CN112995187B

CN112995187B - 一种基于社团结构的网络协同防御系统及方法

Info

Publication number: CN112995187B
Application number: CN202110256165.5A
Authority: CN
Inventors: 王刚; 陆世伟; 冯云; 伍维甲; 张恩宁
Original assignee: Air Force Engineering University of PLA
Current assignee: Air Force Engineering University of PLA
Priority date: 2021-03-09
Filing date: 2021-03-09
Publication date: 2022-12-06
Anticipated expiration: 2041-03-09
Also published as: CN112995187A

Abstract

本公开关于一种基于社团结构的网络协同防御系统及方法，该系统将整体网络划分为多个自治社团，每个自治社团均包括用户主机、协同控制中心以及社团内部安全系统；其中，社团内部安全系统包括：入侵检测模块，用于入侵检测，若存在异常信息则通知协同控制中心；信息蜜罐与蜜网模块，用于响应协同控制中心发出的命令，存储和持续监测异常信息，以获取病毒特征；防火墙模块，用于用户主机和路由器中的访问控制与身份鉴别；入侵防护模块，用于协助入侵检测模块清除包含病毒的数据包；协同防御策略库模块，用于存储节点防御策略或安全防御策略；协同控制中心用于根据检测分析的结果生成最优防御策略。本公开提供的系统和方法抑制了潜伏型病毒传播。

Description

一种基于社团结构的网络协同防御系统及方法

技术领域

本公开涉及计算机网络信息安全技术领域，尤其涉及一种基于社团结构的网络协同防御系统及方法。

背景技术

公共互联网作为一种普遍使用网络，要求保障关键服务安全可控，保护用户合法权益。然而，网络信息窃取和关键节点破坏等非法蓄意攻击对公共互联网安全造成极大威胁，包括分布式拒绝服务攻击、病毒攻击、先进持续性威胁等。

传统防御系统主要采用静态防御的方法来加固系统防护，从而保护网络的安全，相关技术包括防火墙技术、加解密技术、数据鉴别及访问控制技术等。对于网络系统的正常访问、用户合法身份的鉴别和权限管理、数据信息安全，这类技术起到了一定的防护作用。然而，对于隐藏特征的网络病毒，与传统蠕虫病毒相比，它们的技术手段和行动更为隐蔽高效。“潜伏”是这类网络病毒所共有的典型特性，因而通常将其称为潜伏型病毒。在感染目标网络节点时，潜伏型病毒为实现特定战术目标，将其攻击感染的表征暂时隐藏起来；根据行动需求和前期设定的触发机制，攻击方会选择特定时机或采用特定手段激活启动该病毒。由于潜伏特性，静态防御通常难以检测该病毒潜伏特征，也就无法彻底清除病毒，因而传统防御模式在处理此类外部攻击时存在先天的局限性。因此，有必要改善上述相关技术方案中存在的一个或者多个问题，以抑制潜伏型病毒传播和维护网络安全。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开实施例的目的在于提供一种基于社团结构的网络协同防御系统及方法，以抑制潜伏型病毒传播和维护网络安全。

本公开首先提供了一种基于社团结构的网络协同防御系统，将整体网络划分为多个自治社团，每个所述自治社团均包括用户主机、协同控制中心以及社团内部安全系统；

其中，所述社团内部安全系统包括：

入侵检测模块，用于入侵检测，若存在异常信息则通知所述协同控制中心；

信息蜜罐与蜜网模块，用于响应所述协同控制中心发出的命令，存储和持续监测所述异常信息，以获取病毒特征；

防火墙模块，用于所述用户主机和路由器中的访问控制与身份鉴别；

入侵防护模块，用于协助所述入侵检测模块清除包含病毒的数据包；

协同防御策略库模块，用于存储节点防御策略或安全防御策略；

所述协同控制中心，用于根据检测分析的结果，计算网络实际收益，通过对比所述网络实际收益与预设的期望收益，实时调整协同防御策略，确保网络获得最佳收益；其中，所述网络实际收益根据策略对网络整体的通信能力及网络受感染情况的影响来设计，先用以下公式计算出病毒传播的基本再生数Rv：

