面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法
【專利摘要】本發(fā)明涉及一種面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法,含有如下步驟:1.定義安全管控模型中的參量�����;2.采用資源管理器對可重構(gòu)服務(wù)承載網(wǎng)進行實時監(jiān)控��,并獲取網(wǎng)絡(luò)當前的狀態(tài)信息�;3.依據(jù)狀態(tài)信息對可重構(gòu)服務(wù)承載網(wǎng)所有節(jié)點的可信性、所面臨的風(fēng)險進行評估�����;4.依據(jù)評估結(jié)果和上層管控需求,在策略庫的指導(dǎo)下生成管控需求�����;5.依據(jù)管控需求分別生成可重構(gòu)服務(wù)承載網(wǎng)網(wǎng)絡(luò)上節(jié)點安全元能力的配置方案���、網(wǎng)絡(luò)安全設(shè)備的配置方案和信任激勵策略;6.管控方案優(yōu)化��;7.資源控制器將所得到的最優(yōu)管控方案在可重構(gòu)服務(wù)承載網(wǎng)上進行部署��;本發(fā)明實時保證了可重構(gòu)服務(wù)承載網(wǎng)上的數(shù)據(jù)安全���、行為可信�、風(fēng)險可控��。
【專利說明】面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法
[0001](一)����、【技術(shù)領(lǐng)域】:本發(fā)明涉及一種安全管控模型建立方法,特別是涉及一種面向 可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法�。
[0002] (二)、【背景技術(shù)】:互聯(lián)網(wǎng)以IP分組交換和資源統(tǒng)計復(fù)用為基礎(chǔ)��,提供"盡力而為" 的網(wǎng)絡(luò)服務(wù),并已成為最普遍的通信載體���。然而�����,隨著信息產(chǎn)業(yè)的高速發(fā)展�����,這種僵化的網(wǎng) 絡(luò)體系結(jié)構(gòu)已難以承載日益多樣化的網(wǎng)絡(luò)業(yè)務(wù)�。為解決傳統(tǒng)網(wǎng)絡(luò)對融合�����、泛在��、質(zhì)量���、安全����、 擴展�、可管可控、移動等的支持能力低下的問題,可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系結(jié)構(gòu)被提 出�����。在該網(wǎng)絡(luò)中�����,依據(jù)網(wǎng)絡(luò)服務(wù)提供能力以及用戶的需求和業(yè)務(wù)特性���,通過構(gòu)建專用虛擬網(wǎng) 絡(luò),即可重構(gòu)服務(wù)承載網(wǎng)�����,來提供網(wǎng)絡(luò)服務(wù)����,從而使網(wǎng)絡(luò)具有高度靈活的服務(wù)能力。
[0003] 可重構(gòu)服務(wù)承載網(wǎng)面向一類業(yè)務(wù)特殊的業(yè)務(wù)提供服務(wù)��,具有動態(tài)性和可伸縮性����, 這在解決了有限的網(wǎng)絡(luò)基礎(chǔ)能力與豐富的上層應(yīng)用之間的矛盾的同時,也帶來了嚴峻的安 全問題,首先���,在這種開放���、動態(tài)和不確定的可重構(gòu)服務(wù)承載網(wǎng)環(huán)境下,無法保證來源于不 同自治域��、可能陌生的實體之間協(xié)作活動的安全性和高效性���,此外�����,實體行為不可信會導(dǎo)致 網(wǎng)絡(luò)服務(wù)可用性降低和安全風(fēng)險增長����;其次�����,基于密碼技術(shù)的安全機制主要是針對不知道 合法用戶秘密信息的外部攻擊者所實施的攻擊�,而不能防范擁有秘密信息的內(nèi)部用戶在被 控制或者是配置錯誤的情況下實施的內(nèi)部攻擊,更無法防范由系統(tǒng)漏洞�����、病毒木馬帶來的 網(wǎng)絡(luò)安全風(fēng)險。 (三)��、
