本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)領(lǐng)域���,具體涉及一種網(wǎng)絡(luò)安全風(fēng)險評估與自主防御系統(tǒng)�����。
背景技術(shù):
隨著計算機(jī)技術(shù)和Internet的迅速發(fā)展���,和近幾年網(wǎng)絡(luò)信息安全事件的頻繁發(fā)生,網(wǎng)絡(luò)信息安全問題逐漸滲透到各個行業(yè)領(lǐng)域����,成為人們關(guān)注的焦點(diǎn)。為了提前預(yù)防安全事件的發(fā)生����,避免損失,網(wǎng)絡(luò)信息安全評估成為了解網(wǎng)絡(luò)安全性能的關(guān)鍵環(huán)節(jié)�。信息安全風(fēng)險評估,就是對信息系統(tǒng)和網(wǎng)絡(luò)本身所具有的脆弱性以及系統(tǒng)面臨的威脅進(jìn)行系統(tǒng)的分析���,對安全事件發(fā)生的可能性和安全事件一旦發(fā)生可能產(chǎn)生的影響進(jìn)行預(yù)測���,最后得到整個信息系統(tǒng)的安全等級,即安全狀況���,以此作為實(shí)施安全措施的參照���,利用安全措施減少脆弱性�,降低風(fēng)險到可接受的程度�����,從而保障信息系統(tǒng)的安全�����。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的是提供一種網(wǎng)絡(luò)安全風(fēng)險評估與自主防御系統(tǒng)�,實(shí)現(xiàn)了對網(wǎng)絡(luò)流量的實(shí)時監(jiān)測與審計��,維護(hù)了網(wǎng)絡(luò)的良好狀態(tài)���;通過對未知入侵行為的分析及記憶����,提高網(wǎng)絡(luò)免疫能力���;在入侵后能有效控制危害范圍���,保證網(wǎng)絡(luò)暢通和服務(wù)的正常提供��,同時可以根據(jù)不同的網(wǎng)絡(luò)攻擊自動生成和執(zhí)行不同的防御決策方案�,提高了系統(tǒng)的自主修復(fù)還原能力��,維護(hù)了網(wǎng)絡(luò)的穩(wěn)定運(yùn)營�����;還可以對網(wǎng)絡(luò)安全的后續(xù)發(fā)展進(jìn)行了預(yù)測仿真分析�����,也可以對防御決策方案進(jìn)行仿真分析����。
為實(shí)現(xiàn)上述目的,本發(fā)明采取的技術(shù)方案為:
網(wǎng)絡(luò)安全風(fēng)險評估與自主防御系統(tǒng)�,包括
透明防火墻,用于分析及提取掃描特征并阻止外網(wǎng)掃描�;
定時巡檢模塊,用于定時審計并監(jiān)測進(jìn)入網(wǎng)內(nèi)流量�����,提出異常流量處理建議,并對其進(jìn)行引導(dǎo)重定向至病毒模擬模塊����,同時根據(jù)實(shí)時監(jiān)測到的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)健康狀況的評判,并將評判結(jié)果發(fā)送到主機(jī)顯示屏和網(wǎng)絡(luò)異常評估模塊����;
病毒模擬模塊,用于利用模擬服務(wù)與產(chǎn)生異常流量的主機(jī)通信��,提取攻擊指紋特征���,充實(shí)病毒特征庫�;
病毒特征匹配模塊��,用于計算被監(jiān)控主機(jī)通信數(shù)據(jù)包的病毒特征指紋�����,與病毒特征庫內(nèi)的病毒特征比對�,并將對比結(jié)果發(fā)送到主機(jī)顯示屏進(jìn)行顯示�����;
流量統(tǒng)計模塊,利用原始數(shù)據(jù)包報文頭部信息進(jìn)行流量統(tǒng)計���,以主機(jī)對外的每一個連接為單位進(jìn)行流量統(tǒng)計����,通過提取通信雙方IP和端口號特征信息參與哈希函數(shù)運(yùn)算�,用步長倍增的算法解決哈希沖突,并用包頭中的報文長度字段值更新所屬連接的累計流量�;
網(wǎng)絡(luò)安全評估模塊,用于通過建立的多態(tài)響應(yīng)網(wǎng)絡(luò)異常評估模型進(jìn)行網(wǎng)絡(luò)安全情況的評估�����,并將評估結(jié)果發(fā)送到防御決策生成模塊��、數(shù)據(jù)隔離上傳模塊�;
