專(zhuān)利名稱(chēng):一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)及其處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,具體是基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)及其技術(shù)方案���。
背景技術(shù):
隨著網(wǎng)絡(luò)的普及,其面臨的威脅越來(lái)越大,計(jì)算機(jī)病毒��、木馬程序����、DoS/DDoS攻擊日益猖獗。為保證網(wǎng)絡(luò)安全運(yùn)行���,目前采用的入侵檢測(cè)�、防火墻�����、病毒檢測(cè)等技術(shù)屬于被動(dòng)防御手段����,只能對(duì)系統(tǒng)局部進(jìn)行檢測(cè),獲取的信息之間缺乏關(guān)聯(lián)����。基于此種形勢(shì)�����,自2000年網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念[I]被提出之后,相關(guān)模型與方法的研究迅速成為一個(gè)新的研究
執(zhí)占���。 網(wǎng)絡(luò)安全態(tài)勢(shì)感知是應(yīng)網(wǎng)絡(luò)安全監(jiān)控需求而出現(xiàn)的一種新技術(shù)����。在網(wǎng)絡(luò)安全領(lǐng)域����,針對(duì)入侵檢測(cè)所構(gòu)建的融合結(jié)構(gòu)很多,其中Bass[l]提出的利用入侵檢測(cè)系統(tǒng)的分布式多傳感器進(jìn)行數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架結(jié)構(gòu)比較典型且普遍被業(yè)界所接受���。該結(jié)構(gòu)共分為五層,分別為數(shù)據(jù)提取層����、攻擊對(duì)象識(shí)別層、態(tài)勢(shì)評(píng)估層�����、威脅評(píng)估層和資源管理層����,層層遞進(jìn),體現(xiàn)了由“數(shù)據(jù)_>信息_>知識(shí)”的過(guò)程。數(shù)據(jù)層主要負(fù)責(zé)從入侵檢測(cè)傳感器和Sniffers等安全設(shè)備中提取有用的數(shù)據(jù)�;攻擊對(duì)象識(shí)別層將數(shù)據(jù)層所獲取的各種時(shí)間進(jìn)行時(shí)空校準(zhǔn),并進(jìn)行關(guān)聯(lián)預(yù)處理���,實(shí)現(xiàn)攻擊識(shí)別����;態(tài)勢(shì)評(píng)估層是一個(gè)動(dòng)態(tài)智能推理的過(guò)程�,通過(guò)分析攻擊對(duì)象識(shí)別層所識(shí)別的攻擊事件之間的聯(lián)系,評(píng)估整個(gè)網(wǎng)絡(luò)當(dāng)前的安全態(tài)勢(shì)��;威脅評(píng)估層是建立在態(tài)勢(shì)評(píng)估層的基礎(chǔ)之上���,它是對(duì)惡意攻擊的破壞能力和整個(gè)網(wǎng)絡(luò)威脅程度進(jìn)行估計(jì)���,其任務(wù)是評(píng)估攻擊事件出現(xiàn)的頻度和對(duì)網(wǎng)絡(luò)的威脅程度;資源管理層跟蹤和評(píng)估整個(gè)融合系統(tǒng)的運(yùn)行狀況��,指導(dǎo)融合系統(tǒng)的分配�,接受和執(zhí)行威脅評(píng)估層的任務(wù)、計(jì)劃���、協(xié)調(diào)與其他安全設(shè)備之間的協(xié)作等���。在感知與評(píng)估策略方面�,文獻(xiàn)[2]提出了一種基于免疫的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法�,該方法采用基于免疫的入侵檢測(cè)模型作為態(tài)勢(shì)感知的基礎(chǔ),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中已知和未知入侵行為的檢測(cè)��;依據(jù)生物免疫系統(tǒng)抗體濃度的變化與病原體入侵強(qiáng)度的對(duì)應(yīng)關(guān)系�����,對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估進(jìn)行定量分析�,并采用灰色馬爾可夫方法對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。將人工免疫技術(shù)應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知中����,通過(guò)對(duì)惡意攻擊行為的識(shí)別,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)當(dāng)前安全狀況及未來(lái)變化趨勢(shì)的實(shí)時(shí)�����、定量的分析和預(yù)測(cè)���,使網(wǎng)絡(luò)信息系統(tǒng)和生物免疫系統(tǒng)同樣具有自學(xué)習(xí)性和自適應(yīng)性,從而增強(qiáng)系統(tǒng)的免疫力和生存能力�,緩解網(wǎng)絡(luò)攻擊造成的危害�����,為管理人員制定合理準(zhǔn)確的響應(yīng)決策提供依據(jù)���,從而提高網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)急響應(yīng)能力。文獻(xiàn)[3]首次提出一種基于CRFs (Conditional Random Fields條件隨機(jī)場(chǎng))網(wǎng)絡(luò)安全態(tài)勢(shì)量化感知方法�,該方法以入侵檢測(cè)系統(tǒng)的報(bào)警信息作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的要素,結(jié)合主機(jī)的漏洞和狀態(tài)����,定義網(wǎng)絡(luò)安全威脅度來(lái)更好地體現(xiàn)網(wǎng)絡(luò)的風(fēng)險(xiǎn),并對(duì)攻擊進(jìn)行分類(lèi)����,同時(shí)進(jìn)行了有效的特征選擇,該方法能夠很好地反映網(wǎng)絡(luò)風(fēng)險(xiǎn)和量化網(wǎng)絡(luò)安全態(tài)勢(shì)���。文獻(xiàn)[4]通過(guò)對(duì)攻擊要素間具有相互依賴(lài)的關(guān)聯(lián)關(guān)系進(jìn)行識(shí)別�����,采用模糊信息融合技術(shù)對(duì)攻擊要素進(jìn)行關(guān)聯(lián)����,并在服務(wù)、主機(jī)�、網(wǎng)絡(luò)3個(gè)層次使用統(tǒng)計(jì)技術(shù)進(jìn)行相應(yīng)的態(tài)勢(shì)融合,提出了基于模糊信息融合的網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢(shì)評(píng)估方法����。文獻(xiàn)[5]提出了利用Honeynets進(jìn)行因特網(wǎng)安全態(tài)勢(shì)評(píng)估的方法,該方法利用Honeynets收集到大量網(wǎng)絡(luò)入侵信息���,能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)的安全態(tài)勢(shì)狀況進(jìn)行分析�����。2.與本發(fā)明相關(guān)的現(xiàn)有技術(shù)一
2.I現(xiàn)有技術(shù)一的技術(shù)方案
