[发明专利]一种基于动态攻击面的威胁信息的传递与共享方法

权利要求书

1.一种基于动态攻击面的威胁信息的传递与共享方法，其特征在于，该方法包括如下步骤：

(1)面向时延需求的威胁数据高速传输协议内容为：

(1.1)网络节点通过通用的流量采集器，接收数据流stream，读取接收到的数据分组packet的五元组，源IP，目的IP，源端口，目的端口，协议；根据通用脆弱性评分系统计算分组的风险级别packet.risk，与设置的阈值r0比较，若packet.risk＝r0，则该分组有较大可能含有蠕虫病毒，视为高风险数据分组；若packet.riskr0，则视为低风险数据分组，计算高风险数据分组占数据流分组总数的比例prob；

(1.2)根据步骤(1.1)计算的prob，与设置的阈值p0比较；若prob＝p0，则数据流stream含有较大比例的高风险数据分组，为高风险数据流，生成对应情报信息info，并设置该分组在链路上传递的优先级info.prio为high；若probp0，则数据流stream为低风险数据流，生成对应情报信息info，并设置其优先级info.prio为default；

(1.3)在网络节点中构建二维化报文处理队列q，接收步骤(1.2)处理后的数据流stream和情报信息info，根据优先级info.prio进行由高到低排序，若两个分组优先级info.prio相同，则根据分组生成的时间t进行由早到晚排序；

(1.4)根据步骤(1.3)当中的队列q，分别计算队列当中的分组总数sum和下一跳节点当中还能继续接收的分组容量cache，若sum＝cache，按顺序接收全部分组；若sumcache，按顺序依次接收分组，超出部分暂不接收，设置超出部分的优先级info.prio为high，返回步骤(1.3)重新排序；

(2)启发式病毒传播遏制及降速方法为：

(2.1)区域中心获得步骤(1.4)提供的情报信息info，若根据(1.2)的判断结果，数据流stream为高风险数据流，则获取该数据流分组的相关信息，包括传播路径，源和目的地址端口，使用的协议，数据流将要经过的下一跳节点，区域中心还将预测下一个时间窗口内的节点感染情况：根据通用脆弱性评分系统生成网络内所有节点的风险属性概率p，和设置好的阈值p1，p2比较，若0pp1，则预测该节点为正常节点；若p1＝pp2，则预测该节点为易感染节点；若p2＝p＝1，则预测该节点为已感染节点；若数据流stream为低风险，进入步骤(2.3)；

(2.2)若根据(1.2)中prob和p0的比较结果，数据流stream为高风险数据流，限制易感染和已感染节点相关链路的带宽资源和端口资源，设置该数据流用于链路转发传递的优先级stream.prio为low；

(2.3)如数据流stream为高风险数据流，计算全网内所有节点的计算资源source并进行由多到少排序，选取source最多的amount个节点作为优选节点，优选节点自身将动态调整资源分配，在保证正常运算的情况下，降低正常收发处理分组的速率，分配更多的内存和数据缓存用于收集高风险数据流的相关信息，同时，获取最新的剩余可用资源情况，如数据流stream为低风险，获取所有网络节点的剩余可用资源情况；

(2.4)根据步骤(2.3)当中优选节点的上报信息，更新步骤(2.1)当中节点感染情况的预测结果，并返回步骤(2.2)，同时等待防御决策主机将防御命令发送至易感染和已感染节点，返回步骤(1.1)接收新的数据流分组。

2.根据权利要求1所述的一种基于动态攻击面的威胁信息的传递与共享方法，其特征在于，步骤(1.1)当中判断分组的风险级别，可以通过脆弱性扫描工具对各个分组进行脆弱性检测，获取各个分组对应的脆弱性名称，并根据脆弱性名称在通用脆弱性评分系统当中查找该脆弱性名称的三项评分测度：攻击途径，攻击复杂度及身份认证，并将三项评分相乘，形成该分组风险属性概率，作为风险等级的判断标准。

3.根据权利要求1所述的一种基于动态攻击面的威胁信息的传递与共享方法，其特征在于，步骤(1.4)所述的sumcache的情况下，下一跳节点会优先接收优先级高的和生成时间早的报文分组，剩余部分发生拥塞，此时需要提高拥塞部分的分组优先级，以避免后面不断产生高优先级分组导致这部分报文一直无法传递处理的局面。