[发明专利]网络攻击类型的预测方法、装置及存储介质

权利要求书

1.一种网络攻击类型的预测方法，其特征在于，所述方法包括：

获取多个历史时段中各历史时段内网络攻击的攻击类型列表；

基于所述各历史时段内网络攻击的攻击类型列表，对攻击类型进行频繁项挖掘，得到频繁攻击类型、频繁攻击类型组，以及各频繁攻击类型的支持度、各频繁攻击类型组的支持度；

将每两个频繁攻击类型进行组合，得到多个攻击类型对，并根据包含该两个频繁攻击类型的所有频繁攻击类型组的支持度，计算每一攻击类型对的总支持度；

针对每个攻击类型对，基于该攻击类型对的总支持度，该攻击类型对中第一频繁攻击类型的支持度，计算前向置信度，并基于该攻击类型对的总支持度，该攻击类型对中第二频繁攻击类型的支持度，计算后向置信度；

判断所述前向置信度和所述后向置信度的大小关系；

若所述前向置信度大于所述后向置信度，根据所述前向置信度和所述后向置信度计算前向衍生系数，并将所述前向衍生系数确定为由所述第一频繁攻击类型衍生所述第二频繁攻击类型的衍生系数，其中，所述前向衍生系数与所述前向置信度正相关，与所述后向置信度负相关；

若所述前向置信度不大于所述后向置信度，根据所述前向置信度和所述后向置信度计算后向衍生系数，并将所述后向衍生系数确定为由所述第二频繁攻击类型衍生所述第一频繁攻击类型的衍生系数，其中，所述后向衍生系数与所述前向置信度负相关，与所述后向置信度正相关；

基于所述衍生系数，预测网络攻击的攻击类型。

2.根据权利要求1所述的方法，其特征在于，所述获取多个历史时段中各历史时段内网络攻击的攻击类型列表的步骤，包括：

从入侵防御系统IPS的告警日志中获取预设时段内网络攻击的攻击事件信息；其中，每个攻击事件信息包括攻击时间和攻击类型；

基于攻击事件的攻击时间，以及预设的各历史时段的时长，将攻击事件划分至多个历史时段；

针对每个历史时段，根据该历史时段内攻击事件的攻击类型，生成该历史时段内网络攻击的攻击类型列表。

3.根据权利要求1所述的方法，其特征在于，所述根据所述前向置信度和所述后向置信度计算前向衍生系数的步骤，包括：

基于如下公式计算所述前向衍生系数：

其中，X表示所述第一频繁攻击类型，Y表示所述第二频繁攻击类型，conf(X→Y)表示所述前向置信度，conf(Y→X)表示所述后向置信度，y(X→Y)表示所述前向衍生系数；

所述根据所述前向置信度和所述后向置信度计算后向衍生系数的步骤，包括：

基于如下公式计算所述后向衍生系数：

其中，X表示所述第一频繁攻击类型，Y表示所述第二频繁攻击类型，conf(X→Y)表示所述前向置信度，conf(Y→X)表示所述后向置信度，y(Y→X)表示所述后向衍生系数。

4.根据权利要求1所述的方法，其特征在于，所述基于所述衍生系数，预测网络攻击的攻击类型的步骤，包括：

确定待预测攻击类型，所述待预测攻击类型为当前发生的网络攻击的攻击类型；

确定由所述待预测攻击类型衍生其他候选攻击类型的每一衍生系数；

从所确定的衍生系数中选取最大的衍生系数，将该最大的衍生系数对应的候选攻击类型确定为所预测的攻击类型。