CN107770125A - 一种网络安全应急响应方法及应急响应平台 - Google Patents
一种网络安全应急响应方法及应急响应平台 Download PDFInfo
- Publication number
- CN107770125A CN107770125A CN201610674430.0A CN201610674430A CN107770125A CN 107770125 A CN107770125 A CN 107770125A CN 201610674430 A CN201610674430 A CN 201610674430A CN 107770125 A CN107770125 A CN 107770125A
- Authority
- CN
- China
- Prior art keywords
- emergency response
- event information
- security
- dependent event
- response platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明公开了一种网络安全应急响应方法及应急响应平台,用于应急响应平台根据安全事件得到相关事件信息,确定受相关事件信息影响的终端,并清除相关事件信息的威胁,使得应急响应平台能够及时发现威胁,并且准确的了解威胁的影响范围,从而快速和准确的清除威胁,提高了网络的安全性。本发明实施例方法包括:应急响应平台接收安全事件;应急响应平台根据安全事件得到相关事件信息;应急响应平台根据相关事件信息从终端中确定目标终端;应急响应平台生成安全策略指令,并将安全策略指令发送至目标终端,以使得目标终端根据安全策略指令清除相关事件信息的威胁。
Description
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种网络安全应急响应方法及应急响应平台。
背景技术
网络技术的飞速发展,方便了人类的生活,同时也带来了许多的安全问题。企业、事业单位通过购买一些安全设备、安全防护软件(如入侵防御系统、下一代防火墙及杀毒软件等)来应对各种各样的网络攻击。
现有的网络安全解决方案为:通过对现有的攻击和威胁进行建模,提取出对应的特征来进行防护,能有效的阻止现有的攻击方式。
然而,黑客的攻击手法瞬息万变,攻击方法越来越产业化,各种各样的软件和系统漏洞不停的爆出,现有的网络安全解决方案的防御速度远远跟不上新的攻击方式和漏洞利用手段的变化。企业和事业单位虽然部署了网络安全解决方案,但攻击者仍然可以绕过这些安全方案,入侵到企业的内部网络当中。
现有的网络安全解决方案存在着如下的局限性:
对于绕过企业安全防护措施的威胁无能为力,客户往往需要很长的时间才能发现自已经被黑了,比如数据库被删除或敏感信息被偷偷的上传出去了,客户在使用数据库或者敏感信息被曝光之后,才知道威胁存在,导致损失巨大。
发明内容
本发明提供了一种网络安全应急响应方法及应急响应平台,用于应急响应平台根据安全事件得到相关事件信息,确定受相关事件信息影响的终端,并清除相关事件信息的威胁,使得应急响应平台能够及时发现威胁,并且准确的了解威胁的影响范围,从而快速和准确的清除威胁,提高了网络的安全性。
本发明第一方面提供一种网络安全应急响应方法,应用于网络安全应急响应系统,所述网络安全应急响应系统包括应急响应平台及终端,所述终端与所述应急响应平台连接,所述网络安全应急响应方法包括:
所述应急响应平台接收安全事件;
所述应急响应平台根据所述安全事件得到相关事件信息;
所述应急响应平台根据所述相关事件信息从所述终端中确定目标终端;
所述应急响应平台生成安全策略指令,并将所述安全策略指令发送至所述目标终端,以使得所述目标终端根据所述安全策略指令清除所述相关事件信息的威胁。
结合本发明第一方面,本发明第一方面第一实施方式中,所述应急响应平台根据所述安全事件得到相关事件信息包括:
所述应急响应平台根据所述安全事件得到事件特征;
所述应急响应平台根据所述事件特征进行关联分析,得到相关事件信息。
结合本发明第一方面第一实施方式,本发明第一方面第二实施方式中,所述应急响应平台根据所述事件特征进行关联分析,得到相关事件信息,包括:
所述应急响应平台获取威胁情报信息;
所述应急响应平台根据所述事件特征及所述威胁情报信息进行分析,得到所述安全事件的相关事件信息。
结合本发明第一方面、第一方面第一实施方式或第一方面第二实施方式,本发明第一方面第三实施方式中,所述应急响应平台根据所述相关事件信息从所述终端中确定目标终端,包括:
所述应急响应平台根据所述相关事件信息生成查询指令;
