[发明专利]用于网络防护的协同防御方法和系统

权利要求书

1.一种用于网络防护的协同防御系统，其特征在于,至少包括决策与部署层、以及协同与监控层；

所述决策与部署层利用获取到的网络安全预警事件，由网络安全的决策者根据网络安全的防御目的和网络安全现状制定防御意图，而后由决策引擎产生网络防御策略，并根据防御策略部署防御任务；

所述协同与监控层包括控制中心和网络安全设备，实现网络安全设备间的协同任务部署和网络防御情况的实时监控；其中所述控制中心与所述决策与部署层、所述网络安全设备通信连接，进行实际数据流的控制和逻辑控制；

其中，所述控制中心包括协同防御策略分析模块、协同防御策略订阅模块和协同防御策略分发模块；

所述协同防御策略分析模块分析所述网络安全设备的安全检测情况，当发现网络安全问题时，基于预先建立的用来评估安全级别的模型评估安全，进行网络安全的量化分级，当所述网络安全问题超越预定级别时调动所述网络安全设备协同防御；

所述协同防御策略订阅模块根据所述协同防御策略分析模块的分析结果向所述决策与部署层订阅应对所述网络安全问题的策略；

所述协同防御策略分发模块通过协同控制器来完成协同策略的分发；

所述决策引擎包括策略描述语言解释器、防御策略信息库和防御策略引擎；按照形式化描述语言生成策略描述文件；

所述策略描述语言解释器按照语言语法格式所写的语句，将参数传递到所述防御策略引擎中，根据给定的模型描述语言BNF范式，实现防御模型描述语言的词法分析程序和语法分析程序；所述防御策略信息库进行防御策略信息的存储；所述防御策略引擎负责网络模型描述语言的语义分析，从所述防御策略信息库中获取相关信息，以及借助防御策略信息库从防御模型中抽取出防御策略；

所述防御策略引擎包括网络拓扑处理模块、策略处理模块和防御任务获取模块；所述网络拓扑处理模块包含抽取节点属性功能和抽取节点间联系功能；策略处理模块分为抽取节点策略和抽取服务策略两个功能；防御任务获取模块中包含确定保护对象、生成事件场景、确定操作实体和确定操作规则四个功能；

所述网络拓扑处理模块从网络拓扑描述文本中提取相关的拓扑信息；所述策略处理模块从防御策略描述文件中将有关策略信息提取并存储到相关对象中；所述防御任务获取模块进行具体防御策略向防御任务的转换工作，其形式化表述下列公式所示：

其中，Po代表上层所输入的策略描述，s代表服务类型，e代表节点类型，co代表可能发生的上下文，b代表相应的服务和上下文所需要采用的防御机制，组成了服务型策略和节点型策略；To代表拓扑描述，N是节点集；节点n和域c分别是节点集N和域集C的元素；节点n中包含若干元素，name代表节点的名字，id是节点的唯一标识，cid是节点所在域的标识，v代表漏洞信息，u代表节点的用户信息，f为文件信息，acl为节点上的访问控制列表信息；域c同样包含若干属于域的信息，cname代表域的名字，cid是域的唯一标识，ch代表域首信息，ns代表域所包含的节点集；M代表所要生成的防御任务，防御任务的包含保护措施、检测措施、响应措施、恢复和抗衰措施；po、to、m分别为Po、To、M的一个子集；最后的推导函数Transfer()中包含两个参数，分别为po和to，经过函数的变换最终得出生成的仿真措施m；在网络拓扑描述的信息提取过程当中，将每个节点的属性信息及节点间关系进行抽取，抽取出拓扑信息；基于拓扑和策略信息，防御任务获取模块把二者的信息进行结合，形成防御任务所需的保护对象、操作实体以及操作规则，最终整合成防御任务的文本描述，转给下层继续进行部署操作。

2.如权利要求1所述的用于网络防护的协同防御系统，其特征在于,所述协同控制器以SSL安全协议对协同策略加密，从而确保其安全地进行分发。

3.如权利要求1所述的用于网络防护的协同防御系统，其特征在于,所述网络安全设备包括以下子系统/模块：

协同防火墙，阻挡与切断含有安全威胁的连接；

协同电子取证模块，实施网络访问的电子身份认证，并进行电子身份的取证；

行为管理系统，进行DMZ去流量控制与上网行为审计；

协同入侵检测模块，检测和反馈网络信息运行与交互的情况，进行异常数据检测与阻断，以及报警；

移动办公管理模块，进行远程或移动VPN接入办公的用户管理。