CN108769051A

CN108769051A - 一种基于告警融合的网络入侵态势意图评估方法

Info

Publication number: CN108769051A
Application number: CN201810594522.7A
Authority: CN
Inventors: 胡浩; 刘玉岭; 张玉臣; 张红旗; 刘小虎; 汪永伟; 孙怡峰; 黄金垒
Original assignee: Institute of Software of CAS; Information Engineering University of PLA Strategic Support Force
Current assignee: Institute of Software of CAS; Information Engineering University of PLA Strategic Support Force
Priority date: 2018-06-11
Filing date: 2018-06-11
Publication date: 2018-11-06
Anticipated expiration: 2038-06-11
Also published as: CN108769051B

Abstract

本发明属于网络安全技术领域，特别涉及一种基于告警融合的网络入侵态势意图评估方法，包含：收集网络环境信息，生成贝叶斯攻击图模型，该网络环境信息至少包含网络连通性、网络服务漏洞、主机网络配置和访问策略信息，该贝叶斯攻击图模型中包含攻击状态节点、原子攻击节点和告警证据节点；通过贝叶斯攻击图模型设置告警置信度和关联强度，提取有效告警证据；针对每个攻击状态节点，分别计算有效告警证据的告警置信度；评估各攻击状态节点被入侵概率，输出所有态势意图节点的威胁排序。本发明计算复杂度低，不过分依赖历史数据，操作简单方便，提高节点攻击概率预测的准确度，为防御决策提供可靠、有效的数据参考，为辅助网络安全防御决策提供可靠指导。

Description

一种基于告警融合的网络入侵态势意图评估方法

技术领域

本发明属于网络安全技术领域，特别涉及一种基于告警融合的网络入侵态势意图评估方法。

背景技术

在当今这个全球化的时代，网络技术就像整个社会的神经，深刻影响着国际政治、经济、文化、社会、军事等领域的发展。随着网络结构日趋复杂、规模日渐庞大的同时，入侵过程也向大规模、隐蔽性、伪装性的趋势发展。入侵意图评估技术通过对告警数据进行融合关联，将经过告警聚合和告警确认后的超告警与网络的实际背景知识相结合，挖掘出其中存在的真正网络威胁和安全事件，揭示出各个安全事件表面背后的逻辑关联，计算攻击意图的实现概率，发掘入侵者的真实目的，为预测入侵者的后续行为提供参考，便于管理员做出及时有效的应急响应，从而使得网络状态向安全方向迁移，是威胁分析和决策响应的前提和基础，成为网络安全管理员关注的焦点。

目前，基于告警融合的入侵意图评估方法主要分为三类：基于机器学习的方法、基于已知攻击场景的方法和基于攻击因果关联的方法。基于机器学习的方法虽然对专家知识依赖较少，但存在准确度低、结果难以理解、计算量大和实时性差等缺陷。基于已知攻击场景的方法虽然准确度相对较高，由于事先获得攻击过程和关联规则比较困难导致应用受限，此外该方法无法检测出未知攻击场景的多步攻击行为。基于因果关联的方法只须获取原子攻击的前因后果关系，不必事先知道整个攻击过程，更加灵活，具有更广阔的应用前景。然而，基于因果关联进行入侵意图评估时存在两个困难问题：即漏报误报的检测和关联强度的设定，如何提出一种高效的基于告警融合的网络入侵态势意图评估方法，提高攻击意图评估的准确性。成为亟待解决的技术问题。

发明内容

针对现有技术中的不足，本发明提供一种基于告警融合的网络入侵态势意图评估方法，提高节点攻击概率预测的准确度，为防御决策提供可靠、有效的数据参考。

按照本发明所提供的设计方案，一种基于告警融合的网络入侵态势意图评估方法，包含：

收集网络环境信息，生成贝叶斯攻击图模型，该网络环境信息至少包含网络连通性、网络服务漏洞、主机网络配置和访问策略信息，该贝叶斯攻击图模型中包含攻击状态节点、原子攻击节点和告警证据节点；

