CN102724199B - 基于贝叶斯网络推理的攻击意图识别方法 - Google Patents
基于贝叶斯网络推理的攻击意图识别方法 Download PDFInfo
- Publication number
- CN102724199B CN102724199B CN201210213175.1A CN201210213175A CN102724199B CN 102724199 B CN102724199 B CN 102724199B CN 201210213175 A CN201210213175 A CN 201210213175A CN 102724199 B CN102724199 B CN 102724199B
- Authority
- CN
- China
- Prior art keywords
- attack
- ids
- ijk
- bayesian network
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于贝叶斯网络推理的攻击意图识别方法,包括如下内容:用于计算机网络自组织对抗中加入参数学习机制的面向情报决策系统的攻击意图识别方法,该方法能够在计算机网络自组织对抗环境中,让情报系统根据已给定的主机漏洞信息、网络拓扑信息和攻击知识库,利用IDS报警信息识别攻击者的攻击意图并提供给决策系统作为决策的依据。攻击意图识别过程为攻击场景生成,IDS报警信息聚合匹配,更新攻击行为对的条件概率分布,利用贝叶斯网络推理中团树传播算法计算攻击意图节点概率,进行贝叶斯网络参数和IDS检测能力的更新。并根据计算结果和历史信息更新计算参数,使计算结果更加准确。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别指一种基于贝叶斯网络推理的攻击意图识别方法,可用于计算机网络自组织对抗(Computer Network Self-Organizing Operations,CNSOO)中。
背景技术
目前网络攻击向复杂性、多样性和分布性方向发展,现实中的攻击绝大多数不是孤立的行为,而是由许多分散行为(一系列的攻击动作)所构成的复合攻击。一般的入侵检测系统中,只对单独的攻击行为报警,报警信息量大而不易理解和分析,亦不能预测攻击者下一步可能发生的攻击。攻击意图是攻击者试图通过一系列攻击行为最终达到的攻击目的,而攻击意图识别是依据观察到的攻击者行为识别其攻击意图的过程。攻击意图识别可以获得隐藏在大量攻击事件背后的攻击意图,作为主动防御的基础增强系统的防御能力,提高对入侵检测系统的有效利用。
计算机网络自组织对抗(Computer Network Self-Organizing Operations,CNSOO)是一种为在计算机网络上获取并维持信息优势而由计算机自动地决策和组织实施的攻击、防御和利用行动。其中计算机网络自组织对抗的情报生成行为是从目标的运行状态到其态势的映射,而计算机网络自组织对抗的决策行为可构造为从企图和态势到行动方案的映射。计算机网络对抗情报系统需要能为决策系统提供攻击者的攻击意图,因此情报系统需要能识别攻击者的攻击意图并提供给决策系统作为决策的依据。
因此,本发明面向CNSOO的攻击意图识别技术,使其拥有更好的准确率和识别效率,为决策系统提供攻击者的攻击意图。攻击意图识别基于某一攻击场景,提出了适用于面向CNSOO攻击意图识别的攻击场景描述方法,根据攻击行为、漏洞信息和拓扑信息之间的关系自动地生成攻击场景,作为攻击意图识别的基础。
本发明面向CNSOO的攻击意图识别中意图概率的计算方法,根据攻击场景和IDS报警信息,推理计算出攻击意图概率,并根据计算结果和历史信息更新计算参数,使计算结果更加准确。
发明内容
本发明解决的技术问题:克服现有技术的不足,提供一种基于贝叶斯网络推理的攻击意图识别方法,能够根据拓扑信息、漏洞信息和攻击行为约束关系等自动地生成攻击场景,并根据攻击场景和观测攻击行为序列识别出攻击者的攻击意图,同时根据历史信息进行计算中的参数学习。
本发明采用的技术方案是:一种基于贝叶斯网络推理的攻击意图识别方法,该方法根据给定的拓扑信息、拓扑中主机的漏洞信息和攻击行为之间的约束关系,利用前向搜索广度优先的方法自动地生成攻击图作为攻击场景,接下来将生成的攻击场景与IDS的报警信息进行匹配,基于贝叶斯网络推理的方法,推算出攻击者的攻击意图概率,并且能够根据推算结果和历史信息对计算的参数进行更新;
所述的自动地生成攻击图的方法为:
攻击意图识别需要基于一个给定的攻击场景,根据观察到的攻击行为序列计算攻击意图的概率,利用攻击图对攻击场景进行描述,攻击场景是在给定网络环境下攻击者实现其攻击意图的一系列攻击行为,根据攻击前件和攻击后件的关系,采用前向搜索广度优先的思想,匹配攻击规则,寻找攻击前件满足的节点,并生成相应的图节点和边;
