[发明专利]基于动态贝叶斯博弈的APT攻击预测方法

权利要求书

1.一种基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：包括如下步骤，

S1、通过查看网络的脆弱点，根据网络拓扑结构获取攻击者和防御者会采取的行为策略；

S2、在动态贝叶斯博弈体系中构建APT攻击预测模型，分析基于模型的攻击者和防御者博弈双方收益；

S3、通过分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率；

所述步骤S2中，APT攻击预测模型可以表示为：

其中，T_k为各个博弈阶段的时间，k＝0，1，2，…，n， n∈Z⁺；λ_a，λ_d为博弈参与者的类型，λ_a，为攻击者的类型，分别表示恶意攻击者和良性攻击者；λ_d表示防御者的类型，能够检测和阻止攻击；B(λ_a)，B(λ_d)为参与者可选择的行为类别，其中B(λ_a)＝{attack，not attack}，B(λ_d)＝{defend，not defend}；P[B(λ_a)]，P[B(λ_d)]为每个参与者在博弈时认为其他参与者的行为类别的先验概率；为每个参与者根据其他参与者的历史行为数据来修正其他参与者的行为类别的后验概率；G(λ_a)，G(λ_d)分别为攻击者和防御者可选择的攻击方式和防御方式；μ(λ_a)，μ(λ_d)为参与者在博弈阶段所选择的攻击方式或防御方式所获的收益；E表示博弈均衡的状态。

2.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：所述步骤S1中，通过漏洞扫描工具查看网络的脆弱点。

3.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：所述攻击者的收益包括三个变量：防御者没有检测出攻击时的收益、实施攻击的代价、被检测出攻击时受到的惩罚；所述防御者的收益包括三个变量：检测出攻击时的收益、没检测出攻击时的损失、阻止攻击的代价。

4.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：所述步骤S2中，为了获得博弈均衡，需要构造博弈树来分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率；构造博弈树的方法为海萨尼转换，引入一个虚拟的博弈局中人Nature，Nature首先根据概率分布决定攻击者的类型，接着每个攻击者再根据概率分布选择攻击行为类别和攻击方式，再次，每个防御者根据概率分布选择防御行为类别和防御方式；博弈过程为一个重复迭代的过程，直到达到结束条件停止博弈。

5.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：APT攻击方式包括网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹；APT攻击目的包括无、读取文件、远程访问、获取本地用户权限、访问根目录；对于攻击者而言，不同的攻击方式将带来不同的攻击成本，而不同攻击目的也将会带来不同的收益；攻击者的攻击策略为一种或多种组合的攻击方式；防御者的行为策略则是根据攻击者采取的攻击行为而做相应改变。

6.根据权利要求3所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：攻击者与防御者的收益的变量是在t时刻前的变量叠加和，可表示为y(t)＝y(g₁，t)*y(g₂，t+T)*…*y(g_n，t+(n-1)T)；其中，g_n为参与者所做的第n个行为类别；T为行为持续时间。

7.根据权利要求4所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：所述结束条件为：至少一个参与者达到目的或者放弃竞争。