专利名称:计算机网络防御决策系统的制作方法
技术领域:
本发明属于计算机网络安全技术领域,设计并实现了一种计算机网络防御决策系统,给出了一种高层防御企图描述语言,结合网络态势,将防御企图自动的转换为防御方案,为防御方案的自动生成提供了技术手段。
背景技术:
计算机网络防御是指在计算机网络及其信息系统内,采取的一系列防护(Protect)、监视(Monitor)、分析(Analyze)、检测(Detect)和响应(Respond)未经授权活动的行为。随着网络攻击手段的多样化,在瞬息多变的网络环境中,对计算机网络防御提出了更大的挑战。为了保障大规模的计算机网络及其应用系统的安全,需要在网络上自动决策和部署各种防御方案来应对复杂的网络攻击。随着各国信息部队的建设,加剧了信息空间的竞争与对抗;美国对利益冲突对手从实体摧毁进一步深入到瘫痪和威慑对方的决策过程,这一战略思维的改变,加剧了人机交互决策过程偏向以人的企图为主的决策趋势。现有的计算机网络防御决策方法主要有以下问题:(I)现有的计算机网络防御决策是基于态势的被动决策,没有考虑防御方的主观防御企图,因此防御方案的调整与矫正无法以防御企图为基准,从而导致防御方案不能有针对性地对防御目标进行保护,降低了防御的效率。(2)不能使得机器能以更贴切的形式接受人的主观意愿,让善于形象思维的人类由此可以专心地预谋更高层的防御意图,从而使人类从低级的机器行为中解脱出来。即缺乏防御企图的高层描述方法。
发明内容
本发明的技术解决问题:克服现有技术的不足,提出一种考虑人的主观防御企图的计算机网络防御决策方法,并设计一种面向高层防御企图的描述语言,提出一种基于模型映射的决策方法,自动的结合网络态势信息将防御企图转换为防御方案,该方法时间效率较高,适合较大规模网络的防御。本发明的技术解决方案:计算机网络防御决策系统,其特征在于包括:防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库,其中:(I)防御企图的分解模块。首先基于防御企图的定义,设计并实现了一种高层的计算机网络防御企图描述语言CNDIDL,并给出其BNF范式。CNDIDL可以描述机密性企图、完整性企图、可用性企图和不可否认性企图。描述的内容包括CND目标、CND期望,包括机密性、完整性、可用性及不可否认性期望的主体、客体、动作、上下文,以及防御手段的声明、定义、分配及继承关系。然后基于CNDIDL描述语言的企图文本可通过该语言解释器对企图文本进行词法和语法扫描实现。根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的CND目标、CND期望和手段集的组合,即一个完整的企图时,提取出各个组分,存入相应的内存数据结构中。当所有文本都扫描和解释完毕后即完成了CNDIDL企图的分解。(2)防御任务的生成模块。CND企图分解后,需要调用态势数据库和转换规则库,实现目标转换、期望及手段转换的过程,将一个三元组标识的CND企图转换为一个或多个防御任务。任务是由主体、操作集合、执行时间、执行结果及任务约束构成的五元组。(3)防御方案的生成模块。CND方案是由CND任务集经过操作主体的组合而生成。主体指参与计算机网络安全防御的所有软件和硬件资源,是保护、检测、响应和恢复主体的
隹A
口 O(4) CND决策信息库。该信息库由网络态势信息和转换规则构成。态势信息包含了当前网络环境中的所有节点及其连接关系,以及每一节点自身的平台特征、运行状况等信息。转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识等。所述步骤防御企图的分解模块中的防御企图是防御目标、防御期望和防御手段构成的三元组;防御企图包括机密性、完整性、可用性和不可否认性企图;计算机网络防御目标(CND Target)是计算机网络上需要防护的对象;CND目标可分为静态防御目标和动态防御目标;CND静态防御目标按照TCP/IP协议的不同层次,可分为节点、进程、服务以及存储的静态数据,CND动态防御目标是指网络中动态传输的数据包;计算机网络防御期望描述了防御目标的网络安全要求;防御期望包括主体防御期望和客体防御期望;防御手段包括防护、检测、分析,响应和恢复手段;防护(protect)是指采取行动以提防针对敏感设备和信息的间谋或捕获活动;防护手段包括访问控制(Access Control)、加解密(Crypt)、认证(Authenticate)、系统平台加固(System Platform Reinforce)、备份(Backup);检测(Detect)是通过某些技术和方法从现有网络系统相关信息中发现问题或威胁的过程;检测手段包括病毒扫描(Virus Scan)、漏洞扫描(Vulnerability Scan)、入侵检测(IntrusionDetect);分析(Analyse)手段是通过对收集到的网络数据进行处理后得出网络安全状态或事件的过程,分析手段为日志审计(Log Audit);响应手段是为了应对检查和分析的结果所采取的动作措施;响应手段包括锁定账户(Lock Account)、入侵诱骗(IntrusionDeceive)、访问控制、攻击源跟踪(Source