一种基于概率推理的网络入侵意图识别方法技术

技术编号:3844389 阅读:215 留言:0更新日期:2012-04-11 18:40
本发明专利技术涉及一种基于概率推理的网络入侵意图识别方法,包括以下步骤:1.创建目标库,包括目标知识表、事件目标映射表、统计表和目标链表;2.通过报警信息找到对应攻击目标,更新目标链;3.依次取出目标链表中的各个目标链,分别进行目标预测和入侵意图的识别。本发明专利技术将入侵检测系统的报警抽象成攻击目标,在目标层次上进行因果关联来理解攻击行为和预测后续攻击目标,识别其真实意图,忽略了攻击细节,提高了计算效率,也便于处理出现并发意图的情况。

【技术实现步骤摘要】

【技术保护点】
一种基于概率推理的网络入侵意图识别方法,包括以下步骤: 设事件是攻击者的行为描述,事件的属性包括名称、时间、源IP地址和目的IP地址; 目标是攻击者愿望的描述,目标的属性包括名称、时间、源IP地址、目的IP地址、前提集和后果集; 目标名称是该阶段攻击目的的描述,前提集是实现该目标需要满足的前提条件集合,后果集是该目标实现后造成的后果集合; 如果目标Ga和目标Gb满足:Ga与Gb的源IP地址、目标IP地址分别相同,且Ga的后果集与Gb的前提集相同,同时Ga的发生 时间早于Gb的发生时间,则Ga与Gb可以因果关联,构成目标链; 步骤一、创建目标库: 目标库包括目标知识表、事件目标映射表、统计表和目标链表; 目标知识表中存放目标名称、前提集和后果集; 事件目标映射表包括事件名称和 目标名称,用于描述事件和目标之间的对应关系; 统计表用于存放历史数据,包括某目标发生的次数、该目标与其它目标构成目标链的次数; 目标链表用于存放实时更新的目标链; 步骤二、通过报警信息找到对应攻击目标,更新目标链,具体步骤 为: 第(1)步:当收到入侵检测系统的报警信息A1,从中提取报警名称、时间、源IP地址、目标IP地址信息,构成一个安全事件E1; 第(2)步:查询目标库中的事件目标映射表,根据事件与目标的映射关系,找到该事件E1对应的目标G1, 并从目标知识表中提取该目标的前提集和后果集,同时将事件E1的时间、源IP地址、目标IP地址信息赋给目标G1; 第(3)步:依次取出目标链表中各个目标链的最后一个目标Ge,如果目标G1与Ge满足: Ⅰ.G1与Ge除了时间以外其它属 性相同,则属于重复报警或攻击者重复攻击动作,则将目标G1舍去; Ⅱ.G1与Ge构成目标链,则将G1存入该目标链的最后,并在统计表中累计G1发生的次数和Ge与G1构成目标链的次数; Ⅲ.G1与目标链表中的所有目标链均不满足Ⅰ、Ⅱ的 关系,则将G1作为一条新的目标链,单独存放在目标链表中,并在统计表中累计G1发生的次数; 如果目标链为空,直接将G1作为目标链存在目标链表中,并在统计表中累计目标G1发生的次数; 步骤三、预测目标,识别入侵意图: 依次取出 目标链表中的各个目标链,均按如下操作分别进行目标预测和入侵意图的识别: 第(1)步:取出目标链的最后一个目标的后果集作为匹配条...

【技术特征摘要】

【专利技术属性】
技术研发人员:胡昌振彭武姚淑萍
申请(专利权)人:北京理工大学
类型:发明
国别省市:11[中国|北京]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
相关领域技术
  • 暂无相关专利