文獻(xiàn)[6]提出了一個(gè)基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感和技術(shù)方案�。Markov博弈是由博弈論和Markov決策過(guò)程(MDP)綜合而來(lái)�����,綜合考慮多個(gè)參加者的決策�����。通過(guò)對(duì)多傳感器檢測(cè)到的安全數(shù)據(jù)進(jìn)行融合�,得到資產(chǎn)���、威脅和脆弱性的規(guī)范化數(shù)據(jù)�����,對(duì)每個(gè)威脅�,分析其傳播規(guī)律,建立相應(yīng)的威脅傳播網(wǎng)絡(luò)����;通過(guò)對(duì)威脅、管理員和普通永恒的行為進(jìn)行分析���,建立三方參與的Markov博弈模型�,并對(duì)相關(guān)算法進(jìn)行優(yōu)化分析���,使得評(píng)估過(guò)程能夠?qū)崟r(shí)運(yùn)行��。Markov博弈模型能夠動(dòng)態(tài)評(píng)估系統(tǒng)安全態(tài)勢(shì)��,并為管理員提供最佳的加固方案���,而有效抑制威脅的擴(kuò)散。該方案提出的系統(tǒng)框架通過(guò)多傳感器檢測(cè)網(wǎng)絡(luò)系統(tǒng)的各種安全信息����,根據(jù)態(tài)勢(shì) 感知模型評(píng)估系統(tǒng)的安全態(tài)勢(shì)及其變化趨勢(shì)����,并給出安全加固方案�,主要包括以下幾個(gè)模塊
1)數(shù)據(jù)采集通過(guò)多傳感器檢測(cè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況,檢測(cè)大量的原始安全數(shù)據(jù)�����;
2)態(tài)勢(shì)理解采用規(guī)范化分析�����、冗余檢測(cè)和沖突檢測(cè)等方法���,分析原始數(shù)據(jù)��,得到規(guī)范化的數(shù)據(jù)集�����;
3)態(tài)勢(shì)評(píng)估采用態(tài)勢(shì)評(píng)估算法�,分析態(tài)勢(shì)理解模塊的數(shù)據(jù),定量描述系統(tǒng)的安全態(tài)
勢(shì)��;
4)態(tài)勢(shì)預(yù)測(cè)采用態(tài)勢(shì)預(yù)測(cè)算法�,分析態(tài)勢(shì)的變化規(guī)律�,預(yù)測(cè)系統(tǒng)安全態(tài)勢(shì)變化趨
勢(shì);
5)加固方案生成分析系統(tǒng)最薄弱的節(jié)點(diǎn)�,給出加固方案,指導(dǎo)管理員提高系統(tǒng)安全性��。該方案根據(jù)系統(tǒng)框架結(jié)構(gòu)���,給出了態(tài)勢(shì)感知流程����,態(tài)勢(shì)感知過(guò)程分為兩部分基于Markov博弈分析的態(tài)勢(shì)量化評(píng)估和基于時(shí)間序列分析的態(tài)勢(shì)預(yù)測(cè)����。態(tài)勢(shì)量化評(píng)估部分是態(tài)勢(shì)感知的核心。首先��,數(shù)據(jù)采集模塊檢測(cè)的安全數(shù)據(jù)被融合歸類(lèi)到資產(chǎn)集合�����、威脅集合、脆弱性集合和網(wǎng)絡(luò)結(jié)構(gòu)信息���,這些數(shù)據(jù)以規(guī)范化數(shù)據(jù)集的格式保存在數(shù)據(jù)庫(kù)中����,可以被實(shí)時(shí)地存取和修改����,然后對(duì)威脅集合中的每個(gè)威脅建立TPN ;然后,對(duì)威脅�����、管理員和普通用戶(hù)的行為進(jìn)行Markov博弈分析���,評(píng)估單個(gè)威脅的保密性態(tài)勢(shì)���,并給出最佳加固方案;最后��,對(duì)威脅集合中的所有威脅的保密性態(tài)勢(shì)綜合分析評(píng)估出系統(tǒng)保密性態(tài)勢(shì)���;以同樣的方法評(píng)估系統(tǒng)完整性態(tài)勢(shì)和系統(tǒng)可用性態(tài)勢(shì)��,根據(jù)不同的應(yīng)用背景和需求��,對(duì)保密性�����、完整性��、可用性態(tài)勢(shì)加權(quán)���,評(píng)估整個(gè)系統(tǒng)當(dāng)前狀態(tài)的安全態(tài)勢(shì)。態(tài)勢(shì)預(yù)測(cè)部分以態(tài)勢(shì)評(píng)估結(jié)果為基礎(chǔ)��,系統(tǒng)在不同時(shí)刻安全態(tài)勢(shì)彼此相關(guān)�,可以利用這種相關(guān)性采用時(shí)間序列分析法分析態(tài)勢(shì)變化規(guī)律對(duì)系統(tǒng)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。2.2現(xiàn)有技術(shù)一的缺點(diǎn)
基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)方案提供的安全加固方案能很好地找到針對(duì)某個(gè)威脅危害程度最大的節(jié)點(diǎn)和路徑�����,有效地抑制了威脅的擴(kuò)散�,提高了系統(tǒng)的安全性。但是該方案存在以下不足I)威脅傳播網(wǎng)絡(luò)的復(fù)雜性造成狀態(tài)空間很大��,對(duì)大規(guī)模網(wǎng)絡(luò)的評(píng)估效率低�,需要一定的近似處理�,近似處理可能會(huì)弓I起評(píng)估結(jié)果的準(zhǔn)確性�����。2}由于攻擊者手段的多變性和詭計(jì)性�,以致于采用該方法進(jìn)行態(tài)勢(shì)評(píng)估時(shí)攻擊策略和防御對(duì)策不便掌控,難以在實(shí)際中得以實(shí)現(xiàn)���。3)未考慮防御機(jī)制對(duì)整體網(wǎng)絡(luò)安全狀況的影響����,而僅從攻擊或脆弱性角度對(duì)整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估�。并且整個(gè)態(tài)勢(shì)感知過(guò)程缺乏自適應(yīng)性。3.與本發(fā)明相關(guān)的現(xiàn)有技術(shù)二
3.I現(xiàn)有技術(shù)二的技術(shù)方案
文獻(xiàn)[7]提出了層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估技術(shù)方案�����。該方案利用IDS報(bào) 警信息和網(wǎng)絡(luò)性能指標(biāo)�����,根據(jù)服務(wù)�、主機(jī)本身的重要性及網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu),提出采用自下而上��、先局部后整體評(píng)估策略的層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估模型及其相應(yīng)的計(jì)算方法。在報(bào)警發(fā)生頻率��、報(bào)警嚴(yán)重性及其網(wǎng)絡(luò)帶寬耗用率的統(tǒng)計(jì)基礎(chǔ)上����,對(duì)服務(wù)、主機(jī)本身的重要性因子進(jìn)行加權(quán)�����,計(jì)算服務(wù)����、主機(jī)以及整個(gè)網(wǎng)絡(luò)系統(tǒng)的威脅指數(shù)�����,進(jìn)而評(píng)估分析安全威脅態(tài)勢(shì)�����。這樣���,一方面�,把管理員從海量的日志分析中解放出來(lái),提供一種直觀(guān)的安全威脅態(tài)勢(shì)圖�,使管理員對(duì)系統(tǒng)的安全威脅狀況有宏觀(guān)的了解;另一方面����,可從態(tài)勢(shì)圖中發(fā)現(xiàn)系統(tǒng)安全趨勢(shì)和規(guī)律,以便調(diào)整系統(tǒng)的安全策略�����,更好地提高網(wǎng)絡(luò)系統(tǒng)的安全性能�����。實(shí)際系統(tǒng)按規(guī)模和層次關(guān)系可分解為系統(tǒng)�、主機(jī)、服務(wù)3層次�����,而且大多數(shù)攻擊是針對(duì)系統(tǒng)中主機(jī)上某一服務(wù)的�����。該方案利用系統(tǒng)分解技術(shù)�,根據(jù)系統(tǒng)組織結(jié)構(gòu)�����,提出一個(gè)如圖I所示的層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢(shì)量化評(píng)估模型��。從上到下分為網(wǎng)絡(luò)系統(tǒng)�����、主機(jī)���、月艮務(wù)和攻擊/漏洞4個(gè)層次,采取“自上而下���,先局部后整體”的評(píng)估策略。以IDS報(bào)警和漏洞信息為原始數(shù)據(jù)���,結(jié)合網(wǎng)絡(luò)資源耗用���,發(fā)現(xiàn)各個(gè)主機(jī)所提供服務(wù)的威脅情況,在攻擊層統(tǒng)計(jì)分析供給嚴(yán)重程度����、發(fā)生次數(shù)以及網(wǎng)絡(luò)帶寬占用率�,進(jìn)而評(píng)估各項(xiàng)服務(wù)的安全威脅狀況���。在此基礎(chǔ)上��,綜合評(píng)估網(wǎng)絡(luò)系統(tǒng)中個(gè)主機(jī)的安全狀況����。最后根據(jù)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)評(píng)估整個(gè)局域網(wǎng)系統(tǒng)的安全威脅態(tài)勢(shì)��。圖4中��,攻擊層包含常見(jiàn)網(wǎng)絡(luò)IDS能夠檢測(cè)到的攻擊�,主要由探測(cè)、權(quán)限提升和DoS三大類(lèi)�。其中,DoS攻擊(Al�����,...��,Am)利用協(xié)議設(shè)計(jì)上的缺陷�,通過(guò)向目標(biāo)主機(jī)連續(xù)發(fā)送大量數(shù)據(jù)報(bào)耗盡網(wǎng)絡(luò)資源,造成服務(wù)不可用,即DoS攻擊威脅系統(tǒng)所有服務(wù)的安全��。3.2現(xiàn)有技術(shù)二的缺點(diǎn)
該方案提出的層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)定量評(píng)估模型能夠直接地給出整個(gè)網(wǎng)絡(luò)系統(tǒng)����、主機(jī)和服務(wù)3個(gè)層次的安全威脅態(tài)勢(shì),使網(wǎng)絡(luò)管理員能夠及時(shí)了解系統(tǒng)安全態(tài)勢(shì)�����,查找安全變化的原因���,調(diào)整安全策略��,保證系統(tǒng)安全最大化��。并且該系統(tǒng)在Net-K^per系統(tǒng)中得到很好的應(yīng)用����。但是���,該方案仍存在以下不足
I)安全威脅態(tài)勢(shì)評(píng)估系統(tǒng)的分析是基于網(wǎng)絡(luò)入侵檢測(cè)傳感器報(bào)警日志和網(wǎng)絡(luò)帶寬占用率,然而這些信息還不能全面反映黑客的攻擊行為���。2)采用的層次分析法或多或少存在諸如指標(biāo)權(quán)重的確立過(guò)于主觀(guān)和絕對(duì)�、一致性修正過(guò)于依賴(lài)外界參與。3)如何根據(jù)系統(tǒng)當(dāng)前狀態(tài)�、安全性以及環(huán)境參數(shù)等得變化情況,融合自律特征�,對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的配置和相應(yīng)運(yùn)行參數(shù)進(jìn)行動(dòng)態(tài)調(diào)整以實(shí)現(xiàn)真正的自適應(yīng),則沒(méi)有涉及���。
發(fā)明內(nèi)容
本發(fā)明為解決上述技術(shù)問(wèn)題�����,設(shè)計(jì)一種能精確測(cè)量潤(rùn)滑油拖動(dòng)力的試驗(yàn)機(jī)���,針對(duì)態(tài)勢(shì)感知的系統(tǒng)結(jié)構(gòu)及態(tài)勢(shì)提取進(jìn)行改進(jìn),自主調(diào)節(jié)系統(tǒng)環(huán)境��,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化�����,以實(shí)現(xiàn)資源的動(dòng)態(tài)配置��、服務(wù)的動(dòng)態(tài)合成�����、系統(tǒng)參數(shù)的動(dòng)態(tài)校正。本發(fā)明為解決上述技術(shù)問(wèn)題的不足而采用的技術(shù)方案是一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)�,包括被管資源、Agent協(xié)同層模塊�����、傳感器和效應(yīng)器模塊和自律管理者模塊�����,Agent協(xié)同層模塊連接被管資源和 自律管理者模塊�����,傳感器和效應(yīng)器模塊分別連接Agent協(xié)同層模塊和自律管理者模塊���,
Agent協(xié)同層模塊捕獲被管資源信息并做預(yù)處理���,去除冗余信息,最終把信息交給自律管理者模塊����,接收自律管理者模塊的信息反饋,并自主調(diào)節(jié)系統(tǒng)環(huán)境�,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化,以實(shí)現(xiàn)資源的動(dòng)態(tài)配置���、服務(wù)的動(dòng)態(tài)合成����、系統(tǒng)參數(shù)的動(dòng)態(tài)校正�;
傳感器和效應(yīng)器模塊,連接所述的Agent協(xié)同層模塊�,需要定義統(tǒng)一的標(biāo)準(zhǔn)接口來(lái)實(shí)現(xiàn)由不同供應(yīng)商提供的軟硬件的通信,屏蔽由于內(nèi)部結(jié)構(gòu)的不同而產(chǎn)生的異構(gòu)性��。本發(fā)明所述的自律管理者模塊包括知識(shí)庫(kù)模塊�����、態(tài)勢(shì)提取模塊�����、態(tài)勢(shì)預(yù)測(cè)模塊和自主響應(yīng)模塊���,
知識(shí)庫(kù)模塊包括狀態(tài)判定知識(shí)�����、策略知識(shí)�、問(wèn)題求解知識(shí)和模式匹配知識(shí),對(duì)態(tài)勢(shì)提取模塊�����、態(tài)勢(shì)預(yù)測(cè)模塊和自主響應(yīng)模塊提供知識(shí)支持�����;
態(tài)勢(shì)提取模塊�,用于提取有效的態(tài)勢(shì)信息,即攻擊要素�����;
態(tài)勢(shì)評(píng)估模塊����,連接所述的態(tài)勢(shì)提取模塊,通過(guò)識(shí)別態(tài)勢(shì)信息中的安全事件���,依據(jù)它們之間的關(guān)聯(lián)關(guān)系����,計(jì)算出服務(wù)�����、主機(jī)和網(wǎng)絡(luò)所受到的威脅��,進(jìn)而實(shí)現(xiàn)對(duì)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)的分析��;
態(tài)勢(shì)預(yù)測(cè)模塊��,連接所述的態(tài)勢(shì)評(píng)估模塊���,用于根據(jù)過(guò)去和當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)狀況����,對(duì)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)���;
自主響應(yīng)模塊�,用于根據(jù)知識(shí)庫(kù)中的策略知識(shí)和問(wèn)題求解知識(shí)���,對(duì)態(tài)勢(shì)提取模塊提取的行為特征實(shí)時(shí)做出響應(yīng)����,對(duì)態(tài)勢(shì)評(píng)估得出的態(tài)勢(shì)值進(jìn)行自主調(diào)節(jié)。本發(fā)明所述的態(tài)勢(shì)提取模塊包括網(wǎng)絡(luò)安全數(shù)據(jù)源集成平臺(tái)模塊��、異常發(fā)現(xiàn)模塊和自律聯(lián)想學(xué)習(xí)模塊����,
網(wǎng)絡(luò)安全數(shù)據(jù)源集成平臺(tái)模塊,用于實(shí)現(xiàn)多源異構(gòu)數(shù)據(jù)的集成處理�,為上層模塊提供數(shù)據(jù)支持;
異常發(fā)現(xiàn)模塊�����,采用模式匹配技術(shù)�����,根據(jù)異常行為庫(kù)來(lái)檢測(cè)網(wǎng)絡(luò)中可能存在的各類(lèi)攻擊行為��,并對(duì)異常行為庫(kù)進(jìn)行實(shí)時(shí)更新�����;
