本发明属于计算机网络安全技术领域,尤其涉及一种计算机网络防御决策控制系统。
背景技术:
计算机网络防御是指在计算机网络及其信息系统内,采取的一系列防护(Protect)、监视(Monitor)、分析(Analyze)、检测(Detect)和响应(Respond)未经授权活动的行为。随着网络攻击手段的多样化,在瞬息多变的网络环境中,对计算机网络防御提出了更大的挑战。为了保障大规模的计算机网络及其应用系统的安全,需要在网络上自动决策和部署各种防御方案来应对复杂的网络攻击。随着各国信息部队的建设,加剧了信息空间的竞争与对抗;美国对利益冲突对手从实体摧毁进一步深入到瘫痪和威慑对方的决策过程,这一战略思维的改变,加剧了人机交互决策过程偏向以人的企图为主的决策趋势。现有的计算机网络防御决策方法主要有以下问题:
(1)现有的计算机网络防御决策是基于态势的被动决策,没有考虑防御方的主观防御企图,因此防御方案的调整与矫正无法以防御企图为基准,从而导致防御方案不能有针对性地对防御目标进行保护,降低了防御的效率。
(2)不能使得机器能以更贴切的形式接受人的主观意愿,让善于形象思维的人类由此可以专心地预谋更高层的防御意图,从而使人类从低级的机器行为中解脱出来。即缺乏防御企图的高层描述方法。
技术实现要素:
为了解决上述技术问题,本发明提供一种计算机网络防御决策控制系统,旨在解决现有的计算机网络防御决策控制系统结构复杂、效率低等的问题。
一种计算机网络防御决策控制系统,该计算机网络防御决策控制系统包括防御企图的分解模块、防御任务的生成模块、防御方案的生成模块、网络防御决策信息库、输入输出模块、数据采集模块、决策控制模块和系统反馈模块;
所述的防御企图的分解模块:首先基于网络防御企图概念模型,设计了一种计算机网络防御企图描述语言网络防御IDL(Computer Network Defense Intention Description Language),给出该语言的BNF范式描述;然后基于网络防御IDL语言描述的企图文本通过语言解释器对企图文本进行词法和语法扫描实现;根据网络防御IDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的网络防御目标、网络防御期望和手段集的组合,即一个完整的企图时,提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了网络防御IDL企图的分解;
所述的防御任务的生成模块:一个网络防御任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件,其中任务操作又包含了操作对象、任务动作及执行参数,通过网络防御企图分解后,调用网络防御决策信息库,包括态势信息和转换规则,实现目标转换、期望及手段转换的过程,将一个三元组标识的网络防御企图转换为一个或多个防御任务;
所述的防御方案的生成模块:网络防御方案是网络防御任务的集合,网络防御方案生成过程是基于网络防御方案生成模型转换为任务中的各元素,以及各个元素之间的关系,将任务组合成防御方案的过程;
所述的网络防御决策信息库:包括网络态势信息和转换规则;所述网络态势信息包含了当前网络环境中的所有节点及其连接关系,以及每一节点自身的平台特征、运行状况信息;所述转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库;
所述的输入输出模块:将防御方案的生成模块生成的所有网络防御方案和网络防御决策信息库中的信息数据输入到决策控制模块,由决策控制模块进行分析处理发出决策控制指令再输出到网络防御决策信息库;
所述的数据采集模块:实时采集网络防御的决策指令;
所述的决策控制模块:接收所述防御方案的生成模块生成的所有网络防御方案,进行决策控制;
所述的系统反馈模块:将所述决策控制模块接收的网络防御方案进行反馈,实时收集反馈信息及时对所述防御方案的生成模块生成的所有网络防御方案进行调整改进。
