基于改进的隐马尔可夫模型的复合攻击预测方法及装置

摘要

本发明公开了一种基于改进的隐马尔可夫模型的复合攻击预测方法及装置，该方法包括：获取单步攻击序列；将所述单步攻击序列输入到训练出的隐马尔可夫模型中，得到复合攻击的发生概率，其中，所述隐马尔可夫模型先根据所述单步攻击序列确定出对应的复合攻击，进而确定出该对应的复合攻击的发生概率，所述隐马尔可夫模型在训练时采用Forward‑Backward算法以及Baum‑Welch算法进行参数优化。本发明实现了较为准确的预测遭受复合攻击的风险的有益效果。

说明书

技术领域

本发明涉及网络攻击预警技术领域，具体而言，涉及一种基于改进的隐马尔可夫模型的复合攻击预测方法及装置。

背景技术

目前，复合攻击已经成为威胁最大的网络攻击形式。针对复合攻击行为，攻击者使用不同的攻击手段来达到攻击意图，但其攻击意图往往藏之于各种简单的单步攻击行为当中，是不可见的。现在有的入侵检测系统仅能对各种单步攻击行为产生不同的告警信息，而攻击者复合攻击的攻击意图却淹没在大量的告警信息中。复合攻击包括若干个单步攻击步骤，每一个单步攻击由该步骤所对应的告警信息折射出来。因此，如何基于大量单步攻击的告警信息来预测遭受复合攻击的风险，是本领域需要解决的技术问题。

发明内容

本发明为了解决上述背景技术中的至少一个技术问题，提出了一种基于改进的隐马尔可夫模型的复合攻击预测方法及装置。

为了实现上述目的，根据本发明的一个方面，提供了一种基于改进的隐马尔可夫模型的复合攻击预测方法，该方法包括：

获取单步攻击序列；

将所述单步攻击序列输入到训练出的隐马尔可夫模型中，得到复合攻击的发生概率，其中，所述隐马尔可夫模型先根据所述单步攻击序列确定出对应的复合攻击，进而确定出该对应的复合攻击的发生概率，所述隐马尔可夫模型在训练时采用Forward-Backward算法以及Baum-Welch算法进行参数优化。

可选的，该基于改进的隐马尔可夫模型的复合攻击预测方法，还包括：

获取训练样本，其中，所述训练样本为标注出复合攻击以及复合攻击的发生概率的单步攻击序列样本；

根据所述训练样本对预设的隐马尔可夫模型进行训练，得到训练出的隐马尔可夫模型，在训练时，采用Forward-Backward算法以及Baum-Welch算法对模型的参数进行优化。

可选的，所述根据所述训练样本对预设的隐马尔可夫模型进行训练，具体包括：

在训练时，通过Baum-Welch算法确定训练样本对应的复合攻击，以及通过Forward-Backward算法确定训练样本对应的攻击发生的概率。

可选的，所述根据所述训练样本对预设的隐马尔可夫模型进行训练，具体还包括：

在训练时，采用退火算法防止训练陷入局部最优解。

可选的，该基于改进的隐马尔可夫模型的复合攻击预测方法，还包括：

获取告警信息序列；

根据所述告警信息序列生成单步攻击序列。

为了实现上述目的，根据本发明的另一方面，提供了一种基于改进的隐马尔可夫模型的复合攻击预测装置，该装置包括：

单步攻击序列获取模块，用于获取单步攻击序列；

复合攻击预测模块，用于将所述单步攻击序列输入到训练出的隐马尔可夫模型中，得到复合攻击的发生概率，其中，所述隐马尔可夫模型先根据所述单步攻击序列确定出对应的复合攻击，进而确定出该对应的复合攻击的发生概率，所述隐马尔可夫模型在训练时采用Forward-Backward算法以及Baum-Welch算法进行参数优化。

可选的，该基于改进的隐马尔可夫模型的复合攻击预测装置，还包括：

训练样本获取模块，用于获取训练样本，其中，所述训练样本为标注出复合攻击以及复合攻击的发生概率的单步攻击序列样本；

模型训练模块，用于根据所述训练样本对预设的隐马尔可夫模型进行训练，得到训练出的隐马尔可夫模型，在训练时，采用Forward-Backward算法以及Baum-Welch算法对模型的参数进行优化。

可选的，所述模型训练模块，还用于在训练时采用退火算法防止训练陷入局部最优解。

为了实现上述目的，根据本发明的另一方面，还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述基于改进的隐马尔可夫模型的复合攻击预测方法中的步骤。

为了实现上述目的，根据本发明的另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序在计算机处理器中执行时实现上述基于改进的隐马尔可夫模型的复合攻击预测方法中的步骤。

