網絡入侵防御的可拓求解方法
【專利摘要】本發(fā)明公開了一種網絡入侵防御的可拓求解方法,包括(1)預處理通過收集到的數據報文和網絡拓撲信息,得到構造基元的數據,然后構造基元;(2)對基元進行可拓變換,擴大已知條件,減少問題的矛盾性;(3)建立問題合適的關聯函數,進行結點狀態(tài)的可拓識別和防御。本發(fā)明用包括相關數據的各種基元對問題進行抽象;通過對物元的可拓處理,擴大已知條件,降低問題求解的矛盾性;確定具有公共左端點,且最優(yōu)點在左端點的關聯函數為問題域的關聯函數;用此關聯函數進行多特征融合的攻擊識別、攻擊預警;并針對蠕蟲,給出了防御步驟。
【專利說明】網絡入侵防御的可拓求解方法
【技術領域】
[0001]本發(fā)明用于解決網絡的入侵防御問題,涉及網絡攻擊的檢測、預警和防御的這一矛盾問題的可拓求解方法。
【背景技術】
[0002]網絡的入侵檢測是指通過對計算機網絡或計算機系統(tǒng)若干關鍵點收集信息并對其進行分析,從而發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象并作出反應的過程。網絡入侵防御指通過一定的響應方式,實時地中止入侵行為的發(fā)生和發(fā)展,實時地保護信息系統(tǒng)不受實質性攻擊的一種智能化的安全技術。網絡入侵檢測已成為繼防火墻后,不可或缺的網絡安全保障技術之一。常用的檢測方法有異常檢測和誤用檢測,技術主要是基于特征的匹配和基于特征的分類,方法上有神經網絡學習法,支持矢量機法,聚類分析等;情景分析方法,如入侵關聯跟蹤、態(tài)勢分析等。
[0003]可拓學是用形式化模型研究事物拓展的可能性和開拓創(chuàng)新的規(guī)律與方法,用以解決矛盾問題的科學。為了形式化描述客觀世界的物、事(物與物之間的相互作用)和關系(物物、物事及事事之間關系),可拓論建立了物元R= (N,C,V)、事元I= (D,C,V)和關系元Q= (A, C,V)分別作為物、事和關系的表示形式,物元、事元和關系元,統(tǒng)稱為基元,是可拓論的基礎。它們在組成上類似,由三元組組成。其中,N是名詞,是物名;D是動詞,表示事的行為;A是名詞,是關系名。二元組(C,V)表示對應的特征與特征值,是多維的。如果基元是隨時間變化的,可記為:R(t)、I(t)、Q(t)等。
[0004]在可拓論中,用關聯函數來刻畫論域中的元素具有某種性質的程度,把“具有性質P”的事物從定性描述拓展到“具有性質P的程度”的定量描述。關聯函數使問題的關聯度的計算不必依靠主觀判斷或統(tǒng)計,而是根據對事物關于某特征的量化要求的范圍XtlMa, b>和質變的區(qū)間X=〈c,d>來確定。這使關聯函數擺脫了主觀判斷造成的偏差。關聯函數的值由距值與位值決定。距表示點與區(qū)間的距離。當最優(yōu)點Xtl發(fā)生在區(qū)間中間時,為一般意義上的“距”;最優(yōu)點發(fā)生左半區(qū)間或右半區(qū)間時,稱為“側距”。位值表示一個點與兩個區(qū)間或兩個區(qū)間之間的距離。
[0005]網絡安全理論的核心是對無邊界系統(tǒng)的安全理論的研究。無邊界意味著網絡安全問題具有矛盾問題之特性。這也正是用常規(guī)求解方法解決網絡入侵與防御問題的困難所在。嘗試用可拓理論解決網絡安全問題,只見2例。趙玲針對DARPA抽出的通用入侵檢測系統(tǒng)模型CIDF,給出了事件分析器物元模型的構造;肖敏等人把可拓理論用于基于特征的入侵檢測中,給出了攻擊的基于特征的物元,研究了其在流量異常中的應用。
【發(fā)明內容】
[0006]本發(fā)明的目的在于提供一種可有效解決網絡入侵防御的網絡入侵防御的可拓求解方法。
[0007]本發(fā)明的技術解決方案是:[0008]一種網絡入侵檢測與防御的可拓求解方法,其特征是:包括下列步驟:
[0009](I)預處理通過收集到的數據報文和網絡拓撲信息,得到構造基元的數據,然后構造基兀;
[0010](2)對基元進行可拓變換,擴大已知條件,減少問題的矛盾性;
[0011](3)建立問題合適的關聯函數,進行結點狀態(tài)的可拓識別和防御。
[0012]所述的基元如下:
[0013](I)報文物元R (t),用于記載網絡數據包;
[0014]1?(0 = {報文,0(0}
[0015]C= {時間,協議類型,源IP,源端口,目標IP,目標端口,
[0016]包容量,傳輸標志,包內容}
