CN106850551A - 网络安全风险评估与自主防御系统 - Google Patents

Abstract

本发明公开了一种网络安全风险评估与自主防御系统，包括透明防火墙、定时巡检模块、病毒模拟模块、病毒特征匹配模块、流量统计模块、网络安全评估模块、预测分析模块、网络安全物理模型建立模块、虚拟作动模块、虚拟参数模块、仿真分析模块、防御决策生成模块、防御决策执行模块、应急通道模块、自动预警还原模块、数据隔离上传模块。本发明实现了对网络流量的实时监测与审计，维护了网络的良好状态，提高了网络免疫能力和自主修复还原能力；在入侵后能有效控制危害范围，保证网络畅通和服务的正常提供；还可以对网络安全的后续发展进行了预测仿真分析，也可以对防御决策方案进行仿真分析。

Description

网络安全风险评估与自主防御系统

技术领域

本发明涉及计算机网络领域，具体涉及一种网络安全风险评估与自主防御系统。

背景技术

随着计算机技术和Internet的迅速发展，和近几年网络信息安全事件的频繁发生，网络信息安全问题逐渐渗透到各个行业领域，成为人们关注的焦点。为了提前预防安全事件的发生，避免损失，网络信息安全评估成为了解网络安全性能的关键环节。信息安全风险评估，就是对信息系统和网络本身所具有的脆弱性以及系统面临的威胁进行系统的分析，对安全事件发生的可能性和安全事件一旦发生可能产生的影响进行预测，最后得到整个信息系统的安全等级，即安全状况，以此作为实施安全措施的参照，利用安全措施减少脆弱性，降低风险到可接受的程度，从而保障信息系统的安全。

发明内容

本发明的目的是提供一种网络安全风险评估与自主防御系统，实现了对网络流量的实时监测与审计，维护了网络的良好状态；通过对未知入侵行为的分析及记忆，提高网络免疫能力；在入侵后能有效控制危害范围，保证网络畅通和服务的正常提供，同时可以根据不同的网络攻击自动生成和执行不同的防御决策方案，提高了系统的自主修复还原能力，维护了网络的稳定运营；还可以对网络安全的后续发展进行了预测仿真分析，也可以对防御决策方案进行仿真分析。

为实现上述目的，本发明采取的技术方案为：

网络安全风险评估与自主防御系统，包括

透明防火墙，用于分析及提取扫描特征并阻止外网扫描；

定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒模拟模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到主机显示屏和网络异常评估模块；

病毒模拟模块，用于利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

病毒特征匹配模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到主机显示屏进行显示；

流量统计模块，利用原始数据包报文头部信息进行流量统计，以主机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；

网络安全评估模块，用于通过建立的多态响应网络异常评估模型进行网络安全情况的评估，并将评估结果发送到防御决策生成模块、数据隔离上传模块；

预测分析模块，用于进行网站安全情况的预测分析；

网络安全物理模型建立模块，通过Flac3D建立网络安全数学模型；

虚拟作动模块，用于与网络安全物理模型建立模块中的各元素建立关系后，在指定的范围内对参数进行变动，从而驱动各种仿真分析方法针对不同的参数进行计算求解；并用于改变转移节点的位置、方向设置，使网络安全数学模型运动；还用于根据接收的控制命令进行网络安全数学模型的分解、切割、放大和缩小；

虚拟参数模块，为在所建立的网络安全数学模型中插入能达到直接获取相应的结果或信息目标的逻辑单元；

仿真分析模块，内设各种仿真分析方法和仿真分析算法；

所述虚拟参数作动模块通过循环执行仿真分析模块，将结果反馈给仿真分析模块，仿真分析模块提取结果，并将结果发送到所述虚拟参数模块，所述虚拟参数模块接收结果并自动显示结果数据；

防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至显示屏进行显示；

防御决策执行模块，用于通过弹出对话框的形式进行防御决策是否执行的控制命令的选择，并按照所选择的控制命令进行对应的防御决策的执行；

应急通道模块，用于提示被攻陷主机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

自动预警还原模块，用于待用户完成工作离开计算机时，通过短信息编辑模块发送给用户的指定手机，从而提示用户存在安全隐患并给出精确的还原时间建议，并根据用户选择将计算机恢复至入侵之前的安全状态；

数据隔离上传模块，用于根据网络异常评估模块得出的评估结果，将数据进行打包上传，并根据上传邮箱的收到数据后自动返回的确认邮件清除计算机中的数据。

优选地，所述透明防火墙包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡，入口网卡与出口网卡之间形成网桥，实现内外网透明通信，在控制网卡上配置IP地址，用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web服务器进行日志记录。

