[发明专利]一种预测网络攻击行为的方法及装置

权利要求书

1.一种预测网络攻击行为的方法，其特征在于，包括以下步骤：

建立攻击行为名称、攻击行为状态与所述攻击行为的后继攻击行为之间的对应关系；建立后继攻击行为名称、后继攻击行为状态、由所述攻击行为到后继攻击行为的发生次数以及阻止最大可能后继攻击行为发生的策略之间的对应关系；

监测网络状态参数，根据网络状态参数的变化，获得攻击行为；

根据所述攻击行为与后继攻击行为的对应关系，从所述攻击行为对应的后继攻击行为中选择一个最大可能后继攻击行为，其中，所述最大可能后继攻击行为是与所述攻击行为对应的后继攻击行为中发生次数最多的一个；

将所述最大可能后继攻击行为作为预测的网络攻击行为输出；

对所述最大可能后继攻击行为进行阻止，如果阻止成功，则增加由所述攻击行为到所述最大可能后继攻击行为的发生次数，如果阻止失败，则减小由所述攻击行为到所述最大可能后继攻击行为的发生次数。

2.如权利要求1所述预测网络攻击行为的方法，其特征在于，如果所述攻击行为是唯一确定的攻击行为，则在所述攻击行为的所有后继攻击行为中查找最大可能后继攻击行为。

3.如权利要求1所述预测网络攻击行为的方法，其特征在于，如果所述攻击行为是多个可能攻击行为，则在多个可能攻击行为中查找共同的最大可能后继攻击行为。

4.如权利要求1所述预测网络攻击行为的方法，其特征在于，增加或减小由所述攻击行为到所述最大可能后继攻击行为的发生次数，具体为：

如果所述攻击行为是唯一确定的攻击行为，则由所述攻击行为到所述最大可能后继攻击行为的发生次数增加或减小1；

如果所述攻击行为是多个可能攻击行为之一，则由所述攻击行为到所述最大可能后继攻击行为的发生次数增加或减小β/k，其中β在0至1之间取值，k是可能攻击行为的个数。

5.如权利要求1所述预测网络攻击行为的方法，其特征在于，在建立后继攻击行为名称、后继攻击行为状态、由所述攻击行为到后继攻击行为的发生次数以及阻止最大可能后继攻击行为发生的策略之间的对应关系之后，还包括以下步骤：

判断由所述攻击行为到后继攻击行为的发生次数是否小于权重阈值；

如果是，则屏蔽所述后继攻击行为及由所述攻击行为到所述后继攻击行为的指向关系。

6.如权利要求5所述预测网络攻击行为的方法，其特征在于，如果被屏蔽的所述后继攻击行为的前驱攻击行为发生攻击，则取消对所述后继攻击行为的屏蔽，并取消对由所述前驱攻击行为到其所有后继攻击行为的指向关系的屏蔽。

7.一种预测网络攻击行为的装置，其特征在于，包括：

第一单元，用于建立攻击行为名称、攻击行为状态与所述攻击行为的后继攻击行为之间的对应关系；建立后继攻击行为名称、后继攻击行为状态、由所述攻击行为到后继攻击行为的发生次数以及阻止最大可能后继攻击行为发生的策略之间的对应关系；

第二单元，用于监测网络状态参数，根据网络状态参数的变化，获得攻击行为；

第三单元，用于根据所述攻击行为与后继攻击行为的对应关系，从所述攻击行为对应的后继攻击行为中选择一个最大可能后继攻击行为，其中，所述最大可能后继攻击行为是与所述攻击行为对应的后继攻击行为中发生次数最多的一个；

第四单元，用于将所述最大可能后继攻击行为作为预测的网络攻击行为输出；

第五单元，用于对所述最大可能后继攻击行为进行阻止，如果阻止成功，则增加由所述攻击行为到所述最大可能后继攻击行为的发生次数，如果阻止失败，则减小由所述攻击行为到所述最大可能后继攻击行为的发生次数。