所述的推算出攻击者的攻击意图概率的方法为:
攻击意图计算采用贝叶斯网络进行;贝叶斯网络是一个有向无环图,其中节点代表随机变量,节点间的边代表变量之间的直接依赖关系;根据攻击行为的前件后件关系构建出了攻击场景,以此作为贝叶斯网络的结构;根据获得的IDS报警信息聚合后的攻击行为,与贝叶斯网络中节点进行匹配,匹配到的节点及其父节点形成节点对,利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布,再根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值,利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值,根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力,最后输出攻击意图节点的概率值。
其中,所述的贝叶斯网络参数学习算法具体为:
根据攻击行为的前件后件关系构建出了攻击场景,并以此作为贝叶斯网络的结构转;而贝叶斯网络的参数,即贝叶斯网络转换的条件概率则由贝叶斯网络参数学习的方法获得,参数学习在统计学中称为参数估计,在贝叶斯估计的框架中,参数θ被视为随机变量,对它进行估计就是计算其后验概率分布,为此,首先要选用一个概率分布p(θ)来总结关于θ的先验知识,然后把数据D=(d1,d2,...,dm)的影响用似然函数L(θ|D)=P(D|θ)来归纳,最后使用贝叶斯公式P(X|E=e)∝P(X)L(X|E=e)将先验分布和似然函数结合,得到θ的后验分布,就是θ的贝叶斯估计:
p(θ|D)∝p(θ)L(θ|D)
考虑一个由n个变量X={X1,X2,...,Xn}组成的贝叶斯网络,设其中节点Xi共有ri个取值1,2,...,ri,其父节点π(Xi)的取值共有qi个取值1,2,...,qi,网络的参数为:
θijk=P(Xi=k|π(Xi)=j)
贝叶斯网络样本D=(d1,d2,...,dm),定义即mijk是数据中满足Xi=k和π(Xi)=j的样本的数量,称为充分统计量,因此,对数似然函数为:
θ的似然函数为:
根据贝叶斯公式,有:
为了计算方便,假设p(θij*)是狄利克雷分布则有:
后验分布p(θ|D)也是一个乘积狄利克雷分布,并且p(θij*|D)是狄利克雷分布 因此
我们为每一对攻击行为建立先验分布,例如攻击行为A作为攻击行为B的先序攻击,假设先验分布p(θ)是乘积狄利克雷分布,其超参数at={ajk t|j=0,1;k=0,1};若样本D=(1,1),即攻击A发生且随即攻击B发生,则后验分布p(θ|D)也是乘积狄利克雷分布,其超参数为a00 t+1=a00 t,a01 t+1=a01 t,a10 t+1=a10 t,a11 t+1=a11 t+1,则下一个样本的分布根据IDS的告警信息生成攻击行为序列,为攻击行为序列中的每一对攻击行为更新条件概率分布,实现贝叶斯网络参数学习;所述的团树传播算法具体为:
利用团树传播算法进行贝叶斯网络推理计算攻击意图的概率,在贝叶斯网络推理中,接收到的证据就认为其发生,并不考虑证据的可信程度,在攻击意图识别中,需根据IDS的报警信息更新贝叶斯网络推理得出攻击意图的概率,而IDS对不同类型的攻击检测能力不同,存在误报现象,而简单认为观测到的为真是不妥的,因此,为IDS对不同类型的攻击检测设置一个[0,1]的能力值,其中0表示IDS无法检测该类型攻击,1表示IDS检测到该类型攻击则攻击切实发生,考虑攻击行为A作为攻击行为B的先序攻击;
假设条件概率分布P(B=1|A=1)=0.8,P(B=0|A=1)=0.2,P(B=1|A=0)=0.1,P(B=0|A=0)=0.9,IDS检测到攻击A发生,且IDS对攻击类型A的检测能力为0.9,则设置P(A=1)=0.9,计算得到攻击B发生的概率P(B=1)=0.73;此时,如果IDS检测到攻击B发生,且IDS对攻击类型B的检测能力为0.8;因此设置P(B'=1)=0.8,根据信息传播算法,计算得到攻击A发生的后验分布P(A'=1)=0.96,认为由于攻击A为攻击B的前提,而观测到攻击B进一步证明了攻击A发生;并且,我们也可以根据此进一步证明了IDS对攻击类型A的检测能力,需要更新IDS对于攻击类型A的检测能力的评价;
IDS检测能力更新采用如下方法,根据公式θt+1=ηθ+(1-η)θt,其中θt为更新前IDS对于攻击类型A的检测能力,θ为检测到攻击B后A的后验分布,θt+1为更新后IDS对攻击类型A的检测能力;因子η控制参数的收敛速度,当η比较小的时候收敛速度较慢,其中取η=0.3。
本发明与现有的攻击意图识别技术相比的优点在于以下:
(1)、本发明提出了一种适合于攻击意图识别的攻击场景的描述方法。
(2)、本发明提出了一种攻击场景自动生成机制,根据拓扑信息、漏洞信息和攻击行为约束关系等自动地生成攻击场景,具有良好的扩展性。
