CN111224928B

CN111224928B - 网络攻击行为的预测方法、装置、设备及存储介质

Info

Publication number: CN111224928B
Application number: CN201811431381.3A
Authority: CN
Inventors: 刘冬岩; 徐金阳; 高琛
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Group Liaoning Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Group Liaoning Co Ltd
Priority date: 2018-11-26
Filing date: 2018-11-26
Publication date: 2021-11-30
Anticipated expiration: 2038-11-26
Also published as: CN111224928A

Abstract

本发明公开了一种网络攻击行为的预测方法、装置、设备及存储介质，该预测方法包括：对于网络的每个节点，计算所述节点的敏感数据特征之间的关联度；根据所述节点的敏感数据特征之间的关联度，建立所述节点的敏感数据特征之间的关联关系；根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，所述安全感知序列是表示所述节点的安全性的序列；根据所述节点的安全感知序列，得到所述节点的安全态势序列；根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为。根据本发明实施例，将大数据网络的安全态势运用到网络攻击行为预测中，可以根据预测出的网络攻击行为及时地采取防御措施。

Description

网络攻击行为的预测方法、装置、设备及存储介质

技术领域

本发明属于计算机领域，尤其涉及一种网络攻击行为的预测方法、装置、设备及存储介质。

背景技术

网络攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。

可以将当前的网络攻击行为检测技术分为两类：一类为误用检测技术；另一类为异常检测技术。误用检测技术是由安全专家根据收集的攻击实例来抽取能够表征该类攻击事件的攻击特征串，然后在实时入侵检测时将网络数据流与先前提取的攻击特征串进行特征匹配，匹配成功则表示检测到了该类型网络攻击事件。异常检测技术则首先为被监控对象构建正常行为轮廓，然后在实时检测时，判断被检测对象当前行为轮廓与正常行为轮廓的偏离程度，当偏离程度超过一定阈值时，表示发生了网络攻击事件。

由于异常检测技术存在构建正常行为轮廓困难和报警模糊的问题，实际应用中多数采用误用检测技术检测网络攻击行为。但是误用检测技术只能在网络已经被攻击时才能检测出网络出现异常，无法提前预测网络的情况。

发明内容

本发明实施例提供一种网络攻击行为的预测方法、装置、设备及存储介质，能够提前预测出网络的攻击行为，可以及时采取防御措施。

一方面，本发明实施例提供一种网络攻击行为的预测方法，包括：

对于网络的每个节点，计算所述节点的敏感数据特征之间的关联度；

根据所述节点的敏感数据特征之间的关联度，建立所述节点的敏感数据特征之间的关联关系；

根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，所述安全感知序列是表示所述节点的安全性的序列；

根据所述节点的安全感知序列，得到所述节点的安全态势序列；

根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为。

另一方面，本发明实施例提供了一种网络攻击行为的预测装置，所述装置包括：

关联度计算模块，用于对于网络的每个节点，计算所述节点的敏感数据特征之间的关联度；

建立关联模块，用于根据所述节点的敏感数据特征之间的关联度，建立所述节点的敏感数据特征之间的关联关系；

感知序列确定模块，用于根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，所述安全感知序列是表示所述节点的安全性的序列；

态势序列确定模块，用于根据所述节点的安全感知序列，得到所述节点的安全态势序列；

攻击预测模块，用于根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为。

再一方面，本发明实施例提供了一种预测网络攻击行为的设备，设备包括：处理器以及存储有计算机程序指令的存储器；

所述处理器执行所述计算机程序指令时实现如上所述的网络攻击行为的预测方法。

再一方面，本发明实施例提供了一种计算机存储介质，所述计算机存储介质上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如上所述的网络攻击行为的预测方法。

本发明实施例的网络攻击行为的预测方法、装置、设备及存储介质，根据具有关联关系的敏感数据特征，确定节点的安全感知序列，然后由此得到网络节点的安全态势，从而挖掘出网络的安全状态及变化趋势。将大数据网络的安全态势运用到网络攻击行为预测中，可以根据预测出的网络攻击行为及时地采取防御措施，降低网络攻击带来的损失。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例提供的网络攻击行为的预测方法的流程示意图；