通过贝叶斯攻击图模型设置告警置信度和关联强度，提取有效告警证据；

针对每个攻击状态节点，分别计算有效告警证据的告警置信度；评估各攻击状态节点被入侵概率，输出所有态势意图节点的威胁排序。

上述的，贝叶斯攻击图模型利用四元组BAG＝(N,E,Δ,Γ)进行数学化表示，其中，N为包含攻击状态节点、原子攻击节点和告警证据节点的节点集合，E为有向边集合，Δ为E上的权值，Γ为条件转移概率分布表。

上述的，收集网络环境信息，生成贝叶斯攻击图模型，还包含如下内容：通过攻击前件满足时攻击发生的概率确定贝叶斯攻击图模型中边的权值；将贝叶斯攻击图模型中节点与其父节点进行因果关联，确定条件概率转移表。

优选的，通过借鉴通用漏洞评分标准CVSS和查询美国NVD数据库获取攻击利用漏洞难度；并结合历史安全事件数据中攻击发生频率获取攻击者自身意愿，结合攻击利用漏洞难度和攻击者自身意愿确定攻击前件满足时攻击发生的概率。

优选的，将贝叶斯攻击图模型中节点与其父节点进行因果关联，分别计算攻击状态节点条件概率转移表、原子攻击节点条件转移概率表和告警证据节点条件转移概率表。

上述的，通过贝叶斯攻击图模型计算告警证据节点的置信度和告警证据之间的关联强度；对采集到的每个告警证据节点，通过预设的告警置信度阈值和告警关联强度阈值，剔除孤立告警证据节点，提取有效告警证据节点。

优选的，告警证据节点o_i的置信度计算公式表示为：

其中，P(a_i)为给定的贝叶斯攻击图模型中原子攻击节点a_i的先验概率，P(o_i|a_i)为原子攻击节点a_i转移到告警证据节点o_i的条件概率，P(o_i)为给定的贝叶斯攻击图模型中观测到原子攻击节点a_i的告警证据观测概率。

优选的，告警证据节点o_i,o_j之间的关联强度Cor(o_i,o_j)通过观测到原子攻击a_i发生的前提下，观测到原子攻击a_j发生的概率来确定。

更进一步地，告警证据o_i,o_j的关联强度Cor(o_i,o_j)，满足：

Cor(o_i,o_j)＝Cor(o_j,o_i)，Cor(o_i,o_j)＝Min{P(a_i|a_j),P(a_j|a_i)}，其中P(a_i|a_j)表示原子攻击节点a_j转移到节点a_i的条件概率。

上述的，对于获取有效告警证据集O＝{o₁,o₂,…,o_n}，n为有效告警证据，对于每个攻击状态节点s_j∈S,S＝{s₁,s₂,…,s_m}，m为攻击状态节点数目，依次计算观测到告警证据o_i的情况下，攻击状态节点s_j被入侵的概率值P(s_j|o_i)，1≤i≤n；评估各攻击状态节点被入侵的概率，识别最大可能目标节点，并依据概率值给出所有态势意图节点的威胁排序。

本发明的有益效果：

本发明针对告警融合时存在的漏报和误报的问题，充分考虑告警证据的不确定性和证据间的关联关系，通过建立贝叶斯攻击图模型，过滤低置信水平的孤立告警，从而提取有效的告警证据，再根据提取的有效告警动态更新各状态节点的后验概率，展现网络中各节点的安全状态和发展趋势，并预测下一步最有可能的攻击目标，计算复杂度低，不过分依赖历史数据，操作简单方便，为辅助网络安全防御决策提供可靠指导。

附图说明：

图1为本发明的方法流程示意图；

图2为实施例中贝叶斯攻击图模型实例；

图3为实施例中网络入侵态势意图评估流程图。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。实施例中涉及到的技术术语如下：

现有基于告警融合的入侵意图评估分为三类，基于机器学习的方法计算量大、准确度低、实时性差；基于已知攻击场景的方法存在应用受限、无法检测出未知攻击场景的多步攻击行为；基于因果关联的方法存在缺乏误报漏报检测和关联强度设定，准确度也受到影响。鉴于此，本发明实施例提供一种基于告警融合的网络入侵态势意图评估方法，参见图1所示，包含：

