專利名稱:網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)技術(shù)�,屬于信息安全領(lǐng)域。
背景技術(shù):
傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)(如防火墻等)主要基于被動(dòng)防御��,對(duì)系統(tǒng)正在遭受的攻擊缺乏實(shí)時(shí)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估����,因而也就不能有針對(duì)性地主動(dòng)依據(jù)當(dāng)前網(wǎng)絡(luò)遭受攻擊的強(qiáng)度和風(fēng)險(xiǎn)等級(jí)等情況實(shí)時(shí)調(diào)整自己的防御策略。實(shí)時(shí)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)對(duì)積極的網(wǎng)絡(luò)安全技術(shù)具有重要的意義�����。傳統(tǒng)的網(wǎng)絡(luò)安全評(píng)估手段主要包括對(duì)IDS取樣分析��、人工評(píng)估及其安全審計(jì)等方法��,這些方法缺乏實(shí)時(shí)性�,不能定量計(jì)算,具有很大的局限性���。
中國(guó)專利公開號(hào)為CN1412714A的申請(qǐng)案���,通過模擬黑客攻擊的方法����,對(duì)被檢系統(tǒng)進(jìn)行安全漏洞和隱患掃描��,提交風(fēng)險(xiǎn)評(píng)估報(bào)告�����,并提出相應(yīng)調(diào)整措施���。該方法只能在黑客攻擊之前對(duì)網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估,不能在黑客攻擊的時(shí)候進(jìn)行實(shí)時(shí)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估��,并且不能檢測(cè)已有攻擊的變種�,適應(yīng)能力較差。
發(fā)明內(nèi)容
本發(fā)明提出一種實(shí)時(shí)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)及方法���,能夠?qū)W(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)的����、定量的風(fēng)險(xiǎn)評(píng)估���,并且在對(duì)網(wǎng)絡(luò)檢測(cè)和監(jiān)控時(shí)����,能夠自我學(xué)習(xí),及時(shí)發(fā)現(xiàn)新的網(wǎng)絡(luò)攻擊模式�����。
本發(fā)明依據(jù)人體免疫系統(tǒng)中抗體濃度的變化與病原體入侵強(qiáng)度的對(duì)應(yīng)關(guān)系提出的����。
本發(fā)明所述的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)由入侵檢測(cè)模塊,對(duì)主機(jī)的風(fēng)險(xiǎn)評(píng)估模塊���,對(duì)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估模塊組成�。與人體免疫系統(tǒng)相對(duì)應(yīng)����,系統(tǒng)中定義抗原為要檢測(cè)的網(wǎng)絡(luò)活動(dòng),自體為正常網(wǎng)絡(luò)活動(dòng)�����,非自體為異常網(wǎng)絡(luò)活動(dòng)����。系統(tǒng)中還定義了免疫細(xì)胞���,免疫細(xì)胞為對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)的功能模塊,抗體(用來檢測(cè)抗原的檢測(cè)器)存在于免疫細(xì)胞中����,用于檢測(cè)抗原。免疫細(xì)胞分為記憶免疫細(xì)胞和成熟免疫細(xì)胞��,成熟免疫細(xì)胞是還沒被抗原激活的免疫細(xì)胞(在一定的時(shí)間內(nèi)未匹配到指定數(shù)目的抗原)����,記憶免疫細(xì)胞是由被激活的成熟免疫細(xì)胞進(jìn)化而來的。