进一步,所述的步骤防御企图的分解模块中的防御企图是防御目标、防御期望和防御手段构成的三元组;防御企图包括机密性、完整性、可用性和不可否认性企图;计算机网络防御目标(网络防御Target)是计算机网络上需要防护的对象;网络防御目标可分为静态防御目标和动态防御目标;网络防御静态防御目标按照TCP/IP协议的不同层次,可分为节点、进程、服务以及存储的静态数据,网络防御动态防御目标是指网络中动态传输的数据包;计算机网络防御期望描述了防御目标的网络安全要求;防御期望包括主体防御期望和客体防御期望;防御手段包括防护、检测、分析,响应和恢复手段;防护(protect)是指采取行动以提防针对敏感设备和信息的间谍或捕获活动;防护手段包括访问控制(Access Control)、加解密(Crypt)、认证(Authenticate)、系统平台加固(System Platform Reinforce)、备份(Backup);检测(Detect)是通过某些技术和方法从现有网络系统相关信息中发现问题或威胁的过程;检测手段包括病毒扫描(VirusScan)、漏洞扫描(Vulnerability Scan)、入侵检测(Intrusion Detect);分析(Analyse)手段是通过对收集到的网络数据进行处理后得出网络安全状态或事件的过程,分析手段为日志审计(Log Audit);响应手段是为了应对检查和分析的结果所采取的动作措施;响应手段包括锁定账户(Lock Account)、入侵诱骗(Intrusion Deceive)、访问控制、攻击源跟踪(Source Trace)、调节(Refine)、病毒查杀(Virus Kill);恢复手段是对遭受破坏的保护目标所采取的修复行为,包括数据恢复(Data Recover)、系统重建(System Rebuild);数据恢复是按照数据的备份对损坏的数据进行恢复;基于以上的防御企图相关概念设计了计算机网络防御企图描述语言网络防御IDL;然后采用JavaCC词法语法分析器,对用网络防御IDL描述的机密性、完整性、可用性和不可否认性企图分别进行词法语法分析,具体过程为:根据网络防御IDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的网络防御目标、网络防御期望和手段集的组合时,分别提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了网络防御IDL企图的分解。
进一步,所述的防御任务的生成模块中采用包括了基于态势信息的网络防御目标转换和基于态势及转换规则的网络防御期望、手段转换两个过程;态势信息包含了当前网络环境中的所有节点,包括主机、服务器、安全设备及其连接关系,以及每一节点自身的平台特征、运行状况信息;转换规则由专家根据网络防御技术手段及其具体操作来制定;转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库,所述防御手段包括手段名、手段类型;所述任务动作包括动作名、动作类型和动作参数;漏洞知识库根据通用漏洞评分系统定义了不同类型漏洞的CVE名称、相应的操作系统、补丁及可能引起的攻击报警;基于态势信息的网络防御目标转换过程;网络防御企图中使用目标名称标识一个网络防御目标,根据方案生成模型,该目标将转换为任务操作对象;基于态势及转换规则的网络防御期望、防御手段转换;网络防御企图分解后的期望包含了期望主体及其状态、客体及其状态以及动作约束、上下文信息,防御手段是拟采用的基本手段的集合。
进一步,所述的防御方案的生成模块中,根据防御任务生成模块所生成的防护任务、检测任务、分析任务、响应任务和恢复任务,将同一任务主体下的各个防御任务进行组合构成一个防御方案。
进一步,所述的网络防御决策信息库包括网络态势信息和转换规则;态势信息包含了当前网络环境中的所有节点信息,包括主机、服务器、安全设备及其连接关系,以及每一节点自身的平台特征、运行状况信息;其中,节点信息包含了节点名称、节点类型、节点IP地址、操作系统、所在域,节点连接信息用以节点标识为行和列的序号构成的邻接矩阵表示;转换规则是根据网络防御技术手段及其具体操作来制定的;转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识;所述防御手段包括手段名、手段类型;所述任务动作包括动作名、动作类型和动作参数。
进一步,所述的系统反馈模块包括信息接收单元和反馈生成单元,所述信息接收单元直接接收所述防御方案的生成模块生成的所有网络防御方案;所述反馈生成单元对所述防御方案的生成模块生成的所有网络防御方案进行反馈和改进。