預(yù)測分析模塊,用于進(jìn)行網(wǎng)站安全情況的預(yù)測分析���;
網(wǎng)絡(luò)安全物理模型建立模塊���,通過Flac3D建立網(wǎng)絡(luò)安全數(shù)學(xué)模型;
虛擬作動模塊�����,用于與網(wǎng)絡(luò)安全物理模型建立模塊中的各元素建立關(guān)系后,在指定的范圍內(nèi)對參數(shù)進(jìn)行變動���,從而驅(qū)動各種仿真分析方法針對不同的參數(shù)進(jìn)行計算求解��;并用于改變轉(zhuǎn)移節(jié)點(diǎn)的位置��、方向設(shè)置�����,使網(wǎng)絡(luò)安全數(shù)學(xué)模型運(yùn)動��;還用于根據(jù)接收的控制命令進(jìn)行網(wǎng)絡(luò)安全數(shù)學(xué)模型的分解���、切割、放大和縮?���?����;
虛擬參數(shù)模塊,為在所建立的網(wǎng)絡(luò)安全數(shù)學(xué)模型中插入能達(dá)到直接獲取相應(yīng)的結(jié)果或信息目標(biāo)的邏輯單元����;
仿真分析模塊,內(nèi)設(shè)各種仿真分析方法和仿真分析算法��;
所述虛擬參數(shù)作動模塊通過循環(huán)執(zhí)行仿真分析模塊��,將結(jié)果反饋給仿真分析模塊���,仿真分析模塊提取結(jié)果�����,并將結(jié)果發(fā)送到所述虛擬參數(shù)模塊�,所述虛擬參數(shù)模塊接收結(jié)果并自動顯示結(jié)果數(shù)據(jù)�����;
防御決策生成模塊�����,用于接收網(wǎng)絡(luò)異常評估模塊所發(fā)送的評估數(shù)據(jù)�����,并選取網(wǎng)絡(luò)攻擊發(fā)生時具有特征的參數(shù)與防御決策信息數(shù)據(jù)庫內(nèi)的數(shù)據(jù)進(jìn)行相似度對比后,輸出相應(yīng)的防御決策至顯示屏進(jìn)行顯示��;
防御決策執(zhí)行模塊��,用于通過彈出對話框的形式進(jìn)行防御決策是否執(zhí)行的控制命令的選擇��,并按照所選擇的控制命令進(jìn)行對應(yīng)的防御決策的執(zhí)行�;
應(yīng)急通道模塊,用于提示被攻陷主機(jī)的用戶����,將工作環(huán)境遷至應(yīng)急通道繼續(xù)工作,不必中斷工作處理安全問題����;
自動預(yù)警還原模塊,用于待用戶完成工作離開計算機(jī)時����,通過短信息編輯模塊發(fā)送給用戶的指定手機(jī),從而提示用戶存在安全隱患并給出精確的還原時間建議����,并根據(jù)用戶選擇將計算機(jī)恢復(fù)至入侵之前的安全狀態(tài);
數(shù)據(jù)隔離上傳模塊���,用于根據(jù)網(wǎng)絡(luò)異常評估模塊得出的評估結(jié)果�����,將數(shù)據(jù)進(jìn)行打包上傳��,并根據(jù)上傳郵箱的收到數(shù)據(jù)后自動返回的確認(rèn)郵件清除計算機(jī)中的數(shù)據(jù)����。
優(yōu)選地����,所述透明防火墻包括入口網(wǎng)卡、出口網(wǎng)卡以及設(shè)置于所述入口網(wǎng)卡與出口網(wǎng)卡之間的控制網(wǎng)卡����,入口網(wǎng)卡與出口網(wǎng)卡之間形成網(wǎng)橋,實(shí)現(xiàn)內(nèi)外網(wǎng)透明通信���,在控制網(wǎng)卡上配置IP地址��,用來實(shí)現(xiàn)網(wǎng)絡(luò)管理員遠(yuǎn)程訪問控制防火墻以及防火墻將預(yù)警信息在內(nèi)網(wǎng)Web服務(wù)器進(jìn)行日志記錄�。
優(yōu)選地,所述還包括一病毒特征庫�,用于儲存各種病毒的特征數(shù)據(jù),連接有一更新模塊�,用于定時更新病毒特征庫中的數(shù)據(jù)。
優(yōu)選地���,所述病毒模擬模塊包括
虛擬應(yīng)答模塊�����,通過給出虛擬應(yīng)答并提供相應(yīng)的虛擬服務(wù)�����,使敵手繼續(xù)攻擊以獲得攻擊流量����;
模擬服務(wù)模塊�����,通過執(zhí)行模擬服務(wù)腳本����,與流量被重定向至免疫隔離單元的主機(jī)進(jìn)行交互���,模擬正常服務(wù)的交互過程����,使威脅主機(jī)繼續(xù)攻擊;
攻擊備案模塊��,記錄安全隔離模塊與具有威脅主機(jī)之間的通信信息并寫入數(shù)據(jù)庫�,所述通信信息包括通信時間、通信雙方的IP和端口信息及攻擊者操作系統(tǒng)指紋信息����;
數(shù)據(jù)挖掘模塊,若認(rèn)定到達(dá)免疫隔離單元的流量是危險流量時�����,系統(tǒng)智能提取攻擊指紋特征并將所述特征存入免疫特征庫��。
優(yōu)選地���,所述防御決策信息數(shù)據(jù)庫連接有一更新模塊����,用于實(shí)時更新防御決策信息數(shù)據(jù)庫內(nèi)的數(shù)據(jù)。
優(yōu)選地���,所述防御決策至少包括任務(wù)執(zhí)行主體�、任務(wù)操作�、任務(wù)執(zhí)行時間及任務(wù)執(zhí)行的約束條件,任務(wù)操作包括操作對象�����、任務(wù)動作及執(zhí)行參數(shù)�����,通過調(diào)用網(wǎng)絡(luò)防御決策信息庫內(nèi)態(tài)勢信息和轉(zhuǎn)換規(guī)則���,實(shí)現(xiàn)目標(biāo)轉(zhuǎn)換��、期望及手段轉(zhuǎn)換�����。
優(yōu)選地����,和服務(wù)相關(guān)的要素包括主機(jī)IP地址、開放端口��、端口所提供的服務(wù)�����、所使用的應(yīng)用軟件及版本號信息����。
優(yōu)選地��,所述數(shù)據(jù)隔離上傳模塊在應(yīng)急通道模塊內(nèi)將數(shù)據(jù)打包上傳至預(yù)設(shè)的郵箱地址�,郵箱地址不可變更。
優(yōu)選地�����,所述預(yù)測分析模塊包括
圖形繪制模塊����,用于根據(jù)定時巡檢模塊監(jiān)測到數(shù)據(jù)繪制各種數(shù)據(jù)的曲線圖;
回歸計算模塊����,用于通過不同函數(shù)對所繪制的數(shù)據(jù)曲線進(jìn)行回歸計算�����;
預(yù)測分析模塊���,用于根據(jù)與原實(shí)測曲線的對比分析,進(jìn)行預(yù)測��,判斷網(wǎng)絡(luò)的穩(wěn)定性和安全性�����。
本發(fā)明具有以下有益效果:
實(shí)現(xiàn)了對網(wǎng)絡(luò)流量的實(shí)時監(jiān)測與審計��,維護(hù)了網(wǎng)絡(luò)的良好狀態(tài)�;通過對未知入侵行為的分析及記憶,提高網(wǎng)絡(luò)免疫能力��;在入侵后能有效控制危害范圍���,保證網(wǎng)絡(luò)暢通和服務(wù)的正常提供�,同時可以根據(jù)不同的網(wǎng)絡(luò)攻擊自動生成和執(zhí)行不同的防御決策方案���,提高了系統(tǒng)的自主修復(fù)還原能力�����,維護(hù)了網(wǎng)絡(luò)的穩(wěn)定運(yùn)營���;還可以對網(wǎng)絡(luò)安全的后續(xù)發(fā)展進(jìn)行了預(yù)測仿真分析����,也可以對防御決策方案進(jìn)行仿真分析���,通過數(shù)學(xué)模型的使用,使得用戶可以更加直觀的對自己的計算機(jī)情況進(jìn)行了解和調(diào)控�����。
附圖說明
圖1為本發(fā)明實(shí)施例網(wǎng)絡(luò)安全風(fēng)險評估與自主防御系統(tǒng)的結(jié)構(gòu)示意圖��。
具體實(shí)施方式
為了使本發(fā)明的目的及優(yōu)點(diǎn)更加清楚明白�,以下結(jié)合實(shí)施例對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解�,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明����。
如圖1所示�,本發(fā)明實(shí)施例提供了網(wǎng)絡(luò)安全風(fēng)險評估與自主防御系統(tǒng)����,包括
透明防火墻,用于分析及提取掃描特征并阻止外網(wǎng)掃描��;