系統(tǒng)運(yùn)行過程中����,免疫細(xì)胞對(duì)由抗原提呈(對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行特征提取)得到的抗原(網(wǎng)絡(luò)活動(dòng)特征)進(jìn)行檢測(cè)�����。免疫細(xì)胞受抗原刺激(與抗原匹配)且累計(jì)足夠的親和力(匹配數(shù)超過給定的閾值)�����,該細(xì)胞將會(huì)被克隆(產(chǎn)生更多類似的免疫細(xì)胞以對(duì)付更猛烈的攻擊),同時(shí)該細(xì)胞相應(yīng)的抗體濃度將會(huì)提高�,免疫細(xì)胞持續(xù)被激活(遭到連續(xù)的攻擊),則其抗體濃度將會(huì)持續(xù)地增加�。免疫細(xì)胞抗體濃度將在一個(gè)保持周期內(nèi)保持,若在抗體濃度保持周期內(nèi)未被激活����,則相應(yīng)抗體濃度將會(huì)衰減至0,這樣可根據(jù)記憶免疫細(xì)胞的抗體濃度對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估����。
在詳細(xì)說明之前,首先定義系統(tǒng)中使用的一些名詞��、符號(hào)以及一些公式(1)抗原集合設(shè)抗原集合Ag={<a��,b>|a∈D∧b∈ψ∧|a|=l∧a=APCs(b)}�����,其中集合D={0����,1}l,l為常自然數(shù),集合ψ為網(wǎng)上傳輸?shù)腎P包集合���,APCs(b)類似免疫系統(tǒng)中的抗原提呈����,對(duì)IP包b進(jìn)行特征提取提取長(zhǎng)度為l的二進(jìn)制串(主要由源��、目的IP地址���、端口號(hào)��、協(xié)議類型���、協(xié)議狀態(tài)等網(wǎng)絡(luò)事務(wù)特征的二進(jìn)制串組成)作為原始IP包的抗原決定基(特征值)。
(2)自體與非自體集合自體集合SelfAg��,非自體集合NoselfAg�。有self∪Noself=Ag,Self∩Noself=Φ����。對(duì)任意的元素x∈Ag��,定義自體的屬于運(yùn)算符∈APCs及 如下 (3)免疫細(xì)胞集合定義免疫細(xì)胞集合B={<d,p��,age�����,count>|d∈D�,p∈R,age�����,count∈N}����,其中d為抗體,p為抗體濃度�����,age為抗體年齡����,count為抗體匹配到的抗原數(shù)目,R為實(shí)數(shù)集����,N為自然數(shù)集�。免疫細(xì)胞又分為成熟免疫細(xì)胞Tb和記憶免疫細(xì)胞Mb���,即B=Mb∪Tb��,且Mb∩Tb=Φ����。
(4)親和力(affinity)計(jì)算函數(shù)fr_con(x���,y)建議采用r連續(xù)位(r-contiguous bits)匹配函數(shù)�,計(jì)算公式見公式(2) 另外��,親和力計(jì)算函數(shù)也可采用其他函數(shù)�,例如海明距離、歐拉距離等計(jì)算函數(shù)��。
(5)未成熟免疫細(xì)胞集合定義未成熟免疫細(xì)胞集合Ib={<d�,age>|d∈D,age∈N)��。
(6)抗體基因庫(kù)定義抗體基因庫(kù)AgdD���,抗體基因庫(kù)主要用于骨髓模型中生成新的未成熟免疫細(xì)胞的抗體基因����。
(7)定義記憶免疫細(xì)胞Mb中的Consanguinity關(guān)系
Consanguinity={<x�����,y>|x�,y∈Mb∧fr_con(x.d,y.d)=1}(3)(8)血親類和最大血親類設(shè)任意的集合XM(jìn)b�,對(duì)任意的x,y∈X��,都有<x�,y>∈Consanguinity,稱X為由Consanguinity產(chǎn)生的血親類���。另外�����,若X為由Consanguinity產(chǎn)生的血親類�,且Mb-X中的任何元素均不與X中的元素存在關(guān)系Consanguinity�,則稱X為最大血親類���。
(9)最大血親類系設(shè)π={A1,A2���,...��,An}���,Mb1=Mb,]]> 令Mb′中的所有最大血親類集合為πi={X1i,X2i,...,Xki},]]>則Ai∈{x|x∈π′,|x|=max1≤t≤k(|Xt′|)},]]>即Al為Mb′中具有最多元素的任一最大血親類,并且 如此稱π為Mb中的最大血親類系���。
