一種基于主機日志分析的實時風(fēng)險評估模型的研究與實現(xiàn).pdf

1、隨著計算機技術(shù)和云計算技術(shù)的高速發(fā)展，因特網(wǎng)給人們的生活帶來了翻天覆地的變化。但是近些年來，網(wǎng)絡(luò)上不斷曝光多起嚴重的信息泄露等安全問題，使得人們對于網(wǎng)絡(luò)產(chǎn)生了信任危機。用戶的信息是存儲在運營商的數(shù)據(jù)中心里，信息的安全只能依靠運營商通過各種安全技術(shù)來保障?？墒菙?shù)據(jù)中心的規(guī)模有大有小，尤其是隨著云計算的發(fā)展，數(shù)據(jù)中心的規(guī)模和復(fù)雜性又上升到一個新的高度。有限的管理人員如何對整個信息系統(tǒng)進行全面的監(jiān)控;如果發(fā)生安全事件，如何能預(yù)測它所帶來的危害

2、;危害發(fā)生，如何能快速定位問題源頭，從而采取有效措施控制危害;或者說如何實時準確的獲知當(dāng)前整個系統(tǒng)的風(fēng)險狀態(tài)。實時安全風(fēng)險評估正是解決這一問題的一劑良藥。
　　本課題是與中國銀聯(lián)某云數(shù)據(jù)中心合作推進的項目，獲取了真實用戶的實際需求，結(jié)合風(fēng)險評估的系統(tǒng)理論知識，利用日志能反映出關(guān)鍵信息的特點，提出一種實時風(fēng)險評估模型(RRAS，Real-time Risk Assessment Schema)并進行實現(xiàn)。RRAS結(jié)合了基于主機日志的

3、入侵檢測系統(tǒng)和脆弱性掃描工具，提出了影響資產(chǎn)風(fēng)險指數(shù)的四個風(fēng)險因子:告警數(shù)量、告警類型、告警等級和告警威脅程度。其中，告警威脅程度的考慮可以更有效地判斷每一條告警信息對于資產(chǎn)風(fēng)險的影響情況，提升風(fēng)險評估的準確性。文本將這四個風(fēng)險因子視為評價資產(chǎn)風(fēng)險情況的“證據(jù)”，將證據(jù)理論和模糊數(shù)學(xué)的思想進行結(jié)合，設(shè)計出DSFM算法，將這些“證據(jù)”進行組合，得到資產(chǎn)的風(fēng)險指數(shù)RI;風(fēng)險指數(shù)和資產(chǎn)值的組合就是該資產(chǎn)的風(fēng)險值R;那么一個數(shù)據(jù)中心所有的資產(chǎn)風(fēng)