[发明专利]网络安全协同防御方法

权利要求书

1.一种网络安全协同防御方法，其特征在于，包括以下几个步骤：

步骤1，建立一个由安全节点、安全域代理、服务中心三部分构成的面向服务的协同防御模型；

步骤2，在安全域内部署多个安全节点，每个安全节点通过不同的安全防御系统监测网络流的异常，实现不同安全防御系统间的协同，并将监测的情况上传到所在安全域的代理；

步骤3，安全域代理进行整个安全域内消息的处理和转发，安全域代理向服务中心负责；

步骤4，服务中心控制各个安全域代理对安全域中安全节点的管理，从而协调整个安全系统的运作，实现整体的网络安全协同防御；

安全节点是数据流经过的关键位置，包括路由入口，防火墙入口、主机入口；安全域代理在每个安全域中只有一个；服务中心存储各类安全策略，包括应用安全、数据加密、认证授权、访问控制、审计追踪、防杀病毒；

安全节点：通过不同的安全防御系统监测网络流的异常，实现不同安全防御系统间的协同，并将监测的情况上传到所在安全域的代理；

安全域代理：安全域代理，负责整个安全域内消息的处理和转发，安全域代理向服务中心负责；

服务中心：服务中心控制各个安全域代理对安全域中安全节点的管理，从而协调整个安全系统的运作，实现整体的网络安全协同防御；

各安全域的安全节点只能和该安全域的代理通信，包含两个角度：安全域中各个节点间通信依赖安全域的代理；不同安全域间通信时，也是经过各个安全域的代理进行通信的；各个安全节点通过服务中心提供的接口函数与代理进行通信，当安全节点开始监测时，通知安全域内的代理，代理再通知上层服务中心，使服务中心和代理清楚各个安全域的状态；

所述安全域代理由两个层面“事件处理层面”和“自学习层面”的六个模块组成，事件处理层面包含交互模块、分析模块、处理模块和图形化界面；自学习层面包含分析模块、自学习模块和知识库；六个模块作用分别如下：①交互模块：负责安全域代理之间、安全域和安全节点、安全域和服务中心之间的数据信息交互；②分析模块：根据预先设定的决策机制，对入口信息进行分析，并将分析结果分发给处理模块和自学习模块；③处理模块：根据分析模块的分析结果，按照系统设定的处理流程依次处理，将处理结果分发到交互模块和知识库；④自学习模块：分析阶段同时进行自学习，根据新的变化积累知识，并存入知识库；⑤知识库：存储自学习模块的知识积累，并为分析模块提供决策支持；⑥图形化界面：用户可以通过图形化界面配置模型参数，直观实时的查看模型动态；

所述安全域代理行为模型：

安全域代理包含多个特征，代理行为描述安全域代理和代理之间、安全域代理和服务中心、安全域代理和节点之间的交互执行顺序，是协同防御策略的实现；

安全域代理行为根据行为的对象分为交互行为和学习行为，交互行为指的是代理和代理之间的数据交换，代理和服务中心、代理和安全节点间的信息交换；学习行为指的是对新的网络环境的自学习行为，是代理自身的活动集合；

安全域代理的行为模型由输入模块、推理模块、处理模块、输出模块四个模块组成；输入模块负责对输入的信息进行汇总和预处理，输入信息包括外部环境变化、其它代理的消息或内部变量的变化；推理模块和处理模块是模型的核心部分，负责对输入进行分析决策，并根据定义的执行顺序采取行动；输出模块将处理结果输出到其它代理或服务中心；

基于行为模型，形式化语言描述将考虑交互行为和学习行为两种情况，根据模型特点用策略Strategy、触发器Trigger、动作序列Action、模式Mode、约束Constraint五元组来描述安全域代理行为模型；

(1)交互行为形式化语言描述

安全域代理行为模型的交互行为语言描述如式(1)所示：

I＝S，T，A，M，C_i，T＝T_in，T_out (1)

在式(1)中，I指的是代理交互行为，S表示代理的所有策略的集合，T是代理的中各类事件的触发器，T_in表示进入代理的触发事件，T_out是代理处理结束后分发出去的触发事件，A表示代理所有动作的集合，M表示代理模式的集合，C_i表示交互行为的行为约束集合；

交互行为的核心工作是根据不同的触发条件，通过推理机决策输出相应的处理结果，或请求其它代理协同，或请求服务中心的服务，因此交互行为的触发形式化语言描述如式(2)所示：

C_i：T_in×A×M→T_out (2)

从式(2)中看出输出事件由输入触发条件、动作序列和代理模式三者决定；触发事件包括外部流量信息和其它代理协同信息，外部流量信息引起的触发如网络入侵协同操作，入侵检测会根据流量信息进行相应的动作序列和模式转换，将结果通知给防火墙或网络伪装系统；其它代理协同信息如网络伪装协同操作，在收到入侵检测的报警触发条件，会执行相应的伪装动作，变更当前代理模式为协同模式，最后将伪装结果反馈给其它代理和服务中心；

(2)学习行为形式化语言描述

安全域代理的学习行为形式化语言描述如式(3)所示：

L＝S，T，A，M，C_l (3)

L是代理的交互行为，S、A、M的表示同代理交互行为形式化语言描述中的定义，C₁是学习行为约束，T是内部属性变化引起的触发；

①策略的形式化表达

策略表达了代理的对于不同触发事件，所进行了一系列动作集合；触发事件包括外部环境变化和其它代理的协助信息，策略的形式化表达如式(4)所示：

S＝T，A，M (4)

从式(4)中看出，策略由触发器、动作和模式组成，每个策略都是由特定的触发引起的，触发会使代理进行一系列的动作，这里触发和动作之间有明确的对应关系，触发和动作会使代理进入特定的模式状态，最终影响策略的执行；

②动作的形式化表示

动作是代理模型中的最基本表达单位，多个动作有序的结合构成了动作序列，动作序列的形式化表达如式(5)所示：

C：a→A，C＝C_R，C_s (5)

式(5)中a表示单个动作，多个单个动作构成了动作集合A，动作执行过程中会收到约束，约束集合包括顺序执行时的约束C_R和突发情况时的约束C_s；

③模式的形式化表示

模式是代理模型中表示代理当前所处状态的抽象，当前的模式由当前时间节点的模式、触发和动作序列确定，会随时间推移过程中触发和动作序列的变化而发生改变，模式的形式化表示如式(6)所示：

T×A×M→M (6)

模式是代理中动作执行一定动作序列所表现出来的代理状态，该状态能够展现代理对环境的适应能力，在外界环境不断变化时，模式会随之做出相应的改变。