专利名称:一种交互式半自动化安全事故追溯方法与系统的制作方法
技术领域:
本发明涉及计算机应用安全管理技术领域,尤其涉及一种交互式半自动化安全事故追溯方法。
背景技术:
为了应对计算机系统中越来越多应用安全威胁、传统网络安全威胁,以及其他各类安全威胁,大量的组织和个人都在加强应用安全的防护水平,各个厂商提出了大量的安全产品和方案。安全产品包括WEB应用防火墙、数据库审计、入侵检测系统、入侵防护系统、
统一威胁管理等。根据组织的应用规模,他们可能部署了大量的安全设备,甚至可以达到几百台上千台。当一些安全事故发生时,虽然设备中有大量的日志信息,但如何从这些信息中,找出真正事故的原因。一般的组织通常没有专业的安全专业人员,也没有人力能够逐一进行辨别分析,很难进行事故的追溯。由于设备种类的众多,日志种类更多,当前各种智能全自动分析技术,由于准确度很差,也难以真正进行事故的追溯。
发明内容
本发明要解决的技术问题是,克服现有技术中的不足,提供一种交互式半自动化安全事故追溯方法。为解决该技术问题,本发明的解决方案是提供一种交互式半自动化安全事故追溯方法,包括如下步骤A、根据发生的事故,读取对应的事故追溯流程的全部案例;B、根据案例的定义,进行交互式用户输入读取,作为提供的动态条件,结合案例定义的固定条件,通过检索得到事件列表,这些检索到的事件即为可疑事件;C、遍历可疑事件列表,进行交互式用户核实,让用户对可疑事件与安全事故是否有关逐一进行确认,如果可疑事件与安全事故有关,则标记该事件,此标记的可疑事件即为事故原因。本发明中,步骤A中所述的读取基于一个外部的事故追溯流程库;事故追溯流程库包括了各种事故追溯案例的信息,该信息是各类事故评级、评估、定损案例的固化,并进行了通用化抽象处理。本发明中,还包括对所述事故追溯流程库中信息的定义过程,具体包括如下步骤A5、确定会导致安全事故发生的多种可能情况,每一种可能情况即为此安全事故追溯流程的一个案例;B5、确定案例中事故发生后事故现场中各种设备的日志会出现的信息,这些信息即为该案例中可疑事件检索的条件;C5、条件分为两种固定条件和动态条件;固定条件是案例发生后的每个事故现
4场中都会存在的信息,这些信息不需要用户根据事故现场环境来输入;动态条件是仅在具体单次的安全事故现场设备日志中才会出现的那些信息,由用户根据事故现场环境来输入;D5、根据分析出需要的动态条件,确定动态条件说明信息,这些说明信息包括能够获取到这些动态条件的位置、能够获取到这些动态条件的方法,以及这些动态条件的格式, 这些说明信息即成为案例的动态条件定义。本发明中,步骤B中所述的交互式用户输入读取基于一个外部的用户交互系统; 在用户交互系统中,用户从系统得到相关的提示信息,并根据提示信息,结合事故发生的实际环境,输入相应的信息。本发明中,步骤B中所述的交互式用户输入读取包括如下步骤A2、读取流程设置的动态条件定义,这些条件定义说明了需要从事故现场环境中找的信息的说明;这些说明信息包括能够获取到这些信息的位置、能够获取到这些信息的方法,以及这些信息的格式;B2、根据这些说明信息,自动生成动态条件输入界面,并且界面以用户易于理解的方式展现;C2、根据交互界面的说明信息,读取用户交互式输入的动态条件。本发明中,步骤B中所述的事件检索基于一个外部的事件库;事件库中记录了系统审计到的全部事件,每个事件包括了各类属性信息,包括资产地址、名称、技术分类、行为分类或此事件直接或间接表达的其它信息;通过组合案例定义的固定条件和用户交互式输入的动态条件,即能够从事件库的全部事件中检索出与此次安全事故相关的可疑事件列表。