CN106993005A - 一种网络服务器的预警方法及系统 - Google Patents

一种网络服务器的预警方法及系统 Download PDF

Info

Publication number
CN106993005A
CN106993005A CN201710447370.3A CN201710447370A CN106993005A CN 106993005 A CN106993005 A CN 106993005A CN 201710447370 A CN201710447370 A CN 201710447370A CN 106993005 A CN106993005 A CN 106993005A
Authority
CN
China
Prior art keywords
response
cost
short message
respond
early warning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710447370.3A
Other languages
English (en)
Inventor
司徒健辉
林广银
李海云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Electric Power Development Ltd By Share Ltd In Shajiao A Power Plant
Original Assignee
Guangdong Electric Power Development Ltd By Share Ltd In Shajiao A Power Plant
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Electric Power Development Ltd By Share Ltd In Shajiao A Power Plant filed Critical Guangdong Electric Power Development Ltd By Share Ltd In Shajiao A Power Plant
Priority to CN201710447370.3A priority Critical patent/CN106993005A/zh
Publication of CN106993005A publication Critical patent/CN106993005A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种网络服务器的预警方法及系统,所述方法包括:步骤101、把经过snort系统事件分析部件分析出来的安全事件按照成本分析方法进行评估,从而决定系统是否要对此安全事件进行响应;步骤102、如果需要对安全事件进行响应,则将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令;步骤103、对可以进行自动响应的安全事件进行自动响应,同时接收由短信代理模块传送过来的快速手动响应短信指令进行响应。本发明将短信技术与入侵检测技术相结合,为网络服务器提供及时快速的预警和报警,通过代价分析方法把快速手动响应与自动入侵响应紧密结合,减少漏响应、误响应和过度响应给系统带来的损失。

