一種預測網絡攻擊行為的方法及裝置的製作方法

2023-06-14 08:20:46 2

專利名稱：：一種預測網絡攻擊行為的方法及裝置的製作方法
技術領域：
：本發明涉及網絡通信安全領域，特別是涉及一種預測網絡攻擊行為的方法及裝置。
背景技術：
：隨著計算機網絡技術的飛速發展，社會的信息化程度不斷提高，網絡在給人們帶來巨大的經濟效益和社會效益的同時，也面臨著日益嚴重的安全問題，針對網絡的攻擊層出不窮。攻擊數量、種類越來越多；攻擊越來越複雜；對依賴網絡的用戶危害也越來越大。因此對網絡攻擊行為特點的深入研究勢在必行。對網絡攻擊的研究不能僅從攻擊的個體出發，需要對整個網絡攻擊系統有整體的認識。但一方面攻擊行為的複雜性、多樣性，難於歸納總結，特別是針對大規模網絡的描述，就更加困難。另一方面現有的攻擊模型大多應用於入侵檢測，很少有從預警的角度對網絡攻擊行為進行描述分析。如今大部分關於網絡攻擊的描述集中於歸納、分類漏洞和攻擊方法上。比如一種利用攻擊樹模型的描述方法，使用樹來表示攻擊行為之間的關聯，樹的每個節點表示攻擊的最終目標。攻擊樹直觀、易於理解，但是它不區分攻擊行為和攻擊結果，難以利用攻擊樹模型進行攻擊預警。另外一種是基於對離散並行系統的數學表示Petri網的攻擊網描述方法，使用Petri網的庫所(Place)表示攻擊的階段，變遷(Transition)表示攻擊行為，有向弧(Connection)表示攻擊過程。還有一種表示攻擊過程的方法是狀態轉換圖。攻擊過程表示為系統狀態之間的遷移，通過檢測攻擊過程的各個狀態是否得到了滿足判斷是否發生了攻擊，可以根據已檢測到的攻擊行為預測系統將會達到的危害狀態，但並沒有考慮各種攻擊過程之間的關係。現有入侵檢測技術通過匹配已知攻擊方法的特徵對攻擊行為進行檢測。如Snort的入侵規則集通過單包特徵對攻擊進行檢測。STATL語言基於狀態和狀態轉移對攻擊行為進行描述，為基於狀態圖的入侵檢測系統提供入侵特徵庫。ESTQ方法通過事件，協議狀態，時間關係，數量關係對網絡協議攻擊進行描述。IDIOT採用有色petri網對入侵進行建模和檢測。現有技術的另一種網絡入侵行為和正常行為的形式化描述方法是以ASSQ四元組為理論基礎，在已有Petri網模型的基礎上進行了重新定義和修改，可以應用在各種入侵檢測和相關系統中，用來跟蹤、檢測入侵行為，區分系統正常行為和入侵行為。這項技術是ESTQ方法和petri網相結合的描述方法。ASSQ四元組是ESTQ方法的改進，是對入侵行為的總體上的描述，對攻擊在系統狀態和網絡事件中表現出來的時間和數量上的關係進行分析，通過重新定義的Petri網模型來實現對四元組的描述。在實現本發明過程中，發明人發現現有技術至少存在如下問題現有技術要麼對攻擊過程中攻擊行為的描述過於簡單，不能對攻擊過程進行清晰的描述，沒有體現出大規模網絡攻擊的整體性，不適用於宏觀網絡。要麼只是單純通過四元組對入侵行為進行定義，並以petri網描述入侵過程，沒有進一步提出如何對下一步入侵行為進行預測和描述。
