网络安全的自主认知方法
【专利摘要】本发明涉及一种网络安全的自主认知方法。信息系统现实的安全状况是无论如何防御,入侵总会发生,无论如何检测,系统总会遭到不同程度的破坏,关键任务的失效在所难免。一种网络安全的自主认知方法,其组成包括:第一步,将正常访问时长与访问间隔时长、请求速率和下载速率、访问行为、超链接深度、源ip地址分布以及用户到达率定义为敏感可识别性参数,依据累计分布函数确定动态可变的阈值约束,第二步,基于敏感可识别性参数的参考基点,得到综合检测值的计算公式,第三步,依靠控制单元实现自主认知管理。本发明应用于网络安全自主认知。
【专利说明】网络安全的自主认知方法
[0001]【技术领域】:
本发明涉及一种网络安全的自主认知方法。
[0002]【背景技术】:
信息系统现实的安全状况是无论如何防御,入侵总会发生,无论如何检测,系统总会遭到不同程度的破坏,关键任务的失效在所难免。如何在各种安全灾难发生时尽量保证现有关键任务的持续、及时完成,已成为亟待解决的问题。自主认知性(Survivability)研究就是顺应这个需求而产生的新课题。
[0003]自主认知性作为下一代网络安全的核心目标,代表了网络安全发展的新方向。自主认知性的思想可以总结为自适应的“容”,实际上是让系统带“病”坚持工作,继续提供其关键任务,即使在系统遭受到入侵成功后,甚至系统的重要或部分组件遭到损坏或摧毁时,系统只要能在结构上合理配置资源,能在攻击下资源重组,就依能够保证按时完成其提供的各种关键服务,并能及时修复被损坏的关键服务。从网络安全的历史、现状和发展趋势来看,提高系统的自主认知性,是目前应付一切攻击、入侵和破坏的最佳途径。
[0004]
【发明内容】
:
本发明的目的是提供一种网络安全的自主认知方法。
[0005]上述的目的通过以下的技术方案实现:
一种网络安全的自主认知方法,第一步,将正常访问时长与访问间隔时长、请求速率和下载速率、访问行为、超链接深度、源ip地址分布以及用户到达率定义为敏感可识别性参数,依据累计分布函数确定动态可变的阈值约束,其中,所述的访问行为包括页面分类、页面访问率、页面超链接点击数和页面超链接;
第二步,基于所述的敏感可识别性参数的参考基点,令网络系统的服务连接为C,那么
这个连接C就会有i个可识别性参数^4/,可识别性参数代表请求速率,4"可以代表
下载速率,s(4.f >就是连接c对应参数4的检测值,对一个连接的所有识别参数的数值
求和:
【权利要求】
1.一种网络安全的自主认知方法,其特征是:第一步,将正常访问时长与访问间隔时长、请求速率和下载速率、访问行为、超链接深度、源ip地址分布以及用户到达率定义为敏感可识别性参数,依据累计分布函数确定动态可变的阈值约束,其中,所述的访问行为包括页面分类、页面访问率、页面超链接点击数和页面超链接; 第二步,基于所述的敏感可识别性参数的参考基点,令网络系统的服务连接为C,那么这个连接C就会有i个可识别性参数d/,可识别性参数代表请求速率/可以代表下载速率)就是连接c对应参数$的检测值,对一个连接的所有识别参数的数值求和=Sf(C) = 执為υ ) , η表示参数的数量; 得到可识别性参数的综合检测值的计算公式:令J = <(>),/:灰示可识别性参数_4的累积分布函数(⑶F),利用控制单元确定的一个数对(?,?)作为参考基点,yb = Zi(Xb),所述的控制单元通过回馈控制进程选取基点,假设连接C的参数為用X来表示,计算检测分值的公式为:
2.根据权利要I所述的网络安全的自主认知方法,其特征是:所述的控制单元遵循以下三条规则: 规则1:检测值为O的连接不能被阻断; 规则2:如果连接的检测值大于等于阈值的话,那么控制单元就给用户发送一个puzzle测试,如果用户完成了这个测试的话那么连接就不被阻断,如果用户并没有完成测试那么连接就被阻断; 规则3:如果连接的检测值小于阈值,那么服务器不需要发送一个puzzle测试,但是连接被放入当机候选队列中 。
3.根据权利要2所述的网络安全的自主认知方法,其特征是:所述的控制单元的工作过程为: (1)所述的控制单元为每个敏感可识别性参数设定一个初始参考基点,初始基点的值根据以往的攻击情况和系统状态来设定,通常将初始参考基点的值设为较大的值,这样最初阶段的误判为O ; (2)所述的控制单元定期监控已经建立起来的连接,并且给每一个建立起来的连接按照这段时间的基点给出一个检测值; (3)所述的控制单元会断开一些检测值较低的连接,直到没有一个负值的连接存在,或这个服务器资源恢复到threshold〗以下; (4)如果系统的资源状态不是红色的话,那么服务器就会终止警戒模式,如果至少有一项资源处于黄色状态的话,那么控制单元仍然需要计算已建立的连接的检测值,并且等待新的用户请求; (5)如果所有的系统资源状态恢复到绿色,那么所述的控制单元的进程就会被终止; (6)如果至少有一项系统资源状态处于红色并且没有任何连接的检测值低于阈值,那么所述的控制单元就重新设定一个适当的初始基点,其中除了访问时间间隔和源ip地址分布两项参数,其他的初始基点需要做如下调整:假设在一个参数的累积分布函数中,C\>yb))分别是当前的基点和下一个基点,下一个基点我们可以通过减少一个, φ>为正量,得到,于是得到Jzi _ yb Ay,Xb -/_1 (3? — Ay),所以下一个基点坐标就是C/_10^ -Δ)0,3;& -Δ/;), Δ/取0.05或者ο.1 ;访问间隔时长这个可识别性参数下一个基点的坐标是(χ\,Λ) = CT1Cn + Ay%yb + Ay);源?ρ地址分布这个可识别性参数并不存在累积分布函数和基点,它的分数在之前已经被确定; (7)算法返回 到步骤2,循环持续到步骤5的条件被满足后终止。
【文档编号】H04L29/06GK104023010SQ201410238110
【公开日】2014年9月3日 申请日期:2014年5月31日 优先权日:2014年5月31日
【发明者】郑林, 柴宝杰 申请人:郑林