【技术实现步骤摘要】
本专利技术属于计算机网络安全
,设计并实现了一种计算机网络防御决策系统,给出了一种高层防御企图描述语言,结合网络态势,将防御企图自动的转换为防御方案,为防御方案的自动生成提供了技术手段。
技术介绍
计算机网络防御是指在计算机网络及其信息系统内,采取的一系列防护(Protect)、监视(Monitor)、分析(Analyze)、检测(Detect)和响应(Respond)未经授权活动的行为。随着网络攻击手段的多样化,在瞬息多变的网络环境中,对计算机网络防御提出了更大的挑战。为了保障大规模的计算机网络及其应用系统的安全,需要在网络上自动决策和部署各种防御方案来应对复杂的网络攻击。随着各国信息部队的建设,加剧了信息空间的竞争与对抗;美国对利益冲突对手从实体摧毁进一步深入到瘫痪和威慑对方的决策过程,这一战略思维的改变,加剧了人机交互决策过程偏向以人的企图为主的决策趋势。现有的计算机网络防御决策方法主要有以下问题:(I)现有的计算机网络防御决策是基于态势的被动决策,没有考虑防御方的主观防御企图,因此防御方案的调整与矫正无法以防御企图为基准,从而导致防御方案不能有针对性地对防御目标进行保护,降低了防御的效率。(2)不能使得机器能以更贴切的形式接受人的主观意愿,让善于形象思维的人类由此可以专心地预谋更高层的防御意图,从而使人类从低级的机器行为中解脱出来。即缺乏防御企图的高层描述方法。
技术实现思路
本专利技术的技术解决问题:克服现有技术的不足,提出一种考虑人的主观防御企图的计算机网络防御决策方法,并设计一种面向高层防御企图的描述语言,提出一种基于模型映射的决策方法, ...
【技术保护点】
计算机网络防御决策系统,其特征在于包括:防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库,其中:防御企图的分解模块:首先基于CND企图概念模型,设计了一种计算机网络防御企图描述语言CNDIDL(Computer?Network?Defense?Intention?Description?Language),给出该语言的BNF范式描述;然后基于CNDIDL语言描述的企图文本通过语言解释器对企图文本进行词法和语法扫描实现;根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的CND目标、CND期望和手段集的组合,即一个完整的企图时,提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了CNDIDL企图的分解;防御任务的生成模块:一个CND任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件,其中任务操作又包含了操作对象、任务动作及执行参数,通过CND企图分解后,调用CND决策信息库,包括态势信息和转换规则,实现目标转换、期望及手段转换的过程,将一个三元组标识的CND企图转换为一个或多个防御任务; ...
【技术特征摘要】
1.算机网络防御决策系统,其特征在于包括:防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库,其中: 防御企图的分解模块:首先基于CND企图概念模型,设计了一种计算机网络防御企图描述语言 CNDIDL(Computer Network Defense Intention Description Language),给出该语言的BNF范式描述;然后基于CNDIDL语言描述的企图文本通过语言解释器对企图文本进行词法和语法扫描实现;根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的CND目标、CND期望和手段集的组合,即一个完整的企图时,提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了CNDIDL企图的分解; 防御任务的生成模块:一个CND任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件,其中任务操作又包含了操作对象、任务动作及执行参数,通过CND企图分解后,调用CND决策 信息库,包括态势信息和转换规则,实现目标转换、期望及手段转换的过程,将一个三元组标识的CND企图转换为一个或多个防御任务; 防御方案的生成模块=CND方案是CND任务的集合,CND方案生成过程是基于CND方案生成模型转换为任务中的各元素,以及各个元素之间的关系,将任务组合成防御方案的过程; CND决策信息库:包括网络态势信息和转换规则;所述网络态势信息包含了当前网络环境中的所有节点及其连接关系,以及每一节点自身的平台特征、运行状况信息;所述转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库。2.据权利要求1所述的计算机网络防御决策系统,其特征在于包括:所述步骤防御企图的分解模块中的防御企图是防御目标、防御期望和防御手段构成的三元组;防御企图包括机密性、完整性、可用性和不可否认性企图;计算机网络防御目标(CND Target)是计算机网络上需要防护的对象;CND目标可分为静态防御目标和动态防御目标;CND静态防御目标按照TCP/IP协议的不同层次,可分为节点、进程、服务以及存储的静态数据,CND动态防御目标是指网络中动态传输的数据包;计算机网络防御期望描述了防御目标的网络安全要求;防御期望包括主体防御期望和客体防御期望;防御手段包括防护、检测、分析,响应和恢复手段;防护(protect)是指采取行动以提防针对敏感设备和信息的间谍或捕获活动;防护手段包括访问控制(Access Control)、加解密(Crypt)、认证(Authenticate)、系统平台加固(System Platform Reinforce)、备份(Backup);检测(Detect)是通过某些技术和方法从现有网络系统相关信息中发现问题或威胁的过程;检测手段包括病毒扫描(VirusScan)、漏洞扫描(Vulnerability Scan)、入侵检测(Intrusion Detect);分析(Analyse)手段是通过对收集到的网络数据进行处理后得出网络安全状态或事件的过程,分析手...
【专利技术属性】
技术研发人员:夏春和,魏昭,罗杨,魏晴,薄阳,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。