技术效果
本发明提出了一种计算机网络防御企图描述语言设计并实现了一种计算机网络防御企图描述语言网络防御IDL,将计算机网络防御企图涉及的内容用语言描述出来,给出其BNF范式。网络防御IDL描述的内容有:网络防御目标,网络防御期望,包括机密性、完整性、可用性及不可否认性期望的主体、客体、动作、上下文,以及防御手段的声明、定义、分配及继承关系。可以描述机密性企图、完整性企图、可用性企图和不可否认性企图。该语言简洁灵活、语法形式简单且形象直观,具有良好的可扩展性。为防御的自动决策提供了一种高层的描述语言。本发明给出了一种基于网络防御IDL语言的防御决策方法。提出了一种基于模型映射的计算机网络防御决策方法,该方法基于网络态势信息和已定义的模型映射规则自动的将防御企图转换为防御方案。通过JavaCC对企图进行词法语法分析,并进行企图的分解,任务的生成,以及任务的组合生成最终的防御方案。从而为基于主观意愿的计算机网络防御的自动决策提供了一种方法。
附图说明
图1是本发明实施例提供的计算机网络防御决策控制系统的结构示意图。
图中:1、防御企图的分解模块;2、防御任务的生成模块;3、防御方案的生成模块;4、网络防御决策信息库;4-1、网络态势信息;4-2、转换规则;5、输入输出模块;6、数据采集模块;7、决策控制模块;8、系统反馈模块;8-1、信息接收单元;8-2、反馈生成单元。
具体实施方式
为能进一步了解本发明的发明内容、特点及功效,兹例举以下实施例,并配合附图详细说明如下。
请参阅附图:
本发明提供一种计算机网络防御决策控制系统,该计算机网络防御决策控制系统包括防御企图的分解模块1、防御任务的生成模块2、防御方案的生成模块3、网络防御决策信息库4、输入输出模块5、数据采集模块6、决策控制模块7和系统反馈模块8;
所述的防御企图的分解模块1:首先基于网络防御企图概念模型,设计了一种计算机网络防御企图描述语言网络防御IDL(Computer Network Defense Intention Description Language),给出该语言的BNF范式描述;然后基于网络防御IDL语言描述的企图文本通过语言解释器对企图文本进行词法和语法扫描实现;根据网络防御IDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的网络防御目标、网络防御期望和手段集的组合,即一个完整的企图时,提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了网络防御IDL企图的分解;
所述的防御任务的生成模块2:一个网络防御任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件,其中任务操作又包含了操作对象、任务动作及执行参数,通过网络防御企图分解后,调用网络防御决策信息库,包括态势信息和转换规则,实现目标转换、期望及手段转换的过程,将一个三元组标识的网络防御企图转换为一个或多个防御任务;
所述的防御方案的生成模块3:网络防御方案是网络防御任务的集合,网络防御方案生成过程是基于网络防御方案生成模型转换为任务中的各元素,以及各个元素之间的关系,将任务组合成防御方案的过程;
所述的网络防御决策信息库4:包括网络态势信息4-1和转换规则4-2;所述网络态势信息4-1包含了当前网络环境中的所有节点及其连接关系,以及每一节点自身的平台特征、运行状况信息;所述转换规则4-2包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库;
所述的输入输出模块5:将防御方案的生成模块生成的所有网络防御方案和网络防御决策信息库中的信息数据输入到决策控制模块,由决策控制模块7进行分析处理发出决策控制指令再输出到网络防御决策信息库4;
所述的数据采集模块6:实时采集网络防御的决策指令;
所述的决策控制模块7:接收所述防御方案的生成模块2生成的所有网络防御方案,进行决策控制;
所述的系统反馈模块8:将所述决策控制模块7接收的网络防御方案进行反馈,实时收集反馈信息及时对所述防御方案的生成模块2生成的所有网络防御方案进行调整改进。