(3)、本发明计算攻击意图概率时,通过参数学习机制获得贝叶斯网络参数,并将历史信息加入,对计算参数修订,从而使计算结果更加准确。
附图说明
图1为本发明的结构组成示意图;
图2为图1中攻击场景生成模块流程图;
图3为图1中攻击意图计算模块流程图;
图4为图1中攻击意图识别中实体概念间的关系;
图5为图1中攻击意图识别中活动间的关系。
具体实施方式
下面结合附图及具体实施方式具体说明本发明。
本发明一种基于贝叶斯网络推理的攻击意图识别方法,其可用于计算机网络自组织对抗中,根据给定的拓扑信息、拓扑中主机的漏洞信息和攻击行为之间的约束关系等,利用前向搜索广度优先的方法自动地生成攻击图作为攻击场景,接下来将生成的攻击场景与IDS的报警信息进行匹配,基于贝叶斯网络推理的方法,推算出攻击者的攻击意图概率,并且能够根据计算结果和历史信息对计算的参数进行更新。本发明的攻击意图识别中实体划分和活动划分分别见图4、图5。
其中主要设计两个关键算法:攻击场景生成方法和攻击意图计算方法。
1.攻击场景生成方法
攻击意图识别需要基于一个给定的攻击场景,根据观察到的攻击行为序列计算攻击意图的概率。利用攻击图对攻击场景进行描述,攻击场景是在给定网络环境下攻击者实现其攻击意图的一系列攻击行为,根据攻击前件和攻击后件的关系,采用前向搜索广度优先的思想,匹配攻击规则,寻找攻击前件满足的节点,并生成相应的图节点和边。
2.攻击意图计算方法
攻击意图计算采用贝叶斯网络进行。贝叶斯网络是一个有向无环图,其中节点代表随机变量,节点间的边代表变量之间的直接依赖关系。前面根据攻击行为的前件后件关系构建出了攻击场景,以此作为贝叶斯网络的结构。根据获得的IDS报警信息聚合后的攻击行为,与贝叶斯网络中节点进行匹配,匹配到的节点及其父节点形成节点对,利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布,再根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值,利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值,根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力,最后输出攻击意图节点的概率值。
具体的,本发明包括:攻击场景生成子模块、攻击行为关联子模块、攻击意图计算子模块和配置与显示模块。其中攻击场景生成子模块和攻击意图计算子模块为本发明的主要模块,下面详细描述这个两个部分的算法细节。
1.攻击场景生成子模块
本模块根据主机漏洞信息、网络拓扑信息和攻击知识库利用前向搜索方法生成攻击图作为攻击场景。主机漏洞信息为网络中节点及其对应的CVE漏洞;网络拓扑信息为网络中节点间的连接关系;攻击知识库里存放攻击规则。本模块的程序流程图如图2所示。
本模块利用攻击前件和攻击后件的关系,采用前向搜索广度优先的思想,匹配攻击规则,寻找攻击前件满足的节点,并生成相应的图节点和边。本发明采用谓词描述逻辑条件和节点状态,使用的谓词及其参数说明如下:
■ address_probe(Host1,Host2),攻击者利用Host1主机对Host2主机发起地址探测攻击;
■ port_scan(Host),攻击者对Host主机进行端口扫描获得活动端口和运行的服务;
■ get_vul(Host),攻击者对Host主机进行漏洞扫描获得主机漏洞信息;
■ malicious_code(Host,X),攻击者在Host主机上安装恶意代码X;
■ suspicious_connection(Host1,Host2),攻击者通过攻击Host1主机建立Host1主机到Host2主机的隐秘连接;
■ user_privilege(Host),攻击者获得Host主机的user权限;
■ root_privilege(Host),攻击者获得Host主机的root权限;
■ dos(Host,Service),攻击者对Host主机的Service服务发起拒绝服务攻击;
■ illegal_access(Host,X),攻击者非法访问Host主机上的X,其中X为文件或系统数据的标示;
■ information_corruption(Host,X),攻击者非法篡改Host主机上的X,X为主机上的信息或者文件;
■ information_disciosure(Host1,X,Host2),攻击者将Host1主机上的X非法传输到Host2主机上,X为主机上的信息或者文件;
■ has_root(Host),攻击者拥有Host主机的root权限;
■ has_user(Host),攻击者拥有Host主机的user权限;
■ has_service(Host,Service),Host主机上拥有服务Service;
