[发明专利]网络安全的自主认知方法

权利要求书

1. 一种网络安全的自主认知方法，其特征是：第一步，将正常访问时长与访问间隔时长、请求速率和下载速率、访问行为、超链接深度、源ip地址分布以及用户到达率定义为敏感可识别性参数，依据累计分布函数确定动态可变的阈值约束，其中，所述的访问行为包括页面分类、页面访问率、页面超链接点击数和页面超链接；

第二步，基于所述的敏感可识别性参数的参考基点，令网络系统的服务连接为c，那么这个连接c就会有i个可识别性参数                                               ，可识别性参数代表请求速率，可以代表下载速率，就是连接c对应参数的检测值，对一个连接的所有识别参数的数值求和：，n表示参数的数量；

得到可识别性参数的综合检测值的计算公式：令，表示可识别性参数的累积分布函数（CDF），利用控制单元确定的一个数对作为参考基点，，所述的控制单元通过回馈控制进程选取基点，假设连接c的参数用x来表示,计算检测分值的公式为：

（1）

其中k表示一个几何定值，例如1、2..，div(m/n)表示m和n取商，表示一个恒定的比例因子；

对于基点的偏离量越高，公式中所得到的值就越低；

服务器可以根据攻击的频率适当的选择定值k和的值；

对于访问间隔时长这个可识别性参数的综合检测值的计算与其他可识别性参数的计算方法相反，访问间隔时长的综合检测值的计算公式如下：

 （2）

但是源ip地址分布这个可识别性参数是一个定值，如果服务器猜测这个源ip地址分布是一个攻击者的ip地址的话，那么服务器就会给出一个定值-1，否则定为0；

第三步，依靠控制单元实现自主认知系统的自主认知管理：所述的控制单元首先为网络系统的各种服务资源量定义threshold1,threshold2和threshold3三种阈值划分，其中，Threshold1，threshold2和threshold3分别表示系统服务资源总量的90%,、80% 和60%，当系统的服务资源超过threshold1时，我们设定系统的资源状况为红色，当系统的服务资源处于threshold2和threshold3之间的时候，我们将系统资源状态设定为黄色，当系统处于threshold3以下时，我们将系统的资源状态设定为绿色的正常状态；

所述的控制单元定期检查系统的各种资源状态，包括：ip栈、cpu状态、内存等，当系统的服务资源超过threshold1时，系统就会进入一种警戒模式，并且所述的控制单元的进程会被触发，与此同时系统不再允许新的用户连接到此系统；接下来所述的控制单元给已经建立的服务连接计算出一个综合检测值，如果得到的数值低于阈值的话，断开连接；循环此操作直到系统资源恢复到threshold2以下；

当系统资源状态非红色状态，系统离开警戒模式并且可以接受新的用户请求；

当系统资源状态为黄色状态，若新用户请求，则所述的控制单元会检查此用户的源ip地址分布是否在黑名单中，如果在黑名单中，那么系统之前就会保存有一个访问间隔时长参数的检测值，如果该源ip地址分布没有在黑名单中，那么系统就会算出它的访问间隔时长的检测值，然后将新连接的综合检测值和已经建立起来的连接的综合检测值作比较，如果新连接的综合检测值大于已经建立起来的连接的综合检测值，那么就将以前的连接断开，接受新的连接请求。

2. 根据权利要1所述的网络安全的自主认知方法，其特征是：所述的控制单元遵循以下三条规则：

规则1:检测值为0的连接不能被阻断；

规则2:如果连接的检测值大于等于阈值的话，那么控制单元就给用户发送一个puzzle 测试，如果用户完成了这个测试的话那么连接就不被阻断，如果用户并没有完成测试那么连接就被阻断；

规则3:如果连接的检测值小于阈值，那么服务器不需要发送一个puzzle测试，但是连接被放入当机候选队列中。

3. 根据权利要2所述的网络安全的自主认知方法，其特征是：所述的控制单元的工作过程为：

（1）所述的控制单元为每个敏感可识别性参数设定一个初始参考基点，初始基点的值根据以往的攻击情况和系统状态来设定，通常将初始参考基点的值设为较大的值，这样最初阶段的误判为0；

（2）所述的控制单元定期监控已经建立起来的连接，并且给每一个建立起来的连接按照这段时间的基点给出一个检测值；

（3）所述的控制单元会断开一些检测值较低的连接，直到没有一个负值的连接存在，或这个服务器资源恢复到threshold2以下；

（4）如果系统的资源状态不是红色的话，那么服务器就会终止警戒模式，如果至少有一项资源处于黄色状态的话，那么控制单元仍然需要计算已建立的连接的检测值，并且等待新的用户请求；

（5）如果所有的系统资源状态恢复到绿色，那么所述的控制单元的进程就会被终止；

（6）如果至少有一项系统资源状态处于红色并且没有任何连接的检测值低于阈值，那么所述的控制单元就重新设定一个适当的初始基点，其中除了访问时间间隔和源ip地址分布两项参数，其他的初始基点需要做如下调整：假设在一个参数的累积分布函数中，和分别是当前的基点和下一个基点，下一个基点我们可以通过减少一个，为正量，得到，于是得到,，所以下一个基点坐标就是，取0.05或者0.1；访问间隔时长这个可识别性参数下一个基点的坐标是；源ip地址分布这个可识别性参数并不存在累积分布函数和基点，它的分数在之前已经被确定;

（7）算法返回到步骤2，循环持续到步骤5的条件被满足后终止。