專利名稱::一種預(yù)測網(wǎng)絡(luò)攻擊行為的方法及裝置的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及網(wǎng)絡(luò)通信安全領(lǐng)域,特別是涉及一種預(yù)測網(wǎng)絡(luò)攻擊行為的方法及裝置��。
背景技術(shù):
:隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展�����,社會的信息化程度不斷提高�,網(wǎng)絡(luò)在給人們帶來巨大的經(jīng)濟效益和社會效益的同時,也面臨著日益嚴(yán)重的安全問題���,針對網(wǎng)絡(luò)的攻擊層出不窮���。攻擊數(shù)量、種類越來越多����;攻擊越來越復(fù)雜;對依賴網(wǎng)絡(luò)的用戶危害也越來越大��。因此對網(wǎng)絡(luò)攻擊行為特點的深入研究勢在必行����。對網(wǎng)絡(luò)攻擊的研究不能僅從攻擊的個體出發(fā),需要對整個網(wǎng)絡(luò)攻擊系統(tǒng)有整體的認識����。但一方面攻擊行為的復(fù)雜性���、多樣性,難于歸納總結(jié)�,特別是針對大規(guī)模網(wǎng)絡(luò)的描述,就更加困難���。另一方面現(xiàn)有的攻擊模型大多應(yīng)用于入侵檢測��,很少有從預(yù)警的角度對網(wǎng)絡(luò)攻擊行為進行描述分析����。如今大部分關(guān)于網(wǎng)絡(luò)攻擊的描述集中于歸納�����、分類漏洞和攻擊方法上�。比如一種利用攻擊樹模型的描述方法���,使用樹來表示攻擊行為之間的關(guān)聯(lián)����,樹的每個節(jié)點表示攻擊的最終目標(biāo)。攻擊樹直觀��、易于理解��,但是它不區(qū)分攻擊行為和攻擊結(jié)果����,難以利用攻擊樹模型進行攻擊預(yù)警。另外一種是基于對離散并行系統(tǒng)的數(shù)學(xué)表示Petri網(wǎng)的攻擊網(wǎng)描述方法�,使用Petri網(wǎng)的庫所(Place)表示攻擊的階段,變遷(Transition)表示攻擊行為���,有向弧(Connection)表示攻擊過程����。還有一種表示攻擊過程的方法是狀態(tài)轉(zhuǎn)換圖���。攻擊過程表示為系統(tǒng)狀態(tài)之間的遷移�����,通過檢測攻擊過程的各個狀態(tài)是否得到了滿足判斷是否發(fā)生了攻擊���,可以根據(jù)已檢測到的攻擊行為預(yù)測系統(tǒng)將會達到的危害狀態(tài)���,但并沒有考慮各種攻擊過程之間的關(guān)系。現(xiàn)有入侵檢測技術(shù)通過匹配已知攻擊方法的特征對攻擊行為進行檢測�。如Snort的入侵規(guī)則集通過單包特征對攻擊進行檢測。STATL語言基于狀態(tài)和狀態(tài)轉(zhuǎn)移對攻擊行為進行描述�,為基于狀態(tài)圖的入侵檢測系統(tǒng)提供入侵特征庫。ESTQ方法通過<事件���,協(xié)議狀態(tài)��,時間關(guān)系�,數(shù)量關(guān)系>對網(wǎng)絡(luò)協(xié)議攻擊進行描述���。IDIOT采用有色petri網(wǎng)對入侵進行建模和檢測?���,F(xiàn)有技術(shù)的另一種網(wǎng)絡(luò)入侵行為和正常行為的形式化描述方法是以ASSQ四元組為理論基礎(chǔ)��,在已有Petri網(wǎng)模型的基礎(chǔ)上進行了重新定義和修改����,可以應(yīng)用在各種入侵檢測和相關(guān)系統(tǒng)中�����,用來跟蹤、檢測入侵行為���,區(qū)分系統(tǒng)正常行為和入侵行為�。這項技術(shù)是ESTQ方法和petri網(wǎng)相結(jié)合的描述方法��。ASSQ四元組是ESTQ方法的改進��,是對入侵行為的總體上的描述����,對攻擊在系統(tǒng)狀態(tài)和網(wǎng)絡(luò)事件中表現(xiàn)出來的時間和數(shù)量上的關(guān)系進行分析,通過重新定義的Petri網(wǎng)模型來實現(xiàn)對四元組的描述���。在實現(xiàn)本發(fā)明過程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在如下問題現(xiàn)有技術(shù)要么對攻擊過程中攻擊行為的描述過于簡單,不能對攻擊過程進行清晰的描述��,沒有體現(xiàn)出大規(guī)模網(wǎng)絡(luò)攻擊的整體性��,不適用于宏觀網(wǎng)絡(luò)�。要么只是單純通過四元組對入侵行為進行定義�����,并以petri網(wǎng)描述入侵過程���,沒有進一步提出如何對下一步入侵行為進行預(yù)測和描述。
