行匹配，匹配到的节点及其父节点形成节点对，利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布，再根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值，利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值，根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力，最后输出攻击意图节点的概率值。

具体的，本发明包括：攻击场景生成子模块、攻击行为关联子模块、攻击意图计算子模块和配置与显示模块。其中攻击场景生成子模块和攻击意图计算子模块为本发明的主要模块，下面详细描述这个两个部分的算法细节。

1.攻击场景生成子模块

本模块根据主机漏洞信息、网络拓扑信息和攻击知识库利用前向搜索方法生成攻击图作为攻击场景。主机漏洞信息为网络中节点及其对应的CVE漏洞；网络拓扑信息为网络中节点间的连接关系；攻击知识库里存放攻击规则。本模块的程序流程图如图2所示。

本模块利用攻击前件和攻击后件的关系，采用前向搜索广度优先的思想，匹配攻击规则，寻找攻击前件满足的节点，并生成相应的图节点和边。本发明采用谓词描述逻辑条件和节点状态，使用的谓词及其参数说明如下：

■ address_probe(Host1,Host2)，攻击者利用Host1主机对Host2主机发起地址探测攻击；

■ port_scan(Host)，攻击者对Host主机进行端口扫描获得活动端口和运行的服务；

■ get_vul(Host)，攻击者对Host主机进行漏洞扫描获得主机漏洞信息；

■ malicious_code(Host,X)，攻击者在Host主机上安装恶意代码X；

■ suspicious_connection(Host1,Host2)，攻击者通过攻击Host1主机建立Host1主机到Host2主机的隐秘连接；

■ user_privilege(Host)，攻击者获得Host主机的user权限；

■ root_privilege(Host)，攻击者获得Host主机的root权限；

■ dos(Host,Service)，攻击者对Host主机的Service服务发起拒绝服务攻击；

■ illegal_access(Host,X)，攻击者非法访问Host主机上的X，其中X为文件或系统数据的标示；

■ information_corruption(Host,X)，攻击者非法篡改Host主机上的X，X为主机上的信息或者文件；

■ information_disciosure(Host1,X,Host2)，攻击者将Host1主机上的X非法传输到Host2主机上，X为主机上的信息或者文件；

■ has_root(Host)，攻击者拥有Host主机的root权限；

■ has_user(Host)，攻击者拥有Host主机的user权限；

■ has_service(Host,Service)，Host主机上拥有服务Service；

■ has_vul(Host,Vul)，Host主机上拥有漏洞Vul，其中Vul为漏洞的CVE标示；

■ service_deny(Host,Service)，Host主机上的Service服务被阻止；

■ known(Host)，攻击者知道主机Host的存在；

■ known_service(Host)，攻击者知道主机Host上存在的服务；

■ has_malicious_code(Host,X)，Host主机上拥有恶意代码X；

■ has_suspicious_connection(Host1,Host2)，攻击者拥有Host1主机到Host2主机的隐秘连接；

■ has_access(Host,X)，拥有Host主机上X资源的访问；

■ has_file(Host,X)，Host主机上拥有文件X。

上述为验证案例中用到的谓词，若有新的场景需要，可对其进行补充扩展。

攻击规则采用下面的方式进行描述。一条攻击规则分为三段：Action段为规则前件满足时所进行的攻击行为；Pre段为规则前件，即规则触发的前提条件，谓词中间用“，”隔开表示谓词间为“且”的关系；Post为规则后件，即规则触发后所对应的效果。一条规则示例如下：

Action:

dos(Host,’Oracle 9i’)

Pre:

known(Host),

has_service(Host,’Oracle 9i’),

has_vul(Host,’CVE-2003-1208’)

Post:

service_deny(Host,’Oracle 9i’)

此条规则描述的是攻击者知道Host主机存在并且Host主机上运行Oracle 9i服务并有CVE-2003-1208漏洞，则攻击者可以对Host主机的Oracle 9i服务进行DOS攻击导致服务瘫痪。

2.攻击意图计算子模块

本发明采用贝叶斯网络进行攻击意图计算。贝叶斯网络是一个有向无环图，其中节点代表随机变量，节点间的边代表变量之间的直接依赖关系。每个节点都附有一个概率分布，根节点X所附的是它的边缘分布，节点间的有向边代表了节点间的互相关系，用条件概率分布进行表达关系强度。

利用贝叶斯网络计算攻击意图的算法流程如图3所示，首先根据攻击场景和贝叶斯网络参数的条件概率分布建立贝叶斯网络；获得IDS报警信息聚合后的攻击行为，与贝叶斯网络中节点进行匹配；匹配到的节点及其父节点形成节点对，利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布；根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值；利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值，这里只计算当前节点父节点而不是祖先节点的概率是出于算法效率考虑；根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力；最后输出攻击意图节点的概率值。

