[发明专利]基于隐马尔可夫模型的网络入侵场景构建方法

权利要求书

1、一种基于隐马尔可夫模型的网络入侵场景构建方法，其步骤如下：

1.1、入侵报警数据预处理

利用改进的报警聚合方法对原始报警数据进行预处理：首先计算原始报警数据的报警时间、报警名、端口号和IP地址属性之间的差异度，而后通过加权求和的方法得到原始报警之间的整体差异度，按照报警数据的整体差异度对原始报警数据进行聚类分析，得到超报警；

1.2、报警关联

1.21、描述网络攻击的隐马尔可夫模型

将预处理阶段得到的超报警序列作为隐马尔可夫模型的观察值；将攻击本体中定义的抽象攻击作为隐马尔可夫模型的隐藏状态；

1.22、利用改进的Viterbi算法进行关联分析，得到代表抽象入侵场景的状态转移序列；

1.3、通过回溯处理构建入侵场景

对这些状态转移序列按时序和逻辑约束条件进行回溯处理得到入侵场景。

2、根据权利要求1所述的基于隐马尔可夫模型的网络入侵场景构建方法，其特征是：

原始报警数据各属性值差异度的具体计算方法如下：

2.1、报警时间

用时间窗T来表示可以聚合的报警间最大的时间间隔，即只有当公式：

|alert_i.time-alert_j.time|＜T

满足时，才可以将两条报警信息进行聚合；

2.2、报警名与端口号

定义如下公式计算报警名之间的差异：

disijname=1,alerti.name≠alertj.name0,alerti.name=alertj.name]]>

当两条报警信息的报警名相同时，其差异度为0，不相同时为1；

按照报警名的差异度计算方法分别定义报警alert_i和alert_j端口号之间的差异度计算公式为：

disijport=1,alerti.port≠alertj.port0,alerti.port=alertj.port]]>

2.3、IP地址

IP地址差异度计算方法如下：

对于任意两个IP地址IP₁(n₁₁.n₁₂.n₁₃.n₁₄)和IP₂(n₂₁.n₂₂.n₂₃.n₂₄)，差异度为：

2.4、原始报警整体差异度的计算方法为：

dijalert=dijname+dijsport+dijdport+dijsip+dijdipnum]]>

其中num表示参与计算的属性个数；

2.5、利用原始报警的整体差异度和给定的阈值T，通过报警聚合，将包含大量报警的原始报警序列<alert₁，alert₂，…，alert_n>，转换为规模较小的超报警序列<Hyper_alert₁，Hyper_alert₂，…，Hyper_alert_m>，其中m≤n，阈值T和超报警的语义描述存储在关联知识库中。