發明內容本發明實施例要解決的問題是提供一種預測網絡攻擊行為的方法及裝置。為達到上述目的，本發明的一個實施例的技術方案提供一種預測網絡攻擊行為的方法，包括以下步驟監測網絡狀態參數，根據網絡狀態參數的變化，獲得攻擊行為；根據攻擊行為與後繼攻擊行為的對應關係，從所述攻擊行為對應的後繼攻擊行為中選擇一個最大可能後繼攻擊行為，其中，所述最大可能後繼攻擊行為是與所述攻擊行為對應的後繼攻擊行為中發生次數最多的一個；將所述最大可能後繼攻擊行為作為預測的網絡攻擊行為輸出。本發明實施例的技術方案還提供了一種預測網絡攻擊行為的裝置，包括攻擊行為管理單元。所述攻擊行為管理單元，用於檢測網絡狀態參數的變化，根據網絡參數發生變化，查找到攻擊行為，根據攻擊行為與後繼攻擊行為的對應關係，從所述攻擊行為對應的後繼攻擊行為中預測最大可能後繼攻擊行為，與現有技術相比，本發明的實施例具有以下優點本發明的實施例通過詳細描述攻擊行為過程及攻擊過程中攻擊行為之間的關係，對後繼攻擊行為進行預測和阻止，解決了只單一描述攻擊行為，沒有描述整個攻擊過程的問題，並且提出了預警的方法，達到了預警的目的，從而提高了網絡的安全性。圖1是本發明實施例的一種描述網絡攻擊行為的攻擊行為帶權有向圖的結構圖；圖2是本發明實施例的一種描述網絡攻擊行為的索引表和後繼攻擊行為表的結構圖；圖3是本發明實施例的一種預測網絡攻擊行為的流程圖；圖4是本發明實施例的一種描述網絡攻擊行為的攻擊支撐樹流程圖；圖5是本發明實施例的另一種描述網絡攻擊行為的攻擊支撐樹流程圖；圖6是本發明實施例的一種裝置結構圖。具體實施例方式下面結合附圖和實施例，對本發明的具體實施方式作進一步詳細描述。結合圖1、圖2來具體介紹描述網絡攻擊行為的方法。攻擊行為與其後繼攻擊行為之間的對應關係用攻擊行為帶權有向圖來表示。圖1是本發明實施例的一種描述網絡攻擊行為的攻擊行為帶權有向圖的結構圖，圓圈是攻擊行為帶權有向圖中的頂點，每個頂點表示一種攻擊行為，圓圈內的字母表示具體攻擊行為的名稱；箭頭線是攻擊行為帶權有向圖中的弧，弧代表由攻擊行為到後繼攻擊行為的指向關係，弧尾連接前驅攻擊行為，弧頭指向後繼攻擊行為，例如A為前驅攻擊行為，B、C、D是A的後繼攻擊行為；箭頭線上的字母是攻擊行為帶權有向圖中的弧的權重，描述的是從前驅攻擊行為到後繼攻擊行為這一攻擊行為序列的歷史發生次數。例如弧AB的權重為i，則表示以前從攻擊行為A到攻擊行為B發生過i次；而弧AC的權重為j，如果i＞j，則表明由攻擊行為A到攻擊行為B的攻擊行為序列歷史上發生次數大於由攻擊行為A到攻擊行為C的攻擊行為序列；反之，如果i＜j，由攻擊行為A到攻擊行為C的攻擊行為序列歷史上發生次數大於由攻擊行為A到攻擊行為B的攻擊行為序列。圖2是本發明實施例的一種描述網絡攻擊行為的索引表和後繼攻擊行為表的結構圖。攻擊行為名稱、攻擊行為狀態與後繼攻擊行為之間的對應關係用索引表來表示，後繼攻擊行為名稱、後繼攻擊行為狀態、由攻擊行為到後繼攻擊行為發生次數以及阻止所述最大可能後繼攻擊行為發生的策略之間的對應關係用後繼攻擊表來表示。根據圖1，建立一個索引表21和多個後繼攻擊行為表22。索引表21中每一項的結構為name211，active212，*next_table213。其中，name211是攻擊行為名稱，name∈n，n是攻擊行為名稱集合；active212表示攻擊行為狀態，其中Y表示該攻擊行為沒有被屏蔽；N表示該攻擊行為被屏蔽，active初始值均為Y。在查找攻擊行為時，被屏蔽的攻擊行為不能夠被遍歷和查找。在攻擊行為帶權有向圖上也不顯示出來。方便快速查找最大可能後繼攻擊行為。*next_table213是指向後繼攻擊行為表的指針，指向該攻擊行為對應的後繼攻擊行為表。