(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202110815842.2 (22)申请日 2021.07.19 (65)同一申请的已公布的文献号 申请公布号 CN 113536678 A (43)申请公布日 2021.10.2 2 (73)专利权人 中国人民解 放军国防科技大 学 地址 410073 湖南省长 沙市开福区德雅路 109号 (72)发明人 周鋆　符鹏涛　朱先强　丁兆云　 朱承　 (74)专利代理 机构 长沙国科天河知识产权代理 有限公司 432 25 代理人 邱轶 (51)Int.Cl. G06F 30/27(2020.01) G06N 3/08(2006.01) G06N 7/00(2006.01) G06N 5/04(2006.01) G06K 9/62(2022.01)G06Q 10/06(2012.01) (56)对比文件 CN 112580050 A,2021.0 3.30 CN 112069726 A,2020.12.1 1 CN 111614616 A,2020.09.01 CN 110266675 A,2019.09.20 CN 109981631 A,2019.07.0 5 CN 10976 6693 A,2019.0 5.17 CN 10908 8899 A,2018.12.25 US 201828 8086 A1,2018.10.04 CN 108540 329 A,2018.09.14 CN 107360152 A,2017.1 1.17 CN 10272419 9 A,2012.10.10 李铭等.SQ L注入行为实时在线智能检测技 术研究. 《湖南大 学学报(自然科 学版)》 .2020, (第08期), (续) 审查员 陈晓静 (54)发明名称 基于贝叶斯网络及S TRIDE模型的XSS风险分 析方法及装置 (57)摘要 本申请涉及一种基于贝 叶斯网络及STRIDE 模型的XSS风险分析方法及装置。 所述方法包括： 构建网络信息发布系统关于XSS攻击相关的 STRIDE威胁模型； 根据 STRIDE威胁模型， 得到 XSS 攻击贝叶斯网络风险分析模型的网络结构； 根据 专家经验和排序节点算法， 上述网络结构中所有 节点的先验概率； 然后通过拒绝性采样算法或直 接抽样的方式进行仿真得到训练数据集； 采用训 练数据集对XSS攻击贝叶斯网络风险分析模型的 网络结构进行网络训练， 得到XSS攻击贝叶斯网 络风险分析模型， 然后对贝叶斯网络进行推理， 得到网络系统遭受XSS攻击风险的量化分析结 果。 采用本方法能够实现针对C2网络中Web系统遭受XSS攻击风险的积极量 化分析。 [转续页] 权利要求书2页 说明书13页 附图3页 CN 113536678 B 2022.04.19 CN 113536678 B (56)对比文件 孙立健等.一种新的多 任务朴素贝叶斯学习 方法. 《信息 工程大学学报》 .2020,(第02期), 孙宝丹等.NO TEARS算法在XS S攻击检测中 的应用研究. 《小型微型计算机系统》 .2020,(第 04期),李鲁群等.基于权重优化LSTM网络跨站脚本 攻击检测的研究. 《网络空间安全》 .2019,(第07 期), 王燕等.数字化校园Web应用典型安全威胁 及其防护. 《实验室研究与探索》 .2012,(第1 1 期),2/2 页 2[接上页] CN 113536678 B1.一种基于贝叶斯网络及STRIDE模型的XSS风险分析方法， 其特征在于， 所述方法包 括： 构建网络信息发布系统关于XS S攻击相关的STRIDE威胁模型； 从所述STRIDE威胁模型中提取网络信息发布系统的信息资产、 信息资产之间的数据流 以及数据流对应的XSS攻击类型； 根据所述信息 资产、 信息 资产之间的数据流以及数据流对 应的XSS攻击类型， 得到XS S攻击贝叶斯网络风险分析模型的网络结构； 根据专家经验和排序节点算法， 得到XSS攻击贝叶斯网络风险分析模型的网络结构中 所有节点的先验概 率； 根据所述节点的先验概率， 通过拒 绝性采样算法或直接抽 样的方式进行仿真得到训练 数据集； 采用训练数据集对所述XSS攻击贝叶斯网络风险分析模型的网络结构进行网络训练， 得到XSS攻击贝叶斯网络风险分析模型； 根据所述XSS攻击贝叶斯网络风险分析模型， 对贝叶斯网络进行推理， 得到网络系统遭 受XSS攻击风险的量 化分析结果。 2.根据权利要求1所述的方法， 其特征在于， 根据所述信息资产、 信息资产之间的数据 流以及数据流对应的XSS攻击类型， 得到XSS攻击贝叶斯网络风险分析模型的网络结构， 包 括： 将所述信息资产作为贝叶斯网络模型节点， 所述数据流对应的XSS攻击类型作为所述 贝叶斯网络模型节点的变量内容； 根据所述各个信息资产的层级关系以及所述信息 资产之 间的数据流的走向设置贝叶斯网络模型 各节点间的关系； 根据所述贝叶斯网络模型节点、 所述贝叶斯网络模型节点的变量内容和所述贝叶斯网 络模型各节点间的关系， 得到XS S攻击贝叶斯网络风险分析模型的网络结构。 3.根据权利要求1所述的方法， 其特 征在于， 所述节点包括： 父节点和子节点； 根据专家经验和排序节点算法， 得到XSS攻击贝叶斯网络风险分析模型的网络结构中 所有节点的先验概 率， 包括： 根据所述专家经验， 得到贝叶斯网络模型中的漏洞类型的比例， 将所述漏洞类型的比 例作为贝叶斯网络模型中的父节点的先验概 率； 利用排序节点算法对贝叶斯网络模型中的子节点进行排序计算， 得到贝叶斯网络模型 中的子节点的先验概 率。 4.根据权利要求3所述的方法， 其特征在于， 所述训练数据集包括混合高斯分布数据集 和简单分布数据集； 根据所述节点的先验概率， 通过拒 绝性采样算法或直接抽 样的方式进行仿真得到训练 数据集， 包括： 根据所述贝叶斯网络模型父节点的先验概率， 确 认贝叶斯网络模型中父节点服从混合 高斯分布， 采用拒绝 性采样算法， 得到混合高斯分布数据集； 根据所述贝叶斯网络模型子节点的先验概率， 确 认贝叶斯网络模型子节点服从简单分 布， 采用直接抽样的方式得到简单分布数据集。 5.根据权利要求1所述的方法， 其特征在于， 采用训练数据集对所述XSS攻击贝叶斯网 络风险分析模型的网络结构进行网络训练， 得到XS S攻击贝叶斯网络风险分析模型， 包括：权　利　要　求　书 1/2 页 2 CN 113536678 B 3