一种基于概率推理的网络入侵意图识别方法

摘要

本发明涉及一种基于概率推理的网络入侵意图识别方法，包括以下步骤：1、创建目标库，包括目标知识表、事件目标映射表、统计表和目标链表；2、通过报警信息找到对应攻击目标，更新目标链；3、依次取出目标链表中的各个目标链，分别进行目标预测和入侵意图的识别。本发明将入侵检测系统的报警抽象成攻击目标，在目标层次上进行因果关联来理解攻击行为和预测后续攻击目标，识别其真实意图，忽略了攻击细节，提高了计算效率，也便于处理出现并发意图的情况。

主权项

一种基于概率推理的网络入侵意图识别方法，包括以下步骤：设事件是攻击者的行为描述，事件的属性包括名称、时间、源IP地址和目的IP地址；目标是攻击者愿望的描述，目标的属性包括名称、时间、源IP地址、目的IP地址、前提集和后果集；目标名称是该阶段攻击目的的描述，前提集是实现该目标需要满足的前提条件集合，后果集是该目标实现后造成的后果集合；如果目标Ga和目标Gb满足：Ga与Gb的源IP地址、目的IP地址分别相同，且Ga的后果集与Gb的前提集相同，同时Ga的发生时间早于Gb的发生时间，则Ga与Gb可以因果关联，构成目标链；步骤一、创建目标库：目标库包括目标知识表、事件目标映射表、统计表和目标链表；目标知识表中存放目标名称、前提集和后果集；事件目标映射表包括事件名称和目标名称，用于描述事件和目标之间的对应关系；统计表用于存放历史数据，包括某目标发生的次数、该目标与其它目标构成目标链的次数；目标链表用于存放实时更新的目标链；步骤二、通过报警信息找到对应攻击目标，更新目标链，具体步骤为：第(1)步：当收到入侵检测系统的报警信息A1，从中提取报警名称、时间、源IP地址、目的IP地址信息，构成一个安全事件E1；第(2)步：查询目标库中的事件目标映射表，根据事件与目标的映射关系，找到该事件E1对应的目标G1，并从目标知识表中提取该目标的前提集和后果集，同时将事件E1的时间、源IP地址、目的IP地址信息赋给目标G1；第(3)步：依次取出目标链表中各个目标链的最后一个目标Ge，如果目标G1与Ge满足：I.G1与Ge除了时间以外其它属性相同，则属于重复报警或攻击者重复攻击动作，则将目标G1舍去；II.G1与Ge构成目标链，则将G1存入该目标链的最后，并在统计表中累计G1发生的次数和Ge与G1构成目标链的次数；III.G1与目标链表中的所有目标均不满足I、II的关系，则将G1作为一条新的目标链，单独存放在目标链表中，并在统计表中累计G1发生的次数；如果目标链为空，直接将G1作为目标链存在目标链表中，并在统计表中累计目标G1发生的次数；步骤三、预测目标，识别入侵意图：依次取出目标链表中的各个目标链，均按如下操作分别进行目标预测和入侵意图的识别：第(1)步：取出目标链的最后一个目标的后果集作为匹配条件，在目标库中搜索前提集与之相同的所有目标作为预测目标，并根据下式分别计算这些目标发生的概率；P(Goali，Goali+1)＝αP0(Goali，Goali+1)+(1‑α)Q(Goali，Goali+1)/Q(Goali)式中：P0(Goali，Goali+1)为初始概率，取值范围为[0，1]；Q(Goali，Goali+1)为统计表中目标Goali后目标Goali+1出现的次数；Q(Goali)为统计表中目标Goali出现的次数；α为调节因子，0＜α＜1，决定了统计数据所占的比例；第(2)步：分别取出各个预测目标的后果集作为匹配条件继续搜索后续目标，直到完毕，最终的目标作为攻击者的入侵意图，其概率为各级预测目标概率的乘积。