本发明中,所述步骤C中交互式事件核实过程包括如下步骤A4、一个外部的用户交互系统详细展示此可疑事件的各类属性信息,包括资产地址、名称、技术分类、行为分类、危险基本或此事件直接或间接表达的其它信息;B4、用户交互式确认此事件是否与事故有关;C4、如有关,则交互式标记此事件。本发明中,还包括对步骤C标记的事件列表进行取证的内容提取在事故追溯全部案例中,由用户交互式核实后所有标记的事件,根据事故响应、处置预案中的要求,对这些事件进行取证,作为后续事故响应、处置的一种依据。进一步地,本发明还提供了一种用于实现前述方法的交互式半自动化安全事故追溯系统,包括用于根据发生的事故读取追溯流程的流程读取模块,用于遍历追溯流程中全部案例的案例遍历模块,用于读取案例中固定参数的固定参数读取模块,用于读取案例中的动态参数定义信息的动态参数定义读取模块,用于读取动态参数的交互式用户输入模块,用于根据动态参数和固定参数进行查询的事件检索模块,用于对可疑事件进行判定的交互式事件核实模块;流程读取模块连接案例遍历模块,案例遍历模块分别连接动态参数定义读取模块和固定参数读取模块;动态参数定义读取模块经交互式用户输入模块连接事件检索模块,固定参数读取模块直接连接事件检索模块,事件检索模块与交互式事件核实模块相连;流程读取模块还连接一个外部的事故追溯流程库;交互式用户输入模块和交互式事件核实模块还连接一个外部的用户交互系统;事件检索模块还连接一个外部的事件库。作为一种改进,该系统还包括用于标记事故相关事件的事件标记模块,事件标记模块分别连接交互式事件核实模块和事故取证模块。相对于现有技术,本发明的有益效果在于1、通过追溯案例固化了安全专家的经验,降低了安全管理的技术障碍和门槛,让普通管理员也能够进行安全事故追溯,极大的降低了安全管理的成本和响应时间。2、由于采用了交互式确认,提供了非常准确、可靠的安全事故追溯,误判率非常低,使得取证结果具有很高的可信度。3、由于管理效率的提高,能够为组织实现一种快速的、标准化的事故发生后的处置响应案例。
图1为一种交互式半自动化安全事故追溯方法案例图;图2为一种交互式半自动化安全事故追溯系统结构图;图3为一种交互式半自动化安全事故追溯流程定义方法案例图。
具体实施例方式首先需要说明的是,本发明涉及计算机应用安全管理技术领域,是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于流程读取模块、案例遍历模块、固定参数读取模块、 动态参数定义读取模块、交互式用户输入模块、事件检索模块、交互式事件核实模块、事件标记模块、事故取证模块、事故追溯流程库、用户交互系统、事件库等,凡本发明申请文件提及的均属此范畴,申请人不再一一列举。本发明中的基本原理是,根据当前发生的安全事故,加载事故追溯案例,通过交互式用户反馈,半自动的完成事故的追溯,找到导致事故的原因事件。在本发明中,用户根据当前发生的安全事故,从事故流程库中加载事故追溯流程。事故追溯流程包括了多个事故追溯案例;每个事故追溯案例描述了事故原因的一种可能性,包括了固定参数和动态参数定义。根据案例动态参数定义,交互式用户输入模块对用户进行详细提示,读取事故的动态参数。根据此动态参数和定义的固定参数,通过查询一个事件库,可以得到可疑事件列表。 遍历可疑事件列表,交互式事件核实模块逐一的详细展示每个可疑事件的详细信息,协助用户判定是否与事故有关。如果用户判断与事故有关,则通过事件标记模块对此可疑事件进行标记。另外,通过对全部标记的事件进行事故取证处理,这些信息可以保留下来,作为进一步事故响应、处置的依据。下面结合具体实例对本发明进行详细描述。图一中描述了本发明中的交互式半自动化安全事故追溯的过程,具体的过程如下201流程读取流程读取模块101从外部的事故追溯流程库116中读取流程102。