图2是本发明一个实施例提供的敏感数据特征之间的关联关系示意图；

图3是本发明一个实施例提供的网络攻击行为的预测装置的结构示意图；

图4是本发明又一个实施例提供的预测网络攻击行为的设备的结构示意图。

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

为了解决现有技术问题，本发明实施例提供了一种网络攻击行为的预测方法、装置、设备及存储介质。下面首先对本发明实施例所提供的网络攻击行为的预测方法进行介绍。

图1示出了本发明一个实施例提供的网络攻击行为的预测方法的流程示意图。如图1所示，该方法包括：

S101，对于网络的每个节点，计算该节点的敏感数据特征之间的关联度。

需要补充的是，可以从网络与安全设备的日志、网络运行情况信息、业务与应用的日志记录等获取敏感数据。在获取到敏感数据之后，可以采用聚类算法对敏感数据进行聚类，得到敏感数据特征。其中，聚类算法包括但不限于K均值(K-means)算法。

关联度反映了两个敏感数据特征由同一个攻击行为所引发的可靠度。关联度越高，两个敏感数据特征对应同一攻击的概率越大。关联度是反映两个敏感数据特征之间是否存在关联关系，也即安全事件是否对应同一攻击的重要指标。

S102，根据该节点的敏感数据特征之间的关联度，建立该节点的敏感数据特征之间的关联关系。

筛选出关联度大于预设阈值的敏感数据特征，根据筛选出的敏感数据特征之间的关联度大小，同时出现不同敏感数据特征的数据量，建立敏感数据特征之间的关联关系。

敏感数据特征之间具有直接关联关系和间接关联关系，其中，关联度大于预设阈值的两个敏感数据特征之间具有直接关联关系，如果两个不具有直接关联关系的敏感数据特征均与另一个敏感数据特征之间具有直接关联关系，那么这两个不具有直接关联关系的敏感数据特征具有间接关联关系。

比如，敏感数据特征i和敏感数据特征k之间的关联度大于预设阈值，敏感数据特征k和敏感数据特征m之间的关联度大于预设阈值，那么特征i和特征k之间是直接关联关系，特征k和特征m之间也是直接关联关系，特征i和特征m之间是间接关联关系。

可以建立如图2所示的敏感数据特征之间的关联关系。从图2可以看出，与特征i存在直接关联关系的敏感数据特征分别是特征j和特征k；与特征i存在间接关联关系的敏感数据特征分别是特征j、特征k、特征n、特征w和特征m。

S103，根据该节点的敏感数据特征之间的关联关系，确定该节点的安全感知序列，安全感知序列是表示该节点的安全性的序列。

S104，根据该节点的安全感知序列，得到该节点的安全态势序列。

对于网络的每个节点都执行以上的S101至S104的步骤，从而可以得到每个节点的安全态势序列。

S105，根据网络的各个节点的安全态势序列，预测网络攻击行为。

根据本发明实施例的网络攻击行为的预测方法，由于网络受到攻击时，敏感数据特征及其相关的敏感数据特征会发生异常变化，比如，网络受到攻击时流量异常，且访问非常频繁，因此网络受到攻击与敏感数据特征变化是有关系的。本发明实施例基于上述情况，根据具有关联关系的敏感数据特征，确定节点的安全感知序列，然后由此得到网络节点的安全态势，从而挖掘出网络的安全状态及变化趋势。将大数据网络的安全态势运用到网络攻击行为预测中，可以根据预测出的网络攻击行为及时地采取防御措施，降低网络攻击带来的损失。

在本发明的一个实施例中，S101，包括：

S1011，计算节点的敏感数据特征之间的支持度和自信度，支持度表示两个敏感数据特征同时出现的概率，自信度表示在一个敏感数据特征出现的情况下，另一个敏感数据特征也出现的概率。

S1012，根据节点的敏感数据特征之间的支持度和自信度，计算节点的敏感数据特征之间的关联度。

在本发明的一个实施例中，S1011包括：

根据节点的敏感数据中，同时出现敏感数据特征i和敏感数据特征j的数据量，以及节点的敏感数据总量，计算敏感数据特征i和敏感数据特征j之间的支持度Sij。

和/或，根据节点的敏感数据中，同时出现敏感数据特征i和敏感数据特征j的数据量，以及出现敏感数据特征i但不出现敏感数据特征j的数据量，计算敏感数据特征i对于敏感数据特征j的自信度Cij，自信度Cij表示在敏感数据特征i出现的情况下，敏感数据特征j也出现的概率。

