專利名稱：計算機網絡防御決策系統的制作方法
技術領域：
本發明屬于計算機網絡安全技術領域，設計并實現了一種計算機網絡防御決策系統，給出了一種高層防御企圖描述語言，結合網絡態勢，將防御企圖自動的轉換為防御方案，為防御方案的自動生成提供了技術手段。
背景技術：
計算機網絡防御是指在計算機網絡及其信息系統內，采取的一系列防護(Protect)、監視(Monitor)、分析(Analyze)、檢測(Detect)和響應(Respond)未經授權活動的行為。隨著網絡攻擊手段的多樣化，在瞬息多變的網絡環境中，對計算機網絡防御提出了更大的挑戰。為了保障大規模的計算機網絡及其應用系統的安全，需要在網絡上自動決策和部署各種防御方案來應對復雜的網絡攻擊。隨著各國信息部隊的建設，加劇了信息空間的競爭與對抗；美國對利益沖突對手從實體摧毀進一步深入到癱瘓和威懾對方的決策過程，這一戰略思維的改變，加劇了人機交互決策過程偏向以人的企圖為主的決策趨勢。現有的計算機網絡防御決策方法主要有以下問題:(I)現有的計算機網絡防御決策是基于態勢的被動決策，沒有考慮防御方的主觀防御企圖，因此防御方案的調整與矯正無法以防御企圖為基準，從而導致防御方案不能有針對性地對防御目標進行保護，降低了防御的效率。(2)不能使得機器能以更貼切的形式接受人的主觀意愿，讓善于形象思維的人類由此可以專心地預謀更高層的防御意圖，從而使人類從低級的機器行為中解脫出來。即缺乏防御企圖的高層描述方法。

發明內容
本發明的技術解決問題:克服現有技術的不足，提出一種考慮人的主觀防御企圖的計算機網絡防御決策方法，并設計一種面向高層防御企圖的描述語言，提出一種基于模型映射的決策方法，自動的結合網絡態勢信息將防御企圖轉換為防御方案，該方法時間效率較高，適合較大規模網絡的防御。本發明的技術解決方案:計算機網絡防御決策系統，其特征在于包括:防御企圖的分解模塊、防御任務的生成模塊、防御方案的生成模塊和CND決策信息庫，其中:(I)防御企圖的分解模塊。首先基于防御企圖的定義，設計并實現了一種高層的計算機網絡防御企圖描述語言CNDIDL，并給出其BNF范式。CNDIDL可以描述機密性企圖、完整性企圖、可用性企圖和不可否認性企圖。描述的內容包括CND目標、CND期望，包括機密性、完整性、可用性及不可否認性期望的主體、客體、動作、上下文，以及防御手段的聲明、定義、分配及繼承關系。然后基于CNDIDL描述語言的企圖文本可通過該語言解釋器對企圖文本進行詞法和語法掃描實現。根據CNDIDL詞法規則和語法規則制定解釋器的詞法和語法掃描方法，當匹配到一條完整的CND目標、CND期望和手段集的組合，即一個完整的企圖時，提取出各個組分，存入相應的內存數據結構中。當所有文本都掃描和解釋完畢后即完成了CNDIDL企圖的分解。(2)防御任務的生成模塊。CND企圖分解后，需要調用態勢數據庫和轉換規則庫，實現目標轉換、期望及手段轉換的過程，將一個三元組標識的CND企圖轉換為一個或多個防御任務。任務是由主體、操作集合、執行時間、執行結果及任務約束構成的五元組。(3)防御方案的生成模塊。CND方案是由CND任務集經過操作主體的組合而生成。主體指參與計算機網絡安全防御的所有軟件和硬件資源，是保護、檢測、響應和恢復主體的
隹A
口 O(4) CND決策信息庫。該信息庫由網絡態勢信息和轉換規則構成。態勢信息包含了當前網絡環境中的所有節點及其連接關系，以及每一節點自身的平臺特征、運行狀況等信息。轉換規則包括防御手段、任務動作、手段關系、任務執行主體類型以及漏洞知識等。