[发明专利]网络安全的自主认知方法

摘要

本发明涉及一种网络安全的自主认知方法。信息系统现实的安全状况是无论如何防御，入侵总会发生，无论如何检测，系统总会遭到不同程度的破坏，关键任务的失效在所难免。一种网络安全的自主认知方法，其组成包括：第一步，将正常访问时长与访问间隔时长、请求速率和下载速率、访问行为、超链接深度、源ip地址分布以及用户到达率定义为敏感可识别性参数，依据累计分布函数确定动态可变的阈值约束，第二步，基于敏感可识别性参数的参考基点，得到综合检测值的计算公式，第三步，依靠控制单元实现自主认知管理。本发明应用于网络安全自主认知。

主权项

 一种网络安全的自主认知方法，其特征是：第一步，将正常访问时长与访问间隔时长、请求速率和下载速率、访问行为、超链接深度、源ip地址分布以及用户到达率定义为敏感可识别性参数，依据累计分布函数确定动态可变的阈值约束，其中，所述的访问行为包括页面分类、页面访问率、页面超链接点击数和页面超链接；第二步，基于所述的敏感可识别性参数的参考基点，令网络系统的服务连接为c，那么这个连接c就会有i个可识别性参数，可识别性参数代表请求速率，可以代表下载速率，就是连接c对应参数的检测值，对一个连接的所有识别参数的数值求和：，n表示参数的数量；得到可识别性参数的综合检测值的计算公式：令，表示可识别性参数的累积分布函数（CDF），利用控制单元确定的一个数对作为参考基点，，所述的控制单元通过回馈控制进程选取基点，假设连接c的参数用x来表示,计算检测分值的公式为：（1）其中k表示一个几何定值，例如1、2..，div(m/n)表示m和n取商，表示一个恒定的比例因子；对于基点的偏离量越高，公式中所得到的值就越低；服务器可以根据攻击的频率适当的选择定值k和的值；对于访问间隔时长这个可识别性参数的综合检测值的计算与其他可识别性参数的计算方法相反，访问间隔时长的综合检测值的计算公式如下：（2）但是源ip地址分布这个可识别性参数是一个定值，如果服务器猜测这个源ip地址分布是一个攻击者的ip地址的话，那么服务器就会给出一个定值‑1，否则定为0；第三步，依靠控制单元实现自主认知系统的自主认知管理：所述的控制单元首先为网络系统的各种服务资源量定义threshold1,threshold2和threshold3三种阈值划分，其中，Threshold1，threshold2和threshold3分别表示系统服务资源总量的90%,、80% 和60%，当系统的服务资源超过threshold1时，我们设定系统的资源状况为红色，当系统的服务资源处于threshold2和threshold3之间的时候，我们将系统资源状态设定为黄色，当系统处于threshold3以下时，我们将系统的资源状态设定为绿色的正常状态；所述的控制单元定期检查系统的各种资源状态，包括：ip栈、cpu状态、内存等，当系统的服务资源超过threshold1时，系统就会进入一种警戒模式，并且所述的控制单元的进程会被触发，与此同时系统不再允许新的用户连接到此系统；接下来所述的控制单元给已经建立的服务连接计算出一个综合检测值，如果得到的数值低于阈值的话，断开连接；循环此操作直到系统资源恢复到threshold2以下；当系统资源状态非红色状态，系统离开警戒模式并且可以接受新的用户请求；当系统资源状态为黄色状态，若新用户请求，则所述的控制单元会检查此用户的源ip地址分布是否在黑名单中，如果在黑名单中，那么系统之前就会保存有一个访问间隔时长参数的检测值，如果该源ip地址分布没有在黑名单中，那么系统就会算出它的访问间隔时长的检测值，然后将新连接的综合检测值和已经建立起来的连接的综合检测值作比较，如果新连接的综合检测值大于已经建立起来的连接的综合检测值，那么就将以前的连接断开，接受新的连接请求。