為了進(jìn)一步說明本發(fā)明的原理及特征�����,以下結(jié)合附圖進(jìn)行詳細(xì)的說明�����。
圖1為系統(tǒng)的體系結(jié)構(gòu)1顯示了整個(gè)系統(tǒng)在網(wǎng)絡(luò)中的分布(設(shè)被保護(hù)的網(wǎng)絡(luò)中共有K臺(tái)主機(jī))入侵檢測(cè)模塊和對(duì)主機(jī)的風(fēng)險(xiǎn)評(píng)估模塊分布在整個(gè)網(wǎng)絡(luò)中的各個(gè)主機(jī)上����,對(duì)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估模塊分布在風(fēng)險(xiǎn)評(píng)估中心服務(wù)器上�。入侵檢測(cè)模塊對(duì)主機(jī)的網(wǎng)絡(luò)活動(dòng)進(jìn)行檢測(cè)���,對(duì)主機(jī)的風(fēng)險(xiǎn)評(píng)估模塊根據(jù)主機(jī)上記憶免疫細(xì)胞的抗體濃度對(duì)主機(jī)進(jìn)行風(fēng)險(xiǎn)評(píng)估,對(duì)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估模塊根據(jù)整個(gè)網(wǎng)絡(luò)中記憶免疫細(xì)胞的抗體濃度對(duì)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估���。
圖2為入侵檢測(cè)模塊的工作流程圖網(wǎng)絡(luò)入侵檢測(cè)過程如下(1)從實(shí)際網(wǎng)絡(luò)數(shù)據(jù)流中,獲取IP數(shù)據(jù)包�,提取IP包的特征信息(如IP地址、端口號(hào)和協(xié)議等信息)�,構(gòu)成長(zhǎng)度為l的二進(jìn)制串,作為抗原定期放入集合Ag中����。
(2)將抗原集合Ag由記憶免疫細(xì)胞集合Mb進(jìn)行檢測(cè),把被記憶免疫細(xì)胞檢測(cè)為非自體的抗原從Ag中刪除�����,如果記憶免疫細(xì)胞檢測(cè)到自體就從Mb中刪除����。
(3)將抗原集合Ag由成熟免疫細(xì)胞集合Tb進(jìn)行檢測(cè),把被成熟免疫細(xì)胞檢測(cè)為非自體的抗原從Ag中刪除����,如果成熟免疫細(xì)胞在一定的周期內(nèi)檢測(cè)到一定數(shù)目的抗原就會(huì)被激活而加入到記憶免疫細(xì)胞集合Mb中�����,如果成熟免疫細(xì)胞在一定的周期內(nèi)沒被激活或檢測(cè)到自體就從Mb中刪除�����。
(4)對(duì)未成熟免疫細(xì)胞進(jìn)行耐受(刪除與自體集合匹配的細(xì)胞)��,如果未成熟免疫細(xì)胞耐受成功就會(huì)加入到成熟免疫細(xì)胞集合Tb中�����,否則就會(huì)死亡����。
(5)生成一定數(shù)目的未成熟免疫細(xì)胞加入到未成熟免疫細(xì)胞集合Ib中�,新生的未成熟免疫細(xì)胞的抗體一般分為幾個(gè)部分一部分完全隨機(jī)產(chǎn)生(確保抗體的多樣性)�,另一部分抗體基因由抗體基因庫(kù)中的基因編碼而來,編碼的方法可以采用遺傳算子等��。
(6)返回(2)���。
網(wǎng)絡(luò)入侵檢測(cè)過程中��,抗原集合變化的詳細(xì)過程由方程(4)-(9)描述����。
AgNonself(t)={x|x∈Ag(t),∃y∈(Mclone(t)∪Tclone(t))]]> AgSelf(t)=Ag(t)-AgNonself(t) (7) 其中δ為抗原集合Ag的更新周期,即每δ周期Ag全部由新的抗原取代�,Agnew為兩次抗原更新之間新收集的抗原,AgNonself(t)為t時(shí)刻被檢測(cè)出來的非自體抗原��。QAg(t)為t時(shí)刻與某一成熟免疫細(xì)胞匹配����、但未能使該免疫細(xì)胞累計(jì)到足夠的親和力的抗原�����。fcheck(y�,x)(y∈B,x∈Ag)模擬免疫細(xì)胞對(duì)抗原的分類作用若免疫細(xì)胞匹配了抗原�����,且抗原屬于Self(t-1)��,即檢測(cè)到一個(gè)曾經(jīng)是自體的抗原則返回2�;若匹配但不屬于Self(t-1)��,即檢測(cè)到一個(gè)非自體抗原則返回1����;若未匹配�,則該抗原為已知的自體抗原,返回0�。fcostimulation模擬免疫系統(tǒng)的協(xié)同刺激,指示當(dāng)前抗原是否為自體抗原��,外部信號(hào)可以是系統(tǒng)管理員的應(yīng)答等�。