【發(fā)明內(nèi)容】
:
[0004] 本發(fā)明要解決的技術(shù)問題是:提供一種面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建 立方法�����,該方法實時保證了可重構(gòu)服務(wù)承載網(wǎng)上的數(shù)據(jù)安全���、行為可信、風(fēng)險可控��。
[0005] 本發(fā)明的技術(shù)方案:
[0006] -種面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法����,其特征是:
[0007] 步驟1.定義安全管控模型中的參量:可重構(gòu)服務(wù)承載網(wǎng)、安全元服務(wù)�、安全元能 力、網(wǎng)絡(luò)安全設(shè)備和信任因子��;
[0008] 步驟2.可重構(gòu)服務(wù)承載網(wǎng)狀態(tài)信息采集:采用資源管理器對可重構(gòu)服務(wù)承載網(wǎng) 進行實時監(jiān)控����,并獲取網(wǎng)絡(luò)當前的狀態(tài)信息���,對于任意一個可重構(gòu)服務(wù)承載網(wǎng)n,記其在當 前時刻t的狀態(tài)信息為S n(t);
[0009] 步驟3.可重構(gòu)服務(wù)承載網(wǎng)安全狀態(tài)評估:依據(jù)狀態(tài)信息Sn(t)對該可重構(gòu)服務(wù)承 載網(wǎng)η所有節(jié)點的可信性�����、所面臨的風(fēng)險進行評估���,并推導(dǎo)出整個可重構(gòu)服務(wù)承載網(wǎng)的可 信性程度和所處的風(fēng)險狀態(tài)����;
[0010] 步驟4.依據(jù)步驟3的評估結(jié)果和上層管控需求Cn(t)�����,在策略庫的指導(dǎo)下生成可 重構(gòu)服務(wù)承載網(wǎng)η當前時刻在數(shù)據(jù)安全�����、行為可信���、風(fēng)險控制三個方面的管控需求���;
[0011] 步驟5.依據(jù)步驟4所生成的可重構(gòu)服務(wù)承載網(wǎng)η當前時刻的管控需求�,分別生成 可重構(gòu)服務(wù)承載網(wǎng)η網(wǎng)絡(luò)上節(jié)點安全元能力的配置方案�����、網(wǎng)絡(luò)安全設(shè)備的配置方案和信任 激勵策略���,最后得到整個可重構(gòu)服務(wù)承載網(wǎng)η的候選安全管控方案集合�;
[0012] 步驟6.管控方案優(yōu)化:在滿足管控需求的前提下��,選擇出實施成本最低的安全管 控方案�����;
[0013] 步驟7.資源控制器將所得到的最優(yōu)管控方案在可重構(gòu)服務(wù)承載網(wǎng)η上進行部署�。
[0014] 步驟1中的參量定義如下:
[0015] 可重構(gòu)服務(wù)承載網(wǎng):可重構(gòu)服務(wù)承載網(wǎng)是在可重構(gòu)通信基礎(chǔ)網(wǎng)的基礎(chǔ)上建立的�, 用Ν表示所有的可重構(gòu)服務(wù)承載網(wǎng)的集合,用無向圖G n = (Vn�,Εη)表示該集合中的任一可 重構(gòu)服務(wù)承載網(wǎng)η的網(wǎng)絡(luò)拓撲,其中I G Κ��,¥"表示可重構(gòu)服務(wù)承載網(wǎng)η的虛擬節(jié)點集合���, V是整個可重構(gòu)通信基礎(chǔ)網(wǎng)中的節(jié)點集合�,,En表示可重構(gòu)服務(wù)承載網(wǎng)η的鏈 路集合����;
[0016] 安全元服務(wù):安全元服務(wù)是保證可重構(gòu)服務(wù)承載網(wǎng)上數(shù)據(jù)安全傳輸所需要的服 務(wù),安全元服務(wù)含有S種不同的類型���,用S = {1�,2�����,. ..��,s}表示安全元服務(wù)的所有類型的集 合��;