本模块中分为贝叶斯网络参数学习和贝叶斯网络推理两个部分。

(1)贝叶斯网络参数学习

本模块中已经根据攻击行为的前件后件关系构建出了攻击场景，并以此作为贝叶斯网络的结构转。而贝叶斯网络的参数，即贝叶斯网络转换的条件概率则由贝叶斯网络参数学习的方法获得。参数学习在统计学中称为参数估计，本发明使用贝叶斯估计方法。在贝叶斯估计的框架中，参数θ被视为随机变量，对它进行估计就是计算其后验概率分布。为此，首先要选用一个概率分布p(θ)来总结关于θ的先验知识，然后把数据D＝(d₁,d₂,...,d_m)的影响用似然函数L(θ|D)＝P(D|θ)来归纳，最后使用贝叶斯公式P(X|E＝e)∝ P(X)L(X|E＝e)将先验分布和似然函数结合，得到θ的后验分布，就是θ的贝叶斯估计。

p(θ|D)∝p(θ)L(θ|D)

考虑一个由n个变量X＝{X₁,X₂,...,X_n}组成的贝叶斯网络，设其中节点X_i共有r_i个取值1,2,...,r_i，其父节点π(X_i)的取值共有q_i个取值1,2,...,q_i。网络的参数为：

θ_ijk＝P(X_i＝k|π(X_i)＝j)

贝叶斯网络样本D＝(d₁,d₂,...,d_m)，定义即m_ijk是数据中满足X_i＝k和π(X_i)＝j的样本的数量，称为充分统计量。因此，对数似然函数为：

$l\left(\mathrm{\θ}\right|D)=\underset{l=1}{\overset{m}{\mathrm{\Σ}}}\log P\left(d_l\right|\mathrm{\θ})=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\underset{j=1}{\overset{q_i}{\mathrm{\Σ}}}\underset{k=1}{\overset{r_i}{\mathrm{\Σ}}}{m}_{\mathrm{ijk}}\log {\mathrm{\θ}}_{\mathrm{ijk}}$

θ的似然函数为：

$L\left(\mathrm{\θ}\right|D)=\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{m_{\mathrm{ijk}}}$

根据贝叶斯公式，有：

$p\left(\mathrm{\θ}\right|D)\∝p\left(\mathrm{\θ}\right)\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{m_{\mathrm{ijk}}}$

为了计算方便，假设p(θ_ij*)是狄利克雷分布则有：

$p\left(\mathrm{\θ}\right)=\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}p\left({\mathrm{\θ}}_{\mathrm{ij}*}\right)\∝\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{a_{\mathrm{ijk}}-1}$

$p\left(\mathrm{\θ}\right|D)\∝p\left(\mathrm{\θ}\right)\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{{m_{\mathrm{ijk}}+a}_{\mathrm{ijk}}-1}$

后验分布p(θ|D)也是一个乘积狄利克雷分布，并且p(θ_ij*|D)是狄利克雷分布 $D[m_{\mathrm{ij}1}+a_{\mathrm{ij}1},m_{\mathrm{ij}2}+a_{\mathrm{ij}2},...,m_{\mathrm{ij}{r}_i}+a_{\mathrm{ij}{r}_i}],$ 因此 ${\mathrm{\θ}}_{\mathrm{ijk}}^{\′}=\frac{m_{\mathrm{ijk}}+a_{\mathrm{ijk}}}{\underset{k=1}{\overset{r_i}{\mathrm{\Σ}}}(m_{\mathrm{ijk}}+a_{\mathrm{ijk}})}.$

我们为每一对攻击行为建立先验分布，例如攻击行为A作为攻击行为B的先序攻击，假设先验分布p(θ)是乘积狄利克雷分布，其超参数a^t＝{a_jk ^t|j＝0,1;k＝0,1}。若样本D＝(1,1)，即攻击A发生且随即攻击B发生，则后验分布p(θ|D)也是乘积狄利克雷分布，其超参数为a₀₀ ^t+1＝a₀₀ ^t，a₀₁ ^t+1＝a₀₁ ^t，a₁₀ ^t+1＝a₁₀ ^t，a₁₁ ^t+1＝a^11t+1，则下一个样本的分布根据IDS的告警信息生成攻击行为序列，为攻击行为序列中的每一对攻击行为更新条件概率分布，实现贝叶斯网络参数学习。

(2)贝叶斯网络推理

本发明利用团树推理的思想进行贝叶斯网络推理计算攻击意图的概率。在贝叶斯网络推理中，接收到的证据就认为其发生，并不考虑证据的可信程度。在攻击意图识别中，需根据IDS的报警信息更新贝叶斯网络推理得出攻击意图的概率，而IDS对不同类型的攻击检测能力不同，存在误报现象，而简单认为观测到的为真是不妥的。因此，为IDS对不同类型的攻击检测设置一个[0,1]的能力值，其中0表示IDS无法检测该类型攻击，1表示IDS检测到该类型攻击则攻击切实发生。考虑攻击行为A作为攻击行为B的先序攻击。

