CN115567235A - 一种网络安全应急处置系统及应用方法 - Google Patents

一种网络安全应急处置系统及应用方法 Download PDF

Info

Publication number
CN115567235A
CN115567235A CN202210919765.XA CN202210919765A CN115567235A CN 115567235 A CN115567235 A CN 115567235A CN 202210919765 A CN202210919765 A CN 202210919765A CN 115567235 A CN115567235 A CN 115567235A
Authority
CN
China
Prior art keywords
module
information
data
network
network security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210919765.XA
Other languages
English (en)
Inventor
黄岚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honglan Network Technology Yangzhou Co ltd
Original Assignee
Honglan Network Technology Yangzhou Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honglan Network Technology Yangzhou Co ltd filed Critical Honglan Network Technology Yangzhou Co ltd
Priority to CN202210919765.XA priority Critical patent/CN115567235A/zh
Publication of CN115567235A publication Critical patent/CN115567235A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于网络安全技术领域,具体是一种网络安全应急处置系统,系统包括:管理端、云端数据库模块、数据采集模块、通报预警模块、专家端和应急工具箱,本发明所具有的有益效果为网络应急处置提供一套管理处置系统,建立云端数据库,能够快速收集网络安全事件相关信息,分析得到线索树和攻击者信息,利用专家端远程建立人工处理平台,方便专家对网络应急事件进行分析研判和指导,提高了网络安全事件的处理效率,同时实时的数据采集模块,时刻保证系统处于风险检测状态,有效地保证了系统安全;在发生漏洞后采取的数据保护模块,能够及时对无本地缓存的连续数据进行及时保护,进行云端服务器的同步,防止数据丢失与损坏。

