本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng)。
背景技術(shù):
計(jì)算機(jī)網(wǎng)絡(luò)防御是指在計(jì)算機(jī)網(wǎng)絡(luò)及其信息系統(tǒng)內(nèi),采取的一系列防護(hù)(Protect)、監(jiān)視(Monitor)、分析(Analyze)、檢測(Detect)和響應(yīng)(Respond)未經(jīng)授權(quán)活動(dòng)的行為。隨著網(wǎng)絡(luò)攻擊手段的多樣化,在瞬息多變的網(wǎng)絡(luò)環(huán)境中,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)防御提出了更大的挑戰(zhàn)。為了保障大規(guī)模的計(jì)算機(jī)網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全,需要在網(wǎng)絡(luò)上自動(dòng)決策和部署各種防御方案來應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊。隨著各國信息部隊(duì)的建設(shè),加劇了信息空間的競爭與對(duì)抗;美國對(duì)利益沖突對(duì)手從實(shí)體摧毀進(jìn)一步深入到癱瘓和威懾對(duì)方的決策過程,這一戰(zhàn)略思維的改變,加劇了人機(jī)交互決策過程偏向以人的企圖為主的決策趨勢。現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)防御決策方法主要有以下問題:
(1)現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)防御決策是基于態(tài)勢的被動(dòng)決策,沒有考慮防御方的主觀防御企圖,因此防御方案的調(diào)整與矯正無法以防御企圖為基準(zhǔn),從而導(dǎo)致防御方案不能有針對(duì)性地對(duì)防御目標(biāo)進(jìn)行保護(hù),降低了防御的效率。
(2)不能使得機(jī)器能以更貼切的形式接受人的主觀意愿,讓善于形象思維的人類由此可以專心地預(yù)謀更高層的防御意圖,從而使人類從低級(jí)的機(jī)器行為中解脫出來。即缺乏防御企圖的高層描述方法。
技術(shù)實(shí)現(xiàn)要素:
為了解決上述技術(shù)問題,本發(fā)明提供一種計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng),旨在解決現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng)結(jié)構(gòu)復(fù)雜、效率低等的問題。
一種計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng),該計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng)包括防御企圖的分解模塊、防御任務(wù)的生成模塊、防御方案的生成模塊、網(wǎng)絡(luò)防御決策信息庫、輸入輸出模塊、數(shù)據(jù)采集模塊、決策控制模塊和系統(tǒng)反饋模塊;
所述的防御企圖的分解模塊:首先基于網(wǎng)絡(luò)防御企圖概念模型,設(shè)計(jì)了一種計(jì)算機(jī)網(wǎng)絡(luò)防御企圖描述語言網(wǎng)絡(luò)防御IDL(Computer Network Defense Intention Description Language),給出該語言的BNF范式描述;然后基于網(wǎng)絡(luò)防御IDL語言描述的企圖文本通過語言解釋器對(duì)企圖文本進(jìn)行詞法和語法掃描實(shí)現(xiàn);根據(jù)網(wǎng)絡(luò)防御IDL詞法規(guī)則和語法規(guī)則制定解釋器的詞法和語法掃描方法,當(dāng)匹配到一條完整的網(wǎng)絡(luò)防御目標(biāo)、網(wǎng)絡(luò)防御期望和手段集的組合,即一個(gè)完整的企圖時(shí),提取出各個(gè)組分,存入相應(yīng)的內(nèi)存數(shù)據(jù)結(jié)構(gòu)中,當(dāng)所有文本都掃描和解釋完畢后即完成了網(wǎng)絡(luò)防御IDL企圖的分解;
所述的防御任務(wù)的生成模塊:一個(gè)網(wǎng)絡(luò)防御任務(wù)包含了任務(wù)執(zhí)行主體、任務(wù)操作、任務(wù)執(zhí)行時(shí)間及任務(wù)執(zhí)行的約束條件,其中任務(wù)操作又包含了操作對(duì)象、任務(wù)動(dòng)作及執(zhí)行參數(shù),通過網(wǎng)絡(luò)防御企圖分解后,調(diào)用網(wǎng)絡(luò)防御決策信息庫,包括態(tài)勢信息和轉(zhuǎn)換規(guī)則,實(shí)現(xiàn)目標(biāo)轉(zhuǎn)換、期望及手段轉(zhuǎn)換的過程,將一個(gè)三元組標(biāo)識(shí)的網(wǎng)絡(luò)防御企圖轉(zhuǎn)換為一個(gè)或多個(gè)防御任務(wù);
所述的防御方案的生成模塊:網(wǎng)絡(luò)防御方案是網(wǎng)絡(luò)防御任務(wù)的集合,網(wǎng)絡(luò)防御方案生成過程是基于網(wǎng)絡(luò)防御方案生成模型轉(zhuǎn)換為任務(wù)中的各元素,以及各個(gè)元素之間的關(guān)系,將任務(wù)組合成防御方案的過程;
