一種計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,尤其涉及一種計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng)�����。
【背景技術(shù)】
[0002]計(jì)算機(jī)網(wǎng)絡(luò)防御是指在計(jì)算機(jī)網(wǎng)絡(luò)及其信息系統(tǒng)內(nèi)�,采取的一系列防護(hù)(Protect)、監(jiān)視(Monitor)��、分析(Analyze)����、檢測(cè)(Detect)和響應(yīng)(Respond)未經(jīng)授權(quán)活動(dòng)的行為。隨著網(wǎng)絡(luò)攻擊手段的多樣化�,在瞬息多變的網(wǎng)絡(luò)環(huán)境中�,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)防御提出了更大的挑戰(zhàn)。為了保障大規(guī)模的計(jì)算機(jī)網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全����,需要在網(wǎng)絡(luò)上自動(dòng)決策和部署各種防御方案來應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊。隨著各國信息部隊(duì)的建設(shè)�����,加劇了信息空間的競(jìng)爭與對(duì)抗����;美國對(duì)利益沖突對(duì)手從實(shí)體摧毀進(jìn)一步深入到癱瘓和威懾對(duì)方的決策過程���,這一戰(zhàn)略思維的改變,加劇了人機(jī)交互決策過程偏向以人的企圖為主的決策趨勢(shì)?,F(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)防御決策方法主要有以下問題:
[0003](I)現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)防御決策是基于態(tài)勢(shì)的被動(dòng)決策,沒有考慮防御方的主觀防御企圖�,因此防御方案的調(diào)整與矯正無法以防御企圖為基準(zhǔn),從而導(dǎo)致防御方案不能有針對(duì)性地對(duì)防御目標(biāo)進(jìn)行保護(hù)�,降低了防御的效率。
[0004](2)不能使得機(jī)器能以更貼切的形式接受人的主觀意愿��,讓善于形象思維的人類由此可以專心地預(yù)謀更高層的防御意圖����,從而使人類從低級(jí)的機(jī)器行為中解脫出來。即缺乏防御企圖的高層描述方法���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例的目的在于提供一種計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng)���,旨在解決目前計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng)存在的冋題。
[0006]本發(fā)明實(shí)施例是這樣實(shí)現(xiàn)的����,一種計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng),包括:防御企圖的分解模塊�����、防御任務(wù)的生成模塊、防御方案的生成模塊�、網(wǎng)絡(luò)防御決策信息庫、輸入輸出模塊����、數(shù)據(jù)采集模塊和決策控制模塊。其中:
[0007]防御企圖的分解模塊:首先基于網(wǎng)絡(luò)防御企圖概念模型�����,設(shè)計(jì)了一種計(jì)算機(jī)網(wǎng)絡(luò)防御企圖描述語言網(wǎng)絡(luò)防御 IDL(Computer Network Defense Intent1n Descript1nLanguage)�,給出該語言的BNF范式描述;然后基于網(wǎng)絡(luò)防御IDL語言描述的企圖文本通過語言解釋器對(duì)企圖文本進(jìn)行詞法和語法掃描實(shí)現(xiàn)�;根據(jù)網(wǎng)絡(luò)防御IDL詞法規(guī)則和語法規(guī)則制定解釋器的詞法和語法掃描方法�,當(dāng)匹配到一條完整的網(wǎng)絡(luò)防御目標(biāo)、網(wǎng)絡(luò)防御期望和手段集的組合�����,即一個(gè)完整的企圖時(shí)����,提取出各個(gè)組分����,存入相應(yīng)的內(nèi)存數(shù)據(jù)結(jié)構(gòu)中�,當(dāng)所有文本都掃描和解釋完畢后即完成了網(wǎng)絡(luò)防御IDL企圖的分解;
