(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111545237.4 (22)申请日 2021.12.16 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 刘盈泽　郭渊博　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 代理人 周艳巧 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/36(2019.01) (54)发明名称 基于安全本体建模的网络安防策略AI自主 防御方法及系统 (57)摘要 本发明属于网络信息安全技术领域， 特别涉 及一种基于安全本体建模的网络安防策略AI自 主防御方法及系统， 通过整合多源异构知识来构 建用于攻击预 警和选取防御策略的安全本体； 实 时收集网络数据流量， 基于安全本体对网络数据 流量进行攻击预警检测并根据检测出的预警攻 击所需安全手段获取相应防御策略； 在时间、 认 知和信息的有限理性的范围内， 根据防御策略并 利用搜索树来生成 网络安防候选规划方案， 在候 选规划方案中选取最优规划方案并通过方案执 行来实现自主防御。 本发明在计算资源高约束、 资产环境动态条件下， 利用有限理性与AI规划实 现自主防御， 可在攻击早期为主动防御提供高效 预警。 权利要求书2页 说明书11页 附图7页 CN 114401113 A 2022.04.26 CN 114401113 A 1.一种基于安全本体建模的网络安防策略AI自主 防御方法， 其特征在于， 包含如下内 容： 整合多源异构知识来构建用于攻击预警和选取防御策略的安全本体； 实时收集网络数据流量， 基于安全本体对 网络数据流量进行攻击预警检测并根据检测 出的预警攻击所需安全手段获取相应防御策略； 在时间、 认知和信息的有限理性的范围内， 根据防御策略并利用搜索树来生成网络安 防候选规划方案； 在候选规划方案中选取最优规划方案并通过 方案执行来实现自主防御。 2.根据权利要求1所述的基于安全本体建模的网络安防策略AI自主 防御方法， 其特征 在于， 所述安全本体包含： 基于网络流量用于攻击预警的安全本体和攻击图增强用于防御 策略选取的安全本体， 其中， 用于攻击预警的安全本体包含： 用于描述网络流量数据包信息 的概念集合， 用于描述网络流量概念集合中每个概念相应属 性的属性集合， 及用于描述网 络流量中数据包信息概念间关系的关系集合； 用于防御策略选取 的安全本体包含： 用于描 述风险分析要素通用知识、 领域专有知识及漏洞前置和后置条件的概念集合， 用于描述概 念集合中每个概念相应属性的属性集合， 及用于从攻防视角描述概念间致因关联的关系集 合。 3.根据权利要求2所述的基于安全本体建模的网络安防策略AI自主 防御方法， 其特征 在于， 所述网络流量数据包信息至少包含： 网络会话、 包传输、 握手、 重置、 协议、 目的和源 IP、 及目的和源端口； 通用知识要素至少包含： 资产、 威胁、 风险、 漏洞、 安全需求及防御策 略， 领域专有知识要素至少包 含： 领域架构。 4.根据权利要求1所述的基于安全本体建模的网络安防策略AI自主 防御方法， 其特征 在于， 攻击预警检测中， 分析网络流量信息， 查询所有源端口与目的端口对， 通过查询同一 源端口将数据包发送到封闭端口的次数， 若该次数超过预设阈值， 则判定存在端口扫描攻 击； 通过查询同一源主机IP发送数据包到目标主机IP的次数， 若 该次数超过设定阈值， 则判 定存在系统扫描攻击 。 5.根据权利要求1所述的基于安全本体建模的网络安防策略AI自主 防御方法， 其特征 在于， 通过日志分析确定检测出的预警攻击 资产功能， 确定相关安全属性、 恶意目标及防御 策略类型， 其中， 安全属性包含机密性、 完整性、 可用性、 鉴别性、 可控性及不可否认 性， 与安 全属性相对应的恶意 目标分为暴露、 修改、 销毁及伪装， 防御策略类型包含预防、 监测及恢 复， 防御策略重要性分为表示最高优先级且为需要防御策略类型的关键标识和表示最低优 先级且为不需要防御策略类型 的非关键标识； 根据资产功 能， 通过衡量各防御策略类型在 不同恶意目标 下的重要性 来确定所需安全手段。 6.根据权利要求1或5所述的基于安全本体建模的网络安防策略AI自主防御 方法， 其特 征在于， 生成安防规划方案时， 通过引入时间、 认知与信息的有限性， 在有限理性的范围内， 建立搜索树， 获取所有 可以满足目标状态的候选规划方案； 并在自主防御中， 在有限理性的 约束下， 根据防御策略权重选择最高效用的规划方案， 其中， 通过检查状态的时间计数及认 知深度是否超过各自限制来判断时间有限和认知 有限， 信息有限包括未知或错误假定的资 产状态、 目标命题以及可用有限防御策略。 7.根据权利要求6所述的基于安全本体建模的网络安防策略AI自主 防御方法， 其特征权　利　要　求　书 1/2 页 2 CN 114401113 A 2在于， 根据防御策略权重选择最高效用的规划方案， 首先， 根据公式 来计 算从开始到第k个防御策略cmx的规划效用， 其 中， 为防御策略的效用， 该效用等效于 根据入度及与前一个防御策略的相关性来分配的每个时间步中计算的对应防御策略权重 通过遍历所有时间步下的规划效用， 选取最高效用的规划方案 。 8.根据权利要求6或7所述的基于安全本体建模的网络安防策略AI自主防御 方法， 其特 征在于， 将选择的最高效用规划方案作为初始 规划方案， 在方案执行期间， 通过监控并分析 每个时间步下的方案执行过程中的日志数据来检测资产是否遭受新攻击， 针对资产遭受新 攻击的情况 下重新规划方案， 以执 行当下最优的防御策略方案 。 9.根据权利要求8所述的基于安全本体建模的网络安防策略AI自主 防御方法， 其特征 在于， 针对资产遭受新攻击情形， 检查与新攻击相关的防御策略是否执行， 针对 未执行的情 形， 推后与新攻击无关的防御策略， 将与新攻击相关的防御策略通过构建搜索树来利用搜 索树来选取最优规划方案并执 行。 10.一种基于安全本体建模的网络安防策略AI自主 防御系统， 其特征在于， 包含： 本体 建模模块、 策略选取模块、 方案规划模块和自主防御模块， 其中， 本体建模模块， 用于整合多源异构知识来构建用于攻击预警和选取防御策略的安全本 体； 策略选取模块， 用于实时收集网络数据流量， 基于安全本体对网络数据流量进行攻击 预警检测并根据检测出的预警攻击所需安全手段获取相应防御策略； 方案规划模块， 用于在时间、 认知和信 息的有限理性的范围内， 根据防御 策略并利用搜 索树来生成网络安防候选规划方案； 自主防御模块， 用于在候选规划方案 中选取最优规划方案并通过方案执行来实现自主 防御。权　利　要　求　书 2/2 页 3 CN 114401113 A 3