發(fā)明內(nèi)容本發(fā)明實施例要解決的問題是提供一種預(yù)測網(wǎng)絡(luò)攻擊行為的方法及裝置��。為達到上述目的����,本發(fā)明的一個實施例的技術(shù)方案提供一種預(yù)測網(wǎng)絡(luò)攻擊行為的方法,包括以下步驟監(jiān)測網(wǎng)絡(luò)狀態(tài)參數(shù)����,根據(jù)網(wǎng)絡(luò)狀態(tài)參數(shù)的變化,獲得攻擊行為���;根據(jù)攻擊行為與后繼攻擊行為的對應(yīng)關(guān)系�����,從所述攻擊行為對應(yīng)的后繼攻擊行為中選擇一個最大可能后繼攻擊行為�����,其中��,所述最大可能后繼攻擊行為是與所述攻擊行為對應(yīng)的后繼攻擊行為中發(fā)生次數(shù)最多的一個�;將所述最大可能后繼攻擊行為作為預(yù)測的網(wǎng)絡(luò)攻擊行為輸出����。本發(fā)明實施例的技術(shù)方案還提供了一種預(yù)測網(wǎng)絡(luò)攻擊行為的裝置,包括攻擊行為管理單元�����。所述攻擊行為管理單元����,用于檢測網(wǎng)絡(luò)狀態(tài)參數(shù)的變化,根據(jù)網(wǎng)絡(luò)參數(shù)發(fā)生變化����,查找到攻擊行為,根據(jù)攻擊行為與后繼攻擊行為的對應(yīng)關(guān)系���,從所述攻擊行為對應(yīng)的后繼攻擊行為中預(yù)測最大可能后繼攻擊行為�����,與現(xiàn)有技術(shù)相比���,本發(fā)明的實施例具有以下優(yōu)點本發(fā)明的實施例通過詳細描述攻擊行為過程及攻擊過程中攻擊行為之間的關(guān)系�,對后繼攻擊行為進行預(yù)測和阻止��,解決了只單一描述攻擊行為�����,沒有描述整個攻擊過程的問題�����,并且提出了預(yù)警的方法�,達到了預(yù)警的目的,從而提高了網(wǎng)絡(luò)的安全性���。圖1是本發(fā)明實施例的一種描述網(wǎng)絡(luò)攻擊行為的攻擊行為帶權(quán)有向圖的結(jié)構(gòu)圖�;圖2是本發(fā)明實施例的一種描述網(wǎng)絡(luò)攻擊行為的索引表和后繼攻擊行為表的結(jié)構(gòu)圖�;圖3是本發(fā)明實施例的一種預(yù)測網(wǎng)絡(luò)攻擊行為的流程圖;圖4是本發(fā)明實施例的一種描述網(wǎng)絡(luò)攻擊行為的攻擊支撐樹流程圖����;圖5是本發(fā)明實施例的另一種描述網(wǎng)絡(luò)攻擊行為的攻擊支撐樹流程圖���;圖6是本發(fā)明實施例的一種裝置結(jié)構(gòu)圖。具體實施例方式下面結(jié)合附圖和實施例���,對本發(fā)明的具體實施方式作進一步詳細描述。結(jié)合圖1����、圖2來具體介紹描述網(wǎng)絡(luò)攻擊行為的方法。攻擊行為與其后繼攻擊行為之間的對應(yīng)關(guān)系用攻擊行為帶權(quán)有向圖來表示�。圖1是本發(fā)明實施例的一種描述網(wǎng)絡(luò)攻擊行為的攻擊行為帶權(quán)有向圖的結(jié)構(gòu)圖,圓圈是攻擊行為帶權(quán)有向圖中的頂點�,每個頂點表示一種攻擊行為,圓圈內(nèi)的字母表示具體攻擊行為的名稱��;箭頭線是攻擊行為帶權(quán)有向圖中的弧����,弧代表由攻擊行為到后繼攻擊行為的指向關(guān)系,弧尾連接前驅(qū)攻擊行為�,弧頭指向后繼攻擊行為,例如A為前驅(qū)攻擊行為���,B��、C���、D是A的后繼攻擊行為�����;箭頭線上的字母是攻擊行為帶權(quán)有向圖中的弧的權(quán)重��,描述的是從前驅(qū)攻擊行為到后繼攻擊行為這一攻擊行為序列的歷史發(fā)生次數(shù)��。例如弧AB的權(quán)重為i�,則表示以前從攻擊行為A到攻擊行為B發(fā)生過i次���;而弧AC的權(quán)重為j�����,如果i>j�,則表明由攻擊行為A到攻擊行為B的攻擊行為序列歷史上發(fā)生次數(shù)大于由攻擊行為A到攻擊行為C的攻擊行為序列�;反之,如果i<j����,由攻擊行為A到攻擊行為C的攻擊行為序列歷史上發(fā)生次數(shù)大于由攻擊行為A到攻擊行為B的攻擊行為序列���。