专利名称:一种安全事件实时确认方法及系统的制作方法
技术领域:
本发明涉及信息安全领域,具体涉及一种安全事件实时确认方法及系统。
背景技术:
随着Internet的发展,计算机网络的信息与网络安全面临着前所未有的严峻形 势。网络入侵检测系统(NIDS)作为一种帮助用户及时了解网络安全信息的实际解决方法, 正在成为任何一个严肃的网络保护战略中不可或缺的组成部分。但入侵检测系统(IDS)通 常会报告大量安全事件,使安全管理员淹没在事件洪流中不知所措,严重影响了后期的入 侵响应,是目前科学界和工业界的广泛共识。提高检测精度,使管理人员直观的获悉“谁被攻击?攻击是否成功?以及应当对 攻击采取什么对策? ”,已经成为亟待解决的问题,业界将这些问题称为安全事件的攻击确 认。对于安全事件的攻击确认,目前主流做法有两种(1)通过直接访问疑似被攻击机,确认是否真正发生攻击,典型的应用在业界称之 为威胁响应技术。通过确认目标操作系统或设备的危险性、补丁等级检查、读取系统日志进 行详细的系统调查、搜集重要证据以及发送攻击确认通知等一系列动作,将确认结果通知 管理员。这种方式准确性很高,但有一定局限性,首先扫描被攻击主机会增加疑似攻击机负 担;其次登录到被攻击主机上进行取证确认这种方法需要知道被保护主机的隐私信息,不 够灵活;再次对于黑客来说,攻击成功后通常会擦除痕迹,取证难度很大。(2)通过多个检测系统合作,融合协同与时/空关联分析方法,对安全事件进行多 层次确认。此方式适用于分布式入侵检测系统,但由于通讯及分析算法原因,一般采取后期 验证的方式,有时间的滞后性;另外该方法对多个采集点数据进行关联分析时,存在一定的 不确定性,确认的准确性很大程度上取决于模型建立的好坏。综上所述,业界亟待提出一种简单高效的安全事件实时确认方法及系统。
发明内容
本发明所要解决的技术问题,在于需要提供一种安全事件实时确认方法及系统, 以实时高效地进行安全事件的确认。为了解决上述技术问题,本发明提供了一种安全事件实时确认方法,包括接收网络报文;对所述网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻 击报文;提取所述攻击报文的响应报文;使用一安全事件确认规则,对所述响应报文进行匹配,得到所述攻击报文的攻击 确认结果,所述安全事件确认规则用于判定所述攻击是否成功。优选地,所述安全事件确认规则中,包含有攻击成功特征和/或攻击失败特征,所述攻击成功特征用于判定所述攻击报文攻击成功,所述攻击失败特征用于判定所述攻击报 文攻击失败。优选地,所述攻击确认结果,包括确认为攻击成功的攻击成功事件、确认为攻击失 败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果未知事件。优选地,检测到所述攻击报文后,监控到所述攻击报文所属连接上的后续报文为 攻击者发出的网络报文时,确认所述攻击报文攻击失败。优选地,对所述响应报文进行所述匹配,包括采用匹配树方式进行。为了解决上述技术问题,本发明还提供了一种安全事件实时确认系统,包括接收模块,用于接收报文;检测模块,与所述接收模块相连,用于对所述网络报文进行攻击行为检测,将检测 出攻击行为的所述网络报文描述为攻击报文;提取模块,与所述检测模块相连,用于提取所述攻击报文的响应报文;安全事件确认规则库,用于存储判定攻击是否成功的安全事件确认规则;匹配模块,与所述提取模块及安全事件确认规则库相连,用于使用所述安全事件 确认规则对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果。优选地,所述安全事件确认规则库,包含有攻击成功特征和/或攻击失败特征,所 述攻击成功特征用于判定所述攻击报文攻击成功,所述攻击失败特征用于判定所述攻击报 文攻击失败。优选地,所述匹配模块得到的所述攻击确认结果,包括确认为攻击成功的攻击成 功事件、确认为攻击失败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果 未知事件。优选地,所述匹配模块,对所述响应报文进行所述匹配,包括采用匹配树方式进 行。