202遍历全部流程案例遍历模块103遍历流程102,得到案例104,并送给固定参数读取模块105后再传递给动态参数定义读取模块107。203交互式用户输入交互式用户输入模块109根据动态参数定义108,通过用户交互系统115展示输入动态条件110的提示信息,这些信息包括可以获取到动态参数110 的位置、可以获取到动态参数110的方法,以及动态参数110的格式等。用户根据这些提示信息,从事故现场环境找到动态参数110,并通过用户交互界面交互式的输入到系统中。204可疑事件检索事件检索模块111根据固定参数106、动态参数110,从外部的事件库112中进行检索,得到可疑事件113列表。205交互式事件核实遍历可疑事件113列表,逐个可疑事件113被发送给交互式事件核实模块114,然后用户判定此可疑事件是否与本次事故有关。206可疑事件核实结束当案例中检索到的全部可疑事件都核实完成后,即可结束此案例。207流程遍历结束当流程中的全部案例都遍历完成后,即可结束此追溯流程。208事故取证对全部事故原因事件118进行固化、保存、取证,作为后续事故响应、处置的一种依据。图二描述了本发明中的交互式半自动化安全事故追溯系统的一个具体例子,以及相关的其他实体部分、交互的信息。首先用户根据发生的事故选择对应的追溯流程,流程读取模块101从外部的事故追溯流程库116中读取流程102,然后案例遍历模块103遍历流程102,得到案例104,并送给固定参数读取模块105后再传递给动态参数定义读取模块107。固定参数读取模块105从案例104中读取到固定参数106 ;动态参数定义读取模块107从案例104中读取动态参数定义108,并把动态参数定义108送给交互式用户输入模块 109。交互式用户输入模块109根据动态参数定义108,通过用户交互系统115展示输入动态条件110的提示信息,这些信息包括可以获取到动态参数110的位置、可以获取到动态参数110的方法,以及动态参数110的格式等。用户根据这些提示信息,从事故现场环境找到动态参数110,并通过用户交互界面交互式的输入到系统中。然后固定参数106、动态参数110被发送给事件检索模块111,事件检索模块111 根据这些条件,从外部的事件库112中进行检索,得到可疑事件113列表。遍历可疑事件113列表,逐个可疑事件113被发送给交互式事件核实模块114,交交互式事件核实模块114通过用户交互系统115详细展示此可疑事件113的各个属性信息,如资产地址、名称、技术分类、行为分类、危险基本以及其他此事件直接或间接表达的信息,然后用户通过分析这些信息,判定此可疑事件是否与本次事故有关。与本次事故有关的可疑事件,用户可以通过事件标记模块118来标记此事件,标记后的可疑事件即为事故原因事件118,当全部流程结束后,或者用户认为已经找到了全部事故原因事件118后,本次安全事故追溯就完成了。最后,进一步的,全部事故原因事件118被发送给事故取证模块119,事故取证模块119可以对这些事故原因事件118进行取证,作为后续事故响应、处置的一种依据。
