[发明专利]一种网络安全应急响应方法

说明书

技术领域

本发明主要涉及大规模网络环境中的恶意代码应急响应工作，尤其涉及一种网络安全应急响应方法，属于网络技术领域。

背景技术

随着计算机技术的飞速发展，网络应用已经在全球范围内得到了十分肯定的认可，其飞速发展的破竹之势不可阻挡。与此同时，网络的安全情况令人堪忧。当务之急是如何保证个人资料不被窃取，重要数据不被破坏、网络服务不被中断。所以，网络安全问题直接关系到计算机网络的进一步应用与发展。这样，针对特定安全事件的应急响应显得尤为重要。

应急响应关键技术包括：入侵检测，事件诊断，攻击源的隔离与快速恢复。近年来，防火墙与入侵监测系统联动的技术得到了广泛的关注，其根本目的就是达到在入侵检测系统检测到入侵事件时能更快速地隔离攻击源的目的，这样才能使得大规模网络幸免于难。但是此项技术中事件诊断环节还不能达到人性化地处置某些事件，直接导致由于某个IP出现疑似恶意动作就导致防火墙切断该IP所有访问网络权限的错误情况。误报与漏报的权衡协调以及对网络情况全面分析的困难性导致联动体系的效果大多不尽人意。因此，能够更精确、更人性化地诊断恶意安全事件、更专业地隔离攻击源与恢复系统成为网络事件应急响应的研究热点。

发明内容

针对上述问题，本发明的目的在于提供一种网络安全应急响应方法，利用这样的方法，检测系统在将网络安全事件上报后，通过该事件的抽象属性就可以被判断为相应的类型并从较为全面的策略库中选择对应的应急响应策略，事件将会及时地被相关处置人员查看并处置，处置完成后，由处置人员对系统做出结果报告及使用策略的评价，此评价将直接影响到以后的所有策略选择，使得较为有效的策略被更优先地推荐。

本发明的技术方案为：

一种网络安全应急响应方法，其步骤为：

1)服务器端建立一网络安全应急策略库，并设置该策略库中每一策略的属性；其中策略属性包括：针对某类型安全事件的策略类型、是否为某类型安全事件的通用策略、针对某类型安全事件的安全属性；

2)将网络探针从待检测网络环境中探测的安全事件报告上报到服务器；

3)服务器提取当前安全事件报告的事件类型和事件属性信息；

4)服务器根据事件类型查找匹配类型的策略，如果匹配类型的策略为通用策略，则将该策略添加到可选策略列表中；如果不是通用策略，则将该策略的安全属性中的每一属性与事件属性进行匹配，如果每一属性均与事件属性中的某一属性匹配，则将该策略添加到可选策略列表中，否则放弃该策略；

5)服务器返回当前安全事件的可选策略列表给用户。

进一步的，所述网络探针包括：木马通讯监控探针、病毒传播监控探针、Ids探针、桌面主动防御软件；所述策略类型包括木马应急策略、病毒传播应急策略、Ids应急策略、桌面主动防御应急策略；所述安全事件报告的事件类型包括：木马安全事件报告、病毒传播安全事件报告、Ids安全事件报告、桌面主动防御安全事件报告。

进一步的，所述木马应急策略的安全属性包括：木马的名称、木马行为；所述病毒传播应急策略的安全属性包括：安全事件病毒名称；所述Ids应急策略的安全属性包括：Ids报警类型、Ids报警名称、Ids报警事件所属服务、Ids报警事件CVE编号；所述桌面主动防御应急策略的安全属性包括：针对对象类型。

进一步的，所述木马安全事件报告的属性包括：安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、木马探针报警类型、木马探针报警子类型、等级、木马探针报警规则id、木马探针报警规则名称、木马探针报警行为类型名称、木马探针报警网络协议。

进一步的，所述病毒传播安全事件报告的属性包括：安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、病毒探针报警说明、病毒探针报警病毒名称、病毒探针报警中应用协议类型。

进一步的，所述Ids安全事件报告的属性包括：安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、发送报警的设备ip地址、Ids报警事件类型、Ids报警事件名称、Ids报警事件所属服务、Ids报警事件CVE编号、Ids报警事件的应用协议类型。