技術領域

本發明用于解決網絡的入侵防御問題，涉及網絡攻擊的檢測、預警和防御的這一矛盾問題的可拓求解方法。

背景技術

網絡的入侵檢測是指通過對計算機網絡或計算機系統若干關鍵點收集信息并對其進行分析，從而發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象并作出反應的過程。網絡入侵防御指通過一定的響應方式，實時地中止入侵行為的發生和發展，實時地保護信息系統不受實質性攻擊的一種智能化的安全技術。網絡入侵檢測已成為繼防火墻后，不可或缺的網絡安全保障技術之一。常用的檢測方法有異常檢測和誤用檢測，技術主要是基于特征的匹配和基于特征的分類，方法上有神經網絡學習法，支持矢量機法，聚類分析等；情景分析方法，如入侵關聯跟蹤、態勢分析等。

可拓學是用形式化模型研究事物拓展的可能性和開拓創新的規律與方法，用以解決矛盾問題的科學。為了形式化描述客觀世界的物、事(物與物之間的相互作用)和關系(物物、物事及事事之間關系)，可拓論建立了物元R=(N，C，V)、事元I=(D，C，V)和關系元Q=(A，C，V)分別作為物、事和關系的表示形式，物元、事元和關系元，統稱為基元，是可拓論的基礎。它們在組成上類似，由三元組組成。其中，N是名詞，是物名；D是動詞，表示事的行為；A是名詞，是關系名。二元組(C，V)表示對應的特征與特征值，是多維的。如果基元是隨時間變化的，可記為：R(t)、I(t)、Q(t)等。

在可拓論中，用關聯函數來刻畫論域中的元素具有某種性質的程度，把“具有性質P”的事物從定性描述拓展到“具有性質P的程度”的定量描述。關聯函數使問題的關聯度的計算不必依靠主觀判斷或統計，而是根據對事物關于某特征的量化要求的范圍X₀=<a,b>和質變的區間X=<c，d>來確定。這使關聯函數擺脫了主觀判斷造成的偏差。關聯函數的值由距值與位值決定。距表示點與區間的距離。當最優點x₀發生在區間中間時，為一般意義上的“距”；最優點發生左半區間或右半區間時，稱為“側距”。位值表示一個點與兩個區間或兩個區間之間的距離。

網絡安全理論的核心是對無邊界系統的安全理論的研究。無邊界意味著網絡安全問題具有矛盾問題之特性。這也正是用常規求解方法解決網絡入侵與防御問題的困難所在。嘗試用可拓理論解決網絡安全問題，只見2例。趙玲針對DARPA抽出的通用入侵檢測系統模型CIDF，給出了事件分析器物元模型的構造；肖敏等人把可拓理論用于基于特征的入侵檢測中，給出了攻擊的基于特征的物元，研究了其在流量異常中的應用。

發明內容

本發明的目的在于提供一種可有效解決網絡入侵防御的網絡入侵防御的可拓求解方法。

本發明的技術解決方案是：

一種網絡入侵檢測與防御的可拓求解方法，其特征是：包括下列步驟：

（1）預處理通過收集到的數據報文和網絡拓撲信息，得到構造基元的數據，然后構造基元；

（2）對基元進行可拓變換，擴大已知條件，減少問題的矛盾性；

（3）建立問題合適的關聯函數，進行結點狀態的可拓識別和防御。

所述的基元如下：

（1）報文物元R（t），用于記載網絡數據包；

R(t)={報文,C,V(t)}

C={時間，協議類型，源IP，源端口，目標IP，目標端口，

包容量，傳輸標志，包內容}

V（t)=C(R），是C的值

（2）防御事元I，表示對感染點采取的防御措施；

I=(D,C,V},D=“防御措施標識”

C={施動對象，支配對象，時間，地點，程序，方式，工具}

V=C(I)，是C的值

（3）節點關系元Q(t)，表示節點之間的相似關系；

Q(t)={A,C,V},A=“連通”

C={前項，后項，程度，容量，內容，聯系通道，聯系方式}

V(t)=C(Q)，是C的值

其中，容量與內容的值在0～1之間，分別反映兩節點之間報文容量和內容相似度。

（4）預警混合元Inf(t),告知檢測到的攻擊；

Inf(t）={通知,C,V}

C={攻擊標識，原因，端口，發布時間，負載標志，尺寸，內容，防御}

V（t)=C(Inf)，是C的值

其中，“原因”是關于攻擊所利用的漏洞描述的物元，設為H=(N，c，v)，N={漏洞名}，c={依托軟件，危害，…}，v=c(H)；防御為防御事元。

所述可拓變換步驟如下：