进一步,所述的步骤防御企图的分解模块1中的防御企图是防御目标、防御期望和防御手段构成的三元组;防御企图包括机密性、完整性、可用性和不可否认性企图;计算机网络防御目标(网络防御Target)是计算机网络上需要防护的对象;网络防御目标可分为静态防御目标和动态防御目标;网络防御静态防御目标按照TCP/IP协议的不同层次,可分为节点、进程、服务以及存储的静态数据,网络防御动态防御目标是指网络中动态传输的数据包;计算机网络防御期望描述了防御目标的网络安全要求;防御期望包括主体防御期望和客体防御期望;防御手段包括防护、检测、分析,响应和恢复手段;防护(protect)是指采取行动以提防针对敏感设备和信息的间谍或捕获活动;防护手段包括访问控制(Access Control)、加解密(Crypt)、认证(Authenticate)、系统平台加固(System Platform Reinforce)、备份(Backup);检测(Detect)是通过某些技术和方法从现有网络系统相关信息中发现问题或威胁的过程;检测手段包括病毒扫描(VirusScan)、漏洞扫描(Vulnerability Scan)、入侵检测(Intrusion Detect);分析(Analyse)手段是通过对收集到的网络数据进行处理后得出网络安全状态或事件的过程,分析手段为日志审计(Log Audit);响应手段是为了应对检查和分析的结果所采取的动作措施;响应手段包括锁定账户(Lock Account)、入侵诱骗(Intrusion Deceive)、访问控制、攻击源跟踪(Source Trace)、调节(Refine)、病毒查杀(Virus Kill);恢复手段是对遭受破坏的保护目标所采取的修复行为,包括数据恢复(Data Recover)、系统重建(System Rebuild);数据恢复是按照数据的备份对损坏的数据进行恢复;基于以上的防御企图相关概念设计了计算机网络防御企图描述语言网络防御IDL;然后采用JavaCC词法语法分析器,对用网络防御IDL描述的机密性、完整性、可用性和不可否认性企图分别进行词法语法分析,具体过程为:根据网络防御IDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的网络防御目标、网络防御期望和手段集的组合时,分别提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了网络防御IDL企图的分解。
进一步,所述的防御任务的生成模块2中采用包括了基于态势信息的网络防御目标转换和基于态势及转换规则的网络防御期望、手段转换两个过程;态势信息包含了当前网络环境中的所有节点,包括主机、服务器、安全设备及其连接关系,以及每一节点自身的平台特征、运行状况信息;转换规则由专家根据网络防御技术手段及其具体操作来制定;转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库,所述防御手段包括手段名、手段类型;所述任务动作包括动作名、动作类型和动作参数;漏洞知识库根据通用漏洞评分系统定义了不同类型漏洞的CVE名称、相应的操作系统、补丁及可能引起的攻击报警;基于态势信息的网络防御目标转换过程;网络防御企图中使用目标名称标识一个网络防御目标,根据方案生成模型,该目标将转换为任务操作对象;基于态势及转换规则的网络防御期望、防御手段转换;网络防御企图分解后的期望包含了期望主体及其状态、客体及其状态以及动作约束、上下文信息,防御手段是拟采用的基本手段的集合。
进一步,所述的防御方案的生成模块3中,根据防御任务生成模块所生成的防护任务、检测任务、分析任务、响应任务和恢复任务,将同一任务主体下的各个防御任务进行组合构成一个防御方案。
进一步,所述的网络防御决策信息库4包括网络态势信息4-1和转换规则4-2;态势信息4-1包含了当前网络环境中的所有节点信息,包括主机、服务器、安全设备及其连接关系,以及每一节点自身的平台特征、运行状况信息;其中,节点信息包含了节点名称、节点类型、节点IP地址、操作系统、所在域,节点连接信息用以节点标识为行和列的序号构成的邻接矩阵表示;转换规则4-2是根据网络防御技术手段及其具体操作来制定的;转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识;所述防御手段包括手段名、手段类型;所述任务动作包括动作名、动作类型和动作参数。
