本發明屬于網絡信息安全技術領域，特別涉及一種基于安全本體建模的網絡安防策略AI自主防御方法及系統，通過整合多源異構知識來構建用于攻擊預警和選取防御策略的安全本體；實時收集網絡數據流量，基于安全本體對網絡數據流量進行攻擊預警檢測并根據檢測出的預警攻擊所需安全手段獲取相應防御策略；在時間、認知和信息的有限理性的范圍內，根據防御策略并利用搜索樹來生成網絡安防候選規劃方案，在候選規劃方案中選取最優規劃方案并通過方案執行來實現自主防御。本發明在計算資源高約束、資產環境動態條件下，利用有限理性與AI規劃實現自主防御，可在攻擊早期為主動防御提供高效預警。

技術領域

本發明屬于網絡信息安全技術領域，特別涉及一種基于安全本體建模的網絡安防策略AI自主防御方法及系統。

背景技術

網絡空間的攻擊對企業與組織機構威脅極大，表現為攻擊門檻低、攻擊時間隨機且短促，減少損失的關鍵在于高效預警并快速實施有針對性的安全防御措施。傳統網絡安防體系通常與網絡信息系統同步建設，難以適應攻擊方法與行為的快速演化，在應對高度自動化與智能化的攻擊時，這種相對靜態的安全防御模式局限性尤為明顯。總體表現為防御被動、預警低效，在網絡安防場景的有限時間、認知與信息條件下，安全防御的效能難以保證。

建立攻防安全知識與威脅情報體系是實施主動防御的信息基礎。當前安防技術已開始進入智能化時代，安防策略推理需要建立形式化、規范化的知識表達。契合具體安防場景的知識整合必不可少，如何無縫銜接安防現象涉及的通用知識、場景領域知識等異質的知識集合，構建完整、易用的安全知識體系是其中的難點。在安全知識體系中建立安全屬性及其間關系的準確定義，可為安全防御提供可靠的理論依據。安全預警是網絡安全主動防御的前奏，是實施安防方案的依據。預警旨在盡早檢測到網絡攻擊，在資產遭受實質損害前預警，以便采取優化的安全防御策略手段。如何在攻擊發起階段就能進行高效檢測是關鍵。較理想的設計應在漏洞掃描等攻擊發起的最初階段，就能根據網絡流量等基礎數據進行分析捕捉。因此，捕捉網絡流量并深度分析原始數據包信息對安全預警至關重要。安全防御措施的最終生效有賴于生成合適的防御策略并高效執行。為了在入侵行為對系統造成實質傷害之前就阻礙入侵的影響，需要構建有針對性的彈性防御體系，采取主動防御的方式執行合適的防御策略，避免、轉移、降低信息系統面臨的風險。防御策略的規劃首先需要確定資產所需安全手段，在此基礎上推薦合適的防御策略。因此，必須明確資產功能的安全屬性，針對不同惡意目標衡量防御策略的重要性是前提，如何根據資產現存的風險因素推薦優化的防御策略是關鍵。考慮安防場景中時間、認知與信息條件高度有限呈常態化，如何在計算資源高約束、資產環境動態條件下實施主動智能化防御是問題解決的另一關鍵所在。

發明內容

針對防御被動、預警低效，且在網絡安防場景的有限時間、認知與信息條件下安全防御的效能難以保證等的問題，本發明提供一種基于安全本體建模的網絡安防策略AI自主防御方法及系統，在計算資源高約束、資產環境動態條件下，利用有限理性與AI規劃實現自主防御，可在攻擊早期為主動防御提供高效預警，便于實際場景應用。

按照本發明所提供的設計方案，一種基于安全本體建模的網絡安防策略AI自主防御方法，包含如下內容：

整合多源異構知識來構建用于攻擊預警和選取防御策略的安全本體；

實時收集網絡數據流量，基于安全本體對網絡數據流量進行攻擊預警檢測并根據檢測出的預警攻擊所需安全手段獲取相應防御策略；

在時間、認知和信息的有限理性的范圍內，根據防御策略并通過搜索樹來生成網絡安防候選規劃方案；

在候選規劃方案中選取最優規劃方案并通過方案執行來實現自主防御。