[发明专利]一种基于自律计算的网络安全态势感知系统及其处理方法

说明书

技术领域

本发明涉及网络安全技术领域，具体是基于自律计算的网络安全态势感知系统及其技术方案。

背景技术

随着网络的普及，其面临的威胁越来越大，计算机病毒、木马程序、DoS/DDoS攻击日益猖獗。为保证网络安全运行，目前采用的入侵检测、防火墙、病毒检测等技术属于被动防御手段，只能对系统局部进行检测，获取的信息之间缺乏关联。基于此种形势，自2000年网络安全态势感知的概念[1]被提出之后，相关模型与方法的研究迅速成为一个新的研究热点。

网络安全态势感知是应网络安全监控需求而出现的一种新技术。在网络安全领域，针对入侵检测所构建的融合结构很多，其中Bass[1]提出的利用入侵检测系统的分布式多传感器进行数据融合的网络安全态势感知框架结构比较典型且普遍被业界所接受。该结构共分为五层，分别为数据提取层、攻击对象识别层、态势评估层、威胁评估层和资源管理层，层层递进，体现了由“数据->信息->知识”的过程。数据层主要负责从入侵检测传感器和Sniffers等安全设备中提取有用的数据；攻击对象识别层将数据层所获取的各种时间进行时空校准，并进行关联预处理，实现攻击识别；态势评估层是一个动态智能推理的过程，通过分析攻击对象识别层所识别的攻击事件之间的联系，评估整个网络当前的安全态势；威胁评估层是建立在态势评估层的基础之上，它是对恶意攻击的破坏能力和整个网络威胁程度进行估计，其任务是评估攻击事件出现的频度和对网络的威胁程度；资源管理层跟踪和评估整个融合系统的运行状况，指导融合系统的分配，接受和执行威胁评估层的任务、计划、协调与其他安全设备之间的协作等。

在感知与评估策略方面，文献[2]提出了一种基于免疫的网络安全态势感知方法，该方法采用基于免疫的入侵检测模型作为态势感知的基础，实现对网络中已知和未知入侵行为的检测；依据生物免疫系统抗体浓度的变化与病原体入侵强度的对应关系，对网络安全态势评估进行定量分析，并采用灰色马尔可夫方法对网络安全态势进行预测。将人工免疫技术应用于网络安全态势感知中，通过对恶意攻击行为的识别，实现对网络系统当前安全状况及未来变化趋势的实时、定量的分析和预测，使网络信息系统和生物免疫系统同样具有自学习性和自适应性，从而增强系统的免疫力和生存能力，缓解网络攻击造成的危害，为管理人员制定合理准确的响应决策提供依据，从而提高网络信息系统的应急响应能力。文献[3]首次提出一种基于CRFs (Conditional Random Fields条件随机场)网络安全态势量化感知方法，该方法以入侵检测系统的报警信息作为网络安全态势感知的要素，结合主机的漏洞和状态，定义网络安全威胁度来更好地体现网络的风险，并对攻击进行分类，同时进行了有效的特征选择，该方法能够很好地反映网络风险和量化网络安全态势。文献[4]通过对攻击要素间具有相互依赖的关联关系进行识别，采用模糊信息融合技术对攻击要素进行关联，并在服务、主机、网络3个层次使用统计技术进行相应的态势融合，提出了基于模糊信息融合的网络化系统安全态势评估方法。文献[5]提出了利用Honeynets 进行因特网安全态势评估的方法，该方法利用Honeynets收集到大量网络入侵信息，能够对当前网络的安全态势状况进行分析。

2. 与本发明相关的现有技术一

2.1 现有技术一的技术方案

文献[6]提出了一个基于Markov博弈模型的网络安全态势感和技术方案。Markov博弈是由博弈论和Markov决策过程（MDP）综合而来，综合考虑多个参加者的决策。通过对多传感器检测到的安全数据进行融合，得到资产、威胁和脆弱性的规范化数据，对每个威胁，分析其传播规律，建立相应的威胁传播网络；通过对威胁、管理员和普通永恒的行为进行分析，建立三方参与的Markov博弈模型，并对相关算法进行优化分析，使得评估过程能够实时运行。Markov博弈模型能够动态评估系统安全态势，并为管理员提供最佳的加固方案，而有效抑制威胁的扩散。

该方案提出的系统框架通过多传感器检测网络系统的各种安全信息，根据态势感知模型评估系统的安全态势及其变化趋势，并给出安全加固方案，主要包括以下几个模块：

1) 数据采集：通过多传感器检测网络系统的运行状况，检测大量的原始安全数据；

2) 态势理解：采用规范化分析、冗余检测和冲突检测等方法，分析原始数据，得到规范化的数据集；

3) 态势评估：采用态势评估算法，分析态势理解模块的数据，定量描述系统的安全态势；

4) 态势预测：采用态势预测算法，分析态势的变化规律，预测系统安全态势变化趋势；