專利名稱:計算機網(wǎng)絡信息安全事件處理方法
技術領域:
本發(fā)明涉及一種計算機網(wǎng)絡安全防范方法,尤其涉及一種計算機網(wǎng)絡信息安全事件處理方法����。
背景技術:
隨著信息技術的不斷發(fā)展以及因特網(wǎng)的應用越來越廣泛和深入,網(wǎng)絡安全問題也日益突出��,除了計算機病毒泛濫之外��,人為的計算機誤用或誤操作及惡意的網(wǎng)絡攻擊都在一定程度上對企業(yè)正常的業(yè)務運作造成了不小的影響��,有的甚至還導致了嚴重的系統(tǒng)破壞或巨大的經(jīng)濟損失���。一般企業(yè)常用的安全防范技術有防毒�����、加密�、認證和訪問控制等方法��。近兩年來�����,安全監(jiān)控審計系統(tǒng)也逐漸成為一種重要的安全防范技術?,F(xiàn)有的安全監(jiān)控審計系統(tǒng)的系統(tǒng)結構圖如圖1所示���。該系統(tǒng)主要由傳感器、分析器�����、數(shù)據(jù)庫����、控制臺和響應器五個部件組成。傳感器為檢測部件��,主要作用是獲取數(shù)據(jù)并進行檢測�,可監(jiān)控網(wǎng)絡流量或計算機系統(tǒng);分析器一般為系統(tǒng)處理中心或策略中心�;數(shù)據(jù)庫為數(shù)據(jù)存儲部件;控制臺為面向用戶的管理介面�;響應器為實現(xiàn)多種響應的部件。這種安全監(jiān)控審計系統(tǒng)可以實現(xiàn)檢測和響應兩大功能����,可對網(wǎng)絡或主機系統(tǒng)進行實時的監(jiān)控和審計��,一旦發(fā)現(xiàn)誤用或惡意行為便可作出及時響應����,其中“響應”為系統(tǒng)的主要輸出結果��。常見的響應方式有控制臺顯示���、郵件通知、阻斷連接���、手機/呼機短信息����、SNMP陷阱信息�、傳真、聲音或通過防火墻阻斷等方式��。這種安全監(jiān)控審計系統(tǒng)在信息安全事件發(fā)生時只是及時通知到管理人員��,而不采取進一步的措施�����;另外���,那些自動防御的響應方式也都有一定的局限性���,這是因為��,一方面干擾者或入侵者的行為變化多端�,另一方面網(wǎng)絡環(huán)境都比較復雜���,這就導致網(wǎng)絡狀況也有很大的不確定性��,所以阻斷連接方式并不十分有效��;安全經(jīng)常是模糊的����,管理人員也因此會無所適從��,或被一些誤報警所誤導��,或被一些隱蔽行為所蒙蔽����。總之���,傳統(tǒng)的信息安全事件處理方法在信息安全事件發(fā)生時����,管理人員依然不能對實際情況有足夠清晰的了解��,仍然沒有有效的手段對信息安全事件作出全面及時的處理����。
發(fā)明內(nèi)容
針對現(xiàn)有計算機網(wǎng)絡信息安全防范中存在的問題,本發(fā)明提供一種基于人機合作的計算機網(wǎng)絡信息安全事件處理方法���,當信息安全事件發(fā)生時���,管理人員在收到報警通知后,可以及時�����、全面����、深入地對事件作出分析和處理,可使管理人員對當前的事件狀況有一個清晰完整的了解���,并可借助多種有效手段遏止住誤用行為或入侵行為的進一步發(fā)生��,同時�,管理人員也可以依據(jù)當前的安全狀況制定出企業(yè)下一步需要實行的安全防范策略。
本發(fā)明的目的是這樣實現(xiàn)的一種計算機網(wǎng)絡信息安全事件處理方法�,該方法基于一個與計算機網(wǎng)絡連接的安全監(jiān)控審計系統(tǒng)實現(xiàn),審計系統(tǒng)包括分析器����、傳感器、數(shù)據(jù)庫�、控制臺和響應器,其特點是�����,該方法至少包括以下步驟第一步���,建立處理平臺在安全監(jiān)控審計系統(tǒng)中建立一個與分析器相連的人機合作事件處理平臺��;第二步��,提供網(wǎng)絡處理工具�����;向人機合作事件處理平臺提供可將抽象信息作為輸入?yún)?shù)的網(wǎng)絡處理工具����;第三步,獲取并分析數(shù)據(jù)傳感器監(jiān)控計算機網(wǎng)絡���、主機系統(tǒng),從計算機網(wǎng)絡����、主機系統(tǒng