專利名稱:一種安全事件實時確認方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及信息安全領域,具體涉及一種安全事件實時確認方法及系統(tǒng)�����。
背景技術:
隨著Internet的發(fā)展��,計算機網(wǎng)絡的信息與網(wǎng)絡安全面臨著前所未有的嚴峻形 勢�����。網(wǎng)絡入侵檢測系統(tǒng)(NIDS)作為一種幫助用戶及時了解網(wǎng)絡安全信息的實際解決方法, 正在成為任何一個嚴肅的網(wǎng)絡保護戰(zhàn)略中不可或缺的組成部分�。但入侵檢測系統(tǒng)(IDS)通 常會報告大量安全事件,使安全管理員淹沒在事件洪流中不知所措�,嚴重影響了后期的入 侵響應,是目前科學界和工業(yè)界的廣泛共識���。提高檢測精度����,使管理人員直觀的獲悉“誰被攻擊���?攻擊是否成功�����?以及應當對 攻擊采取什么對策���? ”,已經(jīng)成為亟待解決的問題���,業(yè)界將這些問題稱為安全事件的攻擊確 認���。對于安全事件的攻擊確認�����,目前主流做法有兩種(1)通過直接訪問疑似被攻擊機����,確認是否真正發(fā)生攻擊�����,典型的應用在業(yè)界稱之 為威脅響應技術�����。通過確認目標操作系統(tǒng)或設備的危險性����、補丁等級檢查���、讀取系統(tǒng)日志進 行詳細的系統(tǒng)調(diào)查�����、搜集重要證據(jù)以及發(fā)送攻擊確認通知等一系列動作��,將確認結(jié)果通知 管理員��。這種方式準確性很高���,但有一定局限性�����,首先掃描被攻擊主機會增加疑似攻擊機負 擔����;其次登錄到被攻擊主機上進行取證確認這種方法需要知道被保護主機的隱私信息����,不 夠靈活;再次對于黑客來說�,攻擊成功后通常會擦除痕跡,取證難度很大�。(2)通過多個檢測系統(tǒng)合作,融合協(xié)同與時/空關聯(lián)分析方法����,對安全事件進行多 層次確認�����。此方式適用于分布式入侵檢測系統(tǒng)��,但由于通訊及分析算法原因�����,一般采取后期 驗證的方式�����,有時間的滯后性�;另外該方法對多個采集點數(shù)據(jù)進行關聯(lián)分析時����,存在一定的 不確定性,確認的準確性很大程度上取決于模型建立的好壞���。綜上所述,業(yè)界亟待提出一種簡單高效的安全事件實時確認方法及系統(tǒng)�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術問題,在于需要提供一種安全事件實時確認方法及系統(tǒng)���, 以實時高效地進行安全事件的確認�。為了解決上述技術問題����,本發(fā)明提供了一種安全事件實時確認方法,包括接收網(wǎng)絡報文�����;對所述網(wǎng)絡報文進行攻擊行為檢測��,將檢測出攻擊行為的所述網(wǎng)絡報文描述為攻 擊報文���;提取所述攻擊報文的響應報文�����;使用一安全事件確認規(guī)則���,對所述響應報文進行匹配,得到所述攻擊報文的攻擊 確認結(jié)果�����,所述安全事件確認規(guī)則用于判定所述攻擊是否成功。優(yōu)選地����,所述安全事件確認規(guī)則中,包含有攻擊成功特征和/或攻擊失敗特征���,所述攻擊成功特征用于判定所述攻擊報文攻擊成功�,所述攻擊失敗特征用于判定所述攻擊報 文攻擊失敗���。優(yōu)選地�,所述攻擊確認結(jié)果�����,包括確認為攻擊成功的攻擊成功事件��、確認為攻擊失 敗的攻擊失敗事件����,或者無法確認為攻擊成功或者失敗的攻擊結(jié)果未知事件。優(yōu)選地,檢測到所述攻擊報文后���,監(jiān)控到所述攻擊報文所屬連接上的后續(xù)報文為 攻擊者發(fā)出的網(wǎng)絡報文時,確認所述攻擊報文攻擊失敗����。優(yōu)選地,對所述響應報文進行所述匹配��,包括采用匹配樹方式進行���。