所述应急响应平台根据所述查询指令查询所述终端中与所述相关事件信息有关联的目标终端。
结合本发明第一方面第三实施方式,本发明第一方面第四实施方式中,所述应急响应平台生成安全策略指令,并将所述安全策略指令发送至所述目标终端,包括:
所述应急响应平台根据所述相关事件信息制定相应的安全策略;
所述应急响应平台根据所述安全策略生成安全策略指令;
所述应急响应平台将所述安全策略指令发送至所述目标终端,以使得所述目标终端根据所述安全策略指令清除所述相关事件信息的威胁。
本发明第二方面提供一种应急响应平台,应用于网络安全应急响应系统,所述网络安全应急响应系统包括应急响应平台及终端,所述终端与所述应急响应平台连接,所述终端至少为一个,所述应急响应平台包括:
事件接口,用于接收安全事件;
事件信息获取模块,用于根据所述安全事件得到相关事件信息;
确定模块,用于根据所述相关事件信息从所述终端中确定目标终端;
执行模块,用于生成安全策略指令,并将所述安全策略指令发送至所述目标终端,以使得所述目标终端根据所述安全策略指令清除所述相关事件信息的威胁。
结合本发明第二方面,本发明第二方面第一实施方式中,所述事件信息获取模块包括:事件特征提取单元和关联分析单元;
所述事件特征提取单元,用于根据所述安全事件得到事件特征;
所述关联分析单元,用于根据所述事件特征进行关联分析,得到相关事件信息。
结合本发明第二方面第一实施方式,本发明第二方面第二实施方式中,所述关联分析单元包括:获取子单元和分析子单元;
所述获取子单元,用于获取威胁情报信息;
所述分析子单元,用于根据所述事件特征及所述威胁情报信息进行分析,得到所述安全事件的相关事件信息。
结合本发明第二方面、第二方面第一实施方式或第二方面第二实施方式,本发明第二方面第三实施方式中,所述确定模块包括:查询指令生成单元及查询单元;
所述查询指令生成单元,用于根据所述相关事件信息生成查询指令;
所述查询单元,用于根据所述查询指令查询所述终端中与所述相关事件信息有关联的目标终端。
结合本发明第二方面第三实施方式,本发明第二方面第四实施方式中,所述执行模块包括:安全策略单元、指令单元及发送单元;
所述安全策略单元,用于根据所述相关事件信息制定相应的安全策略;
所述指令单元,用于根据所述安全策略生成安全策略指令;
所述发送单元,用于将所述安全策略指令发送至所述目标终端,以使得所述目标终端根据所述安全策略指令清除所述相关事件信息的威胁。
综上所述,本发明实施例具有以下优点:
应急响应平台接收安全事件,根据安全事件得到相关事件信息,根据相关事件信息从终端中确定目标终端,生成安全策略指令,并将安全策略指令发送至目标终端,以使得目标终端根据安全策略指令清除相关事件信息的威胁,与现有技术相比,应急响应平台能够根据安全事件及时发现安全事件的相关事件信息的威胁,并且准确的了解这些威胁的影响范围,从而快速和准确的清除这些威胁,提高了网络的安全性。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明企业网络系统的结构示意图;
图2为本发明实施例中网络安全应急响应方法的一个实施例示意图;
图3为本发明实施例中网络安全应急响应方法的另一个实施例示意图;
图4为本发明实施例中应急响应平台的一个实施例示意图;
图5为本发明实施例中应急响应平台的另一个实施例示意图。
具体实施方式
本发明提供了一种网络安全应急响应方法及应急响应平台,用于应急响应平台根据安全事件得到相关事件信息,确定受相关事件信息影响的终端,并清除相关事件信息的威胁,使得应急响应平台能够及时发现威胁,并且准确的了解威胁的影响范围,从而快速和准确的清除威胁,提高了网络的安全性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明主要应用于互联网中,以企业和事业单位的企业网络系统进行说明,企业网络系统的结构如图1所示,拥有N个终端,N为大于1的正整数,终端与网络系统和应急响应平台是必须相连的,并且有部分或者全部的终端是与外部网络连接的,与外部网络连接的终端虽然受到网络安全措施(例如,安装的防火墙或杀毒软件等)的保护,但是新的攻击方式和漏洞利用手段的变化是非常之快的,终端仍然存在被入侵的风险。
因此,在企业网络系统中建立一个网络安全应急响应系统,网络安全应急响应系统包括应急响应平台及多个终端,终端可以是移动设备(如手机和平板电脑等)、计算机、服务器或网关等。
下面通过实施例对网络安全应急响应方法进行详细说明。
请参阅图2,本发明实施例中网络安全应急响应方法的一个实施例包括:
201、应急响应平台接收安全事件;
本实施例中,用户在使用终端时发现安全事件,例如,终端存储中的数据泄露或者删除等威胁,将该安全事件上报应急响应平台,或者,外部网络或企业网络中出现了威胁性较大的安全事件时,将安全事件导入应急响应平台,应急响应平台接收到安全事件。