定時巡檢模塊��,用于定時審計并監(jiān)測進(jìn)入網(wǎng)內(nèi)流量���,提出異常流量處理建議�����,并對其進(jìn)行引導(dǎo)重定向至病毒模擬模塊�����,同時根據(jù)實(shí)時監(jiān)測到的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)健康狀況的評判��,并將評判結(jié)果發(fā)送到主機(jī)顯示屏和網(wǎng)絡(luò)異常評估模塊��;
病毒模擬模塊���,用于利用模擬服務(wù)與產(chǎn)生異常流量的主機(jī)通信����,提取攻擊指紋特征�����,充實(shí)病毒特征庫�����;
病毒特征匹配模塊�,用于計算被監(jiān)控主機(jī)通信數(shù)據(jù)包的病毒特征指紋,與病毒特征庫內(nèi)的病毒特征比對����,并將對比結(jié)果發(fā)送到主機(jī)顯示屏進(jìn)行顯示��;
流量統(tǒng)計模塊����,利用原始數(shù)據(jù)包報文頭部信息進(jìn)行流量統(tǒng)計,以主機(jī)對外的每一個連接為單位進(jìn)行流量統(tǒng)計�,通過提取通信雙方IP和端口號特征信息參與哈希函數(shù)運(yùn)算�,用步長倍增的算法解決哈希沖突��,并用包頭中的報文長度字段值更新所屬連接的累計流量�����;
網(wǎng)絡(luò)安全評估模塊���,用于通過建立的多態(tài)響應(yīng)網(wǎng)絡(luò)異常評估模型進(jìn)行網(wǎng)絡(luò)安全情況的評估��,并將評估結(jié)果發(fā)送到防御決策生成模塊���、數(shù)據(jù)隔離上傳模塊;
預(yù)測分析模塊���,用于進(jìn)行網(wǎng)站安全情況的預(yù)測分析����;
網(wǎng)絡(luò)安全物理模型建立模塊��,通過Flac3D建立網(wǎng)絡(luò)安全數(shù)學(xué)模型�����;
虛擬作動模塊,用于與網(wǎng)絡(luò)安全物理模型建立模塊中的各元素建立關(guān)系后�����,在指定的范圍內(nèi)對參數(shù)進(jìn)行變動�����,從而驅(qū)動各種仿真分析方法針對不同的參數(shù)進(jìn)行計算求解�����;并用于改變轉(zhuǎn)移節(jié)點(diǎn)的位置�����、方向設(shè)置����,使網(wǎng)絡(luò)安全數(shù)學(xué)模型運(yùn)動;還用于根據(jù)接收的控制命令進(jìn)行網(wǎng)絡(luò)安全數(shù)學(xué)模型的分解���、切割、放大和縮?��?;
虛擬參數(shù)模塊,為在所建立的網(wǎng)絡(luò)安全數(shù)學(xué)模型中插入能達(dá)到直接獲取相應(yīng)的結(jié)果或信息目標(biāo)的邏輯單元��;
仿真分析模塊���,內(nèi)設(shè)各種仿真分析方法和仿真分析算法����;
所述虛擬參數(shù)作動模塊通過循環(huán)執(zhí)行仿真分析模塊�,將結(jié)果反饋給仿真分析模塊,仿真分析模塊提取結(jié)果��,并將結(jié)果發(fā)送到所述虛擬參數(shù)模塊���,所述虛擬參數(shù)模塊接收結(jié)果并自動顯示結(jié)果數(shù)據(jù)�;
防御決策生成模塊����,用于接收網(wǎng)絡(luò)異常評估模塊所發(fā)送的評估數(shù)據(jù),并選取網(wǎng)絡(luò)攻擊發(fā)生時具有特征的參數(shù)與防御決策信息數(shù)據(jù)庫內(nèi)的數(shù)據(jù)進(jìn)行相似度對比后�����,輸出相應(yīng)的防御決策至顯示屏進(jìn)行顯示;
防御決策執(zhí)行模塊����,用于通過彈出對話框的形式進(jìn)行防御決策是否執(zhí)行的控制命令的選擇,并按照所選擇的控制命令進(jìn)行對應(yīng)的防御決策的執(zhí)行����;
應(yīng)急通道模塊,用于提示被攻陷主機(jī)的用戶��,將工作環(huán)境遷至應(yīng)急通道繼續(xù)工作�����,不必中斷工作處理安全問題�;
自動預(yù)警還原模塊,用于待用戶完成工作離開計算機(jī)時��,通過短信息編輯模塊發(fā)送給用戶的指定手機(jī)���,從而提示用戶存在安全隱患并給出精確的還原時間建議����,并根據(jù)用戶選擇將計算機(jī)恢復(fù)至入侵之前的安全狀態(tài)����;
數(shù)據(jù)隔離上傳模塊,用于根據(jù)網(wǎng)絡(luò)異常評估模塊得出的評估結(jié)果����,將數(shù)據(jù)進(jìn)行打包上傳,并根據(jù)上傳郵箱的收到數(shù)據(jù)后自動返回的確認(rèn)郵件清除計算機(jī)中的數(shù)據(jù)�����。
所述透明防火墻包括入口網(wǎng)卡����、出口網(wǎng)卡以及設(shè)置于所述入口網(wǎng)卡與出口網(wǎng)卡之間的控制網(wǎng)卡,入口網(wǎng)卡與出口網(wǎng)卡之間形成網(wǎng)橋����,實(shí)現(xiàn)內(nèi)外網(wǎng)透明通信,在控制網(wǎng)卡上配置IP地址�����,用來實(shí)現(xiàn)網(wǎng)絡(luò)管理員遠(yuǎn)程訪問控制防火墻以及防火墻將預(yù)警信息在內(nèi)網(wǎng)Web服務(wù)器進(jìn)行日志記錄��。
所述還包括一病毒特征庫,用于儲存各種病毒的特征數(shù)據(jù)���,連接有一更新模塊����,用于定時更新病毒特征庫中的數(shù)據(jù)�����。
所述病毒模擬模塊包括
虛擬應(yīng)答模塊�����,通過給出虛擬應(yīng)答并提供相應(yīng)的虛擬服務(wù)�,使敵手繼續(xù)攻擊以獲得攻擊流量;
模擬服務(wù)模塊���,通過執(zhí)行模擬服務(wù)腳本��,與流量被重定向至免疫隔離單元的主機(jī)進(jìn)行交互�,模擬正常服務(wù)的交互過程��,使威脅主機(jī)繼續(xù)攻擊�;
攻擊備案模塊�����,記錄安全隔離模塊與具有威脅主機(jī)之間的通信信息并寫入數(shù)據(jù)庫�����,所述通信信息包括通信時間、通信雙方的IP和端口信息及攻擊者操作系統(tǒng)指紋信息���;
數(shù)據(jù)挖掘模塊�����,若認(rèn)定到達(dá)免疫隔離單元的流量是危險流量時���,系統(tǒng)智能提取攻擊指紋特征并將所述特征存入免疫特征庫。
優(yōu)選地�,所述防御決策信息數(shù)據(jù)庫連接有一更新模塊,用于實(shí)時更新防御決策信息數(shù)據(jù)庫內(nèi)的數(shù)據(jù)���。
所述防御決策至少包括任務(wù)執(zhí)行主體���、任務(wù)操作��、任務(wù)執(zhí)行時間及任務(wù)執(zhí)行的約束條件��,任務(wù)操作包括操作對象����、任務(wù)動作及執(zhí)行參數(shù)�,通過調(diào)用網(wǎng)絡(luò)防御決策信息庫內(nèi)態(tài)勢信息和轉(zhuǎn)換規(guī)則,實(shí)現(xiàn)目標(biāo)轉(zhuǎn)換����、期望及手段轉(zhuǎn)換。
和服務(wù)相關(guān)的要素包括主機(jī)IP地址��、開放端口���、端口所提供的服務(wù)��、所使用的應(yīng)用軟件及版本號信息�。
所述數(shù)據(jù)隔離上傳模塊在應(yīng)急通道模塊內(nèi)將數(shù)據(jù)打包上傳至預(yù)設(shè)的郵箱地址�����,郵箱地址不可變更����。
所述預(yù)測分析模塊包括
圖形繪制模塊����,用于根據(jù)定時巡檢模塊監(jiān)測到數(shù)據(jù)繪制各種數(shù)據(jù)的曲線圖��;
回歸計算模塊�,用于通過不同函數(shù)對所繪制的數(shù)據(jù)曲線進(jìn)行回歸計算;
預(yù)測分析模塊�����,用于根據(jù)與原實(shí)測曲線的對比分析���,進(jìn)行預(yù)測,判斷網(wǎng)絡(luò)的穩(wěn)定性和安全性���。�����。
所述圖形繪制模塊根據(jù)輸入的監(jiān)測數(shù)據(jù)�,生成隨時間����、空間變化的時間效應(yīng)曲線和空間效應(yīng)曲線���,所述時間效應(yīng)曲線顯示了各監(jiān)測點(diǎn)的原始數(shù)據(jù)或轉(zhuǎn)移數(shù)據(jù)隨時間的變化情況,所述空間效應(yīng)曲線突出了同一時間不同測點(diǎn)的監(jiān)測結(jié)果隨計算機(jī)不同盤的變化規(guī)律��。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說���,在不脫離本發(fā)明原理的前提下�,還可以作出若干改進(jìn)和潤飾����,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。