為了解決上述技術問題����,本發(fā)明還提供了一種安全事件實時確認系統(tǒng)���,包括接收模塊��,用于接收報文����;檢測模塊�����,與所述接收模塊相連,用于對所述網(wǎng)絡報文進行攻擊行為檢測��,將檢測 出攻擊行為的所述網(wǎng)絡報文描述為攻擊報文���;提取模塊��,與所述檢測模塊相連���,用于提取所述攻擊報文的響應報文;安全事件確認規(guī)則庫��,用于存儲判定攻擊是否成功的安全事件確認規(guī)則���;匹配模塊���,與所述提取模塊及安全事件確認規(guī)則庫相連,用于使用所述安全事件 確認規(guī)則對所述響應報文進行匹配���,得到所述攻擊報文的攻擊確認結(jié)果���。優(yōu)選地,所述安全事件確認規(guī)則庫,包含有攻擊成功特征和/或攻擊失敗特征�,所 述攻擊成功特征用于判定所述攻擊報文攻擊成功,所述攻擊失敗特征用于判定所述攻擊報 文攻擊失敗��。優(yōu)選地�,所述匹配模塊得到的所述攻擊確認結(jié)果����,包括確認為攻擊成功的攻擊成 功事件、確認為攻擊失敗的攻擊失敗事件�����,或者無法確認為攻擊成功或者失敗的攻擊結(jié)果 未知事件��。優(yōu)選地�����,所述匹配模塊�����,對所述響應報文進行所述匹配�,包括采用匹配樹方式進 行。優(yōu)選地,所述提取模塊�����,在所述檢測模塊檢測到所述攻擊報文后����,進一步監(jiān)控到所 述攻擊報文所屬連接上的后續(xù)報文為攻擊者發(fā)出的網(wǎng)絡報文時,確認所述攻擊報文攻擊失 敗��。本發(fā)明提供的安全事件實時確認方法及系統(tǒng)�,依據(jù)對網(wǎng)絡攻擊行為模式的分析, 通過對響應報文進行精確匹配���,簡單�、高效并實時地完成安全事件攻擊行為的確認��,使得安 全管理員能夠有的放矢����,重點關注問題設備。與現(xiàn)有技術相比�����,本發(fā)明不需要額外生成探測 引擎對被監(jiān)控主機進行掃描確認,也不需要被監(jiān)控主機提供帳號密碼等隱私信息�,保證了 對用戶透明的同時又節(jié)約了系統(tǒng)開銷。
圖1為本發(fā)明安全事件實時確認方法實施例的流程示意圖�。圖2為圖1所示方法實施例步驟S130中精確匹配的過程。圖3為本發(fā)明提到的安全事件確認規(guī)則示例�。圖4為將本發(fā)明方法應用到一入侵檢測系統(tǒng)中進行入侵檢測實施例的流程示意 圖。圖5為本發(fā)明安全事件實時確認系統(tǒng)實施例的組成示意圖����。
具體實施例方式以下將結(jié)合附圖及實施例來詳細說明本發(fā)明的實施方式�,借此對本發(fā)明如何應用 技術手段來解決技術問題,并達成技術效果的實現(xiàn)過程能充分理解并據(jù)以實施���。一般來說���,多數(shù)的安全事件攻擊成功后,都會從被攻擊機獲得特定的響應報文���。因 此一旦檢測到攻擊報文后�,就開始檢測反向的響應報文�����。在攻擊時間內(nèi),收到成功報文���,則 說明攻擊成功�����,否則說明攻擊失敗���。圖1為本發(fā)明安全事件確認方法實施例的流程示意圖。如圖1所示�����,該方法實施 例主要包括如下步驟步驟S110����,接收網(wǎng)絡報文;步驟S115�,對網(wǎng)絡報文進行攻擊行為檢測,將檢測出攻擊行為的網(wǎng)絡報文描述為 攻擊報文�;本步驟中的檢測方法,可以采用現(xiàn)有技術中的常用方法��,本發(fā)明并不對攻擊行為 檢測進行限定�����;步驟S120,對于檢測出攻擊報文的網(wǎng)絡報文�,提取該攻擊報文的響應報文;步驟S130���,對該響應報文使用一安全事件確認規(guī)則進行精確匹配��,得到攻擊確認 結(jié)果����,其中該安全事件確認規(guī)則用于判定攻擊是否成功�����?���?紤]到流重組的情況����,上述步驟S120中,檢測到攻擊報文后����,繼續(xù)監(jiān)控該攻擊報 文所屬連接上的后續(xù)報文�����,如果監(jiān)控到緊隨該攻擊報文的后續(xù)報文仍然是攻擊者發(fā)出的網(wǎng) 絡報文���,則說明被攻擊者沒有應答該攻擊報文給攻擊者,這種情況可以直接判定為攻擊失 敗���。