所述的網(wǎng)絡(luò)防御決策信息庫:包括網(wǎng)絡(luò)態(tài)勢信息和轉(zhuǎn)換規(guī)則;所述網(wǎng)絡(luò)態(tài)勢信息包含了當(dāng)前網(wǎng)絡(luò)環(huán)境中的所有節(jié)點(diǎn)及其連接關(guān)系,以及每一節(jié)點(diǎn)自身的平臺(tái)特征、運(yùn)行狀況信息;所述轉(zhuǎn)換規(guī)則包括防御手段、任務(wù)動(dòng)作、手段關(guān)系、任務(wù)執(zhí)行主體類型以及漏洞知識(shí)庫;
所述的輸入輸出模塊:將防御方案的生成模塊生成的所有網(wǎng)絡(luò)防御方案和網(wǎng)絡(luò)防御決策信息庫中的信息數(shù)據(jù)輸入到?jīng)Q策控制模塊,由決策控制模塊進(jìn)行分析處理發(fā)出決策控制指令再輸出到網(wǎng)絡(luò)防御決策信息庫;
所述的數(shù)據(jù)采集模塊:實(shí)時(shí)采集網(wǎng)絡(luò)防御的決策指令;
所述的決策控制模塊:接收所述防御方案的生成模塊生成的所有網(wǎng)絡(luò)防御方案,進(jìn)行決策控制;
所述的系統(tǒng)反饋模塊:將所述決策控制模塊接收的網(wǎng)絡(luò)防御方案進(jìn)行反饋,實(shí)時(shí)收集反饋信息及時(shí)對(duì)所述防御方案的生成模塊生成的所有網(wǎng)絡(luò)防御方案進(jìn)行調(diào)整改進(jìn)。
進(jìn)一步,所述的步驟防御企圖的分解模塊中的防御企圖是防御目標(biāo)、防御期望和防御手段構(gòu)成的三元組;防御企圖包括機(jī)密性、完整性、可用性和不可否認(rèn)性企圖;計(jì)算機(jī)網(wǎng)絡(luò)防御目標(biāo)(網(wǎng)絡(luò)防御Target)是計(jì)算機(jī)網(wǎng)絡(luò)上需要防護(hù)的對(duì)象;網(wǎng)絡(luò)防御目標(biāo)可分為靜態(tài)防御目標(biāo)和動(dòng)態(tài)防御目標(biāo);網(wǎng)絡(luò)防御靜態(tài)防御目標(biāo)按照TCP/IP協(xié)議的不同層次,可分為節(jié)點(diǎn)、進(jìn)程、服務(wù)以及存儲(chǔ)的靜態(tài)數(shù)據(jù),網(wǎng)絡(luò)防御動(dòng)態(tài)防御目標(biāo)是指網(wǎng)絡(luò)中動(dòng)態(tài)傳輸?shù)臄?shù)據(jù)包;計(jì)算機(jī)網(wǎng)絡(luò)防御期望描述了防御目標(biāo)的網(wǎng)絡(luò)安全要求;防御期望包括主體防御期望和客體防御期望;防御手段包括防護(hù)、檢測、分析,響應(yīng)和恢復(fù)手段;防護(hù)(protect)是指采取行動(dòng)以提防針對(duì)敏感設(shè)備和信息的間諜或捕獲活動(dòng);防護(hù)手段包括訪問控制(Access Control)、加解密(Crypt)、認(rèn)證(Authenticate)、系統(tǒng)平臺(tái)加固(System Platform Reinforce)、備份(Backup);檢測(Detect)是通過某些技術(shù)和方法從現(xiàn)有網(wǎng)絡(luò)系統(tǒng)相關(guān)信息中發(fā)現(xiàn)問題或威脅的過程;檢測手段包括病毒掃描(VirusScan)、漏洞掃描(Vulnerability Scan)、入侵檢測(Intrusion Detect);分析(Analyse)手段是通過對(duì)收集到的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理后得出網(wǎng)絡(luò)安全狀態(tài)或事件的過程,分析手段為日志審計(jì)(Log Audit);響應(yīng)手段是為了應(yīng)對(duì)檢查和分析的結(jié)果所采取的動(dòng)作措施;響應(yīng)手段包括鎖定賬戶(Lock Account)、入侵誘騙(Intrusion Deceive)、訪問控制、攻擊源跟蹤(Source Trace)、調(diào)節(jié)(Refine)、病毒查殺(Virus Kill);恢復(fù)手段是對(duì)遭受破壞的保護(hù)目標(biāo)所采取的修復(fù)行為,包括數(shù)據(jù)恢復(fù)(Data Recover)、系統(tǒng)重建(System Rebuild);數(shù)據(jù)恢復(fù)是按照數(shù)據(jù)的備份對(duì)損壞的數(shù)據(jù)進(jìn)行恢復(fù);基于以上的防御企圖相關(guān)概念設(shè)計(jì)了計(jì)算機(jī)網(wǎng)絡(luò)防御企圖描述語言網(wǎng)絡(luò)防御IDL;然后采用JavaCC詞法語法分析器,對(duì)用網(wǎng)絡(luò)防御IDL描述的機(jī)密性、完整性、可用性和不可否認(rèn)性企圖分別進(jìn)行詞法語法分析,具體過程為:根據(jù)網(wǎng)絡(luò)防御IDL詞法規(guī)則和語法規(guī)則制定解釋器的詞法和語法掃描方法,當(dāng)匹配到一條完整的網(wǎng)絡(luò)防御目標(biāo)、網(wǎng)絡(luò)防御期望和手段集的組合時(shí),分別提取出各個(gè)組分,存入相應(yīng)的內(nèi)存數(shù)據(jù)結(jié)構(gòu)中,當(dāng)所有文本都掃描和解釋完畢后即完成了網(wǎng)絡(luò)防御IDL企圖的分解。
