CN111224991B

CN111224991B - 网络安全应急响应方法及响应系统

Info

Publication number: CN111224991B
Application number: CN202010024627.6A
Authority: CN
Inventors: 傅奎; 王宏飞; 张平; 吴漂玉
Original assignee: Shanghai Wuqi Intelligent Technology Co ltd
Current assignee: Shanghai Wuqi Intelligent Technology Co ltd
Priority date: 2020-01-10
Filing date: 2020-01-10
Publication date: 2023-03-31
Anticipated expiration: 2040-01-10
Also published as: CN111224991A

Abstract

本申请提供了一种网络安全应急响应方法及响应系统，网络安全应急响应方法包括以下步骤：获取原始事件信息；根据原始事件的需要，设置至少一个安全响应节点，安全响应节点具有杀毒、补丁更新、隔离、资产管理或消息通知功能；各安全响应节点并行或串行执行其功能；对原始事件信息进行格式化处理，得到结构化输入数据；将得到的结构化输入数据作为安全响应节点的输入，当各安全响应节点串行执行相应功能时，上一级安全响应节点的输出作为当前安全响应节点的输入，用于启动当前安全响应节点，以使各安全响应节点按照预设的顺序顺次执行，自动化地完成安全事件响应。本申请在没有人员干预的情况下能够稳定执行应急响应流程，大幅提供生产力。

Description

网络安全应急响应方法及响应系统

技术领域

本申请属于网络安全技术领域，具体涉及一种网络安全应急响应方法及响应系统。

背景技术

众所周知，在网络安全建设过程中应急响应是不可或缺的重要流程。大量企业和安全公司曾创建过不同类型的应急响应流程，确保组织在发生紧急安全事件时能够积极有序地正确应对，以减少事件带来的损失。然而，随着近几年网络安全态势的严峻化，安全事件频繁爆发。同时，企业组织架构和网络环境日益复杂，过去那些仅仅停留在过程设计层面的应急响应策略已经落后。

本申请的发明人在研发过程中发现：传统安全事件应急响应流程主要停留在流程图层面，当安全事件发生时，相关人员按照预先制定的应急响应流程图开展响应工作；例如，相关人员通常按照以下流程顺次完成事件响应工作：安全事件发生、判定类型、启动响应流程、通知责任人、识别攻击影响、执行响应策略、封禁攻击IP、对被攻击对象作风险评估和漏洞修复、完成事件响应；表面上看这种流程安排得非常有序，每个环节都有把控，能够应对突发的安全事件；但事实上，在真实的安全事件响应过程中，这种流程几乎很难执行，其主要缺陷是：各环节只有“要做什么”，缺少具体的“要怎么做”。

以“封禁一个网络攻击者IP地址”操作为例，现有流程中既不会提到在什么设备上封禁，也很少提在设备上怎么封禁。即使都有提到，但当登录设备时还面临“账号密码认证”、“产品使用熟悉度”、“封禁动作本身的操作时间要求”等问题。这些看似简单的问题，实则是应急响应最后一公里能否执行到位的决定性环节。衡量一个组织的应急响应水平，除了看是否有完备的流程，还要看在安全事件真正发生时组织能否稳定、有序且快速地执行流程。因此，传统应急响应流程的顺利执行严重依赖于人员对应急响应流程的熟悉程度。

发明内容

为至少在一定程度上克服相关技术中存在的问题，本申请提供了一种网络安全应急响应方法及响应系统。

根据本申请实施例的第一方面，本申请提供了一种网络安全应急响应方法，其包括以下步骤：

获取原始事件信息；

根据原始事件的需要，设置至少一个安全响应节点，安全响应节点具有杀毒、补丁更新、隔离、资产管理或消息通知功能；各安全响应节点并行或串行执行其功能；

对原始事件信息进行格式化处理，得到结构化输入数据；

将得到的结构化输入数据作为安全响应节点的输入，当各安全响应节点串行执行相应功能时，上一级安全响应节点的输出作为当前安全响应节点的输入，用于启动当前安全响应节点，以使各安全响应节点按照预设的顺序顺次执行，自动化地完成安全事件响应。