Trace)、调节(Refine)、病毒查杀(Virus Kill);恢复手段是对遭受破坏的保护目标所采取的修复行为,包括数据恢复(Data Recover)、系统重建(System Rebuild);数据恢复是按照数据的备份对损坏的数据进行恢复;基于以上的防御企图相关概念设计了计算机网络防御企图描述语言CNDIDL ;然后采用JavaCC词法语法分析器,对用CNDIDL描述的机密性、完整性、可用性和不可否认性企图分别进行词法语法分析,具体过程为:根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的CND目标、CND期望和手段集的组合时,分别提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了 CNDIDL企图的分解。所述防御任务的生成模块中采用包括了基于态势信息的CND目标转换和基于态势及转换规则的CND期望、手段转换两个过程;态势信息包含了当前网络环境中的所有节点,包括主机、服务器、安全设备及其连接关系,以及每一节点自身的平台特征、运行状况信息;转换规则由专家根据网络防御技术手段及其具体操作来制定;转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库,所述防御手段包括手段名、手段类型;所述任务动作包括动作名、动作类型和动作参数;漏洞知识库根据通用漏洞评分系统定义了不同类型漏洞的CVE名称、相应的操作系统、补丁及可能引起的攻击报警;基于态势信息的CND目标转换过程;CND企图中使用目标名称标识一个CND目标,根据方案生成模型,该目标将转换为任务操作对象;基于态势及转换规则的CND期望、防御手段转换;CND企图分解后的期望包含了期望主体及其状态、客体及其状态以及动作约束、上下文信息,防御手段是拟采用的基本手段的集合。所述防御方案的生成模块中,根据防御任务生成模块所生成的防护任务、检测任务、分析任务、响应任务和恢复任务,将同一任务主体下的各个防御任务进行组合构成一个防御方案。所述CND决策信息库中,包括网络态势信息和转换规则;态势信息包含了当前网络环境中的所有节点信息,包括主机、服务器、安全设备及其连接关系,以及每一节点自身的平台特征、运行状况信息;其中,节点信息包含了节点名称、节点类型、节点IP地址、操作系统、所在域,节点连接信息用以节点标识为行和列的序号构成的邻接矩阵表示;转换规则根据网络防御技术手段及其具体操作来制定;转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识;所述防御手段包括手段名、手段类型;所述任务动作包括动作名、动作类型和动作参数。本发明与现有的技术方法相比的有益效果在于:(I)提出了一种计算机网络防御企图描述语言。设计并实现了一种计算机网络防御企图描述语言CNDIDL,将计算机网络防御企图涉及的内容用语言描述出来,给出其BNF范式。CNDIDL描述的内容有:CND目标,CND期望,包括机密性、完整性、可用性及不可否认性期望的主体、客体、动作、上下文,以及防御手段的声明、定义、分配及继承关系。可以描述机密性企图、完整性企图、可用性企图和不可否认性企图。该语言简洁灵活、语法形式简单、且形象直观,具有良好的可扩展性。为防御的自动决策提供了一种高层的描述语言。(2)给出了一种基于CNDIDL语言的防御决策方法。提出了一种基于模型映射的计算机网络防御决策方法,该方法基于网络态势信息和已定义的模型映射规则自动的将防御企图转换为防御方案。通过JavaCC对企图进行词法语法分析,并进行企图的分解,任务的生成,以及任务的组合生成最终的防御方案。从而为基于主观意愿的计算机网络防御的自动决策提供了一种方法。
图1为本发明的CND决策系统功能结构图;图2为本发明的CND手段划分示意图;图3为本发明的CND目标转换流程图;图4为本发明的CND期望及手段转换流程图;图5为本发明的CND决策原型系统顺序图。
具体实施例方式如图1所示,本发明计算机网络防御决策系统,输入为防御企图,输出为防御方案,包括防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库。整个实现过程如下:
1.防御企图的分解模块首先给出计算机网络防御企图相关的概念及其CNDIDL的设计,然后给出基于CNDIDL的企图分解方法。定义I计算机网络防御企图(Computer Network Defense Intention)是对于目标网络中的具体防御目标所能达到的安全期望,以及拟采取的防御手段集的三元组。INTENTION::= \( ..β,Φ) \ I e TARGET,eg EXPECTATION:Φ cz MEANS}定义2计算机网络防御目标(CND Target)是计算机网络上需要防护的对象。CND目标可分为静态防御目标和动态防御目标。