CN101902334B - 一种安全事件实时确认方法及系统 - Google Patents
一种安全事件实时确认方法及系统 Download PDFInfo
- Publication number
- CN101902334B CN101902334B CN200910084704A CN200910084704A CN101902334B CN 101902334 B CN101902334 B CN 101902334B CN 200910084704 A CN200910084704 A CN 200910084704A CN 200910084704 A CN200910084704 A CN 200910084704A CN 101902334 B CN101902334 B CN 101902334B
- Authority
- CN
- China
- Prior art keywords
- attack
- message
- success
- security incident
- failure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全事件实时确认方法及系统,以实时高效地进行安全事件的确认。其中该方法包括:对接收网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;提取所述攻击报文的响应报文;使用一安全事件确认规则,对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果,所述安全事件确认规则用于判定所述攻击是否成功。本发明通过对响应报文进行精确匹配,实时地完成安全事件攻击行为的确认。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种安全事件实时确认方法及系统。
背景技术
随着Internet的发展,计算机网络的信息与网络安全面临着前所未有的严峻形势。网络入侵检测系统(NIDS)作为一种帮助用户及时了解网络安全信息的实际解决方法,正在成为任何一个严肃的网络保护战略中不可或缺的组成部分。但入侵检测系统(IDS)通常会报告大量安全事件,使安全管理员淹没在事件洪流中不知所措,严重影响了后期的入侵响应,是目前科学界和工业界的广泛共识。
提高检测精度,使管理人员直观的获悉“谁被攻击?攻击是否成功?以及应当对攻击采取什么对策?”,已经成为亟待解决的问题,业界将这些问题称为安全事件的攻击确认。
对于安全事件的攻击确认,目前主流做法有两种:
(1)通过直接访问疑似被攻击机,确认是否真正发生攻击,典型的应用在业界称之为威胁响应技术。通过确认目标操作系统或设备的危险性、补丁等级检查、读取系统日志进行详细的系统调查、搜集重要证据以及发送攻击确认通知等一系列动作,将确认结果通知管理员。这种方式准确性很高,但有一定局限性,首先扫描被攻击主机会增加疑似攻击机负担;其次登录到被攻击主机上进行取证确认这种方法需要知道被保护主机的隐私信息,不够灵活;再次对于黑客来说,攻击成功后通常会擦除痕迹,取证难度很大。
(2)通过多个检测系统合作,融合协同与时/空关联分析方法,对安全事件进行多层次确认。此方式适用于分布式入侵检测系统,但由于通讯及分析算法原因,一般采取后期验证的方式,有时间的滞后性;另外该方法对多个采集点数据进行关联分析时,存在一定的不确定性,确认的准确性很大程度上取决于模型建立的好坏。
综上所述,业界亟待提出一种简单高效的安全事件实时确认方法及系统。
发明内容
本发明所要解决的技术问题,在于需要提供一种安全事件实时确认方法及系统,以实时高效地进行安全事件的确认。
为了解决上述技术问题,本发明提供了一种安全事件实时确认方法,包括:
接收网络报文;
对所述网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;
提取所述攻击报文的响应报文;
使用一安全事件确认规则,对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果,所述安全事件确认规则用于判定所述攻击是否成功。
优选地,所述安全事件确认规则中,包含有攻击成功特征和/或攻击失败特征,所述攻击成功特征用于判定所述攻击报文攻击成功,所述攻击失败特征用于判定所述攻击报文攻击失败。
优选地,所述攻击确认结果,包括确认为攻击成功的攻击成功事件、确认为攻击失败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果未知事件。
优选地,检测到所述攻击报文后,监控到所述攻击报文所属连接上的后续报文为攻击者发出的网络报文时,确认所述攻击报文攻击失败。
优选地,对所述响应报文进行所述匹配,包括采用匹配树方式进行。
为了解决上述技术问题,本发明还提供了一种安全事件实时确认系统,包括:
接收模块,用于接收报文;
检测模块,与所述接收模块相连,用于对所述网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;
提取模块,与所述检测模块相连,用于提取所述攻击报文的响应报文;
安全事件确认规则库,用于存储判定攻击是否成功的安全事件确认规则;
匹配模块,与所述提取模块及安全事件确认规则库相连,用于使用所述安全事件确认规则对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果。
优选地,所述安全事件确认规则库,包含有攻击成功特征和/或攻击失败特征,所述攻击成功特征用于判定所述攻击报文攻击成功,所述攻击失败特征用于判定所述攻击报文攻击失败。
优选地,所述匹配模块得到的所述攻击确认结果,包括确认为攻击成功的攻击成功事件、确认为攻击失败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果未知事件。
优选地,所述匹配模块,对所述响应报文进行所述匹配,包括采用匹配树方式进行。