圖2是本發(fā)明實施例的一種描述網(wǎng)絡(luò)攻擊行為的索引表和后繼攻擊行為表的結(jié)構(gòu)圖。攻擊行為名稱�、攻擊行為狀態(tài)與后繼攻擊行為之間的對應(yīng)關(guān)系用索引表來表示,后繼攻擊行為名稱����、后繼攻擊行為狀態(tài)�、由攻擊行為到后繼攻擊行為發(fā)生次數(shù)以及阻止所述最大可能后繼攻擊行為發(fā)生的策略之間的對應(yīng)關(guān)系用后繼攻擊表來表示。根據(jù)圖1��,建立一個索引表21和多個后繼攻擊行為表22��。索引表21中每一項的結(jié)構(gòu)為name211�����,active212�����,*next_table213����。其中�,name211是攻擊行為名稱���,name∈n�����,n是攻擊行為名稱集合���;active212表示攻擊行為狀態(tài),其中Y表示該攻擊行為沒有被屏蔽��;N表示該攻擊行為被屏蔽����,active初始值均為Y。在查找攻擊行為時����,被屏蔽的攻擊行為不能夠被遍歷和查找。在攻擊行為帶權(quán)有向圖上也不顯示出來����。方便快速查找最大可能后繼攻擊行為���。*next_table213是指向后繼攻擊行為表的指針,指向該攻擊行為對應(yīng)的后繼攻擊行為表���。后繼攻擊行為表22用于存儲后繼攻擊行為的所有相關(guān)信息�����,表中的各項分別用來描述攻擊行為帶權(quán)有向圖中的各條弧�����。每一個表項的結(jié)構(gòu)為next_name221�����,num222,active223�,*respond224。其中next_name221是后繼攻擊行為名稱�,next_name∈n;num222是由攻擊行為到后繼攻擊行為發(fā)生次數(shù)���;active223表示后繼攻擊行為狀態(tài)��,具體是指攻擊行為與其后繼攻擊行為之間的弧的狀態(tài)���,其中Y表示該弧沒有被屏蔽��;N表示該弧被屏蔽�����。active初始值均為Y����。被屏蔽的弧被設(shè)置為隱藏狀態(tài)����,在攻擊行為帶權(quán)有向圖上不顯示出來。*respond224是指向阻止后繼攻擊行為發(fā)生的響應(yīng)子單元的指針�。建立索引表21和后繼攻擊行為表22的具體實施例為根據(jù)經(jīng)驗知識獲知如圖1的各頂點之間的先驅(qū)和后繼關(guān)系,利用歷史樣本數(shù)據(jù)確定弧的權(quán)重數(shù)據(jù)��。然后建立索引表21����,將所有攻擊行為名稱填入索引表21中的每一個表項中的name211字段,active212字段均設(shè)為Y����。針對每一個攻擊行為����,建立一個后繼攻擊行為表22����,將該攻擊行為的所有后繼攻擊行為名稱填入后繼攻擊行為表22中的next_name221字段內(nèi),每一個后繼攻擊行為對應(yīng)一個表項��;將每一個攻擊行為所對應(yīng)表項的*next_table213指針指向?qū)?yīng)的后繼攻擊行為表22����;根據(jù)歷史樣本數(shù)據(jù),填寫每個后繼攻擊行為表22中的弧的權(quán)重num222����;active223字段均設(shè)為Y�;將后繼攻擊行為表22每一項中的*respond224指針指向用于阻止該后繼攻擊行為的響應(yīng)子單元。通過上述步驟得到索引表21和后繼攻擊行為表22���。通過以上實施例可以看出����,本發(fā)明實施例詳細描述了攻擊過程中攻擊行為之間的重要關(guān)系,不再單一描述某一攻擊�。使我們對整個攻擊序列有了更加清楚的認識。圖3是本發(fā)明實施例的一種預(yù)測網(wǎng)絡(luò)攻擊行為的流程圖�。下面結(jié)合圖3,對本發(fā)明實施例預(yù)測網(wǎng)絡(luò)攻擊行為進行詳細描述�,具體步驟為步驟S31,檢測網(wǎng)絡(luò)狀態(tài)參數(shù)��,如果網(wǎng)絡(luò)狀態(tài)參數(shù)發(fā)生變化�����,說明發(fā)生攻擊行為���。根據(jù)網(wǎng)絡(luò)參數(shù)的變化��,獲得攻擊行為����。步驟S32�����,判斷該攻擊行為是否為唯一確定的攻擊行為,如果是唯一確定的攻擊行為���,則轉(zhuǎn)步驟S33�;否則轉(zhuǎn)步驟S34�����。