CN104125233A - 基于VMSoar和Soar的认知的入侵防御方法 - Google Patents
基于VMSoar和Soar的认知的入侵防御方法 Download PDFInfo
- Publication number
- CN104125233A CN104125233A CN201410382726.6A CN201410382726A CN104125233A CN 104125233 A CN104125233 A CN 104125233A CN 201410382726 A CN201410382726 A CN 201410382726A CN 104125233 A CN104125233 A CN 104125233A
- Authority
- CN
- China
- Prior art keywords
- vmsoar
- soar
- fin
- probability
- bag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于VMSoar和Soar的认知的入侵防御方法,包括受害机用Tcpdump捕包,进行是否有非法扫描包出现的概率计算,如果大于先验概率,将包传给VMSoar;VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;SoarDebugger进行内部分析,进行包的分类计算,触发Soar的内部循环,对网络连接进行安全级别划分;安全状态分为正常、可疑、危险三种。本发明方法简便,通过具有认知水准的智能计算,为入侵防御系统的自适应问题提供了一种解决途径。
Description
技术领域
本发明提供了一种基于认知模型VMSoar 和Soar、具有认知能力的网络入侵防御方法,该方法通过具有认知水准的智能计算,为入侵防御系统的自适应问题,提供了一种解决途径。
背景技术
入侵防御指能检测并阻止已知和未知攻击的内嵌硬件设备或软件系统,是当下网络安全防护的主要措施之一。入侵防御能够通过前期对恶意行为的扫描,在真正的攻击流发生之前就可以阻断攻击、丢弃数据包、修改防御策略等。
认知是人们认识活动的过程,是个体对感觉信号接收、检测、转换、简约、合成、编码、储存、提取、重建、概念形成、判断和问题解决的信息加工处理过程。认知具有知识、感知、学习、记忆、联想、推理和计算等特性。Soar是一种“通用智能框架”,用“概念、事实、规则”构成了人类的知识,并提供基于推理、学习、记忆机制的一种类似人的“认知”的通用问题求解程序,在语音识别、人脸识别方面均有应用。VMSoar使用Soar搭建一个类似自然语言描述的平台,使得Soar可以以人类语言的方式与管理员进行交流。利用VMSoar解释输入信息,可以最大限度的满足用户的预期目标,同时VMSoar对输入信息的转化优化了Soar的学习过程。
基于TCP/IP的通信,发送数据之前要先通过源端口和目的端口的三次握手进行认证:(1)客户端向服务器先发起一个SYN包,服务端确认;(2)如果客户端请求访问的端口服务是开启状态,服务端立即向客户端送一个携带SYN和ACK的报文,客户端收到后确认;(3)客户端再发送一个ACK包,确认需访问,服务端回复可以访问该端口。当客户端和服务端完成了三次握手连接之后就可以进行后续的通信,否则服务端就会发生一个携带SYN和RST的报文拒绝连接。通信完毕之后需要中断双方的连接,同样需要遵循三次握手的规则。(1)客户端发送一个携带FIN标志的报文给服务端,服务端回复确认收到;(2)服务端发送一个携带FIN和ACK标志的报文给客户端,客户端回复收到确认;(3)客户端还需要再次发出一个ACK标志的报文确认关闭连接。
发明内容
本发明的目的在于提供一种方法简便,通过具有认知水准的智能计算,为入侵防御系统的自适应问题提供解决途径的基于VMSoar 和Soar的认知的入侵防御方法。
本发明的技术解决方案是:
一种基于VMSoar和Soa的认知的入侵防御方法,其特征是:包括下列步骤:
(1)受害机用Tcpdump捕包,进行是否有非法扫描包出现的概率计算,如果大于先验概率,将包传给VMSoar;
(2)VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;
(3)SoarDebugger进行内部分析,进行包的分类计算,触发Soar的内部循环,对网络连接进行安全级别划分;
(4)安全状态分为正常、可疑、危险三种。
步骤(1)中进行是否有非法扫描包出现的概率计算方法是:
利用下述概率公式,对收集到的数据包,不同时间段内概率的统计分析,作为是否有扫描包发过来的一个初步判断,
式子的左边表示t时间内收到k个扫描包的概率,λ表示单位时间内收到扫描数据包的平均发送概率;k表示在时间t内收到扫描包的个数。
步骤(3)中所述进行包的分类计算,方法是:
(1)发送到关闭端口的连接请求数目Nclose
Nclose = SYN_IN – SYN_OUT
(2)发起FIN包进行关闭端口的连接请求数目Nfin
Nfin= FIN_IN – FIN_OUT
(3)连接中仅有两次握手的连接请求数目Nhalf
Nhalf= FIN_ACK_OUT && (!ACK)
上述表达式中的IN、OUT分别表示网络数据包的入和出;SYN、FIN、ACK分别表示TCP/IP报文中的SYN、FIN、ACK特征位。
步骤(4)中所述安全状态分为正常、可疑、危险三种,具体标准为:
(1)正常:Nclose = 0 和 Nhalf = 0 和 Nfin =0
(2)可疑:Nclose = 1 或 Nhalf = 1 或 Nfin = 1
(3)危险:Nclose > 1 或 Nhalf > 1 或 Nfin > 1。
本发明方法简便,通过具有认知水准的智能计算,为入侵防御系统的自适应问题提供了一种解决途径。