■ has_vul(Host,Vul),Host主机上拥有漏洞Vul,其中Vul为漏洞的CVE标示;
■ service_deny(Host,Service),Host主机上的Service服务被阻止;
■ known(Host),攻击者知道主机Host的存在;
■ known_service(Host),攻击者知道主机Host上存在的服务;
■ has_malicious_code(Host,X),Host主机上拥有恶意代码X;
■ has_suspicious_connection(Host1,Host2),攻击者拥有Host1主机到Host2主机的隐秘连接;
■ has_access(Host,X),拥有Host主机上X资源的访问;
■ has_file(Host,X),Host主机上拥有文件X。
上述为验证案例中用到的谓词,若有新的场景需要,可对其进行补充扩展。
攻击规则采用下面的方式进行描述。一条攻击规则分为三段:Action段为规则前件满足时所进行的攻击行为;Pre段为规则前件,即规则触发的前提条件,谓词中间用“,”隔开表示谓词间为“且”的关系;Post为规则后件,即规则触发后所对应的效果。一条规则示例如下:
Action:
dos(Host,’Oracle 9i’)
Pre:
known(Host),
has_service(Host,’Oracle 9i’),
has_vul(Host,’CVE-2003-1208’)
Post:
service_deny(Host,’Oracle 9i’)
此条规则描述的是攻击者知道Host主机存在并且Host主机上运行Oracle 9i服务并有CVE-2003-1208漏洞,则攻击者可以对Host主机的Oracle 9i服务进行DOS攻击导致服务瘫痪。
2.攻击意图计算子模块
本发明采用贝叶斯网络进行攻击意图计算。贝叶斯网络是一个有向无环图,其中节点代表随机变量,节点间的边代表变量之间的直接依赖关系。每个节点都附有一个概率分布,根节点X所附的是它的边缘分布,节点间的有向边代表了节点间的互相关系,用条件概率分布进行表达关系强度。
利用贝叶斯网络计算攻击意图的算法流程如图3所示,首先根据攻击场景和贝叶斯网络参数的条件概率分布建立贝叶斯网络;获得IDS报警信息聚合后的攻击行为,与贝叶斯网络中节点进行匹配;匹配到的节点及其父节点形成节点对,利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布;根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值;利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值,这里只计算当前节点父节点而不是祖先节点的概率是出于算法效率考虑;根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力;最后输出攻击意图节点的概率值。
本模块中分为贝叶斯网络参数学习和贝叶斯网络推理两个部分。
(1)贝叶斯网络参数学习
本模块中已经根据攻击行为的前件后件关系构建出了攻击场景,并以此作为贝叶斯网络的结构转。而贝叶斯网络的参数,即贝叶斯网络转换的条件概率则由贝叶斯网络参数学习的方法获得。参数学习在统计学中称为参数估计,本发明使用贝叶斯估计方法。在贝叶斯估计的框架中,参数θ被视为随机变量,对它进行估计就是计算其后验概率分布。为此,首先要选用一个概率分布p(θ)来总结关于θ的先验知识,然后把数据D=(d1,d2,...,dm)的影响用似然函数L(θ|D)=P(D|θ)来归纳,最后使用贝叶斯公式P(X|E=e)∝ P(X)L(X|E=e)将先验分布和似然函数结合,得到θ的后验分布,就是θ的贝叶斯估计。
p(θ|D)∝p(θ)L(θ|D)
考虑一个由n个变量X={X1,X2,...,Xn}组成的贝叶斯网络,设其中节点Xi共有ri个取值1,2,...,ri,其父节点π(Xi)的取值共有qi个取值1,2,...,qi。网络的参数为:
θijk=P(Xi=k|π(Xi)=j)
贝叶斯网络样本D=(d1,d2,...,dm),定义即mijk是数据中满足Xi=k和π(Xi)=j的样本的数量,称为充分统计量。因此,对数似然函数为:
θ的似然函数为:
根据贝叶斯公式,有:
为了计算方便,假设p(θij*)是狄利克雷分布则有:
后验分布p(θ|D)也是一个乘积狄利克雷分布,并且p(θij*|D)是狄利克雷分布 因此
我们为每一对攻击行为建立先验分布,例如攻击行为A作为攻击行为B的先序攻击,假设先验分布p(θ)是乘积狄利克雷分布,其超参数at={ajk t|j=0,1;k=0,1}。若样本D=(1,1),即攻击A发生且随即攻击B发生,则后验分布p(θ|D)也是乘积狄利克雷分布,其超参数为a00 t+1=a00 t,a01 t+1=a01 t,a10 t+1=a10 t,a11 t+1=a11t+1,则下一个样本的分布根据IDS的告警信息生成攻击行为序列,为攻击行为序列中的每一对攻击行为更新条件概率分布,实现贝叶斯网络参数学习。