進(jìn)一步,所述的防御任務(wù)的生成模塊中采用包括了基于態(tài)勢信息的網(wǎng)絡(luò)防御目標(biāo)轉(zhuǎn)換和基于態(tài)勢及轉(zhuǎn)換規(guī)則的網(wǎng)絡(luò)防御期望、手段轉(zhuǎn)換兩個(gè)過程;態(tài)勢信息包含了當(dāng)前網(wǎng)絡(luò)環(huán)境中的所有節(jié)點(diǎn),包括主機(jī)、服務(wù)器、安全設(shè)備及其連接關(guān)系,以及每一節(jié)點(diǎn)自身的平臺(tái)特征、運(yùn)行狀況信息;轉(zhuǎn)換規(guī)則由專家根據(jù)網(wǎng)絡(luò)防御技術(shù)手段及其具體操作來制定;轉(zhuǎn)換規(guī)則包括防御手段、任務(wù)動(dòng)作、手段關(guān)系、任務(wù)執(zhí)行主體類型以及漏洞知識(shí)庫,所述防御手段包括手段名、手段類型;所述任務(wù)動(dòng)作包括動(dòng)作名、動(dòng)作類型和動(dòng)作參數(shù);漏洞知識(shí)庫根據(jù)通用漏洞評(píng)分系統(tǒng)定義了不同類型漏洞的CVE名稱、相應(yīng)的操作系統(tǒng)、補(bǔ)丁及可能引起的攻擊報(bào)警;基于態(tài)勢信息的網(wǎng)絡(luò)防御目標(biāo)轉(zhuǎn)換過程;網(wǎng)絡(luò)防御企圖中使用目標(biāo)名稱標(biāo)識(shí)一個(gè)網(wǎng)絡(luò)防御目標(biāo),根據(jù)方案生成模型,該目標(biāo)將轉(zhuǎn)換為任務(wù)操作對(duì)象;基于態(tài)勢及轉(zhuǎn)換規(guī)則的網(wǎng)絡(luò)防御期望、防御手段轉(zhuǎn)換;網(wǎng)絡(luò)防御企圖分解后的期望包含了期望主體及其狀態(tài)、客體及其狀態(tài)以及動(dòng)作約束、上下文信息,防御手段是擬采用的基本手段的集合。
進(jìn)一步,所述的防御方案的生成模塊中,根據(jù)防御任務(wù)生成模塊所生成的防護(hù)任務(wù)、檢測任務(wù)、分析任務(wù)、響應(yīng)任務(wù)和恢復(fù)任務(wù),將同一任務(wù)主體下的各個(gè)防御任務(wù)進(jìn)行組合構(gòu)成一個(gè)防御方案。
進(jìn)一步,所述的網(wǎng)絡(luò)防御決策信息庫包括網(wǎng)絡(luò)態(tài)勢信息和轉(zhuǎn)換規(guī)則;態(tài)勢信息包含了當(dāng)前網(wǎng)絡(luò)環(huán)境中的所有節(jié)點(diǎn)信息,包括主機(jī)、服務(wù)器、安全設(shè)備及其連接關(guān)系,以及每一節(jié)點(diǎn)自身的平臺(tái)特征、運(yùn)行狀況信息;其中,節(jié)點(diǎn)信息包含了節(jié)點(diǎn)名稱、節(jié)點(diǎn)類型、節(jié)點(diǎn)IP地址、操作系統(tǒng)、所在域,節(jié)點(diǎn)連接信息用以節(jié)點(diǎn)標(biāo)識(shí)為行和列的序號(hào)構(gòu)成的鄰接矩陣表示;轉(zhuǎn)換規(guī)則是根據(jù)網(wǎng)絡(luò)防御技術(shù)手段及其具體操作來制定的;轉(zhuǎn)換規(guī)則包括防御手段、任務(wù)動(dòng)作、手段關(guān)系、任務(wù)執(zhí)行主體類型以及漏洞知識(shí);所述防御手段包括手段名、手段類型;所述任務(wù)動(dòng)作包括動(dòng)作名、動(dòng)作類型和動(dòng)作參數(shù)。
進(jìn)一步,所述的系統(tǒng)反饋模塊包括信息接收單元和反饋生成單元,所述信息接收單元直接接收所述防御方案的生成模塊生成的所有網(wǎng)絡(luò)防御方案;所述反饋生成單元對(duì)所述防御方案的生成模塊生成的所有網(wǎng)絡(luò)防御方案進(jìn)行反饋和改進(jìn)。
技術(shù)效果
本發(fā)明提出了一種計(jì)算機(jī)網(wǎng)絡(luò)防御企圖描述語言設(shè)計(jì)并實(shí)現(xiàn)了一種計(jì)算機(jī)網(wǎng)絡(luò)防御企圖描述語言網(wǎng)絡(luò)防御IDL,將計(jì)算機(jī)網(wǎng)絡(luò)防御企圖涉及的內(nèi)容用語言描述出來,給出其BNF范式。網(wǎng)絡(luò)防御IDL描述的內(nèi)容有:網(wǎng)絡(luò)防御目標(biāo),網(wǎng)絡(luò)防御期望,包括機(jī)密性、完整性、可用性及不可否認(rèn)性期望的主體、客體、動(dòng)作、上下文,以及防御手段的聲明、定義、分配及繼承關(guān)系。可以描述機(jī)密性企圖、完整性企圖、可用性企圖和不可否認(rèn)性企圖。該語言簡潔靈活、語法形式簡單且形象直觀,具有良好的可擴(kuò)展性。為防御的自動(dòng)決策提供了一種高層的描述語言。本發(fā)明給出了一種基于網(wǎng)絡(luò)防御IDL語言的防御決策方法。提出了一種基于模型映射的計(jì)算機(jī)網(wǎng)絡(luò)防御決策方法,該方法基于網(wǎng)絡(luò)態(tài)勢信息和已定義的模型映射規(guī)則自動(dòng)的將防御企圖轉(zhuǎn)換為防御方案。通過JavaCC對(duì)企圖進(jìn)行詞法語法分析,并進(jìn)行企圖的分解,任務(wù)的生成,以及任務(wù)的組合生成最終的防御方案。從而為基于主觀意愿的計(jì)算機(jī)網(wǎng)絡(luò)防御的自動(dòng)決策提供了一種方法。
