一种基于信任度的差异化入侵防御方法技术

本发明专利技术涉及一种基于信任度的差异化入侵防御方法，涉及网络安全技术领域。本发明专利技术提出了一种基于信任度的差异化入侵防御方法，通过对角色的遍历匹配，建立信任度对照机制；以信任度分级为基础，对数据流量进行分流；通过采取不同级别匹配不同规则下的过滤器的方式，对流量进行差异化检测，达到对大流量情况下的分化安全检测和平时的常规安全检测的目的。由于本发明专利技术的方法减少了对高、中信任度角色的过滤器检测数量，对零信任度角色采取可以数据包抛弃方法，因此可以认为本方法有效减少了非必要检测的时间消耗，达到增加入侵防御设备性能的目的。

A Differential Intrusion Prevention Method Based on Trust Degree

The invention relates to a differentiated intrusion prevention method based on trust degree, and relates to the technical field of network security. The invention proposes a differentiated intrusion prevention method based on trust, which establishes a trust control mechanism by traversing and matching roles; divides data traffic based on trust classification; differentiates traffic by matching filters under different rules at different levels to achieve differentiated security detection under large traffic conditions. Usual purpose of routine safety testing. Because the method of the present invention reduces the number of filter detection for high and medium trust roles and adopts the method of data packet discarding for zero trust roles, it can be considered that the method effectively reduces the time consumption of unnecessary detection and achieves the purpose of increasing the performance of intrusion prevention devices.

【技术实现步骤摘要】
一种基于信任度的差异化入侵防御方法
本专利技术涉及网络安全
，具体涉及一种基于信任度的差异化入侵防御方法。
技术介绍
入侵防御技术实现实时检查和阻止入侵的原理在于拥有数目众多的过滤器，能够防止各种攻击，过滤器可以深层检查数据包的内容，以做到逐一字节地检查数据包。所有流经入侵防御设备的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，从而达到入侵防御的目的。因为受硬件本身性能限制，导致面对如实时流量过大，或一定时间内会发生流量骤增的情况下，使用常规的处理方式会导致通路闭塞，大量数据汇聚在安防设备前等待处理甚至被丢弃。解决此类问题传统方式是通过安全设备内部硬件的叠加，以达到处理性能的提升，吞吐量增加。此类方式虽然可用性较高，但是在数据流量较少的时间内会造成硬件的浪费。
技术实现思路
(一)要解决的技术问题本专利技术要解决的技术问题是：如何实现对节点信任的评估以及对节点信任的激励，规范自组网的节点行为，在一定程度上解决自治系统的各类安全问题。(二)技术方案为了解决上述技术问题，本专利技术提供了一种基于信任度的差异化入侵防御方法，在该方法中，首先做如下定义：C：角色，角色基于IP地址建立，以IP地址作为表示方法，由于IP地址具有唯一性，因此每个角色都是独一无二的；T：信任度，信任度是改变数据包检测规则的标准，每个角色对应一个信任度，T∈[0,5]，信任度以等级划分，通过其值的从属范围分为高信任度Th，中信任度Tm，低信任度Tl和零信任度Tz四个等级，Th∈[4,5]，Tm∈(2,4)，Tl∈(0,2]，Tz＝0；Tu：信任度更新值，信任度更新值是影响信任度的变量之一；信任矢量，信任矢量是二进制值，是影响信任度更新值的变量之一，每个角色对应一个信任矢量；τ：行为量值，行为量值是影响信任度更新值的变量之一，行为量值的取值根据过滤器类型得到；DT：信任度数据库，用于存储角色、信任度和信任矢量的数据；Ti：第i次计算得出的信任度；第i次计算得出的信任矢量；基于以上定义，该方法包括以下步骤：步骤1、获取数据包并读取角色的信任度网络入侵防御设备获取数据包，拆解得到源IP地址，根据源IP地址读取建立的角色库中的角色的信任度；步骤2、角色的信任度归属判断；步骤3、过滤器动态对比检测根据角色的信任度的等级匹配不同的过滤器检测机制，对于零信任度的角色抛弃数据包，结束；步骤4、检测数据是否存在异常，若数据存在异常，则计算信任度更新值，并对数据进行处理；若数据正常，则计算信任度更新值，对数据进行放行；步骤5、对角色的信任度进行求和计算；步骤6、将角色的信任度录入信任度数据库中。优选地，步骤1中，网络入侵防御设备以串联的方式接入到网络边界处，在网络入侵防御设备中建立信任度数据库，主键为角色，以IP地址表示，同时包含信任度、信任矢量2个字段，网络入侵防御设备通过对流经的全部流量，进行数据包捕获，对数据包进行拆解后获取数据包的源IP地址，根据获得的源IP地址在所述信任度数据库内进行查询，因为源IP地址唯一，因此得到对应唯一的信任度；若未查询到相应的角色信息，则在信任度数据库中创建新的角色条目，并将信任度置为1，信任矢量置为10000000，信任度更新值置为0。优选地，步骤2中，根据依照角色查询到的信任度的数值，进行对应级别的归属判断。优选地，步骤3中，角色根据对应的等级，采取不同的检测方法，网络入侵防御设备中内置的过滤器根据不同入侵行为的攻击类型以及攻击成功时受影响的范围，分为高危攻击检测过滤器、中危攻击检测过滤器、低危攻击检测过滤器；对于攻击成功时受影响范围仅为单机的情况，不同攻击类型对应的检测过滤器如表1：表1对于攻击成功时受影响范围为整个网段的情况，所有攻击类型均对应高危攻击检测过滤器；对于不同信任度的检测过滤器如表2：表2优选地，步骤4中，经过检测过滤器检测后，判断数据是否存在异常，即是否携带恶意内容；c)若数据携带恶意内容，则计算信任度更新值，并对携带恶意内容的数据进行处理，同时中断会话；d)若数据未携带恶意内容，则计算信任度更新值，并对数据采取放行措施。优选地，步骤4中，不论是否携带恶意内容，对信任度更新值进行计算的方法均为：在信任度的计算模型中，对于每个数据包带来的信任度更新值影响存储在信任矢量中，信任矢量对信任度更新值进行更新，信任矢量是一个8位二进制向量，经步骤3通过不同的过滤器检测机制对数据包检测后，携带攻击行为的数据包会写入0，正常行为数据包写入1，即1代表可信，0代表不可信，将0或1写入在二进制向量的最左端，同时将最右端的数值抹消，得到第i次计算得出的信任矢量从而得到任意一次计算得到的信任矢量角色的信任度的更新通过信任度更新值Tu进行更新，信任度更新值函数为Tu(τ)，若要表示第i次计算得到的信任度更新值函数，则该在“Tu”上加下标i，行为量值τ的取值根据检测过滤器类型得到，其中高危攻击检测过滤器检测出的异常攻击对应的行为量值τh＝8；中危攻击过滤器对应的行为量值τm＝12；低危攻击过滤器对应的行为量值τl＝16；正常数据对应的行为量值τn＝20。优选地，步骤5中，对角色的信任度进行求和计算，计算方法为Ti＝(1+αTui)Ti-1，该公式中使用的信任度更新值函数省略了“(τ)”，α为调整参数，当数据携带恶意内容时α＝-1，未携带恶意内容时α＝1。优选地，步骤6中，将Ti、记录到信任度数据库中，对应覆盖Ti-1、优选地，步骤4中，若数据携带恶意内容，对携带恶意内容的数据进行处理的方式为杀毒。优选地，步骤4中，若数据未携带恶意内容，且信任度达到5，则不进行任何计算。(三)有益效果本专利技术提出了一种基于信任度的差异化入侵防御方法，通过对角色的遍历匹配，建立信任度对照机制；以信任度分级为基础，对数据流量进行分流；通过采取不同级别匹配不同规则下的过滤器的方式，对流量进行差异化检测，达到对大流量情况下的分化安全检测和平时的常规安全检测的目的。由于本专利技术的方法减少了对高、中信任度角色的过滤器检测数量，对零信任度角色采取可以数据包抛弃方法，因此可以认为本方法有效减少了非必要检测的时间消耗，达到增加入侵防御设备性能的目的。附图说明图1为本专利技术的方法流程图。具体实施方式为使本专利技术的目的、内容、和优点更加清楚，下面结合附图和实施例，对本专利技术的具体实施方式作进一步详细描述。如图1所示，本专利技术提供的一种基于信任度的差异化入侵防御方法，在该方法中，首先做如下定义：C：角色，角色基于IP地址建立，以IP地址作为表示方法，由于IP地址具有唯一性，因此每个角色都是独一无二的；T：信任度，信任度是改变数据包检测规则的标准，每个角色对应一个信任度，T∈[0,5]，信任度以等级划分，通过其值的从属范围分为高信任度Th，中信任度Tm，低信任度Tl和零信任度Tz四个等级，Th∈[4,5]，Tm∈(2,4)，Tl∈(0,2]，Tz＝0；Tu：信任度更新值，信任度更新值是影响信任度的变量之一；信任矢量，信任矢量是二进制值，是影响信任度更新值的变量之一，每个角色对应一个信任矢量；τ：行为量值，行为量值是影响信任度更新值的变量本文档来自技高网...