(2)贝叶斯网络推理
本发明利用团树推理的思想进行贝叶斯网络推理计算攻击意图的概率。在贝叶斯网络推理中,接收到的证据就认为其发生,并不考虑证据的可信程度。在攻击意图识别中,需根据IDS的报警信息更新贝叶斯网络推理得出攻击意图的概率,而IDS对不同类型的攻击检测能力不同,存在误报现象,而简单认为观测到的为真是不妥的。因此,为IDS对不同类型的攻击检测设置一个[0,1]的能力值,其中0表示IDS无法检测该类型攻击,1表示IDS检测到该类型攻击则攻击切实发生。考虑攻击行为A作为攻击行为B的先序攻击。
假设条件概率分布P(B=1|A=1)=0.8,P(B=0|A=1)=0.2,P(B=1|A=0)=0.1,P(B=0|A=0)=0.9,IDS检测到攻击A发生,且IDS对攻击类型A的检测能力为0.9,则设置P(A=1)=0.9,计算得到攻击B发生的概率P(B=1)=0.73。此时,如果IDS检测到攻击B发生,且IDS对攻击类型B的检测能力为0.8。因此设置P(B'=1)=0.8,根据信息传播算法,计算得到攻击A发生的后验分布P(A'=1)=0.96,认为由于攻击A为攻击B的前提,而观测到攻击B进一步证明了攻击A发生。并且,我们也可以根据此进一步证明了IDS对攻击类型A的检测能力,需要更新IDS对于攻击类型A的检测能力的评价。
IDS检测能力更新采用如下方法,根据公式θt+1=ηθ+(1-η)θt,其中θt为更新前IDS对于攻击类型A的检测能力,θ为检测到攻击B后A的后验分布,θt+1为更新后IDS对攻击类型A的检测能力。因子η控制参数的收敛速度,当η比较小的时候收敛速度较慢,本发明中取η=0.3。
本发明未详细阐述的技术内容属于本领域技术人员的公知技术。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
Claims (1)
1.一种基于贝叶斯网络推理的攻击意图识别方法,其特征在于:根据给定的拓扑信息、拓扑中主机的漏洞信息和攻击行为之间的约束关系,利用前向搜索广度优先的方法自动地生成攻击图作为攻击场景,接下来将生成的攻击场景与IDS的报警信息进行匹配,基于贝叶斯网络推理的方法,推算出攻击者的攻击意图概率,并且能够根据推算结果和历史信息对计算的参数进行更新;
所述的自动地生成攻击图的方法为:
攻击意图识别需要基于一个给定的攻击场景,根据观察到的攻击行为序列计算攻击意图的概率,利用攻击图对攻击场景进行描述,攻击场景是在给定网络环境下攻击者实现其攻击意图的一系列攻击行为,根据攻击前件和攻击后件的关系,采用前向搜索广度优先的思想,匹配攻击规则,寻找攻击前件满足的节点,并生成相应的图节点和边;
所述的推算出攻击者的攻击意图概率的方法为:
攻击意图计算采用贝叶斯网络进行;贝叶斯网络是一个有向无环图,其中节点代表随机变量,节点间的边代表变量之间的直接依赖关系;根据攻击行为的前件后件关系构建出了攻击场景,以此作为贝叶斯网络的结构;根据获得的IDS报警信息聚合后的攻击行为,与贝叶斯网络中节点进行匹配,匹配到的节点及其父节点形成节点对,利用贝叶斯网络参数学习算法更新攻击行为对的条件概率分布,再根据IDS对匹配到节点攻击类型的检测能力设置匹配节点的概率值,利用团树传播算法计算贝叶斯网络中攻击意图节点和当前节点父节点的概率值,根据当前节点的父节点的后验概率更新IDS对其父节点攻击类型的检测能力,最后输出攻击意图节点的概率值;
其中,所述的贝叶斯网络参数学习算法具体为:
根据攻击行为的前件后件关系构建出了攻击场景,并以此作为贝叶斯网络的结构转;而贝叶斯网络的参数,即贝叶斯网络转换的条件概率则由贝叶斯网络参数学习算法获得,参数学习在统计学中称为参数估计,在贝叶斯估计的框架中,参数θ被视为随机变量,对它进行估计就是计算其后验概率分布,为此,首先要选用一个概率分布p(θ)来总结关于θ的先验知识,然后把数据D=(d1,d2,...,dm)的影响用似然函数L(θ|D)=P(D|θ)来归纳,最后使用贝叶斯公式P(X|E=e)∝P(X)L(X|E=e)将先验分布和似然函数结合,得到θ的后验分布,就是θ的贝叶斯估计:
p(θ|D)∝p(θ)L(θ|D)
考虑一个由n个变量X={X1,X2,...,Xn}组成的贝叶斯网络,设其中节点Xi共有ri个取值1,2,...,ri,其父节点π(Xi)的取值共有qi个取值1,2,...,qi,网络的参数为:
θijk=P(Xi=k|π(Xi)=j)
贝叶斯网络样本D=(d1,d2,...,dm),定义即mijk是数据中满足Xi=k和π(Xi)=j的样本的数量,称为充分统计量,因此,对数似然函数为:
