基于VMSoar和Soar的认知的入侵防御方法

摘要

本发明公开了一种基于VMSoar和Soar的认知的入侵防御方法，包括受害机用Tcpdump捕包，进行是否有非法扫描包出现的概率计算，如果大于先验概率，将包传给VMSoar；VMSoar解析包，并表示成符合Soar语法的表达方式，传给SoarDebugger；SoarDebugger进行内部分析，进行包的分类计算，触发Soar的内部循环，对网络连接进行安全级别划分；安全状态分为正常、可疑、危险三种。本发明方法简便，通过具有认知水准的智能计算，为入侵防御系统的自适应问题提供了一种解决途径。

说明书

技术领域

本发明提供了一种基于认知模型VMSoar 和Soar、具有认知能力的网络入侵防御方法，该方法通过具有认知水准的智能计算，为入侵防御系统的自适应问题，提供了一种解决途径。

背景技术

入侵防御指能检测并阻止已知和未知攻击的内嵌硬件设备或软件系统，是当下网络安全防护的主要措施之一。入侵防御能够通过前期对恶意行为的扫描，在真正的攻击流发生之前就可以阻断攻击、丢弃数据包、修改防御策略等。

认知是人们认识活动的过程，是个体对感觉信号接收、检测、转换、简约、合成、编码、储存、提取、重建、概念形成、判断和问题解决的信息加工处理过程。认知具有知识、感知、学习、记忆、联想、推理和计算等特性。Soar是一种“通用智能框架”，用“概念、事实、规则”构成了人类的知识，并提供基于推理、学习、记忆机制的一种类似人的“认知”的通用问题求解程序，在语音识别、人脸识别方面均有应用。VMSoar使用Soar搭建一个类似自然语言描述的平台，使得Soar可以以人类语言的方式与管理员进行交流。利用VMSoar解释输入信息，可以最大限度的满足用户的预期目标，同时VMSoar对输入信息的转化优化了Soar的学习过程。

基于TCP/IP的通信，发送数据之前要先通过源端口和目的端口的三次握手进行认证：（1）客户端向服务器先发起一个SYN包，服务端确认；（2）如果客户端请求访问的端口服务是开启状态，服务端立即向客户端送一个携带SYN和ACK的报文，客户端收到后确认；（3）客户端再发送一个ACK包，确认需访问，服务端回复可以访问该端口。当客户端和服务端完成了三次握手连接之后就可以进行后续的通信，否则服务端就会发生一个携带SYN和RST的报文拒绝连接。通信完毕之后需要中断双方的连接，同样需要遵循三次握手的规则。（1）客户端发送一个携带FIN标志的报文给服务端，服务端回复确认收到；（2）服务端发送一个携带FIN和ACK标志的报文给客户端，客户端回复收到确认；（3）客户端还需要再次发出一个ACK标志的报文确认关闭连接。

发明内容

本发明的目的在于提供一种方法简便，通过具有认知水准的智能计算，为入侵防御系统的自适应问题提供解决途径的基于VMSoar 和Soar的认知的入侵防御方法。

本发明的技术解决方案是：

一种基于VMSoar和Soa的认知的入侵防御方法，其特征是：包括下列步骤：

（1）受害机用Tcpdump捕包，进行是否有非法扫描包出现的概率计算，如果大于先验概率，将包传给VMSoar；

（2）VMSoar解析包，并表示成符合Soar语法的表达方式，传给SoarDebugger； 

（3）SoarDebugger进行内部分析，进行包的分类计算，触发Soar的内部循环，对网络连接进行安全级别划分；

（4）安全状态分为正常、可疑、危险三种。

步骤（1）中进行是否有非法扫描包出现的概率计算方法是：

利用下述概率公式，对收集到的数据包，不同时间段内概率的统计分析，作为是否有扫描包发过来的一个初步判断，

式子的左边表示t时间内收到k个扫描包的概率，λ表示单位时间内收到扫描数据包的平均发送概率；k表示在时间t内收到扫描包的个数。

步骤（3）中所述进行包的分类计算，方法是：

（1）发送到关闭端口的连接请求数目N_close

N_close = SYN_IN – SYN_OUT

（2）发起FIN包进行关闭端口的连接请求数目Nfin 

N_fin= FIN_IN – FIN_OUT

（3）连接中仅有两次握手的连接请求数目Nhalf 

N_half= FIN_ACK_OUT && (!ACK)

上述表达式中的IN、OUT分别表示网络数据包的入和出；SYN、FIN、ACK分别表示TCP/IP报文中的SYN、FIN、ACK特征位。

步骤（4）中所述安全状态分为正常、可疑、危险三种，具体标准为：

（1）正常：Nclose = 0 和 Nhalf = 0 和 Nfin =0

（2）可疑：Nclose = 1 或 Nhalf = 1 或 Nfin = 1

（3）危险：Nclose > 1 或 Nhalf > 1 或 Nfin > 1。

本发明方法简便，通过具有认知水准的智能计算，为入侵防御系统的自适应问题提供了一种解决途径。

本发明在VMSoar和Soar基础上，构建了具有学习、记忆、推理等认知特性的网络入侵防御闭环；提出了自适应入侵防御系统构建中，基于概率计算的包合法性判断基础上的一种包分类计算方法和基于数据报文的网络通讯安全状态划分方法。

附图说明

下面结合附图和实施例对本发明作进一步说明。

图1是认知处理的一次内部循环示意图。

具体实施方式

1. 测试硬件环境构建

至少有在同一子网的两台终端，防御端运行的操作系统为：linux Fedora(18)-32位操作系统。

2. 在防御端安装必要的客户端程序，包括：VMSore、Sore和本系统程序。工作过程如下：

（1）用Tcpdump捕包

（2）用下式，进行是否有非法扫描包出现的概率计算，

式子的左边表示t时间内收到k个扫描包的概率，λ表示单位时间内收到扫描数据包的平均发送概率；k表示在时间t内收到扫描包的个数。

如果大于先验概率，将包传给VMSoar。

（3）VMSoar解析包，并表示成符合Soar语法的表达方式，传给SoarDebugger； 

（4）SoarDebugger进行内部分析，进行包的分类计算

1）发送到关闭端口的连接请求数目N_close

N_close = SYN_IN – SYN_OUT

2）发起FIN包进行关闭端口的连接请求数目N_fin

N_fin= FIN_IN – FIN_OUT

3）连接中仅有两次握手的连接请求数目N_half

N_half= FIN_ACK_OUT && (!ACK)

上述表达式中的IN、OUT分别表示网络数据包的入和出；SYN、FIN、ACK分别表示TCP/IP报文中的SYN、FIN、ACK特征位。

（5）根据上述计算结果，触发Soar的内部循环，对网络连接进行安全级别划分，各自特征如下：

1）正常：N_close = 0 和 N_half = 0 和 N_fin =0

2）可疑：N_close = 1 或 N_half = 1 或 N_fin = 1

3）危险：N_close > 1 或 N_half > 1 或 N_fin > 1

对于首次与防御端连接的数据，Soar的数据库中并没有该IP地址的历史信息，将暂时无法判断此IP包是否安全。根据设定，此类IP包都被设定为可疑包，处于待确认状态。待收到更多的数据输入和通过学习积累更多历史知识，再处理。