後繼攻擊行為表22用於存儲後繼攻擊行為的所有相關信息，表中的各項分別用來描述攻擊行為帶權有向圖中的各條弧。每一個表項的結構為next_name221，num222，active223，*respond224。其中next_name221是後繼攻擊行為名稱，next_name∈n；num222是由攻擊行為到後繼攻擊行為發生次數；active223表示後繼攻擊行為狀態，具體是指攻擊行為與其後繼攻擊行為之間的弧的狀態，其中Y表示該弧沒有被屏蔽；N表示該弧被屏蔽。active初始值均為Y。被屏蔽的弧被設置為隱藏狀態，在攻擊行為帶權有向圖上不顯示出來。*respond224是指向阻止後繼攻擊行為發生的響應子單元的指針。建立索引表21和後繼攻擊行為表22的具體實施例為根據經驗知識獲知如圖1的各頂點之間的先驅和後繼關係，利用歷史樣本數據確定弧的權重數據。然後建立索引表21，將所有攻擊行為名稱填入索引表21中的每一個表項中的name211欄位，active212欄位均設為Y。針對每一個攻擊行為，建立一個後繼攻擊行為表22，將該攻擊行為的所有後繼攻擊行為名稱填入後繼攻擊行為表22中的next_name221欄位內，每一個後繼攻擊行為對應一個表項；將每一個攻擊行為所對應表項的*next_table213指針指向對應的後繼攻擊行為表22；根據歷史樣本數據，填寫每個後繼攻擊行為表22中的弧的權重num222；active223欄位均設為Y；將後繼攻擊行為表22每一項中的*respond224指針指向用於阻止該後繼攻擊行為的響應子單元。通過上述步驟得到索引表21和後繼攻擊行為表22。通過以上實施例可以看出，本發明實施例詳細描述了攻擊過程中攻擊行為之間的重要關係，不再單一描述某一攻擊。使我們對整個攻擊序列有了更加清楚的認識。圖3是本發明實施例的一種預測網絡攻擊行為的流程圖。下面結合圖3，對本發明實施例預測網絡攻擊行為進行詳細描述，具體步驟為步驟S31，檢測網絡狀態參數，如果網絡狀態參數發生變化，說明發生攻擊行為。根據網絡參數的變化，獲得攻擊行為。步驟S32，判斷該攻擊行為是否為唯一確定的攻擊行為，如果是唯一確定的攻擊行為，則轉步驟S33；否則轉步驟S34。步驟S33，根據攻擊行為與其後繼攻擊行為的對應關係，將該攻擊行為的所有後繼攻擊行為放入集合GP中。步驟S331，在集合GP中查找最大可能後繼攻擊行為。遍歷所有指向後繼攻擊行為的弧的權重，弧的權重越大，表明對應的後繼攻擊行為發生的次數越多。數值最大的弧的權重所指向的後繼攻擊行為即為最大可能後繼攻擊行為。步驟S332，最大可能後繼攻擊行為所對應的響應子單元對其進行阻止。步驟S333，判斷該響應子單元是否阻止了最大可能後繼攻擊行為的發生。如果該響應子單元阻止了最大可能後繼攻擊行為的發生，則轉到步驟S334；否則轉到步驟S335。步驟S334，該響應子單元阻止了最大可能後繼攻擊行為的發生，將網絡狀態恢復到安全狀態，則指向最大可能後繼攻擊行為的弧的權重加1，說明對網絡攻擊行為的預警成功，流程結束。步驟S335，該響應子單元阻止了最大可能後繼攻擊行為失敗，網絡狀態未恢復到安全狀態，則指向最大可能後繼攻擊行為的弧的權重減1。步驟S336，在集合GP中除去最大可能後繼攻擊行為。步驟S337，判斷集合GP是否為空，如果為空，則轉到步驟S31；否則，轉到步驟S331。步驟S34，該攻擊行為是幾個可能攻擊行為之一，則根據攻擊行為與後繼攻擊行為的對應關係，在幾個可能攻擊行為的後繼攻擊行為中查找共同的最大可能後繼攻擊行為。步驟S341，判斷幾個可能攻擊行為的後繼攻擊行為是否存在共同的最大可能後繼攻擊行為，如果存在，則轉到步驟S342，否則轉到步驟S31。步驟S342，共同的最大可能後繼攻擊行為所對應的響應子單元對其進行阻止。步驟S343，判斷該響應子單元是否阻止了最大可能後繼攻擊行為的發生。如果該響應子單元阻止了最大可能後繼攻擊行為的發生，則轉到步驟S344；否則轉到步驟S345。步驟S344，該響應子單元阻止了最大可能後繼攻擊行為的發生，將網絡狀態恢復到安全狀態，則指向最大可能後繼攻擊行為的弧的權重加β/k，其中β在0至1之間取值，k是可能攻擊行為的個數，說明對網絡攻擊行為的預警成功，流程結束。步驟S345，該響應子單元阻止了最大可能後繼攻擊行為失敗，網絡狀態未恢復到安全狀態，則指向最大可能後繼攻擊行為的弧的權重減β/k，其中β在0至1之間取值，k是可能攻擊行為的個數。轉到步驟S31。下面結合圖1、圖2，以一個具體實施例對預測網絡攻擊行為的方法進行詳細描述。由圖1、圖2可知，A、B、C、D均為攻擊行為，B、C、D均為A的後繼攻擊行為，弧AB的權重為i，弧AC的權重為j，弧AD的權重為k。響應模塊1、3、n分別阻止攻擊行為B、C、D的發生。如果當前網絡狀態參數發生變化，確定當前發生攻擊行為是A，則由A的後繼攻擊行為B、C、D組成集合GP，並在集合GP中查找最大可能後繼攻擊行為，如果i＞j＞k，則B為最大可能後繼攻擊行為，調用B對應的響應子單元1，如果響應子單元1阻止了B，網絡狀態恢復到安全狀態，則預測成功，弧AB的權重i加1，流程結束；若響應子單元1沒有阻止B，網絡狀態未恢復到安全狀態，則表明預測失敗，弧AB的權重i減1，並將B從GP中去除，然後返回到GP，繼續尋找最大可能後繼攻擊行為，直到響應模塊阻止了最大可能後繼攻擊行為或GP為空。如果當前網絡狀態參數發生變化，確定當前發生攻擊行為可能是B或D，則分別查找B、D的最大可能後繼攻擊行為。在圖1中，攻擊E、F、C均為攻擊B的後繼攻擊行為，弧BE、BF、BC的權重分別為d、e、a；攻擊C、F、G為攻擊D的後繼攻擊行為，弧DC、DF、DG的權重分別為b、g、h。如果d＞e，d＞a，h＞b，h＞g，則B的最大可能後繼攻擊行為為E，D的最大可能後繼攻擊行為為G，即B和D沒有最大可能後繼攻擊行為，則繼續監測網絡狀態。如果e＞d，e＞a，g＞b，g＞h，B和D的最大可能後繼攻擊行為均為F，調用F對應的響應子單元5，如果響應子單元5阻止了F，網絡狀態恢復到安全狀態，則預測成功，弧BF、DF的權重e、g分別增加β/2，流程結束；如果響應子單元5沒有阻止了F，網絡狀態未恢復到安全狀態，則預測失敗，弧BF、DF的權重e、g分別減小β/2，然後繼續監測網絡狀態參數。以上實施例通過分析後繼攻擊行為，查找最大可能後繼攻擊行為，由響應子單元對最大可能後繼攻擊行為進行阻止，達到了預警的目的。圖4是本發明實施例的一種描述網絡攻擊行為的攻擊支撐樹流程圖。攻擊支撐樹是對攻擊行為帶權有向圖進行簡化得到的，具體步驟包括步驟S41，根據歷史數據和經驗，設定一個權重閾值t。步驟S42，訪問後繼攻擊行為表，對num222表項遍歷。步驟S43，判斷是否所有後繼攻擊行為表遍歷完畢，如果遍歷完畢，則轉步驟S46，否則轉步驟S44。