202、应急响应平台根据安全事件得到相关事件信息;
本实施例中,应急响应平台根据该安全事件进行关联扩展,得到相关事件信息,意图将与该安全事件相关的威胁都寻找出来,例如,病毒A变异为病毒B之后,还是会具有某种共性(例如运行方式等等),利用这种共性,就能通过病毒A找到已经或者还未造成威胁的病毒B。
203、应急响应平台根据相关事件信息从终端中确定目标终端;
本实施例中,应急响应平台得到相关事件信息之后,根据相关事件信息确定终端中的目标终端,例如,检测终端1,如果终端1中有步骤202中的病毒B,则确定终端1是目标终端。
204、应急响应平台生成安全策略指令,并将安全策略指令发送至目标终端。
本实施例中,应急响应平台需要清除目标终端受到的威胁,根据相关事件信息生成安全策略指令,将安全策略指令发送到目标终端,使得目标终端能够根据应用响应平台发送的安全策略指令清除相关事件信息的威胁。
本发明实施例中,应急响应平台接收安全事件,根据安全事件得到相关事件信息,根据相关事件信息从终端中确定目标终端,生成安全策略指令,并将安全策略指令发送至目标终端,以使得目标终端根据安全策略指令清除相关事件信息的威胁,与现有技术相比,应急响应平台能够根据安全事件及时发现与安全事件相关的相关事件信息的威胁,并且准确的了解这些威胁的影响范围,从而快速和准确的清除这些威胁,提高了网络的安全性。
下面通过实施例对应用响应平台是如何得到相关事件信息及如何确定目标终端的步骤进行详细说明。
请参阅图3,本发明实施例中网络安全应急响应方法的一个实施例包括:
301、应急响应平台接收安全事件;
详情请参考步骤201。
302、应急响应平台根据安全事件得到事件特征;
本实施例中,应急响应平台对该安全事件进行解析,得到事件特征,具体的:
假设安全事件为恶意软件,通过对恶意软件的解析,可以得到恶意软件的MD5值、运行方式或者软件类型等软件特征,将这些软件特征作为事件特征,MD5的全称是Message-Digest Algorithm 5,MD5值常用于加密或者防止文件被盗,通过恶意软件的MD5值可以追溯到生成该恶意软件的终端信息;
假设安全事件为钓鱼邮件,那么钓鱼邮件内容中的的关键字和链接等,以及钓鱼邮件的发件人邮箱和发件人IP地址等,都可以作为事件特征;
假设安全事件为非法帐号入侵,那么非法帐号的IP地址就是事件特征;
以上三种只是举例说明,实际情况中还可能有其他的安全事件,具体不做限定。
303、应急响应平台根据事件特征进行关联分析,得到相关事件信息;
本实施例中,得到安全事件的事件特征之后,根据事件特征得到相关事件信息可以分为两种方式,一种是通过沙盒运行恶意软件,另一种是通过威胁情报信息关联分析,具体如下:
(1)、通过沙盒运行恶意软件得到相关事件信息;
如果事件特征是恶意软件的运行方式,那么通过沙盒将恶意软件进行运行,得到恶意软件运行之后的相关方式(即相关事件信息),如创建的进程、新建的配置文件、注入的已知进程、对注册表做的修改以及跟C&C服务器的通讯方式等;
(2)、通过威胁情报信息关联分析得到相关事件信息;
应急响应平台获取威胁情报信息,威胁情报信息可以是外部网络的软件或者病毒库等,也可以是企业网络系统内部的杀毒软件的病毒数据库等,因此威胁情报信息的信息量是非常庞大的,需要包含所有已经产生威胁的安全事件的汇总;
如果事件特征是恶意软件的MD5值,通过VirusTotal(一个提供免费的可疑文件分析服务的网站)查询恶意文件的MD5值或者上传恶意文件进行分析,得到跟恶意软件相关联的相关事件信息,如C&C服务器统一资源定位器(Uniform Resoure Locator,URL)、域名系统(Domain Name System,DNS)或IP地址等;
如果事件特征是恶意软件的软件类型,通过威胁情报信息找出最近某段时间内与恶意软件同类型的恶意软件家族样本(即相关事件信息),以及相关的通讯方式信息和运行方式信息,进一步丰富相关事件信息;
如果事件特征是钓鱼邮件的发件人邮箱或发件人IP地址,利用威胁情报信息,通过发送者的邮箱或发送者的IP地址,找出最近某段时间内的其它钓鱼邮件(即相关事件信息),以及查询这些相关的钓鱼邮件的关键字和链接等内容,进一步丰富相关事件信息;
如果事件特征是非法帐号入侵的IP地址,查询威胁情报信息得到关于该IP地址的相关事件信息,如历史的入侵行为、对应的攻击者、攻击者还使用了哪些IP地址及攻击者常用的攻击方式等;
需要说明的是,以上两种根据事件特征得到相关事件信息的方式只是举例说明,实际情况中还有可能其他的方式,具体不做限定。
304、应急响应平台根据相关事件信息生成查询指令;
