[发明专利]一种入侵进程的层次化在线风险评估方法

说明书

技术领域

本发明涉及一种入侵进程的在线风险评估方法，尤其是利用层次分析法来进行入侵进程的风险评估方法，尤其是在安全管理平台上利用对实时收集的多种安全设备的报警计算风险，在服务层、主机层、网络层对入侵进程进行风险评估，属于计算机信息安全领域。

背景技术

入侵检测系统IDS(intrusion detection system)作为一种重要的网络防御手段它可以识别入侵者和入侵行为，检测和监视已经成功的入侵，并进行入侵响应。但现有IDS普遍存在的误报率、漏报率偏高和大量重复报警问题，大部分IDS检测到的攻击都为入侵过程中的单一攻击行动其检测结果是孤立的报警，且往往过于细化和低层，所包含的信息质量较低，造成了“只见树木，不见森林”的负面效果。由于这些问题的存在，使得无论是安全管理人员还是各种自动报警处理系统都很难根据IDS的报警信息实时地对入侵所造成的风险大小和风险变化情况做出正确评估，从而无法做出正确的入侵响应决策。

无论是从目前国际上最流行的信息安全评估CC标准，还是众多信息安全评估模型来看，信息安全评估都是从安全需求出发，结合资产价值对系统的威胁、脆弱性进行全面的考察和评判。研究者们所提出的大量风险评估模型和方法大部分都是离线的，侧重于各个层次上的系统漏洞评估，而针对入侵的实时、在线风险评估方法和模型则很少。在借鉴这些模型的基础上，对我们原来建立的单层在线风险评估模型进行了拓展和改进，提出了从服务、主机到网络的多层在线风险评估模型，评估一个正在发生的报警线程在这三个层面的所产生的风险。

发明内容

本发明的目的就是设计一种和IDS协同工作的方法与系统，利用IDS的报警信息作为输入，在线的评估入侵进程对目标系统造成的风险，在提高IDS报警精准度的同时为入侵响应策略的制定提供客观依据，同时为网络管理员提供实时客观的网络风险状态信息。

为实验上述目的，本发明实现了一种网络入侵进程进行风险评估的计算方法与系统，在服务、主机、网络三个层面上分别对正在发生的入侵进程进行风险指数计算，得出网络整体的风险分布信息。

风险计算为本发明的核心内容，其步骤如下：

步骤1：获得底层报警模块提供的报警信息；

步骤2：根据源IP地址与目的IP地址将报警信息进行聚合关联等综合处理，得到报警线程的信息；

步骤3：计算并更新此报警线程中的报警数量，报警种类，最新报警所指示的攻击确信度，攻击严重程度，攻击同被攻击目标的相关度。并用D-S证据理论将上述五个参数融合为客观因素产生的风险指数。

步骤4：然后根据主机上运行服务的性质，赋予服务相应的重要度。接着根据服务重要度，确定的目标风险分布，继而根据风险指数在风险区间上的位置最终决定服务的风险状态。

步骤5：根据主机上的服务和有关性质，设置主机的重要度根据重要度，可以确定其风险分布情况，然后按照主机风险指数在风险分布区间中位置确定主机的风险情况。

步骤6：根据本子网重要性，设置相应的重要度，并以此决定其网络层次的风险分布，然后根据风险指数在网络层次风险分布中的位置，确定网络的风险状况。

本发明的特点是：层次化的风险评估为层次化的入侵响应决策提供了依据，可以将响应的影响范围限制在合适的范围内；通过响应风险阈值的设定，可以增加系统对各种网络异常活动的耐受性，降低误报引发误响应的风险；通过风险情况还可以进行响应方案的调整，增加了响应的自适应性。此评估方法可以作为入侵检测的高层模型，并可为有针对性的实时入侵取证工作提供支持。

附图说明

图1：风险评估树形图。

图2：服务层次上的风险评估模型图。

图3：评估因素隶属函数图。

图4：主机全面扫描在服务、主机层次上的风险变化情况图。

图5：DOS攻击在服务、主机层次上的风险变化情况图。

图6：FTP溢出入侵进程在服务、主机层次上的风险变化情况图。

图7：FTP主机的SDN图。

图8：FTP MDTM溢出入侵在网络层次上的风险变化情况图。

图9：误报线程和入侵报警线程风险变化情况图。

具体实施方式

以下结合附图和具体实例对本发明做进一步说明：

被保护的网络系统由各种主机组成，主机上运行着操作系统与各种应用网络服务程序：第1层次的风险评估是在各主机的应用服务层次上进行；第2层是在各个主机层次上进行；最后是在网络层次上进行，形成了如图1所示的风险评估树。