附圖說明
圖1是本發(fā)明實(shí)施例提供的計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng)的結(jié)構(gòu)示意圖。
圖中:1、防御企圖的分解模塊;2、防御任務(wù)的生成模塊;3、防御方案的生成模塊;4、網(wǎng)絡(luò)防御決策信息庫;4-1、網(wǎng)絡(luò)態(tài)勢信息;4-2、轉(zhuǎn)換規(guī)則;5、輸入輸出模塊;6、數(shù)據(jù)采集模塊;7、決策控制模塊;8、系統(tǒng)反饋模塊;8-1、信息接收單元;8-2、反饋生成單元。
具體實(shí)施方式
為能進(jìn)一步了解本發(fā)明的發(fā)明內(nèi)容、特點(diǎn)及功效,茲例舉以下實(shí)施例,并配合附圖詳細(xì)說明如下。
請參閱附圖:
本發(fā)明提供一種計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng),該計(jì)算機(jī)網(wǎng)絡(luò)防御決策控制系統(tǒng)包括防御企圖的分解模塊1、防御任務(wù)的生成模塊2、防御方案的生成模塊3、網(wǎng)絡(luò)防御決策信息庫4、輸入輸出模塊5、數(shù)據(jù)采集模塊6、決策控制模塊7和系統(tǒng)反饋模塊8;
所述的防御企圖的分解模塊1:首先基于網(wǎng)絡(luò)防御企圖概念模型,設(shè)計(jì)了一種計(jì)算機(jī)網(wǎng)絡(luò)防御企圖描述語言網(wǎng)絡(luò)防御IDL(Computer Network Defense Intention Description Language),給出該語言的BNF范式描述;然后基于網(wǎng)絡(luò)防御IDL語言描述的企圖文本通過語言解釋器對(duì)企圖文本進(jìn)行詞法和語法掃描實(shí)現(xiàn);根據(jù)網(wǎng)絡(luò)防御IDL詞法規(guī)則和語法規(guī)則制定解釋器的詞法和語法掃描方法,當(dāng)匹配到一條完整的網(wǎng)絡(luò)防御目標(biāo)、網(wǎng)絡(luò)防御期望和手段集的組合,即一個(gè)完整的企圖時(shí),提取出各個(gè)組分,存入相應(yīng)的內(nèi)存數(shù)據(jù)結(jié)構(gòu)中,當(dāng)所有文本都掃描和解釋完畢后即完成了網(wǎng)絡(luò)防御IDL企圖的分解;
所述的防御任務(wù)的生成模塊2:一個(gè)網(wǎng)絡(luò)防御任務(wù)包含了任務(wù)執(zhí)行主體、任務(wù)操作、任務(wù)執(zhí)行時(shí)間及任務(wù)執(zhí)行的約束條件,其中任務(wù)操作又包含了操作對(duì)象、任務(wù)動(dòng)作及執(zhí)行參數(shù),通過網(wǎng)絡(luò)防御企圖分解后,調(diào)用網(wǎng)絡(luò)防御決策信息庫,包括態(tài)勢信息和轉(zhuǎn)換規(guī)則,實(shí)現(xiàn)目標(biāo)轉(zhuǎn)換、期望及手段轉(zhuǎn)換的過程,將一個(gè)三元組標(biāo)識(shí)的網(wǎng)絡(luò)防御企圖轉(zhuǎn)換為一個(gè)或多個(gè)防御任務(wù);
所述的防御方案的生成模塊3:網(wǎng)絡(luò)防御方案是網(wǎng)絡(luò)防御任務(wù)的集合,網(wǎng)絡(luò)防御方案生成過程是基于網(wǎng)絡(luò)防御方案生成模型轉(zhuǎn)換為任務(wù)中的各元素,以及各個(gè)元素之間的關(guān)系,將任務(wù)組合成防御方案的過程;
所述的網(wǎng)絡(luò)防御決策信息庫4:包括網(wǎng)絡(luò)態(tài)勢信息4-1和轉(zhuǎn)換規(guī)則4-2;所述網(wǎng)絡(luò)態(tài)勢信息4-1包含了當(dāng)前網(wǎng)絡(luò)環(huán)境中的所有節(jié)點(diǎn)及其連接關(guān)系,以及每一節(jié)點(diǎn)自身的平臺(tái)特征、運(yùn)行狀況信息;所述轉(zhuǎn)換規(guī)則4-2包括防御手段、任務(wù)動(dòng)作、手段關(guān)系、任務(wù)執(zhí)行主體類型以及漏洞知識(shí)庫;
所述的輸入輸出模塊5:將防御方案的生成模塊生成的所有網(wǎng)絡(luò)防御方案和網(wǎng)絡(luò)防御決策信息庫中的信息數(shù)據(jù)輸入到?jīng)Q策控制模塊,由決策控制模塊7進(jìn)行分析處理發(fā)出決策控制指令再輸出到網(wǎng)絡(luò)防御決策信息庫4;
所述的數(shù)據(jù)采集模塊6:實(shí)時(shí)采集網(wǎng)絡(luò)防御的決策指令;
所述的決策控制模塊7:接收所述防御方案的生成模塊2生成的所有網(wǎng)絡(luò)防御方案,進(jìn)行決策控制;
所述的系統(tǒng)反饋模塊8:將所述決策控制模塊7接收的網(wǎng)絡(luò)防御方案進(jìn)行反饋,實(shí)時(shí)收集反饋信息及時(shí)對(duì)所述防御方案的生成模塊2生成的所有網(wǎng)絡(luò)防御方案進(jìn)行調(diào)整改進(jìn)。
