CN104125233B - 基于VMSoar 和Soar的认知的入侵防御方法 - Google Patents

基于VMSoar 和Soar的认知的入侵防御方法 Download PDF

Info

Publication number
CN104125233B
CN104125233B CN201410382726.6A CN201410382726A CN104125233B CN 104125233 B CN104125233 B CN 104125233B CN 201410382726 A CN201410382726 A CN 201410382726A CN 104125233 B CN104125233 B CN 104125233B
Authority
CN
China
Prior art keywords
soar
bag
fin
vmsoar
probability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201410382726.6A
Other languages
English (en)
Other versions
CN104125233A (zh
Inventor
徐慧
万召文
陈翔
周建美
徐欢潇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nantong University
Original Assignee
Nantong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nantong University filed Critical Nantong University
Priority to CN201410382726.6A priority Critical patent/CN104125233B/zh
Publication of CN104125233A publication Critical patent/CN104125233A/zh
Application granted granted Critical
Publication of CN104125233B publication Critical patent/CN104125233B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于VMSoar和Soar的认知的入侵防御方法,包括受害机用Tcpdump捕包,进行是否有非法扫描包出现的概率计算,如果大于先验概率,将包传给VMSoar;VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;SoarDebugger进行内部分析,进行包的分类计算,触发Soar的内部循环,对网络连接进行安全级别划分;安全状态分为正常、可疑、危险三种。本发明方法简便,通过具有认知水准的智能计算,为入侵防御系统的自适应问题提供了一种解决途径。

