[发明专利]一种预测网络攻击行为的方法及装置

说明书

技术领域

本发明涉及网络通信安全领域，特别是涉及一种预测网络攻击行为的方法及装置。

背景技术

随着计算机网络技术的飞速发展，社会的信息化程度不断提高，网络在给人们带来巨大的经济效益和社会效益的同时，也面临着日益严重的安全问题，针对网络的攻击层出不穷。攻击数量、种类越来越多；攻击越来越复杂；对依赖网络的用户危害也越来越大。因此对网络攻击行为特点的深入研究势在必行。

对网络攻击的研究不能仅从攻击的个体出发，需要对整个网络攻击系统有整体的认识。但一方面攻击行为的复杂性、多样性，难于归纳总结，特别是针对大规模网络的描述，就更加困难。另一方面现有的攻击模型大多应用于入侵检测，很少有从预警的角度对网络攻击行为进行描述分析。

如今大部分关于网络攻击的描述集中于归纳、分类漏洞和攻击方法上。比如一种利用攻击树模型的描述方法，使用树来表示攻击行为之间的关联，树的每个节点表示攻击的最终目标。攻击树直观、易于理解，但是它不区分攻击行为和攻击结果，难以利用攻击树模型进行攻击预警。另外一种是基于对离散并行系统的数学表示Petri网的攻击网描述方法，使用Petri网的库所(Place)表示攻击的阶段，变迁(Transition)表示攻击行为，有向弧(Connection)表示攻击过程。还有一种表示攻击过程的方法是状态转换图。攻击过程表示为系统状态之间的迁移，通过检测攻击过程的各个状态是否得到了满足判断是否发生了攻击，可以根据已检测到的攻击行为预测系统将会达到的危害状态，但并没有考虑各种攻击过程之间的关系。

现有入侵检测技术通过匹配已知攻击方法的特征对攻击行为进行检测。如Snort的入侵规则集通过单包特征对攻击进行检测。STATL语言基于状态和状态转移对攻击行为进行描述，为基于状态图的入侵检测系统提供入侵特征库。ESTQ方法通过<事件，协议状态，时间关系，数量关系>对网络协议攻击进行描述。IDIOT采用有色petri网对入侵进行建模和检测。

现有技术的另一种网络入侵行为和正常行为的形式化描述方法是以ASSQ四元组为理论基础，在已有Petri网模型的基础上进行了重新定义和修改，可以应用在各种入侵检测和相关系统中，用来跟踪、检测入侵行为，区分系统正常行为和入侵行为。这项技术是ESTQ方法和petri网相结合的描述方法。ASSQ四元组是ESTQ方法的改进，是对入侵行为的总体上的描述，对攻击在系统状态和网络事件中表现出来的时间和数量上的关系进行分析，通过重新定义的Petri网模型来实现对四元组的描述。

在实现本发明过程中，发明人发现现有技术至少存在如下问题：现有技术要么对攻击过程中攻击行为的描述过于简单，不能对攻击过程进行清晰的描述，没有体现出大规模网络攻击的整体性，不适用于宏观网络。要么只是单纯通过四元组对入侵行为进行定义，并以petri网描述入侵过程，没有进一步提出如何对下一步入侵行为进行预测和描述。

发明内容

本发明实施例要解决的问题是提供一种预测网络攻击行为的方法及装置。

为达到上述目的，本发明的一个实施例的技术方案提供一种预测网络攻击行为的方法，包括以下步骤：建立攻击行为名称、攻击行为状态与所述攻击行为的后继攻击行为之间的对应关系；建立后继攻击行为名称、后继攻击行为状态、由所述攻击行为到后继攻击行为的发生次数以及阻止最大可能后继攻击行为发生的策略之间的对应关系；监测网络状态参数，根据网络状态参数的变化，获得攻击行为；根据所述攻击行为与后继攻击行为的对应关系，从所述攻击行为对应的后继攻击行为中选择一个最大可能后继攻击行为，其中，所述最大可能后继攻击行为是与所述攻击行为对应的后继攻击行为中发生次数最多的一个；将所述最大可能后继攻击行为作为预测的网络攻击行为输出；对所述最大可能后继攻击行为进行阻止，如果阻止成功，则增加由所述攻击行为到所述最大可能后继攻击行为的发生次数，如果阻止失败，则减小由所述攻击行为到所述最大可能后继攻击行为的发生次数。