其中，通过以下的公式(1)计算敏感数据特征i和敏感数据特征j之间的支持度Sij：

通过以下的公式(2)计算敏感数据特征i和敏感数据特征j之间的自信度Cij：

其中，自信度Cij表示在敏感数据特征i出现的情况下，敏感数据特征j也出现的概率。

需要说明的是，自信度Cji表示在敏感数据特征j出现的情况下，敏感数据特征i也出现的概率，可见，自信度Cij和自信度Cji不同。

如一共有10万条敏感数据，其中同时出现流量异常和访问频繁的数据量为1万条，出现流量异常、但不出现访问频繁的数据量为5万条。那么流量异常和访问频繁之间的支持度为1万/10万＝0.1。流量异常对于访问频繁的自信度为1万/5万＝0.2。如果出现流量异常、但不出现访问频繁的数据量为3万条，则流量异常对于访问频繁的自信度为1万/3万＝0.3。

在本发明的一个实施例中，S1012包括：

根据节点的敏感数据特征i的预定权重、节点的敏感数据特征j的预定权值、敏感数据特征i和敏感数据特征j之间的支持度、以及敏感数据特征i和敏感数据特征j对于彼此的自信度，计算敏感数据特征i和敏感数据特征j之间的关联度。

其中，通过以下的公式(3)计算敏感数据特征i和敏感数据特征j之间的关联度Dij：

Wi是敏感数据特征i的预定权重，Wj是敏感数据特征j的预定权重，Sij表示敏感数据特征i和敏感数据特征j之间的支持度，Cij和Cji均是表示敏感数据特征i和敏感数据特征j之间的自信度，其中，Cij表示在敏感数据特征i出现的情况下，敏感数据特征j也出现的概率，Cji表示在敏感数据特征j出现的情况下，敏感数据特征i也出现的概率。

比如，流量异常i和访问频繁j之间的关联度为Eij，通过如下的公式(4)计算Eij：

敏感数据特征的特征价值用于表示该敏感数据特征对于预测网络攻击行为的价值。

攻击行为标识用于表示网络受攻击的原因。

敏感数据特征的影响值用于表示该敏感数据特征对网络的影响大小。

在本发明的一个实施例中，S103包括：

S1031，将节点的每个敏感数据特征作为待处理特征，根据节点的敏感数据特征之间的关联关系，获取与待处理特征存在直接关联关系的敏感数据特征，作为直接相关联特征。

S1032，根据待处理特征与直接相关联特征之间的关联度、以及节点的流量异常特征与访问频繁特征之间的关联度，计算待处理特征与直接相关联特征之间的匹配度。

S1033，根据直接相关联特征的数量、以及待处理特征与各个直接相关联特征之间的匹配度，计算待处理特征的风险值，作为节点的安全感知序列中的子序列，待处理特征的风险值用于表示当节点上出现待处理特征时节点被攻击的概率。

通过以下的公式(5)计算敏感数据特征i的风险值Si：

Gi表示敏感数据特征i的度，即与敏感数据特征i存在直接关联关系的敏感数据特征的数量。比如，在图2中，与敏感数据特征i存在直接关联关系的敏感数据特征为敏感数据特征j和敏感数据特征k，即Gi＝2。

A_ik表示敏感数据特征i和敏感数据特征k之间的匹配度，该匹配度表示受攻击时敏感数据特征i和敏感数据特征k匹配程度，该匹配程度越高，网络受攻击的情况就越严重。

D_ik为敏感数据特征i和敏感数据特征k之间的关联度。E_ik为流量异常和访问频繁之间的关联度。

例如，A_ik＝[wi*wk*Sik/(wi*Cik+wk*Cik)]×

[1+0.5(-0.5+wi*wk*0.1/(wi*0.2+wk*0.3)²]^-1。

例如，在计算特征1的风险值时，先计算其他特征与特征1之间的匹配度，如特征2与特征1之间的匹配度0.95，特征3与特征1之间的匹配度0.6等。此处的数值仅为示例，实际值根据情况计算。

