基于类脑平台的智慧防火云系统

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于类脑平台的智慧防火云系统。

背景技术

未来网络将呈现天空地一体化异构组网，千亿万亿量级终端接入以及海量传感数据采集分发等特征。未来网络结构将更加复杂，业务类型更加多样，应用场景更加多变。以5G、物联网、工业网互联网、卫星互联网为代表的“数字新基建”已成为国家未来发展的重点方向。与此同时，网络安全与隐私保护面临的挑战也日益突出。因此，国家网络空间安全战略提出要筑起网络安全防线，避免关键信息基础设施遭受破坏，维护实体空间国家、企业、法人、公民等合法权益。

IT系统在形态构成上是网络设施、信息化系统或者是由多个网络设施、信息系统组成的集合，为关键业务提供信息化支撑，是关键业务的信息化组成部分。网络安全服务机构在传统IT主导下，不关心“安全”本身，只关心安全技术是否可以应对现有攻击行为。将客体特定状态视为主体安全利益，并没有建立两者之间的因果性关系。这种聚焦于客体特定状态的安全模式，在面对无法预见攻击行为时，现有防守行为难以证明其可以有效维护主体安全利益不受侵害。网络安全服务机构、运营者和专家的共性问题是只针对于CII的信息系统安全能力建设，而忽视了安全保护的出发点是维护实体空间国家、企业、法人、公民等合法权益。

现阶段广泛应用的检测手段受限制于计算能力，采用深度报文检测方法，从而无法进行全面检测，在实际检测时采用“抓大放小”的检测模式，以牺牲检测精度为代价。

发明内容

本发明实施例提供一种基于类脑平台的智慧防火云系统，包括：

安全感知神经模块，用于从协议、状态、编码、拓扑关系方面感知网络空间主体的关键信息，还原出由所述关键信息构成的系统动态全景，并将所述系统动态全景的数据通过中间传导模块进行实时上报；

智能决策模块，用于基于来自所述安全感知神经模块的数据对每种主体的业务行为进行数字化标识，同时构建规则体系，判断事件的安全性并及时做出反馈，对符合规则体系的行为放行、对不符合规则体系的行为发出阻断指令，实现数字化的访问控制；

运动神经模块，用于基于来自所述智能决策模块的阻断指令通过流量牵引与封阻进行响应。

3、在本发明提供的基于类脑平台的智慧防火云系统中，所述智能决策模块包括：

组织单元，用于对所述安全感知神经模块进行组织、调度和编排；

规划单元，用于对主体的虚拟资产进行标识、配置，归类形成资产保护对象，建立包括内生性免疫数据库和获得性免疫数据库的规则体系；

检测单元，用于基于所述规则体系对资产和网络流量进行全面检测，判断事件的安全性；

响应单元，用于对符合规则体系的行为放行，对不符合规则体系的行为结合等级化的风险处置策略，发出所述阻断指令。

在本发明提供的基于类脑平台的智慧防火云系统中，所述智能决策模块还包括：

恢复单元，用于在安全感知神经模块或运动神经模块失效时，通过记忆重载、激活所述安全感知神经模块或所述运动神经模块，并重构交换网络实现功能恢复。

在本发明提供的基于类脑平台的智慧防火云系统中，通过业务应用建模和网络流量建模形成所述内生性免疫数据库，其中，业务应用基于操作手册完成，网络流量基于自动化测试平台，通过大数据训练学习的方法自动完成建模。

在本发明提供的基于类脑平台的智慧防火云系统中，所述获得性免疫数据库包括基于攻击者角度生成的网络攻击模型以及为了达到攻击的目的所必备的攻击条件、攻击路径及攻击路径之间的关联关系，还包括利用网络攻击模型生成的攻击状态机。

在本发明提供的基于类脑平台的智慧防火云系统中，所述检测单元对于所述资产基于漏洞库和病毒库，结合网络流量的攻击特征，利用攻击状态机，判断是否符合攻击路径。

在本发明提供的基于类脑平台的智慧防火云系统中，对于所述网络流量，所述检测单元依次进行指令参数内容检测、请求响应检测、行为链检测。

实施本发明实施例，具有如下有益效果：本发明提供的基于类脑平台的智慧防火云系统，通过海量感知神经元可以从全局的角度识别、理解和分析网络中时间和空间环境中的元素，把握网络整体安全状况及预测未来变化趋势。从大量数据中辨识网络中的行为，融合这些信息对网络的业务系统的健康状态进行实时评估和监控，并进行有效响应。基于类脑智能的网络安全控制技术，维护系统的整体安全性，可以并行高效地处理海量数据，分析数据之间的关联性，判断事件的安全性并及时做出反馈。将人工智能的自我学习过程与人类已经积累的大量高度结构化的安全知识相融合，使内生安全体系拥有高度感知、逻辑推理、抽象思维等高级认知功能。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1所示是本发明一实施例提供的基于类脑平台的智慧防火云系统的原理图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