步驟S33�����,根據(jù)攻擊行為與其后繼攻擊行為的對應(yīng)關(guān)系�����,將該攻擊行為的所有后繼攻擊行為放入集合GP中���。步驟S331����,在集合GP中查找最大可能后繼攻擊行為�����。遍歷所有指向后繼攻擊行為的弧的權(quán)重�,弧的權(quán)重越大,表明對應(yīng)的后繼攻擊行為發(fā)生的次數(shù)越多�。數(shù)值最大的弧的權(quán)重所指向的后繼攻擊行為即為最大可能后繼攻擊行為。步驟S332���,最大可能后繼攻擊行為所對應(yīng)的響應(yīng)子單元對其進行阻止����。步驟S333����,判斷該響應(yīng)子單元是否阻止了最大可能后繼攻擊行為的發(fā)生。如果該響應(yīng)子單元阻止了最大可能后繼攻擊行為的發(fā)生�����,則轉(zhuǎn)到步驟S334��;否則轉(zhuǎn)到步驟S335�。步驟S334,該響應(yīng)子單元阻止了最大可能后繼攻擊行為的發(fā)生�����,將網(wǎng)絡(luò)狀態(tài)恢復(fù)到安全狀態(tài),則指向最大可能后繼攻擊行為的弧的權(quán)重加1���,說明對網(wǎng)絡(luò)攻擊行為的預(yù)警成功�����,流程結(jié)束�����。步驟S335�����,該響應(yīng)子單元阻止了最大可能后繼攻擊行為失敗��,網(wǎng)絡(luò)狀態(tài)未恢復(fù)到安全狀態(tài)��,則指向最大可能后繼攻擊行為的弧的權(quán)重減1�����。步驟S336���,在集合GP中除去最大可能后繼攻擊行為��。步驟S337��,判斷集合GP是否為空,如果為空�,則轉(zhuǎn)到步驟S31;否則�,轉(zhuǎn)到步驟S331。步驟S34��,該攻擊行為是幾個可能攻擊行為之一����,則根據(jù)攻擊行為與后繼攻擊行為的對應(yīng)關(guān)系,在幾個可能攻擊行為的后繼攻擊行為中查找共同的最大可能后繼攻擊行為�����。步驟S341�,判斷幾個可能攻擊行為的后繼攻擊行為是否存在共同的最大可能后繼攻擊行為,如果存在�,則轉(zhuǎn)到步驟S342,否則轉(zhuǎn)到步驟S31���。步驟S342����,共同的最大可能后繼攻擊行為所對應(yīng)的響應(yīng)子單元對其進行阻止。步驟S343��,判斷該響應(yīng)子單元是否阻止了最大可能后繼攻擊行為的發(fā)生��。如果該響應(yīng)子單元阻止了最大可能后繼攻擊行為的發(fā)生���,則轉(zhuǎn)到步驟S344���;否則轉(zhuǎn)到步驟S345。步驟S344�����,該響應(yīng)子單元阻止了最大可能后繼攻擊行為的發(fā)生��,將網(wǎng)絡(luò)狀態(tài)恢復(fù)到安全狀態(tài)����,則指向最大可能后繼攻擊行為的弧的權(quán)重加β/k,其中β在0至1之間取值�,k是可能攻擊行為的個數(shù),說明對網(wǎng)絡(luò)攻擊行為的預(yù)警成功�,流程結(jié)束��。步驟S345��,該響應(yīng)子單元阻止了最大可能后繼攻擊行為失敗��,網(wǎng)絡(luò)狀態(tài)未恢復(fù)到安全狀態(tài)�����,則指向最大可能后繼攻擊行為的弧的權(quán)重減β/k,其中β在0至1之間取值�����,k是可能攻擊行為的個數(shù)�。轉(zhuǎn)到步驟S31。下面結(jié)合圖1��、圖2����,以一個具體實施例對預(yù)測網(wǎng)絡(luò)攻擊行為的方法進行詳細描述。由圖1�、圖2可知,A��、B、C�����、D均為攻擊行為�����,B����、C、D均為A的后繼攻擊行為���,弧AB的權(quán)重為i����,弧AC的權(quán)重為j���,弧AD的權(quán)重為k�。響應(yīng)模塊1���、3��、n分別阻止攻擊行為B��、C����、D的發(fā)生。