S101、收集网络环境信息，生成贝叶斯攻击图模型，该网络环境信息至少包含网络连通性、网络服务漏洞、主机网络配置和访问策略信息，该贝叶斯攻击图模型中包含攻击状态节点、原子攻击节点和告警证据节点；

S102、通过贝叶斯攻击图模型设置告警置信度和关联强度，提取有效告警证据；

S103、针对每个攻击状态节点，分别计算有效告警证据的告警置信度；评估各攻击状态节点被入侵概率，输出所有态势意图节点的威胁排序。

通过建立贝叶斯攻击图模型，以网络连通性信息、网络漏洞、主机/网络配置、访问策略信息为输入，生成网络逻辑攻击图，为每个原子攻击节点增加相应的告警证据节点。当网络中入侵检测系统等安全设备观测到告警证据时，在攻击图中显示地标记该告警证据节点，而对未出现告警的告警证据节点进行隐藏，以缩小攻击图的规模。攻击图中包含：攻击状态节点、原子攻击节点和告警证据3类节点，攻击状态节点表示攻击者占有某些资源或权限状态，原子攻击节点表示攻击者对网络的一次扫描或者一次漏洞利用，告警证据节点表示入侵检测系统检测到攻击行为产生的一次告警事件，结合附图2的实例进行说明，其中，圆形空心节点表示攻击状态节点，方形节点表示原子攻击节点，圆形实心节点表示告警证据节点。由于入侵检测系统存在漏报、误报问题，导致部分观测到的告警并不准确。通过贝叶斯攻击图模型定义告警的置信度和关联强度，综合考虑告警的置信水平和告警间的关联关系，去除低置信水平和弱关联强度的孤立告警，从而获取有效的告警证据；利用提取到的有效告警证据进行贝叶斯后验推理，依据实时检测的告警信息动态更新攻击图中各状态节点遭受攻击的概率，以识别网络中已发生和潜在的攻击行为，该方法相比现有方法提高了节点攻击概率计算的准确度，为防御决策提供可靠、有效的数据参考，具有较强的实用性和和指导意义。

对于目标网络，本发明的另一个实施例中，将攻击图模型用一个四元组BAG＝(N,E,Δ,Γ)进行数学化表示，N为包含攻击状态节点、原子攻击节点和告警证据节点的节点集合，E为有向边集合，Δ为E上的权值，Γ为条件转移概率分布表。

·节点集合N中，N＝S∪A∪O。其中S＝{s_j|j＝1,…,m}表示攻击状态节点集合，反映了攻击者对网络中资源或权限占有的情况，P(s_j)表示攻击者实现状态s_j的概率，P(s_j)∈[0,1]；A＝{a_i|i＝1,…,n}表示原子攻击节点集合，P(a_i)表示原子攻击a_i发生的概率，P(a_i)∈[0,1]；O＝{o_i|i＝1,…,n}为告警证据节点集合，告警o_i表示对原子攻击节点a_i的观测结果，P(o_i)表示观测到a_i的概率，P(o_i)＝0,1，P(o_i)＝0表示未观测到告警事件，P(o_i)＝1表示观测到告警事件。

·有向边集合E中，E＝{E₁∪E₂∪E₃}。其中，表示攻击者占有某些资源或权限状态s_j后，可能触发实施某些原子攻击a_i；表示实施原子攻击a_i后攻击者占有新的资源(或获取权限提升)后的状态s_j；表示原子攻击a_i发生并被入侵检测系统检测产生告警事件o_i。

·E上的权值Δ中，Δ＝(Δ₁,Δ₂,Δ₃)，其中Δ₁依附于有向边E₁，表示在攻击者实现状态s_j后发动攻击a_i的概率。Δ₂依附于有向边E₂，表示攻击原子a_i发生使攻击者到达后续状态s_j的概率。Δ₃＝{(t_i,f_i)|i＝1,…,n}依附于有向边E₃，其中，t_i表示攻击a_i发生且产生告警o_i的概率P(o_i|a_i)，即入侵检测系统的检测率；f_i表示攻击a_i未发生但产生告警o_i的概率即入侵检测系统的误报率。

