技術領域

本發明涉及計算機應用安全管理技術領域，尤其涉及一種交互式半自動化安全事故追溯方法。

技術背景

為了應對計算機系統中越來越多應用安全威脅、傳統網絡安全威脅，以及其他各類安全威脅，大量的組織和個人都在加強應用安全的防護水平，各個廠商提出了大量的安全產品和方案。安全產品包括WEB應用防火墻、數據庫審計、入侵檢測系統、入侵防護系統、統一威脅管理等。

根據組織的應用規模，他們可能部署了大量的安全設備，甚至可以達到幾百臺上千臺。當一些安全事故發生時，雖然設備中有大量的日志信息，但如何從這些信息中，找出真正事故的原因。一般的組織通常沒有專業的安全專業人員，也沒有人力能夠逐一進行辨別分析，很難進行事故的追溯。由于設備種類的眾多，日志種類更多，當前各種智能全自動分析技術，由于準確度很差，也難以真正進行事故的追溯。

發明內容

本發明要解決的技術問題是，克服現有技術中的不足，提供一種交互式半自動化安全事故追溯方法。

為解決該技術問題，本發明的解決方案是：

提供一種交互式半自動化安全事故追溯方法，包括如下步驟：

A、根據發生的事故，讀取對應的事故追溯流程的全部案例；

B、根據案例的定義，進行交互式用戶輸入讀取，作為提供的動態條件，結合案例定義的固定條件，通過檢索得到事件列表，這些檢索到的事件即為可疑事件；

C、遍歷可疑事件列表，進行交互式用戶核實，讓用戶對可疑事件與安全事故是否有關逐一進行確認，如果可疑事件與安全事故有關，則標記該事件，此標記的可疑事件即為事故原因。

本發明中，步驟A中所述的讀取基于一個外部的事故追溯流程庫；事故追溯流程庫包括了各種事故追溯案例的信息，該信息是各類事故評級、評估、定損案例的固化，并進行了通用化抽象處理。

本發明中，還包括對所述事故追溯流程庫中信息的定義過程，具體包括如下步驟：

A5、確定會導致安全事故發生的多種可能情況，每一種可能情況即為此安全事故追溯流程的一個案例；

B5、確定案例中事故發生后事故現場中各種設備的日志會出現的信息，這些信息即為該案例中可疑事件檢索的條件；

C5、條件分為兩種：固定條件和動態條件；固定條件是案例發生后的每個事故現場中都會存在的信息，這些信息不需要用戶根據事故現場環境來輸入；動態條件是僅在具體單次的安全事故現場設備日志中才會出現的那些信息，由用戶根據事故現場環境來輸入；

D5、根據分析出需要的動態條件，確定動態條件說明信息，這些說明信息包括能夠獲取到這些動態條件的位置、能夠獲取到這些動態條件的方法，以及這些動態條件的格式，這些說明信息即成為案例的動態條件定義。

本發明中，步驟B中所述的交互式用戶輸入讀取基于一個外部的用戶交互系統；在用戶交互系統中，用戶從系統得到相關的提示信息，并根據提示信息，結合事故發生的實際環境，輸入相應的信息。

本發明中，步驟B中所述的交互式用戶輸入讀取包括如下步驟：

A2、讀取流程設置的動態條件定義，這些條件定義說明了需要從事故現場環境中找的信息的說明；這些說明信息包括能夠獲取到這些信息的位置、能夠獲取到這些信息的方法，以及這些信息的格式；

B2、根據這些說明信息，自動生成動態條件輸入界面，并且界面以用戶易于理解的方式展現；

C2、根據交互界面的說明信息，讀取用戶交互式輸入的動態條件。

本發明中，步驟B中所述的事件檢索基于一個外部的事件庫；事件庫中記錄了系統審計到的全部事件，每個事件包括了各類屬性信息，包括資產地址、名稱、技術分類、行為分類或此事件直接或間接表達的其它信息；通過組合案例定義的固定條件和用戶交互式輸入的動態條件，即能夠從事件庫的全部事件中檢索出與此次安全事故相關的可疑事件列表。

本發明中，所述步驟C中交互式事件核實過程包括如下步驟：

A4、一個外部的用戶交互系統詳細展示此可疑事件的各類屬性信息，包括資產地址、名稱、技術分類、行為分類、危險基本或此事件直接或間接表達的其它信息；

B4、用戶交互式確認此事件是否與事故有關；

C4、如有關，則交互式標記此事件。

本發明中，還包括對步驟C標記的事件列表進行取證的內容：提取在事故追溯全部案例中，由用戶交互式核實后所有標記的事件，根據事故響應、處置預案中的要求，對這些事件進行取證，作為后續事故響應、處置的一種依據。