[发明专利]一种结合免疫危险理论的蜜网安全态势感知方法

权利要求书

1.一种结合免疫危险理论的蜜网安全态势感知方法，其特征是：包括下述步骤：

1)根据相应的拓扑结构搭建蜜网集群，在节点中配置虚假数据和服务，并在节点操作系统及其应用软件中预留一定数目用于诱导攻击者前来的未保护漏洞；

2)对蜜网中既定时间段内的网络流量进行获取和存储，并对网络流量和蜜网中的特定行为特征进行统计后，映射为不同类型的信号，作为危险理论的输入信号；其具体为：

(1)、流量数据把HTTP/HTTPS协议流量的占比偏差、DNS协议流量的占比偏差、POP3及IMAP电邮协议流量的占比偏差、FTP协议流量的占比偏差依次映射为Safe类型信号S5、S6、S7、S8，并将网络流量中数据包大小的变化比率和数据包到达间隔时间的变化比率映射为Danger类型信号S1和S2；

(2)、蜜网的特定行为特征为蜜网中既定时间段内，数据资源遭受篡改、未授权删除威胁的次数及蜜网系统相对于真实生产网络的无故障比率，并将其依次映射为PAMPs类型信号S3及Inflam类型信号S9；

3)统计蜜网系统中在既定时间段内，对主机/服务器进程及其PID、日志、攻击者击键信息进行统计，映射为抗原信息；

4)利用免疫危险理论中的DCA算法结合抗原信息对输入信号实施基础分析，获得输出信号Mature(MA)、Semi-Mature(SM)和CSM；

5)在得到输出信号之后，蜜网的中心管理节点利用Mature、Semi-Mature计算蜜网的全局威胁度值V，并籍此表征蜜网的安全态势，或返回步骤2)；其中，由模型出发，定义网络系统全局威胁度υ_G，

如公式(12)所示，其中，和分别表示针对模型中所有的蜜网系统，其Mature与Semi-mature输出信号数值之和，全局威胁度则体现出该时刻整个网络系统的受威胁程度。

2.根据权利要求1所述的结合免疫危险理论的蜜网安全态势感知方法，其特征是：所述抗原信息不同于危险信号，它负责提供威胁本身以及相关来源的信息，安全态势分析中能够借助抗原来挖掘线索和联系，查明、追溯潜在的攻击者。

3.根据权利要求1所述的结合免疫危险理论的蜜网安全态势感知方法，其特征是：在步骤4)中，使用以下权重矩阵进行基础分析，从而得到输出信号。

4.根据权利要求1所述的结合免疫危险理论的蜜网安全态势感知方法，其特征是：步骤5)中蜜网全局威胁度值V的计算或返回步骤2)的具体操作，是在负责控制蜜网工作周期的CSM值与既定的迁移阈值进行对比的基础上进行具体操作，其具体操作与CSM值超出迁移阈值和CSM值不超出迁移阈值相对应。

5.根据权利要求1所述的结合免疫危险理论的蜜网安全态势感知方法，其特征是：日志为防火墙日志、IDS/IPS日志以及反病毒日志。