[发明专利]基于云计算环境的网络风险测定取证方法

权利要求书

1.一种基于云计算环境的网络风险取证测定方法，其特征在于，该方法包括：

首先进行云计算环境下网络入侵风险测定；

建立云计算环境下分层定量风险度评估体系；

进行实时取证和策略控制。

2.如权利要求1所述的基于云计算环境的网络风险测定方法，其特征在于，

在风险统计模块中，所有数据中心服务器被看作相同的角色；数据中心服务器向辖下监控点收集风险信息，若辖下监控点属于下级数据中心服务器，则收集它的整体风险，若辖下监控点属于安全服务器，则收集它的自身风险；安全服务器实时监控获取自身的风险记录；二级数据中心服务器联系顶级数据中心服务器，获取风险相关的重要信息；二级数据中心服务器将直辖的监控安全服务器风险信息全部收集到本地。具体过程如下：

首先将检测器分散到网络各个节点，即安全服务器上，对网络进行监控，开始收集网络数据；

数据中心服务器向辖下监控点收集风险信息；

二级数据中心服务器将收集的信息统计分析，综合顶级数据中心服务器获取的相关信息，计算出直辖网络整体风险值；

顶级数据中心服务器统计分析二级数据中心服务器评估的整体风险和顶级安全服务器风险，综合风险相关重要信息计算出整个系统的风险值；

顶级数据中心服务器分别从二级数据中心服务器收集安全服务器信息和整体风险信息，从顶级安全服务器收集风险信息，从本地获取风险相关重要信息。

3.如权利要求2所述的基于云计算环境的网络风险取评估方法，其特征在于，云计算环境下分层定量风险度评估方法包括：

计算t时刻单个主机所面临单个攻击的危险度r_i，j(t)；t时刻第i个异常对第j个LCSA上的主机危险度值为：其中，u表示该类攻击的危险程度；

计算t时刻单个主机所面临多种攻击的综合危险度r_j(t)，我们设参数u_i(0≤u_i≤1)代表第i(1≤i≤m)类攻击的危险性，那么第j个主机上的危险度值r_j(t)值为，rj(t)=tanh(ζ·Σi=1n(ui·Σx∈Ai(t)ρi(t))),]]>r_j(t)值越大，系统越危险；

建立攻击危险性指标体系，将攻击按照行为特征分为四大类，若干小类，分类的目的是为了更好的确定每类攻击的危害程度，然后建立第i种攻击的危害性向量Dⁱ，即为Di={D1i,D2i,D3i,D4i,D5i,D6i}]]>(1≤i≤m)。将这m种攻击的危害性向量排列在一起，构成危害性矩阵D：

D=D11D21D31D41D51D61··················D1iD2iD3iD4iD5iD6i··················D1mD2mD3mD4mD5mD6m;]]>

计算攻击危险性，根据每台主机所提供的不同服务，用户对象，不同的系统软件，应用软件等等各自的属性，综合建立第j(1≤j≤N)个主机的网络带宽、服务、系统软件、应用软件、数据、信息这6类指标的相对重要性值，记为第j(1≤j≤N)个主机E^j的取值，是根据专家打分以及问卷调查综合评分；这样，第i个攻击对第j(1≤j≤N)台主机的危险程度u值，于是有：u_i＝Dⁱ·E^j；其中Dⁱ表示矩阵D的第i个分量，计算出u_i后可以求出r_j(t)；

计算网络危险度值；首先从树的最底层开始计算危险度值，然后向上递归计算，定义第j个主机的重要性值记为Importance_j，该LCSA的危险度值为该LCSA上的所有主机危险度值r_j(t)的加权和Q(t)：第j个主机(Host_j)的危险度值为r_j(t)；Importance_j为第j个主机的重要性值，然后再将Q(t)进行归一化计算，便可以最得该LCSA的危险度值；

将这些指标进行量化，从多个层次建立主机重要性评价指标体系；

采用多级关联灰度模型，假设已识别出网络中共有n种影响Importance指标，每种Importance共有m个属性，根据评价目的确定评价指标体系，对指标数据进行无量纲化的数据序列形成如下矩阵：

(X0,X1,···,Xn)=x0(1)x1(1)···xn(1)x0(2)x1(2)···xn(2)············x0(m)x1(m)···xn(m)]]>

其中其中i＝0，1，…，n；k＝1，2，…，m.并逐个计算每个被评价对象指标序列与参考序列对应元素的绝对差值|x₀(k)-x_i(k)|，并确定及通过计算每个比较序列与参考序列对应元素的关联系数。

ζi(k)=minimink|x0(k)-xi(k)|+ρ·maximaxk|x0(k)-xi(k)||x0(k)-xi(k)|+ρ·maximaxk|x0(k)-xi(k)|]]>k＝1，…，m

式中ρ为分辨系数，在(0，1)内取值，ρ越小，关联系数间的差异越大，区分能力越强.这里我们取ρ取0.5；

对各评价对象分别计算其m个指标与参考序列对应元素的关联系数的均值，以反映各评价对象与参考序列的关联关系，由于本系统中各指标在综合评价中所起的作用不同，采用对关联系数求加权平均值即：

r0i′=1mΣk=1mWk·ζi(k)]]>k＝1，…，m

最终依据各观察对象的关联序，得出评价结果；其中，W_k为各指标权重；

计算评估总目标；评估总目标＝∑(各指标分值×所对应权重)，评估总目标为评估每个主机的重要性值，也就是计算Importance值的大小。这样，我们求得Importance值为：Importance=Σk=18(Ik×Wk);]]>

评估整个网络风险度，SREC(System Risk Evaluation Center)从各个LCSA搜集本地安全信息(例如主机上的抗体浓度，风险度值等)，记第m个LCSA_m的重要性为LCSA_Weight_m，设网络共有N个LCSA，并进行归一化处理，整个网络风险度值R(t)为：

R(t)=tanh(Σm=1N(Σj=1n(rj(t)×Σk=18(Ij,k×Wk))×LCSA_Weightm))]]>

R(t)就是风险度评估中心SREC最终所计算出的网络风险度值，其分值越高，说明网络风险度级别越高，系统越处于风险状况；反之分值越低，网络越安全。