本發明公開了一種基于兩層貝葉斯網絡模型的網絡安全推斷方法及推斷系統，包括對網絡攻擊數據進行預處理；預先構建兩層貝葉斯網絡模型框架；利用貝葉斯網絡結構學習方法在每一層利用網絡攻擊預處理后的數據構建貝葉斯網絡結構；分別對第一層和第二層框架中的貝葉斯網絡中重要節點的馬爾科夫邊界節點重要程度進行排序，取馬爾科夫邊界節點重要程度排序在前的節點作為關鍵的觀察節點；輸出關鍵的觀察節點。本發明通過對每一層模型中的重要節點的馬爾科夫邊界節點的最大JSD值進行排序，得到關鍵的觀察節點，從而在對網絡攻擊進行安全檢測時，可更快對可能攻擊點做出反應，是對現有網絡監控系統功能的一種有效改進。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種基于兩層貝葉斯網絡模型的網絡安全推斷方法及推斷系統。

背景技術

目前的主流網絡監控系統提供的大都是統計指標，如某個時段的全局平均網絡流量、個體平均網絡流量、異常流量等，管理人員可以對網絡的總體情況進行宏觀掌握。在攻擊檢測方面，傳統的入侵檢測系統(Intrusion Detection System，IDS)大部分利用既定規則對網絡攻擊進行檢測，或是利用機器學習方法對異常進行檢測，這些方法通?；诤诤心Ｐ?black-box model)，使用者不能了解為何產生了報警，在進行安全事件的處理或溯源時有較大的困難。通常，一次網絡攻擊的發動會產生很多的連帶反應，會反映在網絡的一些數據中，IDS通常只會給出自身的判斷結果，不能對實際意義進行解釋。

現有的網絡監控系統多半顯示統計指標，網絡管理員要根據這些統計指標和自身經驗對目前可能的異常行為進行分析。對于整合了IDS的監控系統，這些系統通常會給當前監控環境提供定量化的評分，這個評分可以給管理人員提供參考。但是，在一些具體的攻擊發生時，網絡管理人員通常要對大量日志進行分析來找到攻擊發生的原因并進行修復，這種方式極大浪費了管理人員的時間和精力。同時，在網絡的攻擊行為中，不同的攻擊類型數據在一個公司的內部數據中量上會有較大差距，有些攻擊類型數據量豐富，在分類器模型中對該類型的攻擊進行了較好的建模，而有些則數據量很少，對這些類型的攻擊的建模就難以很好的進行?，F有模型多是將所有數據均放在一個分類器中，所使用的分類器不能對自身的實際意義進行分析，屬于黑盒模型。

概率圖模型在網絡安全領域具有廣泛的應用，可以刻畫不同攻擊場景中的變量之間的關系。然而，在網絡安全領域不同類型的網絡攻擊數據量不同，直接對所有攻擊類型進行建模的話會對一些數據集中數據量很少的攻擊遺漏，難以達到很好的識別效果。

貝葉斯網絡是利用廣泛的概率圖模型，可以表征網絡中不同節點之間的關系，并通過條件概率表來對這種依賴關系進行定量表示。貝葉斯網絡通常與攻擊圖結合形成貝葉斯攻擊圖來對攻擊者的一次完整的滲透攻擊行為進行建模，不過這種方式通常較為宏觀，不涉及到底層指標的利用。

發明內容

本發明提供一種基于兩層貝葉斯網絡模型的網絡安全推斷方法及推斷系統，用于克服現有技術中網絡攻擊檢測的范圍較大、對人工觀測的依賴性強等缺陷，實現對網絡攻擊進行檢測，并能追蹤到攻擊點且減輕管理人員日常觀測壓力。

為解決上述問題，本發明采用的技術方案是：構建兩層貝葉斯網絡，對貝葉斯網絡中重要節點的馬爾科夫邊界節點利用杰森-香農散度值(Jensen– Shannon divergence，JSD)進行分析，找到馬爾科夫邊界節點的重要度排序，為管理人員對不同攻擊類型進行觀測提供依據。具體的網絡安全推斷方法如下：

一種基于兩層貝葉斯網絡模型的網絡安全推斷方法，包括以下步驟：

步驟1，對網絡攻擊數據中的連續型數據離散化；

步驟2，預先構建兩層貝葉斯網絡模型框架；其中第一層模型框架對攻擊大類進行分類，所述攻擊大類包含有多種子攻擊類型，第二層模型框架對所述第一層模型框架中的每一個攻擊大類進行細分類；