一種基于因子圖的推斷攻擊階段最大似然估計方法及系統(tǒng)，方法包括以下步驟：從APT數(shù)據(jù)集中提取攻擊事件?攻擊階段的二元序列；基于攻擊事件?攻擊階段的二元序列進(jìn)行訓(xùn)練，得到相關(guān)參數(shù)，生成概率轉(zhuǎn)移矩陣；接收攻擊鏈并構(gòu)建對應(yīng)的因子圖，將攻擊鏈的攻擊階段轉(zhuǎn)化為因子圖的節(jié)點和因子函數(shù)；通過對因子圖進(jìn)行處理，得到攻擊鏈所對應(yīng)攻擊階段序列的最大似然估計。系統(tǒng)包括序列提取模塊、概率轉(zhuǎn)移矩陣生成模塊、因子圖構(gòu)建模塊及攻擊階段推斷模塊。本發(fā)明具有準(zhǔn)確率高、計算速度快以及可擴展性強的優(yōu)點。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種基于因子圖的推斷攻擊階段最大似然估計方法及系統(tǒng)，實現(xiàn)對已經(jīng)發(fā)生的攻擊進(jìn)行處理，推斷出其攻擊階段。

背景技術(shù)

隨著互聯(lián)數(shù)字技術(shù)的飛速發(fā)展，人們對網(wǎng)絡(luò)帶寬的需求量逐年增加，并且在網(wǎng)絡(luò)接入的便捷性和安全性上有著更高的需求，網(wǎng)絡(luò)安全的重要性不言而喻。

APT即高級持續(xù)性威脅，可以分期潛入目標(biāo)系統(tǒng)，并在不被發(fā)現(xiàn)的情況下長時間停留在其中。這些攻擊的目標(biāo)是經(jīng)過精心挑選和研究的，尤其針對大型企業(yè)或政府網(wǎng)絡(luò)，易造成嚴(yán)重后果。然而它們很難被檢測或者預(yù)防。但是這些攻擊會在不同的地方留下線索，所以對攻擊鏈進(jìn)行推斷分析，構(gòu)建因子圖來理解攻擊鏈的惡意進(jìn)程并防止系統(tǒng)破壞也是至關(guān)重要的。

由于相關(guān)人員不能對大量數(shù)據(jù)進(jìn)行訓(xùn)練，因此只能依靠經(jīng)驗進(jìn)行判斷。但是這種判斷對經(jīng)驗的要求非常高，人員必須擁有大量的相關(guān)經(jīng)驗，熟悉各種攻擊手段。而攻擊幾乎無時不刻的在發(fā)生，因此上述常規(guī)方法就顯得效率不高。鑒于這樣的情況，說明了開發(fā)一種高效推斷攻擊鏈對應(yīng)攻擊階段的方法十分重要，但實現(xiàn)起來又比較復(fù)雜。

發(fā)明內(nèi)容

本發(fā)明的目的在于針對上述現(xiàn)有技術(shù)中攻擊階段推斷效率不高且效果不佳的問題，提供一種基于因子圖的推斷攻擊階段最大似然估計方法及系統(tǒng)，快速高效的對攻擊階段進(jìn)行推斷。

為了實現(xiàn)上述目的，本發(fā)明有如下的技術(shù)方案：

一種基于因子圖的推斷攻擊階段最大似然估計方法，包括以下步驟：

-從APT數(shù)據(jù)集中提取攻擊事件-攻擊階段的二元序列；

-基于攻擊事件-攻擊階段的二元序列進(jìn)行訓(xùn)練，得到相關(guān)參數(shù)，生成概率轉(zhuǎn)移矩陣；

-接收攻擊鏈并構(gòu)建對應(yīng)的因子圖，將攻擊鏈的攻擊階段轉(zhuǎn)化為因子圖的節(jié)點和因子函數(shù)；

-通過對因子圖進(jìn)行處理，得到攻擊鏈所對應(yīng)攻擊階段序列的最大似然估計。

作為優(yōu)選，所述的因子圖將一個具有多變量的全局函數(shù)因子分解，得到幾個局部函數(shù)的乘積，從而用以表述不同事件之間的概率關(guān)系；所述的因子函數(shù)用于連接相關(guān)的節(jié)點。

作為優(yōu)選，所述因子圖中變量的聯(lián)合概率為：

X_i表示與因子函數(shù)f_i相關(guān)的變量；

通過能量函數(shù)表示因子圖中變量的穩(wěn)定性，作為因子圖推斷模型準(zhǔn)確性的量度，能量函數(shù)的表達(dá)式如下：

作為優(yōu)選，所述的相關(guān)參數(shù)為：因子函數(shù)f_1-Basic(x)、f_{1-Commonality}(x)和f₂(x,y)；