| 发明名称 | 基于VMSoar 和Soar的认知的入侵防御方法 | ||
| 摘要 | 本发明公开了一种基于VMSoar和Soar的认知的入侵防御方法,包括受害机用Tcpdump捕包,进行是否有非法扫描包出现的概率计算,如果大于先验概率,将包传给VMSoar;VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;SoarDebugger进行内部分析,进行包的分类计算,触发Soar的内部循环,对网络连接进行安全级别划分;安全状态分为正常、可疑、危险三种。本发明方法简便,通过具有认知水准的智能计算,为入侵防御系统的自适应问题提供了一种解决途径。 | ||
| 申请公布号 | CN104125233B | 申请公布日期 | 2017.03.22 |
| 申请号 | CN201410382726.6 | 申请日期 | 2014.08.06 |
| 申请人 | 南通大学 | 发明人 | 徐慧;万召文;陈翔;周建美;徐欢潇 |
| 分类号 | H04L29/06(2006.01)I;H04L12/24(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 南通市永通专利事务所 32100 | 代理人 | 葛雷 |
| 主权项 | 一种基于VMSoar和Soar的认知的入侵防御方法,其特征是:包括下列步骤:(1)受害机用Tcpdump捕包,进行是否有非法扫描包出现的概率计算,如果大于先验概率,将包传给VMSoar;(2)VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;(3)SoarDebugger进行内部分析,进行包的分类计算,触发Soar的内部循环,对网络连接进行安全级别划分;(4)安全状态分为正常、可疑、危险三种;步骤(1)中进行是否有非法扫描包出现的概率计算方法是:利用下述概率公式,对收集到的数据包,不同时间段内概率的统计分析,作为是否有扫描包发过来的一个初步判断,<maths num="0001"><math><![CDATA[<mrow><mi>P</mi><mrow><mo>(</mo><mi>X</mi><mo>(</mo><mrow><mi>s</mi><mo>+</mo><mi>t</mi></mrow><mo>)</mo><mo>-</mo><mi>X</mi><mo>(</mo><mi>s</mi><mo>)</mo><mo>=</mo><mi>k</mi><mo>)</mo></mrow><mo>=</mo><mfrac><mn>1</mn><mrow><mi>k</mi><mi>i</mi></mrow></mfrac><mo>[</mo><msubsup><mo>∫</mo><mi>s</mi><mrow><mi>s</mi><mo>+</mo><mi>t</mi></mrow></msubsup><mi>λ</mi><mrow><mo>(</mo><mi>u</mi><mo>)</mo></mrow><mi>d</mi><mi>u</mi><mo>]</mo><mi>exp</mi><mo>{</mo><msubsup><mo>∫</mo><mi>s</mi><mrow><mi>s</mi><mo>+</mo><mi>t</mi></mrow></msubsup><mi>λ</mi><mrow><mo>(</mo><mi>u</mi><mo>)</mo></mrow><mi>d</mi><mi>u</mi><mo>}</mo></mrow>]]></math><img file="FDA0001170618120000011.GIF" wi="1027" he="147" /></maths>式子的左边表示t时间内收到k个扫描包的概率,λ表示单位时间内收到扫描数据包的平均发送概率;k表示在时间t内收到扫描包的个数;X(s)表示到s时,收到的扫描包数;X(s+t)表示到s+t时,收到的扫描包数。 | ||
| 地址 | 226019 江苏省南通市啬园路9号 | ||