[发明专利]入侵响应策略生成方法及装置

说明书

本发明实施例提供一种入侵响应策略生成方法及装置，该方法包括：根据接收的报警信息及网络拓扑结构，确定用于响应攻击的候选措施集合及部署点集合；将措施、部署点以及措施部署的时序作为数组的三个维度，措施执行的时长作为数组中的元素，利用三维数组对候选策略进行编码并生成多个候选策略；根据预设的适应度函数，基于遗传算法，对所述多个候选策略进行迭代进化，直至达到预设条件，获取目标策略，以供实现入侵防御；其中，每一策略包括至少一个元策略，每一元策略包括措施、部署点、措施部署的时序以及措施执行的时长。在选取措施和部署点的同时还确定了各选取措施部署的时序及执行的时长，从而确保生成策略的准确性，能获得更高安全收益。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种入侵响应策略生成方法及装置。

背景技术

随着网络规模的急剧增长，近年来入侵事件日益复杂并时常引发严重后果。为了抵御攻击，入侵响应系统被设计用于生成合适的响应策略来消除潜在影响并减小系统风险。现有的入侵响应策略方法大都集中于选择合适的措施与部署点。在措施选取方面，现有方法通常选取一个或多个措施来应对恶意行为并提供攻击损失与措施收益间的均衡。现有的单一措施选取方法通常综合考虑入侵成本、附带损失以及措施安全收益等方面，对措施进行排序并选择最优的措施。尽管单一措施能够应对单一路径攻击和割集为1的多路径攻击，但在割集不为1的多路径攻击下，单一措施通常会失效。因此，目前多措施选取方案被逐渐应用于入侵响应。现有的多措施选取方案通常考虑措施之间的收益覆盖关系，并选取整体收益最高的措施组合。

然而，这些措施选取方案忽略了不同部署点对安全收益的影响。在措施部署点选取方面，现有方案通常将措施部署问题(包括措施选取过程)形式化为一个多目标优化问题，在选取响应措施的同时为每一个措施选取一个最优的部署点。

现有的响应策略生成方案只考虑了入侵响应中的措施选取和措施部署点选取两个问题，并未考虑到选取的措施的部署时序以及选取措施的执行时间。因此，目前的入侵响应策略方法并不能有效保证获得足够的响应效用。

发明内容

为了解决上述问题，本发明实施例提供一种入侵响应策略生成方法及装置。

第一方面，本发明实施例提供一种入侵响应策略生成方法，包括：根据接收的报警信息及网络拓扑结构，确定用于响应攻击的候选措施集合及部署点集合；将措施、部署点以及措施部署的时序作为数组的三个维度，措施执行的时长作为数组中的元素，利用三维数组对候选策略进行编码并生成多个候选策略；根据预设的适应度函数，基于遗传算法，对所述多个候选策略进行迭代进化，直至达到预设条件，获取目标策略，以供实现入侵防御；其中，每一所述策略包括至少一个元策略，每一元策略包括措施、部署点、措施部署的时序以及措施执行的时长。

第二方面，本发明实施例提供一种入侵响应策略生成装置，包括：第一处理模块，用于根据接收的报警信息及网络拓扑结构，确定用于响应攻击的候选措施集合及部署点集合；第二处理模块，用于将措施、部署点以及措施部署的时序作为数组的三个维度，措施执行的时长作为数组中的元素，利用三维数组对候选策略进行编码并生成多个候选策略；策略生成模块，用于根据预设的适应度函数，基于遗传算法，对所述多个候选策略进行迭代进化，直至达到预设条件，获取目标策略，以供实现入侵防御；其中，每一所述策略包括至少一个元策略，每一元策略包括措施、部署点、措施部署的时序以及措施执行的时长。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时实现本发明第一方面入侵响应策略生成方法的步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现本发明第一方面入侵响应策略生成方法的步骤。