[发明专利]基于两层贝叶斯网络模型的网络安全推断方法

权利要求书

1.一种基于两层贝叶斯网络模型的网络安全推断方法，其特征在于，包括以下步骤：

步骤1，对网络攻击数据中的连续型数据离散化；

步骤2，预先构建两层贝叶斯网络模型框架；其中第一层模型框架对攻击大类进行分类，所述攻击大类包含有多种子攻击类型，第二层模型框架对所述第一层模型框架中的每一个攻击大类进行细分类；

步骤3，利用贝叶斯网络结构学习在所述第一层模型框架和第二层模型框架分别利用对网络攻击数据进行预处理后的数据构建贝叶斯网络结构；

步骤4，分别对第一层模型框架和第二层模型框架中的贝叶斯网络结构中重要节点的马尔科夫边界节点重要程度进行排序，所述重要节点是指贝叶斯网络中用来指示当前攻击类型的节点；

步骤5，取马尔科夫边界节点重要程度排序在前的节点作为关键的观察节点，输出所述观察节点；

所述步骤4中一个重要节点X的马尔科夫边界节点包括其父节点、子节点以及子节点的父节点，表达公式如下：

mb(X)＝π(X)∪ch(X)∪(∪_Y∈ch(X)π(Y))

其中，π(X)代表节点X的所有父节点，ch(X)代表节点X的子节点，∪_Y∈ch(X)π(Y)代表所有子节点的父节点，mb(X)表示变量X的马尔科夫边界节点；

所述步骤4中马尔科夫边界节点重要程度的排序步骤包括：

步骤41，设得到的两层模型框架中的全部贝叶斯网络数量为N_bn，对于每个贝叶斯网络BN_i(i＝1，2，...，N_bn)进行下一个步骤；

步骤42，计算每个马尔科夫边界节点指标值，获取最大JSD(Max Jensen-Shannondivergence，最大杰森-香农散度)指标值；

步骤43，判断当前是否有BN剩余：若有，返回步骤42；若没有，进行下一步骤；

步骤44，对每个马尔科夫边界节点的最大JSD指标值进行排序，形成一个排序序列；

所述步骤42中最大JSD指标值的计算步骤为：

步骤421，设重要节点X_t的马尔科夫边界为mb(X_t)＝{X₁，...，X_i，...，X_M}，i＝1，2，...，M，M表示重要节点X_t的马尔科夫边界节点数量，节点X_i有r_i个可能的取值；

步骤422，改变重要节点X_t的马尔科夫边界中一个节点X_i的观测值，采用联结树算法(junction tree algorithm)计算重要节点X_t在马尔科夫边界节点X_i的取值为e时的后验概率分布P(X_t|X_i＝e)，一个马尔科夫边界节点X_i可以计算得到重要节点X_t的r_i个后验概率分布；

步骤423，计算JSD值：

其中P₁、P₂表示重要节点X_t在马尔科夫边界节点X_i值变化时的任意两个后验概率分布值，依次计算每两个后验概率分布值的JSD值，则对于重要节点X_t的马尔科夫边界节点X_i，共有个组合，相应计算出个JSD值

其中，KL代表KL(Kullback-Leibler divergence)散度，其计算公式为：

p和q为两个后验概率分布，p(x_i)、q(x_i)代表相应后验概率分布中取值为x_i时对应的概率值；

步骤424，获得重要节点X_t的所有马尔科夫边界节点X_i的JSD值后，计算最大JSD指标值：

JSD_max(X_i)表示马尔科夫边界节点X_i的最大JSD值，JSD_j表示马尔科夫边界节点X_i的第j个JSD值。