[发明专利]一种基于自律计算的网络安全态势感知系统及其处理方法

权利要求书

1.一种基于自律计算的网络安全态势感知系统，其特征在于：包括被管资源、Agent协同层模块、传感器和效应器模块和自律管理者模块，Agent协同层模块连接被管资源和自律管理者模块，传感器和效应器模块分别连接Agent协同层模块和自律管理者模块，

Agent协同层模块捕获被管资源信息并做预处理，去除冗余信息，最终把信息交给自律管理者模块，接收自律管理者模块的信息反馈，并自主调节系统环境，使其能够动态适应环境变化，以实现资源的动态配置、服务的动态合成、系统参数的动态校正；

传感器和效应器模块，连接所述的Agent协同层模块，需要定义统一的标准接口来实现由不同供应商提供的软硬件的通信，屏蔽由于内部结构的不同而产生的异构性。

2.如权利要求1所述的一种基于自律计算的网络安全态势感知系统，其特征在于：所述的自律管理者模块包括知识库模块、态势提取模块、态势预测模块和自主响应模块，

知识库模块包括状态判定知识、策略知识、问题求解知识和模式匹配知识，对态势提取模块、态势预测模块和自主响应模块提供知识支持；

态势提取模块，用于提取有效的态势信息，即攻击要素；

态势评估模块，连接所述的态势提取模块，通过识别态势信息中的安全事件，依据它们之间的关联关系，计算出服务、主机和网络所受到的威胁，进而实现对当前的网络安全态势的分析；

态势预测模块，连接所述的态势评估模块，用于根据过去和当前网络安全态势状况，对未来网络安全态势进行预测；

自主响应模块，用于根据知识库中的策略知识和问题求解知识，对态势提取模块提取的行为特征实时做出响应，对态势评估得出的态势值进行自主调节。

3.如权利要求2所述的一种基于自律计算的网络安全态势感知系统，其特征在于：所述的态势提取模块包括网络安全数据源集成平台模块、异常发现模块和自律联想学习模块，

网络安全数据源集成平台模块，用于实现多源异构数据的集成处理，为上层模块提供数据支持；

异常发现模块，采用模式匹配技术，根据异常行为库来检测网络中可能存在的各类攻击行为，并对异常行为库进行实时更新；

自律联想学习模块，用于根据攻击特征与异常行为库的原有攻击行为特征的记录进行关联、整合和集成分析，找出安全隐患的形成与发展规律；预测可能产生异常的条件及早期异常征兆，采用诊断预测和智能决策的方法实现攻击行为特征的自律联想学习，并将学习结果加入异常行为库；

从而实现对未知攻击行为的联想学习，快速提取有效态势信息；

聚类分析模块，连接所述的自律联想学习模块，采用相异度计算(DSimC)聚类方法对自律联想学习结果进行聚类判别分析；

其中所考虑的特征属性主要有源/目的IP、源/目的端口、检测时间、攻击类别等，分别计算其相异度，最终计算出综合相异程度；

融合分析模块，连接所述的聚类分析模块，采用指数加权DS证据理论(EWDS)对聚合后的安全信息进行融合分析，进一步精简安全信息数量和识别攻击行为。

4.如权利要求3所述的一种基于自律计算的网络安全态势感知系统，其特征在于：所述的利用DSimC聚类方法对自律联想学习结果进行聚类具体包括：

步骤1：采用相关属性距离计算的方法对报警进行聚类；

假设有两个报警                                               和，利用公式计算这两个报警之间的相异度；其中，n是这两个报警中属性的个数，k代表n个属性中的某一个，表示属性k在相应报警相异度中的权重，表示报警和在属性k上的相异度；

步骤2：根据相关属性距离计算，依据事先设定的相应阈值，进行聚类判别判断。

5.权利要求3所述的一种基于自律计算的网络安全态势感知系统，其特征在于：所述的利用EWDS对聚类结果进行融合，具体包括：

步骤1：将聚类后的结果作为证据，并依据不同传感器的检测率分配置信度，依据攻击情况，获取各个传感器的权值；

步骤2：采用DS证据组合规则对证据进行组合；

步骤3：采用基本概率函数的融合决策规则对组合后的基本概率分配值进行决策判断，提取出态势要素。