计算机网络防御决策系统技术方案

计算机网络防御（CND）决策系统，包括：防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库。是根据防御企图和态势拟制防御方案的过程，首先解决了计算机网络防御缺乏高层的防御企图描述问题，并在此基础上解决了基于防御企图的决策方法问题，实现了一种形式化的计算机网络防御企图描述语言CNDIDL，提出了一种基于模型映射的计算机网络防御决策方法，基于态势信息和已定义的模型映射规则自动的将防御企图转换为防御方案，从而为大规模的网络安全防御提供了一种自动化、高效的防御决策技术。

【技术实现步骤摘要】

本专利技术属于计算机网络安全
，设计并实现了一种计算机网络防御决策系统，给出了一种高层防御企图描述语言，结合网络态势，将防御企图自动的转换为防御方案，为防御方案的自动生成提供了技术手段。
技术介绍
计算机网络防御是指在计算机网络及其信息系统内，采取的一系列防护(Protect)、监视(Monitor)、分析(Analyze)、检测(Detect)和响应(Respond)未经授权活动的行为。随着网络攻击手段的多样化，在瞬息多变的网络环境中，对计算机网络防御提出了更大的挑战。为了保障大规模的计算机网络及其应用系统的安全，需要在网络上自动决策和部署各种防御方案来应对复杂的网络攻击。随着各国信息部队的建设，加剧了信息空间的竞争与对抗；美国对利益冲突对手从实体摧毁进一步深入到瘫痪和威慑对方的决策过程，这一战略思维的改变，加剧了人机交互决策过程偏向以人的企图为主的决策趋势。现有的计算机网络防御决策方法主要有以下问题:(I)现有的计算机网络防御决策是基于态势的被动决策，没有考虑防御方的主观防御企图，因此防御方案的调整与矫正无法以防御企图为基准，从而导致防御方案不能有针对性地对防御目标进行保护，降低了防御的效率。(2)不能使得机器能以更贴切的形式接受人的主观意愿，让善于形象思维的人类由此可以专心地预谋更高层的防御意图，从而使人类从低级的机器行为中解脱出来。即缺乏防御企图的高层描述方法。
技术实现思路
本专利技术的技术解决问题:克服现有技术的不足，提出一种考虑人的主观防御企图的计算机网络防御决策方法，并设计一种面向高层防御企图的描述语言，提出一种基于模型映射的决策方法，自动的结合网络态势信息将防御企图转换为防御方案，该方法时间效率较高，适合较大规模网络的防御。本专利技术的技术解决方案:计算机网络防御决策系统，其特征在于包括:防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库，其中:(I)防御企图的分解模块。首先基于防御企图的定义，设计并实现了一种高层的计算机网络防御企图描述语言CNDIDL，并给出其BNF范式。CNDIDL可以描述机密性企图、完整性企图、可用性企图和不可否认性企图。描述的内容包括CND目标、CND期望，包括机密性、完整性、可用性及不可否认性期望的主体、客体、动作、上下文，以及防御手段的声明、定义、分配及继承关系。然后基于CNDIDL描述语言的企图文本可通过该语言解释器对企图文本进行词法和语法扫描实现。根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法，当匹配到一条完整的CND目标、CND期望和手段集的组合，即一个完整的企图时，提取出各个组分，存入相应的内存数据结构中。当所有文本都扫描和解释完毕后即完成了CNDIDL企图的分解。(2)防御任务的生成模块。CND企图分解后，需要调用态势数据库和转换规则库，实现目标转换、期望及手段转换的过程，将一个三元组标识的CND企图转换为一个或多个防御任务。任务是由主体、操作集合、执行时间、执行结果及任务约束构成的五元组。(3)防御方案的生成模块。CND方案是由CND任务集经过操作主体的组合而生成。主体指参与计算机网络安全防御的所有软件和硬件资源，是保护、检测、响应和恢复主体的隹A 口 O(4) CND决策信息库。该信息库由网络态势信息和转换规则构成。态势信息包含了当前网络环境中的所有节点及其连接关系，以及每一节点自身的平台特征、运行状况等信息。转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识等。所述步骤防御企图的分解模块中的防御企图是防御目标、防御期望和防御手段构成的三元组；防御企图包括机密性、完整性、可用性和不可否认性企图；计算机网络防御目标(CND Target)是计算机网络上需要防护的对象；CND目标可分为静态防御目标和动态防御目标；CND静态防御目标按照TCP/IP协议的不同层次，可分为节点、进程、服务以及存储的静态数据，CND动态防御目标是指网络中动态传输的数据包；计算机网络防御期望描述了防御目标的网络安全要求；防御期望包括主体防御期望和客体防御期望；防御手段包括防护、检测、分析，响应和恢复手段；防护(protect)是指采取行动以提防针对敏感设备和信息的间谋或捕获活动；防护手段包括访问控制(Access Control)、加解密(Crypt)、认证(Authenticate)、系统平台加固(System Platform Reinforce)、备份(Backup);检测(Detect)是通过某些技术和方法从现有网络系统相关信息中发现问题或威胁的过程；检测手段包括病毒扫描(Virus Scan)、漏洞扫描(Vulnerability Scan)、入侵检测(IntrusionDetect);分析(Analyse)手段是通过对收集到的网络数据进行处理后得出网络安全状态或事件的过程，分析手段为日志审计(Log Audit);响应手段是为了应对检查和分析的结果所采取的动作措施；响应手段包括锁定账户(Lock Account)、入侵诱骗(IntrusionDeceive)、访问控制、攻击源跟踪(Source Trace)、调节(Refine)、病毒查杀(Virus Kill)；恢复手段是对遭受破坏的保护目标所采取的修复行为，包括数据恢复(Data Recover)、系统重建(System Rebuild);数据恢复是按照数据的备份对损坏的数据进行恢复；基于以上的防御企图相关概念设计了计算机网络防御企图描述语言CNDIDL ;然后采用JavaCC词法语法分析器，对用CNDIDL描述的机密性、完整性、可用性和不可否认性企图分别进行词法语法分析，具体过程为:根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法，当匹配到一条完整的CND目标、CND期望和手段集的组合时，分别提取出各个组分，存入相应的内存数据结构中，当所有文本都扫描和解释完毕后即完成了 CNDIDL企图的分解。所述防御任务的生成模块中采用包括了基于态势信息的CND目标转换和基于态势及转换规则的CND期望、手段转换两个过程；态势信息包含了当前网络环境中的所有节点，包括主机、服务器、安全设备及其连接关系，以及每一节点自身的平台特征、运行状况信息；转换规则由专家根据网络防御技术手段及其具体操作来制定；转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库，所述防御手段包括手段名、手段类型；所述任务动作包括动作名、动作类型和动作参数；漏洞知识库根据通用漏洞评分系统定义了不同类型漏洞的CVE名称、相应的操作系统、补丁及可能引起的攻击报警；基于态势信息的CND目标转换过程；CND企图中使用目标名称标识一个CND目标，根据方案生成模型，该目标将转换为任务操作对象；基于态势及转换规则的CND期望、防御手段转换；CND企图分解后的期望包含了期望主体及其状态、客体及其状态以及动作约束、上下文信息，防御手段是拟采用的基本手段的集合。所述防御方案的生成模块中，根据防御任务生成模块所生成的防护任务、检测任务、分析任务、响应任务和恢复任务，将同一任务主体下的各个防御任务进行组合构成一个防御方案。所述CND决策信息库中，包括网络态势信息和转换本文档来自技高网...

【技术保护点】
计算机网络防御决策系统，其特征在于包括：防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库，其中：防御企图的分解模块：首先基于CND企图概念模型，设计了一种计算机网络防御企图描述语言CNDIDL(Computer?Network?Defense?Intention?Description?Language)，给出该语言的BNF范式描述；然后基于CNDIDL语言描述的企图文本通过语言解释器对企图文本进行词法和语法扫描实现；根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法，当匹配到一条完整的CND目标、CND期望和手段集的组合，即一个完整的企图时，提取出各个组分，存入相应的内存数据结构中，当所有文本都扫描和解释完毕后即完成了CNDIDL企图的分解；防御任务的生成模块：一个CND任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件，其中任务操作又包含了操作对象、任务动作及执行参数，通过CND企图分解后，调用CND决策信息库，包括态势信息和转换规则，实现目标转换、期望及手段转换的过程，将一个三元组标识的CND企图转换为一个或多个防御任务；防御方案的生成模块：CND方案是CND任务的集合，CND方案生成过程是基于CND方案生成模型转换为任务中的各元素，以及各个元素之间的关系，将任务组合成防御方案的过程；CND决策信息库：包括网络态势信息和转换规则；所述网络态势信息包含了当前网络环境中的所有节点及其连接关系，以及每一节点自身的平台特征、运行状况信息；所述转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库。...

【技术特征摘要】
1.算机网络防御决策系统，其特征在于包括:防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库，其中: 防御企图的分解模块:首先基于CND企图概念模型，设计了一种计算机网络防御企图描述语言 CNDIDL(Computer Network Defense Intention Description Language),给出该语言的BNF范式描述；然后基于CNDIDL语言描述的企图文本通过语言解释器对企图文本进行词法和语法扫描实现；根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法，当匹配到一条完整的CND目标、CND期望和手段集的组合，即一个完整的企图时，提取出各个组分，存入相应的内存数据结构中，当所有文本都扫描和解释完毕后即完成了CNDIDL企图的分解； 防御任务的生成模块:一个CND任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件，其中任务操作又包含了操作对象、任务动作及执行参数，通过CND企图分解后，调用CND决策 信息库，包括态势信息和转换规则，实现目标转换、期望及手段转换的过程，将一个三元组标识的CND企图转换为一个或多个防御任务； 防御方案的生成模块=CND方案是CND任务的集合，CND方案生成过程是基于CND方案生成模型转换为任务中的各元素，以及各个元素之间的关系，将任务组合成防御方案的过程; CND决策信息库:包括网络态势信息和转换规则；所述网络态势信息包含了当前网络环境中的所有节点及其连接关系，以及每一节点自身的平台特征、运行状况信息；所述转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库。2.据权利要求1所述的计算机网络防御决策系统，其特征在于包括:所述步骤防御企图的分解模块中的防御企图是防御目标、防御期望和防御手段构成的三元组；防御企图包括机密性、完整性、可用性和不可否认性企图；计算机网络防御目标(CND Target)是计算机网络上需要防护的对象；CND目标可分为静态防御目标和动态防御目标；CND静态防御目标按照TCP/IP协议的不同层次，可分为节点、进程、服务以及存储的静态数据，CND动态防御目标是指网络中动态传输的数据包；计算机网络防御期望描述了防御目标的网络安全要求；防御期望包括主体防御期望和客体防御期望；防御手段包括防护、检测、分析，响应和恢复手段；防护(protect)是指采取行动以提防针对敏感设备和信息的间谍或捕获活动；防护手段包括访问控制(Access Control)、加解密(Crypt)、认证(Authenticate)、系统平台加固(System Platform Reinforce)、备份(Backup);检测(Detect)是通过某些技术和方法从现有网络系统相关信息中发现问题或威胁的过程；检测手段包括病毒扫描(VirusScan)、漏洞扫描(Vulnerability Scan)、入侵检测(Intrusion Detect);分析(Analyse)手段是通过对收集到的网络数据进行处理后得出网络安全状态或事件的过程，分析手...

【专利技术属性】
技术研发人员：夏春和，魏昭，罗杨，魏晴，薄阳，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：