[发明专利]基于可信计算的大数据信息网络自适应安全防护系统

摘要

本发明公开了基于可信计算的大数据信息网络自适应安全防护系统，该防护系统在数据采集、数据储存和恢复、攻击响应等基础上构建一种可信系统，通过全新的模块组合和创新的算法，成功将大数据分析和可信技术用到了大数据信息网络自适应个安全防护系统中，该系统从基于可信的数据采集、数据储存和恢复开始，攻击响应单元的数据已是可信的，保证信息的网络安全，控制可信安全，在提高数据处理速度、提升数据安全性、节约存储空间等方面都具有显著效果，实现了对信息安全防护的可信评估，强化了对储存和恢复信息安全的管理与控制，增强了信息安全防护的可靠性和可信性。

主权项

基于可信计算的大数据信息网络自适应安全防护系统，其特征是，包括数据采集单元、可信数据储存和恢复单元、攻击响应单元和专家支持库；(1)所述数据采集单元认证进行信息收集的网络中的硬件节点，判断网络硬件节点可信度，建立所采集信息的信任关系，通过分布式的采集系统来采集网络各处的网络安全事件信息，在CDIF标准格式的基础上,对于从各设备、系统收集来的数据进行统一格式转换，并将转换后的信息格式定义为各分系统间通信的统一事件格式，为整体信任环境的构建提供基础，构建可信数据平台；所述数据采集单元为可信链的起点，其设置有数据发送应用程序，可信数据储存和恢复单元、专家支持库和攻击响应单元均设置有数据接收和发送应用程序，数据通过3G方式进行传输，3G模块上电后，所述可信数据平台对上述各个单元和专家支持库进行上电检测；(2)所述可信数据储存和恢复单元，用于保证数据不能被随意获取，包括数据预处理模块、数据存储模块、数据恢复模块和数据评估模块：(2‑1)数据预处理模块，用于对所述数据采集单元采集到的大规模数据进行分类，其具体执行以下操作：通过K‑means聚类对数据进行分类，以聚类中心为名称为每一分类建立目录，重复以上分类过程，将数据进行细分，形成分类下的子分类，并形成数据的多级目录，形成可度量的量化数据；(2‑2)数据存储模块，是一个含有密码运算的可信数据储存模块，通过密钥技术、硬件访问控制技术和存储加密技术保证系统和数据的信任状态，通过软件的数字签名技术将使得系统能识别出经过第三方修改可能加入间谍软件的应用程序，其包括数据分割子模块、数据加密子模块和云存储子模块：a、数据分割子模块，用于对存储的数据进行分割，其具体执行以下操作：当需要存储数据r时，首先在本地把数据r分割成长度均为h的n部分r1，r2，...，rn，然后在有限域ZP中将每个ri分别分割成n个子块ri,1，ri,2...ri,n,其中p＞2h，则对于第j个子块ri,j＝ri.(ri,1.ri,2....ri,j‑1)‑1modp，其中mod代表求余运算符；将{ri,1.ri,2....ri,n‑1}设成是初始的分块集，映射到集合{p1,p2...pn}构建线性相关关系，用下式表示线性方程组：ai1r1,1+ai2r1,2+…+ainr1,n＝ci,1ai1r2,1+ai2r2,2+…+ainr2,n＝ci,2……ai1rn,1+ai2rn,2+…+ainrn,n＝ci,n其中aij是从有限域ZP中任意选取的，以此类推得出c2,1,c2,2,...,c2,n,...,cn,1,cn,2,...,cn,n，用矩阵的形式表现出其相关关系，令则上述线性方程组表示为A×R＝C；对矩阵R按下式进行二次混合得到新的矩阵C‘：A×R×A＝C‘；b、数据加密子模块，用于对存储的数据进行加密以提