其中，<k>为网络平均度，β为潜伏型病毒的感染系数，γ为潜伏病毒在网络节点中被激活的概率，ψ为网络节点具有抗病毒攻击感染能力的概率，δ为节点抗病毒能力退化的概率，ω为受病毒攻击感染的节点断开网络连接的概率，θ表示潜伏的病毒失去激活机会的概率，b表示节点在病毒潜伏期具备免疫能力的概率；

进一步计算网络相对安全指数：

其中，

N为网络节点总数；

则网络平均信息强度为：

p_ij为单位时间内网络节点i和节点j间信息传递概率，可根据节点之间的最短路径和信息传递单位时间计算

im_ij(t)为t时刻节点i和节点j传递信息的重要性；

根据所述网络平均信息强度和所述网络相对安全指数，计算所述网络实际收益为：

其中，λ_max由网络鲁棒性确定，λ为隔离节点后造成网络信息损失的比例；a₁,b₁为网络鲁棒性范围内通信和安全所占的比例系数，a₁+b₁＝1；a₂,b₂为网络鲁棒性范围外通信和安全所占的比例系数，a₂+b₂＝1。

本公开的一实施例中，采用社团识别算法将所述整体网络划分为多个自治社团。

本公开的一实施例中，所述社团识别算法为Newman快速凝聚算法或Girvan-Newman分裂算法。

本公开的一实施例中，所述防火墙模块带有节点信任值管理单元，所述节点信任值管理单元用于记录其所在节点与周围节点之间的信任关系，并根据其信任值与阈值关系拒绝信用不良节点的访问。

本公开的一实施例中，所述入侵检测模块，

对于已知特征的病毒，用于直接检测出病毒类型，并发出警报通知协同控制中心；

对于未知特征的病毒，用于感知、记录异常信息并通知所述协同控制中心。

本公开的一实施例中，所述入侵检测模块包括基于主机的入侵检测模块，通过分析来自单个计算机的系统审计踪迹和系统日志来检测攻击。

本公开的一实施例中，所述入侵检测模块包括基于网络的入侵检测模块，被设置在关键交换机和路由器中，通过捕获分析网络数据包来检测攻击。

本公开的一实施例中，所述入侵检测模块的检测方式包括：基于协议的检测、基于神经网络的检测或基于统计的检测。

本公开还提供了一种基于社团结构的网络协同防御方法，该方法包括以下步骤：

将整体网络划分为多个自治社团，每个所述自治社团均包括用户主机、协同控制中心以及社团内部安全系统；

所述社团内部安全系统对病毒进行入侵检测，若存在异常信息则通知所述协同控制中心；

响应于所述协同控制中心发出的命令，所述社团内部安全系统存储和持续监测所述异常信息，以获取病毒特征；

将所述病毒特征发送至所述协同控制中心，所述协同控制中心控制启用防火墙和入侵保护，根据检测分析的结果，计算网络实际收益，通过对比所述网络实际收益与预设的期望收益，实时调整协同防御策略，确保网络获得最佳收益；其中，所述网络实际收益根据策略对网络整体的通信能力及网络受感染情况的影响来设计，先用以下公式计算出病毒传播的基本再生数Rv：

进一步计算网络相对安全指数：

其中，

N为网络节点总数；

则网络平均信息强度为：

im_ij(t)为t时刻节点i和节点j传递信息的重要性；

本公开提供的技术方案可以包括以下有益效果：

本公开的实施例中，结合公共互联网安全特点，首先根据网络逻辑结构及节点功能，将目标网络划分为多个网络社团，按照分布式协同控制模式设计了协同防御架构基础通信模型，在此基础上融合了多类型功能模块，通过集体行动提升网络的病毒检测能力、快速响应能力和应急恢复能力，以抑制潜伏型病毒传播和维护网络安全。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见的，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本公开示例性实施例中一种基于社团结构的网络协同防御系统的架构示意图；

图2示出本公开示例性实施例中协同防御中网络社团基础通信模型示意图；

图3示出本公开示例性实施例中网络协同防御环路和防御机制示意图；

图4示出本公开示例性实施例中调节反馈协同流程示意图；

图5示出本公开示例性实施例中潜伏型病毒的协同防御流程示意图；

图6示出本公开示例性实施例中一种基于社团结构的网络协同防御方法的步骤示意图；

图7示出本公开示例性实施例中每个社团中节点的数量条形图；

图8示出本公开示例性实施例中不同策略组合的网络性能收益示意图；

图9示出本公开示例性实施例中有无协同防御时最佳收益对比示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

