网络入侵防御的可拓求解方法技术

本发明专利技术公开了一种网络入侵防御的可拓求解方法，包括（1）预处理通过收集到的数据报文和网络拓扑信息，得到构造基元的数据，然后构造基元；（2）对基元进行可拓变换，扩大已知条件，减少问题的矛盾性；（3）建立问题合适的关联函数，进行结点状态的可拓识别和防御。本发明专利技术用包括相关数据的各种基元对问题进行抽象；通过对物元的可拓处理，扩大已知条件，降低问题求解的矛盾性；确定具有公共左端点，且最优点在左端点的关联函数为问题域的关联函数；用此关联函数进行多特征融合的攻击识别、攻击预警；并针对蠕虫，给出了防御步骤。

【技术实现步骤摘要】
网络入侵防御的可拓求解方法
本专利技术用于解决网络的入侵防御问题，涉及网络攻击的检测、预警和防御的这一矛盾问题的可拓求解方法。
技术介绍
网络的入侵检测是指通过对计算机网络或计算机系统若干关键点收集信息并对其进行分析，从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象并作出反应的过程。网络入侵防御指通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性攻击的一种智能化的安全技术。网络入侵检测已成为继防火墙后，不可或缺的网络安全保障技术之一。常用的检测方法有异常检测和误用检测，技术主要是基于特征的匹配和基于特征的分类，方法上有神经网络学习法，支持矢量机法，聚类分析等；情景分析方法，如入侵关联跟踪、态势分析等。可拓学是用形式化模型研究事物拓展的可能性和开拓创新的规律与方法，用以解决矛盾问题的科学。为了形式化描述客观世界的物、事(物与物之间的相互作用)和关系(物物、物事及事事之间关系)，可拓论建立了物元R=(N，C，V)、事元I=(D，C，V)和关系元Q=(A，C，V)分别作为物、事和关系的表示形式，物元、事元和关系元，统称为基元，是可拓论的基础。它们在组成上类似，由三元组组成。其中，N是名词，是物名；D是动词，表示事的行为；A是名词，是关系名。二元组(C，V)表示对应的特征与特征值，是多维的。如果基元是随时间变化的，可记为：R(t)、I(t)、Q(t)等。在可拓论中，用关联函数来刻画论域中的元素具有某种性质的程度，把“具有性质P”的事物从定性描述拓展到“具有性质P的程度”的定量描述。关联函数使问题的关联度的计算不必依靠主观判断或统计，而是根据对事物关于某特征的量化要求的范围X0=<a,b>和质变的区间X=<c，d>来确定。这使关联函数摆脱了主观判断造成的偏差。关联函数的值由距值与位值决定。距表示点与区间的距离。当最优点x0发生在区间中间时，为一般意义上的“距”；最优点发生左半区间或右半区间时，称为“侧距”。位值表示一个点与两个区间或两个区间之间的距离。网络安全理论的核心是对无边界系统的安全理论的研究。无边界意味着网络安全问题具有矛盾问题之特性。这也正是用常规求解方法解决网络入侵与防御问题的困难所在。尝试用可拓理论解决网络安全问题，只见2例。赵玲针对DARPA抽出的通用入侵检测系统模型CIDF，给出了事件分析器物元模型的构造；肖敏等人把可拓理论用于基于特征的入侵检测中，给出了攻击的基于特征的物元，研究了其在流量异常中的应用。
技术实现思路
本专利技术的目的在于提供一种可有效解决网络入侵防御的网络入侵防御的可拓求解方法。本专利技术的技术解决方案是：一种网络入侵检测与防御的可拓求解方法，其特征是：包括下列步骤：（1）预处理通过收集到的数据报文和网络拓扑信息，得到构造基元的数据，然后构造基元；（2）对基元进行可拓变换，扩大已知条件，减少问题的矛盾性；（3）建立问题合适的关联函数，进行结点状态的可拓识别和防御。所述的基元如下：（1）报文物元R（t），用于记载网络数据包；R(t)={报文,C,V(t)}C={时间，协议类型，源IP，源端口，目标IP，目标端口，包容量，传输标志，包内容}V（t)=C(R），是C的值（2）防御事元I，表示对感染点采取的防御措施；I=(D,C,V},D=“防御措施标识”C={施动对象，支配对象，时间，地点，程序，方式，工具}V=C(I)，是C的值（3）节点关系元Q(t)，表示节点之间的相似关系；Q(t)={A,C,V},A=“连通”C={前项，后项，程度，容量，内容，联系通道，联系方式}V(t)=C(Q)，是C的值其中，容量与内容的值在0～1之间，分别反映两节点之间报文容量和内容相似度。（4）预警混合元Inf(t),告知检测到的攻击；Inf(t）={通知,C,V}C={攻击标识，原因，端口，发布时间，负载标志，尺寸，内容，防御}V（t)=C(Inf)，是C的值其中，“原因”是关于攻击所利用的漏洞描述的物元，设为H=(N，c，v)，N={漏洞名}，c={依托软件，危害，…}，v=c(H)；防御为防御事元。所述可拓变换步骤如下：（1）R(t)-|R_R(t)、R_T(t)：根据物元的可扩缩性，把权利要求2所述的报文R(t)可拓处理为接收报文物元R_R(t)和发送报文物元R_T(t)；1）接收报文物元如下：R_R(t)={接收报文,CR_R,VR_R}CR_R={时间，源IP，源端口，目标端口，包容量，类型，标志}VR_R=CR_R(R_R),是CR_R的值2）发送报文物元如下：R_T(t)={发送报文,CR_T,VR_T}CR_T={时间，目标端口，目标IP，源端口，包容量，类型，标志}VR_T=CR_T(R_R),是CR_T的值（2）R_R(t)-|R_R_T(t)、R_T(t)-|R_T_T(t)：根据物元的可组合性，由接收报文物元R_R(t)和发送报文物元R_T(t)，得到某一时间间隔Δt内接收收到报文的物元R_R_T(t)和传出报文物元R_T_T(t)；1）某一时间间隔△t内接收收到报文的物元R_R_T(t)如下：R_R_T(t)={Δt接收报文,CR_R_T,VR_R_T}CR_R_T={类型，时间段，源IP，源端口，端口，报文数}VR_R_T=CR_R_T(R_R_T)，是CR_R_T的值2）某一时间间隔△t内接收收到报文的物元R_T_T(t)如下所示：R_T_T(t)={Δt发送报文,CR_T_T,VR_T_T}CR_T_T={类型，时间段，目标IP，目标端口，源端口，报文数}VR_T_T=CR_T_T(R_T_T)，是CR_T_T的值（3）R_R_T(t)-|R_R_T_C(t)、R_T_T(t)-|R_T_T_C(t)：根据物元的可分解性，由R_R_T(t)、R_T_T(t)得到关于包括端口、协议条件分类的接收报文统计物元R_R_T_C(t)和传送报文的分类统计物元R_T_T_C(t)；1）分类的接收报文物元R_R_T_C(t)如下所示：R_R_T_C(t)={Δt发送报文类名,CR_R_T_C,VR_R_T_C)CR_R_T_C={时间段，报文数，......}VR_R_T_C=CR_R_T_C(R_R_T_C)，是CR_R_T_C的值2）分类的发送报文物元R_T_T_C(t)如下所示。R_T_T_C(t)={Δt接收报文类名,CR_T_T_C,VR_T_T_C}CR_T_T_C={时间段，报文数，…}VR_T_T_C=CR_T_T_C(R_T_T_C)，是CR_T_T_C的值所述进行结点状态的可拓识别和防御，包括下列步骤：（1）确定关联函数：用于入侵识别问题自变量域（a，b）的关联函数，是具有公共端点且最优点在a处的关联函数kl(x,a)；（2）根据所述的报文物元R（t）和所述的某一时间间隔△t内分类的接收报文物元R_R_T_C(t)和分类的发送报文物元R_T_T_C(t)中的报文数，利用关联函数kl(x,a)，分别计算被攻击的可能性，然后进行加权计算，进行入侵识别；（3）入侵预警：根据所述的节点关系元Q(t)中的容量和内容相似度，利用关联函数kl(x,a)，分别计算受感染的可能性，然后进行加权计算，进行入侵预警；（本文档来自技高网...

【技术保护点】
一种网络入侵检测与防御的可拓求解方法，其特征是：包括下列步骤：?（1）预处理通过收集到的数据报文和网络拓扑信息，得到构造基元的数据，然后构造基元；?（2）对基元进行可拓变换，扩大已知条件，减少问题的矛盾性；?（3）建立问题合适的关联函数，进行结点状态的可拓识别和防御。

【技术特征摘要】
1.一种网络入侵检测与防御的可拓求解方法，其特征是：包括下列步骤：(1)预处理通过收集到的数据报文和网络拓扑信息，得到构造基元的数据，然后构造基元；(2)对基元进行可拓变换，扩大已知条件，减少问题的矛盾性；(3)建立问题合适的关联函数，进行结点状态的可拓识别和防御；以蠕虫的检测、预警与防御为测试对象，在一个局域网内进行；所述基元如下：(1)报文物元R(t)，用于记载网络数据包；R(t)＝{报文,C,Vi(t)}C＝{时间，协议类型，源IP，源端口，目标IP，目标端口，包容量，传输标志，包内容}Vi(t)＝C(R),是C的值；其中R即物元R(t)，C是“报文”的属性集，含多个属性；Vi(t)是“报文”物元R(t)属性集C中各属性的值；具体为：其中vi(t)表示各参数随时间变化的函数；(2)防御事元I(t)，表示对感染点采取的防御措施；I(t)＝{D,C,V(t)}C＝{施动对象，支配对象，时间，地点，程度，方式，工具}V(t)＝C(I),是C的值其中，D为某防御措施标识，也是防御事元名称；C是防御措施D的属性集；含多个属性；V(t)是防御措施为D的防御事元I(t)属性集C中各属性的值；I也就是防御事元I(t)；具体为：其中，P(t)为防御程序标识；S(t)为t时刻运行的服务程序标识；Src_Prot(t)为t时刻的端口号；D(t)为防御紧急状态等级数；M(t)为采取措施的方式，自动或手动等；T(t)防御中所需工具软件；t表示是时间的函数；程度、方式、工具都有多个；(3)节点关系元Q(t)，表示节点之间的相似关系；Q(t)＝{A,C,Vi(t)}C＝{前项，后项，容量，内容，联系通道，联系方式}Vi(t)＝C(Q),是C的值其中：Q即关系元Q(t)；A是节点关系元的名称；C是A关系的属性集，含多个属性；Vi(t)是关系为A的节点关系元Q(t)属性集C中各属性的值；具体如下：vi(t)表示各参数随时间变化的值，v3(t)、v4(t)值在0～1之间，分别反映两节点包容量和内容之间的相似度；(4)预警混合元Inf(t),告知检测到的攻击；Inf(t)＝{N,C,V(t)},N＝“通知”C＝{攻击名，原因，端口，发布时间，负载标志，尺寸，内容，防御}(式4)V(t)＝C(Inf)，是C的值其中，Inf即预警混合元Inf(t)，“原因”是关于攻击所利用的漏洞描述的物元，设为H＝(N，c，v)，N＝{漏洞名}，c＝{依托软件，危害，…}，v＝c(H)，N为漏洞名，c是与N漏洞的属性集，v是名为N的漏洞物元H的属性集c中各属性值；防御为防御事元；V(t)是名为“通知”的预警混合元Inf的“通知”属性集C中各属性的值；“通知”是预警单元的名称；C是“通知”预警的属性集，含多个属性；所述可拓变换步骤如下：(1)R(t)-|R_R(t)、R_T(t)；根据物元的可扩缩性，把物元报文R(t)可拓处理为接收报文物元R_R(t)和发送报文物元R_T(t)；1)接收报文物元如下：其中：R_R，即：接收报文物元R_R(t)；2)发送报文物元如下：R_T(t)＝{发送报元，CR_T，VR_T(t)}CR_T＝{时间，目标端口，目标IP，源端口，包容量，类型，标志}VR_T＝CR_T(R_T)是CR_T的值(式6)其中：R_T，即：发送报文物元R_T(t)；(2)R_R(t)-|R_R_T(t)、R_T(t)-|R_T_T(t)；根据物元的可组合性，由接收报文物元R_R(t)和发送报文物元R_T(t)，得到某一时间间隔△t内接收报文的物元R_R_T(t)和发送报文物元R_T_T(t)；1)某一时间间隔△t内接收报文的物元R_R_T(t)如下：其中：R_R_T，即：某一时间间隔△t内接收报文的物元R_R_T(t)；2)某一时间间隔△t内发送报文的物元R_T_T(t)如下：其中：R_T_T，即：某一时间间隔△t内发送报文的物元R_T_T(t)；(3)R_R_T(t)-|R_R_T_C(t)、R_T_T(t)-|R_T_T_C(t)；根据物元的可分解性，由R_R_T(t)、R_T_T(t)得到关于端口、协议等条件分类的接收报文统计物元R_R_T_C(t)和发送报文的分类统计物元R_T_T_C(t)；1)分类的接收报文物元R_R_T_C(t)如下：2)分类的发送报文物元R_T_T_C(t)如下；所述进行结点状态的可拓识别和防御，包括下列步骤：(1)通过下列步骤得到的关联函数：1)用于入侵识别问题自变量域x安全域X0取值范围为(a，b)的关联函数，具有公共端点且最优点在a处的关联函数为kl(x，a)；2)最优点时，基于左侧距的区间套位值为其中Dl为基于左侧距的区间套位值；ρ为区间距；ρl为左侧距；x为一个自变量值；...

【专利技术属性】
技术研发人员：徐慧，陈翔，周建美，顾颀，郭荣祥，
申请(专利权)人：南通大学，
类型：发明
国别省市：