·局部条件转移概率分布表Γ中，Γ＝{ρ_k|k＝1,…,l}，将攻击图中第k个节点node(可能是状态节点、原子攻击节点和告警证据节点之一)和它的某个父节点Pre(node)关联起来，表示由节点Pre(node)转移到节点node的条件概率ρ_k＝P(node|Pre(node))。

收集网络环境信息，生成贝叶斯攻击图模型，还包含如下内容：通过攻击前件满足时攻击发生的概率确定贝叶斯攻击图模型中边的权值；将贝叶斯攻击图模型中节点与其父节点进行因果关联，确定条件概率转移表。攻击图模型中边的权值是一个0到1之间的数值，表示攻击前件满足时攻击发生的概率，一般而言，该概率值与攻击利用漏洞的难度和攻击者自身意愿相关，前者通过借鉴行业公开的通用漏洞评分标准CVSS给出，CVSS提供了漏洞利用难度AC的评价标准，通过查询美国NVD数据库获取具体值，后者结合历史安全事件数据中该类攻击发生的频率给出。局部条件概率转移表将攻击图中节点与其父节点进行因果关联，是进行贝叶斯推理的基础，共包含2种关联关系，指向同一状态节点的各原子攻击节点之间存在“或”的关系，即任一原子攻击的发生都能触发该状态节点。指向同一原子攻击节点的各状态节点之间存在“与”的关系，即只有当原子攻击节点的所有前提状态条件节点都满足时，该原子攻击才有可能发生。

由于入侵检测系统存在漏报、误报问题，导致部分观测到的告警并不准确。本发明实施例中通过贝叶斯攻击图模型定义告警的置信度和关联强度，综合考虑告警的置信水平和告警间的关联关系，从而获取有效的告警证据；并以此进行贝叶斯后验推理，计算网络中各状态节点受入侵的可能，发现攻击者最有可能的攻击目标。本发明的再一个实施例中公开置信度和关联强度的计算公式，具体为：告警证据o_i的置信度定义为在告警证据被观测到的情况下，相应的攻击a_i发生的概率，即P(a_i|o_i)；告警证据之间通常具有某种联系，而告警证据间的联系可以通过攻击图中原子攻击节点间的关系来体现。例如，若原子攻击节点可达，则相应的告警证据反映了攻击的多步性；若是同一个状态节点s_j的直接后继，则相应的告警证据可以反映攻击者在获取s_j之后的攻击试探过程。采用来反映原子攻击节点之间联系的紧密性，并依据此计算告警证据的关联强度。通过设定告警置信度阈值β和告警关联强度阈值a来提取有效告警证据，阈值β反映了检测到告警的真实水平，阈值a反映了两告警的关联性，首先根据计算P(a_i|o_i)，将P(a_i|o_i)小于等于β的告警证据o_i去除，说明o_i是一个低置信度告警，然后搜索并将所有与其余告警关联强度都低于阈值a的告警证据o_i去除，说明o_i是一个孤立告警，最后输出有效的告警证据集O，有效的告警证据可以正确反映攻击者已到达的攻击阶段，为后入侵意图评估提供数据基础。

对于获取有效告警证据集O＝{o₁,o₂,…,o_n}，n为有效告警证据，对于每个攻击状态节点s_j∈S,S＝{s₁,s₂,…,s_m}，m为攻击状态节点数目，依次计算观测到告警证据o_i的情况下，攻击状态节点s_j被入侵的概率值P(s_j|o_i)，1≤i≤n；评估各攻击状态节点被入侵的概率，识别最大可能目标节点，并依据概率值给出所有态势意图节点的威胁排序。

