專利名稱:一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法
技術(shù)領(lǐng)域:
本發(fā)明主要涉及大規(guī)模網(wǎng)絡(luò)環(huán)境中的惡意代碼應(yīng)急響應(yīng)工作,尤其涉及一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法,屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。
背景技術(shù):
隨著計算機技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)應(yīng)用已經(jīng)在全球范圍內(nèi)得到了十分肯定的認(rèn)可,其飛速發(fā)展的破竹之勢不可阻擋。與此同時,網(wǎng)絡(luò)的安全情況令人堪憂。當(dāng)務(wù)之急是如何保證個人資料不被竊取,重要數(shù)據(jù)不被破壞、網(wǎng)絡(luò)服務(wù)不被中斷。所以,網(wǎng)絡(luò)安全問題直接關(guān)系到計算機網(wǎng)絡(luò)的進(jìn)ー步應(yīng)用與發(fā)展。這樣,針對特定安全事件的應(yīng)急響應(yīng)顯得尤為重要。應(yīng)急響應(yīng)關(guān)鍵技術(shù)包括入侵檢測,事件診斷,攻擊源的隔離與快速恢復(fù)。近年來, 防火墻與入侵監(jiān)測系統(tǒng)聯(lián)動的技術(shù)得到了廣泛的關(guān)注,其根本目的就是達(dá)到在入侵檢測系統(tǒng)檢測到入侵事件時能更快速地隔離攻擊源的目的,這樣才能使得大規(guī)模網(wǎng)絡(luò)幸免于難。 但是此項技術(shù)中事件診斷環(huán)節(jié)還不能達(dá)到人性化地處置某些事件,直接導(dǎo)致由于某個IP 出現(xiàn)疑似惡意動作就導(dǎo)致防火墻切斷該IP所有訪問網(wǎng)絡(luò)權(quán)限的錯誤情況。誤報與漏報的權(quán)衡協(xié)調(diào)以及對網(wǎng)絡(luò)情況全面分析的困難性導(dǎo)致聯(lián)動體系的效果大多不盡人意。因此,能夠更精確、更人性化地診斷惡意安全事件、更專業(yè)地隔離攻擊源與恢復(fù)系統(tǒng)成為網(wǎng)絡(luò)事件應(yīng)急響應(yīng)的研究熱點。
發(fā)明內(nèi)容
針對上述問題,本發(fā)明的目的在于提供一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法,利用這樣的方法,檢測系統(tǒng)在將網(wǎng)絡(luò)安全事件上報后,通過該事件的抽象屬性就可以被判斷為相應(yīng)的類型并從較為全面的策略庫中選擇對應(yīng)的應(yīng)急響應(yīng)策略,事件將會及時地被相關(guān)處置人員查看并處置,處置完成后,由處置人員對系統(tǒng)做出結(jié)果報告及使用策略的評價,此評價將直接影響到以后的所有策略選擇,使得較為有效的策略被更優(yōu)先地推薦。本發(fā)明的技術(shù)方案為一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法,其步驟為1)服務(wù)器端建立ー網(wǎng)絡(luò)安全應(yīng)急策略庫,并設(shè)置該策略庫中每一策略的屬性;其中策略屬性包括針對某類型安全事件的策略類型、是否為某類型安全事件的通用策略、針對某類型安全事件的安全屬性;2)將網(wǎng)絡(luò)探針從待檢測網(wǎng)絡(luò)環(huán)境中探測的安全事件報告上報到服務(wù)器;3)服務(wù)器提取當(dāng)前安全事件報告的事件類型和事件屬性信息;4)服務(wù)器根據(jù)事件類型查找匹配類型的策略,如果匹配類型的策略為通用策略, 則將該策略添加到可選策略列表中;如果不是通用策略,則將該策略的安全屬性中的每ー 屬性與事件屬性進(jìn)行匹配,如果每ー屬性均與事件屬性中的某一屬性匹配,則將該策略添加到可選策略列表中,否則放棄該策略;