网络空间中的信息系统属于实体空间中的客体。现有安全模式均是围绕客体特定状态下的攻防行为展开的，没有和实体空间中主体的行为相关联，因此，面对已知和未知威胁，网络安全产品在现有模式下正在走向一个无限复杂的趋势。解决问题的出发点就是要回归到实体空间主体的行为，或者说主体的业务行为本身的社会域中。业务的数字化就变成了网络空间信息系统的操作，是网络空间行为。本发明对每种主体的业务行为进行数字化的标识，同时构建规则体系，通过识别、判定和指令对符合规则体系的行为放行、对不符合的阻断，实现数字化的访问控制，也就是强制访问控制。

图1所示是本发明一实施例提供的基于类脑平台的智慧防火云系统的原理图。如图1所示，本发明提供的基于类脑平台的智慧防火云系统包括：

安全感知神经模块10，用于从协议、状态、编码、拓扑关系方面感知网络空间主体的关键信息，还原出由所述关键信息构成的系统动态全景，并将所述系统动态全景的数据通过中间传导模块40进行实时上报；

智能决策模块20，用于基于来自所述安全感知神经模块的数据对每种主体的业务行为进行数字化标识，同时构建规则体系，判断事件的安全性并及时做出反馈，对符合规则体系的行为放行、对不符合规则体系的行为发出阻断指令，实现数字化的访问控制；

运动神经模块30，用于基于来自所述智能决策模块的阻断指令通过流量牵引与封阻进行响应。

具体地，在本发明一实施例中，安全感知神经模块包括多个感知神经元，多个感知神经元从协议、状态、编码、拓扑关系方面感知网络空间的各种关键信息，还原出由这些信息构成的IT系统动态全景，包括网络正常行为的描绘、数据包全面检测、可疑活动的偏离行为、前端设备的运行情况等，将数据通过中间神经元进行实时上报。

具体地，在本发明一实施例中，中间传导模块包括多个中间神经元，通过构建全交换网络，负责各神经元之间的信息交换与上下层网络的信息传导。

具体地，在本发明一实施例中，运动神经模块包括多个运动神经元，用于基于来自所述智能决策模块的阻断指令通过流量牵引与封阻进行响应。运动神经元是安全防护反制单元，包含传统的安全机制，如加密、访问控制、阻断等；也包含一些功能性响应，如降低负载、提高运行速度等。

具体地，在本发明一实施例中，智能决策模块是安全架构的大脑，通过不断学习、自我完善，使安全防御的各个结构和功能相互合作又各不影响。通过类脑安全控制并行处理体系的数据，实现多任务整合、归纳和决策。通过自主进化决策对业务工作流的自主学习，实现安全性能的自我提升。智能决策模块具有整合、归纳和决策能力，对各部分神经元汇聚的数据进行分析，并根据已有的知识进行防护部署。对收集到的来自分布式前端设备的数据进行集中化处理，描绘出潜在的安全缺口。在数据分析的过程中采用先进的交叉数据规律逻辑分析，用于辨别基于多种类设备和多层信息逻辑的缺口和威胁。

进一步地，智能决策模块以组织、规划、检测、响应、恢复（即OPDRR）为框架，在类脑算力的支撑下，通过植入“内生性”免疫机制和“获得性”免疫机制，构筑可插件化配置的可信防线，实现系统与网络的高安全等级保护。因此，所述智能决策模块包括：

组织单元，用于对所述安全感知神经模块进行组织、调度和编排；

规划单元，用于对主体的虚拟资产进行标识、配置，归类形成资产保护对象，建立包括内生性免疫数据库和获得性免疫数据库的规则体系；

检测单元，用于基于所述规则体系对资产和网络流量进行全面检测，判断事件的安全性；

响应单元，用于对符合规则体系的行为放行，对不符合规则体系的行为结合等级化的风险处置策略，发出所述阻断指令；

恢复单元，用于在安全感知神经模块或运动神经模块失效时，通过记忆重载、激活所述安全感知神经模块或所述运动神经模块，并重构交换网络实现功能恢复。

具体地，在本发明一实施例中，为每个神经元引入智能的组织单元，智能的组织单元具有一定的知识，它能自治地感知环境（被管对象及其自身的状态），经过分析、推理后，对环境进行调整和改造。另外，组织单元之间建立了协同的通信机制。因此，采用组织单元使各个管理实体能自治地、主动地、实时地、同时又相互协同地工作。

具体地，在本发明一实施例中，规划单元基于类脑平台的智慧防火云对企业虚拟资产进行标识、配置，归类形成资产保护对象。梳理保护对象，做到业务与安全紧耦合的第一步，通过的目标资产的清理，我们能够有效的确定资产保护的边界，这也是建立安全基线的前提，其目的也是在于将安全基线的状态控制在可数有限状态集。

