[发明专利]一种基于风险评估的服务器的风险均衡器

权利要求书

1.一种基于风险评估的服务器的风险均衡器，其特征在于：

包括警报收集/响应执行模块、通信模块、警报处理模块、数据支持模块、风险响应模块和信息显示模块，共六个模块，

警报收集/响应执行模块用于获取安装在主机上的入侵检测系统(IntrusionDetection System，IDS)的报警信息，并将报警信息传给通信模块；

通信模块作为消息的临时存取模块，对警报收集模块发来的信息进行整理、聚合，发送到数据支持模块，并且通信模块接收来自风险响应模块的执行信息然后发送到警报收集/响应执行模块；

数据支持模块对数据进行存取服务；

警报处理模块对报警信息进行参数计算，分别获取出报警数量、报警确信度、报警种类数、报警严重度参数，提供给风险响应模块计算使用；

风险响应模块使用警报处理模块提供的报警数量、报警确信度、报警种类数、报警严重度参数计算出风险数值，该风险数值与风险阈值相比较，超过风险阈值后将执行风险响应操作；

信息显示模块显示报警信息、数据库存储的信息和风险状态数值，并允许管理员对高风险情况做出决策，

风险均衡的运行步骤为：

步骤1，将统计的IDS系统所接受报警数量定义为报警数量A_k；通过报警置信度学习模块获得报警确信度C_i；将统计的IDS系统所接受的种类定义为报警种类数B_k；将IDS显示的报警级别定义为报警严重程度P_r0，P_r0也称为攻击严重程度；

步骤2，将服务器上的提供的服务分成普通服务，重要服务，很重要服务三类，并赋予不同的重要度，其中将TELNET/WEB SERVICE设置为普通服务，将MAIL/FTP SERVICE设置为重要服务，将DNS/DATABASE SERVICE设置为很重要服务，对于普通服务，其低风险区间为[0，0.5)，中风险区间为[0.5，0.8)，高风险区间为[0.8，1]；对于重要服务，其低风险区间为[0，0.4)，中风险区间为[0.4，0.7)，高风险区间为[0.7，1]；对于很重要服务，其低风险区间为[0，0.3)，中风险区间为[0.3，0.6)，高风险区间为[0.6，1]；

步骤3，利用步骤1中获取的报警数量A_k及隶属函数公式(1)、(2)确定报警数量所确定目标状态属于的隶属度μ₁₁和μ₁₂，然后根据报警确信度学习公式(3)进行报警确信度学习；

其中α₁、α₂、α₃为报警数量阈值，μ_ij是根据第i个影响因素所确定目标状态属于V_j的隶属度，C_i为第i次攻击的报警确信度，C_k0为特指第k0次时的报警确信度，S_i为此类入侵的报警总数，每次此类报警事件都加1，S₀为初始值，S₀的大小关系到系统在初始状态下对误报的容忍度和学习的收敛速度，E_i为此类入侵事件的误报数，每次误报后加1，再根据隶属函数(4)和(5)确定报警确信度所确定的目标状态的隶属度μ₁₁和μ₁₂，

μ₂₁＝1-C_k0， (4)

μ₂₂＝C_k0 (5)

然后根据步骤1获得的报警种类数B_k通过隶属函数(6)、(7)确定报警种类数所确定目标状态属于的隶属度μ₃₁和μ₃₂，

其中λ₁、λ₂、λ₃为报警种类数阈值，然后利用步骤1获得的攻击严重程度P_r0通过隶属函数(8)、(9)确定攻击严重程度所确定目标状态属于的隶属度μ₄₁和μ₄₂，

这里的φ为由IDS报警级别所确定的整数，其中φ＝3，Snort入侵检测系统的报警信息中使用Priority来表明事件的严重程度，它的值一共有3个，1为很严重的事件，2为严重的事件，3为较严重事件，这样令：P_r0＝4-Priority，有了各评估因素的隶属度情况，对于报警线程k，第q个评估因素所确定的目标状态V_j和θ的概率分配函数与然后利用公式(12)、(13)可以计算出风险指数

这里q＝1，2，…，4，j＝1，2，其中ω_q为系数，由管理员确定，P_IDSi为总的检测精度，其计算方法为：总的检测精度＝正确分类的样本数/总样本数；

步骤4，将步骤3计算得出的风险指数与步骤2的风险区间相比较，若低于高风险阈值，可认为此时服务器处于安全状态，若高于高风险阈值，则认为此服务器处于非安全状态，需实行风险均衡方法。