所述步驟防御企圖的分解模塊中的防御企圖是防御目標、防御期望和防御手段構成的三元組；防御企圖包括機密性、完整性、可用性和不可否認性企圖；計算機網絡防御目標(CND Target)是計算機網絡上需要防護的對象；CND目標可分為靜態防御目標和動態防御目標；CND靜態防御目標按照TCP/IP協議的不同層次，可分為節點、進程、服務以及存儲的靜態數據，CND動態防御目標是指網絡中動態傳輸的數據包；計算機網絡防御期望描述了防御目標的網絡安全要求；防御期望包括主體防御期望和客體防御期望；防御手段包括防護、檢測、分析，響應和恢復手段；防護(protect)是指采取行動以提防針對敏感設備和信息的間謀或捕獲活動；防護手段包括訪問控制(Access Control)、加解密(Crypt)、認證(Authenticate)、系統平臺加固(System Platform Reinforce)、備份(Backup);檢測(Detect)是通過某些技術和方法從現有網絡系統相關信息中發現問題或威脅的過程；檢測手段包括病毒掃描(Virus Scan)、漏洞掃描(Vulnerability Scan)、入侵檢測(IntrusionDetect);分析(Analyse)手段是通過對收集到的網絡數據進行處理后得出網絡安全狀態或事件的過程，分析手段為日志審計(Log Audit);響應手段是為了應對檢查和分析的結果所采取的動作措施；響應手段包括鎖定賬戶(Lock Account)、入侵誘騙(IntrusionDeceive)、訪問控制、攻擊源跟蹤(Source Trace)、調節(Refine)、病毒查殺(Virus Kill)；恢復手段是對遭受破壞的保護目標所采取的修復行為，包括數據恢復(Data Recover)、系統重建(System Rebuild);數據恢復是按照數據的備份對損壞的數據進行恢復；基于以上的防御企圖相關概念設計了計算機網絡防御企圖描述語言CNDIDL ;然后采用JavaCC詞法語法分析器，對用CNDIDL描述的機密性、完整性、可用性和不可否認性企圖分別進行詞法語法分析，具體過程為:根據CNDIDL詞法規則和語法規則制定解釋器的詞法和語法掃描方法，當匹配到一條完整的CND目標、CND期望和手段集的組合時，分別提取出各個組分，存入相應的內存數據結構中，當所有文本都掃描和解釋完畢后即完成了 CNDIDL企圖的分解。所述防御任務的生成模塊中采用包括了基于態勢信息的CND目標轉換和基于態勢及轉換規則的CND期望、手段轉換兩個過程；態勢信息包含了當前網絡環境中的所有節點，包括主機、服務器、安全設備及其連接關系，以及每一節點自身的平臺特征、運行狀況信息；轉換規則由專家根據網絡防御技術手段及其具體操作來制定；轉換規則包括防御手段、任務動作、手段關系、任務執行主體類型以及漏洞知識庫，所述防御手段包括手段名、手段類型；所述任務動作包括動作名、動作類型和動作參數；漏洞知識庫根據通用漏洞評分系統定義了不同類型漏洞的CVE名稱、相應的操作系統、補丁及可能引起的攻擊報警；基于態勢信息的CND目標轉換過程；CND企圖中使用目標名稱標識一個CND目標，根據方案生成模型，該目標將轉換為任務操作對象；基于態勢及轉換規則的CND期望、防御手段轉換；CND企圖分解后的期望包含了期望主體及其狀態、客體及其狀態以及動作約束、上下文信息，防御手段是擬采用的基本手段的集合。所述防御方案的生成模塊中，根據防御任務生成模塊所生成的防護任務、檢測任務、分析任務、響應任務和恢復任務，將同一任務主體下的各個防御任務進行組合構成一個防御方案。所述CND決策信息庫中，包括網絡態勢信息和轉換規則；態勢信息包含了當前網絡環境中的所有節點信息，包括主機、服務器、安全設備及其連接關系，以及每一節點自身的平臺特征、運行狀況信息；其中，節點信息包含了節點名稱、節點類型、節點IP地址、操作系統、所在域，節點連接信息用以節點標識為行和列的序號構成的鄰接矩陣表示；轉換規則根據網絡防御技術手段及其具體操作來制定；轉換規則包括防御手段、任務動作、手段關系、任務執行主體類型以及漏洞知識；所述防御手段包括手段名、手段類型；所述任務動作包括動作名、動作類型和動作參數。本發明與現有的技術方法相比的有益效果在于:(I)提出了一種計算機網絡防御企圖描述語言。設計并實現了一種計算機網絡防御企圖描述語言CNDIDL，將計算機網絡防御企圖涉及的內容用語言描述出來，給出其BNF范式。CNDIDL描述的內容有:CND目標，CND期望，包括機密性、完整性、可用性及不可否認性期望的主體、客體、動作、上下文，以及防御手段的聲明、定義、分配及繼承關系。可以描述機密性企圖、完整性企圖、可用性企圖和不可否認性企圖。該語言簡潔靈活、語法形式簡單、且形象直觀，具有良好的可擴展性。為防御的自動決策提供了一種高層的描述語言。(2)給出了一種基于CNDIDL語言的防御決策方法。提出了一種基于模型映射的計算機網絡防御決策方法，該方法基于網絡態勢信息和已定義的模型映射規則自動的將防御企圖轉換為防御方案。通過JavaCC對企圖進行詞法語法分析，并進行企圖的分解，任務的生成，以及任務的組合生成最終的防御方案。從而為基于主觀意愿的計算機網絡防御的自動決策提供了一種方法。


圖1為本發明的CND決策系統功能結構圖；圖2為本發明的CND手段劃分示意圖；圖3為本發明的CND目標轉換流程圖；圖4為本發明的CND期望及手段轉換流程圖；圖5為本發明的CND決策原型系統順序圖。
具體實施例方式如圖1所示，本發明計算機網絡防御決策系統，輸入為防御企圖，輸出為防御方案，包括防御企圖的分解模塊、防御任務的生成模塊、防御方案的生成模塊和CND決策信息庫。整個實現過程如下:
1.防御企圖的分解模塊首先給出計算機網絡防御企圖相關的概念及其CNDIDL的設計，然后給出基于CNDIDL的企圖分解方法。定義I計算機網絡防御企圖(Computer Network Defense Intention)是對于目標網絡中的具體防御目標所能達到的安全期望，以及擬采取的防御手段集的三元組。INTENTION::= \( ..β,Φ) \ I e TARGET,eg EXPECTATION:Φ cz MEANS}定義2計算機網絡防御目標(CND Target)是計算機網絡上需要防護的對象。CND目標可分為靜態防御目標和動態防御目標。CND靜態防御目標按照TCP/IP協議的不同層次，可分為節點、進程、服務以及存儲的靜態數據，即:TARGETstatic= {t其中，節點目標是網絡層的防御目標，可用IP地址和掩碼來標識；進程目標是傳輸層防御目標，用相應的節點目標和端口號標識；服務目標是應用層防御目標，用相應的進程目標及應用層協議標識；數據目標是指存儲在主機中的靜態文件、數據記錄等。CND動態防御目標是指網絡中動態傳輸的數據包，即TARGETdynamic= ItpaekJ。定義3計算機網絡防御期望(CND Expectation)是CND目標需要滿足的安全要求。按照信息安全保護的目標，可以劃分為機密性期望、完整性期望、可用性期望及不可否認性期望。EXPECTATION:: = C0NFIDENTIALITY_EXP U INTEGRITY_EXP U AVAILABILITY,EXP U N0NREPUDIAT10Ν_ΕΧΡ定義4CND期望主體(Subject)為對CND目標進行一定操作的實體，包括應用層的遠程用戶、傳輸層的遠程進程和網絡層的遠程節點，即:SUBJECT:: = Userremote U Processremote U Noderemote對于用戶主體，其達到可信任狀態需要經過身份標識、認證等過程，因此主體的狀態包括未知、未認證、已認證。用戶主體狀態集STATEusct表示用戶主體的所有狀態的集合。STATEuser..^unknown ^unauthenticatedJ ^authenticated-^進程和節點主體可分為未知、合法和非法狀態，一個已認證的可信主體所對應的進程和節點可標識為合法狀態。 STATEprocess..^unknown ^illegal ^legalSTATEno(je..^unknown ^illegal ^legal-^定義5CND期望客體(Object)即CND目標，包括數據、消息、服務、進程、節點、節點連接及進程連接目標。客體按照不同的安全屬性可以劃分出不同狀態，如機密性角度可以分為加密狀態和非加密狀態，目標t是加密狀態可用謂詞的形式定義為encrypted(t)，非加密狀態為I encrypted (t)。定義6計算機網絡防御手段(CNDmeans)是網絡防御活動的集合。將手段劃分為防護(Protect)、檢測(Detect)、分析(Analyze)、響應(Response)、恢復(Restore)等五類。手段劃分如圖2所示。下面給出CNDIDL語言的BNF范式。CNDIDL語法包括組織機構定義和企圖定義兩部分。( I)組織機構及類型聲明
組織機構定義給出了包含需要描述的目標的網絡、子網或域的聲明，以及目標類型的聲明。組織機構定義語句語法的BNF表達式為:<org_declaration>::=<org_dec>|<target_dec>組織機構聲明包含了組織機構類型、組織機構名稱、組織機構內元素列表。<org_dec>::=define org<org_type><org_name>' {/ <element_list> ’目標類型聲明包含了目標類型、目標名、該目標包含元素列表。
權利要求
1.算機網絡防御決策系統，其特征在于包括:防御企圖的分解模塊、防御任務的生成模塊、防御方案的生成模塊和CND決策信息庫，其中: 防御企圖的分解模塊:首先基于CND企圖概念模型，設計了一種計算機網絡防御企圖描述語言 CNDIDL(Computer Network Defense Intention Description Language),給出該語言的BNF范式描述；然后基于CNDIDL語言描述的企圖文本通過語言解釋器對企圖文本進行詞法和語法掃描實現；根據CNDIDL詞法規則和語法規則制定解釋器的詞法和語法掃描方法，當匹配到一條完整的CND目標、CND期望和手段集的組合，即一個完整的企圖時，提取出各個組分，存入相應的內存數據結構中，當所有文本都掃描和解釋完畢后即完成了CNDIDL企圖的分解； 防御任務的生成模塊:一個CND任務包含了任務執行主體、任務操作、任務執行時間及任務執行的約束條件，其中任務操作又包含了操作對象、任務動作及執行參數，通過CND企圖分解后，調用CND決策 信息庫，包括態勢信息和轉換規則，實現目標轉換、期望及手段轉換的過程，將一個三元組標識的CND企圖轉換為一個或多個防御任務； 防御方案的生成模塊=CND方案是CND任務的集合，CND方案生成過程是基于CND方案生成模型轉換為任務中的各元素，以及各個元素之間的關系，將任務組合成防御方案的過程; CND決策信息庫:包括網絡態勢信息和轉換規則；所述網絡態勢信息包含了當前網絡環境中的所有節點及其連接關系，以及每一節點自身的平臺特征、運行狀況信息；所述轉換規則包括防御手段、任務動作、手段關系、任務執行主體類型以及漏洞知識庫。
2.據權利要求1所述的計算機網絡防御決策系統，其特征在于包括:所述步驟防御企圖的分解模塊中的防御企圖是防御目標、防御期望和防御手段構成的三元組；防御企圖包括機密性、完整性、可用性和不可否認性企圖；計算機網絡防御目標(CND Target)是計算機網絡上需要防護的對象；CND目標可分為靜態防御目標和動態防御目標；CND靜態防御目標按照TCP/IP協議的不同層次，可分為節點、進程、服務以及存儲的靜態數據，CND動態防御目標是指網絡中動態傳輸的數據包；計算機網絡防御期望描述了防御目標的網絡安全要求；防御期望包括主體防御期望和客體防御期望；防御手段包括防護、檢測、分析，響應和恢復手段；防護(protect)是指采取行動以提防針對敏感設備和信息的間諜或捕獲活動；防護手段包括訪問控制(Access Control)、加解密(Crypt)、認證(Authenticate)、系統平臺加固(System Platform Reinforce)、備份(Backup);檢測(Detect)是通過某些技術和方法從現有網絡系統相關信息中發現問題或威脅的過程；檢測手段包括病毒掃描(VirusScan)、漏洞掃描(Vulnerability Scan)、入侵檢測(Intrusion Detect);分析(Analyse)手段是通過對收集到的網絡數據進行處理后得出網絡安全狀態或事件的過程，分析手段為日志審計(Log Audit);響應手段是為了應對檢查和分析的結果所采取的動作措施；響應手段包括鎖定賬戶(Lock Account)、入侵誘騙(Intrusion Deceive)、訪問控制、攻擊源跟蹤(Source Trace)、調節(Refine)、病毒查殺(Virus Kill);恢復手段是對遭受破壞的保護目標所采取的修復行為，包括數據恢復(Data Recover)、系統重建(System Rebuild);數據恢復是按照數據的備份對損壞的數據進行恢復；基于以上的防御企圖相關概念設計了計算機網絡防御企圖描述語言CNDIDL ;然后采用JavaCC詞法語法分析器，對用CNDIDL描述的機密性、完整性、可用性和不可否認性企圖分別進行詞法語法分析，具體過程為:根據CNDIDL詞法規則和語法規則制定解釋器的詞法和語法掃描方法，當匹配到一條完整的CND目標、CND期望和手段集的組合時，分別提取出各個組分，存入相應的內存數據結構中，當所有文本都掃描和解釋完畢后即完成了 CNDIDL企圖的分解。
3.據權利 要求1所述的計算機網絡防御決策系統，其特征在于包括:所述防御任務的生成模塊中采用包括了基于態勢信息的CND目標轉換和基于態勢及轉換規則的CND期望、手段轉換兩個過程；態勢信息包含了當前網絡環境中的所有節點，包括主機、服務器、安全設備及其連接關系，以及每一節點自身的平臺特征、運行狀況信息；轉換規則由專家根據網絡防御技術手段及其具體操作來制定；轉換規則包括防御手段、任務動作、手段關系、任務執行主體類型以及漏洞知識庫，所述防御手段包括手段名、手段類型；所述任務動作包括動作名、動作類型和動作參數；漏洞知識庫根據通用漏洞評分系統定義了不同類型漏洞的CVE名稱、相應的操作系統、補丁及可能引起的攻擊報警；基于態勢信息的CND目標轉換過程；CND企圖中使用目標名稱標識一個CND目標，根據方案生成模型，該目標將轉換為任務操作對象；基于態勢及轉換規則的CND期望、防御手段轉換；CND企圖分解后的期望包含了期望主體及其狀態、客體及其狀態以及動作約束、上下文信息，防御手段是擬采用的基本手段的集合。
4.據權利要求1所述的計算機網絡防御決策系統，其特征在于包括:所述防御方案的生成模塊中，根據防御任務生成模塊所生成的防護任務、檢測任務、分析任務、響應任務和恢復任務，將同一任務主體下的各個防御任務進行組合構成一個防御方案。
5.據權利要求1所述的計算機網絡防御決策系統，其特征在于包括:所述CND決策信息庫中，包括網絡態勢信息和轉換規則；態勢信息包含了當前網絡環境中的所有節點信息，包括主機、服務器、安全設備及其連接關系，以及每一節點自身的平臺特征、運行狀況信息；其中，節點信息包含了節點名稱、節點類型、節點IP地址、操作系統、所在域，節點連接信息用以節點標識為行和列的序號構成的鄰接矩陣表示；轉換規則是根據網絡防御技術手段及其具體操作來制定的；轉換規則包括防御手段、任務動作、手段關系、任務執行主體類型以及漏洞知識；所述防御手段包括手段名、手段類型；所述任務動作包括動作名、動作類型和動作參數。
全文摘要
計算機網絡防御(CND)決策系統，包括防御企圖的分解模塊、防御任務的生成模塊、防御方案的生成模塊和CND決策信息庫。是根據防御企圖和態勢擬制防御方案的過程，首先解決了計算機網絡防御缺乏高層的防御企圖描述問題，并在此基礎上解決了基于防御企圖的決策方法問題，實現了一種形式化的計算機網絡防御企圖描述語言CNDIDL，提出了一種基于模型映射的計算機網絡防御決策方法，基于態勢信息和已定義的模型映射規則自動的將防御企圖轉換為防御方案，從而為大規模的網絡安全防御提供了一種自動化、高效的防御決策技術。
文檔編號H04L29/06GK103095716SQ20131003312
公開日2013年5月8日 申請日期2013年1月28日 優先權日2013年1月28日
發明者夏春和, 魏昭, 羅楊, 魏晴, 薄陽 申請人:北京航空航天大學