文献类型：专利

专利类型：发明专利

是否失效：否

是否授权：否

申 请 号：CN201110182168.5

申 请 日：20110630

发 明 人：石进 张辰 高为 刘建邦 潘健翔

申 请 人：江苏南大苏富特科技股份有限公司 南京大学

申请人地址：210036 江苏省南京市清江南路89号南大苏富特科技创新

公 开 日：20130904

公 开 号：CN102355361B

代 理 人：陈建和

代理机构：32112 南京天翼专利代理有限责任公司

语　　种：中文

摘　　要：基于报警信息的安全评估方法，采用关联报警信息重构攻击场景的方法，使用谓词来表示攻击的前提条件和后果；采用无环有向图来表示重构后的攻击场景：1)根据超报警类型的前提集和后果集生成初始攻击场景图集合；2)对于初始攻击场景图集合中的每一个攻击场景图，计算其中各个节点证据支持度，消去可能的误报；攻击场景图G中误报结点的消去；从报警可信度的基础上对报警关联算法进行改进，并从可信性、危险性及对系统造成的风险上，对报警关联后的攻击序列进行了评估；并进行攻击序列的危险性分析和网络系统的损失分析。本发明通过对报警信息与目的地系统的环境匹配度、攻击类型、相关攻击信息以及目的地系统节点安全度的计算得出报警信息。

主 权 项：1.基于报警信息的安全评估方法，其特征是采用关联报警信息重构攻击场景的方法，使用谓词来表示攻击的前提条件和后果；具体步骤如下：（1）采用无环有向图来表示重构后的攻击场景，攻击场景图的生成分为三步；1）根据超报警类型的前提集和后果集生成初始攻击场景图集合；2）对于初始攻击场景图集合中的每一个攻击场景图，计算其中各个节点即攻击步骤的证据支持度，消去可能的误报；攻击场景图G中误报结点的消去；3）对攻击场景图G中每个节点计算其报警可信度C_r，考虑所有C_r≤ε，ε是管理员设定的一极小值，表示当报警可信度小于等于ε的报警视为误报的节点；4）消去没有前向节点且报警可信度C_r≤ε的节点；5）消去没有后向节点且报警可信度C_r≤ε的节点；6）对于剩下的C_r≤ε的节点，分情况讨论：a)若删去该节点导致攻击场景图分裂，则保留该节点；b)若删去该节点攻击场景图仍然连通，则删去该节点；（2）从报警可信度的基础上对报警关联算法进行改进，并从可信性、危险性及对系统造成的风险上，对报警关联后的攻击序列进行了评估，攻击序列的危险性分析的步骤如下：设攻击序列S＝{a₁,a₂,…，a_n)由n个报警a₁,a₂,…，a_n组成报警a_i的自身危险度、节点价值、服务价值分别为r_i、n_i、s_i，其定义及取值如下：报警的攻击类型因素的实际匹配度取值，定义如下：攻击类型可信度的状态分为高、中、低三种，取值分别为1、0.6、0.2，相关攻击的状态分别设为强相关、弱相关和无相关三种，取值分别为1，0.7和0.4，自身危险度按通常IDS的风险等级设为高、中、低三种状态，取值分别为1、0.6和0.2；节�

关 键 词：攻击  报警信息 场景图 目的地系统  报警 误报  重构  危险性分析 场景  关联  安全评估 报警类型  关联算法  节点安全  前提条件  损失分析  网络系统  相关攻击  可信性  可信度  匹配度  有向图  结点  谓词 无环  证据  评估  风险  

IPC专利分类号：H04L12/24(20060101);H04L29/06(20060101)