为验证本发明的有效性，下面通过具体实例做进一步解释说明：

参见图3所示网络入侵态势意图评估的实现步骤具体如下下：

1)贝叶斯攻击图构建，对于目标网络，利用自动化工具MulVAL构建攻击图，使用Graphviz图形生成器自动绘制并输出jpg格式的攻击图文件。

2)贝叶斯攻击图中边的权值确定，依次分别确定Δ＝(Δ₁,Δ₂,Δ₃)中的每个参数，其中，

·Δ₁计算方法：Δ₁表示攻击图中攻击者由状态s_j发动原子攻击a_i的概率，结合通用漏洞评分标准CVSS中漏洞攻击复杂度AC和历史攻击发生频率f(次数/天)，计算攻击发生概率取值的方法如表1

表1Δ₁的计算方法

·Δ₂计算方法：Δ₂表示攻击图中某一原子攻击节点发生使攻击者迁移到下一个状态的概率，考虑攻击成功概率和网络安全防护强度相关，可以结合网络防护等级和专家经验设置Δ₂的值，Δ₂∈(0,1]，其中Δ₂＝1表示目标网络无安全防护，Δ₂＝0表示无法实现状态转移；

·Δ₃计算方法：Δ₃＝{(t_i,f_i)|i＝1,…,n}表示入侵检测系统对攻击图中各原子攻击节点a_i产生的告警检测率和误报率。

3)贝叶斯攻击图中条件概率转移表建立，由于贝叶斯攻击图包含3类节点，因此需确定3种类型的局部条件概率分布表。

·状态节点的条件转移概率计算

对于状态节点s_j，设Pre(s_j)表示节点s_j的父节点(原子攻击节点)，a_i∈Pre(s_j)，边(a_i,s_j)上的权值Δ(a_i,s_j)∈Δ₂，利用贝叶斯公式计算转移到s_j的条件概率该公式表示若有一个原子攻击父节点满足，即可以实现状态转移；

·原子攻击节点的条件转移概率计算

对于原子攻击节点a_i，设Pre(a_i)表示a_i的父节点(状态节点)，s_j∈Pre(a_i)，边(s_j,a_i)上的权值Δ(s_j,a_i)∈Δ₁，利用贝叶斯公式计算转移到a_i上的条件概率表示只有所有状态父节点满足，攻击者才能发动下一个原子攻击；

·告警证据节点的条件转移概率计算

对于告警证据节点o_i，其父节点为单个原子攻击节点a_i，原子攻击a_i的告警检测率和误报率分别为t_i和f_i，则计算转移到o_i的条件概率

4)告警置信度计算

告警证据o_i的置信度定义为在告警证据被观测到的情况下，相应的攻击a_i发生的概率，即其中，P(a_i)为给定的贝叶斯攻击图中节点a_i的先验概率。

5)告警关联强度计算

告警证据o_i,o_j的关联强度Cor(o_i,o_j)定义为观测到原子攻击a_i发生的前提下，观测到原子攻击a_j发生的概率，在告警证据处理过程中，不考虑告警证据间的观测顺序，即满足Cor(o_i,o_j)＝Cor(o_j,o_i)，Cor(o_i,o_j)＝Min{P(a_i|a_j),P(a_j|a_i)}，其中

6)告警证据提取

设定告警置信度阈值β和告警关联强度阈值a，对于采集到的每个告警，阈值β反映了检测到告警的真实性水平，阈值a反映了该告警与剩余告警的关联程度，计算置信度P(a_i|o_i)和关联强度Cor(o_i,o_j)，将低于阈值的告警证据剔除，输出有效告警集合O。

7)入侵意图评估

对于上述步骤获取的有效证据集O＝{o₁,o₂,…,o_n}，对于每个s_j∈S,S＝{s₁,s₂,…,s_m}，依次计算P(s_j|o_i)，1≤i≤n，评估各节点被入侵的概率，识别最大可能目标节点，并依据概率值给出所有态势意图节点的威胁排序。

结合附图2所述的攻击图模型，对于图3所述的实现步骤中，攻击图已完成构建，并完成告警证据提取，潜在的攻击意图节点为s₁和s₂，假设攻击者以概率1占有节点S₀，在观测事件o₁未出现时，利用步骤7计算状态节点s₁的先验概率：