圖2為圖1所示方法實施例步驟S130中精確匹配的過程��。如圖2所示�,該精確匹 配的過程����,主要包括如下步驟步驟S210,檢測到攻擊報文時��,獲得其中的攻擊報文時間戳并記錄���;步驟S211��,提取到該攻擊報文對應的響應報文后�,從該響應報文中獲得響應報文 時間戳;步驟S212�,通過該攻擊報文時間戳和響應報文時間戳,獲得攻擊響應時間����;步驟S213,判斷該攻擊響應時間是否超過預設的攻擊最長響應時間�����,如果超過則 轉(zhuǎn)步驟S215����,否則執(zhí)行步驟S220 ;步驟S215����,直接判定為攻擊失敗�,結(jié)束。步驟S220����,使用預設的安全事件確認規(guī)則中的攻擊失敗特征,對響應報文進行精 確匹配�����,如果匹配成功,則轉(zhuǎn)步驟S215��,否則執(zhí)行步驟S230 �����;步驟S230���,使用預設的安全事件確認規(guī)則中的攻擊成功特征�����,對響應報文進行精 確匹配��,如果匹配成功���,則轉(zhuǎn)步驟S235,否則轉(zhuǎn)步驟S240 ����;步驟S235,直接判定為攻擊成功,結(jié)束�����。步驟S240�����,判定為攻擊結(jié)果未知��,結(jié)束��。上述步驟S220中��,使用安全事件確認規(guī)則對響應報文進行匹配����,是先判定響應報 文中是否包含有攻擊失敗特征;如果有則進一步判定響應報文中的攻擊失敗特征��,是否與 安全事件確認規(guī)則中的攻擊失敗特征相符合����,如果相符合則表示匹配成功���,判定為攻擊失 敗��,如果不相符合�,則執(zhí)行步驟S230。
5
上述步驟S230中�,使用安全事件確認規(guī)則對響應報文進行匹配,是先判定響應報 文中是否包含有攻擊成功特征�����;如果有則進一步判定響應報文中的攻擊成功特征����,是否與 安全事件確認規(guī)則中的攻擊成功特征相符合,如果相符合則表示匹配成功����,判定為攻擊成 功,如果不相符合��,則執(zhí)行步驟S240�。需要說明的是,針對特定的攻擊����,可能無法同時定義攻擊成功條件與攻擊失敗條 件,但是至少需要定義其中之一,才能進行上述步驟S220或者步驟S230����。上述步驟S220以及步驟S230中對響應報文進行精確匹配,可以選用但不限于匹 配樹方式來進行匹配����。通過圖2所示的精確匹配過程可知,步驟S130中的攻擊確認結(jié)果����,包含有攻擊成 功事件、攻擊失敗事件��、攻擊結(jié)果未知事件����。當然,如果沒有定義安全事件確認規(guī)則�,則得到 的是一般事件的結(jié)果。圖3為本發(fā)明所述安全事件確認規(guī)則示例����。本示例定義了事件“HTTP_IIS_ISAPI. printer訪問”的基本規(guī)則與攻擊確認規(guī)則。http訪問文件名中包含.printer字符串時��,在5秒時間內(nèi)無返回則攻擊失敗�;如 果5秒內(nèi)有返回����,且返回碼為200則攻擊成功,返回碼為404餓攻擊失敗�,返回碼為其他值 則攻擊結(jié)果不確認。本發(fā)明如圖1和圖2所述的方法實施例���,基于對響應報文的精確匹配��,實現(xiàn)了簡 單�����、高效�、實時的安全事件確認��。在整個安全事件確認過程中��,所獲得數(shù)據(jù)來源完全來自網(wǎng) 絡中監(jiān)聽到的數(shù)據(jù)包�,與現(xiàn)有技術相比,不需要額外生成探測引擎對被監(jiān)控主機進行掃描 確認�����,也不需要被監(jiān)控主機提供帳號密碼等隱私信息,保證了對用戶透明的同時又節(jié)約了 系統(tǒng)開銷���。另外����,通過實時監(jiān)控攻擊流并進行判定����,能夠在攻擊結(jié)束瞬間,判定攻擊是否成 功�����,具有良好的實時性�����,并在攻擊成功時能夠及時通知安全管理員�,當前哪些資產(chǎn)已經(jīng)被攻 擊成功,需要重點關注�。