[0017]V (t) =C(R),是 C 的值
[0018](2)防御事元I,表示對感染點采取的防御措施;
[0019]I= (D, C, V}, D= “防御措施標識”
[0020]C= {施動對象,支配對象,時間,地點,程序,方式,工具}
[0021]V=C(I),是 C 的值
[0022](3)節(jié)點關系元Q(t),表示節(jié)點之間的相似關系;
[0023]Q (t) = {A, C,V},A= “連通”
[0024]C= {前項,后項,程度,容量,內容,聯系通道,聯系方式}
[0025]V (t) =C(Q),是 C 的值
[0026]其中,容量與內容的值在O~I之間,分別反映兩節(jié)點之間報文容量和內容相似度。
[0027](4)預警混合元Inf (t),告知檢測到的攻擊;
[0028]11^&)={通知,(^}
[0029]C={攻擊標識,原因,端口,發(fā)布時間,負載標志,尺寸,內容,防御}
[0030]V (t) =C(Inf),是 C 的值
[0031]其中,“原因”是關于攻擊所利用的漏洞描述的物元,設為H=(N,c,V),N={漏洞名},c={依托軟件,危害,…}, v=c(H);防御為防御事元。
[0032]所述可拓變換步驟如下:
[0033](I) R(t)_|R_R(t)、R_T(t):根據物元的可擴縮性,把權利要求2所述的報文R(t)可拓處理為接收報文物元R_R(t)和發(fā)送報文物元R_T(t);
[0034]I)接收報文物元如下:
[0035]R_R (t) = {接收報文,Ck K,Ve J
[0036]Ce e= {時間,源IP,源端口,目標端口,包容量,類型,標志}
[0037]Ve e=Ce e (R_R),是 Ck κ 的值
[0038]2)發(fā)送報文物元如下:
[0039]R_T (t) = {發(fā)送報文,Ck T,VE T}
[0040]Ce t= {時間,目標端口,目標IP,源端口,包容量,類型,標志} [0041 ]Ve t=Ce t (R_R),是 Ck τ 的值
[0042](2) R_R(t) -1 R_R_T (t)、R_T (t) -1 R_T_T (t):根據物元的可組合性,由接收報文物元1?_1?(0和發(fā)送報文物元1?_1(0,得到某一時間間隔At內接收收到報文的物元R_R_T(t)和傳出報文物元R_T_T(t); [0043]I)某一時間間隔Λ t內接收收到報文的物元R_R_T(t)如下:
[0044]R_R_T (t) = { Λ t 接收報文,Ck K T,VE E T}
[0045]Ce e t= {類型,時間段,源IP,源端口,端口,報文數}
[0046]Ve e t=Ce e t (R_R_T),是 Ck κ τ 的值
[0047]2)某一時間間隔Λ t內接收收到報文的物元R_T_T(t)如下所示:
[0048]R_T_T (t) = { Λ t 發(fā)送報文,Ck T T,VE T T}
[0049]CKT T={類型,時間段,目標IP,目標端口,源端口,報文數}
[0050]Ve t t=Ce t t (R_T_T),是 Ck τ τ 的值
[0051](3) R_R_T(t)-|R_R_T_C(t)、R_T_T(t)-|R_T_T_C(t):根據物元的可分解性,由 R_R_T(t)、R_T_T(t)得到關于包括端口、協議條件分類的接收報文統(tǒng)計物元R_R_T_C(t)和傳送報文的分類統(tǒng)計物元R_T_T_C(t);
[0052]I)分類的接收報文物元R_R_T_C(t)如下所示:
[0053]R_R_T_C (t) = { Λ t 發(fā)送報文類名,Ck K T c,Ve e t c)
[0054]Ce e t c= {時間段,報文數,......}
[0055]Ve e t c=Ce e t c (R_R_T_C),是 Ck K T c 的值
[0056]2)分類的發(fā)送報文物元R_T_T_C(t)如下所示。
[0057]R_T_T_C (t) = { Λ t 接收報文類名,Ck T T c,Ve t t cI
[0058]CKTTC={時間段,報文數,...}
[0059]Ve t t c=Ce t t c (R_T_T_C),是 Ck T T c 的值
[0060]所述進行結點狀態(tài)的可拓識別和防御,包括下列步驟:
[0061](I)確定關聯函數:
[0062]用于入侵識別問題自變量域(a,b)的關聯函數,是具有公共端點且最優(yōu)點在a處的關聯函數IqUa);
(b x)/(a - b).xe (-00 , a)
[0063]k , ( a* , a ) = < (b - x)/(b - dj, x g (a, +00 )
IX = a
[0064](2)根據所述的報文物元R (t)和所述的某一時間間隔Λ t內分類的接收報文物元R_R_T_C(t)和分類的發(fā)送報文物元R_T_T_C(t)中的報文數,利用關聯函數匕(1,&),分別計算被攻擊的可能性,然后進行加權計算,進行入侵識別;
[0065](3)入侵預警:根據所述的節(jié)點關系元Q(t)中的容量和內容相似度,利用關聯函數(X,a),分別計算受感染的可能性,然后進行加權計算,進行入侵預警;
[0066](4)入侵防御:根據入侵識別和受攻擊可能性,用所述的防御事元I (t),啟動防御措施。
[0067]本發(fā)明用包括相關數據的各種基元對問題進行抽象;通過對物元的可拓處理,擴大已知條件,降低問題求解的矛盾性;確定具有公共左端點,且最優(yōu)點在左端點的關聯函數為問題域的關聯函數;用此關聯函數進行多特征融合的攻擊識別、攻擊預警;并針對蠕蟲,給出了防御步驟。【專利附圖】
【附圖說明】[0068]下面結合附圖和實施例對本發(fā)明作進一步說明。
[0069]圖1是可拓求解過程不意圖。
[0070]圖2是具有公共左端點且最優(yōu)點在左端點關聯函數圖。
【具體實施方式】
[0071]一種網絡入侵檢測與防御的可拓求解方法,其特征是:包括下列步驟:
[0072](I)預處理通過收集到的數據報文和網絡拓撲信息,得到構造基元的數據,然后構造基兀;
[0073](2)對基元進行可拓變換,擴大已知條件,減少問題的矛盾性;
[0074](3)建立問題合適的關聯函數,進行結點狀態(tài)的可拓識別和防御。以蠕蟲的檢測、預警與防御為測試對象,在一個局域網內進行。
[0075]2、構造下列基元
[0076](I)報文物元R (t),用于記載網絡數據包。
[0077]1?(0 = {報文,0(0}
[0078]C= {時間,協議類型,源IP,源端口,目標IP,目標端口,
[0079]包容量,傳輸標志,包內容}
[0080]V (t) =C(R),是 C 的值
[0081]具體為:
報文,時間,vI⑴
協議類型,V2O)
源 IP, v3(t)
源端口, V4 (?)
[0082]R(t)=目標 IP, v;(t)(式 I)
目標端口, V6 (?)
報文容量,ν7(?)
傳輸標志, Vs (O
包內容,vg(0
[0083]其中Vi (t)表示各參數隨時間變化的函數。
[0084](2)防御事元I (t),表示對感染點采取的防御措施。
[0085]I= (D, C,V},D= “防御措施標識”
[0086]C= {施動對象,支配對象,時間,地點,程序,方式,工具}
[0087]V (t) =C (t),是 C 的值
[0088]具體為:
【權利要求】
1.一種網絡入侵檢測與防御的可拓求解方法,其特征是:包括下列步驟: (1)預處理通過收集到的數據報文和網絡拓撲信息,得到構造基元的數據,然后構造基元; (2)對基元進行可拓變換,擴大已知條件,減少問題的矛盾性; (3)建立問題合適的關聯函數,進行結點狀態(tài)的可拓識別和防御。
2.根據權利要求1所述的網絡入侵檢測與防御的可拓求解方法,其特征是:所述的基元如下: (1)報文物元R(t),用于記載網絡數據包; R(t) = {報文,C,V(t)} C={時間,協議類型,源IP,源端口,目標IP,目標端口, 包容量,傳輸標志,包內容} V(t) =C(R),是 C 的值 (2)防御事元I,表示對感染點采取的防御措施; I= (D, C,V},D= “.防御措施標識” C= {施動對象,支配對象,時間,地點,程序,方式,工具} V=C(I),是C的值 (3)節(jié)點關系兀Q(t),表不節(jié)點之間的相似關系;
Q(t) = {A,C,V},A= “連通” C= {前項,后項,程度,容量,內容,聯系通道,聯系方式}