Description

一种网络服务器的预警方法及系统
技术领域
本发明涉及计算机技术领域,尤其涉及一种网络服务器的预警方法及系统。
背景技术
计算机网络技术的发展使得信息的传递和处理突破了时间和地域的限制,互连网的爆炸性发展更进一步为人类的信息交互、科学、技术、文化、教育、生产的发展提供了极大的便利,信息网络全球化的发展已经成为不可抗拒的历史潮流。然而,就在计算机网络给人们的生活,工作带来巨大便利的同时,其所带来的安全问题同样突出。由于系统的复杂性,协议设计的缺陷、终端分布的不均匀性、网络的开放性、迷漫性和互连互通性等特征,致使网络容易遭到黑客、恶意软件的攻击,国家、企业和个人的信息系统受到了极大的安全威胁。
随着信息技术、计算机技术的飞速发展与广泛应用,人类已经进入了一个空前繁荣的信息化时代。大范围内的网络服务应用已经广泛深入到国防、电信、银行、金融、政府、交通、电子商务、能源以及大众商业等各个领域。作为提供对内或对外服务的网络服务器,在为各行各业提供着大量的网络服务,他囊括了社会的各个方面:航空航天、军品科研、导航系统、电信业务、客户服务、电子商务、电子政务、Web服务、FTP服务、Mail服务、内部OA服务等等。
不管是在关系着国家安全和社会稳定的国防、核工业、航空航天系统,政府、交通、通信、能源行业,还是涉及商业和民用的大众商业,网络服务作为一种突破时间和地域限制的服务,广泛和深入地应用在社会的方方面面,电子时代带给我们巨大的实惠和便利。但是,与此同时,与服务安全相关事件逐年上升,人们在得益于信息革命所带来的巨大机遇和便利的同时,也不得不面对信息安全问题的严峻考验,安全问题已经成为严重影响网络发展、特别是商业应用的主要问题,并直接威胁着国家安全和社会的稳定。服务器的安全引起社会各个阶层和行业的强烈关注和重视,针对服务器的安全实施了一系列的安全解决方案。服务器的安全问题有操作系统安全,还包括硬件安全、应用安全和数据安全等。作为存储数据、处理需求的核心,服务器安全涉及太多环节。
网络服务器常遭受的网络安全问题包括恶意的攻击行为和恶意的入侵行为。攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。如何保证网络服务器的安全问题,现在已经有很多技术应用在网络服务器的安全领域,防火墙、认证技术、漏洞检测评估、灾难恢复、反病毒软件、VPN、安全路由、安全操作系统、安全Web、加密等,这一系列技术和产品,为保护信息安全,做出了很大的贡献。但尽管如此,信息安全问题仍是一年比一年严重。对于分布性越来越高的网络应用,攻击是越来越无法避免的,并且会随着防护技术的不断改进,攻击也愈加尖锐。另一方面,从技术实现来说,世界上还没有一个系统能够强悍到可以保证没有漏洞可以被用于攻击的地步。
网络服务器入侵和攻击行为具备一定的复杂性和不确定性,并且各种网络攻击手段层出不穷,更新很快。目前,各种入侵检测系统都无法实现及时准确地检测出所有已知和未知的攻击并且根据网络情况对所有攻击做出最恰当的响应行为。因此,及时报警,可使安全管理员能够在入侵攻击尚未造成更大危害前得到警报并做出反应。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种网络服务器的预警方法及系统,将短信技术与入侵检测技术相结合,为网络服务器提供及时快速的预警和报警,提高网络服务器的安全水平。
为实现上述目的,本发明提供了一种网络服务器的预警方法,包括以下步骤:
步骤101、把经过snort系统事件分析部件分析出来的安全事件按照成本分析方法进行评估,从而决定系统是否要对此安全事件进行响应;
步骤102、如果需要对安全事件进行响应,则将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令;
步骤103、对可以进行自动响应的安全事件进行自动响应,同时接收由短信代理模块传送过来的快速手动响应短信指令进行响应。
优选的,所述步骤101中决定系统是否要对此安全事件进行响应后,如果进行响应还要确认是自动采取响应还是快速手动响应。
优选的,所述步骤101中的成本分析方法为:
对网络内的各种网络设备的重要性进行设定,并对各种网络设备评定出重要等级;
对各种网络设备的损失代价和响应代价进行判断,如果入侵的损失代价Dcost大于或等于危险门限α则表示发生了非常严重的入侵行为,如果入侵的响应代价Rcost大于或等于响应门限β则表示要进行非常严厉的响应行为;
对入侵的损失代价Dcost和入侵的响应代价Rcost作比较,决定是否响应和如何响应。
优选的,所述根据SGIP协议规定向安全管理员传送报警信息和等待接收安全管理员通过短信发送的快速手动响应指令。
优选的,所述步骤102中将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令具体为:
根据SGIP协议规定向安全管理员传送报警信息,并等待接收安全管理员通过短信发送的快速手动响应指令。
一种网络服务器的预警系统,其特征在于,包括:
代理评价模块201,用于把经过snort系统事件分析部件分析出来的安全事件按照成本分析方法进行评估,从而决定系统是否要对此安全事件进行响应;