圖4為將本發(fā)明方法應用到一入侵檢測系統(tǒng)中進行入侵檢測實施例的流程示意 圖。結(jié)合圖1和圖2所示的本發(fā)明方法實施例�,以及圖3所示的安全事件確認規(guī)則示例���,圖 4所示的入侵檢測實施例主要包括如下步驟步驟S410,初始化該入侵檢測系統(tǒng)所使用的若干基本規(guī)則以及若干前述的安全事 件確認規(guī)則�����;其中該若干基本規(guī)則�,用來識別安全事件報文�,該若干安全事件確認規(guī)則,用 來判定攻擊是否成功��,其包括攻擊成功特征�����、攻擊失敗特征�、攻擊最長時間等信息;步驟S420�,直接從網(wǎng)卡讀取原始數(shù)據(jù)報文;步驟S425���,對所讀取的報文進行協(xié)議解析�����,獲得解析結(jié)果��;步驟S426����,使用該若干基本規(guī)則對該解析結(jié)果進行匹配,匹配成功則表示該報文 為安全事件報文����,轉(zhuǎn)步驟S430,否則轉(zhuǎn)步驟S420繼續(xù)讀取報文����;步驟S430,判斷是否需要對該安全事件報文進行確認�����,如果需要確認����,則轉(zhuǎn)到步驟 S440,否則轉(zhuǎn)步驟S450 ��;步驟S440�,按照前述圖2所示匹配過程進行精確匹配��,獲得攻擊確認結(jié)果并上報����, 然后返回步驟S420繼續(xù)讀取報文�;步驟S450,將該安全事件報文確定為一般安全事件��,然后返回步驟S420繼續(xù)執(zhí) 行���。
6
圖5為本發(fā)明中安全事件實時確認系統(tǒng)實施例的組成示意圖。結(jié)合圖1至圖4對 本發(fā)明中安全事件實時確認方法的說明�,圖5所示的系統(tǒng)實施例主要包括接收模塊510、檢 測模塊520����、提取模塊530、安全事件確認規(guī)則庫540以及匹配模塊550�,其中接收模塊510,用于接收網(wǎng)絡報文��;檢測模塊520�,與該接收模塊510相連,用于對該網(wǎng)絡報文進行攻擊行為檢測�,將 檢測出攻擊行為的網(wǎng)絡報文描述為攻擊報文�����;提取模塊530�����,與該檢測模塊520相連���,用于提取該攻擊報文的響應報文;安全事件確認規(guī)則庫540�,用于存儲判定攻擊是否成功的安全事件確認規(guī)則;匹配模塊550��,與該提取模塊530及安全事件確認規(guī)則庫540相連����,用于使用該安 全事件確認規(guī)則對該響應報文進行匹配,得到該攻擊報文的攻擊確認結(jié)果���;特別地�,若提取 模塊530在檢測模塊520檢測到攻擊報文后���,提取到該攻擊報文所屬連接上的后續(xù)報文����,為 攻擊者發(fā)出的網(wǎng)絡報文,則直接確認為攻擊失敗����。該安全事件確認規(guī)則庫540,包含有攻擊成功特征和/或攻擊失敗特征�,該攻擊成 功特征用于判定攻擊成功,該攻擊失敗特征用于判定攻擊失敗���。該匹配模塊550得到的該攻擊確認結(jié)果�,包括確認為攻擊成功的攻擊成功事件�����、 確認為攻擊失敗的攻擊失敗事件�,或者無法確認為攻擊成功或者失敗的攻擊結(jié)果未知事 件�����。本發(fā)明提供的安全事件實時確認方法及系統(tǒng)��,依據(jù)對網(wǎng)絡攻擊行為模式的分析, 通過對響應報文進行精確匹配����,實時的完成安全事件攻擊行為的確認。與現(xiàn)有技術相比�,既 不需要了解被監(jiān)控主機的隱私信息,又能及時通知安全管理員��,使得安全管理員能夠有的 放矢�,重點關注問題設備。雖然本發(fā)明所揭露的實施方式如上��,但所述的內(nèi)容只是為了便于理解本發(fā)明而采 用的實施方式�,并非用以限定本發(fā)明。任何本發(fā)明所屬技術領域內(nèi)的技術人員�,在不脫離本 發(fā)明所揭露的精神和范圍的前提下,可以在實施的形式上及細節(jié)上作任何的修改與變化��, 但本發(fā)明的專利保護范圍����,仍須以所附的權利要求書所界定的范圍為準。