图三描述了本发明中的交互式半自动化安全事故追溯流程定义方法,具体的过程如下301创建追溯流程安全专家基于的安全攻防经验总结,对事故评级、评估、定损等案例进行分析、通用化抽象,从而可以创建追溯流程。302确定追溯流程的全部案例安全专家基于的安全攻防经验总结,确定事故的各种可能情况,即追溯流程的安全案例。如Windows服务器被入侵事故,有三种可能情况 通过本地跳板远程桌面协议方式入侵、通过IIS的TOB shell方式入侵、。303分析案例中会产生的日志安全专家基于事故处置中的经验,确定事故发生后,会存在信息的设备日志,如通过本地跳板远程桌面协议方式入侵的案例中,可以核查远程桌面访问日志、系统登录日志、文件操作日志、系统安全日志等。304确定案例的固定条件在案例发生后的每个事故现场中都会存在的信息, 这些信息由安全专家根据经验来确定,不需要用户根据事故现场环境来输入。如通过本地跳板远程桌面协议方式入侵的案例中,固定条件为应用协议为远程桌面;通过IIS的 WEBshell方式入侵的案例中,固定条件为应用协议为HTTP、技术方式为TOB Shell攻击; 通过MS SQL数据库的XP_SHELL木马方式入侵的案例中,固定条件为应用协议为MS SQL、 关键字为XP_SHELL。305确定案例的动态条件案例动态条件是仅在具体单次的安全事故现场设备日志中才会出现的信息,这些信息安全专家无法根据经验来确定,必须由用户根据事故现场环境来输入。如通过本地跳板远程桌面协议方式入侵的案例中,动态条件为事故发生的大致时间范围、Windows服务器的IP地址信息、事故现场发现的其他关键字信息等;通过IIS 的TOB shell方式入侵的案例中,动态条件为事故发生的大致时间范围、Windows服务器的IP地址信息、此服务器上的IIS网站主机名(包括虚拟主机名)、可能存在WEB_Shell的 URI路径名、事故现场发现的其他关键字信息等;通过MS SQL数据库的XP_SHELL木马方式入侵的案例中,动态条件为事故发生的大致时间范围、Windows服务器的IP地址信息,此 MS SQL的监听端口、事故现场发现的其他关键字信息等。306确定案例的动态条件定义安全专家继续分析这些动态条件的说明信息,这些说明信息包括可以获取到这些信息的位置、可以获取到这些信息的方法,以及可以这些信息的格式等。307完成追溯流程创建通过确定每个流程的固定条件、动态条件定义,即可完成追溯流程创建。
8
权利要求
1.一种交互式半自动化安全事故追溯方法,其特征在于,包括如下步骤A、根据发生的事故,读取对应的事故追溯流程的全部案例;B、根据案例的定义,进行交互式用户输入读取,作为提供的动态条件,结合案例定义的固定条件,通过检索得到事件列表,这些检索到的事件即为可疑事件;C、遍历可疑事件列表,进行交互式用户核实,让用户对可疑事件与安全事故是否有关逐一进行确认,如果可疑事件与安全事故有关,则标记该事件,此标记的可疑事件即为事故原因。
2.根据权利1所述的方法,其特征在于,步骤A中所述的读取基于一个外部的事故追溯流程库;事故追溯流程库包括了各种事故追溯案例的信息,该信息是各类事故评级、评估、 定损案例的固化,并进行了通用化抽象处理。
3.根据权利要求2所述的方法,其特征在于,还包括对所述事故追溯流程库中信息的定义过程,具体包括如下步骤A5、确定会导致安全事故发生的多种可能情况,每一种可能情况即为此安全事故追溯流程的一个案例;B5、确定案例中事故发生后事故现场中各种设备的日志会出现的信息,这些信息即为该案例中可疑事件检索的条件;C5、条件分为两种固定条件和动态条件;固定条件是案例发生后的每个事故现场中都会存在的信息,这些信息不需要用户根据事故现场环境来输入;动态条件是仅在具体单次的安全事故现场设备日志中才会出现的那些信息,由用户根据事故现场环境来输入;D5、根据分析出需要的动态条件,确定动态条件说明信息,这些说明信息包括能够获取到这些动态条件的位置、能够获取到这些动态条件的方法,以及这些动态条件的格式,这些说明信息即成为案例的动态条件定义。
