CN113179245A - 网络安全应急响应方法、系统、计算机设备及存储介质 - Google Patents
网络安全应急响应方法、系统、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN113179245A CN113179245A CN202110295794.9A CN202110295794A CN113179245A CN 113179245 A CN113179245 A CN 113179245A CN 202110295794 A CN202110295794 A CN 202110295794A CN 113179245 A CN113179245 A CN 113179245A
- Authority
- CN
- China
- Prior art keywords
- emergency response
- tool
- information
- library
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明适用于涉及信息安全领域,提供了一种网络安全应急响应方法、系统、计算机设备及存储介质,所述方法包括:接收安全事件信息;根据所述安全事件信息生成应急响应指南;生成与所述应急响应指南对应的应急响应工具库;输出所述应急响应指南与所述应急响应工具库。本发明实施例提供的网络安全应急响应方法通过生成与应急响应指南对应的应急响应工具库,在应对网络安全事件时能够针对网络安全事件根据应急响应指南的指导以及利用应急响应工具直接进行处理,克服了对于流程执行所需的资源以及对应资源的利用方式并没有说明的问题,使工作更易进行。
Description
技术领域
本发明涉及信息安全领域,特别是涉及一种网络安全应急响应方法、系统、计算机设备及存储介质。
背景技术
信息时代,网络技术飞速发展,网络的连通不仅限于企业与企业之间、人与人之间,生产设备、器械也与网络连接更加紧密;一旦企业或者设备受到网络攻击,可能导致停工、停产,造成经济损失,因而信息安全同时变得尤为重要。
现有技术在针对网络安全事件,会生成应急处理流程,来解决网络安全事件。
但是,在生成应急响应处理流程后,对于流程执行所需的资源以及对应资源的利用方式并没有说明,使工作流程难以落实。
发明内容
基于此,有必要针对上述的问题,提供一种网络安全应急响应方法、系统、计算机设备及存储介质。
本发明实施例是这样实现的,一种网络安全应急响应方法,所述方法包括:
接收安全事件信息;
根据所述安全事件信息生成应急响应指南;
生成与所述应急响应指南对应的应急响应工具库;
输出所述应急响应指南与所述应急响应工具库。
本发明实施例的另一目的在于提供一种网络安全应急响应系统,所述系统包括:
安全事件上报端,用于网络安全事件上报;
网络安全应急响应装置,所述网络安全应急响应装置用于:
接收安全事件信息;
根据所述安全事件信息生成应急响应指南生成与所述应急响应指南对应的应急响应工具库;
输出所述应急响应指南与所述应急响应工具库。
本发明实施例的另一目的在于提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行上述网络安全应急响应方法的步骤。
本发明实施例的另一目的在于提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行上述网络安全应急响应方法的步骤。
本发明实施例提供的网络安全应急响应方法,通过接收网络安全事件信息,对安全事件分析后申城应急响应指南和应急响应工具库,并将其输出以应对网络安全事件,通过生成与应急响应指南对应的应急响应工具库,在应对网络安全事件时能够针对网络安全事件根据应急响应指南的指导以及利用应急响应工具直接进行处理,克服了对于流程执行所需的资源以及对应资源的利用方式并没有说明的问题,使工作更易进行。
附图说明
图1为一个实施例中提供的网络安全应急响应方法的应用环境图;
图2为一个实施例中网络安全应急响应方法的流程图;
图3为一个实施例中生成应急响应指南的步骤流程图;
图4为一个实施例中生成应急响应工具库的步骤流程图;
图5为一个实施例中对应急响应工具进行提取、打包的步骤流程图;
图6为一个实施例中网络安全应急响应方法的流程图;
图7为一个实施例中一种网络安全应急响应系统示意图;
图8为一个实施例中计算机设备的内部结构框图;
图9为一个实施例中计算机设备结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但除非特别说明,这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本申请的范围的情况下,可以将第一xx脚本称为第二xx脚本,且类似地,可将第二xx脚本称为第一xx脚本。