优选地，所述还包括一病毒特征库，用于储存各种病毒的特征数据，连接有一更新模块，用于定时更新病毒特征库中的数据。

优选地，所述病毒模拟模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

优选地，所述防御决策信息数据库连接有一更新模块，用于实时更新防御决策信息数据库内的数据。

优选地，所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件，任务操作包括操作对象、任务动作及执行参数，通过调用网络防御决策信息库内态势信息和转换规则，实现目标转换、期望及手段转换。

优选地，和服务相关的要素包括主机IP地址、开放端口、端口所提供的服务、所使用的应用软件及版本号信息。

优选地，所述数据隔离上传模块在应急通道模块内将数据打包上传至预设的邮箱地址，邮箱地址不可变更。

优选地，所述预测分析模块包括

图形绘制模块，用于根据定时巡检模块监测到数据绘制各种数据的曲线图；

回归计算模块，用于通过不同函数对所绘制的数据曲线进行回归计算；

预测分析模块，用于根据与原实测曲线的对比分析，进行预测，判断网络的稳定性和安全性。

本发明具有以下有益效果：

实现了对网络流量的实时监测与审计，维护了网络的良好状态；通过对未知入侵行为的分析及记忆，提高网络免疫能力；在入侵后能有效控制危害范围，保证网络畅通和服务的正常提供，同时可以根据不同的网络攻击自动生成和执行不同的防御决策方案，提高了系统的自主修复还原能力，维护了网络的稳定运营；还可以对网络安全的后续发展进行了预测仿真分析，也可以对防御决策方案进行仿真分析，通过数学模型的使用，使得用户可以更加直观的对自己的计算机情况进行了解和调控。

附图说明

图1为本发明实施例网络安全风险评估与自主防御系统的结构示意图。

具体实施方式

为了使本发明的目的及优点更加清楚明白，以下结合实施例对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明实施例提供了网络安全风险评估与自主防御系统，包括

透明防火墙，用于分析及提取扫描特征并阻止外网扫描；

定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒模拟模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到主机显示屏和网络异常评估模块；

病毒模拟模块，用于利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

病毒特征匹配模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到主机显示屏进行显示；

流量统计模块，利用原始数据包报文头部信息进行流量统计，以主机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；

网络安全评估模块，用于通过建立的多态响应网络异常评估模型进行网络安全情况的评估，并将评估结果发送到防御决策生成模块、数据隔离上传模块；

预测分析模块，用于进行网站安全情况的预测分析；

网络安全物理模型建立模块，通过Flac3D建立网络安全数学模型；

虚拟作动模块，用于与网络安全物理模型建立模块中的各元素建立关系后，在指定的范围内对参数进行变动，从而驱动各种仿真分析方法针对不同的参数进行计算求解；并用于改变转移节点的位置、方向设置，使网络安全数学模型运动；还用于根据接收的控制命令进行网络安全数学模型的分解、切割、放大和缩小；

虚拟参数模块，为在所建立的网络安全数学模型中插入能达到直接获取相应的结果或信息目标的逻辑单元；

仿真分析模块，内设各种仿真分析方法和仿真分析算法；

所述虚拟参数作动模块通过循环执行仿真分析模块，将结果反馈给仿真分析模块，仿真分析模块提取结果，并将结果发送到所述虚拟参数模块，所述虚拟参数模块接收结果并自动显示结果数据；

防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至显示屏进行显示；

防御决策执行模块，用于通过弹出对话框的形式进行防御决策是否执行的控制命令的选择，并按照所选择的控制命令进行对应的防御决策的执行；

应急通道模块，用于提示被攻陷主机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

自动预警还原模块，用于待用户完成工作离开计算机时，通过短信息编辑模块发送给用户的指定手机，从而提示用户存在安全隐患并给出精确的还原时间建议，并根据用户选择将计算机恢复至入侵之前的安全状态；

数据隔离上传模块，用于根据网络异常评估模块得出的评估结果，将数据进行打包上传，并根据上传邮箱的收到数据后自动返回的确认邮件清除计算机中的数据。

所述透明防火墙包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡，入口网卡与出口网卡之间形成网桥，实现内外网透明通信，在控制网卡上配置IP地址，用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web服务器进行日志记录。

所述还包括一病毒特征库，用于储存各种病毒的特征数据，连接有一更新模块，用于定时更新病毒特征库中的数据。

所述病毒模拟模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

优选地，所述防御决策信息数据库连接有一更新模块，用于实时更新防御决策信息数据库内的数据。

所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件，任务操作包括操作对象、任务动作及执行参数，通过调用网络防御决策信息库内态势信息和转换规则，实现目标转换、期望及手段转换。