θ的似然函数为:
根据贝叶斯公式,有:
为了计算方便,假设p(θij*)是狄利克雷分布D[aij1,aij2,...,aijri],则有:
后验分布p(θ|D)也是一个乘积狄利克雷分布,并且p(θij*|D)是狄利克雷分布 因此
为每一对攻击行为建立先验分布,攻击行为A作为攻击行为B的先序攻击,假设先验分布p(θ)是乘积狄利克雷分布,其超参数at={ajk t|j=0,1;k=0,1};若样本D=(1,1),即攻击A发生且随即攻击B发生,则后验分布p(θ|D)也是乘积狄利克雷分布,其超参数为a00 t+1=a00 t,a01 t+1=a01 t,a10 t+1=a10 t,a11 t+1=a11 t+1,则下一个样本的分布根据IDS的告警信息生成攻击行为序列,为攻击行为序列中的每一对攻击行为更新条件概率分布,实现贝叶斯网络参数学习;
所述的团树传播算法具体为:
利用团树传播算法进行贝叶斯网络推理计算攻击意图的概率,在贝叶斯网络推理中,接收到的证据就认为其发生,并不考虑证据的可信程度,在攻击意图识别中,需根据IDS的报警信息更新贝叶斯网络推理得出攻击意图的概率,而IDS对不同类型的攻击检测能力不同,存在误报现象,而简单认为观测到的为真是不妥的,因此,为IDS对不同类型的攻击检测设置一个[0,1]的能力值,其中0表示IDS无法检测该类型攻击,1表示IDS检测到该类型攻击则攻击切实发生,考虑攻击行为A作为攻击行为B的先序攻击;
假设条件概率分布P(B=1|A=1)=0.8,P(B=0|A=1)=0.2,P(B=1|A=0)=0.1,P(B=0|A=0)=0.9,IDS检测到攻击A发生,且IDS对攻击类型A的检测能力为0.9,则设置P(A=1)=0.9,计算得到攻击B发生的概率P(B=1)=0.73;此时,如果IDS检测到攻击B发生,且IDS对攻击类型B的检测能力为0.8;因此设置P(B'=1)=0.8,根据信息传播算法,计算得到攻击A发生的后验分布P(A'=1)=0.96,认为由于攻击A为攻击B的前提,而观测到攻击B进一步证明了攻击A发生;并且,也可以根据此进一步证明了IDS对攻击类型A的检测能力,需要更新IDS对于攻击类型A的检测能力的评价;
IDS检测能力更新采用如下方法,根据公式θ1 t+1=ηθ1+(1-η)θ1 t,其中θ1 t为更新前IDS对于攻击类型A的检测能力,θ1为检测到攻击B后A的后验分布,θ1 t+1为更新后IDS对攻击类型A的检测能力;因子η控制参数的收敛速度,当η比较小的时候收敛速度较慢,其中取η=0.3。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210213175.1A CN102724199B (zh) | 2012-06-26 | 2012-06-26 | 基于贝叶斯网络推理的攻击意图识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210213175.1A CN102724199B (zh) | 2012-06-26 | 2012-06-26 | 基于贝叶斯网络推理的攻击意图识别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102724199A CN102724199A (zh) | 2012-10-10 |
CN102724199B true CN102724199B (zh) | 2015-09-02 |
Family
ID=46949862
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210213175.1A Expired - Fee Related CN102724199B (zh) | 2012-06-26 | 2012-06-26 | 基于贝叶斯网络推理的攻击意图识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102724199B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103414711B (zh) * | 2013-08-05 | 2017-03-22 | 哈尔滨工业大学 | 基于信任的网络群体异常感知方法 |
CN103744878B (zh) * | 2013-12-21 | 2017-02-01 | 云南大学 | 一种基于MapReduce的大规模贝叶斯网并行推理方法 |
CN106326585B (zh) * | 2016-08-29 | 2019-05-31 | 东软集团股份有限公司 | 基于贝叶斯网络推理的预测分析方法以及装置 |
CN106682502B (zh) * | 2016-12-13 | 2019-07-19 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
CN106534224B (zh) * | 2017-01-23 | 2018-04-20 | 余洋 | 智能网络攻击检测方法及装置 |
CN108510077A (zh) * | 2017-02-27 | 2018-09-07 | 顾泽苍 | 另一种采用人工智能的手机大众识别真伪方法 |
CN107016212B (zh) * | 2017-04-21 | 2020-03-17 | 中国电子科技集团公司第五十四研究所 | 基于动态贝叶斯网络的意图分析方法 |
CN107800706B (zh) * | 2017-11-06 | 2021-03-30 | 国网福建省电力有限公司 | 一种基于高斯分布模型的网络攻击动态监测方法 |
CN107888590B (zh) * | 2017-11-10 | 2020-08-28 | 中孚信息股份有限公司 | 一种基于gpu与贝叶斯网络推理的未知木马的检测方法 |
CN108520268B (zh) * | 2018-03-09 | 2021-05-18 | 浙江工业大学 | 基于样本选择和模型进化的黑盒对抗性攻击防御方法 |
CN109063819B (zh) * | 2018-08-02 | 2021-09-14 | 中国人民解放军32153部队 | 基于贝叶斯网络的任务共同体的识别方法 |
CN109446629A (zh) * | 2018-10-23 | 2019-03-08 | 山东科技大学 | 一种基于概率图模型的工业过程报警根源识别方法 |
CN110176132B (zh) * | 2019-05-27 | 2021-03-16 | 山东科技大学 | 基于贝叶斯网络的逻辑报警根源分析方法及系统 |
CN110677433B (zh) * | 2019-10-23 | 2022-02-22 | 杭州安恒信息技术股份有限公司 | 一种网络攻击预测的方法、系统、设备及可读存储介质 |
CN112257663B (zh) * | 2020-11-12 | 2024-03-12 | 北京机电工程研究所 | 一种基于贝叶斯网络的设计意图识别方法及系统 |
CN112800600B (zh) * | 2021-01-18 | 2023-06-30 | 浙江工业大学 | 一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法 |
CN113536678B (zh) * | 2021-07-19 | 2022-04-19 | 中国人民解放军国防科技大学 | 基于贝叶斯网络及stride模型的xss风险分析方法及装置 |
CN114638298B (zh) * | 2022-03-15 | 2023-06-09 | 天津大学 | 飞行器攻击行为预测方法及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101820413A (zh) * | 2010-01-08 | 2010-09-01 | 中国科学院软件研究所 | 一种网络安全最佳防护策略的选择方法 |
CN102314569A (zh) * | 2011-09-19 | 2012-01-11 | 南京大学 | 一种动态入侵响应的方法 |
-
2012
- 2012-06-26 CN CN201210213175.1A patent/CN102724199B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101820413A (zh) * | 2010-01-08 | 2010-09-01 | 中国科学院软件研究所 | 一种网络安全最佳防护策略的选择方法 |
CN102314569A (zh) * | 2011-09-19 | 2012-01-11 | 南京大学 | 一种动态入侵响应的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102724199A (zh) | 2012-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102724199B (zh) | 基于贝叶斯网络推理的攻击意图识别方法 | |
Nguyen et al. | Deep reinforcement learning for cyber security | |
Li et al. | Enhancing collaborative intrusion detection via disagreement-based semi-supervised learning in IoT environments | |