高数据的安全性，其具体执行以下操作：调用密匙生成函数，根据每个aij的值以及用户输入的安全参数λ值，输出解密密匙对{KE，KD}，并将加密密匙KE与计算云服务器Hi共享，将解密密匙KD存储在用户本地；通过计算云服务器向伪随机序列生成器输入aij，生成与aij一一对应的标识Tagij，同时调用同态加密函数，输入加密密匙及每个aij所对应的数据值Vij，生成密文Zij，容易知Tagij和cij均为n×n矩阵，分别记为Tag和Z矩阵；用Tag矩阵按下式对C‘进行一次混合加密得到C“：Tag×C‘＝C“；然后用Z矩阵按下式对C“进行二次混合加密得到C“’：C“×Z＝C“’；任意随机产生B个虚拟向量，其中B≥2n，随机地将该虚拟向量安排入C“’中，得到一个N1×N2的矩阵Q，其中N1和N2均大于n，所述虚拟向量用于掩饰真实的n值，进一步加强了数据的安全性；c、云存储子模块，用于将加密后的数据上传到储存云服务器进行存储，将得到的A、C、C‘、C“、C“’、Q、Tag、Z、由C“’得到矩阵Q时的具体随机路径以及所述虚拟向量上传到储存云服务器；(2‑3)数据恢复模块，用于根据用户的请求将储存数据的恢复和取出，其包括分级匹配子模块和匹配容错子模块，这里所指的用户包括合法用户和非法用户：a、分级匹配子模块，其具体执行以下操作：用户发出请求需要恢复数据r,从储存服务器中调出矩阵Q、生成矩阵Q时的随机路径和虚拟向量，按照该随机路径逆向剔除虚拟向量后得到矩阵C“’1；将C“’1与从储存服务器中调出的C“’比较，如果不匹配则报错，如果匹配则进入下一步；将C“’1按照预先编写好的逆向函数以及从储存服务器中调出的矩阵Z和矩阵Tag分别得到出C“1和C‘1，并分别与C“和C‘比较，任一步骤不匹配均报错，匹配成功后进入下一步；调出矩阵A，一方面根据矩阵A的可逆性按照R＝A‑1C‘A‑1得到储存数据r，另一方面将A用预先编好的解密函数解密，得到解密密匙KD‘，KD‘与存储在本地的解密密匙KD进行比较，如果KD‘与存储在本地的解密密匙KD相匹配，则云服务器向用户发送得到的储存数据r，这样就恢复了数据r；b、匹配容错子模块：如果KD‘与KD无法匹配则报错并且将得到的数据r在设定的时间t内作保存，如果在时间t内用户重新匹配上密匙，则直接将数据r发送给用户，否则丢失该数据r；(2‑4)数据评估模块，对预处理模块中的数据分类过程、数据存储模块中的数据分割和加密过程、数据恢复模块中的分级匹配过程进行监督和评价，为后续的改进提供数据支持，通过数据采集单元、可信数据储存和恢复单元和数据评估模块共同构建整体可信环境；(3)所述攻击响应单元采用主动响应技术和被动响应技术对受到的安全攻击进行响应，所述主动响应技术包括撤销连接、断路响应、SYN包位答响应、屏蔽发生内部滥用的主机，所述被动响应技术指自动通知，当检测到入侵时，系统能给管理员发出警报通知，协同防火墙、路由器、交换机、防病毒系统构成响应和预警互补的综合安全系统，在已构建的整体可信环境中建立一种可信的攻击响应系统；(4)所述专家支持库收集安全防护过程的所有信息，同时为管理人员提供需要的知识和工具，其包括所述计算云服务器、所述储存云服务器和本地数据库，是一个基于云服务器的支撑平台；所述专家支持库还提供可信软件系统，所述可信软件系统为操作系统和应用软件提供使用可信数据平台的接口，同时对所述可信数据平台后续软件提供完整性度量，并对不可控操作系统的特定行为进行行为审计和分析；所述后续软件包括核心加载软件和不可控操作系统软件。