优选地,所述提取模块,在所述检测模块检测到所述攻击报文后,进一步监控到所 述攻击报文所属连接上的后续报文为攻击者发出的网络报文时,确认所述攻击报文攻击失 败。本发明提供的安全事件实时确认方法及系统,依据对网络攻击行为模式的分析, 通过对响应报文进行精确匹配,简单、高效并实时地完成安全事件攻击行为的确认,使得安 全管理员能够有的放矢,重点关注问题设备。与现有技术相比,本发明不需要额外生成探测 引擎对被监控主机进行扫描确认,也不需要被监控主机提供帐号密码等隐私信息,保证了 对用户透明的同时又节约了系统开销。
图1为本发明安全事件实时确认方法实施例的流程示意图。图2为图1所示方法实施例步骤S130中精确匹配的过程。图3为本发明提到的安全事件确认规则示例。图4为将本发明方法应用到一入侵检测系统中进行入侵检测实施例的流程示意 图。图5为本发明安全事件实时确认系统实施例的组成示意图。
具体实施例方式以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用 技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。一般来说,多数的安全事件攻击成功后,都会从被攻击机获得特定的响应报文。因 此一旦检测到攻击报文后,就开始检测反向的响应报文。在攻击时间内,收到成功报文,则 说明攻击成功,否则说明攻击失败。图1为本发明安全事件确认方法实施例的流程示意图。如图1所示,该方法实施 例主要包括如下步骤步骤S110,接收网络报文;步骤S115,对网络报文进行攻击行为检测,将检测出攻击行为的网络报文描述为 攻击报文;本步骤中的检测方法,可以采用现有技术中的常用方法,本发明并不对攻击行为 检测进行限定;步骤S120,对于检测出攻击报文的网络报文,提取该攻击报文的响应报文;步骤S130,对该响应报文使用一安全事件确认规则进行精确匹配,得到攻击确认 结果,其中该安全事件确认规则用于判定攻击是否成功。考虑到流重组的情况,上述步骤S120中,检测到攻击报文后,继续监控该攻击报 文所属连接上的后续报文,如果监控到紧随该攻击报文的后续报文仍然是攻击者发出的网 络报文,则说明被攻击者没有应答该攻击报文给攻击者,这种情况可以直接判定为攻击失 败。图2为图1所示方法实施例步骤S130中精确匹配的过程。如图2所示,该精确匹 配的过程,主要包括如下步骤步骤S210,检测到攻击报文时,获得其中的攻击报文时间戳并记录;步骤S211,提取到该攻击报文对应的响应报文后,从该响应报文中获得响应报文 时间戳;步骤S212,通过该攻击报文时间戳和响应报文时间戳,获得攻击响应时间;步骤S213,判断该攻击响应时间是否超过预设的攻击最长响应时间,如果超过则 转步骤S215,否则执行步骤S220 ;步骤S215,直接判定为攻击失败,结束。步骤S220,使用预设的安全事件确认规则中的攻击失败特征,对响应报文进行精 确匹配,如果匹配成功,则转步骤S215,否则执行步骤S230 ;步骤S230,使用预设的安全事件确认规则中的攻击成功特征,对响应报文进行精 确匹配,如果匹配成功,则转步骤S235,否则转步骤S240 ;步骤S235,直接判定为攻击成功,结束。步骤S240,判定为攻击结果未知,结束。上述步骤S220中,使用安全事件确认规则对响应报文进行匹配,是先判定响应报 文中是否包含有攻击失败特征;如果有则进一步判定响应报文中的攻击失败特征,是否与 安全事件确认规则中的攻击失败特征相符合,如果相符合则表示匹配成功,判定为攻击失 败,如果不相符合,则执行步骤S230。
5
