本發明涉及一種基于動態貝葉斯博弈的APT攻擊預測方法。博弈雙方通過當前獲取的信息預測對方即將采取的行為，以自身利益最大化為目標采取應對措施；利用貝葉斯博弈均衡保證預測的有效性和合理性。本發明通過查看網絡的脆弱點，根據網絡拓撲結構獲取攻擊者和防御者可能采取的全部行為策略；在動態貝葉斯博弈體系中構建APT攻擊預測模型，分析基于模型的博弈雙方收益構成；通過分析攻擊者和防御者雙方的收益，預測理性攻擊者在下一個博弈階段會選擇的攻擊行為的概率；本發明的動態貝葉斯博弈均衡將保證預測的有效性和合理性。

技術領域

本發明涉及網絡安全領域，特別涉及一種基于動態貝葉斯博弈的APT攻擊預測方法。

背景技術

高級持續性威脅(Advanced Persistent Threat,APT)攻擊已成為較熱門的網絡攻擊形式，由于它的高危險性、難檢測性、持續時間長和攻擊目標明確等特征，已引起世界各界的廣泛關注。APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網絡，并利用0day漏洞進行攻擊。

一般的安全系統屬于被動防御系統，即在攻擊發生后才采取相應的防御措施，不能通過預測攻擊行為來提前阻止攻擊行為的發生，這將降低系統的安全性能。若攻擊目標能夠在攻擊發生之前預測到攻擊行為并及時采取防御措施，將能有效防止APT攻擊行為發生。動態貝葉斯博弈是非合作的不完全信息的博弈，可通過攻擊者的歷史行為數據預測行為類型，并對攻擊者采取的攻擊行為類型概率進行動態修正；攻擊者也可通過攻擊目標的防御能力采取進一步攻擊或選擇不攻擊，即博弈雙方以自身利益最大化為原則，通過分析雙方收益來預測下一博弈階段將會采取的行為方式。貝葉斯博弈均衡將保證預測的有效性和合理性。因此本文提出一種基于動態貝葉斯博弈的APT攻擊預測方法。

發明內容

本發明的目的在于提供一種以博弈者利益最大化為目的的基于動態貝葉斯博弈的APT攻擊預測方法。

為實現上述目的，本發明的技術方案是：一種基于動態貝葉斯博弈的APT攻擊預測方法，包括如下步驟，

S1、通過查看網絡的脆弱點，根據網絡拓撲結構獲取攻擊者和防御者會采取的行為策略；

S2、在動態貝葉斯博弈體系中構建APT攻擊預測模型，分析基于模型的攻擊者和防御者博弈雙方收益；

S3、通過分析攻擊者和防御者雙方的收益，預測理性攻擊者在下一個博弈階段會選擇的攻擊行為的概率。

在本發明一實施例中，所述步驟S1中，通過漏洞掃描工具查看網絡的脆弱點。

在本發明一實施例中，所述攻擊者的收益包括三個變量：防御者沒有檢測出攻擊時的收益、實施攻擊的代價、被檢測出攻擊時受到的懲罰；所述防御者的收益包括三個變量：檢測出攻擊時的收益、沒檢測出攻擊時的損失、阻止攻擊的代價。

在本發明一實施例中，所述步驟S2中，為了獲得博弈均衡，需要構造博弈樹來分析攻擊者和防御者雙方的收益，預測理性攻擊者在下一個博弈階段會選擇的攻擊行為的概率；構造博弈樹的方法為海薩尼轉換，引入一個虛擬的博弈局中人Nature，Nature首先根據概率分布決定攻擊者的類型，接著每個攻擊者再根據概率分布選擇攻擊行為類別和攻擊方式，再次，每個防御者根據概率分布選擇防御行為類別和防御方式；博弈過程為一個重復迭代的過程，直到達到結束條件停止博弈。

在本發明一實施例中，APT攻擊方式包括網絡探測、欺騙、會話劫持、拒絕服務攻擊、緩沖區溢出攻擊、口令探測、社交工程、物理攻擊、木馬、隱藏蹤跡；APT攻擊目的包括無、讀取文件、遠程訪問、獲取本地用戶權限、訪問根目錄；對于攻擊者而言，不同的攻擊方式將帶來不同的攻擊成本，而不同攻擊目的也將會帶來不同的收益；攻擊者的攻擊策略為一種或多種組合的攻擊方式；防御者的行為策略則是根據攻擊者采取的攻擊行為而做相應改變。