)中獲取能反映其安全狀態(tài)的原始數(shù)據(jù),對其進行安全狀態(tài)分析�����,并進行過濾及傳輸?shù)椒治銎髯鬟M一步的處理��;第四步����,產(chǎn)生信息安全事件分析器分析計算機網(wǎng)絡、主機系統(tǒng)的安全狀態(tài)����,產(chǎn)生信息安全事件�����,并將其送往數(shù)據(jù)庫���、控制臺、響應器和人機合作事件處理平臺��;第五步�����,提取抽象信息人機合作事件處理平臺從信息安全事件中提取關鍵的抽象信息�;第六步,人機合作得到處理結果以所提取的抽象信息作為網(wǎng)絡處理工具的輸入?yún)?shù)����,由操作者與網(wǎng)絡處理工具合作對信息安全事件進行分析和處理,遏阻非法行為����,完成對信息安全事件的處理。
所述的網(wǎng)絡處理工具包括網(wǎng)絡系統(tǒng)掃描器����、防火墻�����、遠程訪問工具��、遠程控制工具����、反攻擊工具����、網(wǎng)絡嗅探工具����、腳本語言和基本網(wǎng)絡診斷工具。
所述的網(wǎng)絡處理工具由安全監(jiān)控審計系統(tǒng)自動激活���。
所述的抽象信息包括源地址��、目標地址����、源端口���、目標端口��、時間戳��、事件類型�����。
在所述的步驟六中�����,由操作者決定選擇的工具類型及采用的操作策略執(zhí)行該工具����。
本發(fā)明由于采用了以上技術方案,使其與現(xiàn)有技術相比�����,具有以下明顯的優(yōu)點和積極效果1�、可彌補傳統(tǒng)安全模型的不足傳統(tǒng)安全模型為基于時間的安全模型(TBS/Time Based Security),強調(diào)在系統(tǒng)防護時間(Pt)大于系統(tǒng)檢測時間(Dt)加系統(tǒng)響應時間(Rt)之和時為系統(tǒng)的可接受安全模型��。即Pt>Dt+Rt�����。TBS模型屬于較為理想化的模型。事實上��,防護的不可靠���、檢測的不精確以及響應的不完全都會使系統(tǒng)在保持安全狀態(tài)時失去平衡�����。本發(fā)明方法可以在一定程度上彌補TBS安全模型欠缺考慮人的因素的不足��,可以通過人機合作的方式對各種安全事件及各種變化不定的安全狀況作出最好的處理��。
2、可提高安全監(jiān)控審計系統(tǒng)的應用價值安全監(jiān)控審計系統(tǒng)主要為檢測和響應類產(chǎn)品�,由于目前系統(tǒng)還沒有足夠的精度、靈活度和功能范圍����,所以系統(tǒng)應用有一定的局限性。本發(fā)明的方法可為管理人員提供一個安全事件的綜合處理平臺�,既可以對事件進行有效處理,也可以對安全狀況進行深入的分析����,為監(jiān)控審計類產(chǎn)品提供更多的應用價值���。
3、基于人機合作的處理方式���,靈活全面�,實用性高���,代價低本發(fā)明的方法提供了人機合作處理事件的方式�����,既可充分利用系統(tǒng)所提供的信息和工具資源�����,也充分利用了人的決策能動性����,所以靈活�、全面、實用性高,但代價卻較低�。
圖1為現(xiàn)有技術安全監(jiān)控審計系統(tǒng)的系統(tǒng)結構示意圖。
圖2為本發(fā)明計算機網(wǎng)絡信息安全事件處理方法的系統(tǒng)結構示意圖���。
圖3為本發(fā)明計算機網(wǎng)絡信息安全事件處理方法的流程示意圖�。
具體實施例方式
請參見圖2�,本發(fā)明一種計算機網(wǎng)絡信息安全事件處理方法,通過一個與計算機網(wǎng)絡連接的安全監(jiān)控審計系統(tǒng)實現(xiàn)��,該系統(tǒng)包括分析器�、傳感器、數(shù)據(jù)庫���、控制臺�、響應器和人機合作事件處理平臺����,由處于中心位置的分析器分別與傳感器、數(shù)據(jù)庫�、控制臺�、響應器和人機合作事件處理平臺連接組成,在人機合作事件處理平臺中設有多種網(wǎng)絡處理工具��。網(wǎng)絡處理工具包括網(wǎng)絡系統(tǒng)掃描器、防火墻���、遠程訪問工具���、遠程控制工具、反攻擊工具��、網(wǎng)絡嗅探工具��、腳本語言和基本網