在真實(shí)網(wǎng)絡(luò)環(huán)境中,由于安全漏洞的存在��,在網(wǎng)絡(luò)安全管理員補(bǔ)漏后�����,過去被認(rèn)為是正常的網(wǎng)絡(luò)活動(dòng)會(huì)被禁止��。另外�����,隨著時(shí)間的推移,網(wǎng)絡(luò)管理員為了提供更好的服務(wù)��,可能會(huì)開放更多的端口���,提供更多的服務(wù)�,這就是說���,以前被禁止的網(wǎng)絡(luò)活動(dòng)����,現(xiàn)在被允許��。這里引入一個(gè)網(wǎng)絡(luò)正?;顒?dòng)(自體)隨時(shí)間動(dòng)態(tài)演化的問題����。一般地,對(duì)于t時(shí)刻的自體集合�����,為上一個(gè)時(shí)刻的自體集合中去掉發(fā)生變異的元素���,同時(shí)加入t時(shí)刻新增的自體元素���,自體集合的動(dòng)態(tài)變化可用方程(10)-(13)來描述��。
Selfnew(t)={y|y為t時(shí)刻新增加的自體串} (12)B(t)=Mb(t)∪Tb(t)�, t≥0(13)抗體基因庫(kù)主要用于生成新的未成熟免疫細(xì)胞抗體的基因����,抗體基因庫(kù)的演化情況可用方程(14)-(16)來描述。
其中di∈D(i=1����,...,k)為初始的抗體基因庫(kù)��,Agdnew(t)為t時(shí)刻免疫細(xì)胞初次應(yīng)答時(shí)細(xì)胞克隆體的基因(首次檢測(cè)到一種新的攻擊)��,Agddead(t)為t時(shí)刻發(fā)生錯(cuò)誤肯定的記憶免疫細(xì)胞(檢測(cè)到一個(gè)被證實(shí)為自體的抗原)基因���。Agdnew(t)作為優(yōu)勢(shì)遺傳基因?qū)⑵浼尤肟贵w基因庫(kù)�����,以利于在生成新的抗體基因時(shí)有可能通過遺產(chǎn)算子等進(jìn)化方法生成更優(yōu)秀的抗體基因�;而Agddead(t)則是隨著時(shí)間的推移已不能適應(yīng)當(dāng)前網(wǎng)絡(luò)需要的、錯(cuò)誤的���、需淘汰的基因����。
圖3為未成熟免疫細(xì)胞的自體耐受過程圖新生成的未成熟免疫細(xì)胞在給定的耐受期內(nèi)沒匹配到自體就轉(zhuǎn)變?yōu)槌墒烀庖呒?xì)胞����。如果未成熟免疫細(xì)胞在耐受期中匹配到了自體,就會(huì)死亡���。
方程(17)-(20)詳細(xì)描述了未成熟免疫細(xì)胞的耐受過程�。
Imaturation(t)={x|x∈Itolerance(t)∧x.age>α} (19)Inew(t)={y1�,y2,...�,yξ} (20)其中Itolerance(t)為對(duì)Self(t-1)經(jīng)歷一次耐受后剩下的免疫細(xì)胞,α≥1(常數(shù))模擬耐受期��,Imaturation(t)為t時(shí)刻歷經(jīng)α個(gè)耐受期后成熟的免疫細(xì)胞�����。Inew(t)為t時(shí)刻產(chǎn)生的新的未成熟免疫細(xì)胞�。
圖4為成熟免疫細(xì)胞檢測(cè)抗原的過程圖成熟免疫細(xì)胞檢測(cè)抗原的過程如下(1)成熟免疫細(xì)胞中的抗體和抗原進(jìn)行匹配,如果不匹配��,該抗原進(jìn)入下一輪的檢測(cè)���,否則轉(zhuǎn)(2)����。
(2)判斷匹配到的抗原是否屬于自體集合��,如果屬于則轉(zhuǎn)(3)���,否則轉(zhuǎn)(4)�����。
(3)如果經(jīng)過協(xié)同刺激確定該抗原為自體�����,則該成熟免疫細(xì)胞死亡同時(shí)該抗原進(jìn)入下一輪的檢測(cè)���,否則轉(zhuǎn)(4)。
(4)刪除該抗原���。
(5)判斷該成熟免疫細(xì)胞的匹配數(shù)是否超過一定的閾值β����,如果超過則對(duì)該成熟免疫細(xì)胞進(jìn)行克隆,將其轉(zhuǎn)化為記憶免疫細(xì)胞并發(fā)送到網(wǎng)絡(luò)中的其他主機(jī)�����。
方程(21)-(32)詳細(xì)描述了成熟免疫細(xì)胞的檢測(cè)過程�。
Tb′(t)=Tb″(t)-P(t)∪Tb(t) (22)Tb″(t)={y|y∈B∧(y.d=x.d,y.p=x.p��,y.age=x.age���,y.count=x.count+1����,x∈P(t))}(23) Tb″(t)={y|y∈B∧(y.d=x.d�,y.p=x.p,y.age=x.age+1��,(25)y.count=x.count����,x∈Tb(t-1))}Tnew(t)={y|y∈B∧(y.d=x.d,y.p=0�����,y.age=0����,y.count=0,x∈Imaturation(t))} (26) Tclone(t)={x|x∈Tb(t)�,x.count≥β}(28) 其中x′∈Tb,xi′.d=fvariation(x)����,xi′.p=0,xi′.age=0����,xi′.count=0
fvariation(x)=d′,其中d′∈D���,x.d≠d′���,fr_con(x.d,d′)=1(31)Family(x)={y|y∈B(t-1)∧x≠y∧fr_con(x.d���,y.d)=1} (32)其中Tnew(t)為t時(shí)刻從骨髓中新產(chǎn)生的成熟的免疫細(xì)胞��,Tclone_new(t)為細(xì)胞克隆新產(chǎn)生出的免疫細(xì)胞(歷經(jīng)變異����、自體耐受過程,如方程27��、30所示)�,Tclone(t)為t時(shí)刻將要進(jìn)化為記憶免疫細(xì)胞的細(xì)胞集合,Tdead(t)為t時(shí)刻由于在細(xì)胞生命周期內(nèi)(λ)未累計(jì)到足夠的親和力(β)而死亡的細(xì)胞����。
圖5為記憶免疫細(xì)胞檢測(cè)抗原的過程記憶免疫細(xì)胞檢測(cè)抗原的過程如下(1)記憶免疫細(xì)胞和抗原進(jìn)行匹配,如果不匹配�,交給成熟免疫細(xì)胞匹配,否則轉(zhuǎn)(2)�。
(2)判斷匹配到的抗原是否屬于自體集合,如果屬于則轉(zhuǎn)(3)���,否則轉(zhuǎn)(4)��。
(3)如果經(jīng)過協(xié)同刺激確定該抗原為自體����,則該記憶免疫細(xì)胞死亡并把該抗原交給成熟免疫細(xì)胞檢測(cè),否則轉(zhuǎn)(4)����。
(4)刪除該抗原��,對(duì)該記憶免疫細(xì)胞進(jìn)行克隆并增加該記憶免疫細(xì)胞的抗體濃度����。
方程(33)-(41)詳細(xì)描述了記憶免疫細(xì)胞的檢測(cè)過程。
Mb′(t)=Mb″(t)∪Mclone′(t) (34) y.age=x.age+1�,y.count=x.count,x∈Mb(t-1)-Mclone(t))} Mclone′(t)={x|x∈Mb∧y∈Mclone(t)∧(x.d=y(tǒng).d���,(37)x.p=η+y.p����,x.age=0�����,x.count=y(tǒng).count+1} Mnew(t)={x|x∈Mb∧y∈Tclone(t)∧(x.d=y(tǒng).d���,x.p=η���,x.age=0�����,x.count=y(tǒng).count)} (39)Tother_machine_clone(t)={x|x∈Mb∧y∈T′other_machine_clone(t)(40)∧(x.d=y(tǒng).d���,x.p=0,x.age=0����,x.count=0)}
其中K為當(dāng)前網(wǎng)絡(luò)中的主機(jī)數(shù)(41)k為本機(jī)的編號(hào),Tcloneii(t)為第i臺(tái)主機(jī)的Tclone(t)其中Mnew(t)為新產(chǎn)生的記憶免疫細(xì)胞���,Mdead(t)為匹配了一個(gè)被證實(shí)為自體的抗原的記憶免疫細(xì)胞��。T′other_machine_clone(t)為t時(shí)刻網(wǎng)絡(luò)中其他機(jī)器的計(jì)算機(jī)免疫系統(tǒng)中t時(shí)刻成熟免疫細(xì)胞克隆體集合(不含記憶免疫細(xì)胞的克隆)��,當(dāng)成熟免疫細(xì)胞遇抗原產(chǎn)生克隆時(shí)(檢測(cè)到一個(gè)新的網(wǎng)絡(luò)攻擊)��,將該細(xì)胞克隆同時(shí)發(fā)送到網(wǎng)絡(luò)中所有其他機(jī)器上���,以迅速使其他機(jī)器具備抵御類似抗原攻擊的能力,Tother_machine_clone(t)模擬了從其他機(jī)器上接受疫苗的過程(類似種痘)。η(>0)為常數(shù)����。λ′為記憶免疫細(xì)胞抗體濃度的保持周期,即如果該記憶免疫細(xì)胞在λ′周期內(nèi)未再次克隆����,則其相應(yīng)的抗體濃度將衰減直至0���。
圖6為對(duì)主機(jī)的風(fēng)險(xiǎn)評(píng)估模塊流程圖對(duì)主機(jī)k(1≤k≤K)的風(fēng)險(xiǎn)評(píng)估過程如下(1)計(jì)算主機(jī)在t時(shí)刻記憶免疫細(xì)胞集合Mb(t)的最大血親類系π(t)={A1(t)����,A2(t)��,…�,An(t)},即對(duì)記憶免疫細(xì)胞進(jìn)行分類���。
(2)主機(jī)已經(jīng)遭受了n類攻擊����,任取Ai(t)中的任一元素的抗體Aigene(t)作為第i類攻擊的特征�����,i=1,2�����,...����,n。
(3)對(duì)每一類攻擊計(jì)算attacki=αi·Σx∈Ai(t)x.p,]]>其中i=1��,2�����,...��,n����,αi(0≤αi≤1)表明主機(jī)中第i類攻擊Aigene(t)的危險(xiǎn)性。
(4)根據(jù)attacki的值具體評(píng)估主機(jī)k在t時(shí)刻面臨第i類攻擊的風(fēng)險(xiǎn)大小�����。
(5)根據(jù) 的值具體評(píng)估主機(jī)k在t時(shí)刻面臨所有攻擊的風(fēng)險(xiǎn)的大小。
圖7為對(duì)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估模塊流程圖對(duì)整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估過程如下(1)計(jì)算整個(gè)網(wǎng)絡(luò)在t時(shí)刻的記憶免疫細(xì)胞集合 中的最大血親類系∏(t)={C1(t)����,C2(t),...����,Cm(t)},即對(duì)免疫細(xì)胞進(jìn)行分類�,Mbk(t)為主機(jī)k在t時(shí)刻的記憶免疫細(xì)胞集合,(2)整個(gè)網(wǎng)絡(luò)已經(jīng)遭受了m類攻擊�,任取Ci(t)中的任一元素的抗體Cigene(t)作為第i類攻擊的特征�,i=1,2���,...�,m�����。
(3)對(duì)每一類攻擊計(jì)算attacki=αi·Σx∈Ci(t)(x.p·Σβkk∈{j|1≤j≤K,x∈Mb′(t)}),]]>其中i=1���,2��,...���,m�����,αl(0≤αl≤1)表明網(wǎng)絡(luò)中第i類攻擊Gigene(t)的危險(xiǎn)性����,βk(0≤βk≤1)為主機(jī)k在網(wǎng)絡(luò)中的重要性��。
(4)根據(jù)attacki的值具體評(píng)估整個(gè)網(wǎng)絡(luò)在t時(shí)刻面臨第i類攻擊的風(fēng)險(xiǎn)的大小����。
(5)根據(jù) 的值具體評(píng)估整個(gè)網(wǎng)絡(luò)在t時(shí)刻面臨所有攻擊的風(fēng)險(xiǎn)的大小。
權(quán)利要求
1.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)及方法���,其特征在于基于免疫的網(wǎng)絡(luò)監(jiān)控的步驟����;對(duì)主機(jī)的風(fēng)險(xiǎn)評(píng)估的步驟�;對(duì)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估的步驟。
2.權(quán)利要求1所述的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)及方法����,其特征在于基于免疫的網(wǎng)絡(luò)監(jiān)控的步驟包括以下步驟對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行抗原提呈(特征提取)的步驟�;抗原集合動(dòng)態(tài)演化的步驟���;自體集合動(dòng)態(tài)演化的步驟����;抗體基因庫(kù)的演化的步驟�����;記憶免疫細(xì)胞檢測(cè)抗原的步驟��;成熟免疫細(xì)胞檢測(cè)抗原的步驟�����;未成熟免疫細(xì)胞自體耐受的步驟�����;免疫細(xì)胞克隆的步驟���;免疫細(xì)胞抗體濃度變化的步驟��。
3.權(quán)利要求2所述的基于免疫的網(wǎng)絡(luò)監(jiān)控的步驟�,其特征在于免疫細(xì)胞克隆的步驟包括以下步驟成熟免疫細(xì)胞在給定時(shí)間內(nèi)檢測(cè)到一定數(shù)目的抗原進(jìn)行克隆的步驟��;成熟免疫細(xì)胞克隆時(shí)將其發(fā)送到網(wǎng)絡(luò)中的其他主機(jī)中作為其他主機(jī)中的記憶免疫細(xì)胞的步驟���;記憶免疫細(xì)胞檢測(cè)到抗原進(jìn)行克隆的步驟����;克隆的免疫細(xì)胞經(jīng)過變異和自體耐受的步驟�����。
4.權(quán)利要求2所述的基于免疫的網(wǎng)絡(luò)監(jiān)控的步驟��,其特征在于免疫細(xì)胞抗體濃度變化的步驟包括以下步驟成熟免疫細(xì)胞抗體濃度為0的步驟�;成熟免疫細(xì)胞克隆時(shí),提高抗體濃度的步驟�;記憶免疫細(xì)胞在一定的周期內(nèi)再次檢測(cè)到抗原時(shí),其抗體濃度持續(xù)增加的步驟��;記憶免疫細(xì)胞在一定的周期內(nèi)未再次檢測(cè)到抗原時(shí)����,其抗體濃度進(jìn)行衰減的步驟���。
5.權(quán)利要求1所述的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)及方法,其特征在于對(duì)主機(jī)的風(fēng)險(xiǎn)評(píng)估的步驟包括以下步驟根據(jù)最大血親類系的方法對(duì)主機(jī)上的記憶免疫細(xì)胞進(jìn)行分類的步驟��;根據(jù)每類記憶免疫細(xì)胞判斷主機(jī)已經(jīng)遭受的攻擊類型及特征的步驟���;根據(jù)每類記憶免疫細(xì)胞抗體濃度評(píng)估主機(jī)面臨相應(yīng)攻擊的風(fēng)險(xiǎn)的步驟�;根據(jù)主機(jī)上所有的記憶免疫細(xì)胞抗體濃度評(píng)估主機(jī)面臨的整體風(fēng)險(xiǎn)的步驟�。
6.權(quán)利要求1所述的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)及方法,其特征在于對(duì)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估的步驟包括以下步驟根據(jù)最大血親類系的方法對(duì)網(wǎng)絡(luò)中的記憶免疫細(xì)胞進(jìn)行分類的步驟�����;根據(jù)每類記憶免疫細(xì)胞判斷網(wǎng)絡(luò)已經(jīng)遭受的攻擊類型及特征的步驟�;根據(jù)每類記憶免疫細(xì)胞抗體濃度評(píng)估網(wǎng)絡(luò)面臨相應(yīng)攻擊的風(fēng)險(xiǎn)的步驟;根據(jù)網(wǎng)絡(luò)中所有的記憶免疫細(xì)胞抗體濃度評(píng)估網(wǎng)絡(luò)面臨的整體風(fēng)險(xiǎn)的步驟����。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)及方法����,屬于信息安全領(lǐng)域。本發(fā)明模擬人體免疫系統(tǒng)中免疫細(xì)胞的功能���,對(duì)大規(guī)模網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)控�����,并且根據(jù)免疫細(xì)胞的抗體濃度對(duì)主機(jī)面臨某種攻擊的風(fēng)險(xiǎn)��、主機(jī)面臨的整體風(fēng)險(xiǎn)��、整個(gè)網(wǎng)絡(luò)面臨某種攻擊的風(fēng)險(xiǎn)以及整個(gè)網(wǎng)絡(luò)面臨的整體風(fēng)險(xiǎn)進(jìn)行評(píng)估���。本發(fā)明可對(duì)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)的���、定量的風(fēng)險(xiǎn)評(píng)估,并且在對(duì)網(wǎng)絡(luò)檢測(cè)和監(jiān)控時(shí)能自我學(xué)習(xí)��,及時(shí)發(fā)現(xiàn)新的網(wǎng)絡(luò)攻擊模式�����,具有廣闊的應(yīng)用前景���。
文檔編號(hào)H04L12/24GK1567853SQ200410022160
公開日2005年1月19日 申請(qǐng)日期2004年3月29日 優(yōu)先權(quán)日2004年3月29日
發(fā)明者李濤 申請(qǐng)人:四川大學(xué)