CND静态防御目标按照TCP/IP协议的不同层次,可分为节点、进程、服务以及存储的静态数据,即:TARGETstatic= {t其中,节点目标是网络层的防御目标,可用IP地址和掩码来标识;进程目标是传输层防御目标,用相应的节点目标和端口号标识;服务目标是应用层防御目标,用相应的进程目标及应用层协议标识;数据目标是指存储在主机中的静态文件、数据记录等。CND动态防御目标是指网络中动态传输的数据包,即TARGETdynamic= ItpaekJ。定义3计算机网络防御期望(CND Expectation)是CND目标需要满足的安全要求。按照信息安全保护的目标,可以划分为机密性期望、完整性期望、可用性期望及不可否认性期望。EXPECTATION:: = C0NFIDENTIALITY_EXP U INTEGRITY_EXP U AVAILABILITY,EXP U N0NREPUDIAT10Ν_ΕΧΡ定义4CND期望主体(Subject)为对CND目标进行一定操作的实体,包括应用层的远程用户、传输层的远程进程和网络层的远程节点,即:SUBJECT:: = Userremote U Processremote U Noderemote对于用户主体,其达到可信任状态需要经过身份标识、认证等过程,因此主体的状态包括未知、未认证、已认证。用户主体状态集STATEusct表示用户主体的所有状态的集合。STATEuser..^unknown ^unauthenticatedJ ^authenticated-^进程和节点主体可分为未知、合法和非法状态,一个已认证的可信主体所对应的进程和节点可标识为合法状态。 STATEprocess..^unknown ^illegal ^legalSTATEno(je..^unknown ^illegal ^legal-^定义5CND期望客体(Object)即CND目标,包括数据、消息、服务、进程、节点、节点连接及进程连接目标。客体按照不同的安全属性可以划分出不同状态,如机密性角度可以分为加密状态和非加密状态,目标t是加密状态可用谓词的形式定义为encrypted(t),非加密状态为I encrypted (t)。定义6计算机网络防御手段(CNDmeans)是网络防御活动的集合。将手段划分为防护(Protect)、检测(Detect)、分析(Analyze)、响应(Response)、恢复(Restore)等五类。手段划分如图2所示。下面给出CNDIDL语言的BNF范式。CNDIDL语法包括组织机构定义和企图定义两部分。( I)组织机构及类型声明
组织机构定义给出了包含需要描述的目标的网络、子网或域的声明,以及目标类型的声明。组织机构定义语句语法的BNF表达式为:<org_declaration>::=<org_dec>|<target_dec>组织机构声明包含了组织机构类型、组织机构名称、组织机构内元素列表。<org_dec>::=define org<org_type><org_name>' {/ <element_list> ’目标类型声明包含了目标类型、目标名、该目标包含元素列表。
权利要求
1.算机网络防御决策系统,其特征在于包括:防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库,其中: 防御企图的分解模块:首先基于CND企图概念模型,设计了一种计算机网络防御企图描述语言 CNDIDL(Computer Network Defense Intention Description Language),给出该语言的BNF范式描述;然后基于CNDIDL语言描述的企图文本通过语言解释器对企图文本进行词法和语法扫描实现;根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的CND目标、CND期望和手段集的组合,即一个完整的企图时,提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了CNDIDL企图的分解; 防御任务的生成模块:一个CND任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件,其中任务操作又包含了操作对象、任务动作及执行参数,通过CND企图分解后,调用CND决策 信息库,包括态势信息和转换规则,实现目标转换、期望及手段转换的过程,将一个三元组标识的CND企图转换为一个或多个防御任务; 防御方案的生成模块=CND方案是CND任务的集合,CND方案生成过程是基于CND方案生成模型转换为任务中的各元素,以及各个元素之间的关系,将任务组合成防御方案的过程; CND决策信息库:包括网络态势信息和转换规则;所述网络态势信息包含了当前网络环境中的所有节点及其连接关系,以及每一节点自身的平台特征、运行状况信息;所述转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库。