[0017] 安全元能力:安全元能力是實現(xiàn)安全元服務(wù)的密碼算法����,不同類型的安全元服務(wù) 對應(yīng)不同的安全元能力,不同的安全元能力具有不同的等級��,用L= {0�����,1,2�,...,1}表示安 全元能力的所有等級的集合����,設(shè)i e S、j e L�,Ui,」表示實現(xiàn)了第i類安全元服務(wù)的一種j 等級安全元能力,用表τ ι」示實施該安全元能力Ui,」所帶來的計算耗時���;所有安全元能力 用下述sX (1+1)的矩陣U表示:
[0018]
【權(quán)利要求】
1. 一種面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法���,其特征是: 步驟1.定義安全管控模型中的參量:可重構(gòu)服務(wù)承載網(wǎng)、安全元服務(wù)�����、安全元能力��、網(wǎng) 絡(luò)安全設(shè)備和信任因子��; 步驟2.可重構(gòu)服務(wù)承載網(wǎng)狀態(tài)信息采集:采用資源管理器對可重構(gòu)服務(wù)承載網(wǎng)進行 實時監(jiān)控�,并獲取網(wǎng)絡(luò)當前的狀態(tài)信息���,對于任意一個可重構(gòu)服務(wù)承載網(wǎng)n����,記其在當前時 亥|J t的狀態(tài)信息為Sn(t); 步驟3.可重構(gòu)服務(wù)承載網(wǎng)安全狀態(tài)評估:依據(jù)狀態(tài)信息Sn(t)對該可重構(gòu)服務(wù)承載網(wǎng) η所有節(jié)點的可信性、所面臨的風(fēng)險進行評估��,并推導(dǎo)出整個可重構(gòu)服務(wù)承載網(wǎng)的可信性程 度和所處的風(fēng)險狀態(tài)���; 步驟4.依據(jù)步驟3的評估結(jié)果和上層管控需求Cn(t)�,在策略庫的指導(dǎo)下生成可重構(gòu) 服務(wù)承載網(wǎng)η當前時刻在數(shù)據(jù)安全��、行為可信�����、風(fēng)險控制三個方面的管控需求��; 步驟5.依據(jù)步驟4所生成的可重構(gòu)服務(wù)承載網(wǎng)η當前時刻的管控需求�,分別生成可重 構(gòu)服務(wù)承載網(wǎng)η網(wǎng)絡(luò)上節(jié)點安全元能力的配置方案、網(wǎng)絡(luò)安全設(shè)備的配置方案和信任激勵 策略��,最后得到整個可重構(gòu)服務(wù)承載網(wǎng)η的候選安全管控方案集合����; 步驟6.管控方案優(yōu)化:在滿足管控需求的前提下����,選擇出實施成本最低的安全管控方 案����; 步驟7.資源控制器將所得到的最優(yōu)管控方案在可重構(gòu)服務(wù)承載網(wǎng)η上進行部署。
2. 根據(jù)權(quán)利要求1所述的面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法�,其特征 是:所述步驟1中的參量定義如下: 可重構(gòu)服務(wù)承載網(wǎng):可重構(gòu)服務(wù)承載網(wǎng)是在可重構(gòu)通信基礎(chǔ)網(wǎng)的基礎(chǔ)上建立的,用Ν 表示所有的可重構(gòu)服務(wù)承載網(wǎng)的集合���,用無向圖Gn= (Vn���,Εη)表示該集合中的任一可重構(gòu) 服務(wù)承載網(wǎng)η的網(wǎng)絡(luò)拓撲,其中% ? F�����,Vn表示可重構(gòu)服務(wù)承載網(wǎng)η的虛擬節(jié)點集合�����,V是 整個可重構(gòu)通信基礎(chǔ)網(wǎng)中的節(jié)點集合�,' ? χ--,匕表示可重構(gòu)服務(wù)承載網(wǎng)η的鏈路集 合����; 安全元服務(wù):安全元服務(wù)是保證可重構(gòu)服務(wù)承載網(wǎng)上數(shù)據(jù)安全傳輸所需要的服務(wù),安 全元服務(wù)含有s種不同的類型����,用S = {1,2, ...