假设条件概率分布P(B＝1|A＝1)＝0.8,P(B＝0|A＝1)＝0.2,P(B＝1|A＝0)＝0.1,P(B＝0|A＝0)＝0.9,IDS检测到攻击A发生，且IDS对攻击类型A的检测能力为0.9，则设置P(A＝1)＝0.9,计算得到攻击B发生的概率P(B＝1)＝0.73。此时，如果IDS检测到攻击B发生，且IDS对攻击类型B的检测能力为0.8。因此设置P(B'＝1)＝0.8，根据信息传播算法，计算得到攻击A发生的后验分布P(A'＝1)＝0.96，认为由于攻击A为攻击B的前提，而观测到攻击B进一步证明了攻击A发生。并且，我们也可以根据此进一步证明了IDS对攻击类型A的检测能力，需要更新IDS对于攻击类型A的检测能力的评价。

IDS检测能力更新采用如下方法，根据公式θ^t+1＝ηθ+(1-η)θ^t，其中θ^t为更新前IDS对于攻击类型A的检测能力，θ为检测到攻击B后A的后验分布，θ^t+1为更新后IDS对攻击类型A的检测能力。因子η控制参数的收敛速度，当η比较小的时候收敛速度较慢，本发明中取η＝0.3。

本发明未详细阐述的技术内容属于本领域技术人员的公知技术。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims (1)

1.一种基于贝叶斯网络推理的攻击意图识别方法，其特征在于：根据给定的拓扑信息、拓扑中主机的漏洞信息和攻击行为之间的约束关系，利用前向搜索广度优先的方法自动地生成攻击图作为攻击场景，接下来将生成的攻击场景与IDS的报警信息进行匹配，基于贝叶斯网络推理的方法，推算出攻击者的攻击意图概率，并且能够根据推算结果和历史信息对计算的参数进行更新；

所述的自动地生成攻击图的方法为：

攻击意图识别需要基于一个给定的攻击场景，根据观察到的攻击行为序列计算攻击意图的概率，利用攻击图对攻击场景进行描述，攻击场景是在给定网络环境下攻击者实现其攻击意图的一系列攻击行为，根据攻击前件和攻击后件的关系，采用前向搜索广度优先的思想，匹配攻击规则，寻找攻击前件满足的节点，并生成相应的图节点和边；

所述的推算出攻击者的攻击意图概率的方法为：

攻击意图计算采用贝叶斯网络进行；贝叶斯网络是一个有向无环图，其中节点代表随机变量，节点间的边代表变量之间的直接依赖关系；根据攻击行为的前件后件关系构建出了攻击场景，以此作为贝叶斯网络的结构；根据获得的IDS报警信息聚合后的攻击行为，与贝叶斯网络中节点进行匹配，匹配到的节点及其父节点形成节点对，利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布，再根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值，利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值，根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力，最后输出攻击意图节点的概率值；

其中，所述的贝叶斯网络参数学习算法具体为：

根据攻击行为的前件后件关系构建出了攻击场景，并以此作为贝叶斯网络的结构转；而贝叶斯网络的参数，即贝叶斯网络转换的条件概率则由贝叶斯网络参数学习算法获得，参数学习在统计学中称为参数估计，在贝叶斯估计的框架中，参数θ被视为随机变量，对它进行估计就是计算其后验概率分布，为此，首先要选用一个概率分布p(θ)来总结关于θ的先验知识，然后把数据D＝(d₁,d₂,...,d_m)的影响用似然函数L(θ|D)＝P(D|θ)来归纳，最后使用贝叶斯公式P(X|E＝e)∝P(X)L(X|E＝e)将先验分布和似然函数结合，得到θ的后验分布，就是θ的贝叶斯估计：

p(θ|D)∝p(θ)L(θ|D)

考虑一个由n个变量X＝{X₁,X₂,...,X_n}组成的贝叶斯网络，设其中节点X_i共有r_i个取值1,2,...,r_i，其父节点π(X_i)的取值共有q_i个取值1,2,...,q_i，网络的参数为：

θ_ijk＝P(X_i＝k|π(X_i)＝j)

贝叶斯网络样本D＝(d₁,d₂,...,d_m)，定义即m_ijk是数据中满足X_i＝k和π(X_i)＝j的样本的数量，称为充分统计量，因此，对数似然函数为：

$l\left(\mathrm{\θ}\right|D)=\underset{l=1}{\overset{m}{\mathrm{\Σ}}}\log P\left(d_l\right|\mathrm{\θ})=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\underset{j=1}{\overset{q_i}{\mathrm{\Σ}}}\underset{k=1}{\overset{r_i}{\mathrm{\Σ}}}{m}_{\mathrm{ijk}}\log {\mathrm{\θ}}_{\mathrm{ijk}}$

