防御方案的生成模块中,根据防御任务生成模块所生成的防护任务、检测任务、分析任务、响应任务和恢复任务,将同一任务主体下的各个防御任务进行组合构成一个防御方案。
[0017]进一步,所述网络防御决策信息库中,包括网络态势信息和转换规则;态势信息包含了当前网络环境中的所有节点信息,包括主机、服务器、安全设备及其连接关系,以及每一节点自身的平台特征、运行状况信息;其中,节点信息包含了节点名称、节点类型、节点IP地址、操作系统、所在域,节点连接信息用以节点标识为行和列的序号构成的邻接矩阵表示;转换规则是根据网络防御技术手段及其具体操作来制定的;转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识;所述防御手段包括手段名、手段类型;所述任务动作包括动作名、动作类型和动作参数。
_8] 技术效果:
[0019]本发明提出了一种计算机网络防御企图描述语言。设计并实现了一种计算机网络防御企图描述语言网络防御IDL,将计算机网络防御企图涉及的内容用语言描述出来,给出其BNF范式。网络防御IDL描述的内容有:网络防御目标,网络防御期望,包括机密性、完整性、可用性及不可否认性期望的主体、客体、动作、上下文,以及防御手段的声明、定义、分配及继承关系。可以描述机密性企图、完整性企图、可用性企图和不可否认性企图。该语言简洁灵活、语法形式简单、
[0020]且形象直观,具有良好的可扩展性。为防御的自动决策提供了一种高层的描述语言。本发明给出了一种基于网络防御IDL语言的防御决策方法。提出了一种基于模型映射的计算机网络防御决策方法,该方法基于网络态势信息和已定义的模型映射规则自动的将防御企图转换为防御方案。通过JavaCC对企图进行词法语法分析,并进行企图的分解,任务的生成,以及任务的组合生成最终的防御方案。从而为基于主观意愿的计算机网络防御的自动决策提供了一种方法。
【附图说明】
[0021]图1是本发明实施例提供的一种计算机网络防御决策控制系统的结构示意图。
[0022]图中:1、防御企图的分解模块;2、防御任务的生成模块;3、防御方案的生成模块;4、网络防御决策信息库;5、输入输出模块;6、数据采集模块;7、决策控制模块。
【具体实施方式】
[0023]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0024]下面结合附图及具体实施例对本发明的应用原理作进一步描述。
[0025]一种计算机网络防御决策控制系统,包括:防御企图的分解模块、防御任务的生成模块、防御方案的生成模块、网络防御决策信息库、输入输出模块、数据采集模块和决策控制模块。其中:
[0026]防御企图的分解模块:首先基于网络防御企图概念模型,设计了一种计算机网络防御企图描述语言网络防御 IDL(Computer Network Defense Intent1n Descript1nLanguage),给出该语言的BNF范式描述;然后基于网络防御IDL语言描述的企图文本通过语言解释器对企图文本进行词法和语法扫描实现;根据网络防御IDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的网络防御目标、网络防御期望和手段集的组合,即一个完整的企图时,提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了网络防御IDL企图的分解;
[0027]防御任务的生成模块:一个网络防御任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件,其中任务操作又包含了操作对象、任务动作及执行参数,通过网络防御企图分解后,调用网络防御决策信息库,包括态势信息和转换规则,实现目标转换、期望及手段转换的过程,将一个三元组标识的网络防御企图转换为一个或多个防御任务;
[0028]防御方案的生成模块:网络防御方案是网络防御任务的集合,网络防御方案生成过程是基于网络防御方案生成模型转换为任务中的各元素,以及各个元素之间的关系,将任务组合成防御方案的过程;
[0029]网络防御决策信息库:包括网络态势信息和转换规则;所述网络态势信息包含了当前网络环境中的所有节点及其连接关系,以及每一节点自身的平台特征、运行状况信息;所述转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库。
[0030]输入输出模块:将防御方案的生成模块生成的所有网络防御方案和网络防御决策信息库中的信息数据输入到决策控制模块,由决策控制模块进行分析处理发出决策控制指令再输出到网络防御决策信息库。
[0031]数据采集模块:实时采集网络防御的决策指令。
[0032]决策控制模块:接收防御方案的生成模块生成的所有网络防御方案,进行决策控制。
[0033]1、防御企图的分解模块
[0034]首先给出计算机网络防御企图相关的概念及其网络防御IDL的设计,然后给出基于网络防御IDL的企图分解方法。
[0035]定义I计算机网络防御企图(Computer Network Defense Intent1n)是对于目标网络中的具体防御目标所能达到的安全期望,以及拟采取的防御手段集的三元组。
[0036]定义2计算机网络防御目标(网络防御Target)是计算机网络上需要防护的对象。网络防御目标可分为静态防御目标和动态防御目标。
[0037]网络防御静态防御目标按照TCP/IP协议的不同层次,可分为节点、进程、服务以及存储的静态数据,即:
[0038]TARGETstatic = {tnode, tprocess, tservice, tdata}
[0039]其中,节点目标是网络层的防御目标,可用IP地址和掩码来标识;进程目标是传输层防御目标,用相应的节点目标和端口号标识;服务目标是应用层防御目标,用相应的进程目标及应用层协议标识;数据目标是指存储在主机中的静态文件、数据记录等。
[0040]网络防御动态防御目标是指网络中动态传输的数据包,即
[0041]TARGETdynamic = {tpacket}。
[0042]定义3计算机网络防御期望(网络防御Expectat1n)是网络防御目标需要满足的安全要求。按照信息安全保护的目标,可以划分为机密性期望、完整性期望、可用性期望及不可否认性期望。
[0043]EXPECTAT1N:: = CONFIDENTIALITY_EXP U INTEGRITY_EXP U AVAILABILITY,EXP U NONREPUDIAT10N_EXP
[0044]定义4网络防御期望主体(Subject)为对网络防御目标进行一定操作的实体,包括应用层的远程用户、传输层的远程进程和网络层的远程节点,即:
[0045]SUBJECT:: = Userremote U Processremote U Noderemote
[0046]对于用户主体,其达到可信任状态需要经过身份标识、认证等过程,因此主体的状态包括未知、未认证、已认证。用户主体状态集STATEuser表示用户主体的所有状态的集入口 ο
[0047]STATEuser:: = {sunknown, sunauthenticated, sauthenticated}
[0