步驟S44，用當前後繼攻擊行為表中的num222數值與t進行比較，如果當前後繼攻擊行為表中的num222數值小於t，則轉步驟S45，否則轉步驟S42。步驟S45，後繼攻擊行為表中的num222數值小於t，則表明該後繼攻擊行為發生的機率比較小，可以認為是安全的，所以屏蔽該當前後繼攻擊行為表中的num222數值對應的弧。不對該弧指向的後繼攻擊行為進行查找和遍歷。被屏蔽的弧在攻擊行為帶權有向圖上被隱藏，不顯示出來。步驟S46，當所有後繼攻擊行為表遍歷完畢後，判斷所述攻擊行為帶權有向圖是否因為屏蔽一些弧，而使一些弧的頂點變成孤點，如果所述攻擊行為帶權有向圖出現孤點，則轉步驟步驟S47，否則轉步驟S48。步驟S47，屏蔽上述孤點。孤點表示具體的攻擊行為，在查找最大可能後繼攻擊行為時，對被屏蔽的攻擊行為不進行遍歷和查找。以快速查找到最大可能後繼攻擊行為。步驟S48，屏蔽了上述弧和孤點的攻擊行為帶權有向圖即為所求的攻擊支撐樹。如果判斷到的攻擊行為所對應的頂點是被屏蔽的，則取消對該頂點以及和其關聯的弧的屏蔽。如果某個被屏蔽的弧所對應的攻擊序列再次確定地出現，則取消對其的屏蔽。實施例的流程如圖5所示，具體步驟包括步驟S51，通過監測網絡狀態參數的變化，確定了某個具體攻擊行為發生。步驟S52，判斷該攻擊行為是否被屏蔽。如果被屏蔽，則轉步驟S53，否則轉步驟S56。判斷該攻擊行為是否被屏蔽具體為查找索引表21，如果該攻擊行為對應的acctive212為N，則表示被屏蔽，為Y，則表示未被屏蔽。步驟S53，取消對該頂點的屏蔽，即將acctive212改為Y。步驟S54，取消對該攻擊行為指向其所有後繼攻擊行為的弧的屏蔽。具體實施步驟為查找該攻擊行為對應的所有後繼攻擊行為表22，將所有後繼攻擊行為表22內的active223改為Y。步驟S55，取消對該攻擊行為的所有後繼攻擊行為對應的頂點的屏蔽。具體實施步驟為由步驟S54，得到該攻擊行為所有後繼攻擊行為的名稱next_name221，查找索引表21，將所有名稱與next_name221對應的表項內的acctive212改為Y。步驟S56，得到的新圖即為所求的攻擊支撐樹。以上實施例通過簡化攻擊行為帶權有向圖來建立攻擊支撐樹，可以更快的判斷當前攻擊的模式，縮短檢測的響應時間，從而提高了預測網絡攻擊行為的效率。圖6是本發明實施例的一種裝置結構圖，包括攻擊行為管理單元61和告警單元62，其中告警單元又包括響應子單元621和權重管理子單元622。攻擊行為管理單元61主要是監測網絡狀態參數，當網絡狀態參數發生變化，確定攻擊行為發生，根據攻擊行為與後繼攻擊行為的對應關係，找出攻擊行為的最大可能後繼攻擊行為，並通過告警單元62控制響應子單元621對最大可能後繼攻擊行為進行阻止。響應子單元621存儲了阻止對應後繼攻擊行為發生的策略，用於阻止後繼攻擊行為的發生。權重管理子單元622是根據響應子單元621對後繼攻擊行為的阻止結果來更新由攻擊行為到最大後繼攻擊行為的發生次數。如果響應子單元621阻止後繼攻擊行為成功，將網絡狀態恢復到安全狀態，則權重管理子單元622增加由攻擊行為到最大後繼攻擊行為的發生次數。如果響應子單元621阻止後繼攻擊行為失敗，未將網絡狀態恢復到安全狀態，則權重管理子單元622減小由攻擊行為到最大後繼攻擊行為的發生次數。