1.一种基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,包括入侵数据获取模块、攻击模型构建模块、模型参数训练模块及预测分析模块,其中入侵数据获取模块用于获取入侵数据源;攻击模型构建模块,用于构建攻击模型,所述攻击模型分为三层节点,分别是攻击事件层、子目标层以及意图层,首先,对源IP地址、目的IP地址及报警类型相同,但攻击时间不同的报警聚合成超级报警,删除重复报警;其次,根据超级报警之间的时序关系,对超级报警进行关联并提取报警序列,再通过隶属度计算归并到较高目标层中;最后,提取三种节点之间的关系,建立层次贝叶斯网络,从纵向和横向表示其相互之间的因果关系;模型参数训练模块,用于将子目标层作为观测集,进而将意图层作为隐状态,子目标层和意图层抽象为隐马尔可夫模型,进行模型参数估计,输入观察到的攻击子目标序列集,输出模型λ=(A,B,π),其中A为状态转移矩阵,B是混淆矩阵,π为意图初始概率;预测分析模块,用带环的置信度传播算法来预测得到不同事件序列下产生多意图的概率。
2.根据权利要求1所述的基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,入侵数据获取模块用于获取的入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999,DARPA 1999评测数据给出了3周带有攻击的模拟数据,包含了属于58种类型的
201次攻击实例,其中40种攻击类型并没有在第二周的训练数据中出现,属于新的攻击类型。
3.根据权利要求1所述的基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,所述攻击模型构建模块构建包括以下步骤:建立数据库,包括攻击表、事件知识表、目标知识表、事件目标映射表、目标链表和统计表;
隶属度计算,扫描目标库,提取事件目标映射关系,找到对应目标集合;计算新攻击事件目标,并更新事件映射表;
根据事件映射表,得到事件空间样本集,子目标空间样本集,以及攻击意图空间样本集,建立层次化的贝叶斯网络;依次是底层为安全事件层,中间层为子目标层,顶层为攻击意图层。
4.根据权利要求1所述的基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,所述模型参数训练模块将子目标层使用Baum-Welch算法对层次贝叶斯网络进行模型参数估计。
5.根据权利要求4所述的基于隐马尔可夫和概率推断的入侵意图识别系统,其特征在于,所述预测分析模块通过训练出的隐马尔可夫模型参数,还可以得出不同意图之间的状态转移,通过预测后的结果集,也可得到当前意图发生下的并发意图预测。
6.一种基于权利要求1所述系统的隐马尔可夫和概率推断的入侵意图识别方法,其特征在于,包括以下步骤:
获取入侵数据源,所述入侵数据源为MIT林肯实验室的入侵检测公开数据集DARPA1999,DARPA 1999评测数据给出了3周带有攻击的模拟数据,包含了属于58种类型的
201次攻击实例,其中40种攻击类型并没有在第二周的训练数据中出现,属于新的攻击类型;
提取节点因果关系,建立模型,对DARPA1999数据包分析提取攻击表,从攻击事件、攻击子目标、攻击意图三方面来提取因果关系,建立层次贝叶斯网络;
训练模型,根据复合攻击的时序特征,对训练数据建立子目标链集合,用以学习模型参数,即意图与子目标的条件概率矩阵以及意图转移概率矩阵,使用Baum-Welch算法来迭代计算矩阵参数值,直到算法收敛为止;
预测和分析过程,对于已建立的带参的层次贝叶斯网络,同一层间可能带环,因此使用带环的置信度传播算法来得到不同事件序列下产生多意图的概率。
7.根据权利要求6所述隐马尔可夫和概率推断的入侵意图识别方法,其特征在于,所述提取因果关系,使用条件概率和转移概率来形式化表示包括攻击事件与子目标之间的条件概率、子目标与攻击意图之间的条件概率、子目标之间的转移概率以及攻击意图之间的转移概率。