【技术实现步骤摘要】
本专利技术涉及云计算和网络安全领域,尤其涉及一种自适应地网络安全防御策略配置系统。
技术介绍
1、伴随着我国经济高速发展,计算机网络技术提供的高效信息交流方式已经成为经济发展中不可或缺的部分,但是作为一种信息交换的手段,计算机网络技术由于开放性、互联性等特性,极易受到一些计算机病毒和木马的渗透,造成计算机用户隐私的泄露,威胁到计算机技术的安全使用,引发计算机用户对网络安全的忧虑。
2、现有的网络安全防御策略大多使用单一防御策略,例如时空多样性防御策略可在不同时间段对外呈现不同的安全属性,使系统具有动态性。空间多样性防御策略在同一时间存在冗余异构的执行体或执行过程,避免单一执行体或执行过程被攻击而导致服务失效。云环境中系统面临的威胁态势时刻在变化着,现有的系统防御策略适应性不高,在威胁水平降低的情况下使用过多的资源进行防御,将会造成系统服务质量的降低。
技术实现思路
1、针对现有技术之不足,本专利技术提供了一种自适应地网络安全防御策略配置系统,所述系统包括多个网络节点和网络安全管理平台,网络安全管理平台包括行为模拟模块、特征提取模块、攻击演化模块和策略配置模块;
2、行为模拟模块基于网络节点的历史漏洞信息提取历史网络入侵行为的动作节点集合和状态节点集合,基于动作节点集合与状态节点集合中每个相匹配的动作节点和状态节点构成模拟网络入侵行为的每个单步攻击动作节点,其中,所述动作节点集合中的每个动作节点均对应一个模拟网络入侵行为采取的攻击动作,所述攻击动作用于表征一次
3、特征提取模块为由所有单步攻击动作节点构成的攻击行为关系网络添加相应的网络参数并对所述攻击行为关系网络进行更新,根据网络节点实时生成的多个粗粒度报警信息提取当前网络入侵行为的第一攻击特征,其中,所述粗粒度报警信息用于表征网络节点的当前网络入侵行为的攻击信息,所述网络参数包括边权重和节点属性,所述节点属性用于表征对应单步攻击动作节点的局部条件概率分布特征;
4、攻击演化模块将网络节点的报警序列中按时间顺序排列的各个粗粒度报警信息依次映射至更新后的攻击行为关系网络中的相应单步攻击动作节点上,将映射所得若干个单步攻击动作节点作为所述报警序列的若干个攻击观测节点,基于所述报警序列对应的所有攻击观测节点分析得到当前网络入侵行为的攻击演化序列,基于所述攻击演化序列分析得到当前网络入侵行为的第二攻击特征;
5、策略配置模块基于网络入侵行为的第一攻击特征和第二攻击特征确定所述网络入侵行为的威胁度,在确定所述网络入侵行为的威胁度大于预设威胁度阈值时,对系统的调度任务采用空间异构多样性最大化的执行配置策略以将当前网络节点的执行过程转向安全性提高的执行方向;在确定网络入侵行为的威胁度小于或等于预设威胁度阈值时,对系统的调度任务采用时间多样性最大化的执行配置策略以将当前网络节点的执行过程转向安全性降低的执行方向。
6、根据一个优选实施方式,所述空间异构多样性最大化的执行配置策略是指针对一个调度任务同时采取多个等价的执行过程,并对不同执行过程的执行结果进行表决以获得最终输出;所述时间多样性最大化的执行配置策略是指针对一个调度任务在不同时间片段内轮换不同的执行过程或系统属性,即在不同时间片段内使用不同的执行过程进行处理或对外呈现不同的系统属性。
7、根据一个优选实施方式,所述状态节点集合中的每个状态节点用于表征模拟网络入侵行为所处的状态,该状态用于表征对应模拟网络入侵行为是否获取到相应权限或占有相应资源。
8、根据一个优选实施方式,所述基于所述报警序列对应的所有攻击观测节点分析得到当前网络入侵行为的攻击演化序列包括:
9、基于各个攻击观测节点的边权重和节点属性确定每个攻击观测节点的先验攻击概率,获取每个粗粒度报警信息对应的攻击动作的历史检验率和历史误报率,根据每个攻击观测节点的先验攻击概率、历史检验率和历史误报率确定每个粗粒度报警信息的报警置信度;
10、将更新后的攻击行为关系网络中不具有后置单步攻击动作节点且路径序列中存在一个或多个攻击观测节点的每个终止单步攻击动作节点作为演化分析的目标单步攻击动作节点,基于每个粗粒度报警信息的报警置信度确定每个目标单步攻击动作节点的入侵概率;
11、将入侵概率最大的目标单步攻击动作节点作为攻击演化节点,并将所述攻击演化节点对应的路径序列作为当前网络入侵行为的攻击演化序列。
12、根据一个优选实施方式,所述在确定网络入侵行为的威胁度大于预设威胁度阈值时还包括:
13、判断网络节点当前调度周期内执行过程的空间异构多样性是否达到最大,若是,缩小每个执行过程的调度周期直至所述网络节点的服务性能恢复正常;若否,采用空间异构多样性最大化的执行配置策略以增大当前调度周期内执行过程的空间异构多样性,将当前调度周期内的执行过程转向安全性提高的执行方向直至所述网络节点的服务性能恢复正常。
14、根据一个优选实施方式,所述在确定网络入侵行为的威胁度小于或等于预设威胁度阈值时还包括:
15、判断网络节点的上一调度周期内执行过程的空间异构多样性是否为最大或网络节点的上一邻近执行配置策略是否为空间异构多样性最大化的执行配置策略,若是,采用时间多样性最大化的执行配置策略以增大当前调度周期内执行过程的时间多样性,将当前调度周期内的执行过程转向安全性降低的执行方向直至所述网络节点的服务性能恢复正常;若否,缩小执行过程的调度周期直至所述网络节点的服务性能恢复正常。
16、根据一个优选实施方式,所述为由所有单步攻击动作节点构成的攻击行为关系网络添加相应的网络参数并对所述攻击行为关系网络进行更新包括:
17、根据网络节点的历史漏洞信息确定网络节点上对应系统漏洞的访问复杂度和认证复杂度,基于所述系统漏洞的访问复杂度和认证复杂度确定对应单步攻击动作节点的攻击成功概率,并从网络节点的日志数据中获取所述系统漏洞在临近时间段内的历史访问频率,基于所述系统漏洞的访问复杂度、认证复杂度和历史访问频率确定对应单步攻击动作节点的动作发生概率;
18、将对应单步攻击动作节点的动作发生概率和攻击成功概率进行加权融合得到相应的节点转移概率,并将所述节点转移概率作为对应单步攻击动作节点与其后置单步攻击动作节点之间的有向连接边的边权重;
19、获取对应单步攻击动作节点对应的所有前置单步攻击动作节点,将每个前置单步攻击动作节点对应的动作发生概率进行相乘得到所述单步攻击动作节点的第一局部条件概率,将每个前置单步攻击动作节点对应的攻击成功概率进行相乘得到所述单步攻击动作节点的第二局部条件概率,对第一局部条件概率和第二局部条件概率进行特征提取以得到对应单步攻击动作节点的局部条件概率分布特征;
20、识别并解析网络节点的新增漏洞信息,添加所述新增漏洞信息对应的单步攻击动作节点至攻击行为关系网络中,基于所述单步攻击动作节点触发时的前置状态条件从攻击行为关系网络中搜索得到所述本文档来自技高网...
【技术保护点】
1.一种自适应地网络安全防御策略配置系统,其特征在于,所述系统包括多个网络节点和网络安全管理平台,网络安全管理平台包括行为模拟模块、特征提取模块、攻击演化模块和策略配置模块;
2.根据权利要求1所述的系统,其特征在于,所述空间异构多样性最大化的执行配置策略是指针对一个调度任务同时采取多个等价的执行过程,并对不同执行过程的执行结果进行表决以获得最终输出;所述时间多样性最大化的执行配置策略是指针对一个调度任务在不同时间片段内轮换不同的执行过程或系统属性,即在不同时间片段内使用不同的执行过程进行处理或对外呈现不同的系统属性。
3.根据权利要求2所述的系统,其特征在于,所述状态节点集合中的每个状态节点用于表征模拟网络入侵行为所处的状态,该状态用于表征对应模拟网络入侵行为是否获取到相应权限或占有相应资源。
4.根据权利要求3所述的系统,其特征在于,所述基于所述报警序列对应的所有攻击观测节点分析得到当前网络入侵行为的攻击演化序列包括:
5.根据权利要求4所述的系统,其特征在于,所述在确定网络入侵行为的威胁度大于预设威胁度阈值时还包括:
<...【技术特征摘要】
1.一种自适应地网络安全防御策略配置系统,其特征在于,所述系统包括多个网络节点和网络安全管理平台,网络安全管理平台包括行为模拟模块、特征提取模块、攻击演化模块和策略配置模块;
2.根据权利要求1所述的系统,其特征在于,所述空间异构多样性最大化的执行配置策略是指针对一个调度任务同时采取多个等价的执行过程,并对不同执行过程的执行结果进行表决以获得最终输出;所述时间多样性最大化的执行配置策略是指针对一个调度任务在不同时间片段内轮换不同的执行过程或系统属性,即在不同时间片段内使用不同的执行过程进行处理或对外呈现不同的系统属性。
3.根据权利要求2所述的系统,其特征在于,所述状态节点集合中的每个状态节点用于表征模拟网络入侵行为所处的状态,该状态用于表征对应模拟网络入侵行为是否获取到相应权限或占有相应资源。
4.根据权利要求3所述的系统,其特征在于,所述基于所述报警序列对应的所有攻击观测节点分析得到当前网络入侵行为的攻击演化序列包括:
5.根据权利要求4所述的系统,其特征在于,...
【专利技术属性】
技术研发人员:任红萍,邓英杰,黄占鳌,李孝杰,
申请(专利权)人:成都信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。