通過更新由攻擊行為到最大後繼攻擊行為的發生次數，可以更加準確、及時的描述和預測網絡攻擊行為的發生。下面結合圖1、圖2具體實例，進行進一步解釋如果攻擊行為管理單元61確定攻擊行為A發生攻擊行為，找到B為A的最大後繼攻擊行為，則控制響應子單元621中的響應子單元1對B進行阻止。如果響應子單元1阻止B成功，將網絡狀態恢復到安全狀態，則權重管理子單元622把i更新為i+1；如果響應子單元1阻止B失敗，未將網絡狀態恢復到安全狀態，則權重管理子單元622把i更新為i-1。如果攻擊行為管理單元61確定攻擊行為B或D中間的一個發生攻擊行為，則在B和D的後繼攻擊行為中尋找共同的最大後繼攻擊行為，如果找到共同的最大後繼攻擊行為為F，則控制響應子單元621中的響應子單元5對F進行阻止。如果響應子單元5阻止F成功，將網絡狀態恢復到安全狀態，則權重管理子單元622把e和g更新為e+β/2和g+β/2；如果響應子單元5阻止F失敗，未將網絡狀態恢復到安全狀態，則權重管理子單元622把e和g更新為e-β/2和g-β/2。其中β在0至1間取值。通過以上實施例，可以看出本發明實施例通過對攻擊行為過程及攻擊過程中攻擊行為之間的關係的描述，實現了對後繼攻擊行為的預警，從而提高了網絡的安全性。通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本發明可藉助軟體加必需的通用硬體平臺的方式來實現，當然也可以通過硬體，但很多情況下前者是更佳的實施方式。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者網絡設備等)執行本發明各個實施例所述的方法。以上所述僅是本發明的優選實施方式，應當指出，對於本
技術領域：
的普通技術人員來說，在不脫離本發明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應視為本發明的保護範圍。權利要求1.一種預測網絡攻擊行為的方法，其特徵在於，包括以下步驟監測網絡狀態參數，根據網絡狀態參數的變化，獲得攻擊行為；根據攻擊行為與後繼攻擊行為的對應關係，從所述攻擊行為對應的後繼攻擊行為中選擇一個最大可能後繼攻擊行為，其中，所述最大可能後繼攻擊行為是與所述攻擊行為對應的後繼攻擊行為中發生次數最多的一個；將所述最大可能後繼攻擊行為作為預測的網絡攻擊行為輸出。2.如權利要求1所述預測網絡攻擊行為的方法，其特徵在於，如果所述攻擊行為包括一個攻擊行為，則在所述攻擊行為的所有後繼攻擊行為中查找最大可能後繼攻擊行為。3.如權利要求1所述預測網絡攻擊行為的方法，其特徵在於，如果所述攻擊行為是多個可能攻擊行為，則在多個可能攻擊行為中查找共同的最大可能後繼攻擊行為。4.如權利要求1所述預測網絡攻擊行為的方法，其特徵在於，在將所述最大可能後繼攻擊行為作為預測的網絡攻擊行為輸出之後還包括對所述最大可能後繼攻擊行為進行阻止；如果阻止所述最大可能後繼攻擊行為成功，則增加由所述攻擊行為到所述最大可能後繼攻擊行為的發生次數；如果阻止所述最大可能後繼攻擊行為失敗，則減小由所述攻擊行為到所述最大可能後繼攻擊行為的發生次數。5.