CN114760095B - 一种意图驱动的网络防御策略生成方法、系统及应用 - Google Patents
一种意图驱动的网络防御策略生成方法、系统及应用 Download PDFInfo
- Publication number
- CN114760095B CN114760095B CN202210231975.XA CN202210231975A CN114760095B CN 114760095 B CN114760095 B CN 114760095B CN 202210231975 A CN202210231975 A CN 202210231975A CN 114760095 B CN114760095 B CN 114760095B
- Authority
- CN
- China
- Prior art keywords
- link
- belief
- generating
- intention
- victim
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,公开了一种意图驱动的网络防御策略生成方法、系统及应用,获取链路的流量信息;依据链路的流量信息,确定链路安全状态,并生成信念;当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理;依据防御策略,解除链路的异常。本发明能够根据链路的安全状态,基于意图驱动实现遭遇网络攻击时,防御策略生成的自动化。本发明通过BDI推理能力,将防御策略制定的过程动态化,即不仅可以根据链路状态的变化,及时调整当前的防御策略,还可以处理在执行预期行为的过程中发生的问题,例如:阈值设置不合理等;因此本发明面对复杂多变的网络攻击时,能灵活主动的应对网络攻击,提高了网络弹性。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种意图驱动的网络防御策略生成方法、系统及应用。
背景技术
目前,网络弹性描述在网元失效时,网络功能和结构的恢复能力,是提供可靠、稳健、高效的网络运行的关键。网络弹性是指网络在遇到设备故障、设备配置错误或恶意攻击等挑战时,保持一个可接受的服务水平的能力,并且在可接受时间范围内使其恢复。
目前网络攻击愈演愈烈,且呈现出复杂性、自适应和持续性等特点,完全防御各种网络攻击是不现实的,因此如何在受到攻击时,仍能保证任务的顺利完成,即如何提高网络弹性是当前的重点。弹性策略的核心是管理和重新配置检测、补救和恢复机制,它们作为网络基础设施中的自主组件运行。检测机制:监控网络状态,检测攻击,虽然不能检测出所有的攻击,但可以通过网络的状态变化来分析揭露攻击行为,并及时将信息传递给补救机制;补救机制:通过抑制攻击者的攻击或提高自身的防御等级来防御攻击,保证网络能在可接受的范围内持续运行;恢复机制:在网络安全后,将自身恢复到受攻击前的状态,如检测到链路受到攻击,补救措施限制进入链路的流量,而当危险解除后,链路仍处于限制状态,这时需要恢复措施使链路解除限制,恢复到受攻击前的状态,即正常状态。各种机制可以在网络拓扑的不同部分进行部署和激活。
为了提高网络弹性,Schaeffffer-Filho等人提出了基于事件-条件-行动(ECA)的策略,该方法通过链路监控器和速率限制器在可能受到攻击时做一个预处理;通过异常检测组件进一步处理数据包,收集关于流量异常的更多证据,以放弃更大一部分只针对受害者的网络流量,同时不针对受害者的合法流量被允许通过。如果攻击持续了较长的时间,则会启动分类器和流输出器机制,限制特定攻击流,其余不受限制。但该方法是根据事先安排好的策略进行防御,不具有灵活性,也就是说这是一种反应性的方法。因此,现有的方法无法更好的确保网络弹性。
信念愿望意图即BDI体系结构是Bratman等人提出的实际推理理论的抽象实现。它指定了一个决定代理行为的推理循环。该架构根据在这个推理周期中使用的信念、愿望和意图来构建代理。信念包括一个代理所拥有的关于这个世界的信息,它们不仅可以代表环境的状态,也可以是代理对其周围环境的看法。愿望,也被称为目标,它代表了一个代理想要实现的目标,目标既可以由系统设计人员直接给出,也可以在运行时生成。最后,意图是代理所承诺要实现的目标。意图与计划相关联,计划是实现目标的结构化行动序列,因为只有在有办法实现目标时,代理才能承诺实现目标。
这些BDI组件允许将代理想要实现的目标(愿望)与如何实现目标(计划)分开,可以有多个计划来实现同一个目标。因此,如果一个计划未能实现某一目标,则可以通过推理周期来选择并执行另一个计划。当有多个计划来实现一个目标时,可以指定一个最合适的计划,而不是随机选择计划。使用基于ECA的策略方法确保网络弹性时,需要人工的对组件进行动态实例化,因此为了更好的确保网络弹性,需要一种自动实例化组件的方法。
基于ECA的策略方法对于确保网络弹性是一种反应式的方法,只有在满足一定的条件后,才会对事件进行某种行动,不能灵活的应对网络挑战,在面对日益复杂的网络环境时,会显得力不从心,因此,为了更好的应对网络挑战,需要一种主动的、更加灵活的方法。基于ECA的策略方法在确保网络弹性时,所用策略需要提前制定,因此在面对网络挑战时,难免会有些“呆板”,因此需要一种能根据遇到的网络挑战,动态的制定防御策略的方法。
通过上述分析,现有技术存在的问题及缺陷为:
(1)现有的检测机制不能检测出所有的攻击;现有方法是根据事先安排好的策略进行防御,不具有灵活性,无法更好的确保网络弹性。
(2)现有基于ECA的策略方法不能灵活的应对网络挑战,所用策略需要提前制定,且在面对日益复杂的网络环境时,会显得力不从心。
发明内容
针对现有技术存在的问题,本发明提供了一种意图驱动的网络防御策略生成方法、系统及应用。
本发明是这样实现的,一种意图驱动的网络防御策略生成方法,所述意图驱动的网络防御策略生成方法包括:
获取链路的流量信息,确定链路安全状态,生成信念;当确定链路的安全状态为异常时,根据信念(利用BDI推理循环)完成防御策略的推理,依据防御策略解除链路异常,并在异常解除后,让链路恢复到异常前的状态。
进一步,所述意图驱动的网络防御策略生成方法包括以下步骤:
步骤一,获取链路的流量信息,用于监控链路的状态;
步骤二,依据链路的流量信息,确定链路安全状态,并生成信念,用于信念描述链路的状态,以便后续策略的制定;
步骤三,当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理,根据信念的变化,制定合适的策略;
步骤四,依据防御策略,解除链路的异常。
进一步,所述步骤二中的依据链路的流量信息,确定链路安全状态,并生成信念包括:
当检测到链路中的输入流量超过给定的阈值时,所述链路处于异常状态,生成信念overUsage(link);其中,所述信念overUsage(link)表示链路中的流量超过给定的阈值。
进一步,所述步骤三中的当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理包括:
当感知到信念overUsage(link)生成后,生成愿望和意图,从而实现链路的攻击预防和找出异常IP;
当找到异常IP后,更新信念,从而生成新的愿望和意图,实现对受害者IP的保护,解除对链路的速率限制,并判断是否为恶意攻击;
当判断为恶意攻击后,生成新的信念、愿望和意图,实现对攻击者的限制,并解除受害者IP的限制,至此防御完成。
进一步,所述根据信念overUsage(link),生成愿望和意图为当感知到信念overUsage(link)后,生成愿望detectOverUsageCause(link),进而生成意图detectAnomalous(ip);而在不确定链路的异常是否为恶意攻击前,对链路进行攻击预防,生成愿望attackPrevented(link),进而生成意图limitLinkRate(link);
其中,所述detectOverUsageCause(link)表示查找造成链路中流量超过给定阈值的原因;所述detectAnomalous(ip)表示查找异常IP地址;所述attackPrevented(link)表示防止链路受到攻击;所述limitLinkRate(link)表示限制进入链路的流量速率;
进一步,所述攻击预防为设置一个RATE参数,使得之后进入链路的流量是之前进入的百分比,对于进入链路中的流量,假设初始速率是固定的,事先设定好的,攻击预防是降低进入链路的流量的速率,从而达到保护链路的同时,使链路保持一个可接受的服务水平。
进一步,所述当找到异常IP后,更新信念,从而生成新的愿望和意图包括:
找到异常IP(受害者IP)后,代表之前的意图已经完成,因此生成新的信念Anomalous(victim)和Benign(victim),同时更新信念overUsageCause=victim;为了判断是否为恶意攻击,生成愿望?Benign(victim),进而生成意图classify Flow(victim);同样,为了保护受害者IP,会产生愿望Restricted(victim),进而生成意图limitIPRate(victim);而因为找到了异常IP,并完成对受害者IP的保护,此时需要将其他的解除限制,因此生成愿望notAttackPrevented(link),进而生成意图recovery LinkRate(link)。
其中,所述Anomalous(victim)表示victim是异常的;所述overUsageCause表示造成链路异常的原因;所述?Benign(victim)表示进入victim的流量是不是良性的;所述classify Flow(victim)表示对进入victim中的流进行分类;所述Restricted(victim)表示限制流量进入victim;所述limitIPRate(victim)表示限制进入victim的流量速率;所述notAttackPrevented(link)表示不再对链路进行攻击预防;所述recovery LinkRate(link)表示恢复链路中的流的速率。
进一步,所述对受害者IP的保护为对进入该IP地址的流量进行限制,从而保护该IP地址。对于IP的限制速率分为三个等级:高、中、低,对于速率的选择影响两个软目标:最大化性能和最大化保护。最大化性能与限制的速率的高低成反比,而对于最大化保护的影响有两种结果,即服务器无法响应请求或服务器继续保持运行。在选择限制速率时,需要兼顾最大化性能和最大化保护。如:首先选择限制速率最低的,如果此时进入该受害者IP的流量在一个可接受的范围内,则对受害者IP的保护成功;如果进入该受害者IP的流量仍超过可接受的范围,则对受害者IP的保护失败,此时限制速率提高,继续执行之前的操作,直到进入受害者IP的流量在一个可接受的范围内,保护受害者IP成功。
进一步,所述判断为恶意攻击后,生成新的信念、愿望和意图包括:
当判断为恶意攻击后,会更新信念Benign(victim)=false,同时为保护链路,根据攻击流,生成愿望restricted Threat(<src=DDoS:80,dst=victim:80,protocol=http>),进而生成意图limitFlowRate(<src=DDoS:80,dst=victim:80,protocol=http>);在意图完成后,信念更新flowRateLimited(<src=DDoS:80,dst=victim:80,protocol=http>)=true、Benign(victim)=true;因为此时受害者已经安全了,所以需要解除对受害者的速率限制,因此生成愿望not Restricted(victim),进而生成意图recovery IPRate(victim);在完成后,信念更新ipRateLimited(victim)=false,表明此时链路已经恢复到受到攻击前的正常状态。
其中,所述Benign(victim)表示进入victim的流量是良性的;所述restrictedThreat表示限制危险的流;所述limitFlowRate表示限制流的进入;所述flowRateLimited表示该流已经被限制进入;所述not Restricted(victim)表示不在限制流量进入victim;所述recovery IPRate(victim)表示恢复受害者的速率;所述ipRateLimited(victim)表示进入受害者的流量速率已经被限制。