權利要求
一種安全事件實時確認方法�,其特征在于,包括接收網(wǎng)絡報文�;對所述網(wǎng)絡報文進行攻擊行為檢測,將檢測出攻擊行為的所述網(wǎng)絡報文描述為攻擊報文;提取所述攻擊報文的響應報文�;使用一安全事件確認規(guī)則,對所述響應報文進行匹配���,得到所述攻擊報文的攻擊確認結(jié)果��,所述安全事件確認規(guī)則用于判定所述攻擊是否成功����。
2.如權利要求1所述的方法���,其特征在于所述安全事件確認規(guī)則中��,包含有攻擊成功特征和/或攻擊失敗特征���,所述攻擊成功 特征用于判定所述攻擊報文攻擊成功,所述攻擊失敗特征用于判定所述攻擊報文攻擊失 敗�。
3.如權利要求2所述的方法��,其特征在于所述攻擊確認結(jié)果��,包括確認為攻擊成功的攻擊成功事件��、確認為攻擊失敗的攻擊失 敗事件,或者無法確認為攻擊成功或者失敗的攻擊結(jié)果未知事件��。
4.如權利要求1所述的方法��,其特征在于檢測到所述攻擊報文后���,監(jiān)控到所述攻擊報文所屬連接上的后續(xù)報文為攻擊者發(fā)出的 網(wǎng)絡報文時���,確認所述攻擊報文攻擊失敗。
5.如權利要求1所述的方法�����,其特征在于對所述響應報文進行所述匹配��,包括采用匹配樹方式進行��。
6.一種安全事件實時確認系統(tǒng)�,其特征在于,包括接收模塊�,用于接收報文;檢測模塊��,與所述接收模塊相連���,用于對所述網(wǎng)絡報文進行攻擊行為檢測���,將檢測出攻 擊行為的所述網(wǎng)絡報文描述為攻擊報文���;提取模塊,與所述檢測模塊相連���,用于提取所述攻擊報文的響應報文�����;安全事件確認規(guī)則庫�,用于存儲判定攻擊是否成功的安全事件確認規(guī)則�;匹配模塊,與所述提取模塊及安全事件確認規(guī)則庫相連���,用于使用所述安全事件確認 規(guī)則對所述響應報文進行匹配�����,得到所述攻擊報文的攻擊確認結(jié)果����。
7.如權利要求6所述的系統(tǒng)�,其特征在于所述安全事件確認規(guī)則庫,包含有攻擊成功特征和/或攻擊失敗特征�����,所述攻擊成功 特征用于判定所述攻擊報文攻擊成功�����,所述攻擊失敗特征用于判定所述攻擊報文攻擊失 敗����。
8.如權利要求7所述的系統(tǒng),其特征在于所述匹配模塊得到的所述攻擊確認結(jié)果�����,包括確認為攻擊成功的攻擊成功事件���、確認 為攻擊失敗的攻擊失敗事件�,或者無法確認為攻擊成功或者失敗的攻擊結(jié)果未知事件���。
9.如權利要求6所述的系統(tǒng)�����,其特征在于所述匹配模塊���,對所述響應報文進行所述匹配���,包括采用匹配樹方式進行。
10.如權利要求1所述的系統(tǒng)�����,其特征在于所述提取模塊��,在所述檢測模塊檢測到所述攻擊報文后�,進一步監(jiān)控到所述攻擊報文 所屬連接上的后續(xù)報文為攻擊者發(fā)出的網(wǎng)絡報文時,確認所述攻擊報文攻擊失敗�。
全文摘要
本發(fā)明公開了一種安全事件實時確認方法及系統(tǒng),以實時高效地進行安全事件的確認�。其中該方法包括對接收網(wǎng)絡報文進行攻擊行為檢測,將檢測出攻擊行為的所述網(wǎng)絡報文描述為攻擊報文�;提取所述攻擊報文的響應報文;使用一安全事件確認規(guī)則���,對所述響應報文進行匹配���,得到所述攻擊報文的攻擊確認結(jié)果�,所述安全事件確認規(guī)則用于判定所述攻擊是否成功�。本發(fā)明通過對響應報文進行精確匹配�����,實時地完成安全事件攻擊行為的確認����。
文檔編號H04L29/06GK101902334SQ20091008470
公開日2010年12月1日 申請日期2009年5月25日 優(yōu)先權日2009年5月25日
發(fā)明者趙東賓 申請人:北京啟明星辰信息技術股份有限公司;北京啟明星辰信息安全技術有限公司