如果Gi＝2，可以基于

得到最终风险值。

在本发明的一个实施例中，S103包括：

S1034，将节点的每个敏感数据特征作为待处理特征，根据节点的敏感数据特征之间的关联关系，确定待处理特征在敏感数据中的重要程度。

S1035，根据待处理特征在敏感数据中的重要程度和待处理特征的预定权重，计算待处理特征对于预测网络攻击行为的价值，作为节点的安全感知序列中的子序列。

其中，特征价值＝特征在敏感数据中的重要程度×特征的权重。

在本发明的一个实施例中，S103包括：

S1036，将节点的每个敏感数据特征作为待处理特征，根据节点的敏感数据特征之间的关联关系，确定待处理特征在敏感数据中的重要程度。

S1037，根据节点的敏感数据特征之间的关联关系，确定与待处理特征存在直接关联关系或者存在间接关联关系的敏感数据特征，作为直接或间接相关联特征。

S1038，根据待处理特征在敏感数据中的重要程度、以及直接或间接相关联特征的数量，计算待处理特征对网络的影响值，作为节点的安全感知序列中的子序列。

其中，影响值＝特征在敏感数据中的重要程度×链路影响值。

链路影响值为与特征i存在链路关系的特征数量，或者说链路影响值为：与特征i存在直接关联关系或者存在间接关联关系的特征数量。在图2中特征i的链路影响值为5。

在本发明的一个实施例中，S1034或S1036包括：

根据节点的敏感数据特征之间的关联关系，获取与待处理特征存在直接关联关系的敏感数据特征，作为直接相关联特征；根据节点的敏感数据中出现待处理特征的数据量、节点的敏感数据总量以及直接相关联特征的数量，计算待处理特征在敏感数据中的重要程度。

其中，特征i对敏感数据的重要程度＝(出现特征i的敏感数据量/敏感数据总量)Gi，该Gi在公式中是指数。Gi表示特征i的度，或者说Gi表示与特征i直接相关联的特征数量。

在本发明的一个实施例中，节点的安全感知序列包括：攻击行为标识。

其中，攻击行为标识可以是攻击行为对应的哈希值。

攻击行为包括多种且不断更新与扩充如：窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用、陷阱、特洛伊木马、病毒、诽谤等。