5)服務(wù)器返回當(dāng)前安全事件的可選策略列表給用戶。進(jìn)ー步的,所述網(wǎng)絡(luò)探針包括木馬通訊監(jiān)控探針、病毒傳播監(jiān)控探針、Ids探針、 桌面主動防御軟件;所述策略類型包括木馬應(yīng)急策略、病毒傳播應(yīng)急策略、Ids應(yīng)急策略、 桌面主動防御應(yīng)急策略;所述安全事件報告的事件類型包括木馬安全事件報告、病毒傳播安全事件報告、Ids安全事件報告、桌面主動防御安全事件報告。進(jìn)ー步的,所述木馬應(yīng)急策略的安全屬性包括木馬的名稱、木馬行為;所述病毒傳播應(yīng)急策略的安全屬性包括安全事件病毒名稱;所述Ids應(yīng)急策略的安全屬性包括 Ids報警類型、Ids報警名稱、Ids報警事件所屬服務(wù)、Ids報警事件CVE編號;所述桌面主動防御應(yīng)急策略的安全屬性包括針對對象類型。進(jìn)ー步的,所述木馬安全事件報告的屬性包括安全事件發(fā)生時間、來源探針的設(shè)備ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端ロ、目的端ロ、木馬探針報警類型、木馬探針報警子類型、等級、木馬探針報警規(guī)則id、木馬探針報警規(guī)則名稱、木馬探針報警行為類型名稱、木馬探針報警網(wǎng)絡(luò)協(xié)議。進(jìn)ー步的,所述病毒傳播安全事件報告的屬性包括安全事件發(fā)生時間、來源探針的設(shè)備ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端ロ、目的端ロ、病毒探針報警說明、病毒探針報警病毒名稱、病毒探針報警中應(yīng)用協(xié)議類型。進(jìn)ー步的,所述Ids安全事件報告的屬性包括安全事件發(fā)生時間、來源探針的設(shè)備ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端ロ、目的端ロ、發(fā)送報警的設(shè)備ip地址、Ids報警事件類型、Ids報警事件名稱、Ids報警事件所屬服務(wù)、Ids報警事件 CVE編號、Ids報警事件的應(yīng)用協(xié)議類型。進(jìn)ー步的,所述桌面主動防御安全事件報告的屬性包括安全事件發(fā)生時間、來源探針的設(shè)備ip、桌面防御報警模塊/文件/注冊表路徑、桌面防御報警模塊/文件/注冊表名稱、桌面防御報警事件在模塊/文件/注冊表關(guān)鍵區(qū)域中執(zhí)行的動作、針對對象類型。進(jìn)ー步的,用戶根據(jù)返回的所述可選策略列表,選取策略處理當(dāng)前安全事件后,填寫并返回一反饋記錄表給所述服務(wù)器;所述服務(wù)器根據(jù)反饋記錄表對相應(yīng)策略進(jìn)行評分。進(jìn)ー步的,所述服務(wù)器根據(jù)策略評分對所述可選策略列表中的策略進(jìn)行排序。本發(fā)明包括至少ー套網(wǎng)絡(luò)探針,一臺網(wǎng)絡(luò)服務(wù)器,一款瀏覽器,一個應(yīng)急策略庫, 一個應(yīng)急響應(yīng)資源庫,共同組成了一個網(wǎng)絡(luò)安全應(yīng)急響應(yīng)支撐系統(tǒng)。網(wǎng)絡(luò)探針的主要功能是檢測網(wǎng)絡(luò)中的異常事件并上報到本系統(tǒng),本系統(tǒng)中使用了四個探針分別是木馬通訊監(jiān)控探針、病毒傳播監(jiān)控探針、IDS探針和桌面主動防御軟件;網(wǎng)絡(luò)服務(wù)器的主要功能是提供網(wǎng)絡(luò)探針上報事件的接ロ,用戶查詢事件接ロ,快速決策最佳策略功能,用戶處理后提供反饋接ロ以及資源管理功能;瀏覽器用來提供用戶交互的圖形化界面;策略庫的主要功能是提供豐富、全面、專業(yè)的應(yīng)急策略。在這個應(yīng)急響應(yīng)模式下,整個應(yīng)急響應(yīng)處置過程包括如下步驟1)網(wǎng)絡(luò)探針檢測網(wǎng)絡(luò)中的異常事件,上報到本系統(tǒng)。本系統(tǒng)中接收來自四個探針的惡意安全事件報告,即將從待檢測網(wǎng)絡(luò)環(huán)境中探測的安全事件報告上報到系統(tǒng)(服務(wù)器),包括木馬通訊監(jiān)控探針、病毒傳播監(jiān)控探針、IDS探針和桌面主動防御軟件。以上探針事先部署在待檢測網(wǎng)絡(luò)環(huán)境中的主機或者路由器上。這些安全事件報告中除了時間、源 (目的)MAC和IP地址這些常規(guī)的屬性以外,不同來源的包還可能包括特定的屬性,如木馬通訊監(jiān)控探針會上報木馬的行為階段,如木馬上線、木馬活動,而病毒傳播監(jiān)控探針則會上報例如病毒名稱這樣的屬性。2)網(wǎng)絡(luò)服務(wù)器承載著本系統(tǒng)的核心內(nèi)容,包括本發(fā)明的策略決策算法(詳見“具體實施方式
”部分)以及人員和資源庫的管理等。每當(dāng)網(wǎng)絡(luò)探針向本系統(tǒng)發(fā)送惡意安全事件報告吋,系統(tǒng)解析這些報告,使之成為ー組屬性鍵值對,包括屬性名稱和屬性值。不同探針的報告,其形成的屬性鍵值對也不同,詳細(xì)內(nèi)容如表1,表2,表3,表4所示。這些屬性會作為選擇策略的重要依據(jù)。其中策略來自于策略庫,策略庫是本系統(tǒng)中很重要的一個數(shù)據(jù)庫,其中存儲著應(yīng)對不同網(wǎng)絡(luò)安全事件的策略。3)用戶在瀏覽器端訪問服務(wù)器可以查看并按照策略提示進(jìn)行及時而適當(dāng)?shù)陌踩录幹谩?)用戶完成事件處置后,將事件處置結(jié)果通過在瀏覽器端填表的形式提交到服務(wù)器,并對策略及相應(yīng)資源做反饋評價。事件處置結(jié)果是為了記錄本次事件的處置情況,是成功還是失敗或者遇到了什么問題等。反饋評價的內(nèi)容及其重要,是否及時正確地填寫影響到該策略在以后的使用過程中是否會被推薦。除了應(yīng)急響應(yīng)過程,本系統(tǒng)還提供了對應(yīng)急響應(yīng)資源以及應(yīng)急響應(yīng)人員的管理功能,這個功能是應(yīng)急響應(yīng)過程必不可少的支撐。與現(xiàn)有技術(shù)相比,本發(fā)明的優(yōu)點在于本發(fā)明使用了專家級的應(yīng)急響應(yīng)策略庫,對各個安全事件定義典型的屬性,由于這些屬性是安全事件的絕對特征代表,所以以此為選擇策略的依據(jù)可以避免由于對事件診斷不清晰帶來的片面性問題,同時本系統(tǒng)通過用戶使用后的反饋這種可靠性較強的反饋來源達(dá)到學(xué)習(xí)的目的,使得每一次使用被系統(tǒng)都能夠為系統(tǒng)提供一次學(xué)習(xí)的機會,從而使得系統(tǒng)推薦的策略越來越準(zhǔn)確,越來越最優(yōu)化。
圖1為網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法及支撐系統(tǒng)的結(jié)構(gòu)示意圖;圖2為應(yīng)急策略推薦流程圖;圖3為應(yīng)急策略匹配算法流程圖。
具體實施例方式如圖2所示,本發(fā)明的應(yīng)急策略推薦流程具體實現(xiàn)方法如下1)事件基本屬性是由系統(tǒng)提取網(wǎng)絡(luò)探針安全事件報告后生成的一組屬性鍵值對, 是診斷該事件的重要依據(jù)。具體屬性依不同的網(wǎng)絡(luò)探針而不同,如下表所示表1木馬通訊監(jiān)控探針報警事件基本屬性
權(quán)利要求
1.一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法,其步驟為1)服務(wù)器端建立ー網(wǎng)絡(luò)安全應(yīng)急策略庫,并設(shè)置該策略庫中每一策略的屬性;其中策略屬性包括針對某類型安全事件的策略類型、是否為某類型安全事件的通用策略、針對某類型安全事件的安全屬性;2)將網(wǎng)絡(luò)探針從待檢測網(wǎng)絡(luò)環(huán)境中探測的安全事件報告上報到服務(wù)器;3)服務(wù)器提取當(dāng)前安全事件報告的事件類型和事件屬性信息;4)服務(wù)器根據(jù)事件類型查找匹配類型的策略,如果匹配類型的策略為通用策略,則將該策略添加到可選策略列表中;如果不是通用策略,則將該策略的安全屬性中的每ー屬性與事件屬性進(jìn)行匹配,如果每ー屬性均與事件屬性中的某一屬性匹配,則將該策略添加到可選策略列表中,否則放棄該策略;5)服務(wù)器返回當(dāng)前安全事件的可選策略列表給用戶。
2.如權(quán)利要求1所述的方法,其特征在于所述網(wǎng)絡(luò)探針包括木馬通訊監(jiān)控探針、病毒傳播監(jiān)控探針、Ids探針、桌面主動防御軟件;所述策略類型包括木馬應(yīng)急策略、病毒傳播應(yīng)急策略、Ids應(yīng)急策略、桌面主動防御應(yīng)急策略;所述安全事件報告的事件類型包括木馬安全事件報告、病毒傳播安全事件報告、Ids安全事件報告、桌面主動防御安全事件報告。
3.如權(quán)利要求2所述的方法,其特征在于所述木馬應(yīng)急策略的安全屬性包括木馬的名稱、木馬行為;所述病毒傳播應(yīng)急策略的安全屬性包括安全事件病毒名稱;所述Ids應(yīng)急策略的安全屬性包括Ids報警類型、Ids報警名稱、Ids報警事件所屬服務(wù)、Ids報警事件CVE編號;所述桌面主動防御應(yīng)急策略的安全屬性包括針對對象類型。
4.如權(quán)利要求3所述的方法,其特征在于所述木馬安全事件報告的屬性包括安全事件發(fā)生時間、來源探針的設(shè)備ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端 ロ、目的端ロ、木馬探針報警類型、木馬探針報警子類型、等級、木馬探針報警規(guī)則id、木馬探針報警規(guī)則名稱、木馬探針報警行為類型名稱、木馬探針報警網(wǎng)絡(luò)協(xié)議。
5.如權(quán)利要求3所述的方法,其特征在于所述病毒傳播安全事件報告的屬性包括安全事件發(fā)生時間、來源探針的設(shè)備ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、 源端ロ、目的端ロ、病毒探針報警說明、病毒探針報警病毒名稱、病毒探針報警中應(yīng)用協(xié)議類型。
6.如權(quán)利要求3所述的方法,其特征在于所述Ids安全事件報告的屬性包括安全事件發(fā)生時間、來源探針的設(shè)備ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端 ロ、目的端ロ、發(fā)送報警的設(shè)備ip地址、Ids報警事件類型、Ids報警事件名稱、Ids報警事件所屬服務(wù)、Ids報警事件CVE編號、Ids報警事件的應(yīng)用協(xié)議類型。
7.如權(quán)利要求3所述的方法,其特征在于所述桌面主動防御安全事件報告的屬性包括安全事件發(fā)生時間、來源探針的設(shè)備ip、桌面防御報警模塊/文件/注冊表路徑、桌面防御報警模塊/文件/注冊表名稱、桌面防御報警事件在模塊/文件/注冊表關(guān)鍵區(qū)域中執(zhí)行的動作、針對對象類型。
8.如權(quán)利要求1或2或3所述的方法,其特征在于用戶根據(jù)返回的所述可選策略列表, 選取策略處理當(dāng)前安全事件后,填寫并返回一反饋記錄表給所述服務(wù)器;所述服務(wù)器根據(jù)反饋記錄表對相應(yīng)策略進(jìn)行評分。
9.如權(quán)利要求8所述的方法,其特征在于所述服務(wù)器根據(jù)策略評分對所述可選策略列表中的策略進(jìn)行排序。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法,屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。本方法為1)服務(wù)器端建立一網(wǎng)絡(luò)安全應(yīng)急策略庫,并設(shè)置該策略庫中每一策略的屬性;2)將網(wǎng)絡(luò)探針從待檢測網(wǎng)絡(luò)環(huán)境中探測的安全事件報告上報到服務(wù)器;3)服務(wù)器提取當(dāng)前安全事件報告的事件類型和事件屬性信息;4)服務(wù)器根據(jù)事件類型查找匹配類型的策略,如果匹配類型的策略為通用策略,則將該策略添加到可選策略列表中;否則,將該策略的安全屬性中的每一屬性與事件屬性進(jìn)行匹配,如果每一屬性均與事件屬性中的某一屬性匹配,則將該策略添加到可選策略列表中,否則放棄該策略;5)服務(wù)器返回當(dāng)前安全事件的可選策略列表給用戶。本發(fā)明推薦的策略準(zhǔn)確,而且越來越最優(yōu)化。
文檔編號H04L29/06GK102594783SQ20111000848
公開日2012年7月18日 申請日期2011年1月14日 優(yōu)先權(quán)日2011年1月14日
發(fā)明者馮登國, 應(yīng)凌云, 程瑤, 蘇璞睿 申請人:中國科學(xué)院軟件研究所