技術(shù)領(lǐng)域

本發(fā)明主要涉及大規(guī)模網(wǎng)絡(luò)環(huán)境中的惡意代碼應(yīng)急響應(yīng)工作，尤其涉及一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法，屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用已經(jīng)在全球范圍內(nèi)得到了十分肯定的認(rèn)可，其飛速發(fā)展的破竹之勢(shì)不可阻擋。與此同時(shí)，網(wǎng)絡(luò)的安全情況令人堪憂。當(dāng)務(wù)之急是如何保證個(gè)人資料不被竊取，重要數(shù)據(jù)不被破壞、網(wǎng)絡(luò)服務(wù)不被中斷。所以，網(wǎng)絡(luò)安全問題直接關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步應(yīng)用與發(fā)展。這樣，針對(duì)特定安全事件的應(yīng)急響應(yīng)顯得尤為重要。

應(yīng)急響應(yīng)關(guān)鍵技術(shù)包括：入侵檢測(cè)，事件診斷，攻擊源的隔離與快速恢復(fù)。近年來，防火墻與入侵監(jiān)測(cè)系統(tǒng)聯(lián)動(dòng)的技術(shù)得到了廣泛的關(guān)注，其根本目的就是達(dá)到在入侵檢測(cè)系統(tǒng)檢測(cè)到入侵事件時(shí)能更快速地隔離攻擊源的目的，這樣才能使得大規(guī)模網(wǎng)絡(luò)幸免于難。但是此項(xiàng)技術(shù)中事件診斷環(huán)節(jié)還不能達(dá)到人性化地處置某些事件，直接導(dǎo)致由于某個(gè)IP出現(xiàn)疑似惡意動(dòng)作就導(dǎo)致防火墻切斷該IP所有訪問網(wǎng)絡(luò)權(quán)限的錯(cuò)誤情況。誤報(bào)與漏報(bào)的權(quán)衡協(xié)調(diào)以及對(duì)網(wǎng)絡(luò)情況全面分析的困難性導(dǎo)致聯(lián)動(dòng)體系的效果大多不盡人意。因此，能夠更精確、更人性化地診斷惡意安全事件、更專業(yè)地隔離攻擊源與恢復(fù)系統(tǒng)成為網(wǎng)絡(luò)事件應(yīng)急響應(yīng)的研究熱點(diǎn)。

發(fā)明內(nèi)容

針對(duì)上述問題，本發(fā)明的目的在于提供一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法，利用這樣的方法，檢測(cè)系統(tǒng)在將網(wǎng)絡(luò)安全事件上報(bào)后，通過該事件的抽象屬性就可以被判斷為相應(yīng)的類型并從較為全面的策略庫(kù)中選擇對(duì)應(yīng)的應(yīng)急響應(yīng)策略，事件將會(huì)及時(shí)地被相關(guān)處置人員查看并處置，處置完成后，由處置人員對(duì)系統(tǒng)做出結(jié)果報(bào)告及使用策略的評(píng)價(jià)，此評(píng)價(jià)將直接影響到以后的所有策略選擇，使得較為有效的策略被更優(yōu)先地推薦。

本發(fā)明的技術(shù)方案為：

一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法，其步驟為：

1)服務(wù)器端建立一網(wǎng)絡(luò)安全應(yīng)急策略庫(kù)，并設(shè)置該策略庫(kù)中每一策略的屬性；其中策略屬性包括：針對(duì)某類型安全事件的策略類型、是否為某類型安全事件的通用策略、針對(duì)某類型安全事件的安全屬性；

2)將網(wǎng)絡(luò)探針從待檢測(cè)網(wǎng)絡(luò)環(huán)境中探測(cè)的安全事件報(bào)告上報(bào)到服務(wù)器；

3)服務(wù)器提取當(dāng)前安全事件報(bào)告的事件類型和事件屬性信息；

4)服務(wù)器根據(jù)事件類型查找匹配類型的策略，如果匹配類型的策略為通用策略，則將該策略添加到可選策略列表中；如果不是通用策略，則將該策略的安全屬性中的每一屬性與事件屬性進(jìn)行匹配，如果每一屬性均與事件屬性中的某一屬性匹配，則將該策略添加到可選策略列表中，否則放棄該策略；

5)服務(wù)器返回當(dāng)前安全事件的可選策略列表給用戶。

進(jìn)一步的，所述網(wǎng)絡(luò)探針包括：木馬通訊監(jiān)控探針、病毒傳播監(jiān)控探針、Ids探針、桌面主動(dòng)防御軟件；所述策略類型包括木馬應(yīng)急策略、病毒傳播應(yīng)急策略、Ids應(yīng)急策略、桌面主動(dòng)防御應(yīng)急策略；所述安全事件報(bào)告的事件類型包括：木馬安全事件報(bào)告、病毒傳播安全事件報(bào)告、Ids安全事件報(bào)告、桌面主動(dòng)防御安全事件報(bào)告。

進(jìn)一步的，所述木馬應(yīng)急策略的安全屬性包括：木馬的名稱、木馬行為；所述病毒傳播應(yīng)急策略的安全屬性包括：安全事件病毒名稱；所述Ids應(yīng)急策略的安全屬性包括：Ids報(bào)警類型、Ids報(bào)警名稱、Ids報(bào)警事件所屬服務(wù)、Ids報(bào)警事件CVE編號(hào)；所述桌面主動(dòng)防御應(yīng)急策略的安全屬性包括：針對(duì)對(duì)象類型。

進(jìn)一步的，所述木馬安全事件報(bào)告的屬性包括：安全事件發(fā)生時(shí)間、來源探針的設(shè)備ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、木馬探針報(bào)警類型、木馬探針報(bào)警子類型、等級(jí)、木馬探針報(bào)警規(guī)則id、木馬探針報(bào)警規(guī)則名稱、木馬探針報(bào)警行為類型名稱、木馬探針報(bào)警網(wǎng)絡(luò)協(xié)議。

進(jìn)一步的，所述病毒傳播安全事件報(bào)告的屬性包括：安全事件發(fā)生時(shí)間、來源探針的設(shè)備ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、病毒探針報(bào)警說明、病毒探針報(bào)警病毒名稱、病毒探針報(bào)警中應(yīng)用協(xié)議類型。

進(jìn)一步的，所述Ids安全事件報(bào)告的屬性包括：安全事件發(fā)生時(shí)間、來源探針的設(shè)備ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、發(fā)送報(bào)警的設(shè)備ip地址、Ids報(bào)警事件類型、Ids報(bào)警事件名稱、Ids報(bào)警事件所屬服務(wù)、Ids報(bào)警事件CVE編號(hào)、Ids報(bào)警事件的應(yīng)用協(xié)議類型。