在本发明的一个实施例中，S104包括：

S1041，对于每个节点，通过公式(6)计算各种攻击行为对于节点的影响值。

其中，

为攻击行为t对于节点k的影响值，P_t为攻击行为t发生的概率，

为节点k的攻击行为标识。

其中，根据节点k上特征的影响值得到该节点k的影响值，比如，将节点k上的所有特征的影响值相加得到该节点k的影响值。

S1042，对于每个节点，通过公式(7)计算攻击行为对于节点的损害值。

其中，

为攻击行为t对于节点k的损害值，

为节点k的影响值，

为节点k的节点价值，c为节点的类型标识，

为攻击行为t针对类型c的发生概率。

其中，根据节点k上特征的价值得到该节点k的节点价值。比如，将节点k上所有特征的价值相加得到该节点k的节点价值。

S1043，对于每个节点，通过公式(8)计算攻击行为的拟合值。

其中，

为节点k的攻击行为t的拟合值。

为节点k风险值。β_t为攻击行为t对节点的敏感系数。

其中，根据节点k上特征的风险值得到节点k的风险值，比如，将节点k上所有特征的风险值相加得到该节点k的风险值。

S1044，根据攻击行为的影响值、攻击行为的损害值和攻击行为的拟合值，得到网络安全态势序列。

其中，将攻击行为的影响值、攻击行为的损害值和攻击行为的拟合值作为网络安全态势序列中的各个子序列。

需要说明的是，除了上述的方式得到节点的安全态势序列，也可以采用相关技术中的方式得到节点的安全态势序列。

在本发明的一个实施例中，S105包括：

将网络的各个节点的安全态势序列输入到预定的模糊层次分析法模型中，得到网络的攻击行为等级。

其中，可以采用层次分析法，通过各关联规则的隶属于网络安全态势中各安全级别的权重评估当前是否发生网络攻击行为。

目标层为网络攻击行为，准则层为各关联规则，方案层为网络安全态势中的各态势的网络攻击级别。

确定各关联规则的隶属于网络安全态势的权重，将权重与关联规则对应关联度的乘积作为该关联规则的影响程度。

在本发明的一个实施例中，网络的攻击行为等级包括：网络的各节点的攻击行为等级，网络攻击行为的预测方法还包括：

获取网络的攻击行为等级最高的节点；将攻击行为等级最高的节点作为攻击行为发出点，模拟网络攻击行为的路径，形成网络的攻击扩散路径图，网络的攻击扩散路径图包括：攻击行为发出点和被攻击行为发出点影响的节点。

利用本发明实施例的网络攻击行为的预测方法，攻击扩散路径图不仅能展示攻击影响，还可以做到攻击方式的溯源，从而实现了不仅能检测攻击，同时能做到攻击方式的溯源。

本发明实施例提供一种网络攻击行为的预测装置，如图3所示，该装置200包括：

关联度计算模块201，用于对于网络的每个节点，计算节点的敏感数据特征之间的关联度。

建立关联模块202，用于根据节点的敏感数据特征之间的关联度，建立节点的敏感数据特征之间的关联关系。

感知序列确定模块203，用于根据节点的敏感数据特征之间的关联关系，确定节点的安全感知序列，安全感知序列是表示节点的安全性的序列。

态势序列确定模块204，用于根据节点的安全感知序列，得到节点的安全态势序列。

攻击预测模块205，用于根据网络的各个节点的安全态势序列，预测网络攻击行为。

在本发明的一个实施例中，关联度计算模块201包括：

特征关系参数计算模块，用于计算节点的敏感数据特征之间的支持度和自信度，支持度表示两个敏感数据特征同时出现的概率，自信度表示在一个敏感数据特征出现的情况下，另一个敏感数据特征也出现的概率；

特征关联度计算模块，用于根据节点的敏感数据特征之间的支持度和自信度，计算节点的敏感数据特征之间的关联度。

在本发明的一个实施例中，特征关系参数计算模块包括：

支持度计算模块，用于根据节点的敏感数据中，同时出现敏感数据特征i和敏感数据特征j的数据量，以及节点的敏感数据总量，计算敏感数据特征i和敏感数据特征j之间的支持度Sij。

自信度计算模块，用于根据节点的敏感数据中，同时出现敏感数据特征i和敏感数据特征j的数据量，以及出现敏感数据特征i但不出现敏感数据特征j的数据量，计算敏感数据特征i对于敏感数据特征j的自信度Cij，自信度Cij表示在敏感数据特征i出现的情况下，敏感数据特征j也出现的概率。

在本发明的一个实施例中，特征关联度计算模块用于，

在本发明的一个实施例中，感知序列确定模块203包括：

关联特征获取模块，用于将节点的每个敏感数据特征作为待处理特征，根据节点的敏感数据特征之间的关联关系，获取与待处理特征存在直接关联关系的敏感数据特征，作为直接相关联特征。

匹配度计算模块，用于根据待处理特征与直接相关联特征之间的关联度、以及节点的流量异常特征与访问频繁特征之间的关联度，计算待处理特征与直接相关联特征之间的匹配度；

风险值计算模块，用于根据直接相关联特征的数量、以及待处理特征与各个直接相关联特征之间的匹配度，计算待处理特征的风险值，作为节点的安全感知序列中的子序列，待处理特征的风险值用于表示当节点上出现待处理特征时节点被攻击的概率。