进一步,所述的系统反馈模块8包括信息接收单元8-1和反馈生成单元8-2,所述信息接收单元8-1直接接收所述防御方案的生成模块2生成的所有网络防御方案;所述反馈生成单元8-2对所述防御方案的生成模块2生成的所有网络防御方案进行反馈和改进。
所述的防御企图的分解模块1首先给出计算机网络防御企图相关的概念及其网络防御IDL的设计,然后给出基于网络防御IDL的企图分解方法。
定义1计算机网络防御企图(Computer Network Defense Intention)是对于目标网络中的具体防御目标所能达到的安全期望,以及拟采取的防御手段集的三元组。
定义2计算机网络防御目标(网络防御Target)是计算机网络上需要防护的对象。网络防御目标可分为静态防御目标和动态防御目标。
网络防御静态防御目标按照TCP/IP协议的不同层次,可分为节点、进程、服务以及存储的静态数据,即:
TARGETstatic={tnode,tprocess,tservice,tdata}
其中,节点目标是网络层的防御目标,可用IP地址和掩码来标识;进程目标是传输层防御目标,用相应的节点目标和端口号标识;服务目标是应用层防御目标,用相应的进程目标及应用层协议标识;数据目标是指存储在主机中的静态文件、数据记录等。
网络防御动态防御目标是指网络中动态传输的数据包,即
TARGETdynamic={tpacket}。
定义3计算机网络防御期望(网络防御Expectation)是网络防御目标需要满足的安全要求。按照信息安全保护的目标,可以划分为机密性期望、完整性期望、可用性期望及不可否认性期望。
EXPECTATION::=CONFIDENTIALITY_EXP∪INTEGRITY_EXP∪AVAILABILITY_EXP∪NONREPUDIATION_EXP
定义4网络防御期望主体(Subject)为对网络防御目标进行一定操作的实体,包括应用层的远程用户、传输层的远程进程和网络层的远程节点,即:
SUBJECT::=Userremote∪Processremote∪Noderemote
对于用户主体,其达到可信任状态需要经过身份标识、认证等过程,因此主体的状态包括未知、未认证、已认证。用户主体状态集STATEuser表示用户主体的所有状态的集合。
STATEuser:={sunknown,sunauthenticated,sauthenticated}
进程和节点主体可分为未知、合法和非法状态,一个已认证的可信主体所对应的进程和节点可标识为合法状态。
STATEprocess::={sunknown,sillegal,slegal}STATEnode::={sunknown,sillegal,slegal}
定义5网络防御期望客体(Object)即网络防御目标,包括数据、消息、服务、进程、节点、节点连接及进程连接目标。客体按照不同的安全属性可以划分出不同状态,如机密性角度可以分为加密状态和非加密状态,目标t是加密状态可用谓词的形式定义为encrypted(t),非加密状态为encrypted(t)。
定义6计算机网络防御手段(网络防御means)是网络防御活动的集合。将手段划分为防护(Protect)、检测(Detect)、分析(Analyze)、响应(Response)、恢复(Restore)等五类。
下面给出网络防御IDL语言的BNF范式。网络防御IDL语法包括组织机构定义和企图定义两部分。
(1)组织机构及类型声明
组织机构定义给出了包含需要描述的目标的网络、子网或域的声明,以及目标类型的声明。组织机构定义语句语法的BNF表达式为:
<org_declaration>::=<org_dec>|<target_dec>
组织机构声明包含了组织机构类型、组织机构名称、组织机构内元素列表。
<org_dec>::=define org<org_type><org_name>{’<element_list>‘}’
(2)网络防御企图定义
企图包含了网络防御目标、相应安全属性的防御期望以及防御手段集。
<intention_define>::=<网络防御target>‘:’