本实施例中,在获得相关事件信息后,根据相关事件信息生成查询指令,查询指令的作用是,对查询网络安全应用响应系统中下一代防火墙、入侵防御系统(IntrusionPrevention System,IPS)及终端的日志进行分析,找到多个终端中有哪一个终端与相关事件信息有关联。
305、应急响应平台根据查询指令查询终端中与相关事件信息有关联的目标终端;
本实施例中,应用响应平台生成查询指令后,将查询指令下发到下一代防火墙、IPS或者终端等,对下一代防火墙、IPS或者终端的日志进行分析,找出与相关事件信息有关联的目标终端,目标终端即是已经或者将要被入侵的终端,例如,分析日志包括:
如果相关事件信息为URL、DNS或者IP地址,通过分析日志找出访问了URL、DNS或者IP地址的终端;
如果相关事件信息为特定进程和配置文件,通过分析日志找出存在特定进程和配置文件的终端;
如果相关事件信息为钓鱼邮件发送人的邮箱,通过分析日志找出接收了钓鱼邮件发送者邮件的终端;
如果相关事件信息为非法帐号入侵的IP地址,通过分析日志找出被该IP地址登录过的终端;
以上找到的终端就是目标终端,这些目标终端可能已经被入侵但是未被用户、IPS或者下一代防火墙发现。
306、应急响应平台根据相关事件信息制定相应的安全策略;
本实施例中,应急响应平台确定目标终端后,需要清除目标终端所受到的威胁,就需要根据相关事件信息制定相应的安全策略,例如,目标终端是计算机,针对恶意软件的安全策略可以是删除恶意文件;目标终端是网关,针对非法帐号入侵的安全策略可以是建立非法帐号入侵的IP地址的IP黑名单等等,在实际实施时,安全策略是根据相关事件信息和各方面的情况制定的,可以是多种方式,具体不做限定。
307、应急响应平台根据安全策略生成安全策略指令;
本实施例中,应急响应平台制定了安全策略之后,根据安全策略生成安全策略指令,安全策略指令是用于指示终端执行某些动作,用以清除威胁。
308、应急响应平台将安全策略指令发送至目标终端。
本实施例中,应急响应平台将安全策略指令发送至目标终端,目标终端能够根据应用响应平台发送的安全策略指令清除相关事件信息的威胁,例如,目标终端是计算机,根据安全策略指令删除恶意文件;目标终端是网关,根据安全策略指令建立非法帐号入侵的IP地址的IP黑名单等等,或者,增加一条防护策略,应对后续同样的威胁,如基于威胁文件的MD5值,使得下次检测到同样MD5值的文件时,则直接拦截,防止恶意软件的入侵。
本发明实施例中,对应用响应平台是如何得到相关事件信息、如何确定目标终端的步骤进行详细说明,使得方案更加详细,更具有可实施性。
上述实施例中介绍了本发明实施例的网络安全应急响应方法,下面通过实施例对应急响应平台进行详细说明。
请参阅图4,本发明实施例提供一种应急响应平台,包括:
事件接口401,用于接收安全事件;
事件信息获取模块402,用于根据安全事件得到相关事件信息;
确定模块403,用于根据相关事件信息从终端中确定目标终端;
执行模块404,用于生成安全策略指令,并将安全策略指令发送至目标终端,以使得目标终端根据安全策略指令清除相关事件信息的威胁。
本发明实施例中,事件接口401接收安全事件,事件信息获取模块402根据安全事件得到相关事件信息,确定模块403根据相关事件信息从终端中确定目标终端,执行模块404生成安全策略指令,并将安全策略指令发送至目标终端,以使得目标终端根据安全策略指令清除相关事件信息的威胁,与现有技术相比,应急响应平台能够根据安全事件及时发现与安全事件相关的相关事件信息的威胁,并且准确的了解这些威胁的影响范围,从而快速和准确的清除这些威胁,提高了网络的安全性。
可选的,如图5所示,本发明的一些实施例中,事件信息获取模块402包括:事件特征提取单元501和关联分析单元502;
事件特征提取单元501,用于根据安全事件得到事件特征;
关联分析单元502,用于根据事件特征进行关联分析,得到相关事件信息。
本发明实施例中,事件特征提取单元501根据安全事件提取事件特征,关联分析单元502再根据事件特征提取单元501得到的事件特征进行关联分析得到相关事件信息,对于事件信息获取模块402如何获得相关事件信息的细化,使得方案更加详细。
可选的,如图5所示,本发明的一些实施例中,关联分析单元502包括:获取子单元5021和分析子单元5022;
获取子单元5021,用于获取威胁情报信息;
分析子单元5022,用于根据事件特征及威胁情报信息进行分析,得到安全事件的相关事件信息。
本发明实施例中,对于关联分析单元502是如何进行关联分析得到相关事件信息的进行细化,使得方案更加具体。
可选的,如图5所示,本发明的一些实施例中,确定模块403包括:查询指令生成单元503及查询单元504;
