[发明专利]计算机网络防御决策系统

说明书

技术领域

本发明属于计算机网络安全技术领域，设计并实现了一种计算机网络防御决策系统，给出了一种高层防御企图描述语言，结合网络态势，将防御企图自动的转换为防御方案，为防御方案的自动生成提供了技术手段。

背景技术

计算机网络防御是指在计算机网络及其信息系统内，采取的一系列防护(Protect)、监视(Monitor)、分析(Analyze)、检测(Detect)和响应(Respond)未经授权活动的行为。随着网络攻击手段的多样化，在瞬息多变的网络环境中，对计算机网络防御提出了更大的挑战。为了保障大规模的计算机网络及其应用系统的安全，需要在网络上自动决策和部署各种防御方案来应对复杂的网络攻击。随着各国信息部队的建设，加剧了信息空间的竞争与对抗；美国对利益冲突对手从实体摧毁进一步深入到瘫痪和威慑对方的决策过程，这一战略思维的改变，加剧了人机交互决策过程偏向以人的企图为主的决策趋势。现有的计算机网络防御决策方法主要有以下问题：

（1）现有的计算机网络防御决策是基于态势的被动决策，没有考虑防御方的主观防御企图，因此防御方案的调整与矫正无法以防御企图为基准，从而导致防御方案不能有针对性地对防御目标进行保护，降低了防御的效率。

（2）不能使得机器能以更贴切的形式接受人的主观意愿，让善于形象思维的人类由此可以专心地预谋更高层的防御意图，从而使人类从低级的机器行为中解脱出来。即缺乏防御企图的高层描述方法。

发明内容

本发明的技术解决问题：克服现有技术的不足，提出一种考虑人的主观防御企图的计算机网络防御决策方法，并设计一种面向高层防御企图的描述语言，提出一种基于模型映射的决策方法，自动的结合网络态势信息将防御企图转换为防御方案，该方法时间效率较高，适合较大规模网络的防御。

本发明的技术解决方案：计算机网络防御决策系统，其特征在于包括：防御企图的分解模块、防御任务的生成模块、防御方案的生成模块和CND决策信息库，其中：

（1）防御企图的分解模块。首先基于防御企图的定义，设计并实现了一种高层的计算机网络防御企图描述语言CNDIDL，并给出其BNF范式。CNDIDL可以描述机密性企图、完整性企图、可用性企图和不可否认性企图。描述的内容包括CND目标、CND期望，包括机密性、完整性、可用性及不可否认性期望的主体、客体、动作、上下文，以及防御手段的声明、定义、分配及继承关系。然后基于CNDIDL描述语言的企图文本可通过该语言解释器对企图文本进行词法和语法扫描实现。根据CNDIDL词法规则和语法规则制定解释器的词法和语法扫描方法，当匹配到一条完整的CND目标、CND期望和手段集的组合，即一个完整的企图时，提取出各个组分，存入相应的内存数据结构中。当所有文本都扫描和解释完毕后即完成了CNDIDL企图的分解。

（2）防御任务的生成模块。CND企图分解后，需要调用态势数据库和转换规则库，实现目标转换、期望及手段转换的过程，将一个三元组标识的CND企图转换为一个或多个防御任务。任务是由主体、操作集合、执行时间、执行结果及任务约束构成的五元组。

（3）防御方案的生成模块。CND方案是由CND任务集经过操作主体的组合而生成。主体指参与计算机网络安全防御的所有软件和硬件资源，是保护、检测、响应和恢复主体的集合。

（4）CND决策信息库。该信息库由网络态势信息和转换规则构成。态势信息包含了当前网络环境中的所有节点及其连接关系，以及每一节点自身的平台特征、运行状况等信息。转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识等。