短信代理模块202,用于将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令;
响应模块与响应代理模块203,用于对可以进行自动响应的安全事件进行自动响应,同时接收由短信代理模块传送过来的快速手动响应短信指令进行响应。
优选的,所述代理评价模块201包括:
资产管理子模块2011,用于对网络内的各种网络设备的重要性进行设定,并对各种网络设备评定出重要等级;
响应门限设定子模块2012,用于对各种网络设备的损失代价和响应代价进行判断,如果入侵的损失代价Dcost大于或等于严重威胁门限α则表示发生了非常严重的入侵行为,如果入侵的响应代价Rcost大于或等于重要响应门限β则表示要进行非常严厉的响应行为;
入侵行为属性数据库2013,用于对入侵的损失代价Dcost和入侵的响应代价Rcost作比较,决定是否响应和如何响应。
优选的,所述短信代理模块202包括:
短信发送子模块2021,用于发送预警短信;
短信状态记录子模块2022,用于对短信发送状态进行记录;
短信接收子模块2023,用于接收预警短信;
安全指令分析子模块2024,用于短信管理指令分析。
优选的,所述响应模块与响应代理模块203包括:
响应决策专家数据库2031,用于决策对安全事件进行自动响应或者快速手动响应;
响应工具库2032,用于执行响应操作。
优选的,所述资产管理子模块2011还完成设备的添加、删除、浏览和修改功能。
本发明的有益效果是:
本发明将短信技术与入侵检测技术相结合,为网络服务器提供及时快速的预警和报警,通过代价分析方法把快速手动响应与自动入侵响应紧密结合,发挥了人的主导作用,在重要事件发生时可以快速做出响应决策,启动应急预案,减少漏响应、误响应和过度响应给系统带来的损失,最大程度上保证了服务器系统的安全。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一种网络服务器的预警方法流程图。
图2是本发明的一种网络服务器的预警系统结构框图。
具体实施方式
如图1所示,本发明提供了一种网络服务器的预警方法,包括以下步骤:
步骤101、把经过snort系统事件分析部件分析出来的安全事件按照成本分析方法进行评估,从而决定系统是否要对此安全事件进行响应;
步骤102、如果需要对安全事件进行响应,则将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令;
步骤103、对可以进行自动响应的安全事件进行自动响应,同时接收由短信代理模块传送过来的快速手动响应短信指令进行响应。
本实施例中,所述步骤101中决定系统是否要对此安全事件进行响应后,如果进行响应还要确认是自动采取响应还是快速手动响应。
本实施例中,所述步骤101中的成本分析方法为:
对网络内的各种网络设备的重要性进行设定,并对各种网络设备评定出重要等级;
对各种网络设备的损失代价和响应代价进行判断,如果入侵的损失代价Dcost大于或等于危险门限α则表示发生了非常严重的入侵行为,如果入侵的响应代价Rcost大于或等于响应门限β则表示要进行非常严厉的响应行为;
对入侵的损失代价Dcost和入侵的响应代价Rcost作比较,决定是否响应和如何响应。
本实施例中,所述根据SGIP协议规定向安全管理员传送报警信息和等待接收安全管理员通过短信发送的快速手动响应指令。
本实施例中,所述步骤102中将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令具体为:
根据SGIP协议规定向安全管理员传送报警信息,并等待接收安全管理员通过短信发送的快速手动响应指令。
如图2所示,一种网络服务器的预警系统,其特征在于,包括:
代理评价模块201,用于把经过snort系统事件分析部件分析出来的安全事件按照成本分析方法进行评估,从而决定系统是否要对此安全事件进行响应;
短信代理模块202,用于将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令;
响应模块与响应代理模块203,用于对可以进行自动响应的安全事件进行自动响应,同时接收由短信代理模块传送过来的快速手动响应短信指令进行响应。
本实施例中,所述代理评价模块201包括:
资产管理子模块2011,用于对网络内的各种网络设备的重要性进行设定,并对各种网络设备评定出重要等级;
响应门限设定子模块2012,用于对各种网络设备的损失代价和响应代价进行判断,如果入侵的损失代价Dcost大于或等于严重威胁门限α则表示发生了非常严重的入侵行为,如果入侵的响应代价Rcost大于或等于重要响应门限β则表示要进行非常严厉的响应行为;
入侵行为属性数据库2013,用于对入侵的损失代价Dcost和入侵的响应代价Rcost作比较,决定是否响应和如何响应。
本实施例中,所述短信代理模块202包括:
短信发送子模块2021,用于发送预警短信;
短信状态记录子模块2022,用于对短信发送状态进行记录;
短信接收子模块2023,用于接收预警短信;
安全指令分析子模块2024,用于短信管理指令分析。
