[发明专利]一种入侵进程的层次化在线风险评估方法

权利要求书

1.一种入侵进程的层次化在线风险评估方法，其步骤包括：

(1)利用报警信息综合处理模块对报警进行报警验证、关联和过滤处理，形成针对同一攻击过程的报警线程，并完成报警相关度、报警严重程度、报警线程中报警数量、报警类型数量以及置信度的学习和计算。

(2)使用D-S证据理论来融合并计算服务层次的入侵风险指数。

(3)使用木桶原理对主机中服务进行比较计算，得出主机层的入侵风险指数。

(4)在网络层面提出了安全依赖网络概念，利用了改进的风险传播算法，完成了网络层面的风险评估。

2.如权利要求1所描述的方法，其特征在于通过对报警信息的综合处理，得到五个和攻击方相关性较大的因素信息。这五个因素为别为：

(1)报警线程中的报警数量(Amount of alerts)A_k，此参数既代表了入侵的强度，也从另一方面反映了入侵的确信情况。此参数值可由报警关联模块获得。

(2)报警线程k中最新报警所指示的攻击确信度(Alert confidence)C_k0∈[0，1]，它表示了报警所指示的异常活动是真正攻击的可能性，可由本系统的报警置信度学习模块获得。

(3)此报警线程中的报警种类数(Number of alert types)B_k，此参数部分地反映了入侵的进行情况，随着入侵的进展，引发更多报警种类，入侵对目标服务的威胁就越来越严重，同时，它也反映了入侵者的技术水平，其值可由报警关联模块获得。

(4)攻击严重程度(Rank of alert severity)P_r0，是报警线程k中最新报警所指示的攻击严重程度。严重程度的值由报警直接得到，大部分IDS对攻击严重程度都以类似报警级别这样的参数在报警中体现出来，并具体规定了哪些级别报警是较严重的、哪些是严重的和很严重的。

(5)攻击同被攻击目标的相关度(Alert relevance score)R_s0∈[0，1]，是报警线程中最新攻击所针对的目标情况同实际目标情况的匹配程度。其值可由报警验证模块获得。

3.如权利要求1所描述的方法，其特征在于使用D-S证据理论融合上述五个和攻击方相关性较大的因素，对入侵所造成的风险进行客观上的评估，然后结合目标资产重要度，进行服务层的入侵风险评估。

4.如权利要3所描述的方法，首先利用模糊隶属函数来获得各焦元的基本概率分配函数，接着融合这5个不同评估因素对安全风险的评判。再根据被保护网络中各个主机上运行的服务性质赋予各目标主机相应的重要度，并根据目标重要度，确定的目标风险分布。

5.如权利要求1所描述的方法，其特征在于，在得到单个主机中各个服务的入侵风险指数后，利用“木桶原理”，根据主机重要度，确定其风险分布情况，然后按照主机风险指数在风险分布区间中位置确定主机的风险情况。

6.如权利要求5所描述的方法，其特征在于，主机可承受风险程度取决于最不能承受风险的服务，也就是最脆弱或最重要的服务，而确定风险分布的主机重要度不应低于本机所有服务中最重要的服务的重要度。

7.如权利要求1所描述的方法，其特征在于，根据主机的分布情况建立安全依赖网SDN，通过计算主机之前的安全依赖关系SDR，结合水波效应原理，得到主机的重要度，并以此决定其网络层次的风险分布，然后根据风险指数在网络层次风险分布中的位置，确定网络的风险状况。