上述步骤S230中,使用安全事件确认规则对响应报文进行匹配,是先判定响应报 文中是否包含有攻击成功特征;如果有则进一步判定响应报文中的攻击成功特征,是否与 安全事件确认规则中的攻击成功特征相符合,如果相符合则表示匹配成功,判定为攻击成 功,如果不相符合,则执行步骤S240。需要说明的是,针对特定的攻击,可能无法同时定义攻击成功条件与攻击失败条 件,但是至少需要定义其中之一,才能进行上述步骤S220或者步骤S230。上述步骤S220以及步骤S230中对响应报文进行精确匹配,可以选用但不限于匹 配树方式来进行匹配。通过图2所示的精确匹配过程可知,步骤S130中的攻击确认结果,包含有攻击成 功事件、攻击失败事件、攻击结果未知事件。当然,如果没有定义安全事件确认规则,则得到 的是一般事件的结果。图3为本发明所述安全事件确认规则示例。本示例定义了事件“HTTP_IIS_ISAPI. printer访问”的基本规则与攻击确认规则。http访问文件名中包含.printer字符串时,在5秒时间内无返回则攻击失败;如 果5秒内有返回,且返回码为200则攻击成功,返回码为404饿攻击失败,返回码为其他值 则攻击结果不确认。本发明如图1和图2所述的方法实施例,基于对响应报文的精确匹配,实现了简 单、高效、实时的安全事件确认。在整个安全事件确认过程中,所获得数据来源完全来自网 络中监听到的数据包,与现有技术相比,不需要额外生成探测引擎对被监控主机进行扫描 确认,也不需要被监控主机提供帐号密码等隐私信息,保证了对用户透明的同时又节约了 系统开销。另外,通过实时监控攻击流并进行判定,能够在攻击结束瞬间,判定攻击是否成 功,具有良好的实时性,并在攻击成功时能够及时通知安全管理员,当前哪些资产已经被攻 击成功,需要重点关注。图4为将本发明方法应用到一入侵检测系统中进行入侵检测实施例的流程示意 图。结合图1和图2所示的本发明方法实施例,以及图3所示的安全事件确认规则示例,图 4所示的入侵检测实施例主要包括如下步骤步骤S410,初始化该入侵检测系统所使用的若干基本规则以及若干前述的安全事 件确认规则;其中该若干基本规则,用来识别安全事件报文,该若干安全事件确认规则,用 来判定攻击是否成功,其包括攻击成功特征、攻击失败特征、攻击最长时间等信息;步骤S420,直接从网卡读取原始数据报文;步骤S425,对所读取的报文进行协议解析,获得解析结果;步骤S426,使用该若干基本规则对该解析结果进行匹配,匹配成功则表示该报文 为安全事件报文,转步骤S430,否则转步骤S420继续读取报文;步骤S430,判断是否需要对该安全事件报文进行确认,如果需要确认,则转到步骤 S440,否则转步骤S450 ;步骤S440,按照前述图2所示匹配过程进行精确匹配,获得攻击确认结果并上报, 然后返回步骤S420继续读取报文;步骤S450,将该安全事件报文确定为一般安全事件,然后返回步骤S420继续执 行。
6
图5为本发明中安全事件实时确认系统实施例的组成示意图。结合图1至图4对 本发明中安全事件实时确认方法的说明,图5所示的系统实施例主要包括接收模块510、检 测模块520、提取模块530、安全事件确认规则库540以及匹配模块550,其中接收模块510,用于接收网络报文;检测模块520,与该接收模块510相连,用于对该网络报文进行攻击行为检测,将 检测出攻击行为的网络报文描述为攻击报文;提取模块530,与该检测模块520相连,用于提取该攻击报文的响应报文;安全事件确认规则库540,用于存储判定攻击是否成功的安全事件确认规则;匹配模块550,与该提取模块530及安全事件确认规则库540相连,用于使用该安 全事件确认规则对该响应报文进行匹配,得到该攻击报文的攻击确认结果;特别地,若提取 模块530在检测模块520检测到攻击报文后,提取到该攻击报文所属连接上的后续报文,为 攻击者发出的网络报文,则直接确认为攻击失败。该安全事件确认规则库540,包含有攻击成功特征和/或攻击失败特征,该攻击成 功特征用于判定攻击成功,该攻击失败特征用于判定攻击失败。该匹配模块550得到的该攻击确认结果,包括确认为攻击成功的攻击成功事件、 确认为攻击失败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果未知事 件。本发明提供的安全事件实时确认方法及系统,依据对网络攻击行为模式的分析, 通过对响应报文进行精确匹配,实时的完成安全事件攻击行为的确认。与现有技术相比,既 不需要了解被监控主机的隐私信息,又能及时通知安全管理员,使得安全管理员能够有的 放矢,重点关注问题设备。虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采 用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本 发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化, 但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
权利要求
一种安全事件实时确认方法,其特征在于,包括接收网络报文;对所述网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;提取所述攻击报文的响应报文;使用一安全事件确认规则,对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果,所述安全事件确认规则用于判定所述攻击是否成功。
2.如权利要求1所述的方法,其特征在于所述安全事件确认规则中,包含有攻击成功特征和/或攻击失败特征,所述攻击成功 特征用于判定所述攻击报文攻击成功,所述攻击失败特征用于判定所述攻击报文攻击失 败。
3.如权利要求2所述的方法,其特征在于所述攻击确认结果,包括确认为攻击成功的攻击成功事件、确认为攻击失败的攻击失 败事件,或者无法确认为攻击成功或者失败的攻击结果未知事件。
4.如权利要求1所述的方法,其特征在于检测到所述攻击报文后,监控到所述攻击报文所属连接上的后续报文为攻击者发出的 网络报文时,确认所述攻击报文攻击失败。
5.如权利要求1所述的方法,其特征在于对所述响应报文进行所述匹配,包括采用匹配树方式进行。
6.一种安全事件实时确认系统,其特征在于,包括接收模块,用于接收报文;检测模块,与所述接收模块相连,用于对所述网络报文进行攻击行为检测,将检测出攻 击行为的所述网络报文描述为攻击报文;提取模块,与所述检测模块相连,用于提取所述攻击报文的响应报文;安全事件确认规则库,用于存储判定攻击是否成功的安全事件确认规则;匹配模块,与所述提取模块及安全事件确认规则库相连,用于使用所述安全事件确认 规则对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果。
7.如权利要求6所述的系统,其特征在于所述安全事件确认规则库,包含有攻击成功特征和/或攻击失败特征,所述攻击成功 特征用于判定所述攻击报文攻击成功,所述攻击失败特征用于判定所述攻击报文攻击失 败。
8.如权利要求7所述的系统,其特征在于所述匹配模块得到的所述攻击确认结果,包括确认为攻击成功的攻击成功事件、确认 为攻击失败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果未知事件。
9.如权利要求6所述的系统,其特征在于所述匹配模块,对所述响应报文进行所述匹配,包括采用匹配树方式进行。
10.如权利要求1所述的系统,其特征在于所述提取模块,在所述检测模块检测到所述攻击报文后,进一步监控到所述攻击报文 所属连接上的后续报文为攻击者发出的网络报文时,确认所述攻击报文攻击失败。
全文摘要
本发明公开了一种安全事件实时确认方法及系统,以实时高效地进行安全事件的确认。其中该方法包括对接收网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;提取所述攻击报文的响应报文;使用一安全事件确认规则,对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果,所述安全事件确认规则用于判定所述攻击是否成功。本发明通过对响应报文进行精确匹配,实时地完成安全事件攻击行为的确认。
文档编号H04L29/06GK101902334SQ20091008470
公开日2010年12月1日 申请日期2009年5月25日 优先权日2009年5月25日
发明者赵东宾 申请人:北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司