自律聯(lián)想學(xué)習(xí)模塊����,用于根據(jù)攻擊特征與異常行為庫(kù)的原有攻擊行為特征的記錄進(jìn)行關(guān)聯(lián)��、整合和集成分析�����,找出安全隱患的形成與發(fā)展規(guī)律;預(yù)測(cè)可能產(chǎn)生異常的條件及早期異常征兆�����,采用診斷預(yù)測(cè)和智能決策的方法實(shí)現(xiàn)攻擊行為特征的自律聯(lián)想學(xué)習(xí)��,并將學(xué)習(xí)結(jié)果加入異常行為庫(kù)�����;從而實(shí)現(xiàn)對(duì)未知攻擊行為的聯(lián)想學(xué)習(xí)����,快速提取有效態(tài)勢(shì)信息;聚類(lèi)分析模塊�����,連接所述的自律聯(lián)想學(xué)習(xí)模塊,采用相異度計(jì)算(DSimC)聚類(lèi)方法對(duì)自律聯(lián)想學(xué)習(xí)結(jié)果進(jìn)行聚類(lèi)判別分析����;其中所考慮的特征屬性主要有源/目的IP、源/目的端口��、檢測(cè)時(shí)間�����、攻擊類(lèi)別等��,分別計(jì)算其相異度�����,最終計(jì)算出綜合相異程度��;融合分析模塊�,連接所述的聚類(lèi)分析模塊,采用指數(shù)加權(quán)DS證據(jù)理論(EWDS)對(duì)聚合后的安全信息進(jìn)行融合分析��,進(jìn)一步精簡(jiǎn)安全信息數(shù)量和識(shí)別攻擊行為�。本發(fā)明所述的利用DSimC聚類(lèi)方法對(duì)自律聯(lián)想學(xué)習(xí)結(jié)果進(jìn)行聚類(lèi)具體包括
步驟I :采用相關(guān)屬性距離計(jì)算的方法對(duì)報(bào)警進(jìn)行聚類(lèi);假設(shè)有兩個(gè)報(bào)警
Σ'%·4 /
和,利用公式rfd��,i)= w /s 計(jì)算這兩個(gè)報(bào)警之間的相異度;其中�,η是這兩個(gè)報(bào)4 /
警中屬性的個(gè)數(shù),k代表η個(gè)屬性中的某一個(gè)���,胃|表示屬性k在相應(yīng)報(bào)警相異度中的權(quán)重�����, a!,表示報(bào)警_4和I/在屬性k上的相異度�;
步驟2 :根據(jù)相關(guān)屬性距離計(jì)算�,依據(jù)事先設(shè)定的相應(yīng)閾值��,進(jìn)行聚類(lèi)判別判斷�。 本發(fā)明所述的利用EWDS對(duì)聚類(lèi)結(jié)果進(jìn)行融合,具體包括
步驟I :將聚類(lèi)后的結(jié)果作為證據(jù)����,并依據(jù)不同傳感器的檢測(cè)率分配置信度,依據(jù)攻擊情況�,獲取各個(gè)傳感器的權(quán)值;
步驟2 :采用DS證據(jù)組合規(guī)則對(duì)證據(jù)進(jìn)行組合����;
步驟3 :采用基本概率函數(shù)的融合決策規(guī)則對(duì)組合后的基本概率分配值進(jìn)行決策判斷���,提取出態(tài)勢(shì)要素。本發(fā)明所述的態(tài)勢(shì)評(píng)估模塊的具體評(píng)估步驟如下
步驟I :對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行分層�����,然后對(duì)分層指標(biāo)進(jìn)行量化計(jì)算�����,將網(wǎng)絡(luò)系統(tǒng)分為網(wǎng)絡(luò)層�、主機(jī)層和攻防層,網(wǎng)絡(luò)層由不同的主機(jī)構(gòu)成�,主機(jī)層由所運(yùn)行的服務(wù)、安全措施等所構(gòu)成�����,攻防層主要考慮運(yùn)行于主機(jī)上的服務(wù)和安全要素兩部分�;
步驟2 :計(jì)算各個(gè)層次的網(wǎng)絡(luò)安全態(tài)勢(shì)值,定義t時(shí)刻目標(biāo)網(wǎng)絡(luò)的服務(wù)安全態(tài)勢(shì)狀況
為
U人耶4 =神
其中���,為服務(wù)安全態(tài)勢(shì)值����,S表示目標(biāo)網(wǎng)絡(luò)當(dāng)前所提供的某種服務(wù)火表示該服務(wù)受到的攻擊種類(lèi)#表示服務(wù)所受到的攻擊的次數(shù);d表示攻擊的嚴(yán)重程度���;N(t)表示t時(shí)刻攻擊所發(fā)生的次數(shù);d(t)表示t時(shí)刻攻擊的嚴(yán)重程度�����;攻擊的威脅程度用10@)予以計(jì)
算���,反映威脅程度高的攻擊對(duì)服務(wù)安全態(tài)勢(shì)的影響程度,越大�,說(shuō)明服務(wù)s受到的威
脅程度越大;
定義t時(shí)刻目標(biāo)網(wǎng)絡(luò)的主機(jī)的防御強(qiáng)度為
其中����,主機(jī)上的防御強(qiáng)度值,W75表示安全屬性在主機(jī)上的重要性權(quán)重���,SM表示
主機(jī)上運(yùn)行的安全措施�,ed表示SM相對(duì)于安全屬性的影響度���,當(dāng)|)|^_的值越大���,說(shuō)明主機(jī)Host的安全防御能力越強(qiáng)����;
定義t時(shí)刻目標(biāo)網(wǎng)絡(luò)的主機(jī)安全態(tài)勢(shì)狀況為其中����,為主機(jī)的安全態(tài)勢(shì)值,H表示目標(biāo)網(wǎng)絡(luò)中的主機(jī)���,f表示服務(wù)在主機(jī)開(kāi)通的
所有服務(wù)中所占的權(quán)重��,Jfijfflffi為服務(wù)安全態(tài)勢(shì)值�����,^^胄表示主機(jī)上的防御強(qiáng)度�,當(dāng)Λ& 的值越大��,說(shuō)明主機(jī)Host所受到的威脅程度越大����,安全管理員應(yīng)該引起重視,及時(shí)調(diào)整防御策略予以應(yīng)對(duì)�;
定義t時(shí)刻目標(biāo)網(wǎng)絡(luò)的安全態(tài)勢(shì)狀況為
Λ, ���, : .
其中’狄—為網(wǎng)絡(luò)安全態(tài)勢(shì)值’ ^表示主機(jī)在被評(píng)估局域網(wǎng)中所占重要性的權(quán)重,^^為主機(jī)的安全態(tài)勢(shì)值��;當(dāng)JRsfcf!的值越大�����,說(shuō)明網(wǎng)絡(luò)系統(tǒng)所受到的威脅程度越大��,當(dāng)值超過(guò)標(biāo)準(zhǔn)狀態(tài)���,自主響應(yīng)部件會(huì)做出響應(yīng)�����,自主調(diào)節(jié)系統(tǒng)環(huán)境�,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化���。
本發(fā)明所述的態(tài)勢(shì)預(yù)測(cè)模塊的具體預(yù)測(cè)步驟如下
步驟I :根據(jù)歷史和當(dāng)前態(tài)勢(shì)值信息,定義關(guān)于服務(wù)����、主機(jī)和網(wǎng)絡(luò)系統(tǒng)的多輸入單輸出
的態(tài)勢(shì)預(yù)測(cè)函數(shù)I 和相應(yīng)的誤差函數(shù)G (V)
P(/g I V) = (2π\(zhòng)^χ |廣 exp{- ^-二邊)
-IΨμ
其中�,k表示服務(wù)受到的攻擊種類(lèi);分別代表第P層第m個(gè)神經(jīng)元的實(shí)際輸出
-,w </
和期望輸出�����,對(duì)應(yīng)于態(tài)勢(shì)預(yù)測(cè)值�;對(duì)于每個(gè)單點(diǎn)輸入傳播過(guò)程中的流量參數(shù),式中V分別代表態(tài)勢(shì)評(píng)估層次模型中的攻擊嚴(yán)重程度d���、服務(wù)權(quán)重和主機(jī)重要性權(quán)重I;����;
步驟2 :訓(xùn)練該神經(jīng)網(wǎng)絡(luò)��,使擬合偏差趨于零����,對(duì)指定參數(shù)的權(quán)值進(jìn)行自學(xué)習(xí)
調(diào)整,尋找最優(yōu)的參數(shù)組合��,最后輸出訓(xùn)練后的態(tài)勢(shì)預(yù)測(cè)曲線(xiàn)�。—種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的處理方法
步驟一�����,Agent協(xié)同層采用多屬性拍賣(mài)方法處理被管資源提供的數(shù)據(jù),最終把信息交給自律管理者模塊��;
步驟二�����,自律管理者處理由Agent協(xié)同層提供的數(shù)據(jù)信息�����;
步驟三���,態(tài)勢(shì)提取部件提取攻擊行為特征���,若有與知識(shí)庫(kù)中的攻擊行為特征不匹配的異常行為發(fā)生,則調(diào)用自主響應(yīng)部件做出響應(yīng)����,自主響應(yīng)部件根據(jù)知識(shí)庫(kù)中的模式匹配知識(shí)和策略知識(shí),自主調(diào)節(jié)系統(tǒng)環(huán)境����,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化,以實(shí)現(xiàn)資源的動(dòng)態(tài)配置��、服務(wù)的動(dòng)態(tài)合成����、系統(tǒng)參數(shù)的動(dòng)態(tài)校正,然后進(jìn)入態(tài)勢(shì)評(píng)估階段��,即步驟四����;若沒(méi)有未知攻擊行為發(fā)生,則直接進(jìn)入態(tài)勢(shì)評(píng)估階段�,即步驟四;
步驟四�����,根據(jù)所述態(tài)勢(shì)提取信息�,采用層次分析法對(duì)網(wǎng)絡(luò)系統(tǒng)分層,進(jìn)而實(shí)現(xiàn)對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的分析進(jìn)行評(píng)估��;若態(tài)勢(shì)值信息不符合態(tài)勢(shì)知識(shí)庫(kù)中的策略知識(shí)����,則自動(dòng)響應(yīng)部件會(huì)做出響應(yīng),自主調(diào)節(jié)系統(tǒng)環(huán)境��,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化,然后進(jìn)入步驟五����;若符合,則直接進(jìn)入步驟五��;
步驟五��,根據(jù)所述網(wǎng)絡(luò)安全態(tài)勢(shì)的歷史信息和當(dāng)前狀態(tài)對(duì)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)�;尋找最優(yōu)的參數(shù)組合,最后輸出訓(xùn)練后的態(tài)勢(shì)預(yù)測(cè)曲線(xiàn)�。本發(fā)明所述的多屬性拍賣(mài)方法來(lái)解決資源配置、任務(wù)分配等問(wèn)題�����,以?xún)?yōu)化系統(tǒng)性能�����,其方法為
定義多屬性拍賣(mài)模型
麗=CiimCiReSiWl 其中�����,a為所有物品的 屬性所組成的空間,J=J1X…Xis,被拍賣(mài)的物品有η個(gè)屬性1 ,"., ,取值范圍為4�����,...�,4;令&為物品的屬性向量,且
λ = …為)’(3 ei���;
拍賣(mài)中����,B為惟一的買(mǎi)方�����,B需要購(gòu)買(mǎi)商品���;
S為由賣(mài)方組成的集合,包含m個(gè)賣(mài)方,S =(},··'W),每個(gè)賣(mài)方可以提供不同屬性的物
品;
V: 及為B的屬性權(quán)值函數(shù)(R為實(shí)數(shù)集合)��,即F(a) € i 表示賣(mài)方B根據(jù)屬性a對(duì)物品的評(píng)價(jià)���;
CU續(xù)) ’其中Cf2表示為物品成本函數(shù),那么 ( ) € R就是賣(mài)方根據(jù)屬性a計(jì)算出的物品成本值;
Result 為成交方案,Res=(Λα),其中表示為成交的價(jià)格���,成交屬性向量a ;此時(shí)買(mǎi)方B的收益為[/=F(e) - P,賣(mài)方^的收益為0 = P-CiIa)�;
拍賣(mài)流程分為四個(gè)步驟
步驟I:由賣(mài)方公布估價(jià)函數(shù)^¢4(1/可與V有所區(qū)別);
步驟2 :每個(gè)賣(mài)方i進(jìn)行暗標(biāo)叫價(jià)_ >O ;
步驟3 :確定成交賣(mài)方����;首先買(mǎi)方確定備選成交賣(mài)方集合
, = ( |_Ι ξ=!ΜΧ(Ι;))Λ(Ιρ >嶋(|€公’的叫價(jià))����, 若ff = 0,則
沒(méi)有成交賣(mài)方,拍賣(mài)結(jié)束�����;若,#0,則隨機(jī)產(chǎn)生為成交賣(mài)方����;并令# = 112 1(爲(wèi)),其中Biai2(爲(wèi))=miItCmai(Ii)), ie^,jef-fi),易知=想織( ),其中ι€ J
直觀(guān)含義為去除最大的一個(gè)元素后剩余元素中的最大值�����,例如11^(1,2,3) = 2��,mai20,2,—3,5 = 3 的直觀(guān)含義為除成交賣(mài)方_之外的其他賣(mài)方的最1 價(jià);
步驟4 由成交賣(mài)方提出成交方案合法提案需要滿(mǎn)足(At)-Pt = /�����,成交賣(mài)方
與買(mǎi)方以此成交方案成交,拍賣(mài)結(jié)束�。本發(fā)明有益效果為
I、本專(zhuān)利創(chuàng)造使系統(tǒng)具備了較好的自適應(yīng)性�,能夠有效的獲取態(tài)勢(shì)信息,準(zhǔn)確了解網(wǎng)絡(luò)的當(dāng)前安全狀況��,快速預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)���,能夠動(dòng)態(tài)智能地適應(yīng)復(fù)雜環(huán)境并有效地指導(dǎo)未來(lái)的自主決策。從而減輕了管理員的負(fù)擔(dān)���,降低了管理成本�����,進(jìn)一步解決網(wǎng)絡(luò)安全管理復(fù)雜性問(wèn)題�。2�����、防御機(jī)制高�,在態(tài)勢(shì)評(píng)估階段具有很強(qiáng)的掌控性,能全方面對(duì)整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估,具有軟好的自適應(yīng)性���。
圖I為本發(fā)明的結(jié)構(gòu)示意 圖2為本發(fā)明的態(tài)勢(shì)提取流程 圖3是本發(fā)明的網(wǎng)絡(luò)系統(tǒng)分層的結(jié)構(gòu)示意 圖4是本發(fā)明層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢(shì)評(píng)估模型的結(jié)構(gòu)示意圖���;
具體實(shí)施例方式該系統(tǒng)包括如下模塊
被管資源(Managed Resource, MR)模塊,主要包括數(shù)據(jù)庫(kù)�����、應(yīng)用模塊��、路由器����、服務(wù)器和主機(jī)日志、防火墻報(bào)警信息和網(wǎng)絡(luò)數(shù)據(jù)包等各種多源異構(gòu)數(shù)據(jù)源��。MR由Agent協(xié)同層進(jìn)行統(tǒng)一調(diào)度和管理���。Agent協(xié)同層模塊�����,連接所述的MR模塊�,針對(duì)不同類(lèi)型的MR,采用不同的智能Agent為自律管理者提供數(shù)據(jù)支持��,這些Agent均是能夠獨(dú)立運(yùn)行的實(shí)體�����。Agent實(shí)體捕獲MR信息并做預(yù)處理,去除冗余信息�����,最終把信息交給自律管理者(Autonomic Manager,AM)����。同時(shí)�����,Agent協(xié)同層接收AM的信息反饋���,并自主調(diào)節(jié)系統(tǒng)環(huán)境��,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化��,以實(shí)現(xiàn)資源的動(dòng)態(tài)配置���、服務(wù)的動(dòng)態(tài)合成�����、系統(tǒng)參數(shù)的動(dòng)態(tài)校正��。傳感器和效應(yīng)器模塊����,連接所述的Agent協(xié)同層模塊���,需要定義統(tǒng)一的標(biāo)準(zhǔn)接口來(lái)實(shí)現(xiàn)由不同供應(yīng)商提供的軟硬件的通信��,屏蔽由于內(nèi)部結(jié)構(gòu)的不同而產(chǎn)生的異構(gòu)性���。態(tài)勢(shì)提取模塊,用于提取有效的態(tài)勢(shì)信息��,即攻擊要素����。態(tài)勢(shì)評(píng)估模塊,連接所述的態(tài)勢(shì)提取模塊����,通過(guò)識(shí)別態(tài)勢(shì)信息中的安全事件�,依據(jù)它們之間的關(guān)聯(lián)關(guān)系����,計(jì)算出服務(wù)、主機(jī)和網(wǎng)絡(luò)所受到的威脅�,進(jìn)而實(shí)現(xiàn)對(duì)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)的分析。態(tài)勢(shì)預(yù)測(cè)模塊�����,連接所述的態(tài)勢(shì)評(píng)估模塊�����,用于根據(jù)過(guò)去和當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)狀況�,對(duì)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)�����。自主響應(yīng)模塊����,用于根據(jù)知識(shí)庫(kù)中的Kp和Ks���,對(duì)態(tài)勢(shì)提取模塊提取的行為特征實(shí)時(shí)做出響應(yīng),對(duì)評(píng)估后的態(tài)勢(shì)值進(jìn)行自主調(diào)節(jié)����。如圖所示,是本發(fā)明的態(tài)勢(shì)提取流程圖�,該態(tài)勢(shì)提取模塊包括以下模塊
網(wǎng)絡(luò)安全數(shù)據(jù)源集成平臺(tái)模塊,用于實(shí)現(xiàn)多源異構(gòu)數(shù)據(jù)的集成處理并統(tǒng)一表示為XML���,為上層模塊提供數(shù)據(jù)支持����。這些數(shù)據(jù)主要包括有諸如入侵檢測(cè)系統(tǒng)(IDS)���、防火墻(Firewall)等安全設(shè)備的報(bào)警信息����、系統(tǒng)日志信息等����。異常發(fā)現(xiàn)模塊采用模式匹配技術(shù),根據(jù)異常行為庫(kù)來(lái)檢測(cè)網(wǎng)絡(luò)中可能存在的各類(lèi)攻擊行為�����,并對(duì)異常行為庫(kù)進(jìn)行實(shí)時(shí)更新。自律聯(lián)想學(xué)習(xí)模塊用于根據(jù)攻擊特征與異常行為庫(kù)的原有攻擊行為特征的記錄進(jìn)行關(guān)聯(lián)�、整合和集成分析,找出安全隱患的形成與發(fā)展規(guī)律�����;預(yù)測(cè)可能產(chǎn)生異常的條件及早期異常征兆�,采用診斷預(yù)測(cè)和智能決策的方法實(shí)現(xiàn)攻擊行為特征的自律聯(lián)想學(xué)習(xí),并將學(xué)習(xí)結(jié)果加入異常行為庫(kù)�。從而實(shí)現(xiàn)對(duì)未知攻擊行為的聯(lián)想學(xué)習(xí),快速提取有效態(tài)勢(shì)信息��。聚類(lèi)分析模塊�����,連接所述的自律聯(lián)想學(xué)習(xí)模塊��,采用相異度計(jì)算(DSimC)聚類(lèi)方法對(duì)自律聯(lián)想學(xué)習(xí)結(jié)果進(jìn)行聚類(lèi)判別分析�����。其中所考慮的特征屬性主要有源/目的IP��、源/目的端口����、檢測(cè)時(shí)間、攻擊類(lèi)別等�����,分別計(jì)算其相異度���,最終計(jì)算出綜合相異程度�����。融合分析模塊����,連接 所述的聚類(lèi)分析模塊����,采用指數(shù)加權(quán)DS證據(jù)理論(EWDS)對(duì)聚合后的安全信息進(jìn)行融合分析,進(jìn)一步精簡(jiǎn)安全信息數(shù)量和識(shí)別攻擊行為���。態(tài)勢(shì)提取過(guò)程包括以下步驟
步驟A :數(shù)據(jù)源集成�,對(duì)多源異構(gòu)數(shù)據(jù)的集成處理并統(tǒng)一表示為XML,為上層模塊提供數(shù)據(jù)支持���,這些數(shù)據(jù)主要包括有諸如入侵檢測(cè)系統(tǒng)(IDS)��、防火墻(Firewall)等安全設(shè)備的報(bào)警信息��、系統(tǒng)日志信息等���。步驟B:異常發(fā)現(xiàn),采用模式匹配技術(shù)���,根據(jù)異常行為庫(kù)來(lái)檢測(cè)網(wǎng)絡(luò)中可能存在的各類(lèi)攻擊行為���,并對(duì)異常行為庫(kù)進(jìn)行實(shí)時(shí)更新。步驟C :自律聯(lián)想學(xué)習(xí)����,根據(jù)攻擊特征與異常行為庫(kù)的原有攻擊行為特征的記錄進(jìn)行關(guān)聯(lián)、整合和集成分析���,找出安全隱患的形成與發(fā)展規(guī)律����;預(yù)測(cè)可能產(chǎn)生異常的條件及早期異常征兆�����,采用診斷預(yù)測(cè)和智能決策的方法實(shí)現(xiàn)攻擊行為特征的自律聯(lián)想學(xué)習(xí)����,并將學(xué)習(xí)結(jié)果加入異常行為庫(kù)。從而實(shí)現(xiàn)對(duì)未知攻擊行為的聯(lián)想學(xué)習(xí)�����,快速提取有效態(tài)勢(shì)信息�����。步驟D :對(duì)自律聯(lián)想學(xué)習(xí)結(jié)果進(jìn)行聚類(lèi)分析�,具體步驟如下
步驟Dl :采用相關(guān)屬性距離計(jì)算的方法對(duì)報(bào)警進(jìn)行聚類(lèi)。假設(shè)有兩個(gè)報(bào)警4和<��,利
Σ^·4 /
用公式郝,/> = Α4 /η 計(jì)算這兩個(gè)報(bào)警之間的相異度;其中�����,η是這兩個(gè)報(bào)警中屬
/ A--I
性的個(gè)數(shù),k代表η個(gè)屬性中的某一個(gè)�����,胃I表示屬性k在相應(yīng)報(bào)警相異度中的權(quán)重�,表示報(bào)警4和4在屬性k上的相異度。步驟D2 :根據(jù)相關(guān)屬性距離計(jì)算���,依據(jù)事先設(shè)定的相應(yīng)閾值�����,進(jìn)行聚類(lèi)判別判斷���。步驟E :利用EWDS對(duì)聚類(lèi)結(jié)果進(jìn)行融合,具體包括
步驟El :將聚類(lèi)后的結(jié)果作為證據(jù)�����,并依據(jù)不同傳感器的檢測(cè)率分配置信度���,依據(jù)攻擊情況��,獲取各個(gè)傳感器的權(quán)值����。步驟E2 :采用DS證據(jù)組合規(guī)則對(duì)證據(jù)進(jìn)行組合。步驟E3 :采用基本概率函數(shù)的融合決策規(guī)則對(duì)組合后的基本概率分配值進(jìn)行決策判斷����,提取出態(tài)勢(shì)要素��。如圖所示���,是網(wǎng)絡(luò)系統(tǒng)的分層結(jié)構(gòu)圖��,對(duì)各層的量化計(jì)算步驟如下
步驟A :對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行分層�����,然后對(duì)分層指標(biāo)進(jìn)行量化計(jì)算����。將網(wǎng)絡(luò)系統(tǒng)分為網(wǎng)絡(luò)層����、主機(jī)層和攻防層。網(wǎng)絡(luò)層由不同的主機(jī)構(gòu)成����,主機(jī)層由所運(yùn)行的服務(wù)����、安全措施等所構(gòu)成���,攻防層主要考慮運(yùn)行于主機(jī)上的服務(wù)和安全要素兩部分步驟B :計(jì)算各個(gè)層次的網(wǎng)絡(luò)安全態(tài)勢(shì)值����。步驟BI :計(jì)算目標(biāo)網(wǎng)絡(luò)的服務(wù)安全態(tài)勢(shì)狀況���。服務(wù)的安全態(tài)勢(shì)與服務(wù)的正常訪(fǎng)問(wèn)量���、攻擊強(qiáng)度和攻擊威脅度有關(guān),量化公式如下
U太摩4 =辦H0_
其中���,為服務(wù)安全態(tài)勢(shì)值�,S表示目標(biāo)網(wǎng)絡(luò)當(dāng)前所提供的某種服務(wù)����;k表示該服務(wù)受到的攻擊種類(lèi);N表示服務(wù)所受到的攻擊的次數(shù)����;d表示攻擊的嚴(yán)重程度�����;N(t)表示t時(shí)刻攻擊所發(fā)生的次數(shù)�����;d(t)表示t時(shí)刻攻擊的嚴(yán)重程度。攻擊的威脅程度用予以計(jì)
算����,旨在更好地反映威脅程度高的攻擊對(duì)服務(wù)安全態(tài)勢(shì)的影響程度。^越大��,說(shuō)明服務(wù)s受到的威脅程度越大���。步驟B2 :計(jì)算目標(biāo)網(wǎng)絡(luò)的主機(jī)安全態(tài)勢(shì)狀況��。步驟B21 :計(jì)算目標(biāo)網(wǎng)絡(luò)的防御強(qiáng)度�����。防御強(qiáng)度與主機(jī)上所運(yùn)行的安全措施對(duì)主 機(jī)全屬性的影響度和安全屬性在該主機(jī)的重要性有關(guān)���,計(jì)算公式如下
DPmWJM β )=¥^( )
其中�,為主機(jī)上的防御強(qiáng)度值,If5表示安全屬性在主機(jī)上的重要性權(quán)重��,SM表示主機(jī)上運(yùn)行的安全措施��,ed表示SM相對(duì)于安全屬性的影響度�����。當(dāng)£3&^的值越大�����,說(shuō)明主機(jī)Host的安全防御能力越強(qiáng)��。步驟B22 :計(jì)算目標(biāo)網(wǎng)絡(luò)的主機(jī)安全態(tài)勢(shì)狀況�����,根據(jù)t時(shí)刻所運(yùn)行服務(wù)遭受的服務(wù)安全態(tài)勢(shì)和主機(jī)的防御強(qiáng)度���,對(duì)其進(jìn)行量化計(jì)算�����,公式如下
^smceA = K .U"冊(cè)胸 其中,* 為主機(jī)的安全態(tài)勢(shì)值,H表示目標(biāo)網(wǎng)絡(luò)中的主機(jī)表示服務(wù)在主機(jī)開(kāi)通的
所有服務(wù)中所占的權(quán)重��,為服務(wù)安全態(tài)勢(shì)值�,表示主機(jī)上的防御強(qiáng)度。當(dāng)Rmst的值越大�,說(shuō)明主機(jī)Host所受到的威脅程度越大,安全管理員應(yīng)該引起重視��,及時(shí)調(diào)整防御策略予以應(yīng)對(duì)�����。步驟C :計(jì)算t時(shí)刻目標(biāo)網(wǎng)絡(luò)的安全態(tài)勢(shì)狀況��。t時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)與該時(shí)刻的主機(jī)安全態(tài)勢(shì)有關(guān)����,量化公式如下
及Mwrt 呀M��,O)
其中��,Iift4wt為網(wǎng)絡(luò)安全態(tài)勢(shì)值表示主機(jī)在被評(píng)估局域網(wǎng)中所占重要性的權(quán)重�, 為主機(jī)的安全態(tài)勢(shì)值。當(dāng)及—的值越大�����,說(shuō)明網(wǎng)絡(luò)系統(tǒng)所受到的威脅程度越大,此
時(shí)����,自主響應(yīng)部件會(huì)做出響應(yīng),自主調(diào)節(jié)系統(tǒng)環(huán)境�����,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化��。對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)����,具體步驟如下
步驟I :根據(jù)歷史和當(dāng)前態(tài)勢(shì)值信息,定義關(guān)于服務(wù)��、主機(jī)和網(wǎng)絡(luò)系統(tǒng)的多輸入單輸出
的態(tài)勢(shì)預(yù)測(cè)函數(shù)I 和相應(yīng)的誤差函數(shù)G (V)
m m = (2^\tys 丨嚴(yán)卿{-^-二-二禮|}
氣
權(quán)利要求
1.一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)�����,其特征在于包括被管資源��、Agent協(xié)同層模塊、傳感器和效應(yīng)器模塊和自律管理者模塊���,Agent協(xié)同層模塊連接被管資源和自律管理者模塊�����,傳感器和效應(yīng)器模塊分別連接Agent協(xié)同層模塊和自律管理者模塊����, Agent協(xié)同層模塊捕獲被管資源信息并做預(yù)處理����,去除冗余信息,最終把信息交給自律管理者模塊����,接收自律管理者模塊的信息反饋,并自主調(diào)節(jié)系統(tǒng)環(huán)境�����,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化�����,以實(shí)現(xiàn)資源的動(dòng)態(tài)配置�、服務(wù)的動(dòng)態(tài)合成、系統(tǒng)參數(shù)的動(dòng)態(tài)校正�; 傳感器和效應(yīng)器模塊,連接所述的Agent協(xié)同層模塊�,需要定義統(tǒng)一的標(biāo)準(zhǔn)接口來(lái)實(shí)現(xiàn)由不同供應(yīng)商提供的軟硬件的通信,屏蔽由于內(nèi)部結(jié)構(gòu)的不同而產(chǎn)生的異構(gòu)性���。
2.如權(quán)利要求I所述的一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)�,其特征在于所述的自律管理者模塊包括知識(shí)庫(kù)模塊���、態(tài)勢(shì)提取模塊�、態(tài)勢(shì)預(yù)測(cè)模塊和自主響應(yīng)模塊��, 知識(shí)庫(kù)模塊包括狀態(tài)判定知識(shí)���、策略知識(shí)��、問(wèn)題求解知識(shí)和模式匹配知識(shí)�����,對(duì)態(tài)勢(shì)提取模塊�����、態(tài)勢(shì)預(yù)測(cè)模塊和自主響應(yīng)模塊提供知識(shí)支持�; 態(tài)勢(shì)提取模塊,用于提取有效的態(tài)勢(shì)信息�����,即攻擊要素����; 態(tài)勢(shì)評(píng)估模塊,連接所述的態(tài)勢(shì)提取模塊�����,通過(guò)識(shí)別態(tài)勢(shì)信息中的安全事件�����,依據(jù)它們之間的關(guān)聯(lián)關(guān)系���,計(jì)算出服務(wù)、主機(jī)和網(wǎng)絡(luò)所受到的威脅��,進(jìn)而實(shí)現(xiàn)對(duì)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)的分析; 態(tài)勢(shì)預(yù)測(cè)模塊,連接所述的態(tài)勢(shì)評(píng)估模塊,用于根據(jù)過(guò)去和當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)狀況����,對(duì)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè); 自主響應(yīng)模塊�,用于根據(jù)知識(shí)庫(kù)中的策略知識(shí)和問(wèn)題求解知識(shí)�����,對(duì)態(tài)勢(shì)提取模塊提取的行為特征實(shí)時(shí)做出響應(yīng)�,對(duì)態(tài)勢(shì)評(píng)估得出的態(tài)勢(shì)值進(jìn)行自主調(diào)節(jié)。
3.如權(quán)利要求2所述的一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)��,其特征在于所述的態(tài)勢(shì)提取模塊包括網(wǎng)絡(luò)安全數(shù)據(jù)源集成平臺(tái)模塊�����、異常發(fā)現(xiàn)模塊和自律聯(lián)想學(xué)習(xí)模塊�, 網(wǎng)絡(luò)安全數(shù)據(jù)源集成平臺(tái)模塊,用于實(shí)現(xiàn)多源異構(gòu)數(shù)據(jù)的集成處理��,為上層模塊提供數(shù)據(jù)支持�����; 異常發(fā)現(xiàn)模塊,采用模式匹配技術(shù)�,根據(jù)異常行為庫(kù)來(lái)檢測(cè)網(wǎng)絡(luò)中可能存在的各類(lèi)攻擊行為,并對(duì)異常行為庫(kù)進(jìn)行實(shí)時(shí)更新�����; 自律聯(lián)想學(xué)習(xí)模塊����,用于根據(jù)攻擊特征與異常行為庫(kù)的原有攻擊行為特征的記錄進(jìn)行關(guān)聯(lián)、整合和集成分析����,找出安全隱患的形成與發(fā)展規(guī)律;預(yù)測(cè)可能產(chǎn)生異常的條件及早期異常征兆���,采用診斷預(yù)測(cè)和智能決策的方法實(shí)現(xiàn)攻擊行為特征的自律聯(lián)想學(xué)習(xí)�,并將學(xué)習(xí)結(jié)果加入異常行為庫(kù)���; 從而實(shí)現(xiàn)對(duì)未知攻擊行為的聯(lián)想學(xué)習(xí)����,快速提取有效態(tài)勢(shì)信息��; 聚類(lèi)分析模塊,連接所述的自律聯(lián)想學(xué)習(xí)模塊�,采用相異度計(jì)算(DSimC)聚類(lèi)方法對(duì)自律聯(lián)想學(xué)習(xí)結(jié)果進(jìn)行聚類(lèi)判別分析�����; 其中所考慮的特征屬性主要有源/目的IP�����、源/目的端口��、檢測(cè)時(shí)間����、攻擊類(lèi)別等,分別計(jì)算其相異度����,最終計(jì)算出綜合相異程度; 融合分析模塊�����,連接所述的聚類(lèi)分析模塊���,采用指數(shù)加權(quán)DS證據(jù)理論(EWDS)對(duì)聚合后的安全信息進(jìn)行融合分析��,進(jìn)一步精簡(jiǎn)安全信息數(shù)量和識(shí)別攻擊行為����。
4.如權(quán)利要求3所述的一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng),其特征在于所述的利用DSimC聚類(lèi)方法對(duì)自律聯(lián)想學(xué)習(xí)結(jié)果進(jìn)行聚類(lèi)具體包括 步驟I :采用相關(guān)屬性距離計(jì)算的方法對(duì)報(bào)警進(jìn)行聚類(lèi)����; 假設(shè)有兩個(gè)報(bào)警和,利用公式
5.權(quán)利要求3所述的一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)���,其特征在于所述的利用EWDS對(duì)聚類(lèi)結(jié)果進(jìn)行融合����,具體包括 步驟I :將聚類(lèi)后的結(jié)果作為證據(jù)���,并依據(jù)不同傳感器的檢測(cè)率分配置信度����,依據(jù)攻擊情況��,獲取各個(gè)傳感器的權(quán)值; 步驟2 :采用DS證據(jù)組合規(guī)則對(duì)證據(jù)進(jìn)行組合����; 步驟3 :采用基本概率函數(shù)的融合決策規(guī)則對(duì)組合后的基本概率分配值進(jìn)行決策判斷,提取出態(tài)勢(shì)要素��。
6.如權(quán)利要求2所述的一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)��,其特征在于所述的態(tài)勢(shì)評(píng)估模塊的具體評(píng)估步驟如下 步驟I :對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行分層�����,然后對(duì)分層指標(biāo)進(jìn)行量化計(jì)算����,將網(wǎng)絡(luò)系統(tǒng)分為網(wǎng)絡(luò)層��、主機(jī)層和攻防層�����,網(wǎng)絡(luò)層由不同的主機(jī)構(gòu)成�����,主機(jī)層由所運(yùn)行的服務(wù)、安全措施等所構(gòu)成�����,攻防層主要考慮運(yùn)行于主機(jī)上的服務(wù)和安全要素兩部分�����; 步驟2 :計(jì)算各個(gè)層次的網(wǎng)絡(luò)安全態(tài)勢(shì)值��,定義t時(shí)刻目標(biāo)網(wǎng)絡(luò)的服務(wù)安全態(tài)勢(shì)狀況為
7.如權(quán)利要求2所述的一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)�,其特征在于所述的態(tài)勢(shì)預(yù)測(cè)模塊的具體預(yù)測(cè)步驟如下步驟I :根據(jù)歷史和當(dāng)前態(tài)勢(shì)值信息,定義關(guān)于服務(wù)��、主機(jī)和網(wǎng)絡(luò)系統(tǒng)的多輸入單輸出的態(tài)勢(shì)預(yù)測(cè)函數(shù)I ^r)和相應(yīng)的誤差函數(shù)G(V)
8.如權(quán)利要求I�、2、3��、4��、5�、6和7所述的一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的處理方法,其特征在于 步驟一�,Agent協(xié)同層采用多屬性拍賣(mài)方法處理被管資源提供的數(shù)據(jù),最終把信息交給自律管理者模塊����; 步驟二�����,自律管理者處理由Agent協(xié)同層提供的數(shù)據(jù)信息���; 步驟三,態(tài)勢(shì)提取部件提取攻擊行為特征�����,若有與知識(shí)庫(kù)中的攻擊行為特征不匹配的異常行為發(fā)生�����,則調(diào)用自主響應(yīng)部件做出響應(yīng)�����,自主響應(yīng)部件根據(jù)知識(shí)庫(kù)中的模式匹配知識(shí)和策略知識(shí)����,自主調(diào)節(jié)系統(tǒng)環(huán)境�����,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化,以實(shí)現(xiàn)資源的動(dòng)態(tài)配置��、服務(wù)的動(dòng)態(tài)合成�、系統(tǒng)參數(shù)的動(dòng)態(tài)校正,然后進(jìn)入態(tài)勢(shì)評(píng)估階段�����,即步驟四��;若沒(méi)有未知攻擊行為發(fā)生�����,則直接進(jìn)入態(tài)勢(shì)評(píng)估階段���,即步驟四�����; 步驟四�����,根據(jù)所述態(tài)勢(shì)提取信息�,采用層次分析法對(duì)網(wǎng)絡(luò)系統(tǒng)分層,進(jìn)而實(shí)現(xiàn)對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的分析進(jìn)行評(píng)估�;若態(tài)勢(shì)值信息不符合態(tài)勢(shì)知識(shí)庫(kù)中的策略知識(shí),則自動(dòng)響應(yīng)部件會(huì)做出響應(yīng)�����,自主調(diào)節(jié)系統(tǒng)環(huán)境�����,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化��,然后進(jìn)入步驟五��;若符合��,則直接進(jìn)入步驟五��; 步驟五���,根據(jù)所述網(wǎng)絡(luò)安全態(tài)勢(shì)的歷史信息和當(dāng)前狀態(tài)對(duì)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè); 尋找最優(yōu)的參數(shù)組合�����,最后輸出訓(xùn)練后的態(tài)勢(shì)預(yù)測(cè)曲線(xiàn)。
9.如權(quán)利要求8所述的一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的處理方法�����,其特征在于所述的多屬性拍賣(mài)方法來(lái)解決資源配置����、任務(wù)分配等問(wèn)題,以?xún)?yōu)化系統(tǒng)性能�����,其方法為 定義多屬性拍賣(mài)模型>��,其中�,A為所有物品的屬性所組成的空間,^ = Λχ-'χΛ��,被拍賣(mài)的物品有η個(gè)屬性■%��,·· , �,取值范圍為4,···��,4 ,令a為物品的屬性向量,且
全文摘要
一種基于自律計(jì)算的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)及其處理方法�,包括被管資源、Agent協(xié)同層模塊�、傳感器和效應(yīng)器模塊和自律管理者模塊,Agent協(xié)同層模塊連接被管資源和自律管理者模塊����,傳感器和效應(yīng)器模塊分別連接Agent協(xié)同層模塊和自律管理者模塊,針對(duì)態(tài)勢(shì)感知的系統(tǒng)結(jié)構(gòu)及態(tài)勢(shì)提取進(jìn)行改進(jìn)�,自主調(diào)節(jié)系統(tǒng)環(huán)境,使其能夠動(dòng)態(tài)適應(yīng)環(huán)境變化����,以實(shí)現(xiàn)資源的動(dòng)態(tài)配置、服務(wù)的動(dòng)態(tài)合成�、系統(tǒng)參數(shù)的動(dòng)態(tài)校正。
文檔編號(hào)H04L12/26GK102821007SQ20121027598
公開(kāi)日2012年12月12日 申請(qǐng)日期2012年8月6日 優(yōu)先權(quán)日2012年8月6日
發(fā)明者鄭瑞娟, 吳慶濤, 張明川, 楊春蕾, 趙旭輝, 魏汪洋, 李冠峰 申請(qǐng)人:河南科技大學(xué)