本发明的有益效果为：

本发明通过建立一种改进的隐马尔可夫模型，能够根据单步攻击序列预测出复合攻击的发生概率，实现了较为准确的预测遭受复合攻击的风险的有益效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1是本发明实施例基于改进的隐马尔可夫模型的复合攻击预测方法的第一流程图；

图2是本发明实施例基于改进的隐马尔可夫模型的复合攻击预测方法的第二流程图；

图3是本发明实施例基于改进的隐马尔可夫模型的复合攻击预测装置的第一结构框图；

图4是本发明实施例基于改进的隐马尔可夫模型的复合攻击预测装置的第二结构框图；

图5是本发明实施例计算机设备示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

图1是本发明实施例基于改进的隐马尔可夫模型的复合攻击预测方法的第一流程图，如图1所示，在本发明一个实施例中，本发明的基于改进的隐马尔可夫模型的复合攻击预测方法包括步骤S101至步骤S102。

步骤S101，获取单步攻击序列。

在本发明一个实施例中，单步攻击序列可以为系统的告警信息序列，每一条告警信息对应一个单步攻击。

步骤S102，将所述单步攻击序列输入到训练出的隐马尔可夫模型中，得到复合攻击的发生概率，其中，所述隐马尔可夫模型先根据所述单步攻击序列确定出对应的复合攻击，进而确定出该对应的复合攻击的发生概率，所述隐马尔可夫模型在训练时采用Forward-Backward算法以及Baum-Welch算法进行参数优化。

在本发明中，攻击者的攻击过程是十分复杂的，不会使用固定的单步攻击来实现攻击意图(复合攻击)。一般攻击者会随着获得的信息不同，采用对应的攻击手段来达到目的。所以实现同一个复合攻击可以采取不同的攻击行为。有危害的复合攻击一般都由不同阶段的单步攻击构成，如果提取不同阶段的攻击意图，将各个阶段相同的攻击意图划为对应的集合中，这样便于使用攻击意图来分析攻击的全过程。

例如，为实现复合攻击永恒之蓝攻击中的不同阶段的单步攻击行为：IP扫描，目的是获得存活主机的IP地址；端口扫描，是为了获得目标主机开启的端口；防火墙探测：目的是探测目标主机防火墙的开闭情况；如果探测到目标主机防火墙关闭，就可以发起永恒之蓝攻击。

在本发明中，复合攻击通常包含某几个具体的单步攻击步骤，每一步攻击均取决于前一步的攻击情况，隐马尔可夫模型(在本发明中也称为HMM模型)不仅能够挖掘出攻击步骤之间的关系，也能较好的描述攻击步骤与复合攻击之间的联系。

在本发明一个实施例中，隐马尔可夫模型由λ＝{M,N,π,A,B}构成。M代表主机的不同种安全状态数目，S＝{S

本发明关于HMM模型的假设：

当前状态仅取决于上一状态：

p(q

当前输出仅取决于当前状态：

p(o

图2是本发明实施例基于改进的隐马尔可夫模型的复合攻击预测方法的第二流程图，如图2所示，在本发明一个实施例中，本发明的基于改进的隐马尔可夫模型的复合攻击预测方法还包括步骤S201至步骤S202。

步骤S201，获取训练样本，其中，所述训练样本为标注出复合攻击以及复合攻击的发生概率的单步攻击序列样本。

步骤S202，根据所述训练样本对预设的隐马尔可夫模型进行训练，得到训练出的隐马尔可夫模型，在训练时，采用Forward-Backward算法以及Baum-Welch算法对模型的参数进行优化。

在本发明一个具体实施例中，p(o|λ)是复合攻击的发生概率，本发明使用Forward-Backward算法调整HMM模型的参数π,A,B，使得p(o|λ)计算更加准确，快捷。

Forward-Backward算法具体用于，对于给定的单步攻击序列(即告警信息序列)o＝{x

p(o,X|λ)＝p(o|X,λ)p(X|λ)

在本发明一个具体实施例中，本发明使用Baum-Welch算法，对于HMM模型中的π,a

π

a

在本发明实施例中，在训练好隐马尔可夫模型之后，对于给定的单步攻击序列(即告警信息序列)o＝{x

在本发明一个实施例中，上述步骤S202的根据所述训练样本对预设的隐马尔可夫模型进行训练，具体包括：

在训练时，通过Baum-Welch算法确定训练样本对应的复合攻击，以及通过Forward-Backward算法确定训练样本对应的攻击发生的概率。

在本发明一个实施例中，上述步骤S202的根据所述训练样本对预设的隐马尔可夫模型进行训练，具体包括：在训练时，采用退火算法防止训练陷入局部最优解。

在本发明中，本发明针对使用Baum-Welch算法对于隐马尔可夫模型进行训练容易陷入局部最优解问题，引入退火算法。引入退火算法可以将得到的最优解概率性跳出，避免陷入局部最优。

在本发明一个实施例中，在上述步骤S101之前，本发明的基于改进的隐马尔可夫模型的复合攻击预测方法，还包括：

获取告警信息序列；

根据所述告警信息序列生成单步攻击序列。

由以上实施例可以看出，本发明深入分析了复合攻击的攻击特征和攻击步骤，提出了一种基于改进隐马尔可夫模型的复合攻击预测方法，通过引入通过Baum-Welch算法对于当前已经检测到的事件进行进一步预测。及时发现由于漏报而形成的潜在隐患，减少了对误报的不必要反应。与其他检测方法相比，改进隐马尔可夫模型具有计算量较小，实际应用价值高的特点。通过实验计算，在告警信息存在误报的情况下，提出的改进的隐马尔可夫模型具有较好的性能。本发明至少实现了以下有益效果：

1、本发明将改进隐马尔科夫模型应用于预测攻击发生概率，提高了预测攻击发生概率的准确性。

2、本发明通过Baum-Welch算法对评估模型的配置参数进行寻优，使用量化分析得到整个网络的安全态势，优化HMM模型的参数，使得预测攻击发生概率计算更加准确，减少误报发生的频率。

需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

基于同一发明构思，本发明实施例还提供了一种基于改进的隐马尔可夫模型的复合攻击预测装置，可以用于实现上述实施例所描述的基于改进的隐马尔可夫模型的复合攻击预测方法，如下面的实施例所述。由于基于改进的隐马尔可夫模型的复合攻击预测装置解决问题的原理与基于改进的隐马尔可夫模型的复合攻击预测方法相似，因此基于改进的隐马尔可夫模型的复合攻击预测装置的实施例可以参见基于改进的隐马尔可夫模型的复合攻击预测方法的实施例，重复之处不再赘述。以下所使用的，术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图3是本发明实施例基于改进的隐马尔可夫模型的复合攻击预测装置的第一结构框图，如图3所示，本发明实施例基于改进的隐马尔可夫模型的复合攻击预测装置包括：

单步攻击序列获取模块1，用于获取单步攻击序列；

复合攻击预测模块2，用于将所述单步攻击序列输入到训练出的隐马尔可夫模型中，得到复合攻击的发生概率，其中，所述隐马尔可夫模型先根据所述单步攻击序列确定出对应的复合攻击，进而确定出该对应的复合攻击的发生概率，所述隐马尔可夫模型在训练时采用Forward-Backward算法以及Baum-Welch算法进行参数优化。

图4是本发明实施例基于改进的隐马尔可夫模型的复合攻击预测装置的第一结构框图，如图4所示，本发明实施例基于改进的隐马尔可夫模型的复合攻击预测装置还包括：

训练样本获取模块3，用于获取训练样本，其中，所述训练样本为标注出复合攻击以及复合攻击的发生概率的单步攻击序列样本；

模型训练模块4，用于根据所述训练样本对预设的隐马尔可夫模型进行训练，得到训练出的隐马尔可夫模型，在训练时，采用Forward-Backward算法以及Baum-Welch算法对模型的参数进行优化。

在本发明一个实施例中，所述模型训练模块，还用于在训练时采用退火算法防止训练陷入局部最优解。

在本发明一个实施例中，所述模型训练模块，还用于在训练时，通过Baum-Welch算法确定训练样本对应的复合攻击，以及通过Forward-Backward算法确定训练样本对应的攻击发生的概率。

在本发明一个实施例中，本发明实施例的基于改进的隐马尔可夫模型的复合攻击预测装置还包括：

告警信息序列获取模块，用于获取告警信息序列；

生成单步攻击序列生成模块，用于根据所述告警信息序列生成单步攻击序列。

为了实现上述目的，根据本申请的另一方面，还提供了一种计算机设备。如图5所示，该计算机设备包括存储器、处理器、通信接口以及通信总线，在存储器上存储有可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述实施例方法中的步骤。

处理器可以为中央处理器(Central Processing Unit，CPU)。处理器还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。

存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及单元，如本发明上述方法实施例中对应的程序单元。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及作品数据处理，即实现上述方法实施例中的方法。

存储器可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述一个或者多个单元存储在所述存储器中，当被所述处理器执行时，执行上述实施例中的方法。

上述计算机设备具体细节可以对应参阅上述实施例中对应的相关描述和效果进行理解，此处不再赘述。

为了实现上述目的，根据本申请的另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序在计算机处理器中执行时实现上述基于改进的隐马尔可夫模型的复合攻击预测方法中的步骤。本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory，ROM)、随机存储记忆体(RandomAccessMemory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid-State Drive，SSD)等；所述存储介质还可以包括上述种类的存储器的组合。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。