网络安全联动方法、系统和检测装置的制作方法

专利名称：网络安全联动方法、系统和检测装置的制作方法
技术领域：
本发明实施例涉及网络安全技术领域，尤其涉及一种网络安全联动方法、 系统和检测装置。
背景技术：
随着网络技术的不断发展，网络安全已成为人们关注的重要问题。现 有的安全防护技术，是依靠单个安全设备完成网络安全防护，但各个安全 设备彼此独立，不能进行互操作，任何一个安全设备出现问题，便可能导 致安全事故。面对网络安全问题，许多机构配置了网络安全产品，如防火
墙(Fire Wall， FW)、系统扫描器、系统实时监控器、虛拟专用网络(Virtual Private Network, VPN)网关和网络防病毒软件等，但网络安全是个综合 问题，仅仅通过各种功能的网络安全产品简单地叠加无法满足需求。
为解决上述问题，体现"单一防御技术走向整体防御"的安全联动技 术随之而生，安全联动技术即在检测机构发现威胁(或攻击)后，以最快 的方式指示响应机构在源头(入侵行为所属区域)上消灭威胁(或攻击)， 包括安全管理和设备间的互操作技术。其中，安全管理是通过第三方的"管 理中心"模式的实体把各种安全组件统管起来，实现安全设备之间的间接 联动；而设备的互操作则无需通过第三方的统一管理和分析，通过设备间 直接调用以达到联动目的。
现有的安全管理中心(Security Operation Center, SOC )系统包括检 测模块、分析模块和响应模块，检测模块与分析模块之间是单向的信息传 递，即检测模块向分析模块提供分析的素材；分析模块作出分析、决策后，
6下发给系统管理员进行处理，通知响应模块执行相应的操作。该SOC系 统虽然有比较丰富的统一分析功能，也可以把各种安全设备组织起来，但 安全信息和安全响应都是通过上下层关系实现，缺乏下层之间平行的响应 关系，不能实现对安全事件的实时响应，即无法在第一时间及时做出响应，
需要经过统一的分析和人工处理才能达到防护目的。因此，soc技术更适 合于提前预防和事后分析，难以应对实时的攻击。
现有的联动系统是在设备的互操作技术的基础上发展而来的开放的
安全平台(Open Platform for Security, OPSEC)和开放的安全智能平台 (Talent Open Platform for Security, TOPSEC )耳关动^支术，通过i殳备间的 直接调用来达到联动的目的，该联动系统包括检测模块和响应模块，检测 模块直接调用响应模块来达到联动的目的。OPSEC和TOPSEC联动技术 系统虽然能进行高效地响应，但是其为相对封闭的系统，缺乏和上层分析 者之间的交互，难以保证联动的有效性，误报率较高。此外，该联动系统 的实体需要经过事先配置，大多情况下只能解决同一网络内的问题，无法 实现跨网络域的联动。

发明内容
本发明实施例提供一种网络安全联动方法、系统和检测装置，实现能够 在通过分析模块和检测模块的上下层关系实现安全信息和安全响应的同时， 还能够通过检测模块和响应模块的下层之间平行的响应关系实现对安全事件 的实时响应，保证了联动的有效性，降低了误报率。
本发明实施例提供了一种网络安全联动方法，包括 确定网络中的入侵行为类型是否属于已知的入侵行为； 如果属于，则向响应模块发送携带有处理方式的第一指令，所述响应模 块根据所述第一指令所携带的处理方式对所述入侵行为执行相应的处理；
否则，则向分析模块发送未知的入侵行为的相关信息，所述分析^t块对所述相关信息进行分析后，获取相应的处理方式；
向所述响应模块发送携带有所述处理方式的第二指令，所述响应模块根 据所述第二指令所携带的处理方式对所述未知的入侵行为执行相应的处理。
本发明实施例提供了一种检测装置，包括
第一判断单元，用于确定网络中的入侵行为类型是否属于已知的入侵行
为；
第 一执行单元，用于当所述第 一判断单元确定网络中的入侵行为类型属 于已知的入侵行为时，则直接发送携带有处理方式的第一指令；否则，则发 送未知的入侵行为的相关信息。