进一步地，规划单元通过业务应用建模和网络流量建模形成所述内生性免疫数据库，其中，业务应用基于操作手册完成，网络流量基于自动化测试平台，通过大数据训练学习的方法自动完成建模。

进一步地，内生性免疫数据库包括网络七层协议库，由于网络数据流是以七层映射的方式出现，因此必须对网络流量数据进行OSI七层嵌套建库。支持TCP/IP协议、ISO协议，Microsoft协议, VoIP协议, VPN/Security 协议, IBM协议, Apple协议, IndustrialControl等协议。

进一步地，行为包括角色+指令+参数+内容，行为是构成工作流的基本要素，行为与角色，业务系统，物理设备自动关联，行为类型包括请求行为和响应行为，指令是某个行为的具体动作，参数是执行动作的依赖条件。通过大数据训练学习的方法自动完成建模包括以下步骤：

1、待测应用激励生成

1）划定待测业务范畴，明确待测应用系统/服务器及相关数据库系统/服务器，其归为以下两类：已运行系统与待上线系统。

2）制造测试用例序列，根据实际组织环境，列举角色权限列表，并以此为基础形成对应的访问操作测试用例。

2、周期测试响应回收

1）激励数据周期测试，以访问操作和指令参数的循环注入为触发，连续不断的周期性测试待测业务应用，形成重复可理解的L1-L7层网络数据流量。

2）对应回收服务响应，将周期性注入的激励数据经过待测系统执行后的响应数据输出所对应的L1-L7网络数据流量，统一回收并完成一致性标注。

3、双向请求响应建库

对基于角色权限访问控制的操作请求与对应的服务响应间的关系进行关联建库。

4、行为链上下文建库

对基于角色权限的正常工作流拓扑关系（即请求树与服务链）进行建库。

进一步地，所述获得性免疫数据库包括基于攻击者角度生成的网络攻击模型以及为了达到攻击的目的所必备的攻击条件、攻击路径及攻击路径之间的关联关系，还包括利用网络攻击模型生成的攻击状态机。从攻击者的角度出发，建模网络攻击模型，并分析为了达到攻击的目的所必备的攻击条件、攻击步骤及攻击步骤之间的关联关系，攻击者为了达到攻击的目的(窃取信息、篡改信息、破坏系统、控制系统等)，必须对系统进行了解、探测，知道系统的运行状态、漏洞、提供的服务，才有可能有针对的展开一系列的攻击行为。攻击行为的发出，攻击手段的使用是建立在对系统了解的基础上的，所以大部分的攻击都有一定的攻击策略，攻击步骤。通过资产间网络，服务，风险漏洞关系，自动形成攻击状态机。

进一步地，针对防护系统除掉入侵事件发生的条件，可以阻止大多数的入侵事件的发生，但不能阻止所有的入侵的情况，基于类脑平台的智慧防火云提供了矩阵式全流量检测引擎，从主要资产和网络流量上全面检测，包括攻击特征，请求响应，行为，行为链等多重检测。所述检测单元对于所述资产基于漏洞库和病毒库，结合网络流量的攻击特征，利用攻击状态机，判断是否符合攻击路径。对于所述网络流量，所述检测单元依次进行指令参数内容检测、请求响应检测、行为链检测。

具体地，基于OSI七层协议的体系架构，对物理层、链路层，网络层，传输层，会话层，表示层，应用层各层进行入侵事件检测，为系统提供全面的安全防护。

具体地，对服务器发起的请求以及服务器的回复包进行双向内容检测，使得敏感数据信息不被外发，实现攻击事件发生前的预防以及攻击事件发生后的检测及补救。

具体地，基于系统的业务流程，对不同角色的操作请求及对应的服务器响应进行检测，形成操作树与服务链。对异常的操作请求和响应进行预警、阻止。

具体地，对主体，客体设置安全标记，支持安全标记检查，确保访问主体的可信，所有主体及其所控制的客体（如进程，文件，设备、字段等）实施强制访问控制。

具体地，支持基于业务状态机的检测，状态机包括时序状态和空间状态，每一个状态的跃迁包括时序，权限，会话空间，请求响应结果等条件触发。当前发生的状态与预期状态机不一致时，状态机检测异常告警。

具体地，一个软件系统，其实就是程序从输入开始，之后通过在不同的中间状态之间转移，最后执行到输出结果的一种自动机，如果软件系统处在安全状态下，也就是程序状态的转移都是按照程序设计者的设计思路进行变化的，那么所有的程序状态也是在程序状态的空间之内的，最后执行到正常结束的状态。如果程序状态转移到了不在程序本身所设置的状态空间时，也就是超出了程序本身的状态空间，可能导致程序最后的停机状态不是结束在程序的原先设计的结束状态，那么这个程序执行流程是存在风险的。因此，需要进行漏洞检测：

已经漏洞检测：通过扫描工具发现已经漏洞，安全扫描技术主要分为两类：基于主机的安全扫描技术和基于网络的安全扫描技术，漏洞检测工具插件以插件的方式进行集成，基于主机的安全扫描技术发现已知的漏洞；

未知漏洞检测：对未知漏洞或者挖掘新漏洞，使用基于工作流模型进行检测，通过工作流发生异常跳转发现程序中存在的安全漏洞。

进一步地，对一个已知攻击事件发生之后，基于类脑平台的智慧防火云通过流量牵引与封阻进行响应，具体包括：

1、蜜罐引流

流量牵引就是将攻击流量和正常流量进行分离，由封阻子系统来专门抵抗未知攻击，保证正常流量尽可能的不受到攻击的干扰。当发现异常时，能自动将异常流引流到蜜罐，跟踪记录整个过程，便于追踪攻击路径，发现业务漏洞。蜜罐系统和真实业务系统采用物理隔离，蜜罐系统使用信息孤岛，蜜罐系统不能成为任何中间跳板机。

2、阻断

对非法操作进行阻断。

3、告警信息

流量牵引与封阻能对非法访问等提供报警功能，报警信息应至少包含以下信息：

a)恶意IP地址；

b)恶意操作链；

c)事件发生的日期和时间。

4、定制响应

系统应允许管理员对被检测网段中指定的目的主机定制不同的响应方式。

5、告警方式

告警应采取屏幕实时提示、E-mail告警、Syslog告警等一种或几种方式。

6、其他设备联动

系统应具有与其他网络设备或网络安全部件（如漏洞扫描、交换机）按照设定的策略进行联动的能力。

7、策略路由

具有多个相同属性的网络接口（即多个外部网络接口、多个内部网络接口或多个DMZ网络接口）的防火墙应具备策略路由功能，具体技术要求如下：

a) 基于源、目的IP的策略路由；

b) 基于协议、端口或应用的策略路由；

c) 基于多链路情况（如最小延时、最大带宽或最少跳数等)进行最优路由的自动选择。

8、流量会话管理

a) 能够根据用户/用户组、IP地址、应用类型，配置最大带宽、保障带宽的参数，划分带宽优先级；

b) 能够支持基于时间段的带宽策略配置。

9、流量统计

a) 通过IP地址、服务类型、时间和协议类型等参数进行流量统计；

b) 根据应用类型、用户等参数对流量进行统计；

c) 实时或以报表形式输出流量统计结果；

d) 按照时间段、用户、应用类型等多条件组合进行流量统计；

e) 根据网站类型进行流量统计；

f) 按照时间段、用户、应用类型、网站类型等多条件组合进行流量统计。

10.连接数控制

应能够限制单IP的最大会话数，防止大量非法连接产生时，影响网络性能。

11、NAT

a) 支持双向NAT:SNAT和DNAT;

d) 支持动态SNAT技术，实现“多对多”的SNAT。

12、信息泄露防护

具备对流出的信息流进行检测，防止敏感信息泄露，应支持基于：

a) 关键词对流出基于类脑平台的智慧防火云的数据流进行过滤，如http上传、外发邮件主题及正文等；

b) 文件类型对流出基于类脑平台的智慧防火云的数据流进行过滤，如http上传、ftp上传、外发邮件的附件等。

本发明提供的基于类脑平台的智慧防火云系统，通过海量感知神经元可以从全局的角度识别、理解和分析网络中时间和空间环境中的元素，把握网络整体安全状况及预测未来变化趋势。从大量数据中辨识网络中的行为，融合这些信息对网络的业务系统的健康状态进行实时评估和监控，并进行有效响应。基于类脑智能的网络安全控制技术，维护系统的整体安全性，可以并行高效地处理海量数据，分析数据之间的关联性，判断事件的安全性并及时做出反馈。将人工智能的自我学习过程与人类已经积累的大量高度结构化的安全知识相融合，使内生安全体系拥有高度感知、逻辑推理、抽象思维等高级认知功能。

需要指出的是，上文对各种模块的描述中，分割成这些模块，是为了说明清楚。然而，在实际实施中，各种模块的界限可以是模糊的。例如，本文中的任意或所有功能性模块可以共享各种硬件和/或软件元件。又例如，本文中的任何和/或所有功能模块可以由共有的处理器执行软件指令来全部或部分实施。另外，由一个或多个处理器执行的各种软件子模块可以在各种软件模块间共享。相应地，除非明确要求，本发明的范围不受各种硬件和/或软件元件间强制性界限的限制。

虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。