本示例实施方式中首先提供了一种基于社团结构的网络协同防御系统，将整体网络划分为多个自治社团，每个所述自治社团均包括用户主机、协同控制中心以及社团内部安全系统。其中，参见图1所示，所述社团内部安全系统包括：入侵检测模块101，用于入侵检测，若存在异常信息则通知所述协同控制中心；信息蜜罐与蜜网模块102，用于响应所述协同控制中心发出的命令，存储和持续监测所述异常信息，以获取病毒特征；防火墙模块103，用于所述用户主机和路由器中的访问控制与身份鉴别；入侵防护模块104，用于协助所述入侵检测模块清除包含病毒的数据包；协同防御策略库模块105，用于存储节点防御策略或安全防御策略。此外，所述协同控制中心用于根据检测分析的结果生成最优防御策略。

下面，将对本示例实施方式中的上述系统进行更详细的说明。

关于网络病毒传播模型的研究表明，降低网络节点平均度是抑制病毒传播的主要方法。在本示例中，定义网络图G＝(V,E)为某一具体网络，V＝(v_i)_N为节点集，N为网络节点总数，E为网络边的集合。网络在遭遇病毒入侵时，通过隔离节点策略可抑制病毒的大规模传播。设隔离节点v_i的度为k_i，隔离v_i前后网络平均度分别为<k>_f和<k>_l，则<k>_l可表示为

显然，节点隔离策略能降低网络平均度，抑制网络病毒的传播。研究表明，少量的节点隔离不足以完全抑制病毒传播，过多的节点隔离又会导致网络通信能力的损失，节点隔离策略需要在维护网络安全的同时，保证网络基本通信能力。现实中，网络病毒的感染过程通常是由一个节点或一个区域向周边节点扩散开来，最终蔓延至整个网络。根据式(1)知，降低病毒所在网络的节点数N，同样能够降低节点平均度，从而起到抑制病毒传播的作用。按照这一思路，将整个网络分为若干个子网络(社团)，在检测到病毒入侵时，及时封锁病毒所在社团，缩小病毒传播范围，就能通过隔离较少的节点来维护网络的安全。在封锁社团后，来自病毒感染社团的信息需要经过特定的验证机制，在确保安全的条件下转发至其它社团节点。

网络协同防御模型能更好地完成网络安全防御任务。在大规模网络主动协同防御模型中，全局网络可划分为若干个自治系统(Autonomous System，AS)，单个AS采用基于代理的协同控制框架来完成协同防御任务，整体上通过分布式集体协作共同抵御病毒传播。对于划分AS后的网络，如果遭遇病毒入侵，只需要隔离病毒感染社团和少量节点，即可抑制病毒传播。

一般网络都具有社团属性，在一个具体的实施例中，可采用社团识别算法，如Newman快速凝聚算法、Girvan-Newman分裂算法等，将整体网络划分为多个自治社团(Network Community，NC)。设划分后的社团数为n，对应集合为NC＝{NC₁,NC₂,…,NC_n}。在此基础上，可按分布式协同控制模式设计对应的基础通信模型，如图2所示。其中，单个社团由用户主机、协同控制中心和社团内的各种安全系统组成。由于在不同网络中用户主机和安全系统的数量和位置不同，这里将用户主机和社团内各种安全系统抽象为社团内节点进行表示。协同控制中心在每个社团内部有且仅有一个(图2中控制中心也抽象为社团内节点)，用于社团间协同防御通信，其信息传输加密方式和认证方式分别采用CA认证和SSL数据传输协议，确保信息传输的保密性，防止控制中心的信息被窃取或篡改。社团内用户主机通信建立在交换机基础上，交换机通过Mac地址的分发与确认，确定社团中信息传输的目标节点。社团间信息传输依赖于路由器，通过IP地址的分发与IP包目的地址确认，决定信息发送的目标社团及目标节点。