和服务相关的要素包括主机IP地址、开放端口、端口所提供的服务、所使用的应用软件及版本号信息。

所述数据隔离上传模块在应急通道模块内将数据打包上传至预设的邮箱地址，邮箱地址不可变更。

所述预测分析模块包括

图形绘制模块，用于根据定时巡检模块监测到数据绘制各种数据的曲线图；

回归计算模块，用于通过不同函数对所绘制的数据曲线进行回归计算；

预测分析模块，用于根据与原实测曲线的对比分析，进行预测，判断网络的稳定性和安全性。。

所述图形绘制模块根据输入的监测数据，生成随时间、空间变化的时间效应曲线和空间效应曲线，所述时间效应曲线显示了各监测点的原始数据或转移数据随时间的变化情况，所述空间效应曲线突出了同一时间不同测点的监测结果随计算机不同盘的变化规律。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (9)

1.网络安全风险评估与自主防御系统，其特征在于，包括

透明防火墙，用于分析及提取扫描特征并阻止外网扫描；

定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒模拟模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到主机显示屏和网络异常评估模块；

病毒模拟模块，用于利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

病毒特征匹配模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到主机显示屏进行显示；

流量统计模块，利用原始数据包报文头部信息进行流量统计，以主机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；

网络安全评估模块，用于通过建立的多态响应网络异常评估模型进行网络安全情况的评估，并将评估结果发送到防御决策生成模块、数据隔离上传模块；

预测分析模块，用于进行网站安全情况的预测分析；

网络安全物理模型建立模块，通过Flac3D建立网络安全数学模型；

虚拟作动模块，用于与网络安全物理模型建立模块中的各元素建立关系后，在指定的范围内对参数进行变动，从而驱动各种仿真分析方法针对不同的参数进行计算求解；并用于改变转移节点的位置、方向设置，使网络安全数学模型运动；还用于根据接收的控制命令进行网络安全数学模型的分解、切割、放大和缩小；

虚拟参数模块，为在所建立的网络安全数学模型中插入能达到直接获取相应的结果或信息目标的逻辑单元；

仿真分析模块，内设各种仿真分析方法和仿真分析算法；

所述虚拟参数作动模块通过循环执行仿真分析模块，将结果反馈给仿真分析模块，仿真分析模块提取结果，并将结果发送到所述虚拟参数模块，所述虚拟参数模块接收结果并自动显示结果数据；

防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至显示屏进行显示；

防御决策执行模块，用于通过弹出对话框的形式进行防御决策是否执行的控制命令的选择，并按照所选择的控制命令进行对应的防御决策的执行；

应急通道模块，用于提示被攻陷主机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

自动预警还原模块，用于待用户完成工作离开计算机时，通过短信息编辑模块发送给用户的指定手机，从而提示用户存在安全隐患并给出精确的还原时间建议，并根据用户选择将计算机恢复至入侵之前的安全状态；

数据隔离上传模块，用于根据网络异常评估模块得出的评估结果，将数据进行打包上传，并根据上传邮箱的收到数据后自动返回的确认邮件清除计算机中的数据。

2.根据权利要求1所述的网络安全风险评估与自主防御系统，其特征在于，所述透明防火墙包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡，入口网卡与出口网卡之间形成网桥，实现内外网透明通信，在控制网卡上配置IP地址，用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web服务器进行日志记录。

3.根据权利要求1所述的网络安全风险评估与自主防御系统，其特征在于，所述还包括一病毒特征库，用于储存各种病毒的特征数据，连接有一更新模块，用于定时更新病毒特征库中的数据。

4.根据权利要求1所述的网络安全风险评估与自主防御系统，其特征在于，所述病毒模拟模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

5.根据权利要求1所述的网络安全风险评估与自主防御系统，其特征在于，所述防御决策信息数据库连接有一更新模块，用于实时更新防御决策信息数据库内的数据。

6.根据权利要求1所述的网络安全风险评估与自主防御系统，其特征在于，所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件，任务操作包括操作对象、任务动作及执行参数，通过调用网络防御决策信息库内态势信息和转换规则，实现目标转换、期望及手段转换。

7.根据权利要求1所述的网络安全风险评估与自主防御系统，其特征在于，和服务相关的要素包括主机IP地址、开放端口、端口所提供的服务、所使用的应用软件及版本号信息。

8.根据权利要求1所述的网络安全风险评估与自主防御系统，其特征在于，所述数据隔离上传模块在应急通道模块内将数据打包上传至预设的邮箱地址，邮箱地址不可变更。

9.根据权利要求1所述的网络安全风险评估与自主防御系统，其特征在于，所述预测分析模块包括

图形绘制模块，用于根据定时巡检模块监测到数据绘制各种数据的曲线图；

回归计算模块，用于通过不同函数对所绘制的数据曲线进行回归计算；

预测分析模块，用于根据与原实测曲线的对比分析，进行预测，判断网络的稳定性和安全性。