上述网络安全应急响应方法中，所述各安全响应节点的输入包括执行对象和执行参数，其输出包括状态码和执行结果。

上述网络安全应急响应方法中，所述安全响应节点设置有四个，各所述安全响应节点对应设置有杀毒软件、补丁管理服务器、防火墙和资产管理系统。

进一步地，各所述安全响应节点并行执行各自功能时，对原始事件信息进行格式化处理，得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据；将各安全响应节点的结构化输入数据分别输入各个安全响应节点，各安全响应节点并行执行。

更进一步地，所述资产管理系统安全响应节点的结构化输出数据作为短信网关的输入，由所述短信网关向资产所有人发送提醒信息。

进一步地，各所述安全响应节点串行执行各自功能时，对原始事件信息进行格式化处理，得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据；杀毒软件安全响应节点的输出用于启动补丁管理服务器安全响应节点，补丁管理服务器安全响应节点的输出用于启动防火墙安全响应节点，防火墙安全响应节点的输出用于启动资产管理系统安全响应节点。

根据本申请实施例的第二方面，本申请还提供了一种网络安全应急响应系统，其包括应急响应服务器以及与所述应急响应服务器连接的杀毒软件、补丁管理服务器、防火墙、资产管理系统和短信网关；

所述应急响应服务器用于接收原始事件信息并对原始事件信息进行格式化；根据原始事件的需要，所述应急响应服务器将格式化得到的结构化输入数据发送给所述杀毒软件、补丁管理服务器、防火墙或资产管理系统；所述杀毒软件、补丁管理服务器、防火墙或资产管理系统并行或串行执行各自的功能。

上述网络安全应急响应系统中，当所述杀毒软件、补丁管理服务器、防火墙或资产管理系统并行执行各自的功能时，所述杀毒软件根据输入的终端信息和动作内容进行杀毒，执行完毕，输出完成杀毒或查杀失败后结束；所述补丁管理服务器根据输入的终端信息和动作内容进行补丁更新，执行完毕，输出完成更新或更新失败后结束；所述防火墙根据输入的终端信息和动作内容进行隔离，执行完毕，输出完成隔离或隔离失败后结束；所述资产管理系统根据输入的终端信息和动作内容查收资产所有人，输出资产所有人的姓名和电话号码；短信网关根据输入的电话号码和动作内容向资产所有人发送短信通知。

上述网络安全应急响应系统中，当所述杀毒软件、补丁管理服务器、防火墙和资产管理系统串行执行各自的功能时，所述杀毒软件、补丁管理服务器、防火墙和资产管理系统作为安全响应节点，相邻上一安全响应节点输出数据后，当前安全响应节点开始执行；安全响应节点通过各自的输出响应连接成自动化的应急响应流程

根据本申请的上述具体实施方式可知，至少具有以下有益效果：本申请通过结构化数据改进应急响应流程，加速安全事件的处置，提升安全威胁处置的能力；采用结构化数据作为各安全响应节点的输入和输出，上下游安全响应节点之间可以直接对话交互，不需要人工翻译或转换；整个安全事件可以从流程技术层面直接串联，无需人为干预；这将实现安全事件从产生到响应以及结束，可以实现无人参与，减少人的因素在过程中的干扰。

本申请可以用于网络安全事件应急响应，也可用于运维、风控和工业自动化领域的各类系统交互流程设计与编排中。

应了解的是，上述一般描述及以下具体实施方式仅为示例性及阐释性的，其并不能限制本申请所欲主张的范围。

附图说明

下面的所附附图是本申请的说明书的一部分，其示出了本申请的实施例，所附附图与说明书的描述一起用来说明本申请的原理。

图1为本申请具体实施方式提供的一种网络安全应急响应方法的流程图。

图2为本申请具体实施方式提供的一种网络安全应急响应方法中四个安全响应节点并行执行时的流程图。

图3为本申请具体实施方式提供的一种网络安全应急响应方法中四个安全响应节点串行执行时的流程图。

图4为本申请具体实施方式提供的一种网络安全应急响应系统的结构示意图。

附图标记说明：

1、应急响应服务器；2、杀毒软件；3、补丁管理服务器；4、防火墙；5、资产管理系统；6、短信网关。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚明白，下面将以附图及详细叙述清楚说明本申请所揭示内容的精神，任何所属技术领域技术人员在了解本申请内容的实施例后，当可由本申请内容所教示的技术，加以改变及修饰，其并不脱离本申请内容的精神与范围。