Description

基于VMSoar和Soar的认知的入侵防御方法
技术领域
本发明提供了一种基于认知模型VMSoar和Soar、具有认知能力的网络入侵防御方法,该方法通过具有认知水准的智能计算,为入侵防御系统的自适应问题,提供了一种解决途径。
背景技术
入侵防御指能检测并阻止已知和未知攻击的内嵌硬件设备或软件系统,是当下网络安全防护的主要措施之一。入侵防御能够通过前期对恶意行为的扫描,在真正的攻击流发生之前就可以阻断攻击、丢弃数据包、修改防御策略等。
认知是人们认识活动的过程,是个体对感觉信号接收、检测、转换、简约、合成、编码、储存、提取、重建、概念形成、判断和问题解决的信息加工处理过程。认知具有知识、感知、学习、记忆、联想、推理和计算等特性。Soar是一种“通用智能框架”,用“概念、事实、规则”构成了人类的知识,并提供基于推理、学习、记忆机制的一种类似人的“认知”的通用问题求解程序,在语音识别、人脸识别方面均有应用。VMSoar使用Soar搭建一个类似自然语言描述的平台,使得Soar可以以人类语言的方式与管理员进行交流。利用VMSoar解释输入信息,可以最大限度的满足用户的预期目标,同时VMSoar对输入信息的转化优化了Soar的学习过程。
基于TCP/IP的通信,发送数据之前要先通过源端口和目的端口的三次握手进行认证:(1)客户端向服务器先发起一个SYN包,服务端确认;(2)如果客户端请求访问的端口服务是开启状态,服务端立即向客户端送一个携带SYN和ACK的报文,客户端收到后确认;(3)客户端再发送一个ACK包,确认需访问,服务端回复可以访问该端口。当客户端和服务端完成了三次握手连接之后就可以进行后续的通信,否则服务端就会发生一个携带SYN和RST的报文拒绝连接。通信完毕之后需要中断双方的连接,同样需要遵循三次握手的规则。(1)客户端发送一个携带FIN标志的报文给服务端,服务端回复确认收到;(2)服务端发送一个携带FIN和ACK标志的报文给客户端,客户端回复收到确认;(3)客户端还需要再次发出一个ACK标志的报文确认关闭连接。
发明内容
本发明的目的在于提供一种方法简便,通过具有认知水准的智能计算,为入侵防御系统的自适应问题提供解决途径的基于VMSoar和Soar的认知的入侵防御方法。
本发明的技术解决方案是:
一种基于VMSoar和Soar的认知的入侵防御方法,其特征是:包括下列步骤:
(1)受害机用Tcpdump捕包,进行是否有非法扫描包出现的概率计算,如果大于先验概率,将包传给VMSoar;
(2)VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;
(3)SoarDebugger进行内部分析,进行包的分类计算,触发Soar的内部循环,对网络连接进行安全级别划分;
(4)安全状态分为正常、可疑、危险三种。
步骤(1)中进行是否有非法扫描包出现的概率计算方法是:
利用下述概率公式,对收集到的数据包,不同时间段内概率的统计分析,作为是否有扫描包发过来的一个初步判断,
式子的左边表示t时间内收到k个扫描包的概率,λ表示单位时间内收到扫描数据包的平均发送概率;k表示在时间t内收到扫描包的个数。
步骤(3)中所述进行包的分类计算,方法是:
(1)发送到关闭端口的连接请求数目Nclose
Nclose=SYN_IN–SYN_OUT
(2)发起FIN包进行关闭端口的连接请求数目Nfin
Nfin=FIN_IN–FIN_OUT
(3)连接中仅有两次握手的连接请求数目Nhalf
Nhalf=FIN_ACK_OUT&&(!ACK)
上述表达式中的IN、OUT分别表示网络数据包的入和出;SYN、FIN、ACK分别表示TCP/IP报文中的SYN、FIN、ACK特征位。
步骤(4)中所述安全状态分为正常、可疑、危险三种,具体标准为:
(1)正常:Nclose=0和Nhalf=0和Nfin=0
(2)可疑:Nclose=1或Nhalf=1或Nfin=1
(3)危险:Nclose>1或Nhalf>1或Nfin>1。
本发明方法简便,通过具有认知水准的智能计算,为入侵防御系统的自适应问题提供了一种解决途径。
本发明在VMSoar和Soar基础上,构建了具有学习、记忆、推理等认知特性的网络入侵防御闭环;提出了自适应入侵防御系统构建中,基于概率计算的包合法性判断基础上的一种包分类计算方法和基于数据报文的网络通讯安全状态划分方法。
附图说明
下面结合附图和实施例对本发明作进一步说明。
图1是认知处理的一次内部循环示意图。
具体实施方式
1.测试硬件环境构建
至少有在同一子网的两台终端,防御端运行的操作系统为:linuxFedora(18)-32位操作系统。
2.在防御端安装必要的客户端程序,包括:VMSoar、Soar和本系统程序。工作过程如下:
(1)用Tcpdump捕包
(2)用下式,进行是否有非法扫描包出现的概率计算,
式子的左边表示t时间内收到k个扫描包的概率,λ表示单位时间内收到扫描数据包的平均发送概率;k表示在时间t内收到扫描包的个数。
如果大于先验概率,将包传给VMSoar。
(3)VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;
(4)SoarDebugger进行内部分析,进行包的分类计算
1)发送到关闭端口的连接请求数目Nclose
Nclose=SYN_IN–SYN_OUT
2)发起FIN包进行关闭端口的连接请求数目Nfin
Nfin=FIN_IN–FIN_OUT
3)连接中仅有两次握手的连接请求数目Nhalf
Nhalf=FIN_ACK_OUT&&(!ACK)
上述表达式中的IN、OUT分别表示网络数据包的入和出;SYN、FIN、ACK分别表示TCP/IP报文中的SYN、FIN、ACK特征位。
(5)根据上述计算结果,触发Soar的内部循环,对网络连接进行安全级别划分,各自特征如下:
1)正常:Nclose=0和Nhalf=0和Nfin=0
2)可疑:Nclose=1或Nhalf=1或Nfin=1
3)危险:Nclose>1或Nhalf>1或Nfin>1
对于首次与防御端连接的数据,Soar的数据库中并没有该IP地址的历史信息,将暂时无法判断此IP包是否安全。根据设定,此类IP包都被设定为可疑包,处于待确认状态。待收到更多的数据输入和通过学习积累更多历史知识,再处理。

Claims (2)

1.一种基于VMSoar和Soar的认知的入侵防御方法,其特征是:包括下列步骤:
(1)受害机用Tcpdump捕包,进行是否有非法扫描包出现的概率计算,如果大于先验概率,将包传给VMSoar;
(2)VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;
(3)SoarDebugger进行内部分析,进行包的分类计算,触发Soar的内部循环,对网络连接进行安全级别划分;
(4)安全状态分为正常、可疑、危险三种;
步骤(1)中进行是否有非法扫描包出现的概率计算方法是:
利用下述概率公式,对收集到的数据包,不同时间段内概率的统计分析,作为是否有扫描包发过来的一个初步判断,
P ( X ( s + t ) - X ( s ) = k ) = 1 k i [ ∫ s s + t λ ( u ) d u ] exp { ∫ s s + t λ ( u ) d u }
式子的左边表示t时间内收到k个扫描包的概率,λ表示单位时间内收到扫描数据包的平均发送概率;k表示在时间t内收到扫描包的个数;X(s)表示到s时,收到的扫描包数;X(s+t)表示到s+t时,收到的扫描包数。
2.根据权利要求1所述的基于VMSoar和Soar的认知的入侵防御方法,其特征是:步骤(3)中所述进行包的分类计算,方法是:
(1)发送到关闭端口的连接请求数目Nclose
Nclose=SYN_IN–SYN_OUT
(2)发起FIN包进行关闭端口的连接请求数目Nfin
Nfin=FIN_IN–FIN_OUT
(3)连接中仅有两次握手的连接请求数目Nhalf
Nhalf=FIN_ACK_OUT&&(!ACK)
上述表达式中的IN、OUT分别表示网络数据包的入和出;SYN、FIN、ACK分别表示TCP/IP报文中的SYN、FIN、ACK特征位。
CN201410382726.6A 2014-08-06 2014-08-06 基于VMSoar 和Soar的认知的入侵防御方法 Expired - Fee Related CN104125233B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410382726.6A CN104125233B (zh) 2014-08-06 2014-08-06 基于VMSoar 和Soar的认知的入侵防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410382726.6A CN104125233B (zh) 2014-08-06 2014-08-06 基于VMSoar 和Soar的认知的入侵防御方法