[0008]防御任務(wù)的生成模塊:一個(gè)網(wǎng)絡(luò)防御任務(wù)包含了任務(wù)執(zhí)行主體���、任務(wù)操作��、任務(wù)執(zhí)行時(shí)間及任務(wù)執(zhí)行的約束條件���,其中任務(wù)操作又包含了操作對(duì)象、任務(wù)動(dòng)作及執(zhí)行參數(shù)�����,通過網(wǎng)絡(luò)防御企圖分解后���,調(diào)用網(wǎng)絡(luò)防御決策信息庫���,包括態(tài)勢(shì)信息和轉(zhuǎn)換規(guī)則,實(shí)現(xiàn)目標(biāo)轉(zhuǎn)換�����、期望及手段轉(zhuǎn)換的過程,將一個(gè)三元組標(biāo)識(shí)的網(wǎng)絡(luò)防御企圖轉(zhuǎn)換為一個(gè)或多個(gè)防御任務(wù)����;
[0009]防御方案的生成模塊:網(wǎng)絡(luò)防御方案是網(wǎng)絡(luò)防御任務(wù)的集合,網(wǎng)絡(luò)防御方案生成過程是基于網(wǎng)絡(luò)防御方案生成模型轉(zhuǎn)換為任務(wù)中的各元素���,以及各個(gè)元素之間的關(guān)系��,將任務(wù)組合成防御方案的過程��;
[0010]網(wǎng)絡(luò)防御決策信息庫:包括網(wǎng)絡(luò)態(tài)勢(shì)信息和轉(zhuǎn)換規(guī)則�;所述網(wǎng)絡(luò)態(tài)勢(shì)信息包含了當(dāng)前網(wǎng)絡(luò)環(huán)境中的所有節(jié)點(diǎn)及其連接關(guān)系���,以及每一節(jié)點(diǎn)自身的平臺(tái)特征����、運(yùn)行狀況信息����;所述轉(zhuǎn)換規(guī)則包括防御手段���、任務(wù)動(dòng)作����、手段關(guān)系、任務(wù)執(zhí)行主體類型以及漏洞知識(shí)庫��。
[0011]輸入輸出模塊:將防御方案的生成模塊生成的所有網(wǎng)絡(luò)防御方案和網(wǎng)絡(luò)防御決策信息庫中的信息數(shù)據(jù)輸入到?jīng)Q策控制模塊�,由決策控制模塊進(jìn)行分析處理發(fā)出決策控制指令再輸出到網(wǎng)絡(luò)防御決策信息庫。
[0012]數(shù)據(jù)采集模塊:實(shí)時(shí)采集網(wǎng)絡(luò)防御的決策指令��。
[0013]決策控制模塊:接收防御方案的生成模塊生成的所有網(wǎng)絡(luò)防御方案��,進(jìn)行決策控制����。
[0014]進(jìn)一步,所述步驟防御企圖的分解模塊中的防御企圖是防御目標(biāo)���、防御期望和防御手段構(gòu)成的三元組��;防御企圖包括機(jī)密性��、完整性�����、可用性和不可否認(rèn)性企圖����;計(jì)算機(jī)網(wǎng)絡(luò)防御目標(biāo)(網(wǎng)絡(luò)防御Target)是計(jì)算機(jī)網(wǎng)絡(luò)上需要防護(hù)的對(duì)象;網(wǎng)絡(luò)防御目標(biāo)可分為靜態(tài)防御目標(biāo)和動(dòng)態(tài)防御目標(biāo)����;網(wǎng)絡(luò)防御靜態(tài)防御目標(biāo)按照TCP/IP協(xié)議的不同層次,可分為節(jié)點(diǎn)�����、進(jìn)程����、服務(wù)以及存儲(chǔ)的靜態(tài)數(shù)據(jù),網(wǎng)絡(luò)防御動(dòng)態(tài)防御目標(biāo)是指網(wǎng)絡(luò)中動(dòng)態(tài)傳輸?shù)臄?shù)據(jù)包����;計(jì)算機(jī)網(wǎng)絡(luò)防御期望描述了防御目標(biāo)的網(wǎng)絡(luò)安全要求;防御期望包括主體防御期望和客體防御期望�����;防御手段包括防護(hù)�、檢測(cè)、分析�,響應(yīng)和恢復(fù)手段;防護(hù)(protect)是指采取行動(dòng)以提防針對(duì)敏感設(shè)備和信息的間諜或捕獲活動(dòng)��;防護(hù)手段包括訪問控制(Access Control)�、加解密(Crypt)、認(rèn)證(Authenticate)��、系統(tǒng)平臺(tái)加固(SystemPlatform