优选地,所述提取模块,在所述检测模块检测到所述攻击报文后,进一步监控到所述攻击报文所属连接上的后续报文为攻击者发出的网络报文时,确认所述攻击报文攻击失败。
本发明提供的安全事件实时确认方法及系统,依据对网络攻击行为模式的分析,通过对响应报文进行精确匹配,简单、高效并实时地完成安全事件攻击行为的确认,使得安全管理员能够有的放矢,重点关注问题设备。与现有技术相比,本发明不需要额外生成探测引擎对被监控主机进行扫描确认,也不需要被监控主机提供帐号密码等隐私信息,保证了对用户透明的同时又节约了系统开销。
附图说明
图1为本发明安全事件实时确认方法实施例的流程示意图。
图2为图1所示方法实施例步骤S130中精确匹配的过程。
图3为本发明提到的安全事件确认规则示例。
图4为将本发明方法应用到一入侵检测系统中进行入侵检测实施例的流程示意图。
图5为本发明安全事件实时确认系统实施例的组成示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。
一般来说,多数的安全事件攻击成功后,都会从被攻击机获得特定的响应报文。因此一旦检测到攻击报文后,就开始检测反向的响应报文。在攻击时间内,收到成功报文,则说明攻击成功,否则说明攻击失败。
图1为本发明安全事件确认方法实施例的流程示意图。如图1所示,该方法实施例主要包括如下步骤:
步骤S110,接收网络报文;
步骤S115,对网络报文进行攻击行为检测,将检测出攻击行为的网络报文描述为攻击报文;本步骤中的检测方法,可以采用现有技术中的常用方法,本发明并不对攻击行为检测进行限定;
步骤S120,对于检测出攻击报文的网络报文,提取该攻击报文的响应报文;
步骤S130,对该响应报文使用一安全事件确认规则进行精确匹配,得到攻击确认结果,其中该安全事件确认规则用于判定攻击是否成功。
考虑到流重组的情况,上述步骤S120中,检测到攻击报文后,继续监控该攻击报文所属连接上的后续报文,如果监控到紧随该攻击报文的后续报文仍然是攻击者发出的网络报文,则说明被攻击者没有应答该攻击报文给攻击者,这种情况可以直接判定为攻击失败。
图2为图1所示方法实施例步骤S130中精确匹配的过程。如图2所示,该精确匹配的过程,主要包括如下步骤:
步骤S210,检测到攻击报文时,获得其中的攻击报文时间戳并记录;
步骤S211,提取到该攻击报文对应的响应报文后,从该响应报文中获得响应报文时间戳;
步骤S212,通过该攻击报文时间戳和响应报文时间戳,获得攻击响应时间;
步骤S213,判断该攻击响应时间是否超过预设的攻击最长响应时间,如果超过则转步骤S215,否则执行步骤S220;
步骤S215,直接判定为攻击失败,结束。
步骤S220,使用预设的安全事件确认规则中的攻击失败特征,对响应报文进行精确匹配,如果匹配成功,则转步骤S215,否则执行步骤S230;
步骤S230,使用预设的安全事件确认规则中的攻击成功特征,对响应报文进行精确匹配,如果匹配成功,则转步骤S235,否则转步骤S240;
步骤S235,直接判定为攻击成功,结束。
步骤S240,判定为攻击结果未知,结束。
上述步骤S220中,使用安全事件确认规则对响应报文进行匹配,是先判定响应报文中是否包含有攻击失败特征;如果有则进一步判定响应报文中的攻击失败特征,是否与安全事件确认规则中的攻击失败特征相符合,如果相符合则表示匹配成功,判定为攻击失败,如果不相符合,则执行步骤S230。
上述步骤S230中,使用安全事件确认规则对响应报文进行匹配,是先判定响应报文中是否包含有攻击成功特征;如果有则进一步判定响应报文中的攻击成功特征,是否与安全事件确认规则中的攻击成功特征相符合,如果相符合则表示匹配成功,判定为攻击成功,如果不相符合,则执行步骤S240。
需要说明的是,针对特定的攻击,可能无法同时定义攻击成功条件与攻击失败条件,但是至少需要定义其中之一,才能进行上述步骤S220或者步骤S230。
上述步骤S220以及步骤S230中对响应报文进行精确匹配,可以选用但不限于匹配树方式来进行匹配。
通过图2所示的精确匹配过程可知,步骤S130中的攻击确认结果,包含有攻击成功事件、攻击失败事件、攻击结果未知事件。当然,如果没有定义安全事件确认规则,则得到的是一般事件的结果。
图3为本发明所述安全事件确认规则示例。本示例定义了事件“HTTP_IIS_ISAPI_.printer访问”的基本规则与攻击确认规则。
http访问文件名中包含.printer字符串时,在5秒时间内无返回则攻击失败;如果5秒内有返回,且返回码为200则攻击成功,返回码为404饿攻击失败,返回码为其他值则攻击结果不确认。
本发明如图1和图2所述的方法实施例,基于对响应报文的精确匹配,实现了简单、高效、实时的安全事件确认。在整个安全事件确认过程中,所获得数据来源完全来自网络中监听到的数据包,与现有技术相比,不需要额外生成探测引擎对被监控主机进行扫描确认,也不需要被监控主机提供帐号密码等隐私信息,保证了对用户透明的同时又节约了系统开销。另外,通过实时监控攻击流并进行判定,能够在攻击结束瞬间,判定攻击是否成功,具有良好的实时性,并在攻击成功时能够及时通知安全管理员,当前哪些资产已经被攻击成功,需要重点关注。
图4为将本发明方法应用到一入侵检测系统中进行入侵检测实施例的流程示意图。结合图1和图2所示的本发明方法实施例,以及图3所示的安全事件确认规则示例,图4所示的入侵检测实施例主要包括如下步骤:
步骤S410,初始化该入侵检测系统所使用的若干基本规则以及若干前述的安全事件确认规则;其中该若干基本规则,用来识别安全事件报文,该若干安全事件确认规则,用来判定攻击是否成功,其包括攻击成功特征、攻击失败特征、攻击最长时间等信息;
步骤S420,直接从网卡读取原始数据报文;
步骤S425,对所读取的报文进行协议解析,获得解析结果;
步骤S426,使用该若干基本规则对该解析结果进行匹配,匹配成功则表示该报文为安全事件报文,转步骤S430,否则转步骤S420继续读取报文;