本发明实施例提供了一种网络安全联动系统，包括
检测模块，用于确定网络中的入侵行为类型是否属于已知的入侵行为， 如果属于，则执行第一联动决策，所述第一联动决策为直接向响应模块发送 携带有处理方式的第一指令；否则，则执行第二联动决策，所述第二联动决 策为向分析模块发送未知的入侵行为的相关信息；
分析模块，用于接收到所述检测模块所发送的未知的入侵行为的相关信 息，对所述相关信息进行分析后，获取相应的处理方式，并向所述响应^^莫块 发送携带有所述处理方式的第二指令；
响应模块，用于根据所述第一指令所携带的处理方式对所述已知的入侵 行为执行相应的处理或根据所述第二指令所携带的处理方式对所述未知的入 侵行为执行相应的处理。
本发明实施例的网络安全联动方法和系统，检测模块检测到网络中的入 侵行为后，判断所述入侵行为是否为已知的入侵行为，直接通知响应模块对 已知的入侵行为进行相应的处理或者将未知的入侵行为的相关信息向分析模 块发送，以供所述分析模块对所述相关信息进行分析后再通知响应模块对未 知的入侵行为进行相应的处理，实现了能够在通过分析模块和检测模块的上 下层关系实现安全信息和安全响应的同时，还能够通过检测模块和响应模块的下层之间平行的响应关系实现对安全事件的实时响应，保证了联动的有效 性，降低了误报率。
下面结合附图和具体实施例进一步说明本发明实施例的技术方案。


图1为本发明网络安全联动方法的第一实施例的流程示意图； 图2为本发明网络安全联动方法的第二实施例的流程示意图； 图3为本发明检测装置的实施例的结构示意图； 图4为本发明网络安全联动系统的实施例的结构示意图。
具体实施例方式
如图1所示，为本发明网络安全联动方法的第一实施例的流程示意图。 本实施例包括以下步骤
步骤101、检测模块检测到网络中的入侵行为后，判断所述入侵行为是 否为已知的入侵行为，如果是，则执行步骤102和步骤103;否则，则执行 步骤104、步骤105和步骤106。
其中的已知的入侵行为是已知的确定的安全威胁，本步骤中，检测模块 可以根据预置已知攻击模式规则库进行模式匹配，判断所述入侵行为是否为 已知的入4I^亍为；
步骤102、检测模块执行第一联动决策，第一联动决策为检测模块直接 向响应模块发送携带有处理方式的第一指令，以直接通知响应模块对已知的 入侵行为进行相应的处理；
步骤103、响应模块根据上述第一指令所携带的处理方式对已知的入侵 行为执行相应的处理；
步骤104、检测模块则执行第二联动决策，第二联动决策为检测模块向 分析模块发送未知的入侵行为的相关信息；步骤105、分析模块对该未知的入侵行为的相关信息进行分析后，获取
相应的处理方式，则通过系统管理员向响应模块发送携带有处理方式的第二
指令，以通知响应模块对该未知的入侵行为进行相应的处理；
步骤106、响应模块根据上述第二指令所携带的处理方式对所述未知的 入4曼4于为4丸4于相应的处理。
本实施例中所涉及的需要联动的设备分为检测模块、分析模块和响应模 块三类。其中，检测模块可以为具有感知网络安全事件能力的实体，包括入 侵检测系统(Invade Detect System, IDS )、反病毒(Anti-Vims， AV )等具有 安全检测能力的组件；分析模块可以为具有分析安全事件、下发安全策略能 力的实体，包括审计、安全管理中心等组件；执行模块可以具有对目标对象 采取措施能力的实体，例如封闭端口、 IP地址、媒体访问控制(MAC)地 址，切断连接等操作，包括防火墙、交换机、路由器等组件。