在本发明的一个实施例中，感知序列确定模块203包括：

重要程度确定模块，用于将节点的每个敏感数据特征作为待处理特征，根据节点的敏感数据特征之间的关联关系，确定待处理特征在敏感数据中的重要程度。

特征价值计算模块，用于根据待处理特征在敏感数据中的重要程度和待处理特征的预定权重，计算待处理特征对于预测网络攻击行为的价值，作为节点的安全感知序列中的子序列。

在本发明的一个实施例中，感知序列确定模块203包括：

关联特征确定模块，用于根据节点的敏感数据特征之间的关联关系，确定与待处理特征存在直接关联关系或者存在间接关联关系的敏感数据特征，作为直接或间接相关联特征。

影响值计算模块，用于根据待处理特征在敏感数据中的重要程度、以及直接或间接相关联特征的数量，计算待处理特征对网络的影响值，作为节点的安全感知序列中的子序列。

在本发明的一个实施例中，重要程度确定模块包括：

直接相关联特征确定模块，用于根据节点的敏感数据特征之间的关联关系，获取与待处理特征存在直接关联关系的敏感数据特征，作为直接相关联特征。

重要程度计算模块，用于根据节点的敏感数据中出现待处理特征的数据量、节点的敏感数据总量以及直接相关联特征的数量，计算待处理特征在敏感数据中的重要程度。

在本发明的一个实施例中，攻击预测模块205用于，

在本发明的一个实施例中，网络的攻击行为等级包括：网络的各节点的攻击行为等级，上述中的装置200还包括：

攻击节点获取模块，用于获取网络的攻击行为等级最高的节点；

攻击路径图形成模块，用于将攻击行为等级最高的节点作为攻击行为发出点，模拟网络攻击行为的路径，形成网络的攻击扩散路径图，网络的攻击扩散路径图包括：攻击行为发出点和被攻击行为发出点影响的节点。

图4示出了本发明实施例提供的预测网络攻击行为的设备的硬件结构示意图。

预测网络攻击行为的设备可以包括处理器301以及存储有计算机程序指令的存储器302。

具体地，上述处理器301可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，ASIC)，或者可以被配置成实施本发明实施例的一个或多个集成电路。

存储器302可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器302可包括硬盘驱动器(Hard Disk Drive，HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus，USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器302可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器302可在综合网关容灾设备的内部或外部。在特定实施例中，存储器302是非易失性固态存储器。在特定实施例中，存储器302包括只读存储器(ROM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。

处理器301通过读取并执行存储器302中存储的计算机程序指令，以实现上述实施例中的任意一种网络攻击行为的预测方法。

在一个示例中，预测网络攻击行为的设备还可包括通信接口303和总线310。其中，如图4所示，处理器301、存储器302、通信接口303通过总线310连接并完成相互间的通信。

通信接口303，主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。

总线310包括硬件、软件或两者，将预测网络攻击行为的设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线310可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线，但本发明考虑任何合适的总线或互连。

该预测网络攻击行为的设备可以执行本发明实施例中的网络攻击行为的预测方法，从而实现结合图1和图3描述的网络攻击行为的预测方法和装置。

另外，结合上述实施例中的网络攻击行为的预测方法，本发明实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种网络攻击行为的预测方法。

需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。

以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。

Claims

1.一种网络攻击行为的预测方法，其特征在于，包括：

根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为；

所述根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，包括：

将所述节点的每个敏感数据特征作为待处理特征，根据所述节点的敏感数据特征之间的关联关系，获取与所述待处理特征存在直接关联关系的敏感数据特征，作为直接相关联特征；

根据所述待处理特征与所述直接相关联特征之间的关联度、以及所述节点的流量异常特征与访问频繁特征之间的关联度，计算所述待处理特征与所述直接相关联特征之间的匹配度；

根据所述直接相关联特征的数量、以及所述待处理特征与各个所述直接相关联特征之间的匹配度，计算所述待处理特征的风险值，作为所述节点的安全感知序列中的子序列，所述待处理特征的风险值用于表示当所述节点上出现所述待处理特征时所述节点被攻击的概率。

2.根据权利要求1所述的方法，其特征在于，所述计算所述节点的敏感数据特征之间的关联度，包括：

计算所述节点的敏感数据特征之间的支持度和自信度，所述支持度表示两个敏感数据特征同时出现的概率，所述自信度表示在一个敏感数据特征出现的情况下，另一个敏感数据特征也出现的概率；

根据所述节点的敏感数据特征之间的支持度和自信度，计算所述节点的敏感数据特征之间的关联度。

3.根据权利要求2所述的方法，其特征在于，所述计算所述节点的敏感数据特征之间的支持度和自信度，包括：

根据所述节点的敏感数据中，同时出现敏感数据特征i和敏感数据特征j的数据量，以及所述节点的敏感数据总量，计算所述敏感数据特征i和所述敏感数据特征j之间的支持度Sij；

和/或，

根据所述节点的敏感数据中，同时出现敏感数据特征i和敏感数据特征j的数据量，以及出现敏感数据特征i但不出现敏感数据特征j的数据量，计算敏感数据特征i对于敏感数据特征j的自信度Cij，自信度Cij表示在敏感数据特征i出现的情况下，敏感数据特征j也出现的概率。

4.根据权利要求2所述的方法，其特征在于，所述根据所述节点的敏感数据特征之间的支持度和自信度，计算所述节点的敏感数据特征之间的关联度，包括：

根据所述节点的敏感数据特征i的预定权重、所述节点的敏感数据特征j的预定权值、所述敏感数据特征i和所述敏感数据特征j之间的支持度、以及所述敏感数据特征i和所述敏感数据特征j对于彼此的自信度，计算所述敏感数据特征i和所述敏感数据特征j之间的关联度。

5.根据权利要求1所述的方法，其特征在于，所述根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，还包括：

将所述节点的每个敏感数据特征作为待处理特征，根据所述节点的敏感数据特征之间的关联关系，确定所述待处理特征在敏感数据中的重要程度；

根据所述待处理特征在敏感数据中的重要程度和所述待处理特征的预定权重，计算所述待处理特征对于预测网络攻击行为的价值，作为所述节点的安全感知序列中的子序列。

6.根据权利要求1所述的方法，其特征在于，所述根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，还包括：

根据所述节点的敏感数据特征之间的关联关系，确定与所述待处理特征存在直接关联关系或者存在间接关联关系的敏感数据特征，作为直接或间接相关联特征；

根据所述待处理特征在敏感数据中的重要程度、以及所述直接或间接相关联特征的数量，计算所述待处理特征对所述网络的影响值，作为所述节点的安全感知序列中的子序列。

7.根据权利要求5或6所述的方法，其特征在于，所述根据所述节点的敏感数据特征之间的关联关系，确定所述待处理特征在敏感数据中的重要程度，还包括：

根据所述节点的敏感数据特征之间的关联关系，获取与所述待处理特征存在直接关联关系的敏感数据特征，作为直接相关联特征；

根据所述节点的敏感数据中出现所述待处理特征的数据量、所述节点的敏感数据总量以及所述直接相关联特征的数量，计算所述待处理特征在敏感数据中的重要程度。

8.根据权利要求1所述的方法，其特征在于，所述节点的安全感知序列包括：攻击行为标识。

9.根据权利要求1所述的方法，其特征在于，所述根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为，包括：

将所述网络的各个所述节点的安全态势序列输入到预定的模糊层次分析法模型中，得到所述网络的攻击行为等级。

10.根据权利要求9所述的方法，其特征在于，所述网络的攻击行为等级包括：所述网络的各节点的攻击行为等级，所述的方法还包括：

获取所述网络的攻击行为等级最高的节点；

将所述攻击行为等级最高的节点作为攻击行为发出点，模拟网络攻击行为的路径，形成所述网络的攻击扩散路径图，所述网络的攻击扩散路径图包括：攻击行为发出点和被攻击行为发出点影响的节点。

11.一种网络攻击行为的预测装置，其特征在于，所述装置包括：

攻击预测模块，用于根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为；

所述感知序列确定模块，包括：

关联特征获取模块，用于将节点的每个敏感数据特征作为待处理特征，根据节点的敏感数据特征之间的关联关系，获取与待处理特征存在直接关联关系的敏感数据特征，作为直接相关联特征；

12.一种预测网络攻击行为的设备，其特征在于，所述设备包括：处理器以及存储有计算机程序指令的存储器；

所述处理器执行所述计算机程序指令时实现如权利要求1-10任意一项所述的网络攻击行为的预测方法。

13.一种计算机存储介质，其特征在于，所述计算机存储介质上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如权利要求1-10任意一项所述的网络攻击行为的预测方法。