[发明专利]一种基于风险评估的服务器的风险均衡器

摘要

本发明公开了一种服务器安全防御方法，包括：利用安装在服务器上的IDS获取服务器的安全情况信息；根据各个主机上运行的服务性质赋予服务相应的重要度；根据获得的服务器安全信息加上服务器重要度信息计算出目前该服务器的风险状态；在有任务需要服务器处理时，指派当前处于正常状态并且风险指数低于阈值的服务器进行处理；当一台服务器的风险指数超过阈值时，风险均衡器通过对访问服务进程进行转换，实现服务器集群的风险均衡。本发明还提供了相应的服务器风险均衡器。通过本发明的服务器风险均衡器，在服务器出现高风险时，能够做到风险的及时规避，从而达到安全的利用服务器资源的目的。

主权项

1.一种基于风险评估的服务器的风险均衡器，其特征在于：包括警报收集/响应执行模块、通信模块、警报处理模块、数据支持模块、风险相应模块、信息显示模块，所述警报收集/响应执行模块用于获取安装在主机上的IDS的报警信息，并将报警信息传给通信模块，所述通信模块作为消息的临时存取模块，对警报收集模块发来的信息进行整理、聚合，发送到数据支持模块，并且通信模块接收来自风险响应模块的执行信息然后发送到响应执行模块，数据支持模块对数据进行存取服务，警报处理模块对报警信息进行参数计算，分别获取出报警数量、报警确信度、报警种类数、报警严重度参数，供风险响应模块计算使用，所述数据显示模块用于报警信息、数据库存储信息、风险状态数值，并允许管理员对高风险情况做出决策，所述风险响应模块使用警报处理模块提供的报警数量、报警确信度、报警种类数、报警严重度参数计算出风险参数，在与管理员设定的服务重要度计算出风险状态，经过与阈值比较后再执行风险响应；其风险均衡步骤包括：步骤1通过统计IDS系统所接受报警数量获得报警数量，通过报警置信度学习模块获得报警确信度，通过统计IDS系统所接受的种类获得报警种类数，通过IDS对报警级别获取报警严重程度；步骤2将服务器上的提供的服务分成普通服务，重要服务，很重要服务三类，并赋予不同的重要度，其中将TELNET/WEB SERVICE设置为普通服务，将MAIL/FTP SERVICE设置为重要服务，将DNS/DATABASE SERVICE设置为很重要服务，对于普通服务，其低风险区间为[0，0.5)，中风险区间为[0.5，0.8)，高风险区间为[0.8，1]，重要服务，其低风险区间为[0，0.4)，中风险区间为[0.4，0.7)，高风险区间为，很重要服务[0.7，1]，其低风险区间为[0，0.3)，中风险区间为[0.3，0.6)，高风险区间为[0.6，1]；步骤3要根据步骤1中获取的报警数量Ak通过公式及相应的隶属函数确定报警数量所确定目标状态属于的隶属度μ11和μ12，然后根据公式进行报警确信度学习公式之后得到报警确信度Ck0，其中Si为此类入侵的报警总数，每次此类报警事件都加1，S0为初始值，此值得大小关系到系统在初始状态下对误报的容忍度和学习的收敛速度，Ei为此类入侵事件的误报数，每次误报后加1，再根据公式μ21＝1‑Ck0，μ22＝Ck0及相应的隶属函数确定报警确信度所确定的目标状态的隶属度μ21和μ22，然后根据步骤1获得的报警种类数Bk通过公式及相应的隶属函数确定报警种类数所确定目标状态属于的隶属度μ31和μ32，然后根据步骤1获得的攻击严重程度Pr0通过公式及相应的隶属函数确定攻击严重程度所确定目标状态属于的隶属度μ41和μ42，这里的φ为由IDS报警级别所确定的整数，Snort入侵检测系统的报警信息中使用Priority来表明事件的严重程度，它一共分为3级，1级为很严重的事件，2级为严重的事件，3级为较严重事件，这样令：Pr0＝4‑Priority.Snort，φ＝3即可，有了各评估因素的隶属度情况，利用公式可以计算出风险指数其中P_IDSi为总的检测精度，其计算方法为总的检测精度＝正确分类的样本数/总样本数，步骤4将步骤3计算得出的风险指数放入步骤2的风险区间相比较，若低于高风险阈值，可认为此时服务器处于安全状态，若高于高风险阈值，则认为此服务器处于非安全状态，需实行风险均衡方法。