进一步,所述victim为受害者的IP地址,如果有多个受害者,则标记为victim1、victim2…,以此类推。
进一步,所述愿望Restricted(victim)的生成原因与之前的攻击预防一样,是为了保护受害者IP。
进一步,所述解除链路速率限制和解除IP速率限制都是在对攻击的防御进入下一层次后进行的,目的就是在保证安全的情况下,提高性能。
进一步,所述<src=DDoS:80,dst=victim:80,protocol=http>:src是指源IP地址,dst是指目的IP地址,80是指端口为80端口,protocol是指协议为http协议。
本发明的另一目的在于提供一种应用所述的意图驱动的网络防御策略生成方法的意图驱动的网络防御策略生成系统,所述意图驱动的网络防御策略生成系统包括:
流量信息获取模块,用于获取链路的流量信息;
信念生成模块,用于依据链路的流量信息确定链路安全状态,并生成信念;
防御策略推理模块,用于当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理;
链路异常解除模块,用于依据防御策略,解除链路的异常。
本发明的另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
获取链路的流量信息;依据链路的流量信息,确定链路安全状态,并生成信念;当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理;依据防御策略,解除链路的异常。
本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:
获取链路的流量信息;依据链路的流量信息,确定链路安全状态,并生成信念;当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理;依据防御策略,解除链路的异常。
本发明的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端用于实现所述的意图驱动的网络防御策略生成系统。
结合上述的技术方案和解决的技术问题,请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为:
第一、针对上述现有技术存在的技术问题以及解决该问题的难度,紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等,详细、深刻地分析本发明技术方案如何解决的技术问题,解决问题之后带来的一些具备创造性的技术效果。具体描述如下:
本发明中的意图驱动的网络防御策略生成技术是一种提高网络弹性的技术,通过BDI推理能力,将防御策略制定的过程动态化,即不仅可以根据链路状态的变化,及时调整当前的防御策略,还可以处理在执行预期行为的过程中发生的问题,例如:阈值设置不合理等;因此本发明面对复杂多变的网络攻击时,灵活性更高。
第二,把技术方案看做一个整体或者从产品的角度,本发明所要保护的技术方案具备的技术效果和优点,具体描述如下:
意图驱动的网络防御策略生成的方法通过信念的生成和更新实现对网络状态的实时监测;根据当前的网络状态,生成信念、愿望,在结合上下文,形成意图,完成对网络攻击的防御,极大地提高了网络弹性,维护了网络安全。
本发明可根据链路的安全状态,基于意图驱动实现遭遇网络攻击时,防御策略生成的自动化。本发明利用BDI推理框架,实现了对网络状态的实时感知和防御策略的自动生成,且能灵活主动的应对网络攻击,提高了网络弹性。
本发明的技术方案是否解决了人们一直渴望解决、但始终未能获得成功的技术难题:
与基于ECA的策略方法相比,本发明的主要优势是:(1)如果防御过程中做的不好,例如:当无法实现某一意图或试图实现该意图时失败,或者一个恶意流被错误的归类为良性流;由于BDI的主动性质,会产生新的愿望和意图来继续执行;(2)在防御过程中,会根据具体的链路情况,通过通用策略的组合,例如:速率限制,动态地制定防御策略;(3)能够处理执行策略时发现的问题,例如:阈值设定不合理。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的意图驱动的网络防御策略生成方法流程图。
图2是本发明实施例提供的意图驱动的网络防御策略生成系统结构框图。
图3是本发明实施例提供的意图驱动的网络防御策略生成方法防御流程图。
图4是本发明实施例提供的信念-愿望-意图的转换流程图。
图中:1、流量信息获取模块;2、信念生成模块;3、防御策略推理模块;4、链路异常解除模块。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种意图驱动的网络防御策略生成方法、系统及应用,下面结合附图对本发明作详细的描述。
一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现,该部分是对权利要求技术方案进行展开说明的解释说明实施例。
如图1所示,本发明实施例提供的意图驱动的网络防御策略生成方法包括:
S101,获取链路的流量信息;
S102,依据链路的流量信息,确定链路安全状态,并生成信念;
S103,当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理;
S104,依据防御策略,解除链路的异常。
如图2所示,本发明实施例提供的意图驱动的网络防御策略生成系统包括:
流量信息获取模块1,用于获取链路的流量信息;
信念生成模块2,用于依据链路的流量信息确定链路安全状态,并生成信念;
防御策略推理模块3,用于当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理;
链路异常解除模块4,用于依据防御策略,解除链路的异常。
实施例1
本发明实施例提供的意图驱动的网络防御策略生成方法包括:
获取链路的流量信息;
依据链路的流量信息,确定链路安全状态,并生成信念;
