企业入侵检测和修复的制作方法
【技术领域】
[0001]本发明涉及企业入侵检测和修复。
【背景技术】
[0002]在线或电子安全是业界非常重要的一个问题。似乎每个月都会出现关于某个重大企业的安全性遭到了破坏的新闻。出现此类安全性遭到破坏的事件的机构包括政府机构、零售店、社会媒体公司,甚至大型银行。
[0003]任何时候,当企业认为已经部署了修复安全破坏的安全措施时,黑客很快就想出了破坏其系统的新方法。在某些情况下,这种破坏甚至并非在企业的系统内进行,而是通过进入或离开企业系统的网络传输线进行;黑客利用嗅探技术获取经过网络线传输的数据包的副本,并找到破解密码的方法(假设采用了密码的话)。
[0004]在消费者身份信息、银行业务和信用卡详细情况存在泄露风险的财务交易中,安全问题尤其是一个重要的问题。
[0005]例如,销售点设备(POS)终端或自动柜员机(ATM)包括各种与主处理单元进行互动的独立的内部性外围设备,如打印机、加密键盘、扫描仪、触摸屏、磁卡阅读器等。这些设备可以通过各种连接,例如通用串行总线(USB)连接和其它连接,而被集成到主处理单元内。这些外围设备之中的每一种都具有处理能力,都会发生泄密;一旦一台外围设备发生泄密,就会使其它外围设备和主处理单元发生泄密,甚至会渗入网络内并扩展到其它POS终端、其它ATM或后端服务器。
[0006]为了改善系统及所有设备及设备和系统之间的连接的安全性,企业花费了大量的人力物力,而且还将继续花费大量的大力物力。这是一个持续的过程,企业总是试图领先黑客一步,但是,企业似乎仍然总是落后黑客一步。
[0007]因此,需要用一种更主动的、适应性更强的和更具动态性的修复方法来改善企业系统的安全性。
【发明内容】
[0008]在不同的实施例中,提供了自动入侵检测和修复的方法。根据一个实施例,提供了一种提供自动入侵检测和修复的方法。
[0009]具体地说,接收一个事件,该事件从一个终端上的一个组件通过一个网络而被安全地传输。访问探试程序,以识别该事件的模式。根据通过网络安全地推送到组件的模式自动地启动一项行动,以便处理该行动。
[0010]根据本发明的第一个方面,提供一种方法,它包括:接收从终端的一个组件通过网络安全地传输的一个事件;访问探试程序以识别该事件的模式;根据通过网络安全地推送到组件的模式,启动一项行动。
[0011 ] 接收事件的步骤任选进一步包括从安全输入/输出模块(S1M)获取事件,该模块是独立的硬件模块,在终端的操作系统的下方运行,并充当与终端的外围设备进行通讯的安全接口。
[0012]接收事件的步骤任选进一步包括从终端的外围设备获取事件,将事件推送到安全输入/输出模块(S1M),该模块是独立的硬件模块,在终端的操作系统的下方运行,充当与外围设备进行通讯的安全接口。
[0013]访问探试程序的步骤任选进一步包括:从一个利用事件连续执行探试算法的任务来对模式进行识别。
[0014]访问探试程序的步骤任选进一步包括:从通过利用事件和其它收集到的事件连续地执行多个探试算法的一系列任务来对模式进行识别。
[0015]访问探试程序的步骤任选进一步包括:挖掘其它事件的历史的数据存储,利用事件通过探试程序来对模式进行识别。
[0016]启动一项行动的步骤任选进一步包括:将所述行动与安全地推送到所述组件或其它组件的其它行动进行连锁。
[0017]启动一项行动的步骤任选进一步包括:将所述行动安全地推送到终端的所述组件或其它组件。
[0018]启动一项行动的步骤任选进一步包括:针对与该组件有关的某个疑似的安全问题并为响应所述行动,由所述组件制定防范措施。
[0019]根据本发明的第二个方面,提供一种系统,它包括:终端设备;集成在终端设备内但独立于终端设备的安全输入/输出模块(S1M);集成到终端设备内的外围设备;及入侵检测系统(IDS),经调整和配置,以便:⑴在终端设备外的服务器上执行,(ii)收集来源于S1M和外围设备之间的安全会话的事件,(iii)根据所述事件,识别潜在的安全威胁模式;及(iv)响应所述潜在安全威胁,产生由以下一种或多种设备进行处理的一项或多项修复行动:S1M和外围设备。