具体的，社团内部安全系统主要包括入侵检测模块101(Intrusion DetectionSystem，IDS)、信息蜜罐与蜜网模块102、带有节点信任值管理模块(Node Trust-ValueManagement Module，NTVMM)的防火墙模块103、入侵防护模块104(Intrusion PreventionSystem，IPS)、协同防御策略库105。其中，IDS主要用于入侵检测、漏洞扫描、数据鉴别、流量分析和日志审查等，负责可疑信息记录及危险信息报警；带有NTVMM的防火墙系统主要用于用户主机和路由器中的访问控制与身份鉴别，NTVMM负责记录其所在节点与周围节点之间信任关系，并根据其信任值与阈值关系拒绝信用不良节点的访问；IPS用于协助检测系统清除包含病毒的数据包。信息蜜罐与蜜网模块用于存储和持续监测可疑信息，提升网络获取病毒特征的概率；此外，考虑节点隔离策略会造成网络正常信息的损失，该架构中可以将损失信息暂存于信息蜜罐和蜜网，待网络安全后再转发此类信息至目标用户，从而降低信息损失；协同防御策略库用于存储节点防御策略或其它安全防御策略，针对网络安全态势感知与分析结果，提供特定的安全响应策略，提升网络对安全事件的快速响应能力。

协同防御架构建立在大规模网络的主动协同防御模型和基于覆盖网的协同式安全防护与分析系统模型基础上，进一步融合了协同防御策略库、带有NTVMM的防火墙、信息蜜罐与蜜网模块。除了适用于防御DDOS攻击与蠕虫病毒攻击，还能提升对潜伏型病毒等新型攻击的防御能力，且具备更强的协同防御功能。

在实际应用中，需要科学的防御机制来确保各模块间的协同协作，保证在低损失情况下网络的整体安全。借鉴网络生态系统态势感知-持续监控-协同防御-快速恢复-溯源反制(Situation awareness,monitoring,cooperative defense,recovery,countermeasure，SMCRC)机制，设计协同防御架构的协同防御机制。考虑网络攻击形式的多样化，以下以潜伏型病毒防御为例。

潜伏型病毒通常利用其潜伏特性，绕过安全防御单元检测，入侵内部网络，并在激活后迅速感染网络。对于潜伏型病毒入侵，协同防御系统主要功能包括：检测病毒的潜伏特征与感染特征、抑制潜伏型病毒在网络中的传播、清除网络中潜伏型病毒等。根据防御系统对病毒入侵事件的响应顺序，可将协同防御机制划分为态势感知协同、态势分析协同、行动决策协同以及调节反馈协同四个部分，构成一个网络协同防御环，自适应选取最优防御策略来应对潜伏型病毒入侵，如图3所示。根据潜伏型病毒入侵特点，态势感知协同任务包括感染(恶意)信息感知，异常信息感知；态势分析协同任务包括病毒感染特征分析、病毒潜伏特征分析、网络感染区域分析；行动决策协同任务包括协同策略匹配、协同策略生成、协同策略分发；调节反馈协同任务包括社团策略实施、节点执行策略后收益计算、防御效果反馈。

具体的，态势感知协同防御需要对目标网络状态实施不间断监控，传统防御中IDS、防火墙等防御单元很难做成集成模块，协作能力较差，对异常信息的监测能力较差，通常会导致直接隔离异常信息或是错将包含潜伏病毒的异常信息放入内网，都可能对节点或网络造成较大的损失。

态势感知协同机制主要依赖于IDS、信息蜜罐与蜜网和协同控制中心。IDS可直接检测出已知特征的病毒类型，并发出警报通知协同控制中心。对于潜伏型病毒，IDS通常只能感知到信息的异常，而无法直接判断信息是否携带病毒。这种情况下，协同防御中的IDS会记录异常信息并通知协同控制中心，控制中心命令交换机和路由器控制异常信息传输速率，并将部分异常信息送至信息蜜罐或蜜网中进行监测。如果在信息蜜罐或蜜网中，异常信息表现出感染特性，安全分析设备会立即检测出感染特征，并通知控制中心将检测出的感染特征添加至各IDS和防火墙的病毒特征库。特殊地，如果异常信息在蜜罐中的感染过程是有时滞的，可认为该信息中携带潜伏型病毒，蜜罐或蜜网中安全系统会进一步分析异常信息代码，提取病毒潜伏特征，并通知控制中心转发潜伏特征。此外，在网络的关键交换机和路由器中会部署流量分析器和探测器，可用来跟踪异常数据流并完成持续监控。

