(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111741025A(43)申请公布日2020.10.02(21)申请号202010780394.2(22)申请日2020.08.06(71)申请人中国人民解放军国防科技大学地址410073湖南省长沙市开福区德雅路109号(72)发明人王永杰钟晓峰刘京菊杨国正张敬业王维维汪松鹤(74)专利代理机构中国和平利用军工技术协会专利中心11215代理人刘光德(51)Int.Cl.H04L29/06(2006.01)G06N3/00(2006.01)权利要求书2页说明书6页附图1页(54)发明名称基于数字蚁群的网络安全主动防御方法、存储介质和系统(57)摘要本发明公开了一种基于数字蚁群的网络安全主动防御方法，包括：步骤一、各个主机数字蚂蚁实时采集各自驻留主机的原始状态数据并提取主机状态特征信息；步骤二、移动到对应主机上的第一移动检测数字蚂蚁根据主机状态特征信息，判断对应主机是否发生网络威胁；步骤三、主机数字蚂蚁判断是否从对应的响应规则库中获取与所述网络威胁类型对应的第一响应策略；步骤四、分区管理数字蚂蚁将接收到的网络威胁对应的原始状态数据上报给中央控制数字蚂蚁；步骤五、中央控制数字蚂蚁生成第二移动检测数字蚂蚁并通过对应的分区管理数字蚂蚁下发给对应主机。本发明还公开了一种存储介质和系统。本发明可灵活定制生成相应的检测与消除数字蚂蚁。CN111741025ACN111741025A权利要求书1/2页1.一种基于数字蚁群的网络安全主动防御方法，其特征在于，所述网络安全主动防御方法包括如下步骤：步骤一、各个主机数字蚂蚁实时采集各自驻留主机的原始状态数据并提取主机状态特征信息；步骤二、移动到对应主机上的第一移动检测数字蚂蚁根据主机状态特征信息，判断对应主机是否发生网络威胁，如是，则确定网络威胁类型并发送给对应的主机数字蚂蚁，进入步骤三；如否，则结束；步骤三、主机数字蚂蚁判断是否从对应的响应规则库中获取与所述网络威胁类型对应的第一响应策略，如是，则消除网络威胁，结束；如否，则将网络威胁对应的原始状态数据上报给对应的分区管理数字蚂蚁，进入步骤四；步骤四、分区管理数字蚂蚁将接收到的网络威胁对应的原始状态数据上报给中央控制数字蚂蚁；步骤五、中央控制数字蚂蚁根据接收到的网络威胁对应的原始状态数据，制定第二响应策略；并根据第二响应策略，从数字蚂蚁库中获取对应的数字蚂蚁代码模板，生成第二移动检测数字蚂蚁并通过对应的分区管理数字蚂蚁下发给对应主机。2.根据权利要求1所述的网络安全主动防御方法，其特征在于，步骤一之前，所述网络安全主动防御方法还包括：中央控制数字蚂蚁将网络安全监管策略、网络威胁类型知识和响应规则下发给对应的分区管理数字蚂蚁；分区管理数字蚂蚁按照网络安全监管策略进行本地部署；并将网络威胁类型知识和响应规则分发对应的主机数字蚂蚁；主机数字蚂蚁将分发的网络威胁类型知识和响应规则存储到各个主机对应的响应规则库中，实现本地信息更新。3.根据权利要求1或2所述的网络安全主动防御方法，其特征在于，步骤一还包括：各个主机数字蚂蚁将实时采集的各自驻留主机的原始状态数据上报给对应的分区管理数字蚂蚁。4.根据权利要求3所述的网络安全主动防御方法，其特征在于，步骤四还包括：分区管理数字蚂蚁将接收到的各个主机的原始状态数据上报给所述中央控制数字蚂蚁进行存储。5.根据权利要求1或2所述的网络安全主动防御方法，其特征在于，步骤五还包括：中央控制数字蚂蚁对第一移动数字蚂蚁进行回收处理。6.根据权利要求1或2所述的网络安全主动防御方法，其特征在于，所述原始状态数据包括软件运行动态行为、网络流量信息和对应主机位置信息。7.根据权利要求1或2所述的网络安全主动防御方法，其特征在于，所述网络威胁类型包括恶意软件类型和入侵行为类型。8.根据权利要求1或2所述的网络安全主动防御方法，其特征在于，所述第一响应策略和第二响应策略均包括杀死进程、封闭端口、切断网络和卸载软件。9.一种存储介质，其特征在于，所述存储介质存储有计算机执行指令；所述计算机执行指令执行时，实现权利要求1~8中任意一项所述的网络安全主动防御方法。2CN111741025A权利要求书2/2页10.一种基于数字蚁群的网络安全主动防御系统，其特征在于，所述网络安全主动防御系统包括权利要求9所述的存储介质。3CN111741025A说明书1/6页基于数字蚁群的网络安全主动防御方法、存储介质和系统技术领域[0001]本发明属于网络安全技术领域，具体涉及一种基于数字蚁群的网络安全主动防御方法、存储介质和系统。背景技术[0002]在网络安全领域，网络安全威胁检测与消除是网络安全防御的重要环节。传统的网络安全防御体系包括防火墙、入侵检测系统、恶意代码查杀系统等，网