当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理;
依据防御策略,解除链路的异常。
本发明实施例提供的依据链路的流量信息,确定链路安全状态,并生成信念包括:
当所述链路的输入流量超过给定的阈值时,确定链路的安全状态为异常,并生成新的信念;
当所述链路的输入流量低于给定的阈值时,更新信念;
其中所述阈值是根据正常情况下的网络峰值确定的,是在保证链路安全的情况下的,链路的输入流量的最大值。
本发明实施例提供的信念生成和信念更新包括:
当链路的状态发生变化时,生成新的信念或更新旧的信念,如:当链路的状态由安全转变为异常时,会产生一个新的信念;如:在实施防御策略的过程中,自身出现了问题,会产生一个新的信念,根据这个新的信念,可以灵活解决出现的问题;当意图被实现后,与该意图相关的信念也会发生更新。
本发明实施例提供的根据信念,生成愿望和意图包括:
当所述链路的状态发生变化时,通过信念修正步骤,添加新的信念或更新旧的信念;依据当前的信念,通过愿望生成步骤,生成相应的愿望,生成的愿望与想要达到的状态有关;在愿望中,根据上下文选择接下来要实现的愿望,形成意图,而当意图完成后,又会反馈,生成新的信念,影响下一次愿望和意图的生成。
本发明实施例提供的当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理包括:
当所述链路中的输入流量超过给定阈值时,该链路的状态就判为异常;而此时对于造成异常的原因还不能判为受到恶意攻击;
为了确保链路的安全,会生成相应的愿望和意图,实现对链路的保护;
为了确定异常原因,会生成相应的愿望和意图,从而找出异常IP;
当找到异常IP后,会生成新的信念,从而生成新的愿望和意图,实现对受害者IP的保护、解除对链路的速率限制和判断是否为恶意攻击;
当判断为恶意攻击后,生成新的信念、愿望和意图,实现对攻击者的限制,并解除受害者IP的限制,至此防御策略推理完成。
本发明实施例提供的找到异常IP,生成新的信念,从而生成新的愿望和意图包括:
在找到异常IP(受害者IP)后,代表之前的意图已经完成,因此会更新信念;而为了判断是否为恶意攻击,会生成相应的愿望和意图,根据判断结果来更新信念;同样,为了保护受害者IP,会产生相应的愿望和意图;而在完成对受害者IP的保护后,为了提高性能,需要将其他的限制解除。
本发明实施例提供的判断为恶意攻击后,生成新的信念、愿望和意图包括:
当判断为恶意攻击后,会更新信念,同时为了保护链路,会生成愿望和意图来完成对攻击流的限制;在完成限制后,会更新相应的信念,根据信念的更新,生成愿望和意图来完成对链路状态的恢复,即解除不必要的限制,使链路恢复到了受到攻击前的正常状态。
实施例2
本发明实施例提供的意图驱动的网络防御策略生成方法是这样实现的:
获取链路的流量信息;
依据链路的流量信息,确定链路安全状态,并生成信念;
当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理;
依据防御策略,解除链路异常。
本发明实施例提供的依据链路流量信息,确定链路安全状态,并生成信念:
当检测到链路中的输入流量超过给定的阈值时,此时链路处于异常状态,生成信念overUsage(link),其中信念overUsage(link)表示链路中的流量超过给定的阈值。
本发明给定阈值为事先设置的一个定值,是依据正常情况下的网络峰值确定的,是在保证链路安全的情况下的,链路允许的输入流量的最大值。
本发明实施例提供的根据信念,生成愿望和意图,完成防御策略的推理的具体过程包括:
当感知到信念overUsage(link)生成后,会生成愿望和意图,从而实现链路的攻击预防和找出异常IP;
当找到异常IP后,会更新信念,从而生成新的愿望和意图,实现对受害者IP的保护,解除对链路的速率限制,并判断是否为恶意攻击;
当判断为恶意攻击后,生成新的信念、愿望和意图,实现对攻击者的限制,并解除受害者IP的限制,至此防御完成;
本发明实施例提供的根据信念overUsage(link),生成愿望和意图为当感知到信念overUsage(link)后,为了探究造成链路流量超过阈值的原因,会生成愿望detectOverUsageCause(link),进而生成意图detectAnomalous(ip);而在不确定链路的异常是否为恶意攻击前,为了防止链路被破坏,需要对链路进行一个保护措施,即攻击预防,因此会生成愿望attackPrevented(link),进而生成意图limitLinkRate(link);
其中,所述detectOverUsageCause(link)表示查找造成链路中流量超过给定阈值的原因;所述detectAnomalous(ip)表示查找异常IP地址;所述attackPrevented(link)表示防止链路受到攻击;所述limitLinkRate(link)表示限制进入链路的流量速率;
本发明实施例提供的攻击预防为设置一个RATE参数,使得之后进入链路的流量是之前进入的百分比,即对于进入链路中的流量,假设初始速率是固定的,事先设定好的,攻击预防就是降低进入链路的流量的速率,从而达到保护链路的同时,也使链路保持一个可接受的服务水平。
本发明实施例提供的找到异常IP,更新信念,并生成新的愿望和意图包括:
因为找到异常IP(受害者IP)后,代表之前的意图已经完成,因此会生成新的信念Anomalous(victim)和Benign(victim),同时更新信念overUsageCause=victim;为了判断是否为恶意攻击,生成愿望?Benign(victim),进而生成意图classify Flow(victim);同样,为了保护受害者IP,会产生愿望Restricted(victim),进而生成意图limitIPRate(victim);而因为找到了异常IP,并完成了对受害者IP的保护,此时需要将其他的解除限制,因此生成愿望not AttackPrevented(link),进而生成意图recovery LinkRate(link)。
其中,所述Anomalous(victim)表示victim是异常的;所述overUsageCause表示造成链路异常的原因;所述?Benign(victim)表示进入victim的流量是不是良性的;所述classify Flow(victim)表示对进入victim中的流进行分类;所述Restricted(victim)表示限制流量进入victim;所述limitIPRate(victim)表示限制进入victim的流量速率;所述notAttackPrevented(link)表示不再对链路进行攻击预防;所述recovery LinkRate(link)表示恢复链路中的流的速率。
本发明实施例提供的对受害者IP的保护为对进入该IP地址的流量进行限制,从而保护该IP地址。对于IP的限制速率分为三个等级:高、中、低,对于速率的选择影响两个软目标:最大化性能和最大化保护。最大化性能与限制的速率的高低成反比,而对于最大化保护的影响有两种结果,即服务器无法响应请求或服务器继续保持运行。因此,在选择限制速率时,需要兼顾最大化性能和最大化保护。如:首先选择限制速率最低的,如果此时进入该受害者IP的流量在一个可接受的范围内,则对受害者IP的保护成功;如果进入该受害者IP的流量仍超过可接受的范围,则对受害者IP的保护失败,此时限制速率提高,继续执行之前的操作,直到进入受害者IP的流量在一个可接受的范围内,即保护受害者IP成功。
本发明实施例提供的判断为恶意攻击后,生成新的信念、愿望和意图包括:
当判断为恶意攻击后,会更新信念Benign(victim)=false,同时为了保护链路,根据攻击流,会生成愿望restricted Threat(<src=DDoS:80,dst=victim:80,protocol=http>),进而生成意图limitFlowRate(<src=DDoS:80,dst=victim:80,protocol=http>);在意图完成后,信念更新flowRateLimited(<src=DDoS:80,dst=victim:80,protocol=http>)=true、Benign(victim)=true;因为此时受害者已经安全了,所以需要解除对受害者的速率限制,因此生成愿望not Restricted(victim),进而生成意图recovery IPRate(victim);在完成后,信念更新ipRateLimited(victim)=false,表明此时链路已经恢复到了受到攻击前的正常状态。
其中,所述Benign(victim)表示进入victim的流量是良性的;所述restrictedThreat表示限制危险的流;所述limitFlowRate表示限制流的进入;所述flowRateLimited表示该流已经被限制进入;所述not Restricted(victim)表示不在限制流量进入victim;所述recovery IPRate(victim)表示恢复受害者的速率;所述ipRateLimited(victim)表示进入受害者的流量速率已经被限制;
本发明实施例提供的victim为受害者的IP地址,如果有多个受害者,则标记为victim1、victim2…,以此类推;
本发明实施例提供的愿望Restricted(victim)的生成原因与之前的攻击预防一样,是为了保护受害者IP;
本发明实施例提供的解除链路速率限制和解除IP速率限制都是在对攻击的防御进入下一层次后进行的,目的就是在保证安全的情况下,提高性能;
本发明实施例提供的<src=DDoS:80,dst=victim:80,protocol=http>:src是指源IP地址,dst是指目的IP地址,80是指端口为80端口,protocol是指协议为http协议。
实施例3
如图3所示,本发明实施例提供的意图驱动的网络防御策略生成方法的防御流程包括:
步骤一,限制链路速率。
在检测到链路的安全状态变成异常状态后,即检测到信念overUsage(link)后,为了在查明是否受到恶意攻击前,保证链路的安全,对进入链路的流量进行一个速率限制的处理,使链路中的流量保持在一个可接受的范围内,即生成愿望attackPrevented(link),根据这个愿望生成意图limitLinkRate(link),在意图完成后,生成新的信念linkRateLimited(link)(表示进入链路的流量速率已经被限制),具体是设置一个Rate参数,然后通过代理的速率限制的能力,使得之后进入链路的流量是之前进入的百分比,即对于进入链路中的流量,假设初始速率是固定的,事先设定好的,限制链路速率就是降低进入链路的流量的速率,从而达到保护链路的同时,也使链路保持一个可接受的服务水平。
步骤二,找到受害者IP地址。
在对链路进行保护的同时,会生成愿望detectOverUsageCause(link)和意图detectAnomalous(ip),目的是为了找到链路中异常的IP地址,即如果有一个异常流量指向某个IP地址,即目的IP地址为该IP地址,则这个IP地址就被认为是异常的,并把其标记为受害者IP地址;在找到异常的IP后会生成信念Anomalous(victim)和Benign(victim),同时更新信念overUsageCause=victim。
步骤三,保护受害者IP地址。
检测到信念Anomalous(victim)后,会生成愿望Restricted(victim)和意图limitIPRate(victim),即对于步骤二中找到的受害者IP地址,为了保证它们的安全,代理会对这些受害者IP地址执行保护措施,即限制进入该IP地址的流量速率;对于IP地址的速率限制,有高、中、低三个等级,采用不同的速率限制,会影响两个软目标,即最大化性能和最大化保护;其中最大化性能与限制速率的大小成反比;而对于最大化保护的影响有两种结果,即服务器无法响应请求或服务器保持运行,而保护受害者IP的目的就是使IP安全的情况下,保持运行,因此在选择限制速率时,需要兼顾最大化性能和最大化保护;在完成保护后,会生成信念ipRateLimited(victim)。
步骤四,解除链路限制。
在检测到信念ipRateLimited(victim)后,会生成愿望not AttackPrevented(link)和意图recovery LinkRate(link);因为在找到victim后,异常范围已经进一步缩小了,因此在限制进入victim的流的速率后,为了链路的性能,需要解除之前的对于链路的速率限制,仅限制进入受害者IP的流量速率即可。
步骤五:判断是否受到恶意攻击。
在检测到信念Anomalous(victim)后,会生成愿望?Benign(victim)和意图classifyFlow(victim),目的是判断victim是否是因为受到恶意攻击而变得异常;根据判断结果来更新信念,即如果是受到恶意攻击,则更新信念Benign(victim)=false和Threat(<src=DDoS:80,dst=victim:80,protocol=http>);否则更新信念Benign(victim)=true。
步骤六,限制攻击者IP地址。
检测到信念Threat(<src=DDoS:80,dst=victim:80,protocol=http>),会生成愿望restricted Threat(<src=DDoS:80,dst=victim:80,protocol=http>)和意图limitFlowRate(<src=DDoS:80,dst=victim:80,protocol=http>),完成后更新信念flowRateLimited(<src=DDoS:80,dst=victim:80,protocol=http>)=true、Benign(victim)=true;至此,恶意流量被阻断。
步骤七,解除受害者IP限制。
检测到信念Benign(victim)=true,会生成愿望not Restricted(victim)和意图recovery IPRate(victim),完成后更新信念ipRateLimited(victim)=false;目的是在完成防御后,恢复链路的性能,使之回到发现异常前的状态。
本发明实施例提供的信念-愿望-意图的转换流程图如图4所示。
表1基于ECA的策略和基于BDI的策略的对比
| ECA | BDI | |
| 自动化实例组件 | × | √ |
| 主动应对攻击 | × | √ |
| 决策过程是否动态 | × | √ |
| 策略是否有可重复性 | × | √ |
二、应用实施例。为了证明本发明的技术方案的创造性和技术价值,该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
实施例1
对于链路的限制速率初始设为“低”。
假设链路受到DDoS攻击,在检测到链路异常后,会对进入链路的流量进行限制,因为初始设为“低”,更倾向于最大化性能,如果链路的流量没有下降到一个安全的范围,则提高限制速率,直到链路的流量下降到一个安全的范围;随后找出接收异常流量的IP地址;随后生成意图来限制对受害者IP地址的访问,并解除对链路的限制;随后对进入受害者IP的流进行分类记录,找到攻击流,攻击流来自一个恶意的IP,然后限制该恶意IP的流量进入,阻止了攻击流,此时受害者IP不再受限制。最后,链路恢复到受到攻击前的状态,除了攻击流受限制,其他流不受限制。
实施例2
对于链路的限制速率初始设置为“高”。
假设链路受到DDoS攻击,在检测到链路异常后,会对进入链路的流量进行限制,因为初始设为“高”,更倾向于最大化保护,链路的流量下降到一个较低的水平;随后找出接收异常流量的IP地址;随后生成意图来限制对受害者IP地址的访问,并解除对链路的限制;随后对进入受害者IP的流进行分类记录,找到攻击流,攻击流来自一个恶意的IP,然后限制该恶意IP的流量进入,阻止了攻击流,此时受害者IP不再受限制。最后,链路恢复到受到攻击前的状态,除了攻击流受限制,其他流不受限制。
三、实施例相关效果的证据。本发明实施例在研发或者使用过程中取得了一些积极效果,和现有技术相比的确具备很大的优势,下面内容结合试验过程的数据、图表等进行描述。
基于ECA的策略方法是一种事先制定好的方法,因此在链路受到攻击,限制流量进入时,如果限制速率没有使得链路中的流量下降到一个安全的范围,那么就需要重新手动更改限制速率或者制定一种备用的策略;而在限制攻击流时是通过对进入受害者的所有流就行分析统计,找出攻击流,并进行限制,重复操作,直到分析完所有进入的流,因此效率较低。
相比而言,本发明的策略方法是一种更积极的弹性策略方法,在链路受到攻击,限制流量进入时,如果限制速率没有使得链路中的流量下降到一个安全的范围,则会提高限制速率,继续执行操作;而在限制攻击流时是通过进入受害者的攻击流,找到发送攻击流的恶意IP,通过限制恶意IP来消除危险,因此效率较高。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (9)
1.一种意图驱动的网络防御策略生成方法,其特征在于,所述意图驱动的网络防御策略生成方法包括:
获取链路的流量信息,确定链路安全状态,生成信念;当确定链路的安全状态为异常时,根据信念完成防御策略的推理,依据防御策略解除链路异常;
当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理包括:
当所述链路中的输入流量超过给定阈值时,所述链路的状态判为异常,而对于造成异常的原因不能判为受到恶意攻击;
生成相应的愿望和意图,实现对链路的保护,确保链路的安全;
生成相应的愿望和意图,从而找出异常IP,确定异常原因;
当找到异常IP后,生成新的信念,从而生成新的愿望和意图,实现对受害者IP的保护、解除对链路的速率限制和判断是否为恶意攻击;
当判断为恶意攻击后,生成新的信念、愿望和意图,实现对攻击者的限制,并解除受害者IP的限制,至此防御策略推理完成。
2.如权利要求1所述的意图驱动的网络防御策略生成方法,其特征在于,所述意图驱动的网络防御策略生成方法包括以下步骤:
步骤一,获取链路的流量信息;
步骤二,依据链路的流量信息,确定链路安全状态,并生成信念;
步骤三,当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理;
步骤四,依据防御策略,解除链路的异常。
3.如权利要求2所述的意图驱动的网络防御策略生成方法,其特征在于,所述步骤二中的依据链路的流量信息,确定链路安全状态,并生成信念包括:
当所述链路的输入流量超过给定的阈值时,确定链路的安全状态为异常,并生成新的信念;
当所述链路的输入流量低于给定的阈值时,更新信念;
其中,所述阈值是根据正常情况下的网络峰值进行确定,是在保证链路安全的情况下的链路的输入流量的最大值;
所述信念生成和信念更新包括:
当链路的状态发生变化时,生成新的信念或更新旧的信念;
当链路的状态由安全转变为异常时,产生新的信念;在实施防御策略的过程中,自身出现问题,则产生新的信念,根据新的信念解决出现的问题;当意图被实现后,与所述意图相关的信念发生更新。
4.如权利要求2所述的意图驱动的网络防御策略生成方法,其特征在于,所述步骤三中的根据信念,生成愿望和意图包括:
当所述链路的状态发生变化时,通过信念修正添加新的信念或更新旧的信念;依据当前的信念,通过愿望生成步骤生成相应的愿望,生成的愿望与想要达到的状态有关;在愿望中,根据上下文选择待实现的愿望,形成意图;当意图完成后,进行反馈,生成新的信念,影响下一次愿望和意图的生成。
5.如权利要求1所述的意图驱动的网络防御策略生成方法,其特征在于,所述找到异常IP,生成新的信念,从而生成新的愿望和意图包括:
在找到异常IP后,代表之前的意图已完成,更新信念;生成相应的愿望和意图,根据判断结果更新信念,判断是否为恶意攻击;产生相应的愿望和意图,保护受害者IP;在完成对受害者IP的保护后,将其他的限制解除;
所述判断为恶意攻击后,生成新的信念、愿望和意图包括:
当判断为恶意攻击后更新信念;生成愿望和意图完成对攻击流的限制,保护链路;在完成限制后更新相应的信念;根据信念的更新,生成愿望和意图完成对链路状态的恢复,解除不必要限制,使链路恢复到受到攻击前的正常状态。
6.一种应用如权利要求1~5任意一项所述的意图驱动的网络防御策略生成方法的意图驱动的网络防御策略生成系统,其特征在于,所述意图驱动的网络防御策略生成系统包括:
流量信息获取模块,用于获取链路的流量信息;
信念生成模块,用于依据链路的流量信息确定链路安全状态,并生成信念;
防御策略推理模块,用于当确定链路的安全状态为异常时,根据信念,生成愿望和意图,完成防御策略的推理;
链路异常解除模块,用于依据防御策略,解除链路的异常。
7.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求书1所述方法的步骤。
8.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求书1所述方法的步骤。
9.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现如权利要求6所述的意图驱动的网络防御策略生成系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210231975.XA CN114760095B (zh) | 2022-03-09 | 2022-03-09 | 一种意图驱动的网络防御策略生成方法、系统及应用 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210231975.XA CN114760095B (zh) | 2022-03-09 | 2022-03-09 | 一种意图驱动的网络防御策略生成方法、系统及应用 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114760095A CN114760095A (zh) | 2022-07-15 |
| CN114760095B true CN114760095B (zh) | 2023-04-07 |
Family
ID=82325820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210231975.XA Active CN114760095B (zh) | 2022-03-09 | 2022-03-09 | 一种意图驱动的网络防御策略生成方法、系统及应用 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114760095B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108462714A (zh) * | 2018-03-23 | 2018-08-28 | 中国人民解放军战略支援部队信息工程大学 | 一种基于系统弹性的apt防御系统及其防御方法 |
| CN109327427A (zh) * | 2018-05-16 | 2019-02-12 | 中国人民解放军战略支援部队信息工程大学 | 一种面对未知威胁的动态网络变化决策方法及其系统 |
| CN110119846A (zh) * | 2019-05-10 | 2019-08-13 | 湘潭大学 | 一种用于中期电力负荷预测的多目标深度信念网络 |
| CN110708287A (zh) * | 2019-09-03 | 2020-01-17 | 浙江大学 | 一种基于攻击图和心理理论的入侵响应方法 |
| CN111368302A (zh) * | 2020-03-08 | 2020-07-03 | 北京工业大学 | 基于攻击者攻击策略生成的自动威胁检测方法 |
| CN112487431A (zh) * | 2020-12-02 | 2021-03-12 | 浙江工业大学 | 基于非完全信息的入侵检测系统最优稳态策略求解方法 |
| CN114115068A (zh) * | 2021-12-03 | 2022-03-01 | 东南大学 | 一种内生安全交换机的异构冗余防御策略下发方法 |
| CN114137861A (zh) * | 2021-10-23 | 2022-03-04 | 西安电子科技大学 | 一种意图驱动的云安全服务系统及方法 |
-
2022
- 2022-03-09 CN CN202210231975.XA patent/CN114760095B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108462714A (zh) * | 2018-03-23 | 2018-08-28 | 中国人民解放军战略支援部队信息工程大学 | 一种基于系统弹性的apt防御系统及其防御方法 |
| CN109327427A (zh) * | 2018-05-16 | 2019-02-12 | 中国人民解放军战略支援部队信息工程大学 | 一种面对未知威胁的动态网络变化决策方法及其系统 |
| CN110119846A (zh) * | 2019-05-10 | 2019-08-13 | 湘潭大学 | 一种用于中期电力负荷预测的多目标深度信念网络 |
| CN110708287A (zh) * | 2019-09-03 | 2020-01-17 | 浙江大学 | 一种基于攻击图和心理理论的入侵响应方法 |
| CN111368302A (zh) * | 2020-03-08 | 2020-07-03 | 北京工业大学 | 基于攻击者攻击策略生成的自动威胁检测方法 |
| CN112487431A (zh) * | 2020-12-02 | 2021-03-12 | 浙江工业大学 | 基于非完全信息的入侵检测系统最优稳态策略求解方法 |
| CN114137861A (zh) * | 2021-10-23 | 2022-03-04 | 西安电子科技大学 | 一种意图驱动的云安全服务系统及方法 |
| CN114115068A (zh) * | 2021-12-03 | 2022-03-01 | 东南大学 | 一种内生安全交换机的异构冗余防御策略下发方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于深度信念网络的入侵检测方法设计与实现;张祥;《中国优秀硕士学位论文全文数据库信息科技辑》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114760095A (zh) | 2022-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102017810B1 (ko) | 모바일 기기용 침입방지장치 및 방법 | |
| JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
| Bernardes | Implementation of an intrusion detection system based on mobile agents | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| JP2021060987A (ja) | コンピュータネットワークにおけるデータ効率のよい脅威検出の方法 | |
| CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
| US20160294848A1 (en) | Method for protection of automotive components in intravehicle communication system | |
| Rout et al. | A hybrid approach for network intrusion detection | |
| CN116319061A (zh) | 一种智能控制网络系统 | |
| CN111786986B (zh) | 一种数控系统网络入侵防范系统及方法 | |
| RU2630415C2 (ru) | Способ обнаружения аномальной работы сетевого сервера (варианты) | |
| CN116633694B (zh) | 一种基于多模异构组件的web防御方法与系统 | |
| CN114760095B (zh) | 一种意图驱动的网络防御策略生成方法、系统及应用 | |
| CN108429746A (zh) | 一种面向云租户的隐私数据保护方法及系统 | |
| CN110489969B (zh) | 基于soar处置主机挖矿病毒的系统和电子设备 | |
| CN114697141B (zh) | 一种基于状态机的c4isr态势感知分析系统及方法 | |
| Kamatchi et al. | An efficient security framework to detect intrusions at virtual network layer of cloud computing | |
| Chen et al. | An autonomic detection and protection system for denial of service attack | |
| CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
| CN111107035B (zh) | 基于行为辨识的安全态势感知与防护方法及装置 | |
| CN111338297B (zh) | 一种基于工业云的工控安全框架系统 | |
| Bakshi et al. | WSN Security: Intrusion Detection Approaches Using Machine Learning | |
| CN109218315A (zh) | 一种安全管理方法和安全管理装置 | |
| CN112256527B (zh) | 一种保护设备运行时安全的方法、装置及存储介质 | |
| Seifi et al. | A Study on the Efficiency of Intrusion Detection Systems in IoT Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |