技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法及應(yīng)急響應(yīng)平臺(tái)。

背景技術(shù)

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，方便了人類(lèi)的生活，同時(shí)也帶來(lái)了許多的安全問(wèn)題。企業(yè)、事業(yè)單位通過(guò)購(gòu)買(mǎi)一些安全設(shè)備、安全防護(hù)軟件(如入侵防御系統(tǒng)、下一代防火墻及殺毒軟件等)來(lái)應(yīng)對(duì)各種各樣的網(wǎng)絡(luò)攻擊。

現(xiàn)有的網(wǎng)絡(luò)安全解決方案為：通過(guò)對(duì)現(xiàn)有的攻擊和威脅進(jìn)行建模，提取出對(duì)應(yīng)的特征來(lái)進(jìn)行防護(hù)，能有效的阻止現(xiàn)有的攻擊方式。

然而，黑客的攻擊手法瞬息萬(wàn)變，攻擊方法越來(lái)越產(chǎn)業(yè)化，各種各樣的軟件和系統(tǒng)漏洞不停的爆出，現(xiàn)有的網(wǎng)絡(luò)安全解決方案的防御速度遠(yuǎn)遠(yuǎn)跟不上新的攻擊方式和漏洞利用手段的變化。企業(yè)和事業(yè)單位雖然部署了網(wǎng)絡(luò)安全解決方案，但攻擊者仍然可以繞過(guò)這些安全方案，入侵到企業(yè)的內(nèi)部網(wǎng)絡(luò)當(dāng)中。

現(xiàn)有的網(wǎng)絡(luò)安全解決方案存在著如下的局限性：

對(duì)于繞過(guò)企業(yè)安全防護(hù)措施的威脅無(wú)能為力，客戶(hù)往往需要很長(zhǎng)的時(shí)間才能發(fā)現(xiàn)自已經(jīng)被黑了，比如數(shù)據(jù)庫(kù)被刪除或敏感信息被偷偷的上傳出去了，客戶(hù)在使用數(shù)據(jù)庫(kù)或者敏感信息被曝光之后，才知道威脅存在，導(dǎo)致?lián)p失巨大。

發(fā)明內(nèi)容

本發(fā)明提供了一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法及應(yīng)急響應(yīng)平臺(tái)，用于應(yīng)急響應(yīng)平臺(tái)根據(jù)安全事件得到相關(guān)事件信息，確定受相關(guān)事件信息影響的終端，并清除相關(guān)事件信息的威脅，使得應(yīng)急響應(yīng)平臺(tái)能夠及時(shí)發(fā)現(xiàn)威脅，并且準(zhǔn)確的了解威脅的影響范圍，從而快速和準(zhǔn)確的清除威脅，提高了網(wǎng)絡(luò)的安全性。

本發(fā)明第一方面提供一種網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法，應(yīng)用于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)系統(tǒng)，所述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)系統(tǒng)包括應(yīng)急響應(yīng)平臺(tái)及終端，所述終端與所述應(yīng)急響應(yīng)平臺(tái)連接，所述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方法包括：

所述應(yīng)急響應(yīng)平臺(tái)接收安全事件；

所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述安全事件得到相關(guān)事件信息；

所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述相關(guān)事件信息從所述終端中確定目標(biāo)終端；

所述應(yīng)急響應(yīng)平臺(tái)生成安全策略指令，并將所述安全策略指令發(fā)送至所述目標(biāo)終端，以使得所述目標(biāo)終端根據(jù)所述安全策略指令清除所述相關(guān)事件信息的威脅。

結(jié)合本發(fā)明第一方面，本發(fā)明第一方面第一實(shí)施方式中，所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述安全事件得到相關(guān)事件信息包括：

所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述安全事件得到事件特征；

所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述事件特征進(jìn)行關(guān)聯(lián)分析，得到相關(guān)事件信息。

結(jié)合本發(fā)明第一方面第一實(shí)施方式，本發(fā)明第一方面第二實(shí)施方式中，所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述事件特征進(jìn)行關(guān)聯(lián)分析，得到相關(guān)事件信息，包括：

所述應(yīng)急響應(yīng)平臺(tái)獲取威脅情報(bào)信息；

所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述事件特征及所述威脅情報(bào)信息進(jìn)行分析，得到所述安全事件的相關(guān)事件信息。

結(jié)合本發(fā)明第一方面、第一方面第一實(shí)施方式或第一方面第二實(shí)施方式，本發(fā)明第一方面第三實(shí)施方式中，所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述相關(guān)事件信息從所述終端中確定目標(biāo)終端，包括：

所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述相關(guān)事件信息生成查詢(xún)指令；

所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述查詢(xún)指令查詢(xún)所述終端中與所述相關(guān)事件信息有關(guān)聯(lián)的目標(biāo)終端。

結(jié)合本發(fā)明第一方面第三實(shí)施方式，本發(fā)明第一方面第四實(shí)施方式中，所述應(yīng)急響應(yīng)平臺(tái)生成安全策略指令，并將所述安全策略指令發(fā)送至所述目標(biāo)終端，包括：

所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述相關(guān)事件信息制定相應(yīng)的安全策略；

所述應(yīng)急響應(yīng)平臺(tái)根據(jù)所述安全策略生成安全策略指令；

所述應(yīng)急響應(yīng)平臺(tái)將所述安全策略指令發(fā)送至所述目標(biāo)終端，以使得所述目標(biāo)終端根據(jù)所述安全策略指令清除所述相關(guān)事件信息的威脅。

本發(fā)明第二方面提供一種應(yīng)急響應(yīng)平臺(tái)，應(yīng)用于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)系統(tǒng)，所述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)系統(tǒng)包括應(yīng)急響應(yīng)平臺(tái)及終端，所述終端與所述應(yīng)急響應(yīng)平臺(tái)連接，所述終端至少為一個(gè)，所述應(yīng)急響應(yīng)平臺(tái)包括：

事件接口，用于接收安全事件；

事件信息獲取模塊，用于根據(jù)所述安全事件得到相關(guān)事件信息；

確定模塊，用于根據(jù)所述相關(guān)事件信息從所述終端中確定目標(biāo)終端；

執(zhí)行模塊，用于生成安全策略指令，并將所述安全策略指令發(fā)送至所述目標(biāo)終端，以使得所述目標(biāo)終端根據(jù)所述安全策略指令清除所述相關(guān)事件信息的威脅。

結(jié)合本發(fā)明第二方面，本發(fā)明第二方面第一實(shí)施方式中，所述事件信息獲取模塊包括：事件特征提取單元和關(guān)聯(lián)分析單元；

所述事件特征提取單元，用于根據(jù)所述安全事件得到事件特征；