一种基于概率推理的网络入侵意图识别方法技术

本发明专利技术涉及一种基于概率推理的网络入侵意图识别方法，包括以下步骤：１．创建目标库，包括目标知识表、事件目标映射表、统计表和目标链表；２．通过报警信息找到对应攻击目标，更新目标链；３．依次取出目标链表中的各个目标链，分别进行目标预测和入侵意图的识别。本发明专利技术将入侵检测系统的报警抽象成攻击目标，在目标层次上进行因果关联来理解攻击行为和预测后续攻击目标，识别其真实意图，忽略了攻击细节，提高了计算效率，也便于处理出现并发意图的情况。

【技术实现步骤摘要】

【技术保护点】
一种基于概率推理的网络入侵意图识别方法，包括以下步骤：　设事件是攻击者的行为描述，事件的属性包括名称、时间、源ＩＰ地址和目的ＩＰ地址；　目标是攻击者愿望的描述，目标的属性包括名称、时间、源ＩＰ地址、目的ＩＰ地址、前提集和后果集； 目标名称是该阶段攻击目的的描述，前提集是实现该目标需要满足的前提条件集合，后果集是该目标实现后造成的后果集合；　如果目标Ｇａ和目标Ｇｂ满足：Ｇａ与Ｇｂ的源ＩＰ地址、目标ＩＰ地址分别相同，且Ｇａ的后果集与Ｇｂ的前提集相同，同时Ｇａ的发生 时间早于Ｇｂ的发生时间，则Ｇａ与Ｇｂ可以因果关联，构成目标链；　步骤一、创建目标库：　目标库包括目标知识表、事件目标映射表、统计表和目标链表；　目标知识表中存放目标名称、前提集和后果集；　事件目标映射表包括事件名称和 目标名称，用于描述事件和目标之间的对应关系；　统计表用于存放历史数据，包括某目标发生的次数、该目标与其它目标构成目标链的次数；　目标链表用于存放实时更新的目标链；　步骤二、通过报警信息找到对应攻击目标，更新目标链，具体步骤 为：　第（１）步：当收到入侵检测系统的报警信息Ａ１，从中提取报警名称、时间、源ＩＰ地址、目标ＩＰ地址信息，构成一个安全事件Ｅ１；　第（２）步：查询目标库中的事件目标映射表，根据事件与目标的映射关系，找到该事件Ｅ１对应的目标Ｇ１， 并从目标知识表中提取该目标的前提集和后果集，同时将事件Ｅ１的时间、源ＩＰ地址、目标ＩＰ地址信息赋给目标Ｇ１；　第（３）步：依次取出目标链表中各个目标链的最后一个目标Ｇｅ，如果目标Ｇ１与Ｇｅ满足：　Ⅰ．Ｇ１与Ｇｅ除了时间以外其它属 性相同，则属于重复报警或攻击者重复攻击动作，则将目标Ｇ１舍去；　Ⅱ．Ｇ１与Ｇｅ构成目标链，则将Ｇ１存入该目标链的最后，并在统计表中累计Ｇ１发生的次数和Ｇｅ与Ｇ１构成目标链的次数；　Ⅲ．Ｇ１与目标链表中的所有目标链均不满足Ⅰ、Ⅱ的 关系，则将Ｇ１作为一条新的目标链，单独存放在目标链表中，并在统计表中累计Ｇ１发生的次数；　如果目标链为空，直接将Ｇ１作为目标链存在目标链表中，并在统计表中累计目标Ｇ１发生的次数；　步骤三、预测目标，识别入侵意图：　依次取出 目标链表中的各个目标链，均按如下操作分别进行目标预测和入侵意图的识别：　第（１）步：取出目标链的最后一个目标的后果集作为匹配条...

【技术特征摘要】

【专利技术属性】
技术研发人员：胡昌振，彭武，姚淑萍，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：11[中国|北京]