��,s}表示安全元服務(wù)的所有類型的集合�����; 安全元能力:安全元能力是實現(xiàn)安全元服務(wù)的密碼算法���,不同類型的安全元服務(wù)對應(yīng) 不同的安全元能力�,不同的安全元能力具有不同的等級��,用L= {0���,1���,2���,...,1}表示安全元 能力的所有等級的集合���,設(shè)i e S�����、j e L��,Ui,」表示實現(xiàn)了第i類安全元服務(wù)的一種j等級 安全元能力�����,用表τ q示實施該安全元能力uq所帶來的計算耗時�;所有安全元能力用下 述sX (1+1)的矩陣U表示: \〇 ... uij. U = '·.: . Us,0 … 網(wǎng)絡(luò)安全設(shè)備:網(wǎng)絡(luò)安全設(shè)備是部署在可重構(gòu)服務(wù)承載網(wǎng)上�、用來降低網(wǎng)絡(luò)風(fēng)險的設(shè) 備,網(wǎng)絡(luò)安全設(shè)備含有d種不同的類型��,用D= {1����,2, ...,d}表示網(wǎng)絡(luò)安全設(shè)備的所有類 型的集合����;根據(jù)安全需求的不同�����,每一類網(wǎng)絡(luò)安全設(shè)備的安全強度可以配置成k個等級,用 K= {0���,1���,2, ...,k}表示所有安全強度等級的集合���;設(shè)il e D����、jl e Κ���,?·η,Μ表示類型為 il���、安全強度為jl等級的一種網(wǎng)絡(luò)安全設(shè)備,用λ 表示的經(jīng)濟成本���;所有網(wǎng)絡(luò)安 全設(shè)備用下述dX (k+Ι)的矩陣F表示:
信任因子:信任因子是影響可重構(gòu)服務(wù)承載網(wǎng)上節(jié)點行為可信性的最基本因素��,信任 因子含有b種不同的類型�����,用B= {1�����,2, ...�,b}表示信任因子的所有類型的集合;對每一 類信任因子�,管理層采取不同強度的激勵措施以提高節(jié)點行為在該類信任因子方面的可信 性,用Η = {0,1�����,2, ...���,h}表示激勵措施的所有激勵強度等級的集合����;設(shè)i2 e B����、j2 e H�, Pi2,J2表示對第類信任因子實現(xiàn)的激勵強度為等級的激勵措施�,用δ i2, J2表示Pi2, J2的 實施成本;所有激勵措施用下述bX (h+1)的矩陣P表示:
3. 根據(jù)權(quán)利要求2所述的面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法�,其特征 是:所述安全元服務(wù)含有機密性服務(wù)、完整性服務(wù)和不可抵賴性服務(wù)����;機密性服務(wù)對應(yīng)的 安全元能力是RSA-1024,完整性服務(wù)對應(yīng)的安全元能力是Sha-1�����,RSA-1024具有比RSA-512 更1?的安全等級��; 所述網(wǎng)絡(luò)安全設(shè)備含有入侵檢測系統(tǒng)和防火墻����,入侵檢測系統(tǒng)用來防止IP欺騙和網(wǎng) 絡(luò)泛洪,防火墻用來阻止直接訪問和網(wǎng)絡(luò)操作�; Uw表示可重構(gòu)服務(wù)承載網(wǎng)上的一個節(jié)點不提供第i類安全元服務(wù),此時的τ w = 〇 ; fiu表示在可重構(gòu)服務(wù)承載網(wǎng)上的一個節(jié)點上沒有部署il類網(wǎng)絡(luò)安全設(shè)備�,此時,λ = 〇 ;Pi2,〇表示對可重構(gòu)服務(wù)承載網(wǎng)上的一個節(jié)點�����,不在i2類信任因子方面進行激勵,此時�, 5 12,0 = 0°
4. 根據(jù)權(quán)利要求1所述的面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法,其特征 是:所述步驟2中����,網(wǎng)絡(luò)當前的狀態(tài)信息含有流量分布、節(jié)點行為記錄和入侵檢測記錄�。
