[发明专利]一种企业入侵检测和修复的方法和系统

说明书

一种企业入侵检测和修复的方法和系统。事件从终端(24)的外围设备(28)及从终端(24)的安全输入/输出模块(26)安全地打包和传输。对事件进行实时收集和挖掘，以识别安全风险模式；动态修复行动被推回到终端(24)、外围设备(28)，及SIOM(26)。

技术领域

本发明涉及企业入侵检测和修复。

背景技术

在线或电子安全是业界非常重要的一个问题。似乎每个月都会出现关于某个重大企业的安全性遭到了破坏的新闻。出现此类安全性遭到破坏的事件的机构包括政府机构、零售店、社会媒体公司，甚至大型银行。

任何时候，当企业认为已经部署了修复安全破坏的安全措施时，黑客很快就想出了破坏其系统的新方法。在某些情况下，这种破坏甚至并非在企业的系统内进行，而是通过进入或离开企业系统的网络传输线进行；黑客利用嗅探技术获取经过网络线传输的数据包的副本，并找到破解密码的方法(假设采用了密码的话)。

在消费者身份信息、银行业务和信用卡详细情况存在泄露风险的财务交易中，安全问题尤其是一个重要的问题。

例如，销售点设备(POS)终端或自动柜员机(ATM)包括各种与主处理单元进行互动的独立的内部性外围设备，如打印机、加密键盘、扫描仪、触摸屏、磁卡阅读器等。这些设备可以通过各种连接，例如通用串行总线(USB) 连接和其它连接，而被集成到主处理单元内。这些外围设备之中的每一种都具有处理能力，都会发生泄密；一旦一台外围设备发生泄密，就会使其它外围设备和主处理单元发生泄密，甚至会渗入网络内并扩展到其它POS终端、其它 ATM或后端服务器。

为了改善系统及所有设备及设备和系统之间的连接的安全性，企业花费了大量的人力物力，而且还将继续花费大量的大力物力。这是一个持续的过程，企业总是试图领先黑客一步，但是，企业似乎仍然总是落后黑客一步。

因此，需要用一种更主动的、适应性更强的和更具动态性的修复方法来改善企业系统的安全性。

发明内容

在不同的实施例中，提供了自动入侵检测和修复的方法。根据一个实施例，提供了一种提供自动入侵检测和修复的方法。

具体地说，接收一个事件，该事件从一个终端上的一个组件通过一个网络而被安全地传输。访问探试程序，以识别该事件的模式。根据通过网络安全地推送到组件的模式自动地启动一项行动，以便处理该行动。

根据本发明的第一个方面，提供一种方法，它包括：接收从终端的一个组件通过网络安全地传输的一个事件；访问探试程序以识别该事件的模式；根据通过网络安全地推送到组件的模式，启动一项行动。

接收事件的步骤任选进一步包括从安全输入/输出模块(SIOM)获取事件，该模块是独立的硬件模块，在终端的操作系统的下方运行，并充当与终端的外围设备进行通讯的安全接口。

接收事件的步骤任选进一步包括从终端的外围设备获取事件，将事件推送到安全输入/输出模块(SIOM)，该模块是独立的硬件模块，在终端的操作系统的下方运行，充当与外围设备进行通讯的安全接口。

访问探试程序的步骤任选进一步包括：从一个利用事件连续执行探试算法的任务来对模式进行识别。

访问探试程序的步骤任选进一步包括：从通过利用事件和其它收集到的事件连续地执行多个探试算法的一系列任务来对模式进行识别。

访问探试程序的步骤任选进一步包括：挖掘其它事件的历史的数据存储，利用事件通过探试程序来对模式进行识别。

启动一项行动的步骤任选进一步包括：将所述行动与安全地推送到所述组件或其它组件的其它行动进行连锁。

启动一项行动的步骤任选进一步包括：将所述行动安全地推送到终端的所述组件或其它组件。