本申请的示意性实施例及其说明用于解释本申请，但并不作为对本申请的限定。另外，在附图及实施方式中所使用相同或类似标号的元件/构件是用来代表相同或类似部分。

关于本文中所使用的“第一”、“第二”、…等，并非特别指称次序或顺位的意思，也非用以限定本申请，其仅为了区别以相同技术用语描述的元件或操作。

关于本文中所使用的方向用语，例如：上、下、左、右、前或后等，仅是参考附图的方向。因此，使用的方向用语是用来说明并非用来限制本创作。

关于本文中所使用的“包含”、“包括”、“具有”、“含有”等等，均为开放性的用语，即意指包含但不限于。

关于本文中所使用的“及/或”，包括所述事物的任一或全部组合。

关于本文中的“多个”包括“两个”及“两个以上”；关于本文中的“多组”包括“两组”及“两组以上”。

某些用以描述本申请的用词将于下或在此说明书的别处讨论，以提供本领域技术人员在有关本申请的描述上额外的引导。

本申请发明人在研发过程中发现，为满足加速威胁响应的需求，做到应急响应执行过程无人参与，需要安全产品或设备之间能够进行信息交互。而要实现信息交互，安全产品或设备之间就得有共同的交互语言。结构化数据就是设备与设备之间的交互语言。因此，基于结构化数据，本申请提供了一种网络安全应急响应方法及响应系统。当安全事件发生时，网络安全应急响应方法的各个步骤能够按照预设的顺序自动执行，无需人工干预，自动化地实现安全事件的响应。

如图1所示，本申请实施例提供的网络安全应急响应方法包括以下步骤：

S1、获取原始事件信息。

其中，原始事件信息是数字化的，可以为一串文本，也可以为结构化数据。例如，一串文本可以为“服务器受到黑客IP地址192.168.2.250的web攻击”，结构化数据可以为“源IP：192.168.2.250；事件类型：Web攻击”。

原始事件信息获取的方式可以为从其他网络设备获取，也可以是通过操作界面获取手动输入的一个事件。

原始事件通常为信息安全工程师每天要处理的各类安全事件，例如：企业内部某台服务器故障、企业官网正在被黑客攻击、员工个人邮箱登录失败、员工电脑中勒索病毒、公司财务系统有漏洞、HR系统发现信息泄露或者某个网站打不开等。

S2、根据原始事件的需要，设置至少一个安全响应节点，安全响应节点具有杀毒、补丁更新、隔离、资产管理或消息通知等功能。各安全响应节点并行或串行执行相应功能。

S3、对原始事件信息进行格式化处理，得到结构化输入数据。

S4、将得到的结构化输入数据作为安全响应节点的输入，当各安全响应节点串行执行相应功能时，上一级安全响应节点的输出作为当前安全响应节点的输入，用于启动当前安全响应节点，以使各安全响应节点按照预设的顺序顺次执行，自动化地完成安全事件响应。

其中，各安全响应节点的输入可以包括执行对象和执行参数，其输出可以包括状态码和执行结果。

下面以一个病毒感染事件为例，具体说明本申请实施例提供的网络安全应急响应方法的具体过程。

获取的原始事件信息为：192.168.10.100感染病毒。

根据原始事件的需要，设置四个安全响应节点，各安全响应节点对应设置有杀毒软件、补丁管理服务器、防火墙和资产管理系统。其中，这四个安全响应节点可以并行执行各自的功能，也可以串行执行各自的功能。

如图2所示，当这四个安全响应节点并行执行各自功能时，对原始事件信息进行格式化处理，得到杀毒软件安全响应节点的结构化输入数据为：

终端：192.168.10.100，

动作：全盘杀毒。

得到补丁管理服务器安全响应节点的结构化输入数据为：

终端：192.168.10.100，

动作：更新补丁。

得到防火墙安全响应节点的结构化输入数据为：

终端：192.168.10.100，

动作：执行隔离策略。

得到资产管理系统安全响应节点的结构化输入数据还可以为：

终端：192.168.10.100，

动作：查找资产所有人。

将各安全响应节点的结构化输入数据分别输入各个安全响应节点，各安全响应节点并行执行。杀毒软件安全响应节点输出完成杀毒或查杀失败，补丁管理服务器安全响应节点输出完成更新或更新失败，防火墙安全响应节点输出隔离成功或隔离失败，资产管理系统安全响应节点输出资产所有人的姓名和电话。资产管理系统安全响应节点的结构化输出数据作为短信网关的输入，输入内容可以为：电话号码和提示信息。例如，提示信息为“电脑中毒，请配合安全更新”，短信网关的输出可以为发送成功或发送失败。由短信网关向资产所有人发送提醒信息。

如图3所示，当这四个安全响应节点串行执行各自功能时，对原始事件信息进行格式化处理，得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据。

杀毒软件安全响应节点的输出用于启动补丁管理服务器安全响应节点，补丁管理服务器安全响应节点的输出用于启动防火墙安全响应节点，防火墙安全响应节点的输出用于启动资产管理系统安全响应节点。资产管理系统安全响应节点的结构化输出数据作为短信网关的输入，由短信网关向资产所有人发送提醒信息，最终由短信网关输出发送成功或发送失败后结束。

本申请具体实施方式提供的网络安全应急响应方法中，各安全响应节点上下游之间有明确的输入和输出关系，且通过结构化数据进行了非常清晰的定义。由于定义了清晰的数据结构，无论采用何种编程语言，只要能实现该输入和输出的兼容就可以实现安全响应流程的编排。同样，因为计算机系统天然就擅长处理结构化数据，安全事件响应流程可以全自动执行。

在本申请中，网络安全应急响应过程已经不再是单纯的文字描述，而是可以看得见且可以执行的结构化数据。通过对结构化数据的解析和使用，后台的防火墙、漏洞管理系统、消息通知软件可以自动开启工作，无需任何人工参与，从而实现自动化安全事件的应急响应。

图4为本申请具体实施方式提供的一种网络安全应急响应系统的结构框图。

如图4所示，网络安全应急响应系统包括应急响应服务器1以及与应急响应服务器1连接的杀毒软件2、补丁管理服务器3、防火墙4、资产管理系统5和短信网关6。其中，应急响应服务器1用于接收原始事件信息并对原始事件信息进行格式化。根据原始事件的需要，应急响应服务器1将格式化得到的结构化输入数据发送给杀毒软件2、补丁管理服务器3、防火墙4或资产管理系统5。杀毒软件2、补丁管理服务器3、防火墙4或资产管理系统5可以并行执行各自的功能，也可以串行执行各自的功能。

当杀毒软件2、补丁管理服务器3、防火墙4或资产管理系统5并行执行各自的功能时，杀毒软件2根据输入的终端信息和动作内容进行杀毒，执行完毕，输出完成杀毒或查杀失败后结束；补丁管理服务器3根据输入的终端信息和动作内容进行补丁更新，执行完毕，输出完成更新或更新失败后结束；防火墙4根据输入的终端信息和动作内容进行隔离，执行完毕，输出完成隔离或隔离失败后结束；资产管理系统5根据输入的终端信息和动作内容查收资产所有人，输出资产所有人的姓名和电话号码；短信网关6根据输入的电话号码和动作内容向资产所有人发送短信通知。

杀毒软件2、补丁管理服务器3、防火墙4和资产管理系统5按照应急响应服务器1预设的需求并行执行各自的功能。例如，当不需要进行补丁更新时，应急响应服务器1切断与补丁管理服务器3的通信链路，补丁管理服务器3不进行补丁更新。

当杀毒软件2、补丁管理服务器3、防火墙4和资产管理系统5串行执行各自的功能时，杀毒软件2、补丁管理服务器3、防火墙4和资产管理系统5作为安全响应节点，相邻上一安全响应节点输出数据后，当前安全响应节点开始执行。安全响应节点通过各自的输出响应连接成自动化的应急响应流程，当安全事件发生时，应急响应流程能够自动触发，每个安全响应节点按照编排好的顺序自动执行，无需人工干预，就能够实现自动化安全事件响应。

在上述实施例中，应急响应服务器1中存储有杀毒软件2、补丁管理服务器3、防火墙4和资产管理系统5的认证信息，例如，杀毒软件2的认证信息包括杀毒软件2所在的IP、账号和密码等信息，防火墙4的认证信息包括防火墙4所在的IP、端口号、账号和密码等信息。应急响应服务器1通过标准API(Application Programming Interface，应用程序接口)或相应的协议与杀毒软件2、补丁管理服务器3、防火墙4和资产管理系统5进行信息交互。其中，协议可以为RestfulAPI、HTTP、SSH、JDBC等协议。

由于本申请采用结构化数据作为各安全响应节点的输入和输出，因此本申请在技术层面和应用层面都具有显著的技术效果。下面就从技术层面和应用层面分别进行说明。

首先，从技术层面看，结构化的数据可以被Java/Python/C#/Perl等编程语言所解析，直接应用于各类安全事件响应脚本或工具中。上下游安全响应节点之间可以直接对话交互，不需要人工翻译或转换。另外，由于采用了结构化数据进行交互，安全响应过程可以在任何节点被控制和改进，并在响应完成后可以实现电子化存档和审计。

其次，从应用层面看，整个安全事件可以从流程技术层面直接串联，无需人为干预。这将实现安全事件从产生到响应以及结束，可以实现无人参与，减少人的因素在过程中的干扰。由此传统的安全事件响应流程将被彻底改变，安全响应计入自动化阶段。因为采用了结构化数据交互的自动应急响应，安全事件响应的流程可以被稳定且高水平地执行，不再受人的因素的影响，例如：人员不在岗、权限不够、设备不熟等问题。由此，企业安全事件运营的效率将大幅提升。

有调查显示中小企业平均每个月的安全事件数是1500个，而这个期间由于人力资源有限，人的能力有限，绝大多数告警都被淹没甚至被忽视。因为传统的事件响应流程不具备批量化的可复制性和可操作性。而本申请将彻底改变这一现状，通过结构化数据交互将安全事件响应流程自动化，在没有人员干预的情况下依然能够稳定执行应急响应流程，大幅提高生产力。

具体地，本申请能够帮助企业快速实现安全应急响应流程的自动化运行；通过自动化手段加速威胁响应，能够有效提升SOC(Security Operation Center，安全运营中心)/SIEM(Security Information and Event Management，安全信息事件管理)团队的安全事件处置效率；由于机器可以稳定执行响应流程，不受人的因素影响，因此应急响应的效果和质量能够大幅提高；能够全面解放企业生产力，改善信息安全工程师的劳动强度，提升工作效率和质量；自动化手段更容易进行衡量，可以协助评估和改善持续的安全事件运营流程。

上述的本申请实施例可在各种硬件、软件编码或两者组合中进行实施。例如，本申请的实施例也可为在数据信号处理器中执行上述方法的程序代码。本申请也可涉及计算机处理器、数字信号处理器、微处理器或现场可编程门阵列执行的多种功能。可根据本申请配置上述处理器执行特定任务，其通过执行定义了本申请揭示的特定方法的机器可读软件代码或固件代码来完成。可将软件代码或固件代码发展为不同的程序语言与不同的格式或形式。也可为不同的目标平台编译软件代码。然而，根据本申请执行任务的软件代码与其他类型配置代码的不同代码样式、类型与语言不脱离本申请的精神与范围。

