[发明专利]一种计算机网络防御决策控制系统

摘要

本发明提供一种计算机网络防御决策控制系统，该计算机网络防御决策控制系统包括防御企图的分解模块、防御任务的生成模块、防御方案的生成模块、网络防御决策信息库、输入输出模块、数据采集模块、决策控制模块和系统反馈模块。本发明根据防御企图和态势拟制防御方案的过程，首先解决了计算机网络防御缺乏高层的防御企图描述问题，并在此基础上解决了基于防御企图的决策方法问题，实现了一种形式化的计算机网络防御企图描述语言网络防御IDL，提出了一种基于模型映射的计算机网络防御决策方法，基于态势信息和已定义的模型映射规则自动的将防御企图转换为防御方案，从而为大规模的网络安全防御提供了一种自动化、高效的防御决策控制技术。

主权项

一种计算机网络防御决策控制系统，其特征在于，该计算机网络防御决策控制系统包括防御企图的分解模块、防御任务的生成模块、防御方案的生成模块、网络防御决策信息库、输入输出模块、数据采集模块、决策控制模块和系统反馈模块；所述的防御企图的分解模块：首先基于网络防御企图概念模型，设计了一种计算机网络防御企图描述语言网络防御IDL(Computer Network Defense Intention Description Language)，给出该语言的BNF范式描述；然后基于网络防御IDL语言描述的企图文本通过语言解释器对企图文本进行词法和语法扫描实现；根据网络防御IDL词法规则和语法规则制定解释器的词法和语法扫描方法，当匹配到一条完整的网络防御目标、网络防御期望和手段集的组合，即一个完整的企图时，提取出各个组分，存入相应的内存数据结构中，当所有文本都扫描和解释完毕后即完成了网络防御IDL企图的分解；所述的防御任务的生成模块：一个网络防御任务包含了任务执行主体、任务操作、任务执行时间及任务执行的约束条件，其中任务操作又包含了操作对象、任务动作及执行参数，通过网络防御企图分解后，调用网络防御决策信息库，包括态势信息和转换规则，实现目标转换、期望及手段转换的过程，将一个三元组标识的网络防御企图转换为一个或多个防御任务；所述的防御方案的生成模块：网络防御方案是网络防御任务的集合，网络防御方案生成过程是基于网络防御方案生成模型转换为任务中的各元素，以及各个元素之间的关系，将任务组合成防御方案的过程；所述的网络防御决策信息库：包括网络态势信息和转换规则；所述网络态势信息包含了当前网络环境中的所有节点及其连接关系，以及每一节点自身的平台特征、运行状况信息；所述转换规则包括防御手段、任务动作、手段关系、任务执行主体类型以及漏洞知识库；所述的输入输出模块：将防御方案的生成模块生成的所有网络防御方案和网络防御决策信息库中的信息数据输入到决策控制模块，由决策控制模块进行分析处理发出决策控制指令再输出到网络防御决策信息库；所述的数据采集模块：实时采集网络防御的决策指令；所述的决策控制模块：接收所述防御方案的生成模块生成的所有网络防御方案，进行决策控制；所述的系统反馈模块：将所述决策控制模块接收的网络防御方案进行反馈，实时收集反馈信息及时对所述防御方案的生成模块生成的所有网络防御方案进行调整改进。