一种意图驱动的网络防御策略生成方法、系统及应用技术方案

本发明专利技术属于网络安全技术领域，公开了一种意图驱动的网络防御策略生成方法、系统及应用，获取链路的流量信息；依据链路的流量信息，确定链路安全状态，并生成信念；当确定链路的安全状态为异常时，根据信念，生成愿望和意图，完成防御策略的推理；依据防御策略，解除链路的异常。本发明专利技术能够根据链路的安全状态，基于意图驱动实现遭遇网络攻击时，防御策略生成的自动化。本发明专利技术通过BDI推理能力，将防御策略制定的过程动态化，即不仅可以根据链路状态的变化，及时调整当前的防御策略，还可以处理在执行预期行为的过程中发生的问题，例如：阈值设置不合理等；因此本发明专利技术面对复杂多变的网络攻击时，能灵活主动的应对网络攻击，提高了网络弹性。弹性。弹性。

【技术实现步骤摘要】
一种意图驱动的网络防御策略生成方法、系统及应用


[0001]本专利技术属于网络安全
，尤其涉及一种意图驱动的网络防御策略生成方法、系统及应用。

技术介绍

[0002]目前，网络弹性描述在网元失效时，网络功能和结构的恢复能力，是提供可靠、稳健、高效的网络运行的关键。网络弹性是指网络在遇到设备故障、设备配置错误或恶意攻击等挑战时，保持一个可接受的服务水平的能力，并且在可接受时间范围内使其恢复。
[0003]目前网络攻击愈演愈烈，且呈现出复杂性、自适应和持续性等特点，完全防御各种网络攻击是不现实的，因此如何在受到攻击时，仍能保证任务的顺利完成，即如何提高网络弹性是当前的重点。弹性策略的核心是管理和重新配置检测、补救和恢复机制，它们作为网络基础设施中的自主组件运行。检测机制：监控网络状态，检测攻击，虽然不能检测出所有的攻击，但可以通过网络的状态变化来分析揭露攻击行为，并及时将信息传递给补救机制；补救机制：通过抑制攻击者的攻击或提高自身的防御等级来防御攻击，保证网络能在可接受的范围内持续运行；恢复机制：在网络安全后，将自身恢复到受攻击前的状态，如检测到链路受到攻击，补救措施限制进入链路的流量，而当危险解除后，链路仍处于限制状态，这时需要恢复措施使链路解除限制，恢复到受攻击前的状态，即正常状态。各种机制可以在网络拓扑的不同部分进行部署和激活。
[0004]为了提高网络弹性，Schaeffffer
‑
Filho等人提出了基于事件
‑
条件
‑
行动(ECA)的策略，该方法通过链路监控器和速率限制器在可能受到攻击时做一个预处理；通过异常检测组件进一步处理数据包，收集关于流量异常的更多证据，以放弃更大一部分只针对受害者的网络流量，同时不针对受害者的合法流量被允许通过。如果攻击持续了较长的时间，则会启动分类器和流输出器机制，限制特定攻击流，其余不受限制。但该方法是根据事先安排好的策略进行防御，不具有灵活性，也就是说这是一种反应性的方法。因此，现有的方法无法更好的确保网络弹性。
[0005]信念愿望意图即BDI体系结构是Bratman等人提出的实际推理理论的抽象实现。它指定了一个决定代理行为的推理循环。该架构根据在这个推理周期中使用的信念、愿望和意图来构建代理。信念包括一个代理所拥有的关于这个世界的信息，它们不仅可以代表环境的状态，也可以是代理对其周围环境的看法。愿望，也被称为目标，它代表了一个代理想要实现的目标，目标既可以由系统设计人员直接给出，也可以在运行时生成。最后，意图是代理所承诺要实现的目标。意图与计划相关联，计划是实现目标的结构化行动序列，因为只有在有办法实现目标时，代理才能承诺实现目标。
[0006]这些BDI组件允许将代理想要实现的目标(愿望)与如何实现目标(计划)分开，可以有多个计划来实现同一个目标。因此，如果一个计划未能实现某一目标，则可以通过推理周期来选择并执行另一个计划。当有多个计划来实现一个目标时，可以指定一个最合适的计划，而不是随机选择计划。使用基于ECA的策略方法确保网络弹性时，需要人工的对组件
进行动态实例化，因此为了更好的确保网络弹性，需要一种自动实例化组件的方法。
[0007]基于ECA的策略方法对于确保网络弹性是一种反应式的方法，只有在满足一定的条件后，才会对事件进行某种行动，不能灵活的应对网络挑战，在面对日益复杂的网络环境时，会显得力不从心，因此，为了更好的应对网络挑战，需要一种主动的、更加灵活的方法。基于ECA的策略方法在确保网络弹性时，所用策略需要提前制定，因此在面对网络挑战时，难免会有些“呆板”，因此需要一种能根据遇到的网络挑战，动态的制定防御策略的方法。
[0008]通过上述分析，现有技术存在的问题及缺陷为：
[0009](1)现有的检测机制不能检测出所有的攻击；现有方法是根据事先安排好的策略进行防御，不具有灵活性，无法更好的确保网络弹性。
[0010](2)现有基于ECA的策略方法不能灵活的应对网络挑战，所用策略需要提前制定，且在面对日益复杂的网络环境时，会显得力不从心。

技术实现思路

[0011]针对现有技术存在的问题，本专利技术提供了一种意图驱动的网络防御策略生成方法、系统及应用。
[0012]本专利技术是这样实现的，一种意图驱动的网络防御策略生成方法，所述意图驱动的网络防御策略生成方法包括：
[0013]获取链路的流量信息，确定链路安全状态，生成信念；当确定链路的安全状态为异常时，根据信念(利用BDI推理循环)完成防御策略的推理，依据防御策略解除链路异常，并在异常解除后，让链路恢复到异常前的状态。
[0014]进一步，所述意图驱动的网络防御策略生成方法包括以下步骤：
[0015]步骤一，获取链路的流量信息，用于监控链路的状态；
[0016]步骤二，依据链路的流量信息，确定链路安全状态，并生成信念，用于信念描述链路的状态，以便后续策略的制定；
[0017]步骤三，当确定链路的安全状态为异常时，根据信念，生成愿望和意图，完成防御策略的推理，根据信念的变化，制定合适的策略；
[0018]步骤四，依据防御策略，解除链路的异常。
[0019]进一步，所述步骤二中的依据链路的流量信息，确定链路安全状态，并生成信念包括：
[0020]当检测到链路中的输入流量超过给定的阈值时，所述链路处于异常状态，生成信念overUsage(link)；其中，所述信念overUsage(link)表示链路中的流量超过给定的阈值。
[0021]进一步，所述步骤三中的当确定链路的安全状态为异常时，根据信念，生成愿望和意图，完成防御策略的推理包括：
[0022]当感知到信念overUsage(link)生成后，生成愿望和意图，从而实现链路的攻击预防和找出异常IP；
[0023]当找到异常IP后，更新信念，从而生成新的愿望和意图，实现对受害者IP的保护，解除对链路的速率限制，并判断是否为恶意攻击；
[0024]当判断为恶意攻击后，生成新的信念、愿望和意图，实现对攻击者的限制，并解除受害者IP的限制，至此防御完成。
[0025]进一步，所述根据信念overUsage(link)，生成愿望和意图为当感知到信念overUsage(link)后，生成愿望detectOverUsageCause(link)，进而生成意图detectAnomalous(ip)；而在不确定链路的异常是否为恶意攻击前，对链路进行攻击预防，生成愿望attackPrevented(link)，进而生成意图limitLinkRate(link)；
[0026]其中，所述detectOverUsageCause(link)表示查找造成链路中流量超过给定阈值的原因；所述detectAnomalous(ip)表示查找异常IP地址；所述attackPrevented(link)表示防止链路受到攻击；所述limitLinkRate(link)表示限制进入本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种意图驱动的网络防御策略生成方法，其特征在于，所述意图驱动的网络防御策略生成方法包括：获取链路的流量信息，确定链路安全状态，生成信念；当确定链路的安全状态为异常时，根据信念完成防御策略的推理，依据防御策略解除链路异常。2.如权利要求1所述的意图驱动的网络防御策略生成方法，其特征在于，所述意图驱动的网络防御策略生成方法包括以下步骤：步骤一，获取链路的流量信息；步骤二，依据链路的流量信息，确定链路安全状态，并生成信念；步骤三，当确定链路的安全状态为异常时，根据信念，生成愿望和意图，完成防御策略的推理；步骤四，依据防御策略，解除链路的异常。3.如权利要求2所述的意图驱动的网络防御策略生成方法，其特征在于，所述步骤二中的依据链路的流量信息，确定链路安全状态，并生成信念包括：当所述链路的输入流量超过给定的阈值时，确定链路的安全状态为异常，并生成新的信念；当所述链路的输入流量低于给定的阈值时，更新信念；其中，所述阈值是根据正常情况下的网络峰值进行确定，是在保证链路安全的情况下的链路的输入流量的最大值；所述信念生成和信念更新包括：当链路的状态发生变化时，生成新的信念或更新旧的信念；当链路的状态由安全转变为异常时，产生新的信念；在实施防御策略的过程中，自身出现问题，则产生新的信念，根据新的信念解决出现的问题；当意图被实现后，与所述意图相关的信念发生更新。4.如权利要求2所述的意图驱动的网络防御策略生成方法，其特征在于，所述步骤三中的根据信念，生成愿望和意图包括：当所述链路的状态发生变化时，通过信念修正添加新的信念或更新旧的信念；依据当前的信念，通过愿望生成步骤生成相应的愿望，生成的愿望与想要达到的状态有关；在愿望中，根据上下文选择待实现的愿望，形成意图；当意图完成后，进行反馈，生成新的信念，影响下一次愿望和意图的生成。5.如权利要求2所述的意图驱动的网络防御策略生成方法，其特征在于，所述步骤三中的当确定链路的安全状态为异常时，根据信念，生成愿望和意图，完成防御策略的推理包括：当所述链路中的输入流量超过给定阈值时，所述链路的状态判为异常，而对于造成异常的原因不能判为受到恶意攻击；生成相应的愿望和意图，实现对链路的保护，确保链路的安全；生成相应的愿望和意图，从而找出异常IP，确定异常原因；当找到异常IP后，生成新的信念，从而生...

【专利技术属性】
技术研发人员：杨春刚，李鹏程，宋延博，宋睿涛，寇世文，李彤，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：