如權利要求4所述預測網絡攻擊行為的方法，其特徵在於，增加或減小由所述攻擊行為到所述最大可能後繼攻擊行為的發生次數，具體為如果所述攻擊行為是唯一確定的攻擊行為，則由所述攻擊行為到所述最大可能後繼攻擊行為的發生次數增加或減小1；如果所述攻擊行為是多個可能攻擊行為之一，則由所述攻擊行為到所述最大可能後繼攻擊行為的發生次數增加或減小β/k，其中β在0至1之間取值，k是可能攻擊行為的個數。6.如權利要求1所述預測網絡攻擊行為的方法，其特徵在於，在監測網絡狀態參數之前，還包括建立所述攻擊行為名稱、攻擊行為狀態與所述攻擊行為的後繼攻擊行為之間的對應關係；建立後繼攻擊行為名稱、後繼攻擊行為狀態、由所述攻擊行為到後繼攻擊行為的發生次數以及阻止所述最大可能後繼攻擊行為發生的策略之間的對應關係。7.如權利要求6所述預測網絡攻擊行為的方法，其特徵在於，在建立所述對應關係之後，還包括以下步驟判斷由所述攻擊行為到後繼攻擊行為的發生次數是否小於權重閾值；如果是，則屏蔽所述後繼攻擊行為及由所述攻擊行為到所述後繼攻擊行為的指向關係。8.如權利要求7所述預測網絡攻擊行為的方法，其特徵在於，如果被屏蔽的所述後繼攻擊行為的前驅攻擊行為發生攻擊，則取消對所述後繼攻擊行為的屏蔽，並取消對由所述前驅攻擊行為到其所有後繼攻擊行為的指向關係的屏蔽。9.一種預測網絡攻擊行為的裝置，其特徵在於，包括攻擊行為管理單元；所述攻擊行為管理單元，用於檢測網絡狀態參數的變化，根據網絡參數發生變化，查找到攻擊行為，根據攻擊行為與後繼攻擊行為的對應關係，從所述攻擊行為對應的後繼攻擊行為中預測最大可能後繼攻擊行為。10.如權利要求9所述預測網絡攻擊行為的裝置，其特徵在於，還包括告警單元，所述告警單元，用於對所述攻擊行為管理單元預測出的最大可能後繼攻擊行為進行阻止，更新由所述攻擊行為到其最大可能後繼攻擊行為的發生次數。11.如權利要求9所述預測網絡攻擊行為的裝置，其特徵在於，所述告警單元還包括響應子單元和權重管理子單元；所述響應子單元，用於阻止後繼攻擊行為進行攻擊；所述權重管理子單元，用於更新由所述攻擊行為到其最大可能後繼攻擊行為的發生次數。12.如權利要求11所述預測網絡攻擊行為的裝置，其特徵在於，所述權重管理子單元更新由所述攻擊行為到其最大可能後繼攻擊行為的發生次數，包括如果所述響應子單元阻止所述最大可能後繼攻擊行為成功，則所述權重管理子單元增加由所述攻擊行為到其最大可能後繼攻擊行為的發生次數；如果所述響應子單元阻止所述最大可能後繼攻擊行為失敗，則所述權重管理子單元減小由所述攻擊行為到其最大可能後繼攻擊行為的發生次數。全文摘要本發明涉及網絡通信安全領域，公開了一種預測網絡攻擊行為的方法，包括以下步驟監測網絡狀態參數，根據網絡狀態參數的變化，獲得攻擊行為；根據攻擊行為與後繼攻擊行為的對應關係，從所述攻擊行為對應的後繼攻擊行為中選擇一個最大可能後繼攻擊行為，其中，所述最大可能後繼攻擊行為是與所述攻擊行為對應的後繼攻擊行為中發生次數最多的一個；將所述最大可能後繼攻擊行為作為預測的網絡攻擊行為輸出。本發明還公開了一種預測網絡攻擊行為的裝置，包括攻擊行為管理單元。本發明詳細描述了網絡攻擊行為過程及攻擊過程中攻擊行為之間的關係，提出了網絡預警的方法，為針對網絡攻擊採取具體措施提供了依據。文檔編號H04L12/26GK101075917SQ20071013023公開日2007年11月21日申請日期2007年7月16日優先權日2007年7月16日發明者何興高,傅翀,張鳳荔,曹振奇,汪敦全,鄭聶軍,張程偉,汪波,鹿昌義申請人:華為技術有限公司,電子科技大學