本实施例中检测模块检测入侵行为是一种数据通信监视手段，入侵检测 技术对于每一个进出数据包都要进行解码分析和模式匹配，如果检测到该数 据包中含有与已知的攻击方法特征库相匹配的数据，则断定有入侵事件发生 则通知响应才莫块对该入侵行为进行相应的处理即固化MJ'j;如果未纟企测到该 数据包中含有与已知的攻击方法特征库相匹配的数据，则将相关信息向分析 模块发送即非固化规则，由分析模块对该入侵行为进行分析后，则通知响应 模块对该入侵行为进行相应的处理。通过检测模块的固化规则和分析模块的 非固化规则的分级，可以改进联动策略，实现了能够在通过分析模块和检测 模块的上下层关系实现安全信息和安全响应的同时，还能够通过检测模块和 响应模块的下层之间平行的响应关系实现对安全事件的实时响应，保证了联 动的有效性。
进一步地，本实施例中步骤103之后还可以包括分析模块比较对上述 已知的入侵行为执行处理后的实际结果与预期结果，当所述实际结果与所述 预期结果不一致的次数超过相应的预设阈值时，分析模块则向检测模块发送携带有入侵行为标识的调整指令，以供检测模块再一次检测到与所述入侵行 为标识对应的入侵行为后，调整所要执行的联动策略即将所述入侵行为判断 为未知的入侵行为，执行所述第二联动策略，从而可以降低检测的误报率。
其中的对上述已知的入侵行为执行处理后的实际结果是执行处理后是否
起到作用， 一般由人工反馈，部分情况机器自动生成，例如可以由响应模
块生成，并向分析模块返回。
具体地，可以在分析模块内部，创建一张表，其表项包括"安全事件类 型"、"处理方式'，、"预期结果"、"实际结果"、"是否有效"、"是否固化"等 几项。该表可以动态更新，其中"安全事件类型"代表检测模块可以检测到
的攻击事件的全集；"处理方式"为针对某一攻击，响应模块如何采取操作； "预期结果"代表响应模块采取一定操作后，理想的效果， 一般是由人工预
先设置；"实际结果"表响应动作后是否起到作用， 一般由人工反馈，部分情
况机器自动生成；"是否有效"代表响应的结果，可根据前两项自动比较生成。 "是否固化"代表该条安全事件类型的处理方式是否允许检测模块执行第一
联动策略，直接向响应模块发送指令。具体形式如下表所示
表联动策略实现表
安全事件类型处理方式预期结果实际结果是否有效是否固化
Synflood切断连接连接数正常人工或机器动态生成自动比较是(预设)
Blaster封IP无此IP的包人工或机器动态生成自动比4交是(预设)
扫描记录有相关曰志人工或机器动态生成自动比较否(预设)
异常包封IP无此IP的包人工或机器动态生成自动比较否(预设)
………………
如上表所示，分析^虞块通过统"卜"是否有效"这一项数据，^^改变"是
否固化"这一项的值，从而实现固化规则向非固化规则的转换。例如，对于 某类"安全事件类型"如果"是否有效"项的值为假的次数超过某个阈值， 若该规则是固化的，则置为非固化。
上节方法，用来进行固化和非固化两级策略的相互转换。对于固化规则
11来说， 一旦其有效性不足则被直接撤销。本实施例还可以通过对检测冲莫块内 部的改进，不断调整检测算法的阈值，使检测得出的判断更准确，减少误报 率，使得根据原有的检测算法和阈值设定可能无效的固化规则在不断调整检 测算法的阈值之后有可能达到有效，而并不 一 定要将固化规则撤销为非固化 规则，这样可以提高联动系统实时处理的效率。该方法可以作为上一方法的 一个补充，作为可选方案。
检测模块在向响应模块下发联动策略时，会同时自动复制上报给分析模 块。当某条联动策略对正常应用产生负面影响时，通常情况下由人工反馈策 略给分析模块。分析模块根据反馈的结果，进行分析，更新检测模块的联动 策略。
其中，响应模块必须保存接收到的联动策略，达到存储上限则覆盖最早 的。联动策略和其它策略逻辑上分开存储。在发现问题时，能更方便地追查 到是由哪条联动策略所造成的。
测模块产生的联动策略除了包含常用的时间、事件、创建模块等信息外，还 应包括产生该策略时所用的检测算法、算法参数、以及标记此策略为"联动策 略"的标识等信息，这些附加的信息作为联动策略的上下文，是后续对检测模 块内部进行调整的依据。通常情况是，分析模块若发现某条固化规则无效的 次数达到一定数目，则暂时不将其撤销为非固化规则，适当调整上下文中的 某项参数，比如检测算法的阈值等，若其经过一定次数调整还是无效的话， 则撤销为非固化规则。
本实施例还可以包括预置已知入侵模式规则库的步骤，以供所述检测模 块进行模式匹配检测出已知的入侵行为。
如图2所示，为本发明网络安全联动方法的第二实施例的流程示意图。 与上一实施例相比，本实施例中为了实现不同区域实体对同一事件的联合响 应，需要划分出各个联动区域，当某个区域内的检测者发现安全威胁问题无法在本区域内解决时，可以借助联动调度来转至适当的其他区域来解决。联 动调度可以由分析模块来完成，也可以是单独的实体，联动调度仅转发联动 策略，不作过多的分析。本实施例在步骤101之前还可以包括以下步骤
步骤201、检测模块检测到网络中的入侵行为后，检测模块判断所述入
侵行为是否属于本区域，如果是，则执行步骤101 ~步骤106;否则，则执行 步骤202和步骤204。
步骤202、检测模块则通过分析模块向入侵行为所属区域的分析模块发 送所述入侵行为的相关信息；
步骤203、入侵行为所属区域的分析模块对所述相关信息进行分析后， 向入侵行为所属区域的响应模块发送携带有处理方式的第三指令；
步骤204、入侵行为所属区域的响应模块根据所述第三指令所携带的处 理方式对所述入侵行为进行相应的处理。
其中的联动区域的划分方法，可以采取以分析模块直接调度的范围来划 分；也可以采:f又网络地域的划分方法，例如省、市、地区等方法。
本实施例通过联动区域的划分，以及联动调度实体将未知的入侵行为的 相关信息转发到入侵行为所属区域的分析模块，能够使得不同网络联动区域 的设备实现调用，从而帮助网络系统将问题解决在源头。
如图3所示，为本发明检测装置的实施例的结构示意图。本实施例包括 相互连接的第一判断单元11和第一执行单元12。其中，第一判断单元ll用 于检测到网络中的入侵行为后，判断所述入侵行为是否为已知的入侵行为； 第一执行单元12用于当第一判断单元11判断所述入侵行为是已知的入侵行 为时，则直接发送携带有处理方式的第一指令；否则，则发送未知的入侵行 为的相关信息。
其中的已知的入侵行为是已知的确定的安全威胁，本步骤中，第一判断 单元11可以根据预置已知攻击模式规则库进行模式匹配，判断所述入侵行为 是否为已知的入侵行为。本实施例中第一判断单元检测入侵行为是一种数据通信监视手段，入侵 检测技术对于每一个进出数据包都要进行解码分析和模式匹配，如果检测到 该数据包中含有与已知的攻击方法特征库相匹配的数据，则断定有入侵事件 发生，第 一执行单元则通知系统中的响应模块对该入侵行为进行相应的处理 即固化规则；如果未检测到该数据包中含有与已知的攻击方法特征库相匹配 的数据，第一执行单元则将相关信息向系统中的分析模块发送即非固化规则， 由分析模块对该入侵行为进行分析后，则通知响应模块对该入侵行为进行相 应的处理。通过第一执行单元的固化规则和分析模块的非固化规则的分级， 可以改进联动策略，实现了能够在通过分析模块和本实施例的上下层关系实 现安全信息和安全响应的同时，还能够通过本实施例和响应模块的下层之间 平行的响应关系实现对安全事件的实时响应，保证了联动的有效性。
为了实现不同区域实体对同一事件的联合响应，需要划分出各个联动区
借助联动调度来转至适当的其他区域来解决。联动调度可以由分析模块来完 成，也可以是单独的实体，联动调度仅转发联动策略，不作过多的分析。因
此，进一步地，本实施例中还可以包括相互连接的第二判断单元13和第二执 行单元14。其中，第二判断单元13用于判断所述检测到的网络中的入侵行 为是否属于本区域；第二执行单元14，与第一判断单元11连接，用于当第 二判断单元13判断所述检测到的网络中的入侵行为属于本区域时，则触发第 一判断单元11判断所述入侵行为是否为已知的入侵行为;否则，则发送所述 入侵行为的相关信息到入侵行为所属区域。