進(jìn)一步,所述的步驟防御企圖的分解模塊1中的防御企圖是防御目標(biāo)、防御期望和防御手段構(gòu)成的三元組;防御企圖包括機(jī)密性、完整性、可用性和不可否認(rèn)性企圖;計(jì)算機(jī)網(wǎng)絡(luò)防御目標(biāo)(網(wǎng)絡(luò)防御Target)是計(jì)算機(jī)網(wǎng)絡(luò)上需要防護(hù)的對(duì)象;網(wǎng)絡(luò)防御目標(biāo)可分為靜態(tài)防御目標(biāo)和動(dòng)態(tài)防御目標(biāo);網(wǎng)絡(luò)防御靜態(tài)防御目標(biāo)按照TCP/IP協(xié)議的不同層次,可分為節(jié)點(diǎn)、進(jìn)程、服務(wù)以及存儲(chǔ)的靜態(tài)數(shù)據(jù),網(wǎng)絡(luò)防御動(dòng)態(tài)防御目標(biāo)是指網(wǎng)絡(luò)中動(dòng)態(tài)傳輸?shù)臄?shù)據(jù)包;計(jì)算機(jī)網(wǎng)絡(luò)防御期望描述了防御目標(biāo)的網(wǎng)絡(luò)安全要求;防御期望包括主體防御期望和客體防御期望;防御手段包括防護(hù)、檢測、分析,響應(yīng)和恢復(fù)手段;防護(hù)(protect)是指采取行動(dòng)以提防針對(duì)敏感設(shè)備和信息的間諜或捕獲活動(dòng);防護(hù)手段包括訪問控制(Access Control)、加解密(Crypt)、認(rèn)證(Authenticate)、系統(tǒng)平臺(tái)加固(System Platform Reinforce)、備份(Backup);檢測(Detect)是通過某些技術(shù)和方法從現(xiàn)有網(wǎng)絡(luò)系統(tǒng)相關(guān)信息中發(fā)現(xiàn)問題或威脅的過程;檢測手段包括病毒掃描(VirusScan)、漏洞掃描(Vulnerability Scan)、入侵檢測(Intrusion Detect);分析(Analyse)手段是通過對(duì)收集到的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理后得出網(wǎng)絡(luò)安全狀態(tài)或事件的過程,分析手段為日志審計(jì)(Log Audit);響應(yīng)手段是為了應(yīng)對(duì)檢查和分析的結(jié)果所采取的動(dòng)作措施;響應(yīng)手段包括鎖定賬戶(Lock Account)、入侵誘騙(Intrusion Deceive)、訪問控制、攻擊源跟蹤(Source Trace)、調(diào)節(jié)(Refine)、病毒查殺(Virus Kill);恢復(fù)手段是對(duì)遭受破壞的保護(hù)目標(biāo)所采取的修復(fù)行為,包括數(shù)據(jù)恢復(fù)(Data Recover)、系統(tǒng)重建(System Rebuild);數(shù)據(jù)恢復(fù)是按照數(shù)據(jù)的備份對(duì)損壞的數(shù)據(jù)進(jìn)行恢復(fù);基于以上的防御企圖相關(guān)概念設(shè)計(jì)了計(jì)算機(jī)網(wǎng)絡(luò)防御企圖描述語言網(wǎng)絡(luò)防御IDL;然后采用JavaCC詞法語法分析器,對(duì)用網(wǎng)絡(luò)防御IDL描述的機(jī)密性、完整性、可用性和不可否認(rèn)性企圖分別進(jìn)行詞法語法分析,具體過程為:根據(jù)網(wǎng)絡(luò)防御IDL詞法規(guī)則和語法規(guī)則制定解釋器的詞法和語法掃描方法,當(dāng)匹配到一條完整的網(wǎng)絡(luò)防御目標(biāo)、網(wǎng)絡(luò)防御期望和手段集的組合時(shí),分別提取出各個(gè)組分,存入相應(yīng)的內(nèi)存數(shù)據(jù)結(jié)構(gòu)中,當(dāng)所有文本都掃描和解釋完畢后即完成了網(wǎng)絡(luò)防御IDL企圖的分解。
進(jìn)一步,所述的防御任務(wù)的生成模塊2中采用包括了基于態(tài)勢信息的網(wǎng)絡(luò)防御目標(biāo)轉(zhuǎn)換和基于態(tài)勢及轉(zhuǎn)換規(guī)則的網(wǎng)絡(luò)防御期望、手段轉(zhuǎn)換兩個(gè)過程;態(tài)勢信息包含了當(dāng)前網(wǎng)絡(luò)環(huán)境中的所有節(jié)點(diǎn),包括主機(jī)、服務(wù)器、安全設(shè)備及其連接關(guān)系,以及每一節(jié)點(diǎn)自身的平臺(tái)特征、運(yùn)行狀況信息;轉(zhuǎn)換規(guī)則由專家根據(jù)網(wǎng)絡(luò)防御技術(shù)手段及其具體操作來制定;轉(zhuǎn)換規(guī)則包括防御手段、任務(wù)動(dòng)作、手段關(guān)系、任務(wù)執(zhí)行主體類型以及漏洞知識(shí)庫,所述防御手段包括手段名、手段類型;所述任務(wù)動(dòng)作包括動(dòng)作名、動(dòng)作類型和動(dòng)作參數(shù);漏洞知識(shí)庫根據(jù)通用漏洞評(píng)分系統(tǒng)定義了不同類型漏洞的CVE名稱、相應(yīng)的操作系統(tǒng)、補(bǔ)丁及可能引起的攻擊報(bào)警;基于態(tài)勢信息的網(wǎng)絡(luò)防御目標(biāo)轉(zhuǎn)換過程;網(wǎng)絡(luò)防御企圖中使用目標(biāo)名稱標(biāo)識(shí)一個(gè)網(wǎng)絡(luò)防御目標(biāo),根據(jù)方案生成模型,該目標(biāo)將轉(zhuǎn)換為任務(wù)操作對(duì)象;基于態(tài)勢及轉(zhuǎn)換規(guī)則的網(wǎng)絡(luò)防御期望、防御手段轉(zhuǎn)換;網(wǎng)絡(luò)防御企圖分解后的期望包含了期望主體及其狀態(tài)、客體及其狀態(tài)以及動(dòng)作約束、上下文信息,防御手段是擬采用的基本手段的集合。
