发明名称 |
基于VMSoar 和Soar的认知的入侵防御方法 |
摘要 |
本发明公开了一种基于VMSoar和Soar的认知的入侵防御方法,包括受害机用Tcpdump捕包,进行是否有非法扫描包出现的概率计算,如果大于先验概率,将包传给VMSoar;VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;SoarDebugger进行内部分析,进行包的分类计算,触发Soar的内部循环,对网络连接进行安全级别划分;安全状态分为正常、可疑、危险三种。本发明方法简便,通过具有认知水准的智能计算,为入侵防御系统的自适应问题提供了一种解决途径。 |
申请公布号 |
CN104125233B |
申请公布日期 |
2017.03.22 |
申请号 |
CN201410382726.6 |
申请日期 |
2014.08.06 |
申请人 |
南通大学 |
发明人 |
徐慧;万召文;陈翔;周建美;徐欢潇 |
分类号 |
H04L29/06(2006.01)I;H04L12/24(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
南通市永通专利事务所 32100 |
代理人 |
葛雷 |
主权项 |
一种基于VMSoar和Soar的认知的入侵防御方法,其特征是:包括下列步骤:(1)受害机用Tcpdump捕包,进行是否有非法扫描包出现的概率计算,如果大于先验概率,将包传给VMSoar;(2)VMSoar解析包,并表示成符合Soar语法的表达方式,传给SoarDebugger;(3)SoarDebugger进行内部分析,进行包的分类计算,触发Soar的内部循环,对网络连接进行安全级别划分;(4)安全状态分为正常、可疑、危险三种;步骤(1)中进行是否有非法扫描包出现的概率计算方法是:利用下述概率公式,对收集到的数据包,不同时间段内概率的统计分析,作为是否有扫描包发过来的一个初步判断,<maths num="0001"><math><![CDATA[<mrow><mi>P</mi><mrow><mo>(</mo><mi>X</mi><mo>(</mo><mrow><mi>s</mi><mo>+</mo><mi>t</mi></mrow><mo>)</mo><mo>-</mo><mi>X</mi><mo>(</mo><mi>s</mi><mo>)</mo><mo>=</mo><mi>k</mi><mo>)</mo></mrow><mo>=</mo><mfrac><mn>1</mn><mrow><mi>k</mi><mi>i</mi></mrow></mfrac><mo>[</mo><msubsup><mo>∫</mo><mi>s</mi><mrow><mi>s</mi><mo>+</mo><mi>t</mi></mrow></msubsup><mi>λ</mi><mrow><mo>(</mo><mi>u</mi><mo>)</mo></mrow><mi>d</mi><mi>u</mi><mo>]</mo><mi>exp</mi><mo>{</mo><msubsup><mo>∫</mo><mi>s</mi><mrow><mi>s</mi><mo>+</mo><mi>t</mi></mrow></msubsup><mi>λ</mi><mrow><mo>(</mo><mi>u</mi><mo>)</mo></mrow><mi>d</mi><mi>u</mi><mo>}</mo></mrow>]]></math><img file="FDA0001170618120000011.GIF" wi="1027" he="147" /></maths>式子的左边表示t时间内收到k个扫描包的概率,λ表示单位时间内收到扫描数据包的平均发送概率;k表示在时间t内收到扫描包的个数;X(s)表示到s时,收到的扫描包数;X(s+t)表示到s+t时,收到的扫描包数。 |
地址 |
226019 江苏省南通市啬园路9号 |