图1为一个实施例中提供的网络安全应急响应方法的应用环境图,如图1所示,在该应用环境中,包括终端110以及计算机设备120。
计算机设备可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。
终端110可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端110以及计算机设备120可以通过网络进行连接,本发明在此不做限制。
如图2所示,在一个实施例中,提出了一种网络安全应急响应方法,本实施例主要以该方法应用于上述图1中的服务器120来举例说明。具体可以包括步骤S202~S208:
步骤S202,接收安全事件信息。
在本发明实施例中,安全事件信息是本发明网络安全响应方法的触发点,安全事件信息需要导入执行上述方法的处理设备,导入的方法可以以文件或规范化格式导入,也可以由应急响应人员在系统web页面录入,也可以由低位探测类设备调用API接口上报等方式导入。
在本发明一个实施例中,在接收到安全事件信息之后,可对安全事件信息进行归一化处理,得到网络信息和事件信息。网络信息包含有网络资产指纹,可以包括网络五元组:源IP、目的IP、源端口、目的端口、协议应用;对于特殊的网络协议,如modbus等工业协议,还可以进一步解析形成协议信息,协议信息包括功能、数据。事件信息包括有安全事件的事件特征,可以包括:事件名称、漏洞描述、资产描述、事件影响、事件严重程度、发生时间等内容,用于描述事件。
步骤S204,根据所述安全事件信息生成应急响应指南。
在本发明实施例中,安全事件信息作为触发点,针对安全事件信息进行分析,并生成应急响应指南,应急响应指南是针对安全事件的,包含有对安全事件进行描述分析内容,或者指导如何处理安全事件的流程内容。对安全事件处理分析的规则可以以软件的部署在计算机装置当中,可以由分析模块对安全事件信息进行分析计算,再由应急响应指南生成模块生成应急响应指南。
步骤S206,生成与所述应急响应指南对应的应急响应工具库。
在本发明实施例中,应急响应指南与应急响应工具库都是针对安全事件的,并且应急响应工具库与应急响应指南具有对应关系,应急响应工具库是对安全事件处理所需工具的集合;生成应急响应工具库的规则或者应急响应工具库与应急响应指南的对应关系可以以软件的部署在计算机装置当中,由应急响应工具库生成模块生成应急响应工具库。
通过自动化生成急响应指南与应急响应工具库,提高应急响应的技术准备、资源准备上的自动化程度。
步骤S208,输出所述应急响应指南与所述应急响应工具库。
在本发明实施例中,基于已经生成的应急响应指南、应急响应工具库,可以将两者打包生成应急响应工具包,方便提供给应急响应工作人员。可选的,应急响应工具包可以是直接从终端进行复制的文件,也可以是通过网络从服务端进行下载的文件。
在一种情况下,如工业控制系统这类信息化程度较低、安全隐患较多、系统可用性要求极高的应用场景,需要提高应急响应的适用性,通过在实施与操作时根据现场实际情况由应急响应人员来决策,能够提高对软硬件老旧的环境的使用适用性,防止产生数据丢失、系统崩溃、设备损坏、停工停产等严重后果。
如图3所示,在本发明的一种实施例中,步骤S204即根据所述安全事件信息生成应急响应指南,具体包括以下步骤:
步骤S302,在所述应急响应知识库中获取与所述安全事件匹配的项目所对应的知识信息,所述知识信息为用于描述安全事件的漏洞信息、资产信息、威胁情报信息或描述漏洞的补丁信息。
在本发明实施例中,应急响应知识库为预设的数据库,可以储存在终端中,也可以储存在服务端,在需要时对数据进行提取,应急响应知识库中包含有各种网络安全事件的知识信息,知识信息用于描述安全事件的漏洞信息、资产信息、威胁情报信息或描述漏洞的补丁信息;根据获取安全事件信息,以及分析处理规则,从知识库中提取和网络安全事件各项目匹配的知识信息。
步骤S304,根据所述知识信息生成应急响应指南,所述应急响应指南包括应急响应流程信息和\或知识信息。
在本发明实施例中,根据得到的知识信息以及预设的应急响应指南生成规则生成应急响应指南。应急响应指南包括针对安全事件的处理流程步骤内容,或者该安全事件本身以及相关的信息内容,上述的流程步骤内容或者信息内容能够被显示在显示装置中,并且被操作人员阅读、理解。
具体地,以“永恒之蓝”病毒事件对应的应急响应指南为示例:
1 事件概述
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
2 资产梳理
2.1 高危资产:
IP:192.168.1.1
部署位置:木工开孔机
操作系统:windows8.1
规格:intel J1800 4G内存...
用途:开孔
重要性评级:重要
修复优先级:极高
威胁情报匹配:是
2.2 资产详情
产品名称:windows8.1
所属厂商:微软
系列:windows操作系统
品牌官网:www.microsoft.com
2.3 网络拓扑图
(根据安全事件告警的网络情况自动绘制)
3 漏洞分析
3.1 漏洞统计
潜在漏洞:975
利用漏洞:2
高危漏洞占比、漏洞类型占比
3.2 潜在漏洞
CVE-2017-0146、CVE-2017-0143、CVE-2017-0144
3.3 危害等级
高
4 处置建议
事件处置建议:
一、 手工杀毒方法:
1、 查看C:\Windows路径,检查是否存在mssecsvc.exe、tasksche.exe、qeriuwjhrf三个文件,如果有其中一个,则说明已经被感染,需立刻进行断网处理;注意:直接删除文件无效,会自动再次创建,需要完成以下两步才可删除。
2、 查看计算机服务,检查是否存在Microsoft Security Center 2.0服务,该服务为病毒创建,需要将其改为禁用并停止服务;
3、 查看注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services下,是否存在mssecsvc项,如果存在,将整个项删除;
4、 删除C:\Windows路径下的3个文件
漏洞处置建议:Microsoft Windows SMB 输入验证漏洞的修复措施
5 操作风险
5.1 文件丢失风险
5.2 系统宕机风险
5.3 生产阻断风险
6 加固提升
6.1 加强资产梳理
6.2 加强边界防护
6.3 定期安全评估
6.4 加强监测能力
上述示例中,包括“事件概述”、“资产管理”、“漏洞分析”中的详细信息均为对“永恒之蓝”安全事件进行分析后从应急响应知识库中获取、整理的知识信息,该知识信息在应急响应指南中向应急响应人员示出;还包括“事件处置建议”,即针对“永恒之蓝”安全事件的详细处理流程,该处理流程也可以是向应急响应人员示出的,应急响应人员详细了解安全事件并能够根据应急响应流程灵活处理安全事件。
如图4所示,在本发明的一种实施例中,步骤S206即根据所述安全事件信息生成应急响应工具库,具体包括以下步骤:
步骤S402,根据所述知识信息生成分析结果信息,所述分析结果信息包括描述应用程序、操作系统、硬件资产,或补丁的信息。
在本发明实施例中,从知识库中提取的知识信息还用于生成分析结果信息,即根据分析结果生成规则从知识信息中进一步提取所需信息,生成分析结果信息;分析结果信息是用于描述应用程序、操作系统、硬件资产,或补丁的信息,分析结果信息作为生成应急响应工具库的输入数据,通过分析结果信息,能够详细地描述网络安全事件的特征,便于查找对应的工具。
步骤S404,根据所述分析结果信息与所述应急响应流程信息从预设的应急响应资源库中对应急响应工具进行提取、打包。
在本发明实施例中,应急响应资源库为预设的数据库,可以储存在终端中,也可以储存在服务端,在需要时对数据进行提取,应急响应资源库中包含有各种应对安全事件的各种工具资源,根据应急响应工具库生成规则,由分析结果信息、应急响应流程信息从应急响应资源库中提取需要的应急响应工具实体,便于对安全事件进行处理。
如图5所示,在本发明的一种实施例中,步骤S404即根据所述分析结果信息与所述应急响应流程信息从预设的应急响应资源库中对应急响应工具进行提取、打包,具体包括以下步骤:
步骤S502,获取所述分析结果信息与所述应急响应流程信息。
在本发明实施例中,分析结果信息和应急响应流程信息共同用于生成应急响应工具库。
步骤S504,根据分析结果信息从应急响应资源库中匹配与分析结果数据中项目对应的应急响应工具。
在本发明实施例中,将分析结果信息和应急显影资源库中的应急显影资源进行匹配,筛选出适用于分析结果信息呈现的安全事件的工具。
步骤S506,根据所述应急响应流程信息从匹配的应急响应工具中提取应急响应工具实体;所述应急响应工具实体为针对安全事件且适用于应急响应流程的工具实体,所述应急响应工具实体包括查杀工具、分析工具、取证工具、备份工具,或者补丁工具。
在本发明实施例中,应急响应流程信息中包含有在应对安全事件所需的应急响应工具,根据其所需从筛选过的工具中直接提取所需工具,提升提取速度和效率。应急响应资源库中的应急响应工具为软件实体,能够直接用于针对安全事件进行应对处理。
步骤S508,将若干所述应急响应工具生成应急响应工具库。
在本发明实施例中,将提取的若干应急响应软件工具实体打包生成应急响应工具库。
具体地,以针对“永恒之蓝”事件对应的应急响应工具库为示例:
1 补丁工具
补丁工具软件实体
2 备份工具
ghost备份工具(微pe)
内存镜像工具(Magnet RAM Capture)
3 查杀工具
杀毒软件(赛门铁克、360等杀毒软件)
4 取证工具
磁盘取证工具(The Sleuth Kit & Autopsy,ir-rescue)
5 分析工具
流量分析工具(wireshark)
日志分析工具(Lorg)
进程分析工具(Microsoft User Mode Process Dumper)
文件分析工具(Mastiff )
逆向分析工具(IDA pro)
在上述示例中,根据应急响应指南的处理流程,进行分析和查杀操作前,需要先对系统进行备份,针对应急响应指南所需备份工具,此处从应急响应资源库中提取、生成对应的工具实体,若无则不生成;根据应急响应指南的处理流程,需要进行查杀时,可以是手动查杀,也可以是软件查杀,当需要软件查杀时,此处从应急响应资源库中提取、生成应急响应指南所需的查杀软件;根据应急响应指南的处理流程,需要取证、补丁,或者分析时,此处从应急响应资源库中提取、生成应急响应指南所需的取证、补丁,或者分析软件工具。