步骤S430,判断是否需要对该安全事件报文进行确认,如果需要确认,则转到步骤S440,否则转步骤S450;
步骤S440,按照前述图2所示匹配过程进行精确匹配,获得攻击确认结果并上报,然后返回步骤S420继续读取报文;
步骤S450,将该安全事件报文确定为一般安全事件,然后返回步骤S420继续执行。
图5为本发明中安全事件实时确认系统实施例的组成示意图。结合图1至图4对本发明中安全事件实时确认方法的说明,图5所示的系统实施例主要包括接收模块510、检测模块520、提取模块530、安全事件确认规则库540以及匹配模块550,其中:
接收模块510,用于接收网络报文;
检测模块520,与该接收模块510相连,用于对该网络报文进行攻击行为检测,将检测出攻击行为的网络报文描述为攻击报文;
提取模块530,与该检测模块520相连,用于提取该攻击报文的响应报文;
安全事件确认规则库540,用于存储判定攻击是否成功的安全事件确认规则;
匹配模块550,与该提取模块530及安全事件确认规则库540相连,用于使用该安全事件确认规则对该响应报文进行匹配,得到该攻击报文的攻击确认结果;特别地,若提取模块530在检测模块520检测到攻击报文后,提取到该攻击报文所属连接上的后续报文,为攻击者发出的网络报文,则直接确认为攻击失败。
该安全事件确认规则库540,包含有攻击成功特征和/或攻击失败特征,该攻击成功特征用于判定攻击成功,该攻击失败特征用于判定攻击失败。
该匹配模块550得到的该攻击确认结果,包括确认为攻击成功的攻击成功事件、确认为攻击失败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果未知事件。
本发明提供的安全事件实时确认方法及系统,依据对网络攻击行为模式的分析,通过对响应报文进行精确匹配,实时的完成安全事件攻击行为的确认。与现有技术相比,既不需要了解被监控主机的隐私信息,又能及时通知安全管理员,使得安全管理员能够有的放矢,重点关注问题设备。
虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (10)
1.一种安全事件实时确认方法,其特征在于,包括:
接收网络报文;
对所述网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;
提取所述攻击报文的响应报文;
使用一安全事件确认规则,对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果,所述安全事件确认规则用于判定所述攻击是否成功。
2.如权利要求1所述的方法,其特征在于:
所述安全事件确认规则中,包含有攻击成功特征和/或攻击失败特征,所述攻击成功特征用于判定所述攻击报文攻击成功,所述攻击失败特征用于判定所述攻击报文攻击失败。
3.如权利要求2所述的方法,其特征在于:
所述攻击确认结果,包括确认为攻击成功的攻击成功事件、确认为攻击失败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果未知事件。
4.如权利要求1所述的方法,其特征在于:
检测到所述攻击报文后,监控到所述攻击报文所属连接上的后续报文为攻击者发出的网络报文时,确认所述攻击报文攻击失败。
5.如权利要求1所述的方法,其特征在于:
对所述响应报文进行所述匹配,包括采用匹配树方式进行。
6.一种安全事件实时确认系统,其特征在于,包括:
接收模块,用于接收报文;
检测模块,与所述接收模块相连,用于对所述网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;
提取模块,与所述检测模块相连,用于提取所述攻击报文的响应报文;
安全事件确认规则库,用于存储判定攻击是否成功的安全事件确认规则;
匹配模块,与所述提取模块及安全事件确认规则库相连,用于使用所述安全事件确认规则对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果。
7.如权利要求6所述的系统,其特征在于:
所述安全事件确认规则库,包含有攻击成功特征和/或攻击失败特征,所述攻击成功特征用于判定所述攻击报文攻击成功,所述攻击失败特征用于判定所述攻击报文攻击失败。
8.如权利要求7所述的系统,其特征在于:
所述匹配模块得到的所述攻击确认结果,包括确认为攻击成功的攻击成功事件、确认为攻击失败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果未知事件。
9.如权利要求6所述的系统,其特征在于:
所述匹配模块,对所述响应报文进行所述匹配,包括采用匹配树方式进行。
10.如权利要求6所述的系统,其特征在于:
所述提取模块,在所述检测模块检测到所述攻击报文后,进一步监控到所述攻击报文所属连接上的后续报文为攻击者发出的网络报文时,确认所述攻击报文攻击失败。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910084704A CN101902334B (zh) | 2009-05-25 | 2009-05-25 | 一种安全事件实时确认方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910084704A CN101902334B (zh) | 2009-05-25 | 2009-05-25 | 一种安全事件实时确认方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101902334A CN101902334A (zh) | 2010-12-01 |
CN101902334B true CN101902334B (zh) | 2012-08-29 |
Family