進(jìn)一步,所述的防御方案的生成模塊3中,根據(jù)防御任務(wù)生成模塊所生成的防護(hù)任務(wù)、檢測任務(wù)、分析任務(wù)、響應(yīng)任務(wù)和恢復(fù)任務(wù),將同一任務(wù)主體下的各個(gè)防御任務(wù)進(jìn)行組合構(gòu)成一個(gè)防御方案。
進(jìn)一步,所述的網(wǎng)絡(luò)防御決策信息庫4包括網(wǎng)絡(luò)態(tài)勢信息4-1和轉(zhuǎn)換規(guī)則4-2;態(tài)勢信息4-1包含了當(dāng)前網(wǎng)絡(luò)環(huán)境中的所有節(jié)點(diǎn)信息,包括主機(jī)、服務(wù)器、安全設(shè)備及其連接關(guān)系,以及每一節(jié)點(diǎn)自身的平臺(tái)特征、運(yùn)行狀況信息;其中,節(jié)點(diǎn)信息包含了節(jié)點(diǎn)名稱、節(jié)點(diǎn)類型、節(jié)點(diǎn)IP地址、操作系統(tǒng)、所在域,節(jié)點(diǎn)連接信息用以節(jié)點(diǎn)標(biāo)識(shí)為行和列的序號(hào)構(gòu)成的鄰接矩陣表示;轉(zhuǎn)換規(guī)則4-2是根據(jù)網(wǎng)絡(luò)防御技術(shù)手段及其具體操作來制定的;轉(zhuǎn)換規(guī)則包括防御手段、任務(wù)動(dòng)作、手段關(guān)系、任務(wù)執(zhí)行主體類型以及漏洞知識(shí);所述防御手段包括手段名、手段類型;所述任務(wù)動(dòng)作包括動(dòng)作名、動(dòng)作類型和動(dòng)作參數(shù)。
進(jìn)一步,所述的系統(tǒng)反饋模塊8包括信息接收單元8-1和反饋生成單元8-2,所述信息接收單元8-1直接接收所述防御方案的生成模塊2生成的所有網(wǎng)絡(luò)防御方案;所述反饋生成單元8-2對(duì)所述防御方案的生成模塊2生成的所有網(wǎng)絡(luò)防御方案進(jìn)行反饋和改進(jìn)。
所述的防御企圖的分解模塊1首先給出計(jì)算機(jī)網(wǎng)絡(luò)防御企圖相關(guān)的概念及其網(wǎng)絡(luò)防御IDL的設(shè)計(jì),然后給出基于網(wǎng)絡(luò)防御IDL的企圖分解方法。
定義1計(jì)算機(jī)網(wǎng)絡(luò)防御企圖(Computer Network Defense Intention)是對(duì)于目標(biāo)網(wǎng)絡(luò)中的具體防御目標(biāo)所能達(dá)到的安全期望,以及擬采取的防御手段集的三元組。
定義2計(jì)算機(jī)網(wǎng)絡(luò)防御目標(biāo)(網(wǎng)絡(luò)防御Target)是計(jì)算機(jī)網(wǎng)絡(luò)上需要防護(hù)的對(duì)象。網(wǎng)絡(luò)防御目標(biāo)可分為靜態(tài)防御目標(biāo)和動(dòng)態(tài)防御目標(biāo)。
網(wǎng)絡(luò)防御靜態(tài)防御目標(biāo)按照TCP/IP協(xié)議的不同層次,可分為節(jié)點(diǎn)、進(jìn)程、服務(wù)以及存儲(chǔ)的靜態(tài)數(shù)據(jù),即:
TARGETstatic={tnode,tprocess,tservice,tdata}
其中,節(jié)點(diǎn)目標(biāo)是網(wǎng)絡(luò)層的防御目標(biāo),可用IP地址和掩碼來標(biāo)識(shí);進(jìn)程目標(biāo)是傳輸層防御目標(biāo),用相應(yīng)的節(jié)點(diǎn)目標(biāo)和端口號(hào)標(biāo)識(shí);服務(wù)目標(biāo)是應(yīng)用層防御目標(biāo),用相應(yīng)的進(jìn)程目標(biāo)及應(yīng)用層協(xié)議標(biāo)識(shí);數(shù)據(jù)目標(biāo)是指存儲(chǔ)在主機(jī)中的靜態(tài)文件、數(shù)據(jù)記錄等。
網(wǎng)絡(luò)防御動(dòng)態(tài)防御目標(biāo)是指網(wǎng)絡(luò)中動(dòng)態(tài)傳輸?shù)臄?shù)據(jù)包,即
TARGETdynamic={tpacket}。
定義3計(jì)算機(jī)網(wǎng)絡(luò)防御期望(網(wǎng)絡(luò)防御Expectation)是網(wǎng)絡(luò)防御目標(biāo)需要滿足的安全要求。按照信息安全保護(hù)的目標(biāo),可以劃分為機(jī)密性期望、完整性期望、可用性期望及不可否認(rèn)性期望。
EXPECTATION::=CONFIDENTIALITY_EXP∪INTEGRITY_EXP∪AVAILABILITY_EXP∪NONREPUDIATION_EXP
定義4網(wǎng)絡(luò)防御期望主體(Subject)為對(duì)網(wǎng)絡(luò)防御目標(biāo)進(jìn)行一定操作的實(shí)體,包括應(yīng)用層的遠(yuǎn)程用戶、傳輸層的遠(yuǎn)程進(jìn)程和網(wǎng)絡(luò)層的遠(yuǎn)程節(jié)點(diǎn),即:
SUBJECT::=Userremote∪Processremote∪Noderemote
對(duì)于用戶主體,其達(dá)到可信任狀態(tài)需要經(jīng)過身份標(biāo)識(shí)、認(rèn)證等過程,因此主體的狀態(tài)包括未知、未認(rèn)證、已認(rèn)證。用戶主體狀態(tài)集STATEuser表示用戶主體的所有狀態(tài)的集合。
STATEuser:={sunknown,sunauthenticated,sauthenticated}
進(jìn)程和節(jié)點(diǎn)主體可分為未知、合法和非法狀態(tài),一個(gè)已認(rèn)證的可信主體所對(duì)應(yīng)的進(jìn)程和節(jié)點(diǎn)可標(biāo)識(shí)為合法狀態(tài)。
STATEprocess::={sunknown,sillegal,slegal}STATEnode::={sunknown,sillegal,slegal}
定義5網(wǎng)絡(luò)防御期望客體(Object)即網(wǎng)絡(luò)防御目標(biāo),包括數(shù)據(jù)、消息、服務(wù)、進(jìn)程、節(jié)點(diǎn)、節(jié)點(diǎn)連接及進(jìn)程連接目標(biāo)??腕w按照不同的安全屬性可以劃分出不同狀態(tài),如機(jī)密性角度可以分為加密狀態(tài)和非加密狀態(tài),目標(biāo)t是加密狀態(tài)可用謂詞的形式定義為encrypted(t),非加密狀態(tài)為encrypted(t)。
定義6計(jì)算機(jī)網(wǎng)絡(luò)防御手段(網(wǎng)絡(luò)防御means)是網(wǎng)絡(luò)防御活動(dòng)的集合。將手段劃分為防護(hù)(Protect)、檢測(Detect)、分析(Analyze)、響應(yīng)(Response)、恢復(fù)(Restore)等五類。
下面給出網(wǎng)絡(luò)防御IDL語言的BNF范式。網(wǎng)絡(luò)防御IDL語法包括組織機(jī)構(gòu)定義和企圖定義兩部分。
(1)組織機(jī)構(gòu)及類型聲明
組織機(jī)構(gòu)定義給出了包含需要描述的目標(biāo)的網(wǎng)絡(luò)、子網(wǎng)或域的聲明,以及目標(biāo)類型的聲明。組織機(jī)構(gòu)定義語句語法的BNF表達(dá)式為:
<org_declaration>::=<org_dec>|<target_dec>
組織機(jī)構(gòu)聲明包含了組織機(jī)構(gòu)類型、組織機(jī)構(gòu)名稱、組織機(jī)構(gòu)內(nèi)元素列表。
<org_dec>::=define org<org_type><org_name>{’<element_list>‘}’
(2)網(wǎng)絡(luò)防御企圖定義
企圖包含了網(wǎng)絡(luò)防御目標(biāo)、相應(yīng)安全屬性的防御期望以及防御手段集。
<intention_define>::=<網(wǎng)絡(luò)防御target>‘:’
<expectations><meanslist>
<網(wǎng)絡(luò)防御target>::=<target_name>|<org_name>
<expectations>::=expectation‘={’<expectation>{<expectation>}‘}’
期望分為主體約束和客體約束。主體約束包含機(jī)密性要求、完整性要求和不可否認(rèn)性要求。
<expectation>::=<subject_constraint>|<object_constraint>
<subject_constraint>::=
<sub_confidentiality_req>|<sub_integrity_req>|<sub_nonrepudiation_req>
機(jī)密性主體要求定義了主體類型、主體狀態(tài)、動(dòng)作約束和機(jī)密性動(dòng)作(訪問)。
基于網(wǎng)絡(luò)防御IDL語言描述的企圖文本可通過該語言解釋器對(duì)企圖文本進(jìn)行詞法和語法掃描實(shí)現(xiàn)。根據(jù)網(wǎng)絡(luò)防御IDL詞法規(guī)則和語法規(guī)則制定解釋器的詞法和語法掃描方法,當(dāng)匹配到一條完整的網(wǎng)絡(luò)防御目標(biāo)網(wǎng)絡(luò)防御期望和手段集的組合,即一個(gè)完整的企圖時(shí),提取出各個(gè)組分,存入相應(yīng)的內(nèi)存數(shù)據(jù)結(jié)構(gòu)中。當(dāng)所有文本都掃描和解釋完畢后即完成了網(wǎng)絡(luò)防御IDL企圖的分解。
2、防御任務(wù)的生成模塊
