048]进程和节点主体可分为未知、合法和非法状态,一个已认证的可信主体所对应的进程和节点可标识为合法状态。
[0049]STATEprocess:: = {sunknown, sillegal, s I e ga I} STATEnode::={sunknown, sillegal, slegal}
[0050]定义5网络防御期望客体(Object)即网络防御目标,包括数据、消息、服务、进程、节点、节点连接及进程连接目标。客体按照不同的安全属性可以划分出不同状态,如机密性角度可以分为加密状态和非加密状态,目标t是加密状态可用谓词的形式定义为encrypted (t),非加密状态为 encrypted (t)。
[0051]定义6计算机网络防御手段(网络防御means)是网络防御活动的集合。将手段划分为防护(Protect)、检测(Detect)、分析(Analyze)、响应(Response)、恢复(Restore)等五类。
[0052]下面给出网络防御IDL语言的BNF范式。网络防御IDL语法包括组织机构定义和企图定义两部分。
[0053](I)组织机构及类型声明
[0054]组织机构定义给出了包含需要描述的目标的网络、子网或域的声明,以及目标类型的声明。组织机构定义语句语法的BNF表达式为:
[0055]<org_declarat1n>:: = <org_dec>|<target_dec>
[0056]组织机构声明包含了组织机构类型、组织机构名称、组织机构内元素列表。
[0057]<org_dec>:: = define org<org_type><org_name>' {’ <element_list> ’
[0058](2)网络防御企图定义
[0059]企图包含了网络防御目标、相应安全属性的防御期望以及防御手段集。
[0060]<intent1n_define>::= < 网络防御 target〉‘:,<expectat1ns>〈meanslist>
[0061]< 网络防御 target〉:: = <target_name> | <org_name>
[0062]〈expectat1ns〉:: = expectat1n ‘= {, 〈expectat1n〉{〈expectat1n〉} ‘},
[0063]期望分为主体约束和客体约束。主体约束包含机密性要求、完整性要求和不可否认性要求。
[0064]〈expectat1n〉:: = <subject_constraint>|<object_constraint>
[0065]〈subject_constraint>:: = <sub_confidentiality_req>|<sub_integrity_req>|<sub_nonrepudiat1n_req>
[0066]机密性主体要求定义了主体类型、主体状态、动作约束和机密性动作(访问)。
[0067]基于网络防御IDL语言描述的企图文本可通过该语言解释器对企图文本进行词法和语法扫描实现。根据网络防御IDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的网络防御目标网络防御期望和手段集的组合,即一个完整的企图时,提取出各个组分,存入相应的内存数据结构中。当所有文本都扫描和解释完毕后即完成了网络防御IDL企图的分解。
[0068]2、防御任务的生成模块
[0069]网络防御企图分解后,需要调用态势数据库和转换规则库,实现目标转换、
[0070]期望及手段转换的过程,将一个三元组标识的网络防御企图转换为一个或多个防御任务,并组合成网络防御方案。网络防御方案是网络防御任务的集合,一个网络防御任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件,其中任务操作又包含了操作对象、任务动作及执行参数。因此,网络防御方案生成过程就是提取分解后的网络防御企图,基于网络防御方案生成模型转换为任务中的各元素,并将任务组合成防御方案的过程。
[0071]任务生成包括了基于态势信息的网络防御目标转换和基于态势及转换规则的网络防御期望、手段转换两个过程。首先介绍方案生成时需要调用的态势信息和转换规则,然后给出目标转换和期望、手段转换方法。
[0072](I)基于态势信息的网络防御目标转换过程
[0073]网络防御企图中使用目标名称标识一个网络防御目标,根据方案生成模型,该目标将转换为任务操作对象,具体的转换过程为:
[0074]①取分解后的企图中的一个网络防御目标元素;
[0075]②若该目标为企图中自定义的组织机构或目标,则在组织机构列表中查找其类型及所对应的元素列表;
[0076]③根据目标类型查找态势知识库中相应的关系表。若目标类型为节点,则在节点表中查找其IP地址,若为进程则查找其IP地址和端口号,若为服务则查找其关联进程和协议,若为文件则查找其所在节点位置及文件路径;
[0077]④将查找后的结果结合网络防御期望和手段的处理结果作为网络防御务操作对象。
[0078](2)基于态势及转换规则的网络防御期望、防御手段转换
[0079]网络防御企图分解后的期望包含了期望主体及其状态、客体及其状态以及动作约束、上下文等信息,防御手段是拟采用的基本手段的集合。每一个基本防御手段相应地可转换为一个网络设备可执行的动作。当基本防御手段之间具有一定关联关系时,将转换为一个多设备协同操作的动作。在转换的过程中,需要调用态势信息库及转换规则库,以根据手段相应的任务执行主体类型获取当前网络中可用的任务执行主体,以及任务的操作动作和动作参数等信息。该阶段最终生成防御任务集。
[0080]3、网络防御决策信息库
[0081](I)态势信息
[0082]态势信息包含了当前网络环境中的所有节点(包括主机、服务器、安全设备等)及其连接关系,以及每一节点自身的平台特征、运行状况等信息。其中,节点信息包含了节点名称、节点类型、节点IP地址、操作系统、所在域,即:node = (node_id, node_name, node_type, node_ip, node_os, node_domain);节点连接信息用以节点标识为行和列的序号构成的邻接矩阵表示。
[0083](2)转换规则
[0084]转换规则根据网络防御技术手段及其具体操作来制定。转换规则包括防御手段(手段名、手段类型)、任务动作(动作名、动作类型、动作参数)、手段关系、任务执行主体类型以及漏洞知识等。
[0085]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种计算机网络防御决策控制系统,其特征在于包括:防御企图的分解模块、防御任务的生成模块、防御方案的生成模块、网络防御决策信息库、输入输出模块、数据采集模块和决策控制模块。其中: 防御企图的分解模块:首先基于网络防御企