IDS检测方式有多种，其中基于主机的IDS通过分析来自单个计算机的系统审计踪迹和系统日志来检测攻击；基于网络的IDS被设置在关键交换机和路由器中，通过捕获分析网络数据包来检测攻击；除此之外，IDS的检测分析方法包括基于协议的检测与分析、基于神经网络的检测与分析、基于统计的检测与分析方法等，各种方法的灵活运用有利于提升对病毒的检测能力。然而，如果不能精确地提取攻击特征并更新病毒特征库，IDS就不能对入侵行为实施准确的感知和判断；基于目标对象的未披露漏洞后门而实施的攻击，由于IDS缺乏先验知识，理论上不可能做到有效检测与分析。此时，需要IDS、信息蜜罐和蜜网协同检测。蜜罐系统通过在特定的检测环境内观察可疑信息，记录其活动规律，尽可能地收集入侵信息，以便分析入侵者的水平、目的和入侵手段等，包括日志子模块、管理子模块和监视子模块。其中，日志子模块记录蜜罐中发生的所有事件，为系统管理员后续分析异常事件或感染事件提供参考；管理子模块提供给管理员一个对蜜罐子系统进行管理和配置的用户接口，以保证管理员身份的正确性，管理员可通过认证来接触到受保护的模块、文件等，并进行配置和管理；监视子模块会对进程、事件和网络连接等进行监视，并将监视结果写入日志子模块，进一步通过态势分析协同来发现可能存在的潜在威胁。

态势感知协同会对每个时间段内的网络状态进行监控，如果网络中节点状态发生改变，需要态势分析协同机制来判断网络是否受到攻击、攻击强度、攻击区域以及网络能否自恢复至安全状态等。态势分析协同主要依赖于协同控制中心，通过收集IDS报警信息、信息蜜罐与蜜网检测信息、关键交换机和路由器检测信息，对网络整体态势进行分析，分析内容包括病毒的潜伏能力与感染能力、网络受感染区域分布、网络中可能潜伏病毒的区域、病毒传播趋势、网络对病毒的免疫能力等，态势分析结果有助于对病毒传播模型中的参数值进行估计，计算病毒传播的基本再生数，进而选取当前最适合的协同防御策略。

对于异常信息，协同控制中心根据收集到的相关信息对该类信息可疑度进行判定；借鉴异常信息检测方法，选择既往攻击信息为训练集，训练异常信息分类模型，即可实时判定该类信息类型或是否包含潜伏型病毒，进而选取合适的免疫或隔离策略来防御潜伏型病毒。

态势分析协同可深入分析网络受感染程度等安全态势信息，社团中的协同管理中心会根据安全态势分析结果，查询协同防御策略库，生成当前最优防御策略，分发给社团中的节点，节点采取相应的防御措施共同应对网络威胁。如果已获取病毒的攻击特征或潜伏特征，控制中心会将这些特征广播给社团内的用户主机、交换机以及社团间的路由器节点，这些节点对接收或传输的数据包进行检查和过滤，拒绝包含病毒特征数据的接收或限制其传输速度。

若社团中部分节点的安全设备检测出异常信息，但未能发现病毒特征，协同控制中心会通知社团中其它节点进行协同检测与分析。通过收集网络中异常信息存在的区域与规模，并根据目前网络的通信需求，对比策略库中策略适用条件，选择防御策略。以下列举了几种参考策略：①若网络各社团均被感染，此时网络需要尽快恢复到安全状态，而对通信能力要求不高，协同控制中心可选择基于最大节点度的隔离策略，尽快降低网络平均度，从而迅速抑制病毒传播；②若网络各社团均被感染，而网络正在进行重要通信，需要在维护网络安全的同时保证网络的通信损失较少，可采用基于节点信任关系的恶意信息拦截策略，通过选择最合适的信任阈值，在控制病毒传播的同时，保证网络的业务承载能力；③若网络中只有个别社团被潜伏或感染，首先断开这些社团与其它社团之间的连接，然后在被隔离社团内部选取适合的防御策略进行恢复，而其它社团之间依然保持正常通信。被隔离社团发出的信息及其它社团发往被隔离社团的信息可由路由器转送至信息蜜网中进行存储与检测，从而提高病毒特征的检测率，并降低策略造成的信息损失。

协同防御策略由社团中协同控制中心共同制定，为了便于模型的架构扩展与实现，需要统一协同策略的生成格式和字段：

其中，Community表示策略所适用社团编号；Target表示策略所适用目标，如IP地址，端口；Type表示策略种类，包括检测、抑制、清除或免疫病毒等；Event指当前针对的网络安全事件，如潜伏型病毒入侵、感染型病毒入侵、混合型病毒入侵或DDOS攻击等；等级表示网络当前所处的安全级别；Objects表示操作的对象，如IDS、交换机、信息蜜罐和信息蜜网等；Operation表示操作对象所要执行的操作，包括扫描、分析、隔离或转发信息至蜜罐等。

协同控制中心通过安全协议(如SSL协议等)与社团内其他用户和安全模块建立安全通信连接，在协同策略生成后，协同控制中心将策略安全分发至社团中目标节点。

协同策略分发后，网络节点会根据策略内容实时调节自身行为。用户主机的行为调节包括改变IDS检测级别及需要检测内容、防火墙过滤规则、NTVMM模块阈值(阈值会决定异常信息的接收比例)、IPS的清除对象；交换机和路由器行为调节包括信息分发规则、控制异常信息流速、端口开放情况；信息蜜罐和蜜网会调整对特殊事件记录及监视频率、提升安全分析软件对日志的审查和分析频率、以及允许转存信息的数量。控制中心可以协同计算策略库中策略的期望收益，分配最高收益的策略，社团根据接收到的指令调整各自行为。调整后的网络状态经过感知与分析，就可以判断网络安全状态经过调整是否得到提升。调节反馈协同的具体流程，如图4所示。

首先，由协同控制器根据具体情况生成初始策略并分发至各社团，同时计算预期收益。社团根据协同控制中心产生的策略调整自身行为。调整行为后，网络整体安全状态会发生改变，此时节点将调节后的状态反馈给协同控制中心，包括节点安全状态的变化和通信损失情况等。根据收集到的反馈信息，协同控制中心计算网络实际收益，通过对比实际收益与期望收益，实时调整协同防御策略，确保网络获得最佳收益。网络收益计算方法可根据策略对网络整体的通信能力及网络受感染情况的影响来设计。以潜伏型病毒为例，根据网络病毒传播SEIQRS模型，可以计算出病毒传播的基本再生数为

其中，<k>为网络平均度，β为潜伏型病毒的感染系数，γ为潜伏病毒在网络节点中被激活的概率，ψ为网络节点具有抗病毒攻击感染能力的概率，δ为节点抗病毒能力退化的概率，ω为受病毒攻击感染的节点断开网络连接的概率，θ表示潜伏的病毒失去激活机会的概率，b表示节点在病毒潜伏期具备免疫能力的概率。由此，可进一步计算网络相对安全指数

其中，

N为网络节点总数。网络平均信息强度为

im_ij(t)为t时刻节点i和节点j传递信息的重要性。根据网络平均信息强度和网络相对安全指数，可计算隔离策略带来的网络收益为

其中，λ_max由网络鲁棒性确定，λ为隔离节点后造成网络信息损失的比例；a₁,b₁为网络鲁棒性范围内通信和安全所占的比例系数，a₁+b₁＝1。在网络鲁棒性范围内隔离节点，对网络通信影响较小，而安全提升明显，因而通常a₁＜b₁。a₂,b₂为网络鲁棒性范围外通信和安全所占的比例系数，a₂+b₂＝1，通常a₂＞b₂。Δμ(t)和Δδ(t)为t时刻后网络平均信息强度和网络相对安全指数变化值，计算如下

如果网络未到达安全状态，可以计算实际收益与期望收益的差值，若差值大于某个阈值ε，协同控制中心可根据最新的态势感知与分析结果，调整协同防御策略的生成与分发，以获取更高的网络收益。

在一个具体的实施例中，潜伏型病毒通常先潜伏至网络关键节点，在激活后迅速感染网络其它节点，由于潜伏型病毒的隐蔽性，传统防御架构难以有效查杀，病毒清除过程普遍滞后于病毒感染与传播。网络协同防御可基于大规模网络的主动协同防御模型，用于防御DDOS攻击和蠕虫病毒攻击，还可按照协同防御机制抵御潜伏型病毒入侵。以潜伏型病毒为例设计网络协同防御流程，如图5所示。

在协同防御系统中，信息蜜罐与蜜网、网络链路中的IDS系统都能对潜伏型病毒实时进行监控。如果网络中流量异常，IDS立即通知协同控制中心，控制中心命令交换机或路由器将信息诱导至信息蜜罐或蜜网中，进行长期的观察。由于信息蜜罐或蜜网中会设置一些能满足潜伏型病毒激活条件的环境，如调整系统时间，键盘键入，访问次数触发等，从而提升网络对异常信息中病毒的检测能力。若未能检测到异常信息中的病毒信息，可进一步提取分析信息中部分内容，以便寻找出病毒潜伏的特征。对于数据内容的提取，蜜罐和蜜网需要向协同控制中心提出数据访问请求，在协同防御中心通过后，可对异常信息的内容进行访问与提取，以此来确保蜜罐或蜜网中信息的安全性。一旦检测出病毒潜伏特征，信息蜜罐和蜜网会将特征告知协同控制中心，控制中心通知其它节点启用IPS和防火墙，清除和过滤包含潜伏特征的流量数据，从而提升病毒的免疫率。

以上特征提取过程主要针对处于潜伏阶段的病毒，对于感染阶段的病毒，协同防御系统可将其视为蠕虫病毒。此外，在防御感染阶段病毒的同时，网络节点还需要检测病毒是否包含潜伏特性，避免网络恢复安全后的二次感染。如果协同控制中心确定病毒类型潜伏型病毒但未检测出潜伏特征，可命令网络用户开启防火墙的NTVMM模块，在可承受的通信损失范围内选择一个合适的阈值，并以部分通信代价来提升网络的安全性。

以上潜伏型病毒防御流程能对已知类型病毒的潜伏和感染特征进行检测，也能利用模块间的协同作用来检测未知类型病毒的潜伏和感染特征，从而有效提升网络对病毒的检测能力。在检测出病毒特征之前，即病毒监测阶段，协同控制中心会生成并分发协同防御策略，来抑制病毒传播规模，确保病毒对网络造成的损失降到最低。

本公开还提供了一种基于社团结构的网络协同防御方法，参考图6，该方法包括以下步骤：

步骤S101：将整体网络划分为多个自治社团，每个所述自治社团均包括用户主机、协同控制中心以及社团内部安全系统；

步骤S102：所述社团内部安全系统对病毒进行入侵检测，若存在异常信息则通知所述协同控制中心；

步骤S103：响应于所述协同控制中心发出的命令，所述社团内部安全系统存储和持续监测所述异常信息，以获取病毒特征；

步骤S104：将所述病毒特征发送至所述协同控制中心，所述协同控制中心控制启用防火墙和入侵保护，并根据协同防御策略库中的防御策略生成最优防御策略。

上述方法中各个步骤对应于基于社团结构的网络协同防御系统，具体不再赘述，可参考前文。

仿真验证：

仿真部分重点验证所构建协同防御架构及机制在防御潜伏型病毒方面的有效性。节点信任值管理算法(NTVMM)和基于最大性能收益的隔离算法(Maximum performancegain isolation algorithm，MPGIA)在网络收益方面要优于最大度隔离算法(Maximumdegree isolation algorithm，MDIA)，仿真主要将协同防御策略与前两种策略进行对比。

生成一个小世界网络，网络节点数，边的数量，平均度近似等于2，平均聚类系数为0.273。根据Newman快速凝聚算法，将网络划分为6个社团。图7给出了每个社团中节点的数量。

选取SEIQRS病毒传播模型，模型中转移参数设置为β＝0.6，θ＝0.1，γ＝0.6，ω＝0.2，ε＝0.2，

δ＝0.2，b＝0.1。网络总节点数N＝1000，网络平均度k＝2，令状态节点数量初始值(S(0),E(0),I(0),Q(0),R(0))＝(980,0,20,0,0)，计算可得直接潜伏型病毒传播模型的基本再生数分别为R₀＝2.25，该参数设置下网络中是有病毒的存在，而且网络利用自身免疫系统无法恢复至安全状态，需要合理的策略来抑制病毒的传播。仿真中，在整个网络中单独采用MPGIA和NTVMM来恢复网络安全(作为对照组)，计算网络恰好达到安全时两种防御算法带来的网络性能收益。假设网络中单位时间内两个节点间通信一次，即有两条信息传输。仿真中单位时间取为1秒。由于只在网络鲁棒性范围内计算策略的收益，小世界网络中网络收益函数参数取为a₁＝0.5,b₁＝0.5。

在整个网络中用两个策略恢复网络安全后，将网络按照上述方法划分为6个社团，并在相同仿真参数环境下模拟协同防御过程(作为实验组)。由于是从数值上对协同防御仿真，对其中的部分模块功能进行量化处理。信息蜜罐和信息蜜网对潜伏病毒的潜伏特征和感染特征进行检测，设置检测周期为20秒，网络对潜伏节点和感染节点的免疫概率增加20％。蜜罐和蜜网存储MPGIA和NTVMM中未能成功发送的信息，并在网络恢复安全后将这些信息转发至目的节点。由于网络中信息对时间的依赖程度是随机的，只有部分信息对时间是敏感的，即延迟发送有很大损失，而其它信息对时间的敏感度较低，在网络安全后发送也不会有太大的损失。因此，根据平均场理论，可认为蜜罐和蜜网会降低网络中一半的信息损失，即协同防御中总的信息损失会在原有损失基础上减少至50％。协同防御过程中被病毒感染的社团，会采用收益最高的策略来进行隔离与恢复。没有发现病毒的社团可保持正常通信，只需与受感染的社团间中断通信。据此，计算协同防御在恢复网络安全时的累积网络收益。

协同防御收益的有效性验证：

初始状态节点数(S(0),E(0),I(0),Q(0),R(0))＝(980,0,20,0,0)，表示在病毒爆发初始时刻，网络协同感知和分析系统检测出被感染病毒节点有20个，此时还未检测出有潜伏病毒的节点，且所有节点都不具备抵御病毒感染的能力。假设检测出的潜伏型病毒具有明显的地域特性，集中分布在某个社团内，但不确定病毒所在社团编号。在此条件下，仿真验证有协同防御和无协同防御时两种策略带来的网络收益。

图8是病毒分别出现在在1-6号社团时，网络整体采用NTVMM和MPGIA，以及隔离对应社团后采用NTVMM和MPGIA得到的网络收益，即不同策略组合的网络性能收益。

此时，网络中所隔离的社团一定是病毒存在的社团编号。其中，MPGIA-CI表示社团隔离后在受感染社团中采用MPGIA来恢复网络的安全；NTVMM-CI表示社团隔离后在受感染社团中采用NTVMM；MPGIA-NE为不隔离社团，网络整体采用MPGIA；NTVMM-NE为不隔离社团，网络整体采用NTVMM。

由图8分析知，社团隔离后采用MPGIA和NTVMM恢复网络安全所获得的网络收益是近似相等的，且通常优于在整个网络中采用这两种策略获得的收益。由于社团3和社团6的节点数量较多，隔离社团后会对较多节点通信造成影响。因此，如果病毒存在于这两个社团时，可对网络整体采用收益较高的策略，不需要隔离社团。此外，网络整体采取策略所获得的收益与病毒所在的具体社团无关。在协同防御系统具体运行时，协同控制中心总会根据病毒所在社团，选择最佳防御方案，如病毒在社团1时选择MPGIA-CI防御方案，病毒在社团3时选择NTVMM-NE防御方案。为进一步探究协同防御的有效性，图9给出了网络采用协同防御时两种策略的收益和不采用协同防御时两种策略的收益。

由图9可以看出，协同防御下所采用的最佳策略收益总优于无协同防御时最佳策略收益。协同防御增强了网络对潜伏型病毒的检测能力，降低了防御策略造成的信息损失比例。因此，网络防御的收益得到有效提升。此外，协同防御策略能以更小的通信代价提升网络安全性能。

仿真结果表明，协同防御在防御潜伏型病毒传播方面比无协同防御更具优势，能以较小的通信损失来恢复网络的安全。

综上，本公开提供的基于社团结构的网络协同防御系统及方法，在大规模网络的主动协同防御模型基础上，融合了信息蜜罐与蜜网、带有节点信任管理功能的防火墙、协同防御策略库等安全模块，构建了新的网络协同防御系统架构。通过设计合理的协同防御机制，打破了网络防御要素间的独立性，使这些防御要素以协同的方式共同抵御外部攻击。相比于无协同防御的系统，该协同防御系统能提升网络对潜伏型病毒的防御能力，在一定程度上增强了网络全系统感知、元素认证、防御动态化、行为可监控、快速响应与恢复能力，符合网络空间安全生态系统的要求。此外，协同防御架构模型具有较强的扩展性，针对其它类型的网络攻击，可通过增加安全模块和防御机制，增强协同防御系统的功能。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权利要求指出。