技術領域

本發明涉及到目前市面上很多需要配置防御規則的安全產品。比如防火墻、浪潮集團的SS系列安全產品，安全規則的配置需要根據客戶的需要來設置。防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制（允許、禁止、報警）。但它是靜態的，而網絡安全是動態的、整體的，黑客的攻擊方法有無數，防火墻不是萬能的，不可能完全防止這些有意或無意的攻擊。這就存在著隱患，智能規則部署能夠起到全面的防御和預警功能。

技術背景

傳統的安全規則部署，是人為根據需要將全部規則或者部分規則加入到系統中，由于安全產品針對的網絡環境不是唯一的，很多安全規則針對特定的網絡環境是沒必要的，但是究竟哪些規則是必要的，這需要診斷和智能學習。盲目的配置安全規則是不科學的。配置了過多冗余的規則，對安全產品的資源浪費和整個網絡網速的影響是非常大的。而配置了不準確的規則，即針對該環境應該配置的規則沒有配，則會影響安全產品的防御效果，從而對所保護的服務器放開了漏洞。可寫的安全規則的配置在此類產品上都是十分的缺乏的。

目前很多安全防御系統的設置是人為的、機械的，沒有科學的根據實際環境部署防御規則。

發明內容

本發明要解決的技術問題是：本專利提出的技術是根據一種智能學習的算法，根據當前的網絡環境、服務器提供的服務類型、訪問對象類型、遭受過的攻擊、訪問時間段等各個因素作為初始值，通過一段時間的學習來決定最佳的規則部署方案，并且可以根據整個網絡的常見攻擊和潛在威脅進行動態的規則部署。在使用安全防御規則方面做到了智能部署、動態識別威脅。

本技術的核心算法是一個智能學習優化算法-----改進的粒子群優化算法。

粒子群算法是一種通過對各種因素的學習，經過不斷的優化、從而達到最佳的優化結果的一種學習算法，本專利的學習算法經過對傳統的粒子群算法進行的改進，通過對保障網絡安全的各個因素的學習和動態觀察來設定安全防御規則的模板，為提高網絡安全的防御效率打下基礎。

本發明所采用的技術方案為：

一種基于改進的粒子群算法的信息安全防御規則智能部署方法，所述方法包括智能學習算法、安全規則的部署策略，根據參數的改進的粒子群算法優化系統日志中攻擊的頻率、種類以及潛在攻擊，采用了智能學習算法在不影響安全防御系統正常資源開銷的情況下進行部署，針對網絡的實際環境進行規則部署，采用能夠防御現有的攻擊和并且能夠據網絡狀況洞察潛在的攻擊，具有自主分析攻擊的能力的訪問日志攻擊分析引擎，能夠通過訪問日志識別常見攻擊。

所述方法包括：初始化模塊、日志分析模塊、智能獲取模塊、高速檢索模塊、在線分析功能模塊、攻擊檢測功能，

其中：

初始化模塊，根據系統參數確定服務器的類別、根據訪問日志確定客戶的大致類別和訪問頻率、根據事件日志中出現的攻擊、訪問日志中的訪問內容和方式、目前所配置的規則功能等參數在此階段確定，根據這些分組的數據，將對應的組內的數據進行了初始化，分別初始化為N個粒子，并設定該組內的最佳位置和初始速度，設定所有組的整體目標位置；

日志分析模塊，識別系統中的規則和攻擊最佳捷徑就是通過日志進行分析，訪問日志中可以根據返回碼或者訪問的內容識別攻擊或者潛在的威脅，當然對訪問日志的內容分析需要增加攻擊檢測功能，該功能可以根據攻擊特征來歸類；事件日志的分析主要是針對規則攔截住的攻擊進行分析，從而增加相關規則或修改規則配置；

智能獲取模塊，算法初始化之后，與后臺的服務器和外網建立連接，在各個初始化參數到位的情況下進行優化，通過多次的循環學習和目前能夠防御的規則集合，最終給出防御建議；如：根據各個參數通過優化能夠得出防御攻擊級別、優先級，優先級越高；需要進行相應規則的設置或推薦啟用該類似的規則。

高速檢索模塊：初始化的參數可以看做粒子，比如訪問日志中可以根據訪問資源類型、潛在威脅類型初始化N個粒子，事件日志中的攻擊記錄、服務器類型和客戶類型等初始化為粒子，通過這多個方面的粒子群的優化，按照算法的學習過程給出優化公式，在粒子群學習了一定次數之后，得出的攻擊類型的結論便是最佳方案，檢索速度是非常快的，不會串行于安全防御功能中占用防御資源。

在線分析功能模塊：該模塊是在連接外網的情況下，通過在網絡上搜索得出常見攻擊的排序，將常見攻擊同樣初始化為一個粒子群組，并且設定組內的最佳位置和最佳速度，而實時的加入到算法中進行優化，為系統對現有攻擊的防御和潛在攻擊的預警做了鋪墊；