US20220124108A1 (en) | System and method for monitoring security attack chains | |
Li et al. | RETRACTED ARTICLE: Information security model of block chain based on intrusion sensing in the IoT environment | |
CN106341414B (zh) | 一种基于贝叶斯网络的多步攻击安全态势评估方法 | |
CN102546638B (zh) | 一种基于场景的混合入侵检测方法及系统 | |
Gao et al. | Sybilfuse: Combining local attributes with global structure to perform robust sybil detection | |
CN104660594B (zh) | 一种面向社交网络的虚拟恶意节点及其网络识别方法 | |
US9043905B1 (en) | System and method for insider threat detection | |
AU2013272215B2 (en) | Anomaly detection to identify coordinated group attacks in computer networks | |
CN106899435A (zh) | 一种面向无线入侵检测系统的复杂攻击识别技术 | |
CN105681338A (zh) | 漏洞利用成功概率计算方法及网络安全风险管理方法 | |
CN105516177B (zh) | 基于sdn和nfv的5g网络多级攻击缓解方法 | |
CN103152345A (zh) | 一种攻防博弈的网络安全最优攻防决策方法 | |
Habib et al. | False data injection attack in smart grid cyber physical system: Issues, challenges, and future direction | |
Li et al. | Retracted: Design of multimedia blockchain privacy protection system based on distributed trusted communication | |
Zhang et al. | A survey on security and privacy threats to federated learning | |
Pajola et al. | Threat is in the air: Machine learning for wireless network applications | |
Li et al. | Attack plan recognition using hidden Markov and probabilistic inference | |
Choksi et al. | Intrusion detection system using self organizing map: a survey | |
Halder et al. | Radio fingerprinting for anomaly detection using federated learning in LoRa-enabled Industrial Internet of Things | |
Hassan et al. | GITM: A GINI index-based trust mechanism to mitigate and isolate Sybil attack in RPL-enabled smart grid advanced metering infrastructures | |
Yadav et al. | Privacy protection against attack scenario of federated learning using internet of things | |
Peng et al. | Sensing network security prevention measures of BIM smart operation and maintenance system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150902 Termination date: 20170626 |
|
CF01 | Termination of patent right due to non-payment of annual fee |