以上所述仅为本申请示意性的具体实施方式，在不脱离本申请的构思和原则的前提下，任何本领域的技术人员所做出的等同变化与修改，均应属于本申请保护的范围。

Claims

1.一种网络安全应急响应方法，其特征在于，包括以下步骤：

获取原始事件信息；

根据原始事件的需要，设置至少一个安全响应节点，安全响应节点具有杀毒、补丁更新、隔离、资产管理或消息通知功能；各安全响应节点并行或串行执行其功能；各安全响应节点的输入包括执行对象和执行参数，其输出包括状态码和执行结果；

对原始事件信息进行格式化处理，得到结构化输入数据；

将得到的结构化输入数据作为安全响应节点的输入，当各安全响应节点串行执行相应功能时，上一级安全响应节点的输出作为当前安全响应节点的输入，用于启动当前安全响应节点，以使各安全响应节点按照预设的顺序顺次执行，自动化地完成安全事件响应；

所述安全响应节点设置有四个，各所述安全响应节点对应设置有杀毒软件、补丁管理服务器、防火墙和资产管理系统；

各所述安全响应节点串行执行各自功能时，对原始事件信息进行格式化处理，得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据；杀毒软件安全响应节点的输出用于启动补丁管理服务器安全响应节点，补丁管理服务器安全响应节点的输出用于启动防火墙安全响应节点，防火墙安全响应节点的输出用于启动资产管理系统安全响应节点。

2.根据权利要求1所述的网络安全应急响应方法，其特征在于，所述各安全响应节点的输入包括执行对象和执行参数，其输出包括状态码和执行结果。

3.根据权利要求1所述的网络安全应急响应方法，其特征在于，各所述安全响应节点并行执行各自功能时，对原始事件信息进行格式化处理，得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据；将各安全响应节点的结构化输入数据分别输入各个安全响应节点，各安全响应节点并行执行。

4.根据权利要求1所述的网络安全应急响应方法，其特征在于，所述资产管理系统安全响应节点的结构化输出数据作为短信网关的输入，由所述短信网关向资产所有人发送提醒信息。

5.一种网络安全应急响应系统，其特征在于，包括应急响应服务器以及与所述应急响应服务器连接的杀毒软件、补丁管理服务器、防火墙、资产管理系统和短信网关；

所述应急响应服务器用于接收原始事件信息并对原始事件信息进行格式化；根据原始事件的需要，所述应急响应服务器将格式化得到的结构化输入数据发送给所述杀毒软件、补丁管理服务器、防火墙或资产管理系统；所述杀毒软件、补丁管理服务器、防火墙或资产管理系统并行或串行执行各自的功能；

当所述杀毒软件、补丁管理服务器、防火墙和资产管理系统串行执行各自的功能时，所述杀毒软件、补丁管理服务器、防火墙和资产管理系统作为安全响应节点，相邻上一安全响应节点输出数据后，当前安全响应节点开始执行；安全响应节点通过各自的输出响应连接成自动化的应急响应流程；各安全响应节点的输入包括执行对象和执行参数，其输出包括状态码和执行结果。

6.根据权利要求5所述的网络安全应急响应系统，其特征在于，当所述杀毒软件、补丁管理服务器、防火墙或资产管理系统并行执行各自的功能时，所述杀毒软件根据输入的终端信息和动作内容进行杀毒，执行完毕，输出完成杀毒或查杀失败后结束；所述补丁管理服务器根据输入的终端信息和动作内容进行补丁更新，执行完毕，输出完成更新或更新失败后结束；所述防火墙根据输入的终端信息和动作内容进行隔离，执行完毕，输出完成隔离或隔离失败后结束；所述资产管理系统根据输入的终端信息和动作内容查收资产所有人，输出资产所有人的姓名和电话号码；短信网关根据输入的电话号码和动作内容向资产所有人发送短信通知。