[发明专利]基于两层贝叶斯网络模型的网络安全推断方法

说明书

本发明公开了一种基于两层贝叶斯网络模型的网络安全推断方法及推断系统，包括对网络攻击数据进行预处理；预先构建两层贝叶斯网络模型框架；利用贝叶斯网络结构学习方法在每一层利用网络攻击预处理后的数据构建贝叶斯网络结构；分别对第一层和第二层框架中的贝叶斯网络中重要节点的马尔科夫边界节点重要程度进行排序，取马尔科夫边界节点重要程度排序在前的节点作为关键的观察节点；输出关键的观察节点。本发明通过对每一层模型中的重要节点的马尔科夫边界节点的最大JSD值进行排序，得到关键的观察节点，从而在对网络攻击进行安全检测时，可更快对可能攻击点做出反应，是对现有网络监控系统功能的一种有效改进。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于两层贝叶斯网络模型的网络安全推断方法及推断系统。

背景技术

目前的主流网络监控系统提供的大都是统计指标，如某个时段的全局平均网络流量、个体平均网络流量、异常流量等，管理人员可以对网络的总体情况进行宏观掌握。在攻击检测方面，传统的入侵检测系统(Intrusion Detection System，IDS)大部分利用既定规则对网络攻击进行检测，或是利用机器学习方法对异常进行检测，这些方法通常基于黑盒模型(black-box model)，使用者不能了解为何产生了报警，在进行安全事件的处理或溯源时有较大的困难。通常，一次网络攻击的发动会产生很多的连带反应，会反映在网络的一些数据中，IDS通常只会给出自身的判断结果，不能对实际意义进行解释。

现有的网络监控系统多半显示统计指标，网络管理员要根据这些统计指标和自身经验对目前可能的异常行为进行分析。对于整合了IDS的监控系统，这些系统通常会给当前监控环境提供定量化的评分，这个评分可以给管理人员提供参考。但是，在一些具体的攻击发生时，网络管理人员通常要对大量日志进行分析来找到攻击发生的原因并进行修复，这种方式极大浪费了管理人员的时间和精力。同时，在网络的攻击行为中，不同的攻击类型数据在一个公司的内部数据中量上会有较大差距，有些攻击类型数据量丰富，在分类器模型中对该类型的攻击进行了较好的建模，而有些则数据量很少，对这些类型的攻击的建模就难以很好的进行。现有模型多是将所有数据均放在一个分类器中，所使用的分类器不能对自身的实际意义进行分析，属于黑盒模型。

概率图模型在网络安全领域具有广泛的应用，可以刻画不同攻击场景中的变量之间的关系。然而，在网络安全领域不同类型的网络攻击数据量不同，直接对所有攻击类型进行建模的话会对一些数据集中数据量很少的攻击遗漏，难以达到很好的识别效果。

贝叶斯网络是利用广泛的概率图模型，可以表征网络中不同节点之间的关系，并通过条件概率表来对这种依赖关系进行定量表示。贝叶斯网络通常与攻击图结合形成贝叶斯攻击图来对攻击者的一次完整的渗透攻击行为进行建模，不过这种方式通常较为宏观，不涉及到底层指标的利用。

发明内容

本发明提供一种基于两层贝叶斯网络模型的网络安全推断方法及推断系统，用于克服现有技术中网络攻击检测的范围较大、对人工观测的依赖性强等缺陷，实现对网络攻击进行检测，并能追踪到攻击点且减轻管理人员日常观测压力。

为解决上述问题，本发明采用的技术方案是：构建两层贝叶斯网络，对贝叶斯网络中重要节点的马尔科夫边界节点利用杰森-香农散度值(Jensen– Shannon divergence，JSD)进行分析，找到马尔科夫边界节点的重要度排序，为管理人员对不同攻击类型进行观测提供依据。具体的网络安全推断方法如下：

一种基于两层贝叶斯网络模型的网络安全推断方法，包括以下步骤：

步骤1，对网络攻击数据中的连续型数据离散化；

步骤2，预先构建两层贝叶斯网络模型框架；其中第一层模型框架对攻击大类进行分类，所述攻击大类包含有多种子攻击类型，第二层模型框架对所述第一层模型框架中的每一个攻击大类进行细分类；