查询指令生成单元503,用于根据相关事件信息生成查询指令;
查询单元504,用于根据查询指令查询终端中与相关事件信息有关联的目标终端。
本发明实施例中,对确定模块403如何确定目标终端进行细化,使得方案更加详细。
可选的,如图5所示,本发明的一些实施例中,执行模块404包括:安全策略单元505、指令单元506及发送单元507;
安全策略单元505,用于根据相关事件信息制定相应的安全策略;
指令单元506,用于根据安全策略生成安全策略指令;
发送单元507,用于将安全策略指令发送至目标终端,以使得目标终端根据安全策略指令清除相关事件信息的威胁。
本发明实施例中,对执行模块404进行细化,说明了安全策略单元505根据相关事件信息制定相应的安全策略,指令单元506根据安全策略生成安全策略指令,发送单元507将安全策略指令发送至目标终端,使得方案更加具有可实施性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种网络安全应急响应方法,其特征在于,应用于网络安全应急响应系统,所述网络安全应急响应系统包括应急响应平台及终端,所述终端与所述应急响应平台连接,所述终端至少为一个,所述网络安全应急响应方法包括:
所述应急响应平台接收安全事件;
所述应急响应平台根据所述安全事件得到相关事件信息;
所述应急响应平台根据所述相关事件信息从所述终端中确定目标终端;
所述应急响应平台生成安全策略指令,并将所述安全策略指令发送至所述目标终端,以使得所述目标终端根据所述安全策略指令清除所述相关事件信息的威胁。
2.根据权利要求1所述的网络安全应急响应方法,其特征在于,所述应急响应平台根据所述安全事件得到相关事件信息包括:
所述应急响应平台根据所述安全事件得到事件特征;
所述应急响应平台根据所述事件特征进行关联分析,得到相关事件信息。
3.根据权利要求2所述的网络安全应急响应方法,其特征在于,所述应急响应平台根据所述事件特征进行关联分析,得到相关事件信息,包括:
所述应急响应平台获取威胁情报信息;
所述应急响应平台根据所述事件特征及所述威胁情报信息进行分析,得到所述安全事件的相关事件信息。
4.根据权利要求1至3中任一项所述的网络安全应急响应方法,其特征在于,所述应急响应平台根据所述相关事件信息从所述终端中确定目标终端,包括:
所述应急响应平台根据所述相关事件信息生成查询指令;
所述应急响应平台根据所述查询指令查询所述终端中与所述相关事件信息有关联的目标终端。
5.根据权利要求4所述的网络安全应急响应方法,其特征在于,所述应急响应平台生成安全策略指令,并将所述安全策略指令发送至所述目标终端,包括:
所述应急响应平台根据所述相关事件信息制定相应的安全策略;
所述应急响应平台根据所述安全策略生成安全策略指令;
所述应急响应平台将所述安全策略指令发送至所述目标终端,以使得所述目标终端根据所述安全策略指令清除所述相关事件信息的威胁。
6.一种应急响应平台,其特征在于,应用于网络安全应急响应系统,所述网络安全应急响应系统包括应急响应平台及终端,所述终端与所述应急响应平台连接,所述终端至少为一个,所述应急响应平台包括:
事件接口,用于接收安全事件;
事件信息获取模块,用于根据所述安全事件得到相关事件信息;
确定模块,用于根据所述相关事件信息从所述终端中确定目标终端;
执行模块,用于生成安全策略指令,并将所述安全策略指令发送至所述目标终端,以使得所述目标终端根据所述安全策略指令清除所述相关事件信息的威胁。
7.根据权利要求6所述的应急响应平台,其特征在于,所述事件信息获取模块包括:事件特征提取单元和关联分析单元;
所述事件特征提取单元,用于根据所述安全事件得到事件特征;
所述关联分析单元,用于根据所述事件特征进行关联分析,得到相关事件信息。
8.根据权利要求7所述的应急响应平台,其特征在于,所述关联分析单元包括:获取子单元和分析子单元;
所述获取子单元,用于获取威胁情报信息;
所述分析子单元,用于根据所述事件特征及所述威胁情报信息进行分析,得到所述安全事件的相关事件信息。
9.根据权利要求6至8中任一项所述的应急响应平台,其特征在于,所述确定模块包括:查询指令生成单元及查询单元;
所述查询指令生成单元,用于根据所述相关事件信息生成查询指令;
所述查询单元,用于根据所述查询指令查询所述终端中与所述相关事件信息有关联的目标终端。
10.根据权利要求9所述的应急响应平台,其特征在于,所述执行模块包括:安全策略单元、指令单元及发送单元;
所述安全策略单元,用于根据所述相关事件信息制定相应的安全策略;
所述指令单元,用于根据所述安全策略生成安全策略指令;