Description

一种网络安全应急处置系统及应用方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络安全应急处置系统及应用方法。
背景技术
现今社会,互联网已经形成规模,越来越深刻地改变着人们的学习、工作以及生活方式,甚至影响着整个社会进程,互联网的应用走向多元化,网民规模继续呈持续快速发展的趋势。现阶段,我国网络安全形势日趋严峻复杂,网络安全事件也更为复杂,且随着移动互联网的快速发展,云计算进一步落地,NFV(网络功能虚拟化)技术不断成熟且商用,在一个庞大的IT架构下,安全风险将进一步扩大,比如入侵攻击、网页篡改、DDoS等安全事件的发生概率和防护范围都会随之变大,新的安全隐患也会随之出现。这也就对安全防护技术、安全风险管理、应急处置手段都提出了新的要求。
在相关技术中,于网络安全事件主要讨论的都是网络安全事件的分析环节,并没有对应急处置环节有太多的描述,在实际的操作中,网络安全事件的应急处置环节往往都采用人工的方式进行处置,受个人因素的影响较大,如人工处置效率不稳定,人工处置流程不统一,耗时较长,处置结果不准确且不便于对处置结果进行管理,为此,我们提出一种网络安全应急处置系统及应用方法。
本背景技术部分中公开的以上信息仅用于理解本发明构思的背景技术,并且因此,它可以包含不构成现有技术的信息。
发明内容
为了克服现有技术的不足,本发明提供了一种网络安全应急处置系统及应用方法以满足市场的需求。
本发明解决其技术问题所采用的技术方案是:一种网络安全应急处置系统,所述系统包括:
管理端,部署在网络数据机房的服务器端,用于对所述网络安全应急处置系统进行管理,并完成系统之间各个模块的连接、以及专家端和应急工具箱之间数据流的传输与转发;
云端数据库模块,用于在网络云端平台存储风险数据及专家知识数据并定期进行更新;
数据采集模块,用于实时监测与采集网络数据,包括网站源码、操作系统日志、网站web访问日志、中间件日志的信息;
通报预警模块,将包括病毒、漏洞、安全通告在内的外部预警以及来自自身网络数据的内部预警的信息进行整合形成预警发布内容、采用技术手段、预警发布方式、预警发布结果四个单元,通报预警模块支持安全监测预警和信息通报,通过接口上报和下发安全信息;
专家端,与所述管理端连接,用于供网络安全专家使用,远程协助使用应急工具箱处置网络安全应急事件;
应急工具箱,包括用于在检测到异常数据后对本地数据进行保护的数据保护模块、用于实现远程协助处理安全事件的远程连接辅助模块和用于对异常数据进行分析匹配与处理的风险分析处理模块,所述应急工具箱与所述管理端连接,用于对遭受网络安全应急事件影响的主机借助于专家端的协助进行安全管理、安全检测和深度分析。
作为一种优化的技术方案,所述管理端具体包括:用户管理模块,用于对系统用户进行用户添加、用户信息修改、用户删除、用户信息查询、用户权限管理;
事件管理模块,用于对事件信息进行综合管理;具体为,对网络安全应急事件信息进行网络安全应急事件信息的添加、网络安全应急事件信息的修改、网络安全应急事件信息的查询、网络安全应急事件信息的删除、和/或网络安全应急事件的评级;
事件处置模块,分析事件得到线索树和攻击者信息,包括分析结果展示和线索展示,基于专家知识库模块的信息对分析结果进行确认,依据得到的线索树和攻击者相关信息,对事件定性,得出整改建议并出具事件处置报告,所述事件处置模块中对事件的分析包括自动分析和人工分析。
作为一种优化的技术方案,所述应急工具箱还包括风险检测模块,用于对网络数据进行安全性检测,对异常数据进行检测与分类,包括系统漏洞验证工具、网站漏洞验证工具、数据库漏洞验证工具、病毒检测工具、木马检测工具及恶意代码检测工具;
所述数据保护模块,用于在检测到异常数据后对本地数据进行保护,包括过滤驱动模块、读取模块、上传模块;其中,过滤驱动模块用于获取数据备份请求与得到增量元数据;读取模块用于根据增量元数据从磁盘中读取对应的增量数据;上传模块用于将所读取的增量数据上传给备份服务器,触发所述备份服务器对所述增量数据进行备份;
所述风险分析处理模块,用于对异常数据进行分析匹配与处理,包括循环神经网络模型构建模块、循环神经网络模型预测分析模块、风险信息提取模块、风险处理模块、数据输送模块,其中,所述循环神经网络模型构建模块用于实现循环神经网络模型的构建,所述循环神经网络模型评价模块用于对异常数据进行分析预测,所述风险信息提取模块用于对异常数据进行处理并得到线索树与攻击者信息,所述风险处理模块用于对风险进行匹配与及时抢修,所述数据输送模块用于将专家知识数据、线索树与攻击者信息输送至所述远程连接辅助模块。
作为一种优化的技术方案,所述远程连接辅助模块包括授权认证模块和远程连接模块;
其中,所述授权认证模块用于远程连接中进行服务器端与所述管理中心模块之间的授权认证;所述远程连接模块用于进行所述管理中心模块和服务器端的远程连接。
作为一种优化的技术方案,所述远程连接辅助模块还包括辅助工具模块,所述辅助工具模块包括用于验证目标对象漏洞存在情况的漏洞验证工具和用于检测目标对象是否存在后门的病毒挂马检测工具,所述辅助工具模块还包括日志分析工具、日志分割工具和文件恢复工具。