本发明在VMSoar和Soar基础上,构建了具有学习、记忆、推理等认知特性的网络入侵防御闭环;提出了自适应入侵防御系统构建中,基于概率计算的包合法性判断基础上的一种包分类计算方法和基于数据报文的网络通讯安全状态划分方法。
附图说明
下面结合附图和实施例对本发明作进一步说明。
图1是认知处理的一次内部循环示意图。
具体实施方式
1. 测试硬件环境构建
至少有在同一子网的两台终端,防御端运行的操作系统为:linux Fedora(18)-32位操作系统。
2. 在防御端安装必要的客户端程序,包括:VMSore、Sore和本系统程序。工作过程如下:
(1)用Tcpdump捕包
(2)用下式,进行是否有非法扫描包出现的概率计算,
式子的左边表示t时间内收到k个扫描包的概率,λ表示单位时间内收到扫描数据包的平均发送概率;k表示在时间t内收到扫描包的个数。
如果大于先验概率,将包传给VMSoar。
(3)VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;
(4)SoarDebugger进行内部分析,进行包的分类计算
1)发送到关闭端口的连接请求数目Nclose
Nclose = SYN_IN – SYN_OUT
2)发起FIN包进行关闭端口的连接请求数目Nfin
Nfin= FIN_IN – FIN_OUT
3)连接中仅有两次握手的连接请求数目Nhalf
Nhalf= FIN_ACK_OUT && (!ACK)
上述表达式中的IN、OUT分别表示网络数据包的入和出;SYN、FIN、ACK分别表示TCP/IP报文中的SYN、FIN、ACK特征位。
(5)根据上述计算结果,触发Soar的内部循环,对网络连接进行安全级别划分,各自特征如下:
1)正常:Nclose = 0 和 Nhalf = 0 和 Nfin =0
2)可疑:Nclose = 1 或 Nhalf = 1 或 Nfin = 1
3)危险:Nclose > 1 或 Nhalf > 1 或 Nfin > 1
对于首次与防御端连接的数据,Soar的数据库中并没有该IP地址的历史信息,将暂时无法判断此IP包是否安全。根据设定,此类IP包都被设定为可疑包,处于待确认状态。待收到更多的数据输入和通过学习积累更多历史知识,再处理。
Claims (4)
1.一种基于VMSoar和Soa的认知的入侵防御方法,其特征是:包括下列步骤:
(1)受害机用Tcpdump捕包,进行是否有非法扫描包出现的概率计算,如果大于先验概率,将包传给VMSoar;
(2)VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;
(3)SoarDebugger进行内部分析,进行包的分类计算,触发Soar的内部循环,对网络连接进行安全级别划分;
(4)安全状态分为正常、可疑、危险三种。
2.根据权利要求1所述的基于VMSoar和Soa的认知的入侵防御方法,其特征是:步骤(1)中进行是否有非法扫描包出现的概率计算方法是:
利用下述概率公式,对收集到的数据包,不同时间段内概率的统计分析,作为是否有扫描包发过来的一个初步判断,
式子的左边表示t时间内收到k个扫描包的概率,λ表示单位时间内收到扫描数据包的平均发送概率;k表示在时间t内收到扫描包的个数。
3.根据权利要求1所述的基于VMSoar和Soa的认知的入侵防御方法,其特征是:步骤(3)中所述进行包的分类计算,方法是:
(1)发送到关闭端口的连接请求数目Nclose
Nclose = SYN_IN – SYN_OUT
(2)发起FIN包进行关闭端口的连接请求数目Nfin
Nfin= FIN_IN – FIN_OUT
(3)连接中仅有两次握手的连接请求数目Nhalf
Nhalf= FIN_ACK_OUT && (!ACK)
上述表达式中的IN、OUT分别表示网络数据包的入和出;SYN、FIN、ACK分别表示TCP/IP报文中的SYN、FIN、ACK特征位。
4.根据权利要求1所述的基于VMSoar和Soa的认知的入侵防御方法,其特征是:步骤(4)中所述安全状态分为正常、可疑、危险三种,具体标准为:
(1)正常:Nclose = 0 和 Nhalf = 0 和 Nfin =0
(2)可疑:Nclose = 1 或 Nhalf = 1 或 Nfin = 1
(3)危险:Nclose > 1 或 Nhalf > 1 或 Nfin > 1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410382726.6A CN104125233B (zh) | 2014-08-06 | 2014-08-06 | 基于VMSoar 和Soar的认知的入侵防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410382726.6A CN104125233B (zh) | 2014-08-06 | 2014-08-06 | 基于VMSoar 和Soar的认知的入侵防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104125233A true CN104125233A (zh) | 2014-10-29 |
| CN104125233B CN104125233B (zh) | 2017-03-22 |
Family
ID=51770497