所述发送单元,用于将所述安全策略指令发送至所述目标终端,以使得所述目标终端根据所述安全策略指令清除所述相关事件信息的威胁。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610674430.0A CN107770125A (zh) | 2016-08-16 | 2016-08-16 | 一种网络安全应急响应方法及应急响应平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610674430.0A CN107770125A (zh) | 2016-08-16 | 2016-08-16 | 一种网络安全应急响应方法及应急响应平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107770125A true CN107770125A (zh) | 2018-03-06 |
Family
ID=61259594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610674430.0A Pending CN107770125A (zh) | 2016-08-16 | 2016-08-16 | 一种网络安全应急响应方法及应急响应平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107770125A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109525597A (zh) * | 2018-12-26 | 2019-03-26 | 安徽网华信息科技有限公司 | 一种可远程协助操作的网络安全应急处置系统 |
| CN110968864A (zh) * | 2019-11-26 | 2020-04-07 | 西安四叶草信息技术有限公司 | 安全事件的应急响应处理方法及装置 |
| CN111159520A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 样本鉴定方法、装置及安全应急响应系统 |
| CN111224991A (zh) * | 2020-01-10 | 2020-06-02 | 上海雾帜智能科技有限公司 | 网络安全应急响应方法及响应系统 |
| CN112003853A (zh) * | 2020-08-19 | 2020-11-27 | 内蒙古工业大学 | 一种支持ipv6的网络安全应急响应系统 |
| CN112383411A (zh) * | 2020-10-22 | 2021-02-19 | 杭州安恒信息安全技术有限公司 | 网络安全预警通报方法、电子装置和存储介质 |
| CN112579163A (zh) * | 2020-11-27 | 2021-03-30 | 中国大唐集团科学技术研究院有限公司 | 一种火电厂工控系统网络安全应急响应实现系统 |
| CN113179245A (zh) * | 2021-03-19 | 2021-07-27 | 北京双湃智安科技有限公司 | 网络安全应急响应方法、系统、计算机设备及存储介质 |
| CN117201190A (zh) * | 2023-11-03 | 2023-12-08 | 北京微步在线科技有限公司 | 一种邮件攻击检测方法、装置、电子设备及储存介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859178A (zh) * | 2005-11-07 | 2006-11-08 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
| CN101520831A (zh) * | 2009-03-27 | 2009-09-02 | 深圳市永达电子有限公司 | 安全终端系统及终端安全方法 |
| CN102413011A (zh) * | 2011-11-18 | 2012-04-11 | 奇智软件(北京)有限公司 | 一种局域网安全评估的方法和系统 |
| CN103198259A (zh) * | 2012-01-09 | 2013-07-10 | 国际商业机器公司 | 用于安全策略管理的方法和装置 |
| CN103632097A (zh) * | 2013-12-13 | 2014-03-12 | 扬州永信计算机有限公司 | 便携式移动终端安全威胁处理方法 |
| WO2015127475A1 (en) * | 2014-02-24 | 2015-08-27 | Cyphort, Inc. | System and method for verifying and detecting malware |