上述示例中括号内内容为工具名称举例,实际中为该工具名称对应的工具软件实体;且示例中为针对“永恒之蓝”事件的,且适用于应急响应指南的工具软件实体,能够被应急响应人员直接用于处理安全事件。
在本发明的一种实施例中,所述应急响应知识库包括:
事件库,为网络安全事件的集合,包括用于描述所述网络安全事件的要素;
资产库,为软硬件资产的集合,包括用于描述所述软硬件资产的要素;
漏洞库,为信息安全漏洞的集合,包括用于描述所述信息安全漏洞的要素;
补丁库,为信息安全漏洞修复所需补丁的集合,包括用于描述所述补丁的要素;以及
威胁情报库,为全网威胁情报资源的集合,包括描述所述威胁情报的要素。
在本发明的一个实施例中,事件库字段包括:事件名称、发生时间、事件详情、事件影响、涉及漏洞、涉及资产、威胁情报,或者处置建议。事件库数据获取来源包括:国家互联网应急中心、各大安全厂商应急响应中心、安全专家录入、安全事件规范化文件导入。
如以“永恒之蓝”病毒涉及安全事件为例,事件库内的呈现内容为:
“事件名称”:“永恒之蓝”病毒事件;
“发生时间”:2017-04-14;
“事件详情”:2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件;
“事件影响”:乌克兰、俄罗斯、西班牙、法国、英国等多国均遭遇到袭击,包括政府、银行、电力系统、通讯系统、能源企业、机场等重要基础设施都被波及,律师事务所DLAPiper的多个美国办事处也受到影响。中国亦有部分企业机构中招;
“涉及漏洞”:CVE-2017-0146、CVE-2017-0143、CVE-2017-0144;
“涉及资产”:目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0;
“威胁情报”:MD5(8996253c3c19fce90fee9ff4869437f3),SHA1(8f2128b1a6b5e7cd2f0b0950476066ffa9b878c7),SHA256(41ef893593a89e5a90edf9401e5810bfa770f63d26355a61d71c8ab077644472);
“处置建议”:
手工杀毒方法:
1、 查看C:\Windows路径,检查是否存在mssecsvc.exe、tasksche.exe、qeriuwjhrf三个文件,如果有其中一个,则说明已经被感染,需立刻进行断网处理;注意:直接删除文件无效,会自动再次创建,需要完成以下两步才可删除。
2、 查看计算机服务,检查是否存在Microsoft Security Center 2.0服务,该服务为病毒创建,需要将其改为禁用并停止服务;
3、 查看注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services下,是否存在mssecsvc项,如果存在,将整个项删除;
4、 删除C:\Windows路径下的3个文件;
上述示例中包括描述“永恒之蓝”的“事件名称”、“发生时间”、“事件详情”、“事件影响”、“涉及漏洞”、“涉及资产”、“威胁情报”、“处置建议”等要素。
在本发明的一个实施例中,资产库,涉及字段包括<资产名称、资产类别、资产版本、资产描述、技术参数、供应商名称、供应商简介、发布时间、收录时间、适用行业、CPE2.2、CPE2.3。资产库数据,可以通过爬虫(CVE、CNVD、CNNVD、NVD网站)、录入(安全专家录入),或者导入(规范化文件)等方式获取。
如以永恒之蓝涉及资产为例,呈现内容为:
“资产名称”:Windows 8;
“资产类别”:操作系统;
“资产版本”:Windows 8.1;
“资产描述”:Windows 8是美国微软公司开发的新一代操作系统,Windows 8.1的前身,Windows 8共有4个发行版本,分别面向不同用户和设备。于2012年10月26日发布;
“技术参数”:基于x86、x64、ARM的PC与平板,核心版本号为Windows NT 6.2;
“供应商名称”:微软;
“供应商简介”:微软(英文名称:Microsoft;中文名称:微软公司或美国微软公司)始建于1975年,是一家美国跨国科技公司,也是世界PC(Personal Computer,个人计算机)软件开发的先导,由比尔·盖茨与保罗·艾伦创办于1975年,公司总部设立在华盛顿州的雷德蒙德(Redmond,邻近西雅图)。以研发、制造、授权和提供广泛的电脑软件服务业务为主。
“发布时间”:2012.10.26;
“收录时间”:2012.10.27;
“适用行业”:全行业;
“CPE2.2”: cpe:/o:microsoft:windows_8.1;
“CPE2.3”:cpe:2.3:o:microsoft:windows_8.1。
在上述示例中,包括描述“永恒之蓝”事件涉及资产的“资产名称”、“资产类别”、“资产版本”、“资产描述”等要素。
在本发明的一个实施例中,漏洞库,涉及字段包括:CVE-ID、CNVD-ID、CNNVD-ID、危险级别、漏洞类型、漏洞描述、参考资料、影响产品、所属厂商、影响行业、漏洞评分、收录时间、补丁信息、CPE2.2、CPE2.3、解决方案、补丁信息。构建漏洞库,可以通过对CVE、CNVD、CNNVD进行爬虫、下载等方式进行。
如以永恒之蓝涉及的漏洞CVE-2017-0144为例:
“CVE-ID”:CVE-2017-0144;
“CNVD-ID”:暂无;
“CNNVD-ID”:CNNVD-201703-725;
“危险级别”:高;
“漏洞类型”:代码执行漏洞;
“漏洞描述”:Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。SMBv1 server是其中的一个服务器协议组件。Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。远程攻击者可借助特制的数据包利用该漏洞执行任意代码。以下版本受到影响:Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows10 Gold,1511和1607,Windows Server 2016;
“参考资料”:http://www.securityfocus.com/bid/96704 BID:96704 https://cert-portal.siemens.com/productcert/pdf/ssa-701903.pdf CONFIRM:https://cert-portal.siemens.com/productcert/pdf/ssa-701903.pdf ;
“影响产品”:Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows 10 Gold,1511和1607,Windows Server 2016。
“所属厂商”:微软;
“影响行业”:全行业;
“漏洞评分”:8.1;
“收录时间”:2018.06.20;
“补丁信息”:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://technet.microsoft.com/zh-cn/library/security/ms17-010;
“CPE2.2”: cpe:/o:microsoft:windows_8.1;
“CPE2.3”:cpe:2.3:o:microsoft:windows_8.1;
“解决方案”:尽快修复补丁。
上述示例中,包括描述“永恒之蓝”事件涉及的信息安全漏洞的“危险级别”、“漏洞描述”、“参考资料”等要素。
在本发明的一个实施例中,补丁库,字段至少包括:CVE-ID、CNVD-ID、CNNVD-ID、修复方式、收录时间、所属厂商、补丁描述。补丁库的构建,可以通过对CVE、CNVD、CNNVD等漏洞库网站以及各供应商网站进行爬虫、下载等方式进行。
如以永恒之蓝涉及的漏洞CVE-2017-0144的补丁为例:
“CVE-ID”:CVE-2017-0144;
“CNVD-ID”:暂无;
“CNNVD-ID”:CNNVD-201703-725;
“修复方式”:下载补丁并进行安装应用;
“收录时间”:2018.06.21;
“所属厂商”:微软;
“补丁描述”:https://technet.microsoft.com/zh-cn/library/security/ms17-010。
在本发明的一个实施例中,威胁情报库,字段至少包括:IP、域名、文件名称、HASH,或指纹等。威胁情报库的构建,主要利用公开威胁情报库的数据接口。
上述示例中,包括描述“永恒之蓝”事件涉及的补丁的“修复方式”、“收录事件”等要素。
如以永恒之蓝涉及的威胁情报为例:
“IP”:暂无;
“域名”:暂无;
“文件名称”:mssecsvc.exe;
“HASH”:MD5(8996253c3c19fce90fee9ff4869437f3),SHA1(8f2128b1a6b5e7cd2f0b0950476066ffa9b878c7),SHA256(41ef893593a89e5a90edf9401e5810bfa770f63d26355a61d71c8ab077644472);
“指纹”:暂无。
上述示例中,包括描述“永恒之蓝”事件涉及的威胁情报的“IP”、“域名”等要素。
在本发明的一种实施例中,所述应急响应资源库包括:
补丁工具资源库,是将所述补丁库内所有补丁进行下载、存储、整理后的集合,且与所述补丁库内补丁一一对应;
备份工具资源库,是备份工具的集合,所述备份工具用于应急响应过程对文件备份;
查杀工具资源库,是查找、鉴别、分析、清除恶意样本的工具集合;
取证工具资源库,是实现取证目的的工具集合,所述取证工具用于应急响应过程所述安全事件影响范围的取证;以及
分析工具资源库,是对应急响应过程中安全事件进行事件主体分析、行为分析、网络分析的工具集合。
在本发明的一个实施例中,应急响应资源库中的工具未实体工具,能够针对安全事件直接进行处理,如进行补丁、备份、查杀、取证、或者分析。
在本发明的一个实施例中,以永恒之蓝场景下举例,如补丁库中包含有永恒之蓝漏洞的补丁;备份工具库中包含有永恒之蓝场景下需要的备份工具,具体可以是:ghost备份工具(如微pe)、内存镜像工具(如Magnet RAM Capture);查杀工具库中包含有永恒之蓝场景下需要的查杀工具,具体可以是:杀毒软件(如赛门铁克、360等杀毒软件);取证工具资源库中包含永恒之蓝场景下需要的取证工具,具体可以是:磁盘与文件系统取证(如TheSleuth Kit & Autopsy,ir-rescue);(6)分析工具资源库中包含有永恒之蓝场景下需要的取证工具,具体可以是:流量分析工具(如wireshark)、日志分析工具(如Lorg)、进程分析工具(如Microsoft User Mode Process Dumper)、文件分析工具(如Mastiff )、逆向分析工具(如IDA pro)等。
如图6,在本发明的一种实施例中,步骤S208,即输出所述应急响应指南与所述应急响应工具库之前,还包括一下步骤:
步骤S207,根据所述应急响应指南和所述应急响应工具库生成应急响应工具包。
在本发明的一个实施例中,将应急响应指南与应急响应工具库打包生成应急响应工具包,此时应急响应指南和所述应急响应工具库将通过应急响应工具包的方式输出,方便对应急响应指南和应急响应工具库的复制、移动或者下载。
如图7所示,在本发明的一个实施例中,提供了一种网络安全应急响应系统,具体可以包括:
安全事件上报端,用于网络安全事件上报;
网络安全应急响应装置,所述网络安全应急响应装置用于:
接收安全事件信息;
根据所述安全事件信息生成应急响应指南生成与所述应急响应指南对应的应急响应工具库;
输出所述应急响应指南与所述应急响应工具库。
图8示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是图1中的终端110(或服务器120),分析模块用于对安全事件进行分析,应急响应指南生成模块用于生成应急响应指南,应急响应工具库生成模块用于生成应急响应工具库。如图9所示,该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中,存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现网络安全应急响应方法。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行网络安全应急响应方法。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提出了一种计算机设备,所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收安全事件信息;
根据所述安全事件信息生成应急响应指南生成与所述应急响应指南对应的应急响应工具库;
输出所述应急响应指南与所述应急响应工具库。
在一个实施例中,提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,使得处理器执行以下步骤:
接收安全事件信息;
根据所述安全事件信息生成应急响应指南生成与所述应急响应指南对应的应急响应工具库;
输出所述应急响应指南与所述应急响应工具库。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络安全应急响应方法,其特征在于,所述方法包括:
接收安全事件信息;
根据所述安全事件信息生成应急响应指南;
生成与所述应急响应指南对应的应急响应工具库;
输出所述应急响应指南与所述应急响应工具库。
2.根据权利要求1所述的网络安全应急响应方法,其特征在于,所述根据所述安全事件信息生成应急响应指南的步骤包括:
在预设的应急响应知识库中获取与所述安全事件匹配的项目所对应的知识信息,所述知识信息为用于描述安全事件的漏洞信息、资产信息、威胁情报信息或描述漏洞的补丁信息;
根据所述知识信息生成应急响应指南,所述应急响应指南包括应急响应流程信息和\或知识信息。
3.根据权利要求2所述的网络安全应急响应方法,其特征在于,所述根据所述安全事件信息生成应急响应工具库的步骤包括:
根据所述知识信息生成分析结果信息,所述分析结果信息包括描述应用程序、操作系统、硬件资产,或补丁的信息;
根据所述分析结果信息与所述应急响应流程信息从预设的应急响应资源库中对应急响应工具进行提取、打包。
4.根据权利要求3所述的网络安全应急响应方法,其特征在于,所述根据所述分析结果信息与所述应急响应流程信息从预设的应急响应资源库中对应急响应工具进行提取、打包的步骤包括:
获取所述分析结果信息与所述应急响应流程信息;
根据分析结果信息从应急响应资源库中匹配与分析结果数据中项目对应的应急响应工具;
根据所述应急响应流程信息从匹配的应急响应工具中提取应急响应工具实体;所述应急响应工具实体为针对安全事件且适用于应急响应流程的工具实体,所述应急响应工具实体包括查杀工具、分析工具、取证工具、备份工具,或者补丁工具;
将若干所述应急响应工具生成应急响应工具库。
5.根据权利要求3所述的网络安全应急响应方法,其特征在于,所述应急响应知识库包括:
事件库,为网络安全事件的集合,包括用于描述所述网络安全事件的要素;
资产库,为软硬件资产的集合,包括用于描述所述软硬件资产的要素;
漏洞库,为信息安全漏洞的集合,包括用于描述所述信息安全漏洞的要素;
补丁库,为信息安全漏洞修复所需补丁的集合,包括用于描述所述补丁的要素;以及
威胁情报库,为全网威胁情报资源的集合,包括描述所述威胁情报的要素。
6.根据权利要求5所述的网络安全应急响应方法,其特征在于,所述应急响应资源库包括:
补丁工具资源库,是将所述补丁库内所有补丁进行下载、存储、整理后的集合,且与所述补丁库内补丁一一对应;
备份工具资源库,是备份工具的集合,所述备份工具用于应急响应过程对文件备份;
查杀工具资源库,是查找、鉴别、分析、清除恶意样本的工具集合;
取证工具资源库,是实现取证目的的工具集合,所述取证工具用于应急响应过程所述安全事件影响范围的取证;以及
分析工具资源库,是对应急响应过程中安全事件进行事件主体分析、行为分析、网络分析的工具集合。
7.根据权利要求1所述的网络安全应急响应方法,其特征在于,所述输出所述应急响应指南与所述应急响应工具库之前,还包括以下步骤:
根据所述应急响应指南和所述应急响应工具库生成应急响应工具包。
8.一种网络安全应急响应系统,其特征在于,所述系统包括:
安全事件上报端,用于网络安全事件上报;
网络安全应急响应装置,所述网络安全应急响应装置用于:
接收安全事件信息;
根据所述安全事件信息生成应急响应指南生成与所述应急响应指南对应的应急响应工具库;
输出所述应急响应指南与所述应急响应工具库。
9.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1至7中任一项权利要求所述网络安全应急响应方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求1至7中任一项权利要求所述网络安全应急响应方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110295794.9A CN113179245B (zh) | 2021-03-19 | 2021-03-19 | 网络安全应急响应方法、系统、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110295794.9A CN113179245B (zh) | 2021-03-19 | 2021-03-19 | 网络安全应急响应方法、系统、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113179245A true CN113179245A (zh) | 2021-07-27 |
| CN113179245B CN113179245B (zh) | 2023-01-13 |
Family
ID=76922169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110295794.9A Active CN113179245B (zh) | 2021-03-19 | 2021-03-19 | 网络安全应急响应方法、系统、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113179245B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1705938A (zh) * | 2002-10-22 | 2005-12-07 | 崔云虎 | 信息基础结构的综合攻击事故应对系统及其运营方法 |
| US20150319284A1 (en) * | 2014-05-02 | 2015-11-05 | Ventuno Invest S.R.L. | Emergency alert system and program for portable devices |
| CN107770125A (zh) * | 2016-08-16 | 2018-03-06 | 深圳市深信服电子科技有限公司 | 一种网络安全应急响应方法及应急响应平台 |
| CN111159520A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 样本鉴定方法、装置及安全应急响应系统 |
| CN111310195A (zh) * | 2020-03-27 | 2020-06-19 | 北京双湃智安科技有限公司 | 一种安全漏洞管理方法、装置、系统、设备和存储介质 |
| CN111614696A (zh) * | 2020-06-02 | 2020-09-01 | 深圳供电局有限公司 | 一种基于知识图谱的网络安全应急响应方法及其系统 |
-
2021
- 2021-03-19 CN CN202110295794.9A patent/CN113179245B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1705938A (zh) * | 2002-10-22 | 2005-12-07 | 崔云虎 | 信息基础结构的综合攻击事故应对系统及其运营方法 |
| US20150319284A1 (en) * | 2014-05-02 | 2015-11-05 | Ventuno Invest S.R.L. | Emergency alert system and program for portable devices |
| CN107770125A (zh) * | 2016-08-16 | 2018-03-06 | 深圳市深信服电子科技有限公司 | 一种网络安全应急响应方法及应急响应平台 |
| CN111159520A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 样本鉴定方法、装置及安全应急响应系统 |
| CN111310195A (zh) * | 2020-03-27 | 2020-06-19 | 北京双湃智安科技有限公司 | 一种安全漏洞管理方法、装置、系统、设备和存储介质 |
| CN111614696A (zh) * | 2020-06-02 | 2020-09-01 | 深圳供电局有限公司 | 一种基于知识图谱的网络安全应急响应方法及其系统 |
Non-Patent Citations (1)
| Title |
|---|
| 蒋熠等: "网络安全一键式应急系统的构建", 《电信网技术》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113179245B (zh) | 2023-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ab Rahman et al. | Forensic-by-design framework for cyber-physical cloud systems | |
| Balduzzi et al. | A security analysis of amazon's elastic compute cloud service | |
| US10462160B2 (en) | Method and system for identifying uncorrelated suspicious events during an attack | |
| Carr et al. | Revisiting security vulnerabilities in commercial password managers | |
| Pakmehr et al. | Security challenges for cloud or fog computing-based ai applications | |
| Chayal et al. | A review on spreading and forensics analysis of windows-based ransomware | |
| Bajpai et al. | Know thy ransomware response: a detailed framework for devising effective ransomware response strategies | |
| Dahlmanns et al. | Secrets revealed in container images: an internet-wide study on occurrence and impact | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| US20230094119A1 (en) | Scanning of Content in Weblink | |
| CN113179245B (zh) | 网络安全应急响应方法、系统、计算机设备及存储介质 | |
| Litchfield et al. | A systematic review of vulnerabilities in hypervisors and their detection | |
| Johansen | Digital Forensics and Incident Response: Incident response tools and techniques for effective cyber threat response | |
| Mishra et al. | CONTAIN4n6: a systematic evaluation of container artifacts | |
| Gurkok | Cyber forensics and incident response | |
| Simou et al. | Towards a model-based framework for forensic-enabled cloud information systems | |
| Anjum et al. | Uncovering Software Supply Chains Vulnerability: A Review of Attack Vectors, Stakeholders, and Regulatory Frameworks | |
| Kouatli | Global business vulnerabilities in cloud computing services | |
| Snyder et al. | Determining the effectiveness of data remanence prevention in the AWS cloud | |
| Sangher et al. | Holistic Cyber Threat Hunting Using Network Traffic Intrusion Detection Analysis for Ransomware Attacks | |
| Fgee et al. | My Security for Dynamic Websites in Educational Institution | |
| Grammatikakis et al. | System threats | |
| Wongthai | Systematic support for accountability in the cloud | |
| Javid | Practical Applications of Wazuh in On-premises Environments | |
| Mahalakshmi | Assessment on security issues and classification in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |