技術(shù)領(lǐng)域

本發(fā)明涉及到目前市面上很多需要配置防御規(guī)則的安全產(chǎn)品。比如防火墻、浪潮集團(tuán)的SS系列安全產(chǎn)品，安全規(guī)則的配置需要根據(jù)客戶(hù)的需要來(lái)設(shè)置。防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火墻可以對(duì)所有的訪問(wèn)進(jìn)行嚴(yán)格控制（允許、禁止、報(bào)警）。但它是靜態(tài)的，而網(wǎng)絡(luò)安全是動(dòng)態(tài)的、整體的，黑客的攻擊方法有無(wú)數(shù)，防火墻不是萬(wàn)能的，不可能完全防止這些有意或無(wú)意的攻擊。這就存在著隱患，智能規(guī)則部署能夠起到全面的防御和預(yù)警功能。

技術(shù)背景

傳統(tǒng)的安全規(guī)則部署，是人為根據(jù)需要將全部規(guī)則或者部分規(guī)則加入到系統(tǒng)中，由于安全產(chǎn)品針對(duì)的網(wǎng)絡(luò)環(huán)境不是唯一的，很多安全規(guī)則針對(duì)特定的網(wǎng)絡(luò)環(huán)境是沒(méi)必要的，但是究竟哪些規(guī)則是必要的，這需要診斷和智能學(xué)習(xí)。盲目的配置安全規(guī)則是不科學(xué)的。配置了過(guò)多冗余的規(guī)則，對(duì)安全產(chǎn)品的資源浪費(fèi)和整個(gè)網(wǎng)絡(luò)網(wǎng)速的影響是非常大的。而配置了不準(zhǔn)確的規(guī)則，即針對(duì)該環(huán)境應(yīng)該配置的規(guī)則沒(méi)有配，則會(huì)影響安全產(chǎn)品的防御效果，從而對(duì)所保護(hù)的服務(wù)器放開(kāi)了漏洞。可寫(xiě)的安全規(guī)則的配置在此類(lèi)產(chǎn)品上都是十分的缺乏的。

目前很多安全防御系統(tǒng)的設(shè)置是人為的、機(jī)械的，沒(méi)有科學(xué)的根據(jù)實(shí)際環(huán)境部署防御規(guī)則。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問(wèn)題是：本專(zhuān)利提出的技術(shù)是根據(jù)一種智能學(xué)習(xí)的算法，根據(jù)當(dāng)前的網(wǎng)絡(luò)環(huán)境、服務(wù)器提供的服務(wù)類(lèi)型、訪問(wèn)對(duì)象類(lèi)型、遭受過(guò)的攻擊、訪問(wèn)時(shí)間段等各個(gè)因素作為初始值，通過(guò)一段時(shí)間的學(xué)習(xí)來(lái)決定最佳的規(guī)則部署方案，并且可以根據(jù)整個(gè)網(wǎng)絡(luò)的常見(jiàn)攻擊和潛在威脅進(jìn)行動(dòng)態(tài)的規(guī)則部署。在使用安全防御規(guī)則方面做到了智能部署、動(dòng)態(tài)識(shí)別威脅。

本技術(shù)的核心算法是一個(gè)智能學(xué)習(xí)優(yōu)化算法-----改進(jìn)的粒子群優(yōu)化算法。

粒子群算法是一種通過(guò)對(duì)各種因素的學(xué)習(xí)，經(jīng)過(guò)不斷的優(yōu)化、從而達(dá)到最佳的優(yōu)化結(jié)果的一種學(xué)習(xí)算法，本專(zhuān)利的學(xué)習(xí)算法經(jīng)過(guò)對(duì)傳統(tǒng)的粒子群算法進(jìn)行的改進(jìn)，通過(guò)對(duì)保障網(wǎng)絡(luò)安全的各個(gè)因素的學(xué)習(xí)和動(dòng)態(tài)觀察來(lái)設(shè)定安全防御規(guī)則的模板，為提高網(wǎng)絡(luò)安全的防御效率打下基礎(chǔ)。

本發(fā)明所采用的技術(shù)方案為：

一種基于改進(jìn)的粒子群算法的信息安全防御規(guī)則智能部署方法，所述方法包括智能學(xué)習(xí)算法、安全規(guī)則的部署策略，根據(jù)參數(shù)的改進(jìn)的粒子群算法優(yōu)化系統(tǒng)日志中攻擊的頻率、種類(lèi)以及潛在攻擊，采用了智能學(xué)習(xí)算法在不影響安全防御系統(tǒng)正常資源開(kāi)銷(xiāo)的情況下進(jìn)行部署，針對(duì)網(wǎng)絡(luò)的實(shí)際環(huán)境進(jìn)行規(guī)則部署，采用能夠防御現(xiàn)有的攻擊和并且能夠據(jù)網(wǎng)絡(luò)狀況洞察潛在的攻擊，具有自主分析攻擊的能力的訪問(wèn)日志攻擊分析引擎，能夠通過(guò)訪問(wèn)日志識(shí)別常見(jiàn)攻擊。

所述方法包括：初始化模塊、日志分析模塊、智能獲取模塊、高速檢索模塊、在線分析功能模塊、攻擊檢測(cè)功能，

其中：

初始化模塊，根據(jù)系統(tǒng)參數(shù)確定服務(wù)器的類(lèi)別、根據(jù)訪問(wèn)日志確定客戶(hù)的大致類(lèi)別和訪問(wèn)頻率、根據(jù)事件日志中出現(xiàn)的攻擊、訪問(wèn)日志中的訪問(wèn)內(nèi)容和方式、目前所配置的規(guī)則功能等參數(shù)在此階段確定，根據(jù)這些分組的數(shù)據(jù)，將對(duì)應(yīng)的組內(nèi)的數(shù)據(jù)進(jìn)行了初始化，分別初始化為N個(gè)粒子，并設(shè)定該組內(nèi)的最佳位置和初始速度，設(shè)定所有組的整體目標(biāo)位置；

日志分析模塊，識(shí)別系統(tǒng)中的規(guī)則和攻擊最佳捷徑就是通過(guò)日志進(jìn)行分析，訪問(wèn)日志中可以根據(jù)返回碼或者訪問(wèn)的內(nèi)容識(shí)別攻擊或者潛在的威脅，當(dāng)然對(duì)訪問(wèn)日志的內(nèi)容分析需要增加攻擊檢測(cè)功能，該功能可以根據(jù)攻擊特征來(lái)歸類(lèi)；事件日志的分析主要是針對(duì)規(guī)則攔截住的攻擊進(jìn)行分析，從而增加相關(guān)規(guī)則或修改規(guī)則配置；

智能獲取模塊，算法初始化之后，與后臺(tái)的服務(wù)器和外網(wǎng)建立連接，在各個(gè)初始化參數(shù)到位的情況下進(jìn)行優(yōu)化，通過(guò)多次的循環(huán)學(xué)習(xí)和目前能夠防御的規(guī)則集合，最終給出防御建議；如：根據(jù)各個(gè)參數(shù)通過(guò)優(yōu)化能夠得出防御攻擊級(jí)別、優(yōu)先級(jí)，優(yōu)先級(jí)越高；需要進(jìn)行相應(yīng)規(guī)則的設(shè)置或推薦啟用該類(lèi)似的規(guī)則。

高速檢索模塊：初始化的參數(shù)可以看做粒子，比如訪問(wèn)日志中可以根據(jù)訪問(wèn)資源類(lèi)型、潛在威脅類(lèi)型初始化N個(gè)粒子，事件日志中的攻擊記錄、服務(wù)器類(lèi)型和客戶(hù)類(lèi)型等初始化為粒子，通過(guò)這多個(gè)方面的粒子群的優(yōu)化，按照算法的學(xué)習(xí)過(guò)程給出優(yōu)化公式，在粒子群學(xué)習(xí)了一定次數(shù)之后，得出的攻擊類(lèi)型的結(jié)論便是最佳方案，檢索速度是非常快的，不會(huì)串行于安全防御功能中占用防御資源。

在線分析功能模塊：該模塊是在連接外網(wǎng)的情況下，通過(guò)在網(wǎng)絡(luò)上搜索得出常見(jiàn)攻擊的排序，將常見(jiàn)攻擊同樣初始化為一個(gè)粒子群組，并且設(shè)定組內(nèi)的最佳位置和最佳速度，而實(shí)時(shí)的加入到算法中進(jìn)行優(yōu)化，為系統(tǒng)對(duì)現(xiàn)有攻擊的防御和潛在攻擊的預(yù)警做了鋪墊；