一种计算机网络防御决策控制系统的制作方法
【技术领域】
[0001]本发明属于计算机网络安全技术领域,尤其涉及一种计算机网络防御决策控制系统。
【背景技术】
[0002]计算机网络防御是指在计算机网络及其信息系统内,采取的一系列防护(Protect)、监视(Monitor)、分析(Analyze)、检测(Detect)和响应(Respond)未经授权活动的行为。随着网络攻击手段的多样化,在瞬息多变的网络环境中,对计算机网络防御提出了更大的挑战。为了保障大规模的计算机网络及其应用系统的安全,需要在网络上自动决策和部署各种防御方案来应对复杂的网络攻击。随着各国信息部队的建设,加剧了信息空间的竞争与对抗;美国对利益冲突对手从实体摧毁进一步深入到瘫痪和威慑对方的决策过程,这一战略思维的改变,加剧了人机交互决策过程偏向以人的企图为主的决策趋势。现有的计算机网络防御决策方法主要有以下问题:
[0003](I)现有的计算机网络防御决策是基于态势的被动决策,没有考虑防御方的主观防御企图,因此防御方案的调整与矫正无法以防御企图为基准,从而导致防御方案不能有针对性地对防御目标进行保护,降低了防御的效率。
[0004](2)不能使得机器能以更贴切的形式接受人的主观意愿,让善于形象思维的人类由此可以专心地预谋更高层的防御意图,从而使人类从低级的机器行为中解脱出来。即缺乏防御企图的高层描述方法。
【发明内容】
[0005]本发明实施例的目的在于提供一种计算机网络防御决策控制系统,旨在解决目前计算机网络防御决策控制系统存在的冋题。
[0006]本发明实施例是这样实现的,一种计算机网络防御决策控制系统,包括:防御企图的分解模块、防御任务的生成模块、防御方案的生成模块、网络防御决策信息库、输入输出模块、数据采集模块和决策控制模块。其中:
[0007]防御企图的分解模块:首先基于网络防御企图概念模型,设计了一种计算机网络防御企图描述语言网络防御 IDL(Computer Network Defense Intent1n Descript1nLanguage),给出该语言的BNF范式描述;然后基于网络防御IDL语言描述的企图文本通过语言解释器对企图文本进行词法和语法扫描实现;根据网络防御IDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的网络防御目标、网络防御期望和手段集的组合,即一个完整的企图时,提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了网络防御IDL企图的分解;
[0008]防御任务的生成模块:一个网络防御任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件,其中任务操作又包含了操作对象、任务动作及执行参数,通过网络防御企图分解后,调用网络防御决策信息库,包括态势信息和转换规则,实现目标转换、期望及手段转换的过程,将一个三元组标识的网络防御企图转换为一个或多个防御任务;
[0009]防御方案的生成模块:网络防御方案是网络防御任务的集合,网络防御方案生成过程是基于网络防御方案生成模型转换为任务中的各元素,以及各个元素之间的关系,将任务组合成防御方案的过程;
[0010]网络防御决策信息库:包括网络态势信息和转换规则;所述网络态势信息包含了当前网络环境中的所有节点及其连接关系,以及每一节点自身的平台特征、运行状况信息;所述转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库。
[0011]输入输出模块:将防御方案的生成模块生成的所有网络防御方案和网络防御决策信息库中的信息数据输入到决策控制模块,由决策控制模块进行分析处理发出决策控制指令再输出到网络防御决策信息库。
[0012]数据采集模块:实时采集网络防御的决策指令。
[0013]决策控制模块:接收防御方案的生成模块生成的所有网络防御方案,进行决策控制。
[0014]进一步,所述步骤防御企图的分解模块中的防御企图是防御目标、防御期望和防御手段构成的三元组;防御企图包括机密性、完整性、可用性和不可否认性企图;计算机网络防御目标(网络防御Target)是计算机网络上需要防护的对象;网络防御目标可分为静态防御目标和动态防御目标;网络防御静态防御目标按照TCP/IP协议的不同层次,可分为节点、进程、服务以及存储的静态数据,网络防御动态防御目标是指网络中动态传输的数据包;计算机网络防御期望描述了防御目标的网络安全要求;防御期望包括主体防御期望和客体防御期望;防御手段包括防护、检测、分析,响应和恢复手段;防护(protect)是指采取行动以提防针对敏感设备和信息的间谍或捕获活动;防护手段包括访问控制(Access Control)、加解密(Crypt)、认证(Authenticate)、系统平台加固(SystemPlatform Reinforce)、备份(Backup);检测(Detect)是通过某些技术和方法从现有网络系统相关信息中发现问题或威胁的过程;检测手段包括病毒扫描(VirusScan)、漏洞扫描(Vulnerability Scan)、入侵检测(Intrus1n Detect);分析(Analyse)手段是通过对收集到的网络数据进行处理后得出网络安全状态或事件的过程,分析手段为日志审计(Log Audit);响应手段是为了应对检查和分析的结果所采取的动作措施;响应手段包括锁定账户(Lock Account)、入侵诱骗(Intrus1n Deceive)、访问控制、攻击源跟踪(SourceTrace)、调节(Refine)、病毒查杀(Virus Kill);恢复手段是对遭受破坏的保护目标所采取的修复行为,包括数据恢复(Data Recover)、系统重建(System Rebuild);数据恢复是按照数据的备份对损坏的数据进行恢复;基于以上的防御企图相关概念设计了计算机网络防御企图描述语言网络防御IDL ;然后采用JavaCC词法语法分析器,对用网络防御IDL描述的机密性、完整性、可用性和不可否认性企图分别进行词法语法分析,具体过程为:根据网络防御IDL词法规则和语法规则制定解释器的词法和语法扫描方法,当匹配到一条完整的网络防御目标、网络防御期望和手段集的组合时,分别提取出各个组分,存入相应的内存数据结构中,当所有文本都扫描和解释完毕后即完成了网络防御IDL企图的分解。
[0015]进一步,所述防御任务的生成模块中采用包括了基于态势信息的网络防御目标转换和基于态势及转换规则的网络防御期望、手段转换两个过程;态势信息包含了当前网络环境中的所有节点,包括主机、服务器、安全设备及其连接关系,以及每一节点自身的平台特征、运行状况信息;转换规则由专家根据网络防御技术手段及其具体操作来制定;转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库,所述防御手段包括手段名、手段类型;所述任务动作包括动作名、动作类型和动作参数;漏洞知识库根据通用漏洞评分系统定义了不同类型漏洞的CVE名称、相应的操作系统、补丁及可能引起的攻击报警;基于态势信息的网络防御目标转换过程;网络防御企图中使用目标名称标识一个网络防御目标,根据方案生成模型,该目标将转换为任务操作对象;基于态势及转换规则的网络防御期望、防御手段转换;网络防御企图分解后的期望包含了期望主体及其状态、客体及其状态以及动作约束、上下文信息,防御手段是拟采用的基本手段的集合。
[0016]进一步,所述