V(t) =C(Q),是 C 的值 其中,容量與內容的值在O~I之間,分別反映兩節(jié)點之間報文容量和內容相似度。 (4)預警混合元Inf(t),告知檢測到的攻擊; Inf (t) ={通知,C,V} C= {攻擊標識,原因,端口,發(fā)布時間,負載標志,尺寸,內容,防御} V(t) =C(Inf),是 C 的值 其中,“原因”是關于攻擊所利用的漏洞描述的物元,設為H=(N,c,V),N={漏洞名},0={依托軟件,危害,…}, v=c(H);防御為防御事元。
3.根據權利要求2所述的網絡入侵檢測與防御的可拓求解方法,其特征是:所述可拓變換步驟如下: (l)R(t)-|R_R(t)、R_T(t):根據物元的可擴縮性,把權利要求2所述的報文R(t)可拓處理為接收報文物元R_R(t)和發(fā)送報文物元R_T(t); 1)接收報文物元如下: !^!^(^[{接收報文,^^,Ve eI Ce e= {時間,源IP,源端口,目標端口,包容量,類型,標志}
V0=Ce R (R_R),是 Ck k 的值 2)發(fā)送報文物元如下: 尺_丁(0 = {發(fā)送報文,0^,VE T} Ce t= {時間,目標端口,目標IP,源端口,包容量,類型,標志}
Ve t=Ce t(R_R),是 Ck t 的值(2)R_R(t) -1 R_R_T (t)、R_T (t) -1 R_T_T (t):根據物元的可組合性,由接收報文物元R_R(t)和發(fā)送報文物元R_T(t),得到某一時間間隔At內接收收到報文的物元R_R_T(t)和傳出報文物元R_T_T(t); 1)某一時間間隔Λt內接收收到報文的物元R_R_T(t)如下:
R_R_T (t) = { Λ t 接收報文,Ck K T,Ve e tI Co t= {類型,時間段,源ΙΡ,源端口,端口,報文數}
Ve_e_t=Ce_e t (R_R_T),是 Ck κ τ 的值 2)某一時間間隔Λt內接收收到報文的物元R_T_T(t)如下所示:
R_T_T (t) = { Λ t 發(fā)送報文,Ck T T,VE T T} CKT T={類型,時間段,目標IP,目標端口,源端口,報文數}
Vr t t=Ce t t (R_T_T),是 CK—τ—τ 的值
(3 ) R_R_T (t) -1 R_R_T_C (t)、R_T_T (t) -1 R_T_T_C (t):根據物元的可分解性,由 R_R_T (t)、R_T_T (t)得到關于包括端口、協議條件分類的接收報文統(tǒng)計物元R_R_T_C (t)和傳送報文的分類統(tǒng)計物元R_T_T_C(t); O分類的接收報文物元R_R_T_C(t)如下所示:
R_R_T_C (t) = { Λ t 發(fā)送報文類名,Ck κ τVe e t c) CK—K—T—c={時間段,報文數,......1
Ve_e_t_c=Ce_e_t_c (R_R_T_C),是 CK—K—T—c 的值 2)分類的發(fā)送報文物元R_T_T_C(t)如下所示。
R_T_T_C (t) = { Λ t 接收報文類名,Ce t t c, Ve t t cI
Ck τ T c= {時間段,報文數,...}
Ve_t_t_c=Ce_t_t_c (R_T_T_C),是 CK—T—T—c 的值。
4.根據權利要求3所述的網絡入侵與防御的可拓求解方法,其特征是:所述進行結點狀態(tài)的可拓識別和防御,包括下列步驟: (1)確定關聯函數: 用于入侵識別問題自變量域(a,b)的關聯函數,是具有公共端點且最優(yōu)點在a處的關聯函數Ic1 (X,a);
(b - x)/(a - b), X G (~ ο;.Λ a)
k , { X.a) = < (b - x)/(b - d).x g (a, +oo )
IX = a (2)根據所述的報文物元R(t)和所述的某一時間間隔At內分類的接收報文物元R_R_T_C(t)和分類的發(fā)送報文物元R_T_T_C(t)中的報文數,利用關聯函數匕(1,&),分別計算被攻擊的可能性,然后進行加權計算,進行入侵識別; (3)入侵預警:根據所述的節(jié)點關系元Q(t)中的容量和內容相似度,利用關聯函數k^x, a),分別計算受感染的可能性,然后進行加權計算,進行入侵預警; (4)入侵防御:根據入侵識別和受攻擊可能性,用所述的防御事元I(t),啟動防御措施。
【文檔編號】H04L29/06GK103475662SQ201310419078
【公開日】2013年12月25日 申請日期:2013年9月13日 優(yōu)先權日:2013年9月13日
【發(fā)明者】徐慧, 陳翔, 周建美, 顧頎, 郭榮祥 申請人:南通大學