1.一種基于貝葉斯網絡推理的攻擊意圖識別方法，其特征在于：根據給定的拓撲信息、拓撲中主機的漏洞信息和攻擊行為之間的約束關系，利用前向搜索廣度優先的方法自動地生成攻擊圖作為攻擊場景，接下來將生成的攻擊場景與IDS的報警信息進行匹配，基于貝葉斯網絡推理的方法，推算出攻擊者的攻擊意圖概率，并且能夠根據推算結果和歷史信息對計算的參數進行更新；

所述的自動地生成攻擊圖的方法為：

攻擊意圖識別需要基于一個給定的攻擊場景，根據觀察到的攻擊行為序列計算攻擊意圖的概率，利用攻擊圖對攻擊場景進行描述，攻擊場景是在給定網絡環境下攻擊者實現其攻擊意圖的一系列攻擊行為，根據攻擊前件和攻擊后件的關系，采用前向搜索廣度優先的思想，匹配攻擊規則，尋找攻擊前件滿足的節點，并生成相應的圖節點和邊；

所述的推算出攻擊者的攻擊意圖概率的方法為：

攻擊意圖計算采用貝葉斯網絡進行；貝葉斯網絡是一個有向無環圖，其中節點代表隨機變量，節點間的邊代表變量之間的直接依賴關系；根據攻擊行為的前件后件關系構建出了攻擊場景，以此作為貝葉斯網絡的結構；根據獲得的IDS報警信息聚合后的攻擊行為，與貝葉斯網絡中節點進行匹配，匹配到的節點及其父節點形成節點對，利用貝葉斯網絡參數學習算法更新攻擊行為對的條件概率分布，再根據IDS對匹配到節點攻擊類型的檢測能力設置匹配節點的概率值，利用團樹傳播算法計算貝葉斯網絡中攻擊意圖節點和當前節點父節點的概率值，根據當前節點的父節點的后驗概率更新IDS對其父節點攻擊類型的檢測能力，最后輸出攻擊意圖節點的概率值；

其中，所述的貝葉斯網絡參數學習算法具體為：

根據攻擊行為的前件后件關系構建出了攻擊場景，并以此作為貝葉斯網絡的結構轉；而貝葉斯網絡的參數，即貝葉斯網絡轉換的條件概率則由貝葉斯網絡參數學習的方法獲得，參數學習在統計學中稱為參數估計，在貝葉斯估計的框架中，參數θ被視為隨機變量，對它進行估計就是計算其后驗概率分布，為此，首先要選用一個概率分布p(θ)來總結關于θ的先驗知識，然后把數據D＝(d₁,d₂,...,d_m)的影響用似然函數L(θ|D)＝P(D|θ)來歸納，最后使用貝葉斯公式P(X|E＝e)∝P(X)L(X|E＝e)將先驗分布和似然函數結合，得到θ的后驗分布，就是θ的貝葉斯估計：

p(θ|D)∝p(θ)L(θ|D)

考慮一個由n個變量X＝{X₁,X₂,...,X_n}組成的貝葉斯網絡，設其中節點X_i共有r_i個取值1,2,...,r_i，其父節點π(X_i)的取值共有q_i個取值1,2,...,q_i，網絡的參數為：

θ_ijk＝P(X_i＝k|π(X_i)＝j)

貝葉斯網絡樣本D＝(d₁,d₂,...,d_m，定義即m_ijk是數據中滿足X_i＝k和π(X_i)＝j的樣本的數量，稱為充分統計量，因此，對數似然函數為：

l(θ|D)=Σl=1mlogP(dl|θ)=Σi=1nΣj=1qiΣk=1rimijklogθijk]]>

θ的似然函數為：

L(θ|D)=Πi=1nΠj=1qiΠk=1riθijkmijk]]>

根據貝葉斯公式，有：

p(θ|D)∝p(θ)Πi=1nΠj=1qiΠk=1riθijkmijk]]>

為了計算方便，假設p(θ_ij*)是狄利克雷分布則有：

p(θ)=Πi=1nΠj=1qip(θij*)∝Πi=1nΠj=1qiΠk=1riθijkaijk-1]]>

p(θ|D)∝p(θ)Πi=1nΠj=1qiΠk=1riθijkmijk+aijk-1]]>

后驗分布p(θ|D)也是一個乘積狄利克雷分布，并且p(θ_ij*|D)是狄利克雷分布D[mij1+aij1,mij2+aij2,...,mijri+aijri],]]>因此θijk′=mijk+aijkΣk=1ri(mijk+aijk);]]>

我們為每一對攻擊行為建立先驗分布，例如攻擊行為A作為攻擊行為B的先序攻擊，假設先驗分布p(θ)是乘積狄利克雷分布，其超參數a^t＝{a_jk^t|j＝0,1;k＝0,1}；若樣本D＝(1,1)，即攻擊A發生且隨即攻擊B發生，則后驗分布p(θ|D)也是乘積狄利克雷分布，其超參數為a₀₀^t+1＝a₀₀^t，a₀₁^t+1＝a₀₁^t，a₁₀^t+1＝a₁₀^t，a₁₁^t+1＝a₁₁^t+1，則下一個樣本的分布根據IDS的告警信息生成攻擊行為序列，為攻擊行為序列中的每一對攻擊行為更新條件概率分布，實現貝葉斯網絡參數學習；

所述的團樹傳播算法具體為：

利用團樹傳播算法進行貝葉斯網絡推理計算攻擊意圖的概率，在貝葉斯網絡推理中，接收到的證據就認為其發生，并不考慮證據的可信程度，在攻擊意圖識別中，需根據IDS的報警信息更新貝葉斯網絡推理得出攻擊意圖的概率，而IDS對不同類型的攻擊檢測能力不同，存在誤報現象，而簡單認為觀測到的為真是不妥的，因此，為IDS對不同類型的攻擊檢測設置一個[0,1]的能力值，其中0表示IDS無法檢測該類型攻擊，1表示IDS檢測到該類型攻擊則攻擊切實發生，考慮攻擊行為A作為攻擊行為B的先序攻擊；

假設條件概率分布P(B＝1|A＝1)＝0.8,P(B＝0|A＝1)＝0.2,P(B＝1|A＝0)＝0.1,P(B＝0|A＝0)＝0.9,IDS檢測到攻擊A發生，且IDS對攻擊類型A的檢測能力為0.9，則設置P(A＝1)＝0.9,計算得到攻擊B發生的概率P(B＝1)＝0.73；此時，如果IDS檢測到攻擊B發生，且IDS對攻擊類型B的檢測能力為0.8；因此設置P(B'＝1)＝0.8，根據信息傳播算法，計算得到攻擊A發生的后驗分布P(A'＝1)＝0.96，認為由于攻擊A為攻擊B的前提，而觀測到攻擊B進一步證明了攻擊A發生；并且，我們也可以根據此進一步證明了IDS對攻擊類型A的檢測能力，需要更新IDS對于攻擊類型A的檢測能力的評價；

IDS檢測能力更新采用如下方法，根據公式θ^t+1＝ηθ+(1-η)θ^t，其中θ^t為更新前IDS對于攻擊類型A的檢測能力，θ為檢測到攻擊B后A的后驗分布，θ^t+1為更新后IDS對攻擊類型A的檢測能力；因子η控制參數的收斂速度，當η比較小的時候收斂速度較慢，其中取η＝0.3。