網(wǎng)絡(luò)防御企圖分解后,需要調(diào)用態(tài)勢數(shù)據(jù)庫和轉(zhuǎn)換規(guī)則庫,實(shí)現(xiàn)目標(biāo)轉(zhuǎn)換、期望及手段轉(zhuǎn)換的過程,將一個(gè)三元組標(biāo)識(shí)的網(wǎng)絡(luò)防御企圖轉(zhuǎn)換為一個(gè)或多個(gè)防御任務(wù),并組合成網(wǎng)絡(luò)防御方案。網(wǎng)絡(luò)防御方案是網(wǎng)絡(luò)防御任務(wù)的集合,一個(gè)網(wǎng)絡(luò)防御任務(wù)包含了任務(wù)執(zhí)行主體、任務(wù)操作、任務(wù)執(zhí)行時(shí)間及任務(wù)執(zhí)行的約束條件,其中任務(wù)操作又包含了操作對(duì)象、任務(wù)動(dòng)作及執(zhí)行參數(shù)。因此,網(wǎng)絡(luò)防御方案生成過程就是提取分解后的網(wǎng)絡(luò)防御企圖,基于網(wǎng)絡(luò)防御方案生成模型轉(zhuǎn)換為任務(wù)中的各元素,并將任務(wù)組合成防御方案的過程。
任務(wù)生成包括了基于態(tài)勢信息的網(wǎng)絡(luò)防御目標(biāo)轉(zhuǎn)換和基于態(tài)勢及轉(zhuǎn)換規(guī)則的網(wǎng)絡(luò)防御期望、手段轉(zhuǎn)換兩個(gè)過程。首先介紹方案生成時(shí)需要調(diào)用的態(tài)勢信息和轉(zhuǎn)換規(guī)則,然后給出目標(biāo)轉(zhuǎn)換和期望、手段轉(zhuǎn)換方法。
(1)基于態(tài)勢信息的網(wǎng)絡(luò)防御目標(biāo)轉(zhuǎn)換過程
網(wǎng)絡(luò)防御企圖中使用目標(biāo)名稱標(biāo)識(shí)一個(gè)網(wǎng)絡(luò)防御目標(biāo),根據(jù)方案生成模型,該目標(biāo)將轉(zhuǎn)換為任務(wù)操作對(duì)象,具體的轉(zhuǎn)換過程為:
①取分解后的企圖中的一個(gè)網(wǎng)絡(luò)防御目標(biāo)元素;
②若該目標(biāo)為企圖中自定義的組織機(jī)構(gòu)或目標(biāo),則在組織機(jī)構(gòu)列表中查找其類型及所對(duì)應(yīng)的元素列表;
③根據(jù)目標(biāo)類型查找態(tài)勢知識(shí)庫中相應(yīng)的關(guān)系表。若目標(biāo)類型為節(jié)點(diǎn),則在節(jié)點(diǎn)表中查找其IP地址,若為進(jìn)程則查找其IP地址和端口號(hào),若為服務(wù)則查找其關(guān)聯(lián)進(jìn)程和協(xié)議,若為文件則查找其所在節(jié)點(diǎn)位置及文件路徑;
④將查找后的結(jié)果結(jié)合網(wǎng)絡(luò)防御期望和手段的處理結(jié)果作為網(wǎng)絡(luò)防御務(wù)操作對(duì)象。
(2)基于態(tài)勢及轉(zhuǎn)換規(guī)則的網(wǎng)絡(luò)防御期望、防御手段轉(zhuǎn)換
網(wǎng)絡(luò)防御企圖分解后的期望包含了期望主體及其狀態(tài)、客體及其狀態(tài)以及動(dòng)作約束、上下文等信息,防御手段是擬采用的基本手段的集合。每一個(gè)基本防御手段相應(yīng)地可轉(zhuǎn)換為一個(gè)網(wǎng)絡(luò)設(shè)備可執(zhí)行的動(dòng)作。當(dāng)基本防御手段之間具有一定關(guān)聯(lián)關(guān)系時(shí),將轉(zhuǎn)換為一個(gè)多設(shè)備協(xié)同操作的動(dòng)作。在轉(zhuǎn)換的過程中,需要調(diào)用態(tài)勢信息庫及轉(zhuǎn)換規(guī)則庫,以根據(jù)手段相應(yīng)的任務(wù)執(zhí)行主體類型獲取當(dāng)前網(wǎng)絡(luò)中可用的任務(wù)執(zhí)行主體,以及任務(wù)的操作動(dòng)作和動(dòng)作參數(shù)等信息。該階段最終生成防御任務(wù)集。
3、網(wǎng)絡(luò)防御決策信息庫
(1)態(tài)勢信息
態(tài)勢信息包含了當(dāng)前網(wǎng)絡(luò)環(huán)境中的所有節(jié)點(diǎn)(包括主機(jī)、服務(wù)器、安全設(shè)備等)及其連接關(guān)系,以及每一節(jié)點(diǎn)自身的平臺(tái)特征、運(yùn)行狀況等信息。其中,節(jié)點(diǎn)信息包含了節(jié)點(diǎn)名稱、節(jié)點(diǎn)類型、節(jié)點(diǎn)IP地址、操作系統(tǒng)、所在域,即:node=(node_id,node_name,node_type,node_ip,node_os,node_domain);節(jié)點(diǎn)連接信息用以節(jié)點(diǎn)標(biāo)識(shí)為行和列的序號(hào)構(gòu)成的鄰接矩陣表示。
(2)轉(zhuǎn)換規(guī)則
轉(zhuǎn)換規(guī)則根據(jù)網(wǎng)絡(luò)防御技術(shù)手段及其具體操作來制定。轉(zhuǎn)換規(guī)則包括防御手段(手段名、手段類型)、任務(wù)動(dòng)作(動(dòng)作名、動(dòng)作類型、動(dòng)作參數(shù))、手段關(guān)系、任務(wù)執(zhí)行主體類型以及漏洞知識(shí)等。
利用本發(fā)明所述的技術(shù)方案,或本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)方案的啟發(fā)下,設(shè)計(jì)出類似的技術(shù)方案,而達(dá)到上述技術(shù)效果的,均是落入本發(fā)明的保護(hù)范圍。