5. 根據(jù)權(quán)利要求2所述的面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法,其特征 是:所述步驟3的具體內(nèi)容如下: 步驟3. 1.對可重構(gòu)服務(wù)承載網(wǎng)η的風(fēng)險狀態(tài)進行評估: 步驟3. 1.1. WSn(t)中提取出風(fēng)險證據(jù)信息�,通過弱點識別記錄得到可重構(gòu)服務(wù)承載 網(wǎng)η中的管理配置脆弱點和節(jié)點上的漏洞,通過網(wǎng)絡(luò)資產(chǎn)所在的網(wǎng)絡(luò)位置�、資產(chǎn)的性能和 資產(chǎn)提供的服務(wù)得到網(wǎng)絡(luò)資產(chǎn)的價值評估; 步驟3. 1. 2.將所得到的風(fēng)險證據(jù)信息進行聚合�����,并將其作為一個風(fēng)險評估模型的輸 入�����; 步驟3. 1. 3.風(fēng)險評估模型分別輸出可重構(gòu)服務(wù)承載網(wǎng)η上每個節(jié)點所面臨的風(fēng)險和 整個可重構(gòu)服務(wù)承載網(wǎng)η所面臨的風(fēng)險���;整個風(fēng)險評估過程抽象如下: 其中���,Rn(t) e [〇���,+ ?)表示可重構(gòu)服務(wù)承載網(wǎng)n在時刻t所面臨的風(fēng)險,Rv⑴表示 節(jié)點v在時刻t所面臨的風(fēng)險�����,Vn表示可重構(gòu)服務(wù)承載網(wǎng)η的虛擬節(jié)點集合����; 步驟3. 2.對可重構(gòu)服務(wù)承載網(wǎng)η的可信度進行評估: 步驟3. 2.1. WSn(t)中提取信任證據(jù)信息�,并將信任證據(jù)信息分為歷史證據(jù)信息和當 前時刻證據(jù)信息,把當前時刻證據(jù)信息又分為直接證據(jù)信息和間接證據(jù)信息�����;其中���,直接證 據(jù)信息反映了可重構(gòu)服務(wù)承載網(wǎng)η上節(jié)點對與該節(jié)點直接交互節(jié)點的可信性�����,而間接信任 證據(jù)信息則是由第三方提供的推薦性信息�; 步驟3. 2. 2.對所提取出的信任證據(jù)信息進行過濾和聚合后作為一個信任評估模型的 輸入; 步驟3. 2. 3.信任評估模型對信任證據(jù)信息進行分析����,得到可重構(gòu)服務(wù)承載網(wǎng)η上每個 節(jié)點的可信性和整個可重構(gòu)服務(wù)承載網(wǎng)的可信性;信任評估過程抽象如下: V物 #3(3�����;(詠(參0:}) 其中���,Tn(t) e [〇��,1]表示可重構(gòu)服務(wù)承載網(wǎng)η在時刻t的可信性�����,Tv(t)表示節(jié)點ν在 時刻t的可信性��; 步驟3. 3.將可重構(gòu)服務(wù)承載網(wǎng)η的信任評估結(jié)果和風(fēng)險評估結(jié)果進行聚合�,即有: 所述步驟4中��,按下述步驟生成可重構(gòu)服務(wù)承載網(wǎng)η當前時刻在數(shù)據(jù)安全�、行為可信、 風(fēng)險控制三個方面的管控需求: 步驟4. 1.依據(jù)步驟3的評估結(jié)果和上層管控需求Cn(t)判定需要重新配置安全元能 力的節(jié)點集合KK ;對任一屬于%的節(jié)點v,其所需要的數(shù)據(jù)安全元服務(wù)類型的 集合為Sv�,5? ? S,S為安全元服務(wù)的所有類型的集合��;設(shè)i3 e Sv�,相應(yīng)的安全等級集合為 右3,A 為安全元能力的所有等級的集合����;即有: ν((Γ (?),β (?)),{(Γ(?),β (?)) I υ e Vn}) ACn(t) ^ 3 V: C I;; yveV:^3S^CSA^seS^3UCL: 步驟4. 2.依據(jù)步驟3的評估結(jié)果和上層管控需求Cn(t)判定需要進行信任激勵的節(jié)點 集合<�,<?κη;對任一屬于巧的節(jié)點V,其所需要激勵的信任因子類型的集合為Bv, IT ? β��,Β表示信任因子的所有類型的集合�����;設(shè)i4 e Βν���,相應(yīng)的激勵強度等級集合為, 巧4 ? ii�����,Η表示激勵措施的所有激勵強度等級的集合;即有: /{(T(t),R(t)),{(T\t),R(t)) | t; e I����;}) Λ Cn(t) ^ 3 F; C F��; yveV:^3B^CBA^fueB^3H:4CH; 步驟4. 3.依據(jù)步驟3的評估結(jié)果和上層管控需求Cn(t)選擇需要配置安全設(shè)備的節(jié) 點集合? Fn ;對任一屬于Fd的節(jié)點V���,需要在該節(jié)點V上配置的安全設(shè)備類型的集 合為Dv, IT ? D����,D表示網(wǎng)絡(luò)安全設(shè)備的所有類型的集合��,設(shè)i5 e Dv���,相應(yīng)的設(shè)備安全強 度等級集合為巧��,€����; d���,K表示所有設(shè)備安全強度等級的集合�����;即有: ν((Γ"⑴��,八⑴)�,狀⑷八⑴)|代Γ"}) Λ ?;(〇今3 C ? 1:; yveV:!^3D^<ZDA^5eD^3IC;GK: 所述步驟5中��,按下述步驟分別生成可重構(gòu)服務(wù)承載網(wǎng)n網(wǎng)絡(luò)上節(jié)點安全元能力的配 置方案���、網(wǎng)絡(luò)安全設(shè)備的配置方案和信任激勵策略: 步驟5. 1.安全元能力配置方案生成:給定一個具體的數(shù)據(jù)安全需求: rs C Τ ; Vw e Fs 今 3 f c s Λ v?:je f 今 3 c i: n - n 11 - , 生成任意節(jié)點〃 e F〗上的安全元能力配置方案的過程如下: 步驟5. 1. 1.當i6 e S且沁貧f時�,令相應(yīng)的安全等級集合仏={〇}��,仏與A組合在 一起形成安全等級集合Lv; 步驟5. 1. 2.對任意i7 e S和j7 e Lv��,構(gòu)造一個s X s的矩陣CQ和一個(1+1) X (1+1) 的矩陣q ;在矩陣%中���,除第i7行i7列處元素的值為1外�,其余元素的值均為0 ;在矩陣 Q中�,除第j7行j7列處元素的值為1外���,其余元素的值均為0 ; 步驟5.1.3.利用上述步驟所構(gòu)造的矩陣〇|和矩陣(:1計算出一個8\(1+1)的矩陣『 : ^ =--π^·υ·^ . t7=i 5 步驟5. 1. 4.節(jié)點v上任意一個滿足管控需求的管控方案表示為向量集合uv�����,向量集合 uv中向量的取值和排列方法為:從矩陣Uv的第一行開始�,逐行從矩陣Uv中取出不等于0的 向量后依次排列在向量集合u v中,直到矩陣Uv的最后一行為止����,其中,從矩陣Uv的每行中 取向量的順序為:從本行的第一個向量開始到最后一個向量為止���; 步驟5. 1. 5.整個可重構(gòu)服務(wù)承載網(wǎng)η上所有節(jié)點的安全元能力配置方案表示為 X = ,,? 其中��,符號X表示笛卡爾乘積����; 步驟5. 2.網(wǎng)絡(luò)安全設(shè)備配置方案生成:給定一個具體的風(fēng)險控制需求: F���; CVn����,/veV: CD A^5eD^3K:sCK �, 生成任意節(jié)點w 上的網(wǎng)絡(luò)安全設(shè)備配置方案的過程如下: 步驟5. 2. 1.當i8 e D且詔交時,令相應(yīng)的設(shè)備安全強度等級集合% = {〇}�����,^與 組合在一起形成設(shè)備安全強度等級集合Γ ; 步驟5. 2. 2.對任意i9 e D和j9 e Κν,構(gòu)造一個dX d的矩陣C1Q和一個(k+1) X (k+1) 的矩陣Ch ;在矩陣Cl���。中�,除第i9行i9列處元素的值為1外���,其余元素的值均為Ο ;在矩 陣Ch中��,除第j9行j9列處元素的值為1外�,其余元素的值均為0 ; 步驟5. 2. 3.利用上述步驟所構(gòu)造的矩陣CL和矩陣Ch計算出一個dX (k+Ι)的矩陣 Fv :