θ的似然函数为：

$L\left(\mathrm{\θ}\right|D)=\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{m_{\mathrm{ijk}}}$

根据贝叶斯公式，有：

$p\left(\mathrm{\θ}\right|D)\∝p\left(\mathrm{\θ}\right)\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{m_{\mathrm{ijk}}}$

为了计算方便，假设p(θ_ij*)是狄利克雷分布D[a_ij1,a_ij2,...,a_ijri]，则有：

$p\left(\mathrm{\θ}\right)=\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}p\left({\mathrm{\θ}}_{\mathrm{ij}*}\right)\∝\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Π}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{a_{\mathrm{ijk}}-1}$

$p\left(\mathrm{\θ}\right|D)\∝p\left(\mathrm{\θ}\right)\underset{i=1}{\overset{n}{\mathrm{\Π}}}\underset{j=1}{\overset{q_i}{\mathrm{\Π}}}\underset{k=1}{\overset{r_i}{\mathrm{\Σ}}}{\mathrm{\θ}}_{\mathrm{ijk}}^{m_{\mathrm{ijk}}+a_{\mathrm{ijk}}-1}$

后验分布p(θ|D)也是一个乘积狄利克雷分布，并且p(θ_ij*|D)是狄利克雷分布 $D[m_{\mathrm{ij}1}+a_{\mathrm{ij}1},m_{\mathrm{ij}2}+a_{\mathrm{ij}2},...,m_{{\mathrm{ijr}}_i}+a_{{\mathrm{ijr}}_i}],$ 因此 ${\mathrm{\θ}}_{\mathrm{ijk}}^{\′}=\frac{m_{\mathrm{ijk}}+a_{\mathrm{ijk}}}{\underset{k=1}{\overset{r_i}{\mathrm{\Σ}}}(m_{\mathrm{ijk}}+a_{\mathrm{ijk}})};$

为每一对攻击行为建立先验分布，攻击行为A作为攻击行为B的先序攻击，假设先验分布p(θ)是乘积狄利克雷分布，其超参数a^t＝{a_jk ^t|j＝0,1；k＝0,1}；若样本D＝(1,1)，即攻击A发生且随即攻击B发生，则后验分布p(θ|D)也是乘积狄利克雷分布，其超参数为a₀₀ ^t+1＝a₀₀ ^t，a₀₁ ^t+1＝a₀₁ ^t，a₁₀ ^t+1＝a₁₀ ^t，a₁₁ ^t+1＝a₁₁ ^t+1，则下一个样本的分布根据IDS的告警信息生成攻击行为序列，为攻击行为序列中的每一对攻击行为更新条件概率分布，实现贝叶斯网络参数学习；

所述的团树传播算法具体为：

利用团树传播算法进行贝叶斯网络推理计算攻击意图的概率，在贝叶斯网络推理中，接收到的证据就认为其发生，并不考虑证据的可信程度，在攻击意图识别中，需根据IDS的报警信息更新贝叶斯网络推理得出攻击意图的概率，而IDS对不同类型的攻击检测能力不同，存在误报现象，而简单认为观测到的为真是不妥的，因此，为IDS对不同类型的攻击检测设置一个[0,1]的能力值，其中0表示IDS无法检测该类型攻击，1表示IDS检测到该类型攻击则攻击切实发生，考虑攻击行为A作为攻击行为B的先序攻击；

假设条件概率分布P(B＝1|A＝1)＝0.8,P(B＝0|A＝1)＝0.2,P(B＝1|A＝0)＝0.1,P(B＝0|A＝0)＝0.9,IDS检测到攻击A发生，且IDS对攻击类型A的检测能力为0.9，则设置P(A＝1)＝0.9,计算得到攻击B发生的概率P(B＝1)＝0.73；此时，如果IDS检测到攻击B发生，且IDS对攻击类型B的检测能力为0.8；因此设置P(B'＝1)＝0.8，根据信息传播算法，计算得到攻击A发生的后验分布P(A'＝1)＝0.96，认为由于攻击A为攻击B的前提，而观测到攻击B进一步证明了攻击A发生；并且，也可以根据此进一步证明了IDS对攻击类型A的检测能力，需要更新IDS对于攻击类型A的检测能力的评价；

IDS检测能力更新采用如下方法，根据公式θ₁ ^t+1＝ηθ₁+(1-η)θ₁ ^t，其中θ₁ ^t为更新前IDS对于攻击类型A的检测能力，θ₁为检测到攻击B后A的后验分布，θ₁ ^t+1为更新后IDS对攻击类型A的检测能力；因子η控制参数的收敛速度，当η比较小的时候收敛速度较慢，其中取η＝0.3。