如果當(dāng)前網(wǎng)絡(luò)狀態(tài)參數(shù)發(fā)生變化��,確定當(dāng)前發(fā)生攻擊行為是A����,則由A的后繼攻擊行為B���、C�、D組成集合GP����,并在集合GP中查找最大可能后繼攻擊行為,如果i>j>k�����,則B為最大可能后繼攻擊行為����,調(diào)用B對應(yīng)的響應(yīng)子單元1�,如果響應(yīng)子單元1阻止了B����,網(wǎng)絡(luò)狀態(tài)恢復(fù)到安全狀態(tài),則預(yù)測成功��,弧AB的權(quán)重i加1���,流程結(jié)束�����;若響應(yīng)子單元1沒有阻止B����,網(wǎng)絡(luò)狀態(tài)未恢復(fù)到安全狀態(tài)�����,則表明預(yù)測失敗�,弧AB的權(quán)重i減1,并將B從GP中去除,然后返回到GP�����,繼續(xù)尋找最大可能后繼攻擊行為�,直到響應(yīng)模塊阻止了最大可能后繼攻擊行為或GP為空。如果當(dāng)前網(wǎng)絡(luò)狀態(tài)參數(shù)發(fā)生變化�,確定當(dāng)前發(fā)生攻擊行為可能是B或D,則分別查找B��、D的最大可能后繼攻擊行為�����。在圖1中��,攻擊E����、F��、C均為攻擊B的后繼攻擊行為���,弧BE�����、BF����、BC的權(quán)重分別為d、e��、a�;攻擊C、F�����、G為攻擊D的后繼攻擊行為�,弧DC、DF����、DG的權(quán)重分別為b、g����、h。如果d>e��,d>a,h>b���,h>g����,則B的最大可能后繼攻擊行為為E��,D的最大可能后繼攻擊行為為G�,即B和D沒有最大可能后繼攻擊行為,則繼續(xù)監(jiān)測網(wǎng)絡(luò)狀態(tài)�。如果e>d,e>a����,g>b,g>h���,B和D的最大可能后繼攻擊行為均為F���,調(diào)用F對應(yīng)的響應(yīng)子單元5�����,如果響應(yīng)子單元5阻止了F,網(wǎng)絡(luò)狀態(tài)恢復(fù)到安全狀態(tài)�,則預(yù)測成功,弧BF�����、DF的權(quán)重e�����、g分別增加β/2����,流程結(jié)束;如果響應(yīng)子單元5沒有阻止了F��,網(wǎng)絡(luò)狀態(tài)未恢復(fù)到安全狀態(tài)��,則預(yù)測失敗����,弧BF、DF的權(quán)重e���、g分別減小β/2�,然后繼續(xù)監(jiān)測網(wǎng)絡(luò)狀態(tài)參數(shù)。以上實施例通過分析后繼攻擊行為�����,查找最大可能后繼攻擊行為����,由響應(yīng)子單元對最大可能后繼攻擊行為進行阻止,達到了預(yù)警的目的�。圖4是本發(fā)明實施例的一種描述網(wǎng)絡(luò)攻擊行為的攻擊支撐樹流程圖。攻擊支撐樹是對攻擊行為帶權(quán)有向圖進行簡化得到的����,具體步驟包括步驟S41,根據(jù)歷史數(shù)據(jù)和經(jīng)驗���,設(shè)定一個權(quán)重閾值t���。步驟S42,訪問后繼攻擊行為表��,對num222表項遍歷�����。步驟S43����,判斷是否所有后繼攻擊行為表遍歷完畢,如果遍歷完畢�,則轉(zhuǎn)步驟S46,否則轉(zhuǎn)步驟S44����。步驟S44,用當(dāng)前后繼攻擊行為表中的num222數(shù)值與t進行比較�����,如果當(dāng)前后繼攻擊行為表中的num222數(shù)值小于t�����,則轉(zhuǎn)步驟S45����,否則轉(zhuǎn)步驟S42。步驟S45���,后繼攻擊行為表中的num222數(shù)值小于t�,則表明該后繼攻擊行為發(fā)生的幾率比較小,可以認為是安全的��,所以屏蔽該當(dāng)前后繼攻擊行為表中的num222數(shù)值對應(yīng)的弧�����。不對該弧指向的后繼攻擊行為進行查找和遍歷�����。被屏蔽的弧在攻擊行為帶權(quán)有向圖上被隱藏�����,不顯示出來��。步驟S46�,當(dāng)所有后繼攻擊行為表遍歷完畢后,判斷所述攻擊行為帶權(quán)有向圖是否因為屏蔽一些弧���,而使一些弧的頂點變成孤點���,如果所述攻擊行為帶權(quán)有向圖出現(xiàn)孤點,則轉(zhuǎn)步驟步驟S47,否則轉(zhuǎn)步驟S48����。步驟S47,屏蔽上述孤點����。孤點表示具體的攻擊行為����,在查找最大可能后繼攻擊行為時,對被屏蔽的攻擊行為不進行遍歷和查找��。以快速查找到最大可能后繼攻擊行為����。步驟S48,屏蔽了上述弧和孤點的攻擊行為帶權(quán)有向圖即為所求的攻擊支撐樹�。如果判斷到的攻擊行為所對應(yīng)的頂點是被屏蔽的,則取消對該頂點以及和其關(guān)聯(lián)的弧的屏蔽���。如果某個被屏蔽的弧所對應(yīng)的攻擊序列再次確定地出現(xiàn)�,則取消對其的屏蔽�����。實施例的流程如圖5所示,具體步驟包括步驟S51�����,通過監(jiān)測網(wǎng)絡(luò)狀態(tài)參數(shù)的變化�,確定了某個具體攻擊行為發(fā)生。步驟S52���,判斷該攻擊行為是否被屏蔽����。如果被屏蔽���,則轉(zhuǎn)步驟S53��,否則轉(zhuǎn)步驟S56�����。判斷該攻擊行為是否被屏蔽具體為查找索引表21�,如果該攻擊行為對應(yīng)的acctive212為N��,則表示被屏蔽,為Y�����,則表示未被屏蔽�。步驟S53,取消對該頂點的屏蔽��,即將acctive212改為Y��。步驟S54��,取消對該攻擊行為指向其所有后繼攻擊行為的弧的屏蔽�����。具體實施步驟為查找該攻擊行為對應(yīng)的所有后繼攻擊行為表22���,將所有后繼攻擊行為表22內(nèi)的active223改為Y。步驟S55����,取消對該攻擊行為的所有后繼攻擊行為對應(yīng)的頂點的屏蔽。具體實施步驟為由步驟S54����,得到該攻擊行為所有后繼攻擊行為的名稱next_name221�����,查找索引表21�����,將所有名稱與next_name221對應(yīng)的表項內(nèi)的acctive212改為Y����。步驟S56���,得到的新圖即為所求的攻擊支撐樹�。以上實施例通過簡化攻擊行為帶權(quán)有向圖來建立攻擊支撐樹�,可以更快的判斷當(dāng)前攻擊的模式,縮短檢測的響應(yīng)時間�����,從而提高了預(yù)測網(wǎng)絡(luò)攻擊行為的效率�����。圖6是本發(fā)明實施例的一種裝置結(jié)構(gòu)圖,包括攻擊行為管理單元61和告警單元62����,其中告警單元又包括響應(yīng)子單元621和權(quán)重管理子單元622。攻擊行為管理單元61主要是監(jiān)測網(wǎng)絡(luò)狀態(tài)參數(shù)����,當(dāng)網(wǎng)絡(luò)狀態(tài)參數(shù)發(fā)生變化,確定攻擊行為發(fā)生�,根據(jù)攻擊行為與后繼攻擊行為的對應(yīng)關(guān)系,找出攻擊行為的最大可能后繼攻擊行為��,并通過告警單元62控制響應(yīng)子單元621對最大可能后繼攻擊行為進行阻止�。響應(yīng)子單元621存儲了阻止對應(yīng)后繼攻擊行為發(fā)生的策略����,用于阻止后繼攻擊行為的發(fā)生。權(quán)重管理子單元622是根據(jù)響應(yīng)子單元621對后繼攻擊行為的阻止結(jié)果來更新由攻擊行為到最大后繼攻擊行為的發(fā)生次數(shù)�����。如果響應(yīng)子單元621阻止后繼攻擊行為成功���,將網(wǎng)絡(luò)狀態(tài)恢復(fù)到安全狀態(tài)�����,則權(quán)重管理子單元622增加由攻擊行為到最大后繼攻擊行為的發(fā)生次數(shù)�。如果響應(yīng)子單元621阻止后繼攻擊行為失敗,未將網(wǎng)絡(luò)狀態(tài)恢復(fù)到安全狀態(tài)�,則權(quán)重管理子單元622減小由攻擊行為到最大后繼攻擊行為的發(fā)生次數(shù)。通過更新由攻擊行為到最大后繼攻擊行為的發(fā)生次數(shù)�����,可以更加準(zhǔn)確�、及時的描述和預(yù)測網(wǎng)絡(luò)攻擊行為的發(fā)生。下面結(jié)合圖1���、圖2具體實例��,進行進一步解釋如果攻擊行為管理單元61確定攻擊行為A發(fā)生攻擊行為���,找到B為A的最大后繼攻擊行為,則控制響應(yīng)子單元621中的響應(yīng)子單元1對B進行阻止�����。如果響應(yīng)子單元1阻止B成功��,將網(wǎng)絡(luò)狀態(tài)恢復(fù)到安全狀態(tài),則權(quán)重管理子單元622把i更新為i+1���;如果響應(yīng)子單元1阻止B失敗����,未將網(wǎng)絡(luò)狀態(tài)恢復(fù)到安全狀態(tài)�,則權(quán)重管理子單元622把i更新為i-1。如果攻擊行為管理單元61確定攻擊行為B或D中間的一個發(fā)生攻擊行為�����,則在B和D的后繼攻擊行為中尋找共同的最大后繼攻擊行為���,如果找到共同的最大后繼攻擊行為為F�,則控制響應(yīng)子單元621中的響應(yīng)子單元5對F進行阻止���。如果響應(yīng)子單元5阻止F成功,將網(wǎng)絡(luò)狀態(tài)恢復(fù)到安全狀態(tài)����,則權(quán)重管理子單元622把e和g更新為e+β/2和g+β/2;如果響應(yīng)子單元5阻止F失敗�,未將網(wǎng)絡(luò)狀態(tài)恢復(fù)到安全狀態(tài)�,則權(quán)重管理子單元622把e和g更新為e-β/2和g-β/2����。其中β在0至1間取值。通過以上實施例���,可以看出本發(fā)明實施例通過對攻擊行為過程及攻擊過程中攻擊行為之間的關(guān)系的描述�����,實現(xiàn)了對后繼攻擊行為的預(yù)警�����,從而提高了網(wǎng)絡(luò)的安全性�。通過以上的實施方式的描述����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn),當(dāng)然也可以通過硬件���,但很多情況下前者是更佳的實施方式���?��;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來����,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機�����,服務(wù)器�,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法。以上所述僅是本發(fā)明的優(yōu)選實施方式�,應(yīng)當(dāng)指出,對于本
技術(shù)領(lǐng)域:
的普通技術(shù)人員來說���,在不脫離本發(fā)明原理的前提下�,還可以做出若干改進和潤飾�����,這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍�。權(quán)利要求1.一種預(yù)測網(wǎng)絡(luò)攻擊行為的方法���,其特征在于����,包括以下步驟監(jiān)測網(wǎng)絡(luò)狀態(tài)參數(shù),根據(jù)網(wǎng)絡(luò)狀態(tài)參數(shù)的變化�,獲得攻擊行為;根據(jù)攻擊行為與后繼攻擊行為的對應(yīng)關(guān)系�,從所述攻擊行為對應(yīng)的后繼攻擊行為中選擇一個最大可能后繼攻擊行為,其中���,所述最大可能后繼攻擊行為是與所述攻擊行為對應(yīng)的后繼攻擊行為中發(fā)生次數(shù)最多的一個��;將所述最大可能后繼攻擊行為作為預(yù)測的網(wǎng)絡(luò)攻擊行為輸出��。2.如權(quán)利要求1所述預(yù)測網(wǎng)絡(luò)攻擊行為的方法�����,其特征在于��,如果所述攻擊行為包括一個攻擊行為����,則在所述攻擊行為的所有后繼攻擊行為中查找最大可能后繼攻擊行為。3.如權(quán)利要求1所述預(yù)測網(wǎng)絡(luò)攻擊行為的方法��,其特征在于��,如果所述攻擊行為是多個可能攻擊行為���,則在多個可能攻擊行為中查找共同的最大可能后繼攻擊行為���。4.如權(quán)利要求1所述預(yù)測網(wǎng)絡(luò)攻擊行為的方法,其特征在于���,在將所述最大可能后繼攻擊行為作為預(yù)測的網(wǎng)絡(luò)攻擊行為輸出之后還包括對所述最大可能后繼攻擊行為進行阻止�;如果阻止所述最大可能后繼攻擊行為成功���,則增加由所述攻擊行為到所述最大可能后繼攻擊行為的發(fā)生次數(shù)�����;如果阻止所述最大可能后繼攻擊行為失敗�,則減小由所述攻擊行為到所述最大可能后繼攻擊行為的發(fā)生次數(shù)����。5.如權(quán)利要求4所述預(yù)測網(wǎng)絡(luò)攻擊行為的方法,其特征在于,增加或減小由所述攻擊行為到所述最大可能后繼攻擊行為的發(fā)生次數(shù)�����,具體為如果所述攻擊行為是唯一確定的攻擊行為�,則由所述攻擊行為到所述最大可能后繼攻擊行為的發(fā)生次數(shù)增加或減小1�����;如果所述攻擊行為是多個可能攻擊行為之一����,則由所述攻擊行為到所述最大可能后繼攻擊行為的發(fā)生次數(shù)增加或減小β/k,其中β在0至1之間取值����,k是可能攻擊行為的個數(shù)。6.如權(quán)利要求1所述預(yù)測網(wǎng)絡(luò)攻擊行為的方法����,其特征在于,在監(jiān)測網(wǎng)絡(luò)狀態(tài)參數(shù)之前����,還包括建立所述攻擊行為名稱、攻擊行為狀態(tài)與所述攻擊行為的后繼攻擊行為之間的對應(yīng)關(guān)系;建立后繼攻擊行為名稱�����、后繼攻擊行為狀態(tài)���、由所述攻擊行為到后繼攻擊行為的發(fā)生次數(shù)以及阻止所述最大可能后繼攻擊行為發(fā)生的策略之間的對應(yīng)關(guān)系�����。7.如權(quán)利要求6所述預(yù)測網(wǎng)絡(luò)攻擊行為的方法��,其特征在于����,在建立所述對應(yīng)關(guān)系之后���,還包括以下步驟判斷由所述攻擊行為到后繼攻擊行為的發(fā)生次數(shù)是否小于權(quán)重閾值��;如果是���,則屏蔽所述后繼攻擊行為及由所述攻擊行為到所述后繼攻擊行為的指向關(guān)系。8.如權(quán)利要求7所述預(yù)測網(wǎng)絡(luò)攻擊行為的方法���,其特征在于����,如果被屏蔽的所述后繼攻擊行為的前驅(qū)攻擊行為發(fā)生攻擊,則取消對所述后繼攻擊行為的屏蔽�,并取消對由所述前驅(qū)攻擊行為到其所有后繼攻擊行為的指向關(guān)系的屏蔽���。9.一種預(yù)測網(wǎng)絡(luò)攻擊行為的裝置��,其特征在于�,包括攻擊行為管理單元���;所述攻擊行為管理單元�����,用于檢測網(wǎng)絡(luò)狀態(tài)參數(shù)的變化�����,根據(jù)網(wǎng)絡(luò)參數(shù)發(fā)生變化�����,查找到攻擊行為���,根據(jù)攻擊行為與后繼攻擊行為的對應(yīng)關(guān)系���,從所述攻擊行為對應(yīng)的后繼攻擊行為中預(yù)測最大可能后繼攻擊行為。10.如權(quán)利要求9所述預(yù)測網(wǎng)絡(luò)攻擊行為的裝置�,其特征在于,還包括告警單元�,所述告警單元,用于對所述攻擊行為管理單元預(yù)測出的最大可能后繼攻擊行為進行阻止�����,更新由所述攻擊行為到其最大可能后繼攻擊行為的發(fā)生次數(shù)�。11.如權(quán)利要求9所述預(yù)測網(wǎng)絡(luò)攻擊行為的裝置,其特征在于�,所述告警單元還包括響應(yīng)子單元和權(quán)重管理子單元;所述響應(yīng)子單元����,用于阻止后繼攻擊行為進行攻擊;所述權(quán)重管理子單元��,用于更新由所述攻擊行為到其最大可能后繼攻擊行為的發(fā)生次數(shù)���。12.如權(quán)利要求11所述預(yù)測網(wǎng)絡(luò)攻擊行為的裝置���,其特征在于��,所述權(quán)重管理子單元更新由所述攻擊行為到其最大可能后繼攻擊行為的發(fā)生次數(shù)�,包括如果所述響應(yīng)子單元阻止所述最大可能后繼攻擊行為成功���,則所述權(quán)重管理子單元增加由所述攻擊行為到其最大可能后繼攻擊行為的發(fā)生次數(shù);如果所述響應(yīng)子單元阻止所述最大可能后繼攻擊行為失敗���,則所述權(quán)重管理子單元減小由所述攻擊行為到其最大可能后繼攻擊行為的發(fā)生次數(shù)�����。全文摘要本發(fā)明涉及網(wǎng)絡(luò)通信安全領(lǐng)域��,公開了一種預(yù)測網(wǎng)絡(luò)攻擊行為的方法���,包括以下步驟監(jiān)測網(wǎng)絡(luò)狀態(tài)參數(shù),根據(jù)網(wǎng)絡(luò)狀態(tài)參數(shù)的變化����,獲得攻擊行為���;根據(jù)攻擊行為與后繼攻擊行為的對應(yīng)關(guān)系,從所述攻擊行為對應(yīng)的后繼攻擊行為中選擇一個最大可能后繼攻擊行為�����,其中���,所述最大可能后繼攻擊行為是與所述攻擊行為對應(yīng)的后繼攻擊行為中發(fā)生次數(shù)最多的一個�����;將所述最大可能后繼攻擊行為作為預(yù)測的網(wǎng)絡(luò)攻擊行為輸出���。本發(fā)明還公開了一種預(yù)測網(wǎng)絡(luò)攻擊行為的裝置,包括攻擊行為管理單元�。本發(fā)明詳細描述了網(wǎng)絡(luò)攻擊行為過程及攻擊過程中攻擊行為之間的關(guān)系,提出了網(wǎng)絡(luò)預(yù)警的方法����,為針對網(wǎng)絡(luò)攻擊采取具體措施提供了依據(jù)。文檔編號H04L12/26GK101075917SQ20071013023公開日2007年11月21日申請日期2007年7月16日優(yōu)先權(quán)日2007年7月16日發(fā)明者何興高,傅翀,張鳳荔,曹振奇,汪敦全,鄭聶軍,張程偉,汪波,鹿昌義申請人:華為技術(shù)有限公司,電子科技大學(xué)