[发明专利]网络攻击事件预测及最优主动防御策略选取系统

权利要求书

1.一种网络攻击事件预测及最优主动防御策略选取系统，其主要应用网络攻击事件预测以及策略选取，包括：

捕获网络攻击事件；

根据网络攻击的类型，把捕获到的网络攻击事件与已有网络攻击事件类型进行特征匹配；

根据匹配结果，确定所捕获的网络攻击事件是否为特定类型的攻击，最终所选择的最优策略选取方法，是根据事件预测得来的。

2.根据权利要求1所述网络攻击事件预测及最优主动防御策略选取系统，其特征在于，根据社会工程学库以及已有的攻击分类标准；

根据匹配结果，确定所检测到的网络攻击事件是否为特定类型的攻击；如根据匹配，把已经捕获的网络攻击事件状态分类，分成社会工程学攻击事件，主动攻击事件如(篡改消息，伪造，拒绝服务)被动攻击事件如(流量分析，窃听)。

3.根据权利要求2所述的方法，其特征主要在于运用已有的分类标准把网络攻击事件分类完毕后，新出现的特征实时更新数据库系统，让后续匹配更迅速。

4.根据权利要求3所述的系统，其特征在于所述分布式密网系统为多个密网系统组成。

5.根据权利要求1网络攻击事件预测及最优主动防御策略选取系统，其特征在于，当前应用于现有网络攻防过程难以描述网络中真实的状态，HMM(隐马尔科夫模型)的预测方法能根据已知的攻防状态，能构造出网络的真实状态，可以很好的解决网络真实状态这个问题。其中包括：

捕获模块，用于捕获网络攻击事件；

匹配模块，用于根据社会工程学知识库以及已有的攻击分类标准，对所述网络攻击事件进行特征匹配；

分类模块，把所述的网络攻击事件根据匹配结果，进行状态分类，分成社会工程学攻击事件，主动攻击事件如(篡改消息，伪造，拒绝服务)被动攻击事件如(流量分析，窃听)；

数据处理模块，用于将存储在数据存储系统中的网络攻击事件进行系统化的数据处理；

预测模块，把这些已经分类的网络攻击事件，根据已知的状态集，预测出可能会出现的网络攻击事件的类型；

策略选取模块，用于接收控制系统的指令，隐藏的状态集和现在已经的攻击事件状态集组成的是网络中遭受攻击的所有状态，我们根据这个状态集合采取选取最优策略进行防御。

6.根据权利要求2所述的系统，包括：布置密网系统，控制器，事件分析系统，数据处理系统，数据存储系统，以及策略选取系统，运算器系统等；

所述蜜网系统，用于执行如权利要求1-4任一项所述的网络攻击事件的检测方法，并将检测到的网络攻击事件发送给控制器；

所述控制器，用于将各蜜网系统发送的网络攻击事件存储至数据存储系统，并向所述事件分析系统下发与各社会工程学攻击事件以及已有的攻击分类标准对应的事件分析指令；以及下发给策略选取系统指令，选取最优防御策略；

所述事件分析系统，用于对与当前事件分析指令匹配的各社会工程学攻击事件以及已有的攻击分类标准进行关联分析，并根据关联分析结果对所述数据存储系统中包括的社会工程学知识库以及已有的攻击分类标准进行更新；对存储与系统中的事件类型进行分类，分成社会工程学攻击事件，主动攻击事件如(篡改消息，伪造，拒绝服务)被动攻击事件如(流量分析，窃听)；

所述数据处理系统，用于将存储在数据存储系统中的网络攻击事件进行系统化的数据处理，根据已有的数据类型，分为观测序列——O，状态序列——I，初始状态概率——π，状态转移矩阵——A，观测概率矩阵——B，然后用HMM的模型进行建模分析；

所述运算器系统，用于接收数据处理系统分发的指令进行运算，根据运算结果，可以预测出隐藏的状态集，也就是可能会出现事件攻击类型；下发指令给控制器，隐藏的状态集和现在已经的攻击事件状态集组成的是网络中遭受攻击的所有状态，我们根据这个状态集合进行采取主动防御的方法进行防御，保障网络安全；

所述策略选取系统，用于接收控制系统的指令，隐藏的状态集和现在已经的攻击事件状态集组成的是网络中遭受攻击的所有状态，我们根据这个状态集合采取选取最优策略进行防御，保障网络安全。策略选取系统包括布置密网系统，防火墙等等有效的防护方法。

7.根据权利要求5所述的系统，其特征在于，策略选取系统，根据运算器系统计算出来的状态集合经过控制系统下发指令，每个事件都有与之对应的最优策略选取，在未来攻击事件发生之前，进行策略选取进行防御。