【技术保护点】
1.一种基于信任度的差异化入侵防御方法，其特征在于，在该方法中，首先做如下定义：C：角色，角色基于IP地址建立，以IP地址作为表示方法，由于IP地址具有唯一性，因此每个角色都是独一无二的；T：信任度，信任度是改变数据包检测规则的标准，每个角色对应一个信任度，T∈[0,5]，信任度以等级划分，通过其值的从属范围分为高信任度Th，中信任度Tm，低信任度Tl和零信任度Tz四个等级，Th∈[4,5]，Tm∈(2,4)，Tl∈(0,2]，Tz＝0；Tu：信任度更新值，信任度更新值是影响信任度的变量之一；

【技术特征摘要】
1.一种基于信任度的差异化入侵防御方法，其特征在于，在该方法中，首先做如下定义：C：角色，角色基于IP地址建立，以IP地址作为表示方法，由于IP地址具有唯一性，因此每个角色都是独一无二的；T：信任度，信任度是改变数据包检测规则的标准，每个角色对应一个信任度，T∈[0,5]，信任度以等级划分，通过其值的从属范围分为高信任度Th，中信任度Tm，低信任度Tl和零信任度Tz四个等级，Th∈[4,5]，Tm∈(2,4)，Tl∈(0,2]，Tz＝0；Tu：信任度更新值，信任度更新值是影响信任度的变量之一；信任矢量，信任矢量是二进制值，是影响信任度更新值的变量之一，每个角色对应一个信任矢量；τ：行为量值，行为量值是影响信任度更新值的变量之一，行为量值的取值根据过滤器类型得到；DT：信任度数据库，用于存储角色、信任度和信任矢量的数据；Ti：第i次计算得出的信任度；第i次计算得出的信任矢量；基于以上定义，该方法包括以下步骤：步骤1、获取数据包并读取角色的信任度网络入侵防御设备获取数据包，拆解得到源IP地址，根据源IP地址读取建立的角色库中的角色的信任度；步骤2、角色的信任度归属判断；步骤3、过滤器动态对比检测根据角色的信任度的等级匹配不同的过滤器检测机制，对于零信任度的角色抛弃数据包，结束；步骤4、检测数据是否存在异常，若数据存在异常，则计算信任度更新值，并对数据进行处理；若数据正常，则计算信任度更新值，对数据进行放行；步骤5、对角色的信任度进行求和计算；步骤6、将角色的信任度录入信任度数据库中。2.如权利要求1所述的方法，其特征在于，步骤1中，网络入侵防御设备以串联的方式接入到网络边界处，在网络入侵防御设备中建立信任度数据库，主键为角色，以IP地址表示，同时包含信任度、信任矢量2个字段，网络入侵防御设备通过对流经的全部流量，进行数据包捕获，对数据包进行拆解后获取数据包的源IP地址，根据获得的源IP地址在所述信任度数据库内进行查询，因为源IP地址唯一，因此得到对应唯一的信任度；若未查询到相应的角色信息，则在信任度数据库中创建新的角色条目，并将信任度置为1，信任矢量置为10000000，信任度更新值置为0。3.如权利要求2所述的方法，其特征在于，步骤2中，根据依照角色查询到的信任度的数值，进行对应级别的归属判断。4.如权利要求3所述的方法，其特征在于，步骤3中，角色根据对应的等级，采取不同的检测方法，网络...

【专利技术属性】
技术研发人员：姜琦，吴朝雄，石波，刘滋润，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京,11