4.根据权利1所述的方法,其特征在于,步骤B中所述的交互式用户输入读取基于一个外部的用户交互系统;在用户交互系统中,用户从系统得到相关的提示信息,并根据提示信息,结合事故发生的实际环境,输入相应的信息。
5.根据权利1所述的方法,其特征在于,步骤B中所述的交互式用户输入读取包括如下步骤A2、读取流程设置的动态条件定义,这些条件定义说明了需要从事故现场环境中找的信息的说明;这些说明信息包括能够获取到这些信息的位置、能够获取到这些信息的方法, 以及这些信息的格式;B2、根据这些说明信息,自动生成动态条件输入界面,并且界面以用户易于理解的方式展现;C2、根据交互界面的说明信息,读取用户交互式输入的动态条件。
6.根据权利1所述的方法,其特征在于,步骤B中所述的事件检索基于一个外部的事件库;事件库中记录了系统审计到的全部事件,每个事件包括了各类属性信息,包括资产地址、名称、技术分类、行为分类或此事件直接或间接表达的其它信息;通过组合案例定义的固定条件和用户交互式输入的动态条件,即能够从事件库的全部事件中检索出与此次安全事故相关的可疑事件列表。
7.根据权利1所述的方法,其特征在于,所述步骤C中交互式事件核实过程包括如下步骤A4、一个外部的用户交互系统详细展示此可疑事件的各类属性信息,包括资产地址、名称、技术分类、行为分类、危险基本或此事件直接或间接表达的其它信息;B4、用户交互式确认此事件是否与事故有关;C4、如有关,则交互式标记此事件。
8.根据权利1所述的方法,其特征在于,还包括对步骤C标记的事件列表进行取证的内容提取在事故追溯全部案例中,由用户交互式核实后所有标记的事件,根据事故响应、处置预案中的要求,对这些事件进行取证,作为后续事故响应、处置的一种依据。
9.一种用于实现权利要求1所述方法的交互式半自动化安全事故追溯系统,其特征在于,包括用于根据发生的事故读取追溯流程的流程读取模块,用于遍历追溯流程中全部案例的案例遍历模块,用于读取案例中固定参数的固定参数读取模块,用于读取案例中的动态参数定义信息的动态参数定义读取模块,用于读取动态参数的交互式用户输入模块,用于根据动态参数和固定参数进行查询的事件检索模块,用于对可疑事件进行判定的交互式事件核实模块;流程读取模块连接案例遍历模块,案例遍历模块分别连接动态参数定义读取模块和固定参数读取模块;动态参数定义读取模块经交互式用户输入模块连接事件检索模块,固定参数读取模块直接连接事件检索模块,事件检索模块与交互式事件核实模块相连;流程读取模块还连接一个外部的事故追溯流程库;交互式用户输入模块和交互式事件核实模块还连接一个外部的用户交互系统;事件检索模块还连接一个外部的事件库。
10.根据权利要求9所述的系统,其特征在于,还包括用于标记事故相关事件的事件标记模块,事件标记模块分别连接交互式事件核实模块和事故取证模块。
全文摘要
本发明涉及计算机应用安全管理技术,旨在提供一种交互式半自动化安全事故追溯方法。包括如下步骤根据发生的事故读取对应的事故追溯流程的全部案例;根据案例的定义进行交互式用户输入读取,作为提供的动态条件,结合案例定义的固定条件,通过检索得到事件列表;遍历可疑事件列表,进行交互式用户核实,让用户对可疑事件与安全事故是否有关逐一进行确认,如果可疑事件与安全事故有关,则标记的可疑事件即为事故原因。本发明降低了安全管理的技术障碍和门槛,极大的降低了安全管理的成本和响应时间;交互式确认误判率非常低,使得取证结果具有很高的可信度;能够实现快速、标准化的事故发生后的处置响应案例。
文档编号H04L12/24GK102446227SQ20121001369
公开日2012年5月9日 申请日期2012年1月17日 优先权日2012年1月17日
发明者杨永清, 范渊, 谈修竹 申请人:杭州安恒信息技术有限公司