Reinforce)����、備份(Backup);檢測(cè)(Detect)是通過某些技術(shù)和方法從現(xiàn)有網(wǎng)絡(luò)系統(tǒng)相關(guān)信息中發(fā)現(xiàn)問題或威脅的過程;檢測(cè)手段包括病毒掃描(VirusScan)���、漏洞掃描(Vulnerability Scan)����、入侵檢測(cè)(Intrus1n Detect);分析(Analyse)手段是通過對(duì)收集到的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理后得出網(wǎng)絡(luò)安全狀態(tài)或事件的過程��,分析手段為日志審計(jì)(Log Audit);響應(yīng)手段是為了應(yīng)對(duì)檢查和分析的結(jié)果所采取的動(dòng)作措施����;響應(yīng)手段包括鎖定賬戶(Lock Account)、入侵誘騙(Intrus1n Deceive)����、訪問控制��、攻擊源跟蹤(SourceTrace)��、調(diào)節(jié)(Refine)�����、病毒查殺(Virus Kill);恢復(fù)手段是對(duì)遭受破壞的保護(hù)目標(biāo)所采取的修復(fù)行為�,包括數(shù)據(jù)恢復(fù)(Data Recover)�、系統(tǒng)重建(System Rebuild);數(shù)據(jù)恢復(fù)是按照數(shù)據(jù)的備份對(duì)損壞的數(shù)據(jù)進(jìn)行恢復(fù);基于以上的防御企圖相關(guān)概念設(shè)計(jì)了計(jì)算機(jī)網(wǎng)絡(luò)防御企圖描述語言網(wǎng)絡(luò)防御IDL ;然后采用JavaCC詞法語法分析器�,對(duì)用網(wǎng)絡(luò)防御IDL描述的機(jī)密性、完整性���、可用性和不可否認(rèn)性企圖分別進(jìn)行詞法語法分析���,具體過程為:根據(jù)網(wǎng)絡(luò)防御IDL詞法規(guī)則和語法規(guī)則制定解釋器的詞法和語法掃描方法,當(dāng)匹配到一條完整的網(wǎng)絡(luò)防御目標(biāo)��、網(wǎng)絡(luò)防御期望和手段集的組合時(shí)�����,分別提取出各個(gè)組分,存入相應(yīng)的內(nèi)存數(shù)據(jù)結(jié)構(gòu)中�����,當(dāng)所有文本都掃描和解釋完畢后即完成了網(wǎng)絡(luò)防御IDL企圖的分解��。
[0015]進(jìn)一步���,所述防御任務(wù)的生成模塊中采用包括了基于態(tài)勢(shì)信息的網(wǎng)絡(luò)防御目標(biāo)轉(zhuǎn)換和基于態(tài)勢(shì)及轉(zhuǎn)換規(guī)則的網(wǎng)絡(luò)防御期望、手段轉(zhuǎn)換兩個(gè)過程����;態(tài)勢(shì)信息包含了當(dāng)前網(wǎng)絡(luò)環(huán)境中的所有節(jié)點(diǎn),包括主機(jī)���、服務(wù)器��、安全設(shè)備及其連接關(guān)系�,以及每一節(jié)點(diǎn)自身的平臺(tái)特征��、運(yùn)行狀況信息�����;轉(zhuǎn)換規(guī)則由專家根據(jù)網(wǎng)絡(luò)防御技術(shù)手段及其具體操作來制定;轉(zhuǎn)換規(guī)則包括防御手段�、任務(wù)動(dòng)作、手段關(guān)系�、任務(wù)執(zhí)行主體類型以及漏洞知識(shí)庫,所述防御手段包括手段名����、手段類型;所述任務(wù)動(dòng)作包括動(dòng)作名�、動(dòng)作類型和動(dòng)作參數(shù);漏洞知識(shí)庫根據(jù)通用漏洞評(píng)分系統(tǒng)定義了不同類型漏洞的CVE名稱���、相應(yīng)的操作系統(tǒng)����、補(bǔ)丁及可能引起的攻擊報(bào)警�;基于態(tài)勢(shì)信息的網(wǎng)絡(luò)防御目標(biāo)轉(zhuǎn)換過程;網(wǎng)絡(luò)防御企圖中使用目標(biāo)名稱標(biāo)識(shí)一個(gè)網(wǎng)絡(luò)防御目標(biāo)�����,根據(jù)方案生成模型���,該目標(biāo)將轉(zhuǎn)換為任務(wù)操作對(duì)象��;基于態(tài)勢(shì)及轉(zhuǎn)換規(guī)則的網(wǎng)絡(luò)防御期望��、防御手段轉(zhuǎn)換��;網(wǎng)絡(luò)防御企圖分解后的期望包含了期望主體及其狀態(tài)��、客體及其狀態(tài)以及動(dòng)作約束��、上下文信息���,防御手段是擬采用的基本手段的集合。
[0016]進(jìn)一步�,所述