作为一种优化的技术方案,所述通报预警模块中的四个单元包括:
预警发布内容:安全检测、监测的研判结果,包括攻击信息、日志信息、故障信息、状态信息、性能指标分析结果、检查报告;
采用技术手段包括,信息筛选、数据分类、分析结果、告警处理结果、行业排名、区域排名;
预警发布方式包括,大屏展示、信息滚动播放、邮件通知、短信通知、运维平台、应急处置平台;
预警发布结果,利用邮件短信发送告警信息,并提供解决方案,达到流程追溯、取证记录和事件管理的目的。
在本发明的另一个技术方案中,还提供了一种网络安全应急处置系统的应用方法,包括以下步骤:
S1:建立数据库,在云端网络存储风险数据及专家知识数据并定期进行更新;
S2:接收网络安全事件的信息,并通过应急工具箱中的风险检测模块对信息进行安全性检测;
S3:通过数据采集模块进行实时监测与采集网络数据,包括网站源码、操作系统日志、网站web访问日志、中间件日志的信息,并利用风险分析处理模块进行病毒、木马、恶意代码的检查,查找被植入的病毒文件、木马文件、WebShell文件;
S4:将查找得到的病毒文件、木马文件、WebShell文件作为初始线索传输至管理端中,利用管理端内的事件处置模块进行分析,得到线索树和攻击者信息;
S5:将结果传输至专家端,利用人工远程对比云端数据库内的数据信息和步骤S4的分析结果,进行处理确认,若确认无误则进行下一步,否则返回步骤S4;
S6:依据分析所得的线索树和攻击者相关信息,处置结论模块对事件定性,通过通报预警模块将信息进行整合,利用邮件短信发送告警信息,并提供解决方案;
S7:对相关单位和人员进行规劝整改。
作为一种优化的技术方案,所述安全性检测包括系统漏洞、网站漏洞和数据库漏洞校验,所述整改为基于整改建议和事件报告,使用辅助工具完成网站清理、系统恢复、漏洞加固。
本发明所具有的有益效果是:
相比现有技术,为网络应急处置提供一套管理处置系统,建立云端数据库,能够快速收集网络安全事件相关信息,分析得到线索树和攻击者信息,利用专家端远程建立人工处理平台,方便专家对网络应急事件进行分析研判和指导,提高了网络安全事件的处理效率,同时实时的数据采集模块,时刻保证系统处于风险检测状态,有效地保证了系统安全;在发生漏洞后采取的数据保护模块,能够及时对无本地缓存的连续数据进行及时保护,进行云端服务器的同步,防止数据丢失与损坏。
附图说明
图1是本发明提出的一种网络安全应急处置系统连接框图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述,需要说明的是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。
需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1:
本实施例中的一种网络安全应急处置系统,系统包括:
管理端,部署在网络数据机房的服务器端,用于对网络安全应急处置系统进行管理,并完成系统之间各个模块的连接、以及专家端和应急工具箱之间数据流的传输与转发;
云端数据库模块,用于在网络云端平台存储风险数据及专家知识数据并定期进行更新;
数据采集模块,用于实时监测与采集网络数据,包括网站源码、操作系统日志、网站web访问日志、中间件日志的信息;
通报预警模块,将包括病毒、漏洞、安全通告在内的外部预警以及来自自身网络数据的内部预警的信息进行整合形成预警发布内容、采用技术手段、预警发布方式、预警发布结果四个单元,通报预警模块支持安全监测预警和信息通报,通过接口上报和下发安全信息;
专家端,与管理端连接,用于供网络安全专家使用,远程协助使用应急工具箱处置网络安全应急事件;
应急工具箱,包括用于在检测到异常数据后对本地数据进行保护的数据保护模块、用于实现远程协助处理安全事件的远程连接辅助模块和用于对异常数据进行分析匹配与处理的风险分析处理模块,应急工具箱与所述管理端连接,用于对遭受网络安全应急事件影响的主机借助于专家端的协助进行安全管理、安全检测和深度分析,具体部件包括应急处置主机、U盘、视频装置和音频装置,应急处置主机包括综合管理系统、安全检查系统和深度分析系统,用于完成应急事件的检查、处置和管理工作,综合管理系统用于网络安全应急事件的管理,包括事件信息录入、事件信息上报、远程连接、系统设置等功能,安全检查系统用于对受网络攻击主机进行信息收集、安全检查、确定攻击源,包括安全扫描、病毒检查、病毒查杀、报告生成等功能,深度分析系统用于对受网络攻击主机进行深度分析,包括启动项分析、线程句柄分析、系统内核分析、系统端口分析、系统进程分析、文件钩子分析、系统插件分析等功能,自动生成分析报告,实现对受到网络安全事件影响的主机的深度分析,寻找事件网络安全事件发生的原因,U盘存储病毒样本特征,用于协助安全检查系统检查分析受网络攻击主机是否感染病毒,视频装置用于应急处置现场视频信号的采集,音频装置用于应急处置现场音频信号的采集。
作为一种优化的技术方案,管理端具体包括:用户管理模块,用于对系统用户进行用户添加、用户信息修改、用户删除、用户信息查询、用户权限管理;
事件管理模块,用于对事件信息进行综合管理;具体为,对网络安全应急事件信息进行网络安全应急事件信息的添加、网络安全应急事件信息的修改、网络安全应急事件信息的查询、网络安全应急事件信息的删除、和/或网络安全应急事件的评级;
事件处置模块,分析事件得到线索树和攻击者信息,包括分析结果展示和线索展示,基于专家知识库模块的信息对分析结果进行确认,依据得到的线索树和攻击者相关信息,对事件定性,得出整改建议并出具事件处置报告,事件处置模块中对事件的分析包括自动分析和人工分析;
应急工具箱还包括风险检测模块,用于对网络数据进行安全性检测,对异常数据进行检测与分类,包括系统漏洞验证工具、网站漏洞验证工具、数据库漏洞验证工具、病毒检测工具、木马检测工具及恶意代码检测工具;
数据保护模块,用于在检测到异常数据后对本地数据进行保护,包括过滤驱动模块、读取模块、上传模块;其中,过滤驱动模块用于获取数据备份请求与得到增量元数据;读取模块用于根据增量元数据从磁盘中读取对应的增量数据;上传模块用于将所读取的增量数据上传给备份服务器,触发备份服务器对增量数据进行备份;
风险分析处理模块,用于对异常数据进行分析匹配与处理,包括循环神经网络模型构建模块、循环神经网络模型预测分析模块、风险信息提取模块、风险处理模块、数据输送模块,其中,循环神经网络模型构建模块用于实现循环神经网络模型的构建,循环神经网络模型评价模块用于对异常数据进行分析预测,风险信息提取模块用于对异常数据进行处理并得到线索树与攻击者信息,风险处理模块用于对风险进行匹配与及时抢修,数据输送模块用于将专家知识数据、线索树与攻击者信息输送至远程连接辅助模块。
作为一种优化的技术方案,远程连接辅助模块包括授权认证模块和远程连接模块;
其中,授权认证模块用于远程连接中进行服务器端与管理中心模块之间的授权认证;远程连接模块用于进行管理中心模块和服务器端的远程连接,远程连接辅助模块还包括辅助工具模块,辅助工具模块包括用于验证目标对象漏洞存在情况的漏洞验证工具和用于检测目标对象是否存在后门的病毒挂马检测工具,辅助工具模块还包括日志分析工具、日志分割工具和文件恢复工具,通报预警模块中的四个单元包括:
预警发布内容:安全检测、监测的研判结果,包括攻击信息、日志信息、故障信息、状态信息、性能指标分析结果、检查报告;
采用技术手段包括,信息筛选、数据分类、分析结果、告警处理结果、行业排名、区域排名;
预警发布方式包括,大屏展示、信息滚动播放、邮件通知、短信通知、运维平台、应急处置平台;
预警发布结果,利用邮件短信发送告警信息,并提供解决方案,达到流程追溯、取证记录和事件管理的目的。
在本实施例中,利用云端数据库构建网络风险数据库,能够根据实时监测获取的异常数据进行分析预测,便于对风险进行及时整改及预警,减少应急处理漏洞检测与整改的流程,提高效率;配合实时的数据采集模块,时刻保证系统处于风险检测状态,有效地保证了系统安全;在发生漏洞后采取的数据保护模块,能够及时对无本地缓存的连续数据进行及时保护,利用专家端远程建立人工处理平台,方便专家对网络应急事件进行分析研判和指导,提高了网络安全事件的处理效率。
实施例2:
在本实施例中,提供了一种网络安全应急处置系统的应用方法,包括以下步骤:
S1:建立数据库,在云端网络存储风险数据及专家知识数据并定期进行更新;
S2:接收网络安全事件的信息,并通过应急工具箱中的风险检测模块对信息进行安全性检测;
S3:通过数据采集模块进行实时监测与采集网络数据,包括网站源码、操作系统日志、网站web访问日志、中间件日志的信息,并利用风险分析处理模块进行病毒、木马、恶意代码的检查,查找被植入的病毒文件、木马文件、WebShell文件;
S4:将查找得到的病毒文件、木马文件、WebShell文件作为初始线索传输至管理端中,利用管理端内的事件处置模块进行分析,得到线索树和攻击者信息;
S5:将结果传输至专家端,利用人工远程对比云端数据库内的数据信息和步骤S4的分析结果,进行处理确认,若确认无误则进行下一步,否则返回步骤S4;
S6:依据分析所得的线索树和攻击者相关信息,处置结论模块对事件定性,通过通报预警模块将信息进行整合,利用邮件短信发送告警信息,并提供解决方案;
S7:对相关单位和人员进行规劝整改。
在本实施例中,安全性检测包括系统漏洞、网站漏洞和数据库漏洞校验,整改为基于整改建议和事件报告,使用辅助工具完成网站清理、系统恢复、漏洞加固。
上述实施方式仅为本发明的优选实施方式,不能依次来限定本发明保护的范围,本领域的技术人员对本发明的技术方案进行各种组合、修改或者等同替换,都不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种网络安全应急处置系统,其特征在于,所述系统包括:
管理端,部署在网络数据机房的服务器端,用于对所述网络安全应急处置系统进行管理,并完成系统之间各个模块的连接、以及专家端和应急工具箱之间数据流的传输与转发;
云端数据库模块,用于在网络云端平台存储风险数据及专家知识数据并定期进行更新;
数据采集模块,用于实时监测与采集网络数据,包括网站源码、操作系统日志、网站web访问日志、中间件日志的信息;
通报预警模块,将包括病毒、漏洞、安全通告在内的外部预警以及来自自身网络数据的内部预警的信息进行整合形成预警发布内容、采用技术手段、预警发布方式、预警发布结果四个单元,通报预警模块支持安全监测预警和信息通报,通过接口上报和下发安全信息;
专家端,与所述管理端连接,用于供网络安全专家使用,远程协助使用应急工具箱处置网络安全应急事件;
应急工具箱,包括用于在检测到异常数据后对本地数据进行保护的数据保护模块、用于实现远程协助处理安全事件的远程连接辅助模块和用于对异常数据进行分析匹配与处理的风险分析处理模块,所述应急工具箱与所述管理端连接,用于对遭受网络安全应急事件影响的主机借助于专家端的协助进行安全管理、安全检测和深度分析。
2.根据权利要求1所述的一种网络安全应急处置系统,其特征在于:所述管理端具体包括:用户管理模块,用于对系统用户进行用户添加、用户信息修改、用户删除、用户信息查询、用户权限管理;
事件管理模块,用于对事件信息进行综合管理;
事件处置模块,分析事件得到线索树和攻击者信息,包括分析结果展示和线索展示,基于专家知识库模块的信息对分析结果进行确认,依据得到的线索树和攻击者相关信息,对事件定性,得出整改建议并出具事件处置报告,所述事件处置模块中对事件的分析包括自动分析和人工分析。
3.根据权利要求1所述的一种网络安全应急处置系统,其特征在于:所述应急工具箱还包括风险检测模块,用于对网络数据进行安全性检测,对异常数据进行检测与分类,包括系统漏洞验证工具、网站漏洞验证工具、数据库漏洞验证工具、病毒检测工具、木马检测工具及恶意代码检测工具;
所述数据保护模块,用于在检测到异常数据后对本地数据进行保护,包括过滤驱动模块、读取模块、上传模块;
所述风险分析处理模块,用于对异常数据进行分析匹配与处理,包括循环神经网络模型构建模块、循环神经网络模型预测分析模块、风险信息提取模块、风险处理模块、数据输送模块。
4.根据权利要求1所述的一种网络安全应急处置系统,其特征在于:所述远程连接辅助模块包括授权认证模块和远程连接模块;
其中,所述授权认证模块用于远程连接中进行服务器端与所述管理中心模块之间的授权认证;所述远程连接模块用于进行所述管理中心模块和服务器端的远程连接。
5.根据权利要求4所述的一种网络安全应急处置系统,其特征在于:所述远程连接辅助模块还包括辅助工具模块,所述辅助工具模块包括用于验证目标对象漏洞存在情况的漏洞验证工具和用于检测目标对象是否存在后门的病毒挂马检测工具,所述辅助工具模块还包括日志分析工具、日志分割工具和文件恢复工具。
6.根据权利要求1所述的一种网络安全应急处置系统,其特征在于:所述通报预警模块中的四个单元包括:
预警发布内容:安全检测、监测的研判结果,包括攻击信息、日志信息、故障信息、状态信息、性能指标分析结果、检查报告;
采用技术手段包括,信息筛选、数据分类、分析结果、告警处理结果、行业排名、区域排名;
预警发布方式包括,大屏展示、信息滚动播放、邮件通知、短信通知、运维平台、应急处置平台;
预警发布结果,利用邮件短信发送告警信息,并提供解决方案,达到流程追溯、取证记录和事件管理的目的。
7.根据权利要求1所述的一种网络安全应急处置系统的应用方法,其特征在于:包括以下步骤:
S1:建立数据库,在云端网络存储风险数据及专家知识数据并定期进行更新;
S2:接收网络安全事件的信息,并通过应急工具箱中的风险检测模块对信息进行安全性检测;
S3:通过数据采集模块进行实时监测与采集网络数据,包括网站源码、操作系统日志、网站web访问日志、中间件日志的信息,并利用风险分析处理模块进行病毒、木马、恶意代码的检查,查找被植入的病毒文件、木马文件、WebShell文件;
S4:将查找得到的病毒文件、木马文件、WebShell文件作为初始线索传输至管理端中,利用管理端内的事件处置模块进行分析,得到线索树和攻击者信息;
S5:将结果传输至专家端,利用人工远程对比云端数据库内的数据信息和步骤S4的分析结果,进行处理确认,若确认无误则进行下一步,否则返回步骤S4;
S6:依据分析所得的线索树和攻击者相关信息,处置结论模块对事件定性,通过通报预警模块将信息进行整合,利用邮件短信发送告警信息,并提供解决方案;
S7:对相关单位和人员进行规劝整改。
8.根据权利要求7所述一种网络安全应急处置系统的应用方法,其特征在于:所述安全性检测包括系统漏洞、网站漏洞和数据库漏洞校验,所述整改为基于整改建议和事件报告,使用辅助工具完成网站清理、系统恢复、漏洞加固。
CN202210919765.XA 2022-08-02 2022-08-02 一种网络安全应急处置系统及应用方法 Pending CN115567235A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210919765.XA CN115567235A (zh) 2022-08-02 2022-08-02 一种网络安全应急处置系统及应用方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210919765.XA CN115567235A (zh) 2022-08-02 2022-08-02 一种网络安全应急处置系统及应用方法

Publications (1)

Publication Number Publication Date
CN115567235A true CN115567235A (zh) 2023-01-03

Family

ID=84739492

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210919765.XA Pending CN115567235A (zh) 2022-08-02 2022-08-02 一种网络安全应急处置系统及应用方法

Country Status (1)

Country Link
CN (1) CN115567235A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116506208A (zh) * 2023-05-17 2023-07-28 河南省电子信息产品质量检验技术研究院 一种基于局域网内计算机软件信息安全维护系统
CN116668062A (zh) * 2023-04-11 2023-08-29 丰辰网络科技(无锡)有限公司 一种基于数据分析的网络安全运维管理平台
CN116708005A (zh) * 2023-07-14 2023-09-05 深圳市志合创伟信息技术有限公司 一种基于大数据的网络安全管控方法及系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116668062A (zh) * 2023-04-11 2023-08-29 丰辰网络科技(无锡)有限公司 一种基于数据分析的网络安全运维管理平台
CN116668062B (zh) * 2023-04-11 2024-01-05 丰辰网络科技(无锡)有限公司 一种基于数据分析的网络安全运维管理平台
CN116506208A (zh) * 2023-05-17 2023-07-28 河南省电子信息产品质量检验技术研究院 一种基于局域网内计算机软件信息安全维护系统
CN116506208B (zh) * 2023-05-17 2023-12-12 河南省电子信息产品质量检验技术研究院 一种基于局域网内计算机软件信息安全维护系统
CN116708005A (zh) * 2023-07-14 2023-09-05 深圳市志合创伟信息技术有限公司 一种基于大数据的网络安全管控方法及系统
CN116708005B (zh) * 2023-07-14 2024-03-22 深圳市志合创伟信息技术有限公司 一种基于大数据的网络安全管控方法及系统

Similar Documents

Publication Publication Date Title
CN115567235A (zh) 一种网络安全应急处置系统及应用方法
CN108989150B (zh) 一种登录异常检测方法及装置
CN103428196B (zh) 一种基于url白名单的web应用入侵检测方法
CN110543767A (zh) 一种针对开源组件漏洞自动化监控方法及系统
CN106202511A (zh) 一种基于日志分析的告警方法和系统
JP6523582B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN104376023A (zh) 一种基于日志的审计方法及系统
CN113381980B (zh) 信息安全防御方法及系统、电子设备、存储介质
CN108763966B (zh) 一种尾气检测作弊监管系统及方法
CN113987504A (zh) 一种网络资产管理的漏洞检测方法
KR101444250B1 (ko) 개인정보 접근감시 시스템 및 그 방법
CN113824745A (zh) 一种基于循环神经网络模型的网络安全应急处置系统
CN112565278A (zh) 一种捕获攻击的方法及蜜罐系统
CN116389235A (zh) 一种应用于工业物联网的故障监测方法及系统
CN117439916A (zh) 一种网络安全测试评估系统及方法
CN115378711A (zh) 一种工控网络的入侵检测方法和系统
CN108566392B (zh) 基于机器学习的防御cc攻击系统与方法
CN113709170A (zh) 资产安全运营系统、方法和装置
CN117375985A (zh) 安全风险指数的确定方法及装置、存储介质、电子装置
CN112073396A (zh) 一种内网横向移动攻击行为的检测方法及装置
CN115473675B (zh) 一种网络安全态势感知方法、装置、电子设备及介质
CN116614258A (zh) 一种安全态势感知系统的网络危险预测模型
CN110555308A (zh) 一种终端应用行为跟踪和威胁风险评估方法及系统
CN114186278A (zh) 数据库异常操作识别方法、装置与电子设备
CN103150512B (zh) 一种蜜罐系统和运用该系统检测木马的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination