[发明专利]一种主机失陷确认及自动修复方法及基于此的系统

说明书

本发明涉及一种主机失陷确认及自动修复方法及基于此的系统，为若干主机分别安装代理引擎、向协调引擎注册，协调引擎向APT设备订阅告警信息，制定联动规则，将策略下发到对应的所有代理引擎，当APT设备检测到告警信息，则触发告警事件，对应的协调引擎根据联动规则将告警事件下发至代理引擎，代理引擎执行联动规则规定的响应策略，并反馈结果至协调引擎。本发明流程可编辑，应对除了木马入侵自动修复外的更多实际应用场景，代理引擎可以适应各种各样的规则自定，协调引擎可以轻松应对上万设备量的服务监控和管理，降低误报率，定位攻击成功发生时失陷主机的位置，并对失陷主机进行紧急修复，第一时间修复系统，避免更大的损失发生。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种主机失陷确认及自动修复方法及基于此的系统。

背景技术

在用户的内网中，用户为了保护自身网络的安全，往往会在网络中部署APT防护设备以监控网络的整体安全状况，部署方式分为IPS和IDS两种方式。IDS(IntrusionDetection Systems)为入侵检测系统，其依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性；此类产品基本上以旁路为主，特点是不阻断任何网络访问，主要以提供报告和事后监督为主，少量的类似产品还提供TCP阻断等功能，但少有使用。IPS(Intrusion Prevention System)为入侵防御系统，属于网络交换机的一个子项目，是有过滤攻击功能的特种交换机；其一般布于防火墙和外来网络的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网）。

一般来说，IDS设备偏向于攻击检测，没有阻断访问的能力，检测到攻击行为后，会以短信或者邮件等方式通知给网络安全管理员，而IPS设备检测到攻击后可以阻断网络访问，防止进一步的攻击发生。然而，这两种设备仅能够发现攻击行为和进行阻断，往往会因为误匹配规则而产生误报的情况，或者因为网络流量中确实存在对应的危险特征行为，但是不能够确定攻击是否成功发生，如果这些信息时常发生，将可能淹没真正危险的告警，从而影响网管人员的主观判断，造成不必要的损失。

Gartner的Anton Chuvakin于2013年7月首次创造了端点威胁检测和响应(Endpoint Threat Detection and Response，ETDR)这一术语，用来定义一种“检测和调查主机/端点上可疑活动（及其痕迹）”的工具，后来通常称为端点检测和响应(EDR)，这是一种相对较新的终端安全解决方案，但有时会被业界在整体安全功能方面与高级威胁防护(APT) 进行比较，因为它也可满足持续监控和响应高级威胁的需求，人们甚至可以认为端点检测和响应是一种先进的威胁保护形式。

EDR在2014年就进入Gartner的十大技术之列，它的出现最初是为了弥补传统终端/端点管理系统(EPP)的不足，而现在，EDR正在与EPP互相渗透融合，尤其是各大EPP厂商新发布的版本中纷纷加入了EDR的功能；目前基于云的EDR部署方式正逐渐成为主流，云数据的集中提供了更强大的检测分析功能，通过整合实时数据，并能够在后端使用机器学习和其他检测技术，提升检测能力。

SOC（安全运营中心）的概念和应用已经过有了很多年，但事实上SOC的应用非常不成功，被人诟病，直到威胁情报、大数据、机器学习技术的引进，借助态势感知的大潮，新一代SOC，或称iSOC（智能SOC）开始兴起。SOC中，早期阻断阶段的技术最为成熟，90%的用户都能达到(利用APT、WAF等产品)，但到了高级响应阶段，只有极少用户能够达到，而绝大部分用户则处于从发现到响应的过渡阶段，面临的典型问题包括被大量的报警淹没、无法确认主机是否确认失陷及失陷后需要人工手动的进行修复，这些问题远超安全运营人员的处理能力、且处理周期长。

发明内容

本发明解决了现有技术中存在的问题，提供了一种优化的主机失陷确认及自动修复方法及基于此的系统。