其中的联动区域的划分方法，可以采取以系统中的分析模块直接调度的 范围来划分；也可以采取网络地域的划分方法，例如省、市、地区等方法。
本实施例通过联动区域的划分，以及联动调度实体将未知的入侵行为的 相关信息转发到入侵行为所属区域的分析模块，能够使得不同网络联动区域 的设备实现调用，从而帮助网络系统将问题解决在源头。
14如图4所示，为本发明网络安全联动系统的实施例的结构示意图。本实
施例的网络安全联动系统包括检测模块10、分析模块20和响应模块30。其 中，检测模块IO用于检测到网络中的入侵行为后，判断所述入侵行为是否为 已知的入侵行为，如果是，则执行第一联动决策，所述第一联动决策为直接 向响应模块30发送携带有处理方式的第一指令；否则，则执行第二联动决策， 所述第二联动决策为向分析模块20发送未知的入侵行为的相关信息；分析模 块20用于接收到检测模块10所发送的未知的入侵行为的相关信息，对所述 相关信息进行分析后，获取相应的处理方式，并向响应^^莫块30发送携带有所 述处理方式的第二指令；响应模块30用于根据所述第一指令所携带的处理方 式对所述已知的入侵行为执行相应的处理或根据所述第二指令所携带的处理 方式对所述未知的入侵行为执行相应的处理。
本实施例中检测模块检测入侵行为是一种数据通信监视手段，入侵检测 技术对于每一个进出数据包都要进行解码分析和模式匹配，如果检测到该数 据包中含有与已知的攻击方法特征库相匹配的数据，则断定有入侵事件发生 则通知响应^f莫块对该入侵行为进行相应的处理即固化MJ'J;如果未^r测到该 数据包中含有与已知的攻击方法特征库相匹配的数据，则将相关信息向分析 模块发送即非固化规则，由分析模块对该入侵行为进行分析后，则通知响应 模块对该入侵行为进行相应的处理。通过检测模块的固化规则和分析模块的 非固化规则的分级，可以改进联动策略，实现了能够在通过分析模块和检测 模块的上下层关系实现安全信息和安全响应的同时，还能够通过检测模块和 响应模块的下层之间平行的响应关系实现对安全事件的实时响应，保证了联 动的有效性。
其中的检测模块IO可以包括相互连接的第一判断单元11和第一执行单 元12。其中，第一判断单元11用于检测到网络中的入侵行为后，判断所述 入侵行为是否为已知的入侵行为；第一执行单元12用于当第一判断单元11 判断所述入侵行为是已知的入侵行为时，则直接发送携带有处理方式的第一指令；否则，则发送未知的入侵行为的相关信息。
其中的分析模块20包括相互连接的分析单元21和决策单元22。其中， 分析单元21用于接收到检测模块10的第一执行单元12所发送的未知的入侵 行为的相关信息，对所述相关信息进行分析，获取相应的处理方式；决策单 元22用于根据分析单元21所进行分析的结果向响应模块30发送携带有所述 处理方式的第二指令。
进一步地，本实施例中分析模块20还包括调整单元23，与检测模块10 的第一判断单元11连接，用于比较对所述已知的入侵行为执行处理后的实际 结果与预期结果，当所述实际结果与所述预期结果不一致的次数超过相应的 预设阄值时，则向检测模块10的第一判断单元11发送携带有入侵行为标识 的调整指令，以供检测模块10的第一判断单元11再一次检测到与所述入侵 行为标识对应的入侵行为后，将所述入侵行为判断为未知的入侵行为，执行 所述第二联动策略，从而可以降低检测的误报率。
其中的响应模块30包括相互连接的接收单元31和处理单元32。其中， 接收单元31,分别与检测模块10的第一执行单元12和分析模块20的决策 单元22连接，用于接收检测模块10的第一执行单元12发送的第一指令或分 析模块20的决策单元22发送的第二指令；处理单元32用于根据所述第一指 令所携带的处理方式对所述已知的入侵行为执行相应的处理或根据所述第二 指令所携带的处理方式对所述未知的入侵行为执行相应的处理。
进一步地，本实施例中响应模块30还可以包括反馈单元33,与处理单 元32和分析模块20的调整单元23连接，用于向分析模块20的调整单元23 返回对所述已知的入侵行为执行处理后的实际结果，以供所述分析模块20的 调整单元23比较所述实际结果和预期结果，以供所述分析^^块20的调整单 元23改进处理策略，可以进一步改进联动规则。
为了实现不同区域实体对同一事件的联合响应，本实施例需要划分出各时，可以借助联动调度来转至适当的其他区域来解决。联动调度可以由分析 模块来完成，也可以是单独的实体，联动调度仅转发联动策略，不作过多的 分析。因此，进一步地，本实施例中还可以包括相互连接的第二判断单元13
和第二执行单元14。其中，第二判断单元13用于判断所述检测到的网络中 的入侵行为是否属于本区域；第二执行单元14,与第一判断单元11连接， 用于当第二判断单元13判断所述检测到的网络中的入侵行为属于本区域时， 则触发第一判断单元11判断所述入侵行为是否为已知的入侵行为；否则，则 发送所述入侵行为的相关信息到入侵行为所属区域，以供所述入侵行为所属 区域的分析模块对所述相关信息进行分析后，向所述入侵行为所属区域的响 应模块发送携带有处理方式的第三指令，所述入侵行为所属区域的响应模块 根据所述第三指令所携带的处理方式对所述入侵行为进行相应的处理。
其中的联动区域的划分方法，可以采取以分析模块直接调度的范围来划 分；也可以采取网络地域的划分方法，例如省、市、地区等方法。
本实施例通过联动区域的划分将未知的入侵行为的相关信息转发到入侵 行为所属区域的分析模块，能够使得不同网络联动区域的设备实现调用，从 而帮助网络系统将问题解决在源头。
最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其 限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术 人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改，或 者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1、一种网络安全联动方法，其特征在于，包括确定网络中的入侵行为类型是否属于已知的入侵行为；如果属于，则向响应模块发送携带有处理方式的第一指令，所述响应模块根据所述第一指令所携带的处理方式对所述入侵行为执行相应的处理；否则，则向分析模块发送未知的入侵行为的相关信息，所述分析模块对所述相关信息进行分析后，获取相应的处理方式；向所述响应模块发送携带有所述处理方式的第二指令，所述响应模块根据所述第二指令所携带的处理方式对所述未知的入侵行为执行相应的处理。
2、 根据权利要求1所述的网络安全联动方法，其特征在于，所述响应模 块根据所述第 一指令所携带的处理方式对所述入侵行为执行相应的处理的步 骤之后还包括所述分析模块比较对所述已知的入侵行为执行处理后的实际结果与预期 结果；当所述实际结果与所述预期结果不一致的次数超过相应的预设阈值时， 所述分析模块则向所述检测模块发送携带有入侵行为标识的调整指令。
3、 根据权利要求2所述的网络安全联动方法，其特征在于，还包括 所述响应模块向所述分析模块返回对所述已知的入侵行为执行处理后的实际结果。
4、 根据权利要求1所述的网络安全联动方法，其特征在于，所述向所述 响应模块发送携带有所述处理方式的第二指令的步骤具体包括通过网络管理员向所述响应模块发送携带有处理方式的第二指令。
5、 根据权利要求1所述的网络安全联动方法，其特征在于，所述确定网 络中的入侵行为类型是否属于已知的入侵行为的步骤之前还包括预置已知 入侵模式规则库。
6、 根据权利要求1中所述的网络安全联动方法，其特征在于，所述确定网络中的入侵行为类型是否属于已知的入侵行为的步骤之前还包括 所述检测模块判断所述入侵行为是否属于本区域； 如果属于，所述检测模块则判断所述入侵行为是否为已知的入侵行为； 否则，所述检测模块则通过所述分析模块向入侵行为所属区域的分析模块发送所述入侵行为的相关信息。
7、 一种检测装置，其特征在于，包括第 一判断单元，用于确定网络中的入侵行为类型是否属于已知的入侵行为；第 一执行单元，用于当所述第 一判断单元确定网络中的入侵行为类型属于已知的入侵行为时，则直接发送携带有处理方式的第一指令；否则，则发 送未知的入侵行为的相关信息。
8、 根据权利要求7所述的检测装置，其特征在于，还包括 第二判断单元，用于判断所述检测到的网络中的入侵行为是否属于本区域；第二执行单元，用于当所述第二判断单元判断所述检测到的网络中的入 侵行为属于本区域时，则触发所述第一判断单元判断所述入侵行为是否为已 知的入侵行为；否则，则发送所述入侵行为的相关信息。
9、 一种网络安全联动系统，其特征在于，包括检测模块，用于确定网络中的入侵行为类型是否属于已知的入侵行为， 如果属于，则执行第一联动决策，所述第一联动决策为直接向响应模块发送 携带有处理方式的第一指令；否则，则执行第二联动决策，所述第二联动决 策为向分析模块发送未知的入侵行为的相关信息；分析模块，用于接收到所述检测模块所发送的未知的入侵行为的相关信 息，对所述相关信息进行分析后，获取相应的处理方式，并向所述响应模块 发送携带有所述处理方式的第二指令；响应模块，用于根据所述第一指令所携带的处理方式对所述已知的入侵行为执行相应的处理或根据所述第二指令所携带的处理方式对所述未知的入 侵行为执行相应的处理。
10、 根据权利要求9所述的网络安全联动系统，其特征在于，所述检测 模块包括第 一判断单元，用于确定网络中的入侵行为类型是否属于已知的入侵行为；第 一执行单元，用于当所述第 一判断单元确定网络中的入侵行为类型属于已知的入侵行为时，则直接发送携带有处理方式的第一指令；否则，则发 送未知的入侵行为的相关信息。
11、 根据权利要求9所述的网络安全联动系统，其特征在于，所述分析 模块包括分析单元，用于接收到所述检测模块所发送的未知的入侵行为的相关信 息，对所述相关信息进行分析，获取相应的处理方式；决策单元，用于根据所述分析的结果向所述响应模块发送携带有处理方 式的第二指令。
12、 根据权利要求11所述的网络安全联动系统，其特征在于，所述分析 模块还包括调整单元；所述调整单元，用于比较对所述已知的入侵行为执行处理后的实际结果 与预期结果，当所述实际结果与所述预期结果不 一致的次数超过相应的预设 阈值时，则向所述检测模块发送携带有入侵行为标识的调整指令。
13、 根据权利要求9所述的网络安全联动系统，其特征在于，所述响应 模块包括接收单元，用于接收所述第一指令或所述第二指令；处理单元，用于根据所述第一指令所携带的处理方式对所述已知的入侵 行为执行相应的处理或根据所述第二指令所携带的处理方式对所述未知的入 侵行为执行相应的处理。
14、根据权利要求13所述的网络安全联动系统，其特征在于，所述响应 模块还包括反馈单元，用于向所述分析模块返回对所述已知的入侵行为执行处理后 的实际结果。
全文摘要
本发明提供一种网络安全联动方法、系统和检测装置，该方法包括确定网络中的入侵行为类型是否属于已知的入侵行为；如果属于，则向响应模块发送携带有处理方式的第一指令；否则，则向分析模块发送未知的入侵行为的相关信息，分析模块对相关信息进行分析后，获取相应的处理方式；向响应模块发送携带有处理方式的第二指令。本发明实施例实现了能够在通过分析模块和检测模块的上下层关系实现安全信息和安全响应的同时，还能够通过检测模块和响应模块的下层之间平行的响应关系实现对安全事件的实时响应，保证了联动的有效性，降低了误报率。
文档编号H04L29/06GK101527712SQ20081010146
公开日2009年9月9日 申请日期2008年3月6日 优先权日2008年3月6日
发明者位继伟, 冰 刘, 王小妹, 王绍斌, 阳 辛 申请人:华为技术有限公司