本实施例中,所述响应模块与响应代理模块203包括:
响应决策专家数据库2031,用于决策对安全事件进行自动响应或者快速手动响应;
响应工具库2032,用于执行响应操作。
本实施例中,所述资产管理子模块2011还完成设备的添加、删除、浏览和修改功能。
本系统将系统设计划分为三个模块,其中包括:代价评估模块、短信代理模块和响应模块与响应代理模块。每个模块又划分为更小的子模块,如2图示。各个模块功能实现的组合就是我们完整的专用网络服务器的预警及报警系统。专用网络服务器的预警及报警系统主要由以下三个部分构成:
(1)代价评估模块,代价评估模块的主要作用是把经过snort系统事件分析部件分析出来的安全事件按照成本分析方法进行评估,从而决定系统是否要对此事件进行响应;如果进行响应是自动采取响应还是快速手动响应。为实现本系统中的响应代价评估,设计了代价评估模块。该模块主要由资产管理子模块、短信响应门限值设定子模块和入侵行为属性数据库构成。
(2)短信代理模块,短信代理可以实现下述功能:在安全事件经过响应代价评估模块评定后,如确实需要立即告知安全管理员,则将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令。
短信代理模块根据中国联通专有的短信通信SGIP协议的规范进行编写,包括短信发送、短信状态记录、短信接收、安全指令分析四个子模块。是本文针对当前入侵检测系统行为响应中所存在的问题而引入的一种新的响应方式,该方式实现了移动终端与入侵检测系统的紧密结合,主要用于解决误响应、漏响应和过度响应等可能给系统带来巨大损失的安全问题。
(3)响应模块与响应代理,响应模块主要的功能是根据专家的设定,对可以进行自动响应的安全事件进行自动响应,同时可以接收由短信代理模块传送过来的快速手动响应短信指令进行响应。响应的具体执行是由各个响应代理来完成。响应模块与响应代理主要由响应决策专家数据库和响应工具库构成。需要自动响应的事件通过与响应模块中的专家数据库的对照,得到相应的响应方法,而具体的响应行为则由各个响应代理来完成。
其中,代价评估模块的工作原理陈述如下:
对响应成本进行分析,首先需要确定与入侵及响应行为相关的成本因素。依据经验,这里我们考虑与响应相关的成本主要包括:损失代价Dcost(Damage Cost)与响应代价Rcost(Respond Cost)。损失代价Dcost,是假设IDS不采取任何响应措施的情况下,入侵行为对系统造成的损失,也就是潜在损失。响应代价Rcost是指针对某次入侵行为,采取相应的响应措施需要付出的代价。
在确定成本因素之后,成本分析的关键就是成本量化的问题。与此相关的研究,在网络安全的一个分支——风险评估中已有所涉及。所谓风险评估,就是对一个企业或者组织网络信息系统资产价值、安全缺陷、安全威胁进行确定的过程。确定的方法可以是定性的,也可以是定量的。从安全风险评估已有的工作来看,完全的、精确的量化是相当困难的,而将定性分析与定量分析相结合是一种不错的选择。另外,与风险评估相似,主要是给出一个成本量化的方法,具体的量化值应该由用户参与确定。
(1)损失代价(Dcost)入侵带来的在损失可能取决于多个方面。这里我们主要从入侵目标和入侵行为本身两个方面考虑,即入侵目标的重要性(Criticality)和入侵行为的致命性(Lethality)。
目标的重要性(Criticality)是指被攻击或者入侵的目标系统的重要程度,可以通过目标系统在网络中所具备的功能或所起的作用体现出来。可以设定目标重要性值域为(0,5),5为最高值。那么可以把防火墙、路由器、DNS服务器的重要性值定义为5;web、Mail、FTP服务器可以定义为4;而普通UNIX工作站可以定义为2,Windows工作站可以定义为1,这样不同的攻击目标的重要性(Criticality)就通过它的重要性值体现出来。
入侵的致命性(Lethality)是指入侵行为本身所具有的危害性或者威胁性的高低。这个量与入侵所针对的目标无关,只是对入侵行为本身的一个描述。比如,一个可以获取root权限的攻击的危害程度就高于只可以获取普通用户权限的攻击的危害程度。表1是根据经验量化了的几类攻击的危害性。我们在这里定义了4种不同种类的致命性描述。具体的攻击行为所具有的危害性与某一攻击分类相对应。通过对捕获的数据包进行分析可以知道他属于那种攻击行为,从而对应其危害性分类。
例如:对捕获到的一个数据包,经过解码后得到目的端口80,数据包大小dsize>128,则很可能是利用了Network Time Protocol Daemon(ntpd)存在缓冲区溢出漏洞,攻击目标设备,攻击者利用此漏洞能取得超级用户特权,我们给出其攻击行为为EXPLOIT ntpdxoverflow,属于U2R分类。
表1
有了上面描述的两个量,就可以把入侵损失代价Dcost的值定义为:Dcost=Criticality×Lethality。比如同样是DoS攻击,若攻击目标是防火墙,则Dcost=5×30=150;若攻击目标是Web服务器,则Dcost=4×30=120。
(2)响应代价(Rcost)入侵响应代价主要包括两部分内容:执行响应措施的资源耗费和响应措施执行以后带来的负面影响。
