一种远程应急响应系统及其响应方法与流程

本发明涉及网络信息安全领域，尤其涉及一种远程应急响应系统及其响应方法。

背景技术：

网络应急响应是在网络和系统出现紧急情况时的行动，通常需要安全专家通过现场或远程方式针对网络、设备或系统进行检查分析，在分析出安全问题后进行相应处理(如配置安全策略、优化注册表、删除进程等)，对企业内网设备和系统来说，在远程方式下还需要先通过VPN等方式接入内网。

在上述传统应急响应方式下，通过安全专家人工检查与分析判断，自动化处理能力不足，效率较低，时效性难以保证；现场方式还存在成本较高的问题。

技术实现要素：

鉴于现有技术中存在的上述缺陷，本发明所要解决的技术问题是，提供一种远程应急响应系统及其响应方法，以解决现有应急响应方式自动化处理能力不足、效率低下的问题。本发明是通过如下技术方案来实现的：

一种远程应急响应系统，包括客户端、应急代理和云端应急中心；

所述客户端包括终端管理单元和应急服务单元，所述应急代理包括信息收集单元，所述云端应急中心包括应急响应单元、安全分析单元和专家分析单元；

所述终端管理单元用于对所述客户端所管理的所有终端进行扫描，以发现存在安全问题的终端；

所述应急服务单元用于向所述存在安全问题的终端推送所述应急代理，以将所述应急代理自动安装到所述存在安全问题的终端中，同时，接收该应急代理的信息收集单元收集的所述存在安全问题的终端的信息，并在接收到所述存在安全问题的终端的信息后向所述云端应急中心发送应急服务请求；所述应急服务请求中包含所述存在安全问题的终端的信息以及所需的应急服务，所述应急服务包括应急分析，所述应急服务请求中还设定了应急分析结果的发送方式；

所述应急响应单元用于接收所述应急服务请求，并将所述应急服务请求中包含的所述存在安全问题的终端的信息发送给所述安全分析单元与专家分析单元；

所述安全分析单元用于对所述存在安全问题的终端的信息进行安全问题分析，并生成分析结果，并将所述分析结果发送到所述应急响应单元；

所述专家分析单元用于提供界面以显示所述存在安全问题的终端的信息供人工分析和录入人工输入的分析结果，并将所述人工输入的分析结果发送到所述应急响应单元；

所述应急响应单元将从所述安全分析单元和专家分析单元接收到的分析结果以所述发送方式发送出去。

进一步地，所述客户端安装于内网中，对所述内网中的所有终端进行管理。

进一步地，所述应急服务还包括应急处理，所述应急代理还包括应急处理单元；

所述应急响应单元还用于通过所述应急服务单元连接所述应急处理单元，并通过所述应急处理单元对该应急处理单元所属的应急代理所安装于的终端进行应急处理。

进一步地，所述应急处理包括关闭可疑端口、删除可疑用户、关闭可疑进程、修改可疑注册表项。

进一步地，所述应急响应单元与所述应急处理单元之间的连接方式为远程桌面连接或SSH连接。

一种远程应急响应系统的响应方法，所述远程应急响应系统包括客户端、应急代理和云端应急中心；所述客户端包括终端管理单元和应急服务单元，所述应急代理包括信息收集单元，所述云端应急中心包括应急响应单元、安全分析单元和专家分析单元；所述响应方法包括如下步骤：

步骤A：所述终端管理单元对所述客户端所管理的所有终端进行扫描，以发现存在安全问题的终端；

步骤B：所述应急服务单元向所述存在安全问题的终端推送所述应急代理，以将所述应急代理自动安装到所述存在安全问题的终端中；

步骤C：所述应急代理的信息收集单元收集所述存在安全问题的终端的信息，并将所述存在安全问题的终端的信息发送给所述应急服务单元；

步骤D：所述应急服务单元在接收到所述存在安全问题的终端的信息后向所述云端应急中心发送应急服务请求；所述应急服务请求中包含所述存在安全问题的终端的信息以及所需的应急服务，所述应急服务包括应急分析，所述应急服务请求中还设定了应急分析结果的发送方式；

步骤E：所述应急响应单元接收所述应急服务请求，并将所述应急服务请求中包含的所述存在安全问题的终端的信息发送给所述安全分析单元与专家分析单元；

步骤F：所述安全分析单元对所述存在安全问题的终端的信息进行安全问题分析，并生成分析结果，并将所述分析结果发送到所述应急响应单元；同时，所述专家分析单元提供界面以显示所述存在安全问题的终端的信息供人工分析和录入人工输入的分析结果，并将所述人工输入的分析结果发送到所述应急响应单元；

步骤G：所述应急响应单元将从所述安全分析单元和专家分析单元接收到的分析结果以所述发送方式发送出去。

进一步地，所述客户端安装于内网中，对所述内网中的所有终端进行管理。

进一步地，所述应急服务还包括应急处理，所述应急代理还包括应急处理单元；

所述应急响应单元还用于通过所述应急服务单元连接所述应急处理单元，并通过所述应急处理单元对该应急处理单元所属的应急代理所安装于的终端进行应急处理。

进一步地，所述应急处理包括关闭可疑端口、删除可疑用户、关闭可疑进程、修改可疑注册表项。

进一步地，所述应急响应单元与所述应急处理单元之间的连接方式为远程桌面连接或SSH连接。

与现有技术相比，本发明提供的远程应急响应系统及其响应方法通过客户端自动扫描存在安全问题的终端，并向其自动推送应急代理，应急代理自动安装到存在安全问题的终端中并采集终端信息，客户端向云端应急中心发送包含应急代理采集的终端信息的应急服务请求，云端应急中心再对请求中的终端信息进行自动安全分析和专家人工分析，并将得出的应急分析结果发送出去。本发明实现了远程的快速自动化应急，提高了应急处理效率，解决了现有应急响应方式自动化处理能力不足，效率低下的问题。

附图说明

图1：本发明实施例提供的远程应急响应系统的结构示意图；

图2：本发明实另一实施例提供的远程应急响应系统的响应方法流程示意图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供了一种远程应急响应系统，包括客户端1、应急代理2和云端应急中心3。其中：

客户端1包括终端管理单元102和应急服务单元101。应急代理2包括信息收集单元201。云端应急中心3包括应急响应单元301、安全分析单元302和专家分析单元303。

客户端1安装在有应急服务需求的网络中，对网络中的所有终端进行统一管理。具体来说，客户端1可以是安装于内网中，对内网中的所有终端进行管理，内网中的各终端均有自己的内网地址，在安装客户端1的服务器上应设置双网卡，其中一个网卡接内网地址，另一个网卡接公网地址，其中公网地址可被云端应急中心3访问到。

终端管理单元102用于对客户端1所管理的所有终端进行扫描，以发现存在安全问题的终端。

应急服务单元101用于向存在安全问题的终端推送应急代理2，以将应急代理2自动安装到存在安全问题的终端中，同时，接收该应急代理2的信息收集单元201收集的存在安全问题的终端的信息，并在接收到存在安全问题的终端的信息后向云端应急中心3发送应急服务请求。应急服务请求中包含存在安全问题的终端的信息以及所需的应急服务，应急服务包括应急分析，应急服务请求中还设定了应急分析结果的发送方式。

信息收集单元201收集的信息包括终端的资源(CPU、内存、硬盘等)利用率、进程情况、开放端口、注册表信息、日志信息等。应急服务请求中还可包括应急服务请求号、客户端1相关信息(包括但不限于客户账号、IP地址等)等。

应急响应单元301用于接收应急服务请求，并将应急服务请求中包含的存在安全问题的终端的信息发送给安全分析单元302与专家分析单元303。

安全分析单元302用于对存在安全问题的终端的信息进行安全问题分析，并生成分析结果，并将分析结果发送到应急响应单元301。

专家分析单元303用于提供界面以显示存在安全问题的终端的信息供人工分析和录入人工输入的分析结果，并将人工输入的分析结果发送到应急响应单元301。

应急响应单元301将从安全分析单元302和专家分析单元303接收到的分析结果以发送方式发送出去。

应急服务还包括应急处理，应急代理2还包括应急处理单元202。此时，应急响应单元301还用于通过应急服务单元101连接应急处理单元202，并通过应急处理单元202对该应急处理单元202所属的应急代理2所安装于的终端进行应急处理。应急响应单元301与应急处理单元202之间的连接方式为远程桌面连接或SSH(Secure Shell，安全外壳协议)连接，也可以是其他连接方式。应急响应单元301可先向客户端1发出连接指令，客户端1中的应急服务单元101收到连接指令后，建立与应急响应单元301的连接，然后应急服务单元101与应急处理单元202建立连接，从而应急响应单元301通过应急服务单元101与应急处理单元202建立起连接。或者客户端1可通过其应急服务单元101建立应急代理2所在终端的端口映射，然后应急响应单元301通过客户端1建立的端口映射建立与应急处理单元202之间的连接，从而建立起与应急代理2所在终端的连接。云端应急中心3利用其应急响应单元301，应急响应单元301基于建立的连接通过应急处理单元202对应急代理2所在的终端进行应急处理。应急处理包括关闭可疑端口、删除可疑用户、关闭可疑进程、修改可疑注册表项等。应急处理完成后，应急服务单元101断开前述连接，即断开应急响应单元301与应急处理单元202之间的连接。应急服务单元101可先断开与应急处理单元202的连接，然后再断开与应急响应单元301的连接。如果是通过前述端口映射方式建立的连接，应急服务单元101断开应急响应单元301与应急处理单元202之间的连接后，还要删除相应端口映射。

应急代理2还可包括代理控制单元103，代理控制单元103用于对应急代理2进行管理，包括应急代理2的状态监测、应急代理2信息维护等，应急代理2信息包括但不限于应急代理2所在终端的IP地址、终端名称、终端类型、存在时间等。

结合图1、图2所示，本发明另一实施例还提供了一种远程应急响应系统的响应方法，远程应急响应系统包括客户端1、应急代理2和云端应急中心3。客户端1包括终端管理单元102和应急服务单元101，应急代理2包括信息收集单元201，云端应急中心3包括应急响应单元301、安全分析单元302和专家分析单元303。客户端1安装在有应急服务需求的网络中，对网络中的所有终端进行统一管理。具体来说，客户端1可以是安装于内网中，对内网中的所有终端进行管理，内网中的各终端均有自己的内网地址，在安装客户端1的服务器上应设置双网卡，其中一个网卡接内网地址，另一个网卡接公网地址，其中公网地址可被云端应急中心3访问到。

响应方法包括如下步骤：

步骤A：终端管理单元102对客户端1所管理的所有终端进行扫描，以发现存在安全问题的终端。

步骤B：应急服务单元101向存在安全问题的终端推送应急代理2，以将应急代理2自动安装到存在安全问题的终端中。

步骤C：应急代理2的信息收集单元201收集存在安全问题的终端的信息，并将存在安全问题的终端的信息发送给应急服务单元101。信息收集单元201收集的信息包括终端的资源(CPU、内存、硬盘等)利用率、进程情况、开放端口、注册表信息、日志信息等。

步骤D：应急服务单元101在接收到存在安全问题的终端的信息后向云端应急中心3发送应急服务请求。应急服务请求中包含存在安全问题的终端的信息以及所需的应急服务，应急服务包括应急分析，应急服务请求中还设定了应急分析结果的发送方式。应急服务请求中还可包括应急服务请求号、客户端1相关信息(包括但不限于客户账号、IP地址等)等。

步骤E：应急响应单元301接收应急服务请求，并将应急服务请求中包含的存在安全问题的终端的信息发送给安全分析单元302与专家分析单元303。

步骤F：安全分析单元302对存在安全问题的终端的信息进行安全问题分析，并生成分析结果，并将分析结果发送到应急响应单元301。同时，专家分析单元303提供界面以显示存在安全问题的终端的信息供人工分析和录入人工输入的分析结果，并将人工输入的分析结果发送到应急响应单元301。

步骤G：应急响应单元301将从安全分析单元302和专家分析单元303接收到的分析结果以发送方式发送出去。

应急服务还包括应急处理，应急代理2还包括应急处理单元202。此时，应急响应单元301还用于通过应急服务单元101连接应急处理单元202，并通过应急处理单元202对该应急处理单元202所属的应急代理2所安装于的终端进行应急处理。应急响应单元301与应急处理单元202之间的连接方式为远程桌面连接或SSH连接，也可以是其他连接方式。应急响应单元301可先向客户端1发出连接指令，客户端1中的应急服务单元101收到连接指令后，建立与应急响应单元301的连接，然后应急服务单元101与应急处理单元202建立连接，从而应急响应单元301通过应急服务单元101与应急处理单元202建立起连接。或者客户端1可通过其应急服务单元101建立应急代理2所在终端的端口映射，然后应急响应单元301通过客户端1建立的端口映射建立与应急处理单元202之间的连接，从而建立起与应急代理2所在终端的连接。云端应急中心3利用其应急响应单元301，应急响应单元301基于建立的连接通过应急处理单元202对应急代理2所在的终端进行应急处理。应急处理包括关闭可疑端口、删除可疑用户、关闭可疑进程、修改可疑注册表项等。应急处理完成后，应急服务单元101断开前述连接，即断开应急响应单元301与应急处理单元202之间的连接。应急服务单元101可先断开与应急处理单元202的连接，然后再断开与应急响应单元301的连接。如果是通过前述端口映射方式建立的连接，应急服务单元101断开应急响应单元301与应急处理单元202之间的连接后，还要删除相应端口映射。

应急代理2还可包括代理控制单元103，代理控制单元103用于对应急代理2进行管理，包括应急代理2的状态监测、应急代理2信息维护等，应急代理2信息包括但不限于应急代理2所在终端的IP地址、终端名称、终端类型、存在时间等。

本领域技术人员可以理解，可能以许多方式来实现本发明的方法以及系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及系统。用于上述方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

虽然已经通过示例对本发明的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本发明的范围。尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分或全部技术特征进行等同替换。而这些修改或替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。