| CN104901822A (zh) * | 2014-03-04 | 2015-09-09 | 北京奇虎科技有限公司 | 一种应用程序传播过程的跟踪方法和装置 |
-
2016
- 2016-08-16 CN CN201610674430.0A patent/CN107770125A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859178A (zh) * | 2005-11-07 | 2006-11-08 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
| CN101520831A (zh) * | 2009-03-27 | 2009-09-02 | 深圳市永达电子有限公司 | 安全终端系统及终端安全方法 |
| CN102413011A (zh) * | 2011-11-18 | 2012-04-11 | 奇智软件(北京)有限公司 | 一种局域网安全评估的方法和系统 |
| CN103198259A (zh) * | 2012-01-09 | 2013-07-10 | 国际商业机器公司 | 用于安全策略管理的方法和装置 |
| CN103632097A (zh) * | 2013-12-13 | 2014-03-12 | 扬州永信计算机有限公司 | 便携式移动终端安全威胁处理方法 |
| WO2015127475A1 (en) * | 2014-02-24 | 2015-08-27 | Cyphort, Inc. | System and method for verifying and detecting malware |
| CN104901822A (zh) * | 2014-03-04 | 2015-09-09 | 北京奇虎科技有限公司 | 一种应用程序传播过程的跟踪方法和装置 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109525597A (zh) * | 2018-12-26 | 2019-03-26 | 安徽网华信息科技有限公司 | 一种可远程协助操作的网络安全应急处置系统 |
| CN110968864A (zh) * | 2019-11-26 | 2020-04-07 | 西安四叶草信息技术有限公司 | 安全事件的应急响应处理方法及装置 |
| CN110968864B (zh) * | 2019-11-26 | 2023-06-09 | 西安四叶草信息技术有限公司 | 安全事件的应急响应处理方法及装置 |
| CN111159520A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 样本鉴定方法、装置及安全应急响应系统 |
| CN111159520B (zh) * | 2019-12-31 | 2023-11-10 | 奇安信科技集团股份有限公司 | 样本鉴定方法、装置及安全应急响应系统 |
| CN111224991B (zh) * | 2020-01-10 | 2023-03-31 | 上海雾帜智能科技有限公司 | 网络安全应急响应方法及响应系统 |
| CN111224991A (zh) * | 2020-01-10 | 2020-06-02 | 上海雾帜智能科技有限公司 | 网络安全应急响应方法及响应系统 |
| CN112003853B (zh) * | 2020-08-19 | 2023-04-18 | 内蒙古工业大学 | 一种支持ipv6的网络安全应急响应系统 |
| CN112003853A (zh) * | 2020-08-19 | 2020-11-27 | 内蒙古工业大学 | 一种支持ipv6的网络安全应急响应系统 |
| CN112383411A (zh) * | 2020-10-22 | 2021-02-19 | 杭州安恒信息安全技术有限公司 | 网络安全预警通报方法、电子装置和存储介质 |
| CN112579163A (zh) * | 2020-11-27 | 2021-03-30 | 中国大唐集团科学技术研究院有限公司 | 一种火电厂工控系统网络安全应急响应实现系统 |
| CN113179245A (zh) * | 2021-03-19 | 2021-07-27 | 北京双湃智安科技有限公司 | 网络安全应急响应方法、系统、计算机设备及存储介质 |
| CN113179245B (zh) * | 2021-03-19 | 2023-01-13 | 北京双湃智安科技有限公司 | 网络安全应急响应方法、系统、计算机设备及存储介质 |
