[发明专利]一种基于攻击图和心理理论的入侵响应方法

权利要求书

1.一种基于攻击图和心理理论的入侵响应方法，其特征在于，包括以下步骤：

(1)利用贝叶斯攻击图建模攻击者入侵网络的过程，通过分析通用漏洞评分系统中的可利用性参数获得贝叶斯攻击图中每条边发生的概率；每台服务器和主机均由入侵检测系统进行监测，每台机器上的一种漏洞视为一个贝叶斯攻击图的节点；每个节点存在两种状态：1为节点被入侵，0为未被入侵；

(2)防御者分析攻击者的心理行为和下一时刻最有可能采取的动作，从而制定实时的响应策略，包括以下两种情况：

(2.1)防御者具有零阶信念b⁰(a_j，s)，为ToM₀防御者，攻击者不具有学习能力时，防御者通过以下步骤制定响应策略：

(2.1.1)ToM₀防御者形成防御者的零阶信念b⁰(a_j，s)；所述防御者的零阶信念b⁰(a_j，s)为防御者认为攻击者在当前状态下采取动作的概率分布，由贝叶斯攻击图获得：首先找到已入侵节点的所有子节点和未入侵叶子节点，根据贝叶斯攻击图各条边的概率大小，对已入侵节点和其所有子节点相连的边的概率以及未入侵叶子节点连接的边的概率求和，将其中一边的概率除以该概率和，即为防御者认为攻击者在当前状态下采取对应动作的概率；

(2.1.2)计算ToM₀防御者的主观值φ(a_i，b⁰(a_j，s))：

其中，a_i为防御者的动作；a_j为攻击者的动作；A_i为防御者的动作空间；A_j为攻击者的动作空间；s为系统的当前状态；s′为下一时刻状态；S为系统所有状态的集合；a_i′为下一时刻状态的防御者动作；T(s′|s，a_i，a_j)为状态转换函数，R(s，a_i，a_j，s′)为收益函数；γ为折扣因子，范围为0～1；

所述转换函数T(s′|s，a_i，a_j)包括以下三种情况：

(a)若攻击图的节点k是防御者正在修复的节点，则该节点状态s_k＝0，T(s′＝0|s，a_i，a_j)＝1；

(b)若节点k是与节点，且节点k的所有父节点的状态都为1，则该节点状态为1的概率为

其中，Ψ_k为节点k的父节点u的集合，p(e_uk)为攻击图中父节点u相连的边e_uk发生的概率；

(c)若节点k是或节点，存在至少一个父节点的状态为1，则该节点状态为1的概率为

所述收益函数R(s，a_i，a_j，s′)由以下公式计算得到：

R(s，a_i，a_j，s′)＝w_o×(perf_d-dam_a)-w_c×C_d

其中，perf_d为防御者实施响应动作后带来的安全效益；dam_a为攻击者带来的危害，由通用漏洞评分系统中的影响子因子分数计算得到；C_d为防御者付出的时间成本；w_o，w_c为权重，取值范围均为0～1；

(2.1.3)ToM₀防御者选择一个防御动作a_i使其主观值最大化：

(2.2)防御者拥有一阶信念，为ToM₁防御者；攻击者具有零阶信念b⁰(a_i，s)，为ToM₀攻击者时，防御者通过以下步骤制定响应策略：

(2.2.1)ToM₀攻击者形成零阶信念b⁰(a_i，s)，ToM₁防御者关于ToM₀攻击者形成一阶信念；

所述攻击者的零阶信念b⁰(a_i，s)为攻击者认为防御者在当前状态下采取动作的概率分布，由贝叶斯攻击图获得：首先找到已入侵节点及其所有子节点和未入侵叶子节点，根据贝叶斯攻击图节点的出度大小，对已入侵节点及其所有子节点和未入侵叶子节点的出度求和，将一节点的出度除以该出度和，即为攻击者认为防御者在当前状态下采取对应动作的概率；

所述一阶信念为防御者认为在当前状态下攻击者认为防御者采取防御措施的概率分布；

(2.2.2)计算ToM₀攻击者的主观值φ(a_j，b⁰(a_i，s))：

其中，a_j′为下一时刻状态的攻击者动作；

(2.2.3)ToM₁防御者认为，ToM₀攻击者会选择使其主观值最大的攻击动作a_j来入侵系统，该攻击动作a_j由下式确定：

ToM₁防御者根据该攻击动作a_j采取相应的动作a_i；

所述防御者的动作a_i为针对漏洞进行修复；所述攻击者的动作a_j为实施漏洞利用；所述防御者的动作空间A_i为修复漏洞的安全措施的集合；所述攻击者的动作空间A_j为系统中所有机器上存在的漏洞集合。