响应代价的完全量化是比较困难的,在此根据经验值将响应代价的量化简化,如(表1)。这样,在确定了事件的潜在损失与响应代价之后,我们就可以做出响应决策:
如果Rcost≤Dcost,即响应代价小于或者等于损失代价,则进行响应。
如果Rcost>Dcost,即响应代价超过了损失代价,那就没有必要响应了。
在此基础上我们将给出快速手动响应的两个门限值——严重威胁门限值α与重要响应门限值β,若:
Dcost≥α|Rcost≥β说明出现了很严重的入侵行为或者需要执行很严厉的响应措施如断开网络或者入侵追踪等。此时,需要进行快速手动响应,以免因为漏响应、误响应或响应过度给系统带来更严重的后果。
当可能发生的损失代价较大超过一定限度α时,响应行为是否正确得当变得十分重要,此时除系统自动采取的,如激活更详细的日志审计,启动更详细的入侵检测,以及估计事件范围,收集事件相关信息,产生事件报告等响应外,同时可以通过短信方式让安全员在第一时间进行远程遥控响应。
当响应代价超过门限值β时,即系统准备需要采取一些比较严厉的主动响应措施如反向追踪时,涉及技术以外的多方面因素,此时也应由安全管理员做出决定,使用短信方式可以最小化手工响应代价。
以上分析了响应过程中响应代价评估的问题,说明了应急响应成本分析的方法。根据前面提到的代价评估的算法,资产管理子模块需要对网络内的各种网络设备的重要性(Criticality)进行设定。损失代价Dcost是对攻击目标属性和攻击行为属性综合计算的结果,资产管理子系统模块对网络中各种设备的属性进行定义,通过重要级别来完成对每个设备Criticality值设定的功能。资产管理子系统可以完成设备的添加、删除、浏览和修改功能。
根据本系统设计中的响应代价评定方法,响应门限设定子模块对各种网络设备的损失代价和响应代价进行判断,如果入侵的损失代价Dcost大于或等于严重威胁门限α则表示发生了非常严重的入侵行为,如果入侵的响应代价Rcost大于或等于重要响应门限β则表示要进行非常严厉的响应行为,如入侵跟踪甚至反向攻击等。α和β的值由安全管理员针对不同时期网络的具体情况进行设定。
最后,入侵行为属性数据库对入侵的损失代价Dcost和入侵的响应代价Rcost作比较,决定是否响应和如何响应。对于一个入侵行为致命性的判断,通过snort所捕获的数据包,得到网络上的原始流量,根据数据包所具有的特征来分析数据包的行为,从而判断数据包的行为是否时入侵行为,根据入侵行为分类得到入侵行为属性值,从而建立入侵行为属性数据库。
特征指数据包的包头、数据包的数据字段内容所具有的特征。根据这些数据包的特征信息来判断一个数据包的行为属于正常行为还是攻击行为,属于那一种攻击行为。根据RFC正式标准,网络上的数据帧或是报文都具有固定的格式和默认的规范,显然,如果捕获到一个帧格式或报文格式异常的数据,则很可能就是网络入侵或者是攻击。
举一个例子:抓到一个发往目的主机端口为21的数据包,通过在包的数据段中搜索指定“USERroot”串时,当匹配时,我们可以认为可能发生了“FTP root user accessattempt”入侵。通过上面的例子,我们看到了基于特征的入侵行为的描述方法。我们将通过特征来标识数据包的行为,建立入侵性为属性数据库,通过入侵属性数据库的定义来对网络的数据包是否是入侵行为进行判断。
响应模块的主要功能是根据响应代价评估模块做出的决策,对安全事件进行自动响应或者快速手动响应,具体的响应操作由各个响应代理来完成,主要的入侵响应方式有:
(1)记录安全事件:将安全事件记录下来有利于管理员的事后追查。
(2)产生报警信息:在控制台产生报警,或发送邮件给管理员。
(3)记录附加日志:为了能更好的分析攻击,有时应当不仅限于记录发现攻击的报文,如对于堆栈溢出攻击,记录堆栈溢出之后的一些报文对管理员了解攻击者的意图是非常有帮助的。
(4)激活附加的入侵检测工具:入侵检测系统为了将有限的资源集中于应对更多的攻击,一般使用计算复杂度较低的测度进行检测,当发现攻击者对系统的潜在危害上升时,可以触发更细致的检测,这种检测一般使用计算复杂度较高的测度,检测精度非常高。
(5)隔离入侵者IP:当发现攻击者对系统的威胁到达一定程度时,可以配置防火墙将攻击者从受保护网络隔离,这种响应措施的选择需要慎重考虑,特别是对于伪造IP的攻击,这种响应会伤害合法客户的利益,所以可以采用快速手动响应的方式。
(6)禁止被攻击对象的特定服务:通过配置防火墙实现。
(7)隔离被攻击对象:这种措施实际上禁止了所有外网对被攻击对象的访问。
(8)警告攻击者:通过发警告消息给攻击者。
(9)跟踪攻击者:找到尽量接近攻击发起的位置。
(10)断开危险连接:对于TCP连接发送RST报文将连接断开。
(11)攻击入侵者:最严厉的响应措施。
综上所述,本发明的专用网络服务器的预警及报警系统可以通过代价分析方法把快速手动响应与自动入侵响应紧密结合,发挥了人的主导作用,在重要事件发生时可以快速做出响应决策,启动应急预案,减少漏响应、误响应和过度响应给系统带来的损失,最大程度上保证了系统的安全。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (10)