ID=43227557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910084704A Expired - Fee Related CN101902334B (zh) | 2009-05-25 | 2009-05-25 | 一种安全事件实时确认方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101902334B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105337792A (zh) * | 2015-08-25 | 2016-02-17 | 王子瑜 | 网络攻击有效性的检测方法及系统 |
CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
CN107347047B (zh) * | 2016-05-04 | 2021-10-22 | 阿里巴巴集团控股有限公司 | 攻击防护方法和装置 |
CN107623661B (zh) * | 2016-07-15 | 2020-12-08 | 阿里巴巴集团控股有限公司 | 阻断访问请求的系统、方法及装置,服务器 |
CN106850675A (zh) * | 2017-03-10 | 2017-06-13 | 北京安赛创想科技有限公司 | 一种网络攻击行为的确定方法及装置 |
CN108683687B (zh) * | 2018-06-29 | 2021-08-10 | 北京奇虎科技有限公司 | 一种网络攻击识别方法及系统 |
CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
CN109495471B (zh) * | 2018-11-15 | 2021-07-02 | 东信和平科技股份有限公司 | 一种对web攻击结果判定方法、装置、设备及可读存储介质 |
CN109391626B (zh) * | 2018-11-15 | 2021-07-30 | 东信和平科技股份有限公司 | 一种判定网络攻击结果未遂的方法和相关装置 |
CN111510434A (zh) * | 2020-03-24 | 2020-08-07 | 中国建设银行股份有限公司 | 网络入侵检测方法、系统及相关设备 |
CN114465783B (zh) * | 2022-01-19 | 2024-03-26 | 北京启明星辰信息安全技术有限公司 | 攻击点与业务报文的关联方法、关联系统及存储介质 |
-
2009
- 2009-05-25 CN CN200910084704A patent/CN101902334B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN101902334A (zh) | 2010-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101902334B (zh) | 一种安全事件实时确认方法及系统 | |
CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
EP2729895B1 (en) | Syntactical fingerprinting | |
CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
CN110221977A (zh) | 基于ai的网站渗透测试方法 | |
CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
CN111884989B (zh) | 一种针对电力web系统的漏洞探测方法和系统 | |
CN112948821A (zh) | 一种apt检测预警方法 | |
CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
CN112039862A (zh) | 一种面向多维立体网络的安全事件预警方法 | |
CN110022305A (zh) | 网站安全防护系统和方法 | |
CN101719906B (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 | |
KR100736540B1 (ko) | 웹 서버 위/변조 감시장치 및 그 방법 | |
CN113542311B (zh) | 一种实时检测失陷主机并回溯的方法 | |
CN111147521A (zh) | 一种企业专用网络安全事件管理系统 | |
CN110636077A (zh) | 一种基于统一平台的网络安全防护系统及方法 | |
CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
CN111526109A (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
CN107342986B (zh) | 一种诈骗电话预警系统及预警方法 | |
CN114629711B (zh) | 一种针对Windows平台特种木马检测的方法及系统 | |
CN114124538B (zh) | 一种智能变电站goose、sv报文的入侵检测方法及系统 | |
Xiao et al. | Alert verification based on attack classification in collaborative intrusion detection | |
CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120829 Termination date: 20180525 |
|
CF01 | Termination of patent right due to non-payment of annual fee |