| CN117201190A (zh) * | 2023-11-03 | 2023-12-08 | 北京微步在线科技有限公司 | 一种邮件攻击检测方法、装置、电子设备及储存介质 |
| CN117201190B (zh) * | 2023-11-03 | 2024-02-02 | 北京微步在线科技有限公司 | 一种邮件攻击检测方法、装置、电子设备及储存介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| US10523609B1 (en) | Multi-vector malware detection and analysis | |
| US11122061B2 (en) | Method and server for determining malicious files in network traffic | |
| Voris et al. | Bait and snitch: Defending computer systems with decoys | |
| KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US9311476B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN113422771A (zh) | 威胁预警方法和系统 | |
| EP3542508A1 (en) | Security systems and methods using an automated bot with a natural language interface for improving response times for security alert response and mediation | |
| US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN101901232A (zh) | 用于处理网页数据的方法和装置 | |
| US20230179631A1 (en) | System and method for detection of malicious interactions in a computer network | |
| US20210021637A1 (en) | Method and system for detecting and mitigating network breaches | |
| Alzahrani et al. | Real-time signature-based detection approach for sms botnet | |
| US9275226B1 (en) | Systems and methods for detecting selective malware attacks | |
| GB2505398A (en) | Social network protection system | |
| Choi et al. | Ontology based APT attack behavior analysis in cloud computing | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| Moon et al. | Intelligent security model of smart phone based on human behavior in mobile cloud computing | |
| US20220417262A1 (en) | Messaging server credentials exfiltration based malware threat assessment and mitigation | |
| CN107231365A (zh) | 一种取证的方法及服务器以及防火墙 | |
| CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
| US11934515B2 (en) | Malware deterrence using computer environment indicators |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180306 |
|
| RJ01 | Rejection of invention patent application after publication |