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410382726.6A Expired - Fee Related CN104125233B (zh) | 2014-08-06 | 2014-08-06 | 基于VMSoar 和Soar的认知的入侵防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104125233B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110489969A (zh) * | 2019-08-22 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于soar处置主机挖矿病毒的系统和电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729513B (zh) * | 2008-10-27 | 2014-02-19 | 华为数字技术(成都)有限公司 | 网络认证方法和装置 |
-
2014
- 2014-08-06 CN CN201410382726.6A patent/CN104125233B/zh not_active Expired - Fee Related
Non-Patent Citations (3)
| Title |
|---|
| ARCHANA PERUMAL: "Boar: An Autonomous Agent for Network Intrusion Detection Analysis", 《COMPUTER SCIENCE》 * |
| D. PAUL BENJAMIN: "A Cognitive Approach to Intrusion Detection", 《IEEE.COMPUTER SCIENCE DEPARTMENT》 * |
| 万召文: "具有认知功能的入侵防御系统研究与设计", 《计算机工程与设计》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110489969A (zh) * | 2019-08-22 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于soar处置主机挖矿病毒的系统和电子设备 |
| CN110489969B (zh) * | 2019-08-22 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 基于soar处置主机挖矿病毒的系统和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104125233B (zh) | 2017-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yu et al. | An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks | |
| CN110224990A (zh) | 一种基于软件定义安全架构的入侵检测系统 | |
| Verba et al. | Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS) | |
| CN109711171A (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
| CN103314562B (zh) | 用于ip 多媒体子系统(ims)核心以防御基于sip 注册的dos/odds 攻击的会话初始化协议(sip)防火墙 | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| CN108494672A (zh) | 一种工业通信网关、工业数据安全隔离系统及其方法 | |
| Igbe et al. | Deterministic dendritic cell algorithm application to smart grid cyber-attack detection | |
| US8903749B2 (en) | Method of identifying a protocol giving rise to a data flow | |
| CN107070907A (zh) | 内外网数据单向传输方法及系统 | |
| CN103763695B (zh) | 一种物联网安全测评方法 | |
| CN106100839B (zh) | 一种基于tcp数据包和自定义算法的网络通信安全方法 | |
| CN103905452A (zh) | 一种可信的网络攻击过滤装置及网络攻击过滤方法 | |
| CN104796405A (zh) | 反弹连接检测方法和装置 | |
| CN106357637A (zh) | 一种针对智慧能源终端数据的主动防御系统 | |
| CN107276983A (zh) | 一种基于dpi和云同步的流量安全控制方法及系统 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN103916288A (zh) | 一种基于网关与本地的Botnet检测方法及系统 | |
| CN108924133A (zh) | 一种网络数据防泄漏方法和系统 | |
| CN115563613A (zh) | 一种文件安全检测系统及方法 | |
| CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
| CN104125233A (zh) | 基于VMSoar和Soar的认知的入侵防御方法 | |
| CN105227540A (zh) | 一种事件触发式的mtd防护系统及方法 | |
| CN103929423B (zh) | 处理电力规约的IPSec VPN安全转发方法与系统 | |
| CN104935556B (zh) | 一种网络安全处理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170322 Termination date: 20170806 |