状态节点s₂的先验概率为：

在观测到告警证据o₁的情况下，计算状态节点s₁的后验概率：

在观测到告警证据o₁的情况下，由附图2中贝叶斯攻击图的结构知o₁与s₂相互独立，即o₁的发生与s₂无关，因此状态节点s₂的后验概率不变，仍为0.63。由此可知，一种情况是当未观测到告警证据o₁时，s₂被入侵的可能性更高，此时节点态势意图排序为s₂>s₁；另一种情况是在观测到告警证据时，节点s₁被入侵的可能性更高，此时节点态势意图排序为s₁>s₂。

综上，本发明可以依据实时观测到的告警事件，通过提取有效告警证据，动态调整各目标节点的实现概率，识别攻击者的潜在意图，并对节点威胁进行排序，为网络安全防护策略的制定提供了定量的数据参考。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种基于告警融合的网络入侵态势意图评估方法，其特征在于，包含：

2.根据权利要求1所述的基于告警融合的网络入侵态势意图评估方法，其特征在于，贝叶斯攻击图模型利用四元组BAG＝(N,E,Δ,Γ)进行数学化表示，其中，N为包含攻击状态节点、原子攻击节点和告警证据节点的节点集合，E为有向边集合，Δ为E上的权值，Γ为条件转移概率分布表。

3.根据权利要求1所述的基于告警融合的网络入侵态势意图评估方法，其特征在于，收集网络环境信息，生成贝叶斯攻击图模型，还包含如下内容：通过攻击前件满足时攻击发生的概率确定贝叶斯攻击图模型中边的权值；将贝叶斯攻击图模型中节点与其父节点进行因果关联，确定条件概率转移表。

4.根据权利要求3所述的基于告警融合的网络入侵态势意图评估方法，其特征在于，通过借鉴通用漏洞评分标准CVSS和查询美国NVD数据库获取攻击利用漏洞难度；并结合历史安全事件数据中攻击发生频率获取攻击者自身意愿，结合攻击利用漏洞难度和攻击者自身意愿确定攻击前件满足时攻击发生的概率。

5.根据权利要求3所述的基于告警融合的网络入侵态势意图评估方法，其特征在于，将贝叶斯攻击图模型中节点与其父节点进行因果关联，分别计算攻击状态节点条件概率转移表、原子攻击节点条件转移概率表和告警证据节点条件转移概率表。

6.根据权利要求1所述的基于告警融合的网络入侵态势意图评估方法，其特征在于，通过贝叶斯攻击图模型计算告警证据节点的置信度和告警证据之间的关联强度；对采集到的每个告警证据节点，通过预设的告警置信度阈值和告警关联强度阈值，剔除孤立告警证据节点，提取有效告警证据节点。

7.根据权利要求6所述的基于告警融合的网络入侵态势意图评估方法，其特征在于，告警证据节点o_i的置信度计算公式表示为：

8.根据权利要求6所述的基于告警融合的网络入侵态势意图评估方法，其特征在于，告警证据节点o_i,o_j之间的关联强度Cor(o_i,o_j)通过观测到原子攻击a_i发生的前提下，观测到原子攻击a_j发生的概率来确定。

9.根据权利要求8所述的基于告警融合的网络入侵态势意图评估方法，其特征在于，告警证据o_i,o_j的关联强度Cor(o_i,o_j)，满足：

10.根据权利要求1所述的基于告警融合的网络入侵态势意图评估方法，其特征在于，对于获取有效告警证据集O＝{o₁,o₂,…,o_n}，n为有效告警证据，对于每个攻击状态节点s_j∈S,S＝{s₁,s₂,…,s_m}，m为攻击状态节点数目，依次计算观测到告警证据o_i的情况下，攻击状态节点s_j被入侵的概率值P(s_j|o_i)，1≤i≤n；评估各攻击状态节点被入侵的概率，识别最大可能目标节点，并依据概率值给出所有态势意图节点的威胁排序。