* 步驟5. 2. 4.節(jié)點v上任意一個滿足管控需求的風(fēng)險控制方案表示為向量集合fv�,向量 集合Γ中向量的取值和排列方法為:從矩陣Fv的第一行開始,逐行從矩陣Fv中取出不等于 〇的向量后依次排列在向量集合Γ中����,直到矩陣F v的最后一行為止,其中�����,從矩陣Γ的每行 中取向量的順序為:從本行的第一個向量開始到最后一個向量為止�; 步驟5. 2. 5.整個可重構(gòu)服務(wù)承載網(wǎng)η上網(wǎng)絡(luò)安全設(shè)備的配置方案可表示為 ^ >其中,符號X表不笛卡爾乘積���; 步驟5. 3.信任激勵策略生成:給定一個具體的可信性需求: c r syvevb ^3BV c b a b1 ^ 3 h1' c h η _ η n - %4 - 生成任意節(jié)點〃 e <上的信任激勵策略的過程如下: 步驟5. 3.1.當iaeB且時���,令相應(yīng)的激勵強度等級集合i/,:: = {〇},//,:�����;與巧4 組合在一起形成激勵強度等級集合Hv ; 步驟5. 3. 2.對任意ib e Β和jb e Ην�,構(gòu)造一個b X b的矩陣C2。和一個(h+1) X (h+1) 的矩陣C2i ;在矩陣C%中�����,除第ib行ib列處元素的值為1外����,其余元素的值均為0 ;在矩 陣C2i中,除第jb行jb列處元素的值為1外�,其余元素的值均為0 ; 步驟5.3.3.利用上述步驟所構(gòu)造的矩陣C2(l和矩陣C21計算出一個bX(h+l)的矩陣 Pv :
步驟5. 3. 4.節(jié)點v上任意一個滿足管控需求的信任激勵策略表示為表示為向量集合 Pv,向量集合Pv中向量的取值和排列方法為:從矩陣Pv的第一行開始��,逐行從矩陣P v中取 出不等于〇的向量后依次排列在向量集合Pv中���,直到矩陣Pv的最后一行為止�,其中,從矩陣 Pv的每行中取向量的順序為:從本行的第一個向量開始到最后一個向量為止�; 步驟5. 3. 5.整個可重構(gòu)服務(wù)承載網(wǎng)η的信任激勵策略表示為% = 其中,符 _ η 號X表75笛卡爾乘積�����; 步驟5. 4.將步驟5. 1?步驟5. 3所生成的方案策略進行聚合��,得到整個可重構(gòu)服務(wù)承 載網(wǎng)η的候選安全管控方案集合:ΧΧΥΧΖ�,其中,符號X表不笛卡爾乘積�; 所述步驟6的具體方法如下: 步驟6. 1.對每一個候選管控方案〇= (x,y�����,z) eXXYXZ�����,按下述步驟計算其實施代 價: 步驟6. 1. 1.設(shè)安全元能力配置方案s = '實施安全元能力配置方案X中的每一 η 個分量uv所帶來的計算耗時為τν����,τν為實施U v中各向量所帶來的計算耗時的總和,則安 全元能力配置方案X的代價為' =. 步驟6. 1.2.設(shè)激勵策略2:= ,^;:^>%激勵策略z中的每一個分量pv的實施成本為δ ν, δ ν為ρν中各向量的實施成本的總和���,則激勵策略ζ的實施代價為& = I. 9 步驟6. 1. 3.設(shè)安全設(shè)備配置方案y ���,安全設(shè)備配置方案y中的每一個分量Γ 的經(jīng)濟成本為λν�����,λν*Γ中各向量的經(jīng)濟成本的總和�����,則安全設(shè)備配置方案y的實施代 價為Α =Σ !;λ · 5 步驟6.1.4.管控方案〇= (x��,y��,z)的實施代價即為% =(γλ.�����,& 2V); 步驟6. 2.按照下述約束條件從管控方案候選集XXYXZ中選出最優(yōu)的管控方案: 〇wAn= (^η! ?/πι?η5 ^Bin) €Ξ X 1 X Ζ, 丁 - ιπ?π?τ \(χ ,ζ) G X χΥ χ Ζ}; δζη-ιη = min{5; \ (χ ,y ,ζ) ^ X χΥ χΖ}; Λ^," = mm{Ay \ (χ ,y ,ζ) e X xY χ Ζ}; 并令〇min = (xmin�����,ymin,zmin)表示優(yōu)化后得到的最優(yōu)管控方案���。
6.根據(jù)權(quán)利要求5所述的面向可重構(gòu)服務(wù)承載網(wǎng)的安全管控模型建立方法��,其特征 是:所述風(fēng)險證據(jù)信息含有利用入侵檢測記錄發(fā)現(xiàn)的可重構(gòu)服務(wù)承載網(wǎng)中存在的惡意攻 擊�����;網(wǎng)絡(luò)資產(chǎn)含有主機��、服務(wù)器和防火墻�。
【文檔編號】H04L29/06GK104144166SQ201410405711
【公開日】2014年11月12日 申請日期:2014年8月18日 優(yōu)先權(quán)日:2014年8月18日
【發(fā)明者】劉文芬, 胡學(xué)先, 魏江宏, 郜燕, 代致永 申請人:中國人民解放軍信息工程大學(xué)