2.据权利要求1所述的计算机网络防御决策系统,其特征在于包括:所述步骤防御企图的分解模块中的防御企图是防御目标、防御期望和防御手段构成的三元组;防御企图包括机密性、完整性、可用性和不可否认性企图;计算机网络防御目标(CND Target)是计算机网络上需要防护的对象;CND目标可分为静态防御目标和动态防御目标;CND静态防御目标按照TCP/IP协议的不同层次,可分为节点、进程、服务以及存储的静态数据,CND动态防御目标是指网络中动态传输的数据包;计算机网络防御期望描述了防御目标的网络安全要求;防御期望包括主体防御期望和客体防御期望;防御手段包括防护、检测、分析,响应和恢复手段;防护(protect)是指采取行动以提防针对敏感设备和信息的间谍或捕获活动;防护手段包括访问控制(Access Control)、加解密(Crypt)、认证(Authenticate)、系统平台加固(System Platform Reinforce)、备份(Backup);检测(Detect)是通过某些技术和方法从现有网络系统相关信息中发现问题或威胁的过程;检测手段包括病毒扫描(VirusScan)、漏洞扫描(Vulnerability Scan)、入侵检测(Intrusion Detect);分析(Analyse)手段是通过对收集到的网络数据进行处理后得出网络安全状态或事件的过程,分析手段为日志审计(Log Audit);响应手段是为了应对检查和分析的结果所采取的动作措施;响应手段包括锁定账户(Lock Account)、入侵诱骗(Intrusion Deceive)、访问控制、攻击源跟踪(Source Trace)、调节(Refine)、病毒查杀(Virus Kill);恢复手段是对遭受破坏的保护目标所采取的修复行为,包括数据恢复(Data Recover)、系统重建(System Rebuild);数据恢复是按照数据的备份对损坏的数据进行恢复;基于以上的防御企图相关概念设计了计算机网络防御企图描述语言CNDIDL ;然后采用JavaCC词法语法分析器,对用CNDIDL描述的机密性、完整性、可用性和不可否认性企图分别进行词法语法分析,具体过程为:根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的CND目标、CND期望和手段集的组合时,分别提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了 CNDIDL企图的分解。
3.据权利 要求1所述的计算机网络防御决策系统,其特征在于包括:所述防御任务的生成模块中采用包括了基于态势信息的CND目标转换和基于态势及转换规则的CND期望、手段转换两个过程;态势信息包含了当前网络环境中的所有节点,包括主机、服务器、安全设备及其连接关系,以及每一节点自身的平台特征、运行状况信息;转换规则由专家根据网络防御技术手段及其具体操作来制定;转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库,所述防御手段包括手段名、手段类型;所述任务动作包括动作名、动作类型和动作参数;漏洞知识库根据通用漏洞评分系统定义了不同类型漏洞的CVE名称、相应的操作系统、补丁及可能引起的攻击报警;基于态势信息的CND目标转换过程;CND企图中使用目标名称标识一个CND目标,根据方案生成模型,该目标将转换为任务操作对象;基于态势及转换规则的CND期望、防御手段转换;CND企图分解后的期望包含了期望主体及其状态、客体及其状态以及动作约束、上下文信息,防御手段是拟采用的基本手段的集合。
4.据权利要求1所述的计算机网络防御决策系统,其特征在于包括:所述防御方案的生成模块中,根据防御任务生成模块所生成的防护任务、检测任务、分析任务、响应任务和恢复任务,将同一任务主体下的各个防御任务进行组合构成一个防御方案。
5.据权利要求1所述的计算机网络防御决策系统,其特征在于包括:所述CND决策信息库中,包括网络态势信息和转换规则;态势信息包含了当前网络环境中的所有节点信息,包括主机、服务器、安全设备及其连接关系,以及每一节点自身的平台特征、运行状况信息;其中,节点信息包含了节点名称、节点类型、节点IP地址、操作系统、所在域,节点连接信息用以节点标识为行和列的序号构成的邻接矩阵表示;转换规则是根据网络防御技术手段及其具体操作来制定的;转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识;所述防御手段包括手段名、手段类型;所述任务动作包括动作名、动作类型和动作参数。
全文摘要
计算机网络防御(CND)决策系统,包括防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库。是根据防御企图和态势拟制防御方案的过程,首先解决了计算机网络防御缺乏高层的防御企图描述问题,并在此基础上解决了基于防御企图的决策方法问题,实现了一种形式化的计算机网络防御企图描述语言CNDIDL,提出了一种基于模型映射的计算机网络防御决策方法,基于态势信息和已定义的模型映射规则自动的将防御企图转换为防御方案,从而为大规模的网络安全防御提供了一种自动化、高效的防御决策技术。
文档编号H04L29/06GK103095716SQ20131003312
公开日2013年5月8日 申请日期2013年1月28日 优先权日2013年1月28日
发明者夏春和, 魏昭, 罗杨, 魏晴, 薄阳 申请人:北京航空航天大学