[0020]终端任选是以下设备中的一种:销售点(POS)设备、自助服务终端(SST),如自动柜员机(ATM)或电话亭。
[0021]外围设备任选是以下设备中的一种:磁条阅读器(MSR)、键盘、加密键盘、打印机、扫描仪、键板、有价值媒体分配器、显示器和触摸屏显示器。
[0022]根据本发明的第三方面,提供一种方法,包括:通过安全网络连接,收集来源于安全输入/输出模块(S1M)和外围设备之间的安全会话的事件,S1M和外围设备均集成在终端内;基于该事件,处理探试算法,识别至少一种表明以下一种或多种设备的潜在安全威胁的模式=S1M和外围设备;响应所述潜在威胁,动态地且实时地产生至少一项行动,通过安全的网络发送给以下一种或多种设备:S1M和外围设备,开展修复行动。
[0023]收集到的事件的步骤任选进一步包括同时挖掘其它事件的数据存储。
[0024]处理探试算法的步骤任选进一步包括利用事件和其它事件处理探试算法,识别至少一种模式。
[0025]处理探试算法的步骤任选进一步包括动态地增加一个新的探试算法,与所述探试算法一起处理。
[0026]处理探试算法的步骤任选进一步包括动态地更新至少其中一种探试算法,用以针对事件进行处理。
[0027]动态地且实时地产生至少一项行动的步骤任选进一步包括产生一系列行动,作为至少一项行动发送。
[0028]动态地且实时地引起至少一项行动被发出的步骤,任选进一步包括在修复行动期间终止S1M和外围设备之间的安全会话。
[0029]终止安全会话的步骤任选进一步包括:当修复行动成功处理后,在S1M和外围设备之间重新建立新的安全会话。
【附图说明】
[0030]以下通过举例并参照附图,对本发明的上述内容和其他方面加以具体说明:
[0031]根据一个示例实施例,图1A是用于自动入侵检测和修复的企业系统的图;
[0032]根据一个示例实施例,图1B是图1A所示企业系统的入侵检测系统(IDS)的交互图;
[0033]根据一个示例实施例,图2是提供自动入侵检测和修复的方法的示意图;
[0034]根据一个示例实施例,图3是提供自动入侵检测和修复的另一种方法的示意图;
[0035]根据一个示例实施例,图4是IDS系统的示意图。
【具体实施方式】
[0036]首先参考图1A,根据一个示例实施例,图1A是用于自动入侵检测和修复的企业系统10的图。按照极简的方式画出了企业系统10的各组件,只画出了那些对理解本发明某些实施例所必须的组件。
[0037]企业系统10包括企业服务数据库12、企业配置服务14、系统管理服务16、入侵检测系统(IDS) 18、网络20及多个零售店22。每个零售店都包括几个销售点(POS)终端(还可能是电话亭或自动柜员机(ATM)或它们的组合)24。
[0038]每个终端24包括安全输入/输出模块(S1M) 26,这是一种硬件模块,其操作独立于终端24的操作系统(OS)。每个S1M 26控制前往和来自于终端24的独立外围设备28的消息。图1中示出了外围设备28的一些实例,如扫描仪、键盘、磁条/卡阅读器。值得指出的是,每个终端可能包括不同的或附加的外围设备28,如触摸屏、打印机、出钞器等。
[0039]企业数据库12存储配置密匙(用于加密、解密、认证等)、清单(安全规则、安全政策、加密算法/方法、证书、密钥、安全许可、安全作用等)、固定资产详细情况(设备识别符、设备能力、软件资源、版本信息等)、交易记录(每个零售店22、零售店22的每个终端24,及每个终端24的每个外围设备28),及需要收集和存储在企业数据库12中的其它企业信息。
[0040]企业配置服务14负责利用企业数据库12的清单,安全地配置每个终端24的每个S1M 26。这是利用安全加密协议通过网络20来实现的。清单详细地说明了 S1M 26如何安全地与其所服务的每个外围设备28进行通信,以及对后者的安全进行监测。例如,前往和来自某一扫描仪的数据有效载荷的一种加密算法和密钥组,可使用与前往和来自某一键盘的数据有效载荷完全不同的加密算法和密钥组。
[0041]S1M 26请求初始配置或可以接收主动提供的初始配置。企业配置服务14从与企业数据库12有关的硬件安全模块(或类似安全库)获得对发出请求的S1M