<expectations><meanslist>
<网络防御target>::=<target_name>|<org_name>
<expectations>::=expectation‘={’<expectation>{<expectation>}‘}’
期望分为主体约束和客体约束。主体约束包含机密性要求、完整性要求和不可否认性要求。
<expectation>::=<subject_constraint>|<object_constraint>
<subject_constraint>::=
<sub_confidentiality_req>|<sub_integrity_req>|<sub_nonrepudiation_req>
机密性主体要求定义了主体类型、主体状态、动作约束和机密性动作(访问)。
基于网络防御IDL语言描述的企图文本可通过该语言解释器对企图文本进行词法和语法扫描实现。根据网络防御IDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的网络防御目标网络防御期望和手段集的组合,即一个完整的企图时,提取出各个组分,存入相应的内存数据结构中。当所有文本都扫描和解释完毕后即完成了网络防御IDL企图的分解。
2、防御任务的生成模块
网络防御企图分解后,需要调用态势数据库和转换规则库,实现目标转换、期望及手段转换的过程,将一个三元组标识的网络防御企图转换为一个或多个防御任务,并组合成网络防御方案。网络防御方案是网络防御任务的集合,一个网络防御任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件,其中任务操作又包含了操作对象、任务动作及执行参数。因此,网络防御方案生成过程就是提取分解后的网络防御企图,基于网络防御方案生成模型转换为任务中的各元素,并将任务组合成防御方案的过程。
任务生成包括了基于态势信息的网络防御目标转换和基于态势及转换规则的网络防御期望、手段转换两个过程。首先介绍方案生成时需要调用的态势信息和转换规则,然后给出目标转换和期望、手段转换方法。
(1)基于态势信息的网络防御目标转换过程
网络防御企图中使用目标名称标识一个网络防御目标,根据方案生成模型,该目标将转换为任务操作对象,具体的转换过程为:
①取分解后的企图中的一个网络防御目标元素;
②若该目标为企图中自定义的组织机构或目标,则在组织机构列表中查找其类型及所对应的元素列表;
③根据目标类型查找态势知识库中相应的关系表。若目标类型为节点,则在节点表中查找其IP地址,若为进程则查找其IP地址和端口号,若为服务则查找其关联进程和协议,若为文件则查找其所在节点位置及文件路径;
④将查找后的结果结合网络防御期望和手段的处理结果作为网络防御务操作对象。
(2)基于态势及转换规则的网络防御期望、防御手段转换
网络防御企图分解后的期望包含了期望主体及其状态、客体及其状态以及动作约束、上下文等信息,防御手段是拟采用的基本手段的集合。每一个基本防御手段相应地可转换为一个网络设备可执行的动作。当基本防御手段之间具有一定关联关系时,将转换为一个多设备协同操作的动作。在转换的过程中,需要调用态势信息库及转换规则库,以根据手段相应的任务执行主体类型获取当前网络中可用的任务执行主体,以及任务的操作动作和动作参数等信息。该阶段最终生成防御任务集。
3、网络防御决策信息库
(1)态势信息
态势信息包含了当前网络环境中的所有节点(包括主机、服务器、安全设备等)及其连接关系,以及每一节点自身的平台特征、运行状况等信息。其中,节点信息包含了节点名称、节点类型、节点IP地址、操作系统、所在域,即:node=(node_id,node_name,node_type,node_ip,node_os,node_domain);节点连接信息用以节点标识为行和列的序号构成的邻接矩阵表示。
(2)转换规则
转换规则根据网络防御技术手段及其具体操作来制定。转换规则包括防御手段(手段名、手段类型)、任务动作(动作名、动作类型、动作参数)、手段关系、任务执行主体类型以及漏洞知识等。
利用本发明所述的技术方案,或本领域的技术人员在本发明技术方案的启发下,设计出类似的技术方案,而达到上述技术效果的,均是落入本发明的保护范围。