[发明专利]基于动态贝叶斯博弈的APT攻击预测方法

说明书

本发明涉及一种基于动态贝叶斯博弈的APT攻击预测方法。博弈双方通过当前获取的信息预测对方即将采取的行为，以自身利益最大化为目标采取应对措施；利用贝叶斯博弈均衡保证预测的有效性和合理性。本发明通过查看网络的脆弱点，根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略；在动态贝叶斯博弈体系中构建APT攻击预测模型，分析基于模型的博弈双方收益构成；通过分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率；本发明的动态贝叶斯博弈均衡将保证预测的有效性和合理性。

技术领域

本发明涉及网络安全领域，特别涉及一种基于动态贝叶斯博弈的APT攻击预测方法。

背景技术

高级持续性威胁(Advanced Persistent Threat,APT)攻击已成为较热门的网络攻击形式，由于它的高危险性、难检测性、持续时间长和攻击目标明确等特征，已引起世界各界的广泛关注。APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

一般的安全系统属于被动防御系统，即在攻击发生后才采取相应的防御措施，不能通过预测攻击行为来提前阻止攻击行为的发生，这将降低系统的安全性能。若攻击目标能够在攻击发生之前预测到攻击行为并及时采取防御措施，将能有效防止APT攻击行为发生。动态贝叶斯博弈是非合作的不完全信息的博弈，可通过攻击者的历史行为数据预测行为类型，并对攻击者采取的攻击行为类型概率进行动态修正；攻击者也可通过攻击目标的防御能力采取进一步攻击或选择不攻击，即博弈双方以自身利益最大化为原则，通过分析双方收益来预测下一博弈阶段将会采取的行为方式。贝叶斯博弈均衡将保证预测的有效性和合理性。因此本文提出一种基于动态贝叶斯博弈的APT攻击预测方法。

发明内容

本发明的目的在于提供一种以博弈者利益最大化为目的的基于动态贝叶斯博弈的APT攻击预测方法。

为实现上述目的，本发明的技术方案是：一种基于动态贝叶斯博弈的APT攻击预测方法，包括如下步骤，

S1、通过查看网络的脆弱点，根据网络拓扑结构获取攻击者和防御者会采取的行为策略；

S2、在动态贝叶斯博弈体系中构建APT攻击预测模型，分析基于模型的攻击者和防御者博弈双方收益；

S3、通过分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率。

在本发明一实施例中，所述步骤S1中，通过漏洞扫描工具查看网络的脆弱点。

在本发明一实施例中，所述攻击者的收益包括三个变量：防御者没有检测出攻击时的收益、实施攻击的代价、被检测出攻击时受到的惩罚；所述防御者的收益包括三个变量：检测出攻击时的收益、没检测出攻击时的损失、阻止攻击的代价。

在本发明一实施例中，所述步骤S2中，为了获得博弈均衡，需要构造博弈树来分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率；构造博弈树的方法为海萨尼转换，引入一个虚拟的博弈局中人Nature，Nature首先根据概率分布决定攻击者的类型，接着每个攻击者再根据概率分布选择攻击行为类别和攻击方式，再次，每个防御者根据概率分布选择防御行为类别和防御方式；博弈过程为一个重复迭代的过程，直到达到结束条件停止博弈。

在本发明一实施例中，APT攻击方式包括网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹；APT攻击目的包括无、读取文件、远程访问、获取本地用户权限、访问根目录；对于攻击者而言，不同的攻击方式将带来不同的攻击成本，而不同攻击目的也将会带来不同的收益；攻击者的攻击策略为一种或多种组合的攻击方式；防御者的行为策略则是根据攻击者采取的攻击行为而做相应改变。