Publications (2)

Publication Number Publication Date
CN104125233A CN104125233A (zh) 2014-10-29
CN104125233B true CN104125233B (zh) 2017-03-22

Family

ID=51770497

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410382726.6A Expired - Fee Related CN104125233B (zh) 2014-08-06 2014-08-06 基于VMSoar 和Soar的认知的入侵防御方法

Country Status (1)

Country Link
CN (1) CN104125233B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110489969B (zh) * 2019-08-22 2021-05-25 杭州安恒信息技术股份有限公司 基于soar处置主机挖矿病毒的系统和电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101729513A (zh) * 2008-10-27 2010-06-09 成都市华为赛门铁克科技有限公司 网络认证方法和装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101729513A (zh) * 2008-10-27 2010-06-09 成都市华为赛门铁克科技有限公司 网络认证方法和装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
A Cognitive Approach to Intrusion Detection;D. Paul Benjamin;《IEEE.Computer Science Department》;20071231;第1节、图1 *
Boar: An Autonomous Agent for Network Intrusion Detection Analysis;Archana Perumal;《Computer Science》;20041231;第5页第15-第6页第5行、第19页第6行 *
具有认知功能的入侵防御系统研究与设计;万召文;《计算机工程与设计》;20131031;全文 *

Also Published As

Publication number Publication date
CN104125233A (zh) 2014-10-29

Similar Documents

Publication Publication Date Title
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
Norouzian et al. Classifying attacks in a network intrusion detection system based on artificial neural networks
CN107646190A (zh) 使用傅里叶变换的恶意加密网络流量识别
US8903749B2 (en) Method of identifying a protocol giving rise to a data flow
CN107493300A (zh) 网络安全防护系统
CN113067804B (zh) 网络攻击的检测方法、装置、电子设备及存储介质
Idrissi et al. An unsupervised generative adversarial network based-host intrusion detection system for internet of things devices
CN107911244A (zh) 一种云网结合的多用户蜜罐终端系统及其实现方法
CN104796405A (zh) 反弹连接检测方法和装置
CN106100839B (zh) 一种基于tcp数据包和自定义算法的网络通信安全方法
CN109672687A (zh) 基于可疑度评估的http混淆流量检测方法
CN111698209A (zh) 一种网络异常流量检测方法及装置
CN104009986A (zh) 一种基于主机的网络攻击跳板检测方法及装置
CN112116078A (zh) 一种基于人工智能的信息安全基线学习方法
Wang et al. Towards fast detecting intrusions: using key attributes of network traffic
CN108924133A (zh) 一种网络数据防泄漏方法和系统
Fadil et al. A novel ddos attack detection based on gaussian naive bayes
Labonne et al. Unsupervised protocol-based intrusion detection for real-world networks
US20200099714A1 (en) System and method for detecting bots using semi-supervised deep learning techniques
CN104125233B (zh) 基于VMSoar 和Soar的认知的入侵防御方法
Alsumaidaie et al. Intelligent Detection System for a Distributed Denial-of-Service (DDoS) Attack Based on Time Series
Jamdagni et al. Intrusion detection using geometrical structure
Graf et al. Architecture of an intelligent intrusion detection system for smart home
Bhale et al. ML for IEEE 802.15. 4e/TSCH: Energy Efficient Approach to Detect DDoS Attack Using Machine Learning
CN101548269B (zh) 用于网络侦查流识别的方法、计算机程序产品和设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20170322

Termination date: 20170806

CF01 Termination of patent right due to non-payment of annual fee