[发明专利]一种基于攻击图和心理理论的入侵响应方法

说明书

本发明公开了一种基于攻击图和心理理论的入侵响应方法，该方法通过攻击图来模拟攻击者入侵网络时的每一步动作，分析攻击者的攻击心理可以推测下一时刻攻击者采取某个动作的概率，在网络攻防博弈中为了最大化收益值，防御者根据推测出的攻击者行为制定出相应的响应措施，从而提供实时的网络响应。与传统的IDS alerts映射响应动作的方法相比，本发明在面临多步复杂的入侵检测时实时调整响应策略，具有实时响应、高效防护的特点。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于攻击图和心理理论的入侵响应方法。

背景技术

随着网络攻击的形式日益复杂化，网络入侵检测和防御面临着严峻挑战。如今，一个复杂的网络攻击通常以多步攻击的形式逐渐入侵整个网络，极大增加了防御者防护网络的难度。在网络面临多步入侵时，如何为每一步攻击行为制定正确的防御措施已成为防御者的重要任务。入侵响应系统(intrusion response system,IRS)旨在为网络入侵制定相应的应对措施，在检测到网络入侵时就采取响应措施，缩短网络修复的时间窗口。

传统的入侵响应系统将入侵检测系统的警报消息映射到响应措施，这种映射关系使得系统在面临网络入侵时能快速做出反应。然而，这种固定的映射关系不适应于新型的网络攻击。其次，在复杂的攻防博弈中，攻击者通常具有一定的学习能力，经过多次失败的攻击后，攻击者可能会发现当前的攻击行为已被成功防御。为了赢得博弈，攻击者会不断调整攻击行为。因此，从攻击者的攻击心理出发，推测攻击者可能会采取的动作，从而制定相应的响应措施将有利于网络攻防博弈。心理理论(theory of mind,ToM)适用于建模对手的心理过程，使得博弈中的攻防双方能够用递归嵌套的信念(H.D.Weerd,R.Verbrugge,andB.Verheij,“How much does it help to know what she knows you know？an agent-based simulation study,”Artificial Intelligence,vol.199-200,no.3,pp.67–92,2013.)来预测对手的行为。零阶ToM指的是攻击者(或防御者)形成一个信念，认为对手会采取某个动作的概率。例如：经过多次攻防博弈后，攻击者发现远程登录(remote login)总是失败，则攻击者会猜测防御者采取网关防火墙等防御措施，为此，攻击者会调整攻击行为，如改用DNS缓存的漏洞。

ToM使得网络攻防博弈的双方可以用嵌套的信念来预测对手行为，考虑到网络入侵由多步攻击来实现，攻击者的行为可以由贝叶斯攻击图(Y.Liu and H.Man,“Networkvulnerability assessment using bayesian networks,”Proceedings of SPIE,pp.61–71,2005.)来进行建模。贝叶斯攻击图(Bayesian attack graph,BAG)是一个有向无环图，通常由一个多元组来表示：＜N,E,ξ,P＞,其中，N为攻击图中的节点，E为攻击图的有向边，ξ为节点的属性，非叶子节点有两种属性：与节点、或节点，P为每条边攻击成功的概率。例如：攻击者首先利用IIS WebDAV中的漏洞来获取用户权限，然后依赖于获取的用户权限进行SQL injection，以此获得root访问权限。每一次漏洞利用可以视为一次原子攻击，每个原子攻击成功的概率为贝叶斯攻击图中对应边的概率。每条边发生的概率可以由通用漏洞评分系统(common vulnerability scoring system,CVSS)来评估。CVSS中的可利用参数反映了漏洞的内在特征，为评估攻击的发生提供了数值分数。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于攻击图和心理理论的入侵响应方法，该方法能够针对当前的攻击及时制定响应策略，实现网络的实时防护。

本发明的目的是通过以下技术方案来实现的：一种基于攻击图和心理理论的入侵响应方法，包括以下步骤：