[发明专利]基于隐马尔可夫和概率推断的入侵意图识别系统及方法

摘要

本发明请求保护一种基于隐马尔可夫和概率推断的入侵意图识别系统及方法，属于计算机安全技术领域。首先，由于攻击事件、子目标、意图三者之间存在的因果关系，建立层次贝叶斯网络(HBN)来表示其同层与层间的因果关系。其次，子目标层具有明显的时序特征，基于隐马尔可夫模型(HMM)对子目标层和意图层的隐藏关系进行学习。最后，提出多输出隐马尔可夫模型(MO_HMM)，通过引入带环置信度传播算法(LBP)优化HMM中前向算法和后向算法单一概率输出的问题，使其可以报送多个可能意图及其概率。

主权项

1.一种基于隐马尔可夫和概率推断的入侵意图识别系统，其特征在于，包括入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块，其中入侵数据获取模块用于获取入侵数据源，入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999，DARPA 1999评测数据给出了3周带有攻击的模拟数据，包含了属于58种类型的201次攻击实例，其中40种攻击类型并没有在第二周的训练数据中出现，属于新的攻击类型；攻击模型构建模块，用于构建攻击模型，所述攻击模型分为三层节点，分别是攻击事件层、子目标层以及意图层，首先，对源IP地址、目的IP地址及报警类型相同，但攻击时间不同的报警聚合成超级报警，删除重复报警；其次，根据超级报警之间的时序关系，对超级报警进行关联并提取报警序列，再通过隶属度计算归并到较高目标层中；最后，提取三种节点之间的关系，建立层次贝叶斯网络，从纵向和横向表示其相互之间的因果关系；模型参数训练模块，用于将子目标层作为观测集，进而将意图层作为隐状态，子目标层和意图层抽象为隐马尔可夫模型，进行模型参数估计，输入观察到的攻击子目标序列集，输出模型λ＝(A,B,π)，其中A为状态转移矩阵，B是混淆矩阵，π为意图初始概率；预测分析模块，用带环的置信度传播算法来预测得到不同事件序列下产生多意图的概率。