1.一种网络服务器的预警方法,其特征在于,包括以下步骤:
步骤101、把经过snort系统事件分析部件分析出来的安全事件按照成本分析方法进行评估,从而决定系统是否要对此安全事件进行响应;
步骤102、如果需要对安全事件进行响应,则将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令;
步骤103、对可以进行自动响应的安全事件进行自动响应,同时接收由短信代理模块传送过来的快速手动响应短信指令进行响应。
2.如权利要求1所述的一种网络服务器的预警方法,其特征在于,所述步骤101中决定系统是否要对此安全事件进行响应后,如果进行响应还要确认是自动采取响应还是快速手动响应。
3.如权利要求1所述的一种网络服务器的预警方法,其特征在于:所述步骤101中的成本分析方法为:
对网络内的各种网络设备的重要性进行设定,并对各种网络设备评定出重要等级;
对各种网络设备的损失代价和响应代价进行判断,如果入侵的损失代价Dcost大于或等于危险门限α则表示发生了非常严重的入侵行为,如果入侵的响应代价Rcost大于或等于响应门限β则表示要进行非常严厉的响应行为;
对入侵的损失代价Dcost和入侵的响应代价Rcost作比较,决定是否响应和如何响应。
4.如权利要求1所述的一种网络服务器的预警方法,其特征在于:所述根据SGIP协议规定向安全管理员传送报警信息和等待接收安全管理员通过短信发送的快速手动响应指令。
5.如权利要求1所述的一种网络服务器的预警方法,其特征在于,所述步骤102中将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令具体为:
根据SGIP协议规定向安全管理员传送报警信息,并等待接收安全管理员通过短信发送的快速手动响应指令。
6.一种网络服务器的预警系统,其特征在于,包括:
代理评价模块201,用于把经过snort系统事件分析部件分析出来的安全事件按照成本分析方法进行评估,从而决定系统是否要对此安全事件进行响应;
短信代理模块202,用于将警报通过短信形式传递给管理员,并接收安全管理员通过短信发回的是否响应的指令;
响应模块与响应代理模块203,用于对可以进行自动响应的安全事件进行自动响应,同时接收由短信代理模块传送过来的快速手动响应短信指令进行响应。
7.如权利要求6所述的一种网络服务器的预警系统,其特征在于,所述代理评价模块201包括:
资产管理子模块2011,用于对网络内的各种网络设备的重要性进行设定,并对各种网络设备评定出重要等级;
响应门限设定子模块2012,用于对各种网络设备的损失代价和响应代价进行判断,如果入侵的损失代价Dcost大于或等于严重威胁门限α则表示发生了非常严重的入侵行为,如果入侵的响应代价Rcost大于或等于重要响应门限β则表示要进行非常严厉的响应行为;
入侵行为属性数据库2013,用于对入侵的损失代价Dcost和入侵的响应代价Rcost作比较,决定是否响应和如何响应。
8.如权利要求6所述的一种网络服务器的预警系统,其特征在于,所述短信代理模块202包括:
短信发送子模块2021,用于发送预警短信;
短信状态记录子模块2022,用于对短信发送状态进行记录;
短信接收子模块2023,用于接收预警短信;
安全指令分析子模块2024,用于短信管理指令分析。
9.如权利要求6所述的一种网络服务器的预警系统,其特征在于,所述响应模块与响应代理模块203包括:
响应决策专家数据库2031,用于决策对安全事件进行自动响应或者快速手动响应;
响应工具库2032,用于执行响应操作。
10.如权利要求7所述的一种网络服务器的预警系统,其特征在于:所述资产管理子模块2011还完成设备的添加、删除、浏览和修改功能。
CN201710447370.3A 2017-06-14 2017-06-14 一种网络服务器的预警方法及系统 Pending CN106993005A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710447370.3A CN106993005A (zh) 2017-06-14 2017-06-14 一种网络服务器的预警方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710447370.3A CN106993005A (zh) 2017-06-14 2017-06-14 一种网络服务器的预警方法及系统

Publications (1)

Publication Number Publication Date
CN106993005A true CN106993005A (zh) 2017-07-28

Family

ID=59421678

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710447370.3A Pending CN106993005A (zh) 2017-06-14 2017-06-14 一种网络服务器的预警方法及系统

Country Status (1)

Country Link
CN (1) CN106993005A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107770374A (zh) * 2017-10-13 2018-03-06 杭州安恒信息技术有限公司 一种用于安全监管的通报预警移动app应用系统
CN111416724A (zh) * 2019-01-04 2020-07-14 天津科技大学 一种服务器入侵检测报警设计方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104852816A (zh) * 2015-04-22 2015-08-19 国网四川省电力公司电力科学研究院 一种ids智能告警方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104852816A (zh) * 2015-04-22 2015-08-19 国网四川省电力公司电力科学研究院 一种ids智能告警方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
韩家伟: "短信技术在IDS行为响应单元中的应用研究", 《中国优秀硕士学位论文全文数据库 信息科技辑(2005)》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107770374A (zh) * 2017-10-13 2018-03-06 杭州安恒信息技术有限公司 一种用于安全监管的通报预警移动app应用系统
CN111416724A (zh) * 2019-01-04 2020-07-14 天津科技大学 一种服务器入侵检测报警设计方法

Similar Documents

Publication Publication Date Title
Ho et al. Statistical analysis of false positives and false negatives from real traffic with intrusion detection/prevention systems
Khalaf et al. An adaptive protection of flooding attacks model for complex network environments
CN114679338A (zh) 一种基于网络安全态势感知的网络风险评估方法
CN106027559A (zh) 基于网络会话统计特征的大规模网络扫描检测方法
Sabri et al. Identifying false alarm rates for intrusion detection system with data mining
Mehibs et al. Proposed network intrusion detection system based on fuzzy c mean algorithm in cloud computing environment
CN113037713B (zh) 网络攻击的对抗方法、装置、设备及存储介质
Mangrulkar et al. Network attacks and their detection mechanisms: A review
Frye et al. An ontology-based system to identify complex network attacks
CN114257403B (zh) 误报检测方法、设备及可读存储介质
CN114070641B (zh) 一种网络入侵检测方法、装置、设备和存储介质
Beigh et al. Intrusion detection and prevention system: issues and challenges
Ezenwe et al. Mitigating denial of service attacks with load balancing
CN106993005A (zh) 一种网络服务器的预警方法及系统
Agrawal et al. A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS.
Rastogi et al. Network anomalies detection using statistical technique: a chi-square approach
Leghris et al. Improved security intrusion detection using intelligent techniques
Nallaperumal CyberSecurity Analytics to Combat Cyber Crimes
El-Taj et al. Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study
KR102377784B1 (ko) 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템
Zaghdoud et al. Contextual fuzzy cognitive map for intrusion response system
CN113141274A (zh) 基于网络全息图实时检测敏感数据泄露的方法、系统和存储介质
KR102671718B1 (ko) 머신러닝을 통한 새로운 침입을 예측하는 웹로그 신규 위협 탐지 보안 시스템
CN112637217B (zh) 基于诱饵生成的云计算系统的主动防御方法及装置
KR102679732B1 (ko) 웹로그 데이터 분석을 통한 신규 위협 탐지용 머신러닝 분석 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170728