[发明专利]一种基于贝叶斯网络的多步攻击安全态势评估方法

摘要

本发明涉及网络安全态势评估方法，旨在提供一种基于贝叶斯网络的多步攻击安全态势评估方法，方法包括：首先通过关联分析挖掘多步攻击发生模式构建攻击图；然后根据多步攻击图建立贝叶斯网络，将攻击意愿、攻击成功概率、事件监测正确率定义为贝叶斯网络概率属性；结合事件监测，通过贝叶斯网络后验推理和累积概率计算多步攻击风险；采用层次化量化评估方法对主机及整个网络的安全态势进行量化评估；本发明解决了网络安全态势评估过程中缺乏关联性分析的问题，并把监测事件考虑到风险评估中，准确的建立网络安全态势评估模型，增强了本发明的有效性和实时性。

主权项

1.一种基于贝叶斯网络的多步攻击安全态势评估方法，其特征在于，包括：步骤A、通过频繁项挖掘得到多步攻击发生模式，用于构建攻击图，运用窗口滑动机制将安全事件告警数据生成候选序列集合，从候选序列集合中挖掘出多步攻击序列；步骤B、运用多步攻击图建立贝叶斯网络，在攻击图的基础上加入攻击所期望系统所达到的系统状态属性，同时在贝叶斯网络中加入事件观测节点；步骤C、将攻击信息加入到贝叶斯网络攻击图中，通过贝叶斯网络后验推理和累积概率计算多步攻击风险；步骤D、采用层次化量化评估方法对主机及整个网络的安全态势进行量化评估；所述步骤A包括：步骤A1，从网络中获取历史安全告警事件A_i(A_i.time,A_i.s‑ip,A_i.s‑port,A_i.d‑ip,A_i.d‑port,s_pre,s_post,a_i,a_item)，A_i.time为告警发生的时间；A_i.s‑ip和A_i.d‑ip为源IP和目的IP，A_i.s‑port和A_i.d‑port为源端口和目的端口，s_pre为攻击行为所需主机前提状态，s_post为攻击成功目的主机所处的状态，a_i为攻击类型标签,a_item报警序列号；步骤A2，将历史攻击库中原子攻击按照时间属性排序，将排序后的原子攻击类型标签作为攻击序列集，设定窗口时间T_W，逐步向后滑动时间窗口，直至遍历完整个攻击序列集的所有元素，产生候选攻击序列集合AS＝(as₁,as₂…as_n)，as_n是候选攻击序列；步骤A3，在候选攻击序列集中，基于挖掘关联规则的频繁项集Apriori算法挖掘最大频繁攻击序列集，然后将得到的频繁项序列集通过原子攻击报警序列号，根据时间属性对频繁项攻击序列再次排序，最后从频繁项序列集中找出最大频繁。