CN106682502B - 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 - Google Patents
基于隐马尔可夫和概率推断的入侵意图识别系统及方法 Download PDFInfo
- Publication number
- CN106682502B CN106682502B CN201611144378.4A CN201611144378A CN106682502B CN 106682502 B CN106682502 B CN 106682502B CN 201611144378 A CN201611144378 A CN 201611144378A CN 106682502 B CN106682502 B CN 106682502B
- Authority
- CN
- China
- Prior art keywords
- attack
- layer
- sub
- goal
- probability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
- G06F16/2282—Tablespace storage structures; Management thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明请求保护一种基于隐马尔可夫和概率推断的入侵意图识别系统及方法,属于计算机安全技术领域。首先,由于攻击事件、子目标、意图三者之间存在的因果关系,建立层次贝叶斯网络(HBN)来表示其同层与层间的因果关系。其次,子目标层具有明显的时序特征,基于隐马尔可夫模型(HMM)对子目标层和意图层的隐藏关系进行学习。最后,提出多输出隐马尔可夫模型(MO_HMM),通过引入带环置信度传播算法(LBP)优化HMM中前向算法和后向算法单一概率输出的问题,使其可以报送多个可能意图及其概率。
Description
技术领域
本发明属于计算机安全技术领域,涉及入侵意图识别,特别是基于时序关系与不确定性信息的入侵有意图识别方法。
背景技术
随着计算机网络的发展,数据量呈几何级数增长。大数据环境下数据存储和网络接入方式使得网络攻击的成本更低、收益更高。现有的入侵意图识别方法难以模拟真实的攻击场景,进而对其意图进行有效识别和预测。因此,需要从大量攻击事件背后寻求隐藏的因果关系,基于攻击指向性,提取攻击意图。
对攻击者的攻击意图进行有效提取及预测,是有效评估安全事态感知的关键所在。近年来有些专家学者采用博弈的思想,以博弈双方的单步策略和收益来分析判断攻击意图。该方法对于确定的单纯的攻击者意图有一定的效果,但难以识别多攻击源复合、多步实施、不确定性的攻击意图。并且随着参加博弈者数量的增加,算法的效率及其实时性也大大降低。
专利200910080853.X“一种基于概率推理的网络入侵意图识别方法”基于层次意图识别和概率推理提出了一种识别多步攻击意图的方法。该方法最主要的贡献是提出了层次化的识别模型来进行概率推理计算。但该方法在运用人工智能理论的同时,依据了专家的知识和经验。由于所选取的专家的知识范围有限,不可避免引入了专家的主观性,导致虚警和误报。
由于网络环境复杂、入侵特征粒度不易确定从底层大量的报警信息中提取因果时序相关的复合攻击场景,是一项难题。此外,在入侵环境中攻击者会千方百计地躲避甚至干扰识别,其次根据被攻击目标的反映不同,攻击者可采取动态的多目标攻击,有时甚至是多个攻击者协作攻击。
众多研究表明攻击事件间最本质的逻辑联系是因果关系,即时间上的顺序性以及实施上的不确定性。基于上述特点,本发明使用概率来定性和定量分析复杂攻击内涵的因果关系。尽管大部分的方法都考虑了复合攻击攻击步骤间的因果关系,却忽略了两个攻击时间和空间的关系。如果考虑加入时间因素的动态贝叶斯网,模型完全满足推理的所有逻辑要求。时间因素的引入也有利于解决因果循环问题,将极大扩展贝叶斯网络在入侵检测领域能解决的范围。而隐马尔可夫模型就是最简单的动态贝叶斯网络模型。因此,使用隐马尔可夫来形式化攻击间的时序关系,再使用因果关系加以推断,能够更好地逼近真实的攻击场景。
发明内容
本发明旨在解决以上现有技术的问题。提出了一种逼近真实攻击场景的有效入侵意图识别方法。由于复合攻击具有明显的时序特征,将其引入到模型参数的学习中,能使模型更加准确可靠的基于隐马尔可夫和带环置信度的入侵意图识别系统及方法。本发明的技术方案如下:
一种基于隐马尔可夫和带环置信度的入侵意图识别系统,其包括入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块,其中入侵数据获取模块用于获取入侵数据源;攻击模型构建模块,用于构建攻击模型,所述攻击模型分为三层节点,分别是攻击事件层、子目标层以及意图层,首先,对源IP地址,目的IP地址及报警类型相同,但攻击时间不同的报警聚合成超级报警,删除重复报警;其次,根据超级报警之间的时序关系关联超级报警并提取报警序列,并计算隶属度归并到较高目标层中;最后,提取三种节点之间的关系,建立层次贝叶斯网络,从纵向和横向表示其相互之间的因果关系;模型参数训练模块,用于将子目标层作为观测集,进而将意图层作为隐状态,子目标层和意图层抽象为隐马尔可夫模型,进行模型参数估计,输入观察到的攻击子目标序列集,输出模型λ=(A,B,π),其中A为状态转移矩阵,B是混淆矩阵,π为意图初始概率;预测分析模块,用带环的置信度传播算法来预测得到不同事件序列下产生多意图的概率。
进一步的,入侵数据获取模块用于获取的入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999,DARPA 1999评测数据给出了3周带有攻击的模拟数据,包含了属于58种类型的201次攻击实例,其中40种攻击类型并没有在第二周的训练数据中出现,属于新的攻击类型。
进一步的,所述攻击模型构建模块构建包括以下步骤:建立数据库,包括攻击表、事件知识表、目标知识表、事件目标映射表、目标链表和统计表;
隶属度计算,扫描目标库,提取事件目标映射关系,找到对应目标集合;计算新攻击事件目标,并更新事件映射表。
根据事件映射表,得到事件空间样本集,子目标空间样本集,以及攻击意图空间样本集,建立层次化的贝叶斯网络。依次是底层为安全事件层,中间层为子目标层,顶层为攻击意图层。
进一步的,所述模型参数训练模块将子目标层使用Baum-Welch算法对层次贝叶斯网络进行模型参数估计。
进一步的,所述预测分析模块通过训练出的隐马尔可夫模型参数,还可以得出不同意图之间的状态转移,通过预测后的结果集,也可得到当前意图发生下的并发意图预测。
一种基于所述系统的隐马尔可夫和带环置信度的入侵意图识别方法,其包括以下步骤:
获取入侵数据源,所述入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999,DARPA 1999评测数据给出了3周带有攻击的模拟数据,包含了属于58种类型的201次攻击实例,其中40种攻击类型并没有在第二周的训练数据中出现,属于新的攻击类型;
提取节点因果关系,建立模型,对DARPA1999数据包分析提取攻击表,从攻击事件、攻击子目标、攻击意图三方面来提取因果关系,建立层次贝叶斯网络;
训练模型,根据复合攻击的时序特征,对训练数据建立子目标链集合,用以学习模型参数,即意图与子目标的条件概率矩阵以及意图转移概率矩阵,使用Baum-Welch算法来迭代计算矩阵参数值,直到算法收敛为止;
预测和分析过程,对于已建立的带参的层次贝叶斯网络,同一层间可能带环,因此使用带环的置信度传播算法来得到不同事件序列下产生多意图的概率。
进一步的,所述提取因果关系,建立层次贝叶斯网络建立的数据库包括攻击表、事件知识表、目标知识表、事件目标映射表、目标链表和统计表。
本发明的优点及有益效果如下:
本发明提供一种逼近客观真实攻击场景的有效入侵意图识别方法,在层次化识别模型的基础上,引入复合攻击的时序特征,通过算法训练逼近来代替专家知识库从而克服主观性,使得意图识别分析更为全面可靠。同时,引入概率图模型算法来优化原有算法单一概率输出的问题。
附图说明
图1是本发明提供优选实施例隐马尔可夫和带环置信度的入侵意图识别方法总体流程图。
图2是本发明的预测模型图。
图3是本发明的Baum-Welch算法示意图。
图4是本发明的学习算法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、详细地描述。所描述的实施例仅仅是本发明的一部分实施例。
本发明解决上述技术问题的技术方案是,
如图1所示为本发明的总体流程图,包括:入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块,其中入侵数据获取模块用于获取入侵数据源;攻击模型构建模块,用于构建攻击模型,所述攻击模型分为三层节点,分别是攻击事件层、子目标层以及意图层,首先,对源IP地址,目的IP地址及报警类型相同,但攻击时间不同的报警聚合成超级报警,删除重复报警;其次,根据超级报警之间的时序关系关联超级报警并提取报警序列,并计算隶属度归并到较高目标层中;最后,提取三种节点之间的关系,建立层次贝叶斯网络,从纵向和横向表示其相互之间的因果关系;模型参数训练模块,用于将子目标层作为观测集,进而将意图层作为隐状态,子目标层和意图层(对否)抽象为隐马尔可夫模型,进行模型参数估计,输入观察到的攻击子目标序列集,输出模型λ=(A,B,π),其中A为状态转移矩阵,B是混淆矩阵,π为意图初始概率;预测分析模块,用带环的置信度传播算法来预测得到不同事件序列下产生多意图的概率。具体说明本发明的详细实施过程,包括如下四个步骤:
S1:获取数据源。数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999。DARPA 1999评测数据给出了3周带有攻击的模拟数据,包含了属于58种类型的201次攻击实例,其中40种攻击类型并没有在第二周的训练数据中出现,属于新的攻击类型。
S2:提取节点因果关系,建立模型。对DARPA1999数据包分析提取攻击表。从攻击事件、攻击子目标、攻击意图三方面来提取因果关系,建立层次贝叶斯网络。
S3:训练模型,根据复合攻击的时序特征,对训练数据建立子目标链集合,用以学习模型参数,即意图与子目标的条件概率矩阵以及意图转移概率矩阵。使用Baum-Welch算法来迭代计算矩阵参数值,直到算法收敛为止。
S4:预测和分析过程。对于已建立的带参的层次贝叶斯网络,同一层间可能带环,因此使用带环的置信度传播算法(LBP)来得到不同事件序列下产生多意图的概率。
上述步骤S1获取数据源,提取相关属性。主要分以下2个步骤。
S11:获取数据。从林肯实验室获取DAPPA1999数据源。
S12:对数据进行时间分片。可根据数据特点,对时间周期进行具体划分。T={1,2,3,…,t,t+1,…},在每个时间周期里,对警报事件建立具有时序关系的观测序列集。
上述步骤S2提取因果关系,建立模型。主要分以下3个步骤。
S21:建立数据库。包括攻击表、事件知识表、目标知识表、事件目标映射表、目标链表和统计表。
攻击表中存放攻击时间、攻击事件名称、受害主机域名等。
事件知识表中存放事件名称、攻击时间、源IP地址、目标IP地址以及其对应的前提集和后果集,攻击事件属性等。
目标知识表中存放目标名称、前提集和后果集、目标属性等。
事件映射表包括事件名称和目标名称,用于描述事件与目标之间的对应关系。
统计表用于存放历史数据,包括目标发生的次数,该目标与其他目标构成的目标链次数。
目标链表存放观测序列集合,由攻击事件时间切片,通过隶属映射到目标时序关系。假设Gi,Gj是时间片段i,j时的目标,i<j,当且仅当:即Gj的前提条件集中的某一元素p为Gi的后果集中的元素,记作:Gi→Gj。
S22:隶属度计算。扫描目标库,根据得到的事件攻击序列,对于某个特定的事件Ei在不同序列中,根据其前驱后驱不同,隶属的子目标也可能是不同的。具体步骤为:
1.对于每一个安全报警事件提取时间、名称、源目标IP地址、目标IP地址,实例化为安全事件对象Ei。对未知事件更新事件知识表。
2.扫描目标库,提取事件目标映射关系,找到对应目标集合。
1)过滤目标待选集。
遍历事件目标映射表,找到事件E对应目标待选集合:
E→G∈{G1,G2,G3...GN}
同理,找到其前驱事件对应目标集合,以及该集合下的目标链后继集合
Epior→G′∈{G1′,G2′,G3′...G′N}
同理,找到其后继事件对应目标集合,以及该集合下的目标前驱集合
Erear→G″∈{G1″,G2″,G3″...G″N}
根据目标链知识表剔除不符合目标知识的目标,得到约简后的备选目标集合:
若无前驱或者后驱则直接进行下一步。
2)对待选目标计算隶属度,具体如下:
假设Ei,Gj分别为事件和目标,则事件Ei隶属于目标Gj的隶属度为:
其中,δk为事件Ei和目标Gj的第k个属性的相似程度,αk为各个属性的权值,m为属性个数。属性主要选取事件的后果集和目标的后果集中的元素。权值依属性的重要性根据经验给定。
3)得到隶属度最大的目标进行归并。
将D(Ei,Gj)按大小排序,取D(Ei,Gj)MAX中的Gj作为目标归并。
3.计算新攻击事件目标,并更新事件映射表,具体步骤如下:
1)遍历事件知识表,计算攻击事件相似度
其中,δk为事件Ei和事件Ej的第k个属性的相似程度,m为属性个数。
2)得到相似事件集合,进而得到其对应备选目标集合
给定一个阈值S0,当S(E0,Ei)≥S0时,将Ei加入E0的相似事件集合。进而遍历事件映射表,计算相似事件集合对应的备选目标集合。
3)更新事件映射表
对2)中得到的备选目标集合与1)中的新攻击攻击事件建立事件映射表。
接着执行1-2步骤,直到当前时间片段所有事件归并完毕。
S23:建立模型。根据事件映射表,得到事件空间样本集,子目标空间样本集,以及攻击意图空间样本集,建立层次化的贝叶斯网络。依次是底层为安全事件层,中间层为子目标层,顶层为攻击意图层。
各层层内关系为横向时间逻辑关系,除事件层。子目标层各边关系表示为EdgeG∈<Gi,Gj>,表示Gi是Gj的前提集,Gj是Gi的后果集;意图层各边关系表示为EdgeI∈<Ii,Ij>,表示Ii是Ij的前提集,Ij是Ii的后果集;
各层层间关系表示为纵向隶属因果关系。安全事件层与子目标层层间关系为,事件隶属于子目标关系Ei∈Gj。子目标层与攻击意图层层间关系为,子目标隶属攻击意图关系Gj∈Ik。
上述步骤S3训练模型,模型图如图2预测模型图所示。具体算法流程图如图4所示主要分以下7步骤。
S31:如图2右边所示,对已建立好的HBN,提取上两层建立隐马尔可夫模型。其中意图层作为隐藏状态层,子目标层作为观测序列层。
S32:定义中间变量,定义aij,bj(k),πi主要分为以下3个步骤。
1.定义局部变量
1)定义前向变量αt(i),如下式(1)所示:
αt(i)=P(G1G2...Gt,It=Si|λ) 式(1)
表示t时刻前子目标观测序列与隐藏意图It=Si在当前模型下的局部变量。
2)定义后向变量βt(i),如下式(2)所示:
βt(i)=P(Gt+1Gt+2...GT|It=Si,λ) 式(2)
表示t时刻后子目标观测序列在当前模型下且t时刻隐藏意图It=Si的局部变量。
2.定义中间变量
γt(i)=P(It=Si|G,λ) 式(3)
1)定义t时刻,隐藏意图It=Si的概率变量,如下式(3)所示:
将(3)式用前向、后向变量表示,如下式(4)所示:
其中,分母的作用是确保:
2)定义t时刻隐藏意图It=Si及t+1时刻隐藏It+1=Sj的概率变量
ξt(i,j)=P(It=Si,It+1=Sj|G,λ) 式(5)
如下式(5)所示:
如图3所示,表示对ξt(i,j)从t=1到t=T-1在时间轴上求和,该和被解释为从隐藏意图It=Si到隐藏意图It+1=Sj的状态转移期望值。其中aij表示从隐藏意图It=Si到隐藏意图It+1=Sj的转移概率,bj(O+1)表示在隐藏意图It=Sj的条件下出现子目标观测数据G+1的概率。将(5)式用前向、后向变量表示,如下式(6)所示:
可以被解释为从隐藏意图Gt=Si出发的状态转移期望值。其中γt(i),与ξt(i,j)之间的关系为
3.利用中间变量及其期望来重新估计隐马尔可夫模型参数π,A,B。
πi=γt(i) 式(7)
πi表示状态It=Si在时间t=1时刻的期望频率。
aij表示从隐藏意图It=Si到隐藏意图It+1=Sj的转移概率。其中,分子表示出现从隐藏意图It=Si到隐藏意图It+1=Sj的期望转移次数,分母表示出现从隐藏意图It=Si出发的转移概率期望次数。
bj(k)表示在隐藏意图It=Sj的条件下,子目标观测数据Gt=Vk的条件概率。其中,分子表示出现隐藏意图It=Sj且子目标观测数据Gt=Vk的期望次数。分母表示出现隐藏意图It=Sj的期望次数。
S33初始化aij (0),bj(k)(0),πi (0),对n=0,选取aij (0),bj(k)(0),πi (0),得到模型λ(0)=(A(0),B(0),π(0))。
S34利用Baum-Welch算法迭代计算A(n+1),B(n+1),π(n+1)。
S35输入子目标观测数据G=(G1,G2,...,GT)。递推,对于n=1,2...
πt (n+1)=γt(i) 式(12)
右端各值按子目标观测序列G=(G1,G2,G3,...,GT)和模型λ(n)=(A(n),B(n),π(n))计算。式中γt(i),ξt(i,j)由上述式(4)~式(6)给出。
S36算法终止条件为达到给定迭代上限值,或参数λ(n)=(A(n),B(n),π(n))收敛。
收敛条件可根据迭代前后两次参数的差值平方小于某个阀值。如下式(13)
λn-λn+1<ε 式(13)
所示:
S37得到模型参数λ(n+1)=(A(n+1),B(n+2),π(n+1))。
上述步骤S4预测分析过程。
S41:经过步骤S3后训练后的预测模型,输入测试数据即可得出条件概率P(intention|evidences),即在不同安全事件序列下某个意图发生的概率。本算法可给出多个意图及其概率排序。具体步骤如下:
1.初始化参数
1)初始化为1,其中λi为某个安全事件发生概率。
2)更新表示从父节点x传给子节点Zj的消息。
3)计算π(x),计算所有从所有父节点得到的消息的加权值
2.根据观测值重新计算,达到稳定状态
1)更新λX(ωi),表示从子节点x传给父节点ωi的消息。
2)在1)的基础上,更新同上式(14)
3)计算x节点所有子节点传来的消息λ(x)
4)更新π(x),如上式(15)
5)根据得到的π(x)和λ(x)计算BEL(x)
BEL(x)=αλ(x)π(x) 式(18)
S42:通过训练出的隐马尔可夫模型参数,还可以得出不同意图之间的状态转移。同时,通过预测后的结果集,也可得到当前意图发生下的并发意图预测。
本发明从复合攻击的时序关系与隐藏意图的不确定性出发,提出一种基于隐马尔可夫和带环置信度传播入侵意图识别模型。该方法为静态贝叶斯网络加上了一层时间因素,能够动态地预测入侵意图。此外,还引入了带环的置信度传播算法,来修正入侵检测因果互推,带环的问题。
以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。
Claims (6)
1.一种基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,包括入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块,其中入侵数据获取模块用于获取入侵数据源,入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999,DARPA 1999评测数据给出了3周带有攻击的模拟数据,包含了属于58种类型的201次攻击实例,其中40种攻击类型并没有在第二周的训练数据中出现,属于新的攻击类型;
攻击模型构建模块,用于构建攻击模型,所述攻击模型分为三层节点,分别是攻击事件层、子目标层以及意图层,首先,对源IP地址、目的IP地址及报警类型相同,但攻击时间不同的报警聚合成超级报警,删除重复报警;其次,根据超级报警之间的时序关系,对超级报警进行关联并提取报警序列,再通过隶属度计算归并到较高目标层中;最后,提取三种节点之间的关系,建立层次贝叶斯网络,从纵向和横向表示其相互之间的因果关系;模型参数训练模块,用于将子目标层作为观测集,进而将意图层作为隐状态,子目标层和意图层抽象为隐马尔可夫模型,进行模型参数估计,输入观察到的攻击子目标序列集,输出模型λ=(A,B,π),其中A为状态转移矩阵,B是混淆矩阵,π为意图初始概率;预测分析模块,用带环的置信度传播算法来预测得到不同事件序列下产生多意图的概率。
2.根据权利要求1所述的基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,所述攻击模型构建模块构建包括以下步骤:建立数据库,包括攻击表、事件知识表、目标知识表、事件目标映射表、目标链表和统计表;
隶属度计算,扫描目标库,提取事件目标映射关系,找到对应目标集合;计算新攻击事件目标,并更新事件映射表;
根据事件映射表,得到事件空间样本集,子目标空间样本集,以及攻击意图空间样本集,建立层次化的贝叶斯网络;依次是底层为攻击事件层,中间层为子目标层,顶层为意图层。
3.根据权利要求1所述的基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,所述模型参数训练模块将子目标层使用Baum-Welch算法对层次贝叶斯网络进行模型参数估计。
4.根据权利要求3所述的基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,所述预测分析模块通过训练出的隐马尔可夫模型参数,还可以得出不同意图之间的状态转移,通过预测后的结果集,也可得到当前意图发生下的并发意图预测。
5.一种基于权利要求1所述系统的隐马尔可夫和概率推断的入侵意图识别方法,其特征在于,包括以下步骤:
获取入侵数据源,所述入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999,DARPA 1999评测数据给出了3周带有攻击的模拟数据,包含了属于58种类型的201次攻击实例,其中40种攻击类型并没有在第二周的训练数据中出现,属于新的攻击类型;
提取节点因果关系,建立模型,对DARPA1999数据包分析提取攻击表,从攻击事件、攻击子目标、攻击意图三方面来提取因果关系,建立层次贝叶斯网络;
训练模型,根据复合攻击的时序特征,对训练数据建立子目标链集合,用以学习模型参数,即意图与子目标的条件概率矩阵以及意图转移概率矩阵,使用Baum-Welch算法来迭代计算矩阵参数值,直到算法收敛为止;
预测和分析过程,对于已建立的带参的层次贝叶斯网络,同一层间可能带环,因此使用带环的置信度传播算法来得到不同事件序列下产生多意图的概率。
6.根据权利要求5所述隐马尔可夫和概率推断的入侵意图识别方法,其特征在于,所述提取因果关系,使用条件概率和转移概率来形式化表示包括攻击事件与子目标之间的条件概率、子目标与攻击意图之间的条件概率、子目标之间的转移概率以及攻击意图之间的转移概率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611144378.4A CN106682502B (zh) | 2016-12-13 | 2016-12-13 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611144378.4A CN106682502B (zh) | 2016-12-13 | 2016-12-13 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106682502A CN106682502A (zh) | 2017-05-17 |
CN106682502B true CN106682502B (zh) | 2019-07-19 |
Family
ID=58869486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611144378.4A Active CN106682502B (zh) | 2016-12-13 | 2016-12-13 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106682502B (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107526967B (zh) * | 2017-07-05 | 2020-06-02 | 阿里巴巴集团控股有限公司 | 一种风险地址识别方法、装置以及电子设备 |
CN109901442B (zh) * | 2017-12-08 | 2020-09-15 | 亿可能源科技(上海)有限公司 | 非侵入式能耗检测方法及系统 |
CN108769051B (zh) * | 2018-06-11 | 2020-09-11 | 中国人民解放军战略支援部队信息工程大学 | 一种基于告警融合的网络入侵态势意图评估方法 |
CN109842682B (zh) * | 2019-01-31 | 2020-04-10 | 内蒙古工业大学 | 一种基于物联网的分布式环境安全学习及预警方法 |
US11315152B2 (en) * | 2019-02-13 | 2022-04-26 | Beijing Jingdong Shangke Information Technology Co., Ltd. | System and method for personalized product recommendation using hierarchical Bayesian |
CN110290120B (zh) * | 2019-06-12 | 2021-09-17 | 西安邮电大学 | 一种云平台的时序演化网络安全预警方法 |
CN110535878B (zh) * | 2019-09-23 | 2021-03-30 | 电子科技大学 | 一种基于事件序列的威胁检测方法 |
CN112422524B (zh) * | 2020-10-29 | 2022-10-04 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种多模型综合决策的列控系统入侵检测方法 |
CN112511561A (zh) * | 2020-12-21 | 2021-03-16 | 深信服科技股份有限公司 | 网络攻击路径确定方法、设备、存储介质及装置 |
CN112866292B (zh) * | 2021-03-04 | 2022-10-21 | 安天科技集团股份有限公司 | 一种面向多样本组合攻击的攻击行为预测方法和装置 |
CN113780094B (zh) * | 2021-08-17 | 2023-04-07 | 武汉理工大学 | 基于混合高斯模型和隐马尔可夫模型的周界入侵识别方法 |
CN114095232A (zh) * | 2021-11-16 | 2022-02-25 | 国网上海市电力公司 | 基于隐马尔可夫的电力信息系统动态威胁定量分析方法 |
CN114553489B (zh) * | 2022-01-24 | 2023-05-26 | 北京北卡星科技有限公司 | 一种基于多目标优化算法的工业控制系统安全防护方法及装置 |
CN114978617B (zh) * | 2022-05-06 | 2023-08-08 | 国网湖北省电力有限公司信息通信公司 | 一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法 |
CN115021983B (zh) * | 2022-05-20 | 2023-06-06 | 北京信息科技大学 | 一种基于吸收马尔科夫链的渗透路径确定方法及系统 |
CN116743502B (zh) * | 2023-08-11 | 2023-11-14 | 四川新立高科科技有限公司 | 电力系统网络攻击检测方法、装置、电子设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040012285A (ko) * | 2002-08-02 | 2004-02-11 | 한국정보보호진흥원 | 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템및 방법 |
CN101494535A (zh) * | 2009-03-05 | 2009-07-29 | 范九伦 | 基于隐马尔可夫模型的网络入侵场景构建方法 |
CN101505304A (zh) * | 2009-03-24 | 2009-08-12 | 北京理工大学 | 一种基于概率推理的网络入侵意图识别方法 |
CN102724199A (zh) * | 2012-06-26 | 2012-10-10 | 北京航空航天大学 | 基于贝叶斯网络推理的攻击意图识别方法 |
CN103258193A (zh) * | 2013-05-21 | 2013-08-21 | 西南科技大学 | 一种基于kod能量特征的群体异常行为识别方法 |
CN105245503A (zh) * | 2015-09-08 | 2016-01-13 | 中国民航大学 | 隐马尔可夫模型检测LDoS攻击方法 |
CN106059829A (zh) * | 2016-07-15 | 2016-10-26 | 北京邮电大学 | 一种基于隐马尔可夫的网络利用率感知方法 |
-
2016
- 2016-12-13 CN CN201611144378.4A patent/CN106682502B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040012285A (ko) * | 2002-08-02 | 2004-02-11 | 한국정보보호진흥원 | 은닉 마르코프 모델을 이용한 비정상행위 침입탐지 시스템및 방법 |
CN101494535A (zh) * | 2009-03-05 | 2009-07-29 | 范九伦 | 基于隐马尔可夫模型的网络入侵场景构建方法 |
CN101505304A (zh) * | 2009-03-24 | 2009-08-12 | 北京理工大学 | 一种基于概率推理的网络入侵意图识别方法 |
CN102724199A (zh) * | 2012-06-26 | 2012-10-10 | 北京航空航天大学 | 基于贝叶斯网络推理的攻击意图识别方法 |
CN103258193A (zh) * | 2013-05-21 | 2013-08-21 | 西南科技大学 | 一种基于kod能量特征的群体异常行为识别方法 |
CN105245503A (zh) * | 2015-09-08 | 2016-01-13 | 中国民航大学 | 隐马尔可夫模型检测LDoS攻击方法 |
CN106059829A (zh) * | 2016-07-15 | 2016-10-26 | 北京邮电大学 | 一种基于隐马尔可夫的网络利用率感知方法 |
Non-Patent Citations (2)
Title |
---|
《基于攻击意图的复合攻击预测方法研究》;张松红等;《计算机工程与设计》;20071130;第28卷(第21期);第5100-5102页 |
《基于隐马尔可夫模型的复合攻击预测方法》;张松红等;《计算机工程》;20080331;第34卷(第6期);第131-133页 |
Also Published As
Publication number | Publication date |
---|---|
CN106682502A (zh) | 2017-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106682502B (zh) | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 | |
Zhao et al. | Uncertainty aware semi-supervised learning on graph data | |
CN110457404B (zh) | 基于复杂异质网络的社交媒体账户分类方法 | |
CN105404890A (zh) | 一种顾及轨迹时空语义的犯罪团伙判别方法 | |
CN110990718B (zh) | 一种公司形象提升系统的社会网络模型构建模块 | |
CN111835707B (zh) | 一种基于改进后的支持向量机的恶意程序识别方法 | |
CN103810266B (zh) | 语义网络目标识别判证方法 | |
CN105808706B (zh) | 基于应用本体的空间目标识别方法 | |
Hegde et al. | Uncertainty-aware mean teacher for source-free unsupervised domain adaptive 3d object detection | |
Bunnin et al. | A Bayesian hierarchical model for criminal investigations | |
Levchuk et al. | Learning and detecting patterns in multi-attributed network data | |
CN111222575B (zh) | 一种基于hrrp目标识别的klxs多模型融合方法及系统 | |
Babers et al. | Optimal community detection approach based on Ant Lion Optimization | |
CN112528554A (zh) | 一种适于多发多源火箭试验数据的数据融合方法及系统 | |
Lin | A VaFALCON neuro-fuzzy system for mining of incomplete construction databases | |
Valldor et al. | Firearm detection in social media images | |
Ogunde et al. | A decision tree algorithm based system for predicting crime in the university | |
CN115643153A (zh) | 基于图神经网络的报警关联分析方法 | |
CN108491481B (zh) | 侵犯知识产权涉案当事人智能辨识主动预警系统及方法 | |
Gao et al. | Statistics and Analysis of Targeted Poverty Alleviation Information Integrated with Big Data Mining Algorithm | |
Yang et al. | Fuzzy contrastive learning for online behavior analysis | |
CN117371541B (zh) | 一种零知识、免真实数据的模型推理方法 | |
ChongYong et al. | Comparison of Scoring Functions on Greedy Search Bayesian Network Learning Algorithms. | |
Bauer | Probabilistic reasoning on object occurrence in complex scenes | |
Chen et al. | Oa-stgcn: An output anchoring-based graph convolutional network for human trajectory prediction |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |