WO2009009975A1 - Procédé et appareil pour prédire une action d'attaque de réseau - Google Patents

Description

一种预测网络攻击行为的方法及装置 本申请要求于 2007 年 07 月 16 日提交中国专利局、 申请号为 200710130232.9、 发明名称为"一种预测网络攻击行为的方法及装置 "的中 国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及网络通信安全领域， 特别是涉及一种预测网络攻击行为的 方法及装置。 背景技术

随着计算机网络技术的飞速发展， 社会的信息化程度不断提高， 网络 在给人们带来巨大的经济效益和社会效益的同时， 也面临着日益严重的安 全问题， 针对网络的攻击层出不穷。 攻击数量、 种类越来越多； 攻击越来 越复杂； 对依赖网络的用户危害也越来越大。 因此对网络攻击行为特点的 深入研究势在必行。

对网络攻击的研究不能仅从攻击的个体出发， 需要对整个网络攻击系 统有整体的认识。 但一方面攻击行为的复杂性、 多样性， 难于归纳总结， 特别是针对大规模网络的描述， 就更加困难。 另一方面现有的攻击模型大 多应用于入侵检测， 很少有从预警的角度对网络攻击行为进行描述分析。

如今大部分关于网络攻击的描述集中于归纳、 分类漏洞和攻击方法 上。 比如一种利用攻击树模型的描述方法， 使用树来表示攻击行为之间的 关联， 树的每个节点表示攻击的最终目标。 攻击树直观、 易于理解， 但是 它不区分攻击行为和攻击结果， 难以利用攻击树模型进行攻击预警。 另外 一种是基于对离散并行系统的数学表示 Petri 网的攻击网描述方法， 使用 Petri网的库所（ Place )表示攻击的阶段， 变迁（ Transition )表示攻击行为， 有向弧（Connection )表示攻击过程。 还有一种表示攻击过程的方法是状 态转换图。 攻击过程表示为系统状态之间的迁移， 通过检测攻击过程的各 个状态是否得到了满足判断是否发生了攻击， 可以根据已检测到的攻击行 为预测系统将会达到的危害状态， 但并没有考虑各种攻击过程之间的关 系。 现有入侵检测技术通过匹配已知攻击方法的特征对攻击行为进行检 测。如 Snort的入侵规则集通过单包特征对攻击进行检测。 STATL语言基于 状态和状态转移对攻击行为进行描述， 为基于状态图的入侵检测系统提供 入侵特征库。 ESTQ方法通过<事件， 协议状态， 时间关系， 数量关系>对 网络协议攻击进行描述。 IDIOT釆用有色 petri网对入侵进行建模和检测。

现有技术的另一种网络入侵行为和正常行为的形式化描述方法是以 ASSQ四元组为理论基础， 在已有 Petri网模型的基础上进行了重新定义和 修改，可以应用在各种入侵检测和相关系统中，用来跟踪、检测入侵行为， 区分系统正常行为和入侵行为。这项技术是 ESTQ方法和 petri网相结合的描 述方法。 ASSQ四元组是 ESTQ方法的改进，是对入侵行为的总体上的描述， 对攻击在系统状态和网络事件中表现出来的时间和数量上的关系进行分 析， 通过重新定义的 Petri网模型来实现对四元组的描述。

在实现本发明过程中， 发明人发现现有技术中， 要么对攻击过程中攻 击行为的描述过于简单， 不能对攻击过程进行清晰的描述， 没有体现出大 规模网络攻击的整体性， 不适用于宏观网络。 要么只是单纯通过四元组对 入侵行为进行定义，并以 petri网描述入侵过程，没有进一步提出如何对下 一步入侵行为进行预测和描述。 发明内容

本发明实施例提供一种预测网络攻击行为的方法及装置，可对后继攻 击行为进行预测和阻止。

本发明实施例提供的一种预测网络攻击行为的方法， 包括： 监测网络状态参数，并根据网络状态参数的变化，获得攻击行为信息； 根据攻击行为与后继攻击行为的对应关系， 从所述攻击行为对应的后 继攻击行为中选择一个最大可能后继攻击行为， 所述最大可能后继攻击行

本发明实施例还提供一种预测网络攻击行为的装置， 包括： 攻击行为管理单元， 用于检测网络状态参数的变化， 根据网络参数发 生变化，查找到攻击行为信息，根据攻击行为与后继攻击行为的对应关系， 从所述攻击行为对应的后继攻击行为中预测最大可能后继攻击行为。 本发明的实施例通过详细描述攻击行为过程及攻击过程中攻击行为 之间的关系， 根据攻击行为与其后继攻击行为的对应关系， 从所发生攻击 行为的所有后继攻击行中查找最大可能的后继攻击行为， 并对最大可能后 继攻击行为所对应的响应子单元对其进行阻止， 这样可对后继攻击行为进 行预测和阻止， 提出了预警的方法， 达到了预警的目的， 从而提高了网络 的安全性。 附图说明

图 1 是本发明实施例的一种描述网络攻击行为的带权有向图的结构 图；

图 2是本发明实施例的一种描述网络攻击行为的索引表和后继攻击行 为表的结构图；

图 3是本发明实施例的一种预测网络攻击行为的流程图；

图 4是本发明实施例的一种描述网络攻击行为的攻击支撑树流程图； 图 5 是本发明实施例的另一种描述网络攻击行为的攻击支撑树流程 图；

图 6 是本发明实施例提供的一种预测网络攻击行为的装置结构示意 图。 具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描 述。

攻击行为与其后继攻击行为之间的对应关系可带权有向图来表示。 图 1是本发明实施例的一种描述网络攻击行为的带权有向图的结构图， 圓圈 是攻击行为带权有向图中的顶点， 每个顶点表示一种攻击行为， 圓圈内的 字母表示具体攻击行为的名称； 箭头线是攻击行为带权有向图中的弧， 弧 代表由攻击行为到后继攻击行为的指向关系， 弧尾连接前驱攻击行为， 弧 头指向后继攻击行为， 例如 A为前驱攻击行为， B、 C、 D是 A的后继攻 击行为； 箭头线上的字母是攻击行为带权有向图中的弧的权重， 描述的是 从前驱攻击行为到后继攻击行为这一攻击行为序列的历史发生次数。 例如 弧 AB的权重为 i, 则表示以前从攻击行为 A到攻击行为 B发生过 i次； 而弧 AC的权重为 j , 如果 i>j , 则表明由攻击行为 A到攻击行为 B的攻击 行为序列历史上发生次数大于由攻击行为 A到攻击行为 C的攻击行为序 列； 反之， 如果 i<j , 由攻击行为 A到攻击行为 C的攻击行为序列历史上 发生次数大于由攻击行为 A到攻击行为 B的攻击行为序列。

图 2是本发明实施例的一种描述网络攻击行为的索引表和后继攻击行 为表的结构图。 攻击行为名称、 攻击行为状态与后继攻击行为之间的对应 关系用索引表来表示， 后继攻击行为名称、 后继攻击行为状态、 由攻击行 为到后继攻击行为发生次数以及阻止所述最大可能后继攻击行为发生的 策略之间的对应关系用后继攻击表来表示。 根据图 1 , 建立一个索引表 21 和多个后继攻击行为表 22。 索引表 21中每一项的结构为 name 211, active 212,*next— table 213。 其中， name 211是攻击行为名称， name E n, n是攻击 行为名称集合； active 212表示攻击行为状态， 其中 Y表示该攻击行为没 有被屏蔽； N表示该攻击行为被屏蔽， active初始值均为 Y。 在查找攻击 行为时， 被屏蔽的攻击行为不能够被遍历和查找。 在攻击行为带权有向图 上也不显示出来。 方便快速查找最大可能后继攻击行为。 *next— table213 是指向后继攻击行为表的指针， 指向该攻击行为对应的后继攻击行为表。 后继攻击行为表 22用于存储后继攻击行为的所有相关信息， 表中的各项 分别用来描述攻击行为带权有向图中的各条弧。 每一个表项的结构为 next— name 221 , num 222 , active 223, *respond 224。 其中 next— name 221是 后继攻击行为名称， next name E n; num 222是由攻击行为到后继攻击行为 发生次数； active 223 表示后继攻击行为状态， 具体是指攻击行为与其后 继攻击行为之间的弧的状态， 其中 Y表示该弧没有被屏蔽； N表示该弧被 屏蔽。 active初始值均为 Y。 被屏蔽的弧被设置为隐藏状态， 在攻击行为 带权有向图上不显示出来。 *respond224 是指向阻止后继攻击行为发生的 响应子单元的指针。

本实施例中建立索引表 21和后继攻击行为表 22的具体过程为： 根据先前发生的攻击行为信息获知如图 1的各顶点之间的先驱和后继 关系， 利用历史样本数据确定弧的权重数据。 然后建立索引表 21 , 将所有 攻击行为名称填入索引表 21 中的每一个表项中的 name 211字段， active 212字段均设为 Y。 针对每一个攻击行为， 建立一个后继攻击行为表 22 , 将该攻击行为的所有后继攻击行为名称填入后继攻击行为表 22 中的 next— name 221 字段内， 每一个后继攻击行为对应一个表项； 将每一个攻 击行为所对应表项的 *next— table 213指针指向对应的后继攻击行为表 22; 根据历史样本数据， 填写每个后继攻击行为表 22中的弧的权重 num 222; active 223字段均设为 Y; 将后继攻击行为表 22每一项中的 *respond 224 指针指向用于阻止该后继攻击行为的响应子单元。 通过上述步骤得到索引 表 21和后继攻击行为表 22。

通过以上实施例可以看出，本发明实施例详细描述了攻击过程中攻击 行为之间的重要关系， 不再单一描述某一攻击。

图 3是本发明实施例的一种预测网络攻击行为的流程图。 参照图 3 , 步骤 S31 , 检测网络状态参数， 如果网络状态参数发生变化， 说明发 生攻击行为， 则根据网络参数的变化， 获得攻击行为信息。

步骤 S32, 判断该攻击行为是否为唯一确定的？ 攻击行为， 如果是唯 一确定的攻击行为， 则转步骤 S33; 否则转步骤 S34。

步骤 S33 , 根据攻击行为与其后继攻击行为的对应关系， 将该攻击行 为的所有后继攻击行为放入集合 GP中。

步骤 S331 , 在集合 GP中查找最大可能的后继攻击行为。 遍历所有指 向后继攻击行为的弧的权重， 弧的权重越大， 表明对应的后继攻击行为发 生的次数越多。 数值最大的弧的权重所指向的后继攻击行为即为最大可能 后继攻击行为。

步骤 S332 , 最大可能后继攻击行为所对应的响应子单元对其进行阻 止。

步骤 S333 , 判断该响应子单元是否阻止了最大可能后继攻击行为的 发生。 如果该响应子单元阻止了最大可能后继攻击行为的发生， 则转到步 骤 S334; 否则转到步骤 S335。

步骤 S334 , 该响应子单元阻止了最大可能后继攻击行为的发生， 将 网络状态恢复到安全状态，则指向最大可能后继攻击行为的弧的权重加 1 , 说明对网络攻击行为的预警成功， 流程结束。

步骤 S335 , 该响应子单元阻止了最大可能后继攻击行为失败， 网络 状态未恢复到安全状态， 则指向最大可能后继攻击行为的弧的权重减 1。

步骤 S336, 在集合 GP中除去最大可能后继攻击行为。

步骤 S337 , 判断集合 GP是否为空， 如果为空， 则转到步骤 S31 ; 否 则， 转到步骤 S331。

步骤 S34, 该攻击行为是几个可能攻击行为之一， 则根据攻击行为与 后继攻击行为的对应关系， 在几个可能攻击行为的后继攻击行为中查找共 同的最大可能后继攻击行为。

步骤 S341 , 判断几个可能攻击行为的后继攻击行为是否存在共同的 最大可能后继攻击行为，如果存在，则转到步骤 S342, 否则转到步骤 S31。

步骤 S342 , 共同的最大可能后继攻击行为所对应的响应子单元对其 进行阻止。

步骤 S343 , 判断该响应子单元是否阻止了最大可能后继攻击行为的 发生。 如果该响应子单元阻止了最大可能后继攻击行为的发生， 则转到步 骤 S344; 否则转到步骤 S345。

步骤 S344 , 该响应子单元阻止了最大可能后继攻击行为的发生， 将 网络状态恢复到安全状态， 则指向最大可能后继攻击行为的弧的权重加 β/k, 其中 β在 0至 1之间取值， k是可能攻击行为的个数， 说明对网络攻 击行为的预警成功， 流程结束。

步骤 S345 , 该响应子单元阻止了最大可能后继攻击行为失败， 网络 状态未恢复到安全状态， 则指向最大可能后继攻击行为的弧的权重减 β/k, 其中 β在 0至 1之间取值， k是可能攻击行为的个数。 图 1、 图 2, A、 B、 C、 D均为攻击行为， B、 C、 D均为 A的后继攻击 行为， 弧 AB的权重为 i, 弧 AC的权重为 j , 弧 AD的权重为 k。 如图 2 所示， 响应子单元 1、 3、 n分别阻止攻击行为 B、 C、 D的发生。

如果当前网络状态参数发生变化， 确定当前发生的攻击行为是 A, 则 由 A的后继攻击行为8、 C、 D组成集合 GP, 并在集合 GP中查找最大可 能后继攻击行为， 如果 i>j>k, 则 B为最大可能后继攻击行为， 调用 B 对应的响应子单元 U1, 如果响应子单元 U1阻止了 B, 网络状态恢复到安 全状态， 则预测成功， 弧 AB的权重 i加 1, 流程结束； 若响应子单元 1 没有阻止 B, 网络状态未恢复到安全状态， 则表明预测失败， 弧 AB的权 重 i减 1, 并将 B从 GP中去除， 然后返回到 GP, 继续寻找最大可能后继 攻击行为， 直到响应子单元阻止了最大可能后继攻击行为或 GP为空。

如果当前网络状态参数发生变化，确定当前发生攻击行为可能是 B或 D, 则分别查找 B、 D的最大可能后继攻击行为。 在图 1中， 攻击 E、 F、 C均为攻击 B的后继攻击行为， 弧 BE、 BF、 BC的权重分别为 d、 e、 a; 攻击 C、 F、 G为攻击 D的后继攻击行为， 弧 DC、 DF、 DG的权重分别为 b、 g、 h。 如果 d>e, d>a, h>b, h>g, 则 B的最大可能后继攻击行为 为 E, D的最大可能后继攻击行为为 G, 即 B和 D没有最大可能后继攻 击行为， 则继续监测网络状态。 如果 e>d, e>a, g>b, g>h, B和 D的 最大可能后继攻击行为均为 F, 调用 F对应的响应子单元 5, 如果响应子 单元 5阻止了 F, 网络状态恢复到安全状态， 则预测成功， 弧 BF、 DF的 权重 e、 g分别增加 β/2, 流程结束； 如果响应子单元 5没有阻止了 F, 网 络状态未恢复到安全状态， 则预测失败， 弧 BF、 DF的权重 e、 g分别减 小 β/2, 然后继续监测网络状态参数。

以上实施例通过分析后继攻击行为， 查找最大可能后继攻击行为， 由 响应子单元对最大可能后继攻击行为进行阻止， 达到了预警的目的。

图 4是本发明实施例的一种描述网络攻击行为的攻击支撑树流程图。 攻击支撑树是对攻击行为带权有向图进行简化得到的， 具体包括：

步骤 S41, 根据历史数据和经验， 设定一个权重阔值 t。

步骤 S42, 访问后继攻击行为表， 对 num222表项遍历。

步骤 S43, 判断是否所有后继攻击行为表遍历完毕， 如果遍历完毕， 则转步骤 S46, 否则转步骤 S44。

步骤 S44, 用当前后继攻击行为表中的 num222数值与 t进行比较， 如果当前后继攻击行为表中的 num222数值小于 t, 则转步骤 S45, 否则转 步骤 S42。

步骤 S45 , 后继攻击行为表中的 num222数值小于 t, 则表明该后继攻 击行为发生的几率比较小， 可以认为是安全的， 所以屏蔽该当前后继攻击 行为表中的 num222数值对应的弧。 不对该弧指向的后继攻击行为进行查 找和遍历。 被屏蔽的弧在攻击行为带权有向图上被隐藏， 不显示出来。

步骤 S46, 当所有后继攻击行为表遍历完毕后， 判断所述攻击行为带 权有向图是否因为屏蔽一些弧， 而使一些弧的顶点变成孤点， 如果所述攻 击行为带权有向图出现孤点， 则转步骤 S47 , 否则转步骤 S48。

步骤 S47 , 屏蔽上述孤点。 孤点表示具体的攻击行为， 在查找最大可 能后继攻击行为时， 对被屏蔽的攻击行为不进行遍历和查找。 以快速查找 到最大可能后继攻击行为。

步骤 S48, 屏蔽了上述弧和孤点的攻击行为带权有向图即为所求的攻 击支撑树。

如果判断到的攻击行为所对应的顶点是被屏蔽的， 则取消对该顶点以 及和其关联的弧的屏蔽。 如果某个被屏蔽的弧所对应的攻击序列再次出 现， 则取消对其的屏蔽。 如图 5所示， 具体包括：

步骤 S51 , 通过监测网络状态参数的变化， 确定了某个具体攻击行为 发生。

步骤 S52 , 判断该攻击行为是否被屏蔽。 如果被屏蔽， 则转步骤 S53 , 否则转步骤 S56。 判断该攻击行为是否被屏蔽具体为： 查找索引表 21 , 如 果该攻击行为对应的 acctive212为 N, 则表示被屏蔽， 为 Y, 则表示未被 展蔽。

步骤 S53 , 取消对该顶点的屏蔽， 即将 acctive212改为 Y。

步骤 S54, 取消对该攻击行为指向其所有后继攻击行为的弧的屏蔽。 具体实施步骤为： 查找该攻击行为对应的所有后继攻击行为表 22 ,将所有 后继攻击行为表 22内的 active 223改为 Y。

步骤 S55 ,取消对该攻击行为的所有后继攻击行为对应的顶点的屏蔽。 具体实施步骤为： 由步骤 S54, 得到该攻击行为所有后继攻击行为的名称 next— name 221 , 查找索引表 21 , 将所有名称与 next— name 221对应的表项 内的 acctive212改为 Y。

步骤 S56, 得到的新图即为所求的攻击支撑树。

以上实施例通过简化攻击行为带权有向图来建立攻击支撑树，可以更 快的判断当前攻击的模式， 缩短检测的响应时间， 从而提高了预测网络攻 击行为的效率。

图 6是本发明实施例的一种装置结构图， 包括攻击行为管理单元 61 和告警单元 62, 其中告警单元又包括响应子单元 621 和权重管理子单元 622。 攻击行为管理单元 61主要是监测网络状态参数， 当网络状态参数发 生变化， 确定攻击行为发生， 根据攻击行为与后继攻击行为的对应关系， 找出攻击行为的最大可能后继攻击行为， 并通过告警单元 62控制响应子 单元 621对最大可能后继攻击行为进行阻止。 响应子单元 621存储了阻止 对应后继攻击行为发生的策略， 用于阻止后继攻击行为的发生。 权重管理 子单元 622是根据响应子单元 621对后继攻击行为的阻止结果来更新由攻 击行为到最大后继攻击行为的发生次数。 如果响应子单元 621阻止后继攻 击行为成功， 将网络状态恢复到安全状态， 则权重管理子单元 622增加由 攻击行为到最大后继攻击行为的发生次数。 如果响应子单元 621阻止后继 攻击行为失败， 未将网络状态恢复到安全状态， 则权重管理子单元 622减 小由攻击行为到最大后继攻击行为的发生次数。 通过更新由攻击行为到最 大后继攻击行为的发生次数， 可以更加准确、 及时的描述和预测网络攻击 行为的发生。

如果攻击行为管理单元 61确定攻击行为 Α发生攻击行为， 找到 B为 A的最大后继攻击行为， 则控制响应子单元 621对 B进行阻止。 如果响应 子单元 6211阻止 B成功， 将网络状态恢复到安全状态， 则权重管理子单 元 622把 i更新为 i+1 ; 如果响应子单元 621阻止 B失败， 未将网络状态 恢复到安全状态， 则权重管理子单元 622把 i更新为 i-l。

如果攻击行为管理单元 61确定攻击行为 B或 D中间的一个发生攻击 行为， 则在 B和 D的后继攻击行为中寻找共同的最大后继攻击行为， 如 果找到共同的最大后继攻击行为为 F, 则控制响应子单元 621对 F进行阻 止。 如果响应子单元 621阻止 F成功， 将网络状态恢复到安全状态， 则权 重管理子单元 622把 e和 g更新为 e +β/2和 g+p/2; 如果响应子单元 621 阻止 F失败， 未将网络状态恢复到安全状态， 则权重管理子单元 622把 e 和 g更新为 e -β/2和 g -β/2。 其中 β在 0至 1间取值。

通过以上实施例，可以看出本发明实施例通过对攻击行为过程及攻击 过程中攻击行为之间的关系的描述， 根据攻击行为与其后继攻击行为的对 应关系， 从所发生攻击行为的所有后继攻击行中查找最大可能的后继攻击 行为， 并对最大可能后继攻击行为所对应的响应子单元对其进行阻止， 这 样可对后继攻击行为进行预测和阻止， 实现了对后继攻击行为的预警， 从 而提高了网络的安全性。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本 发明可借助软件加必需的通用硬件平台的方式来实现， 当然也可以通过硬 件， 但很多情况下前者是更佳的实施方式。 基于这样的理解， 本发明的技 术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式 体现出来， 该计算机软件产品存储在一个存储介质中， 包括若干指令用以 使得一台计算机设备（可以是个人计算机， 服务器， 或者网络设备等）执 行本发明各个实施例所述的方法。

以上所述仅是本发明的优选实施方式， 应当指出， 对于本技术领域的 普通技术人员来说， 在不脱离本发明原理的前提下， 还可以做出若干改进 和润饰， 这些改进和润饰也应视为本发明的保护范围。

Claims

权 利 要 求

1、 一种预测网络攻击行为的方法， 其特征在于， 包括：

监测网络状态参数，并根据网络状态参数的变化，获得攻击行为信息； 根据攻击行为与后继攻击行为的对应关系， 从所述攻击行为对应的后 继攻击行为中选择一个最大可能后继攻击行为， 所述最大可能后继攻击行

2、 如权利要求 1 所述预测网络攻击行为的方法， 其特征在于， 如果 所述攻击行为包括一个攻击行为， 则在所述攻击行为的所有后继攻击行为 中查找最大可能后继攻击行为。

3、 如权利要求 1 所述预测网络攻击行为的方法， 其特征在于， 如果 所述攻击行为是多个可能攻击行为， 则在多个可能攻击行为中查找共同的 最大可能后继攻击行为。

4、 如权利要求 1 所述预测网络攻击行为的方法， 其特征在于， 在将 对所述最大可能后继攻击行为进行阻止；

如果阻止所述最大可能后继攻击行为成功， 则增加由所述攻击行为到 所述最大可能后继攻击行为的发生次数；

如果阻止所述最大可能后继攻击行为失败， 则减小由所述攻击行为到 所述最大可能后继攻击行为的发生次数。

5、 如权利要求 4所述预测网络攻击行为的方法， 其特征在于， 增加 或减小由所述攻击行为到所述最大可能后继攻击行为的发生次数， 具体 为：

如果所述攻击行为是唯一确定的攻击行为， 则由所述攻击行为到所述 最大可能后继攻击行为的发生次数增加或减小 1 ;

如果所述攻击行为是多个可能攻击行为之一， 则由所述攻击行为到所 述最大可能后继攻击行为发生的可能性系数增加或减小 β/k, 其中 β在 0 至 1之间取值， k是可能攻击行为的个数。

6、 如权利要求 1 所述预测网络攻击行为的方法， 其特征在于， 在监 测网络状态参数之前， 还包括： 为之间的对应关系；

建立后继攻击行为名称、 后继攻击行为状态、 由所述攻击行为到后继 攻击行为的发生次数以及阻止所述最大可能后继攻击行为发生的策略之 间的对应关系。

7、 如权利要求 6所述预测网络攻击行为的方法， 其特征在于， 在建 立所述对应关系之后， 还包括：

判断由所述攻击行为到后继攻击行为的发生次数是否小于权重阔值； 如果是， 则屏蔽所述后继攻击行为及由所述攻击行为到所述后继攻击 行为的指向关系。

8、 如权利要求 7 所述预测网络攻击行为的方法， 其特征在于， 如果 被屏蔽的所述后继攻击行为的前驱攻击行为发生攻击， 则取消对所述后继 攻击行为的屏蔽， 并取消对由所述前驱攻击行为到其所有后继攻击行为的 指向关系的屏蔽。

9、 一种预测网络攻击行为的装置， 其特征在于， 包括： 攻击行为管 理单元， 用于检测网络状态参数的变化， 根据网络参数发生变化， 查找到 攻击行为信息， 根据攻击行为与后继攻击行为的对应关系， 从所述攻击行 为对应的后继攻击行为中预测最大可能后继攻击行为。

10、 如权利要求 9所述预测网络攻击行为的装置， 其特征在于， 还包 括：

告警单元， 用于对所述攻击行为管理单元预测出的最大可能后继攻击 行为进行阻止， 更新由所述攻击行为到其最大可能后继攻击行为的发生次 数。

11、 如权利要求 9所述预测网络攻击行为的装置， 其特征在于， 所述 告警单元还包括：

所述响应子单元， 用于阻止后继攻击行为进行攻击；

所述权重管理子单元， 用于更新由所述攻击行为到其最大可能后继攻 击行为的发生次数。

12、 如权利要求 11 所述预测网络攻击行为的装置， 其特征在于， 所 述权重管理子单元更新由所述攻击行为到其最大可能后继攻击行为的发 生次数，

如果所述响应子单元阻止所述最大可能后继攻击行为成功， 则所述权 重管理子单元增加由所述攻击行为到其最大可能后继攻击行为的发生次 数；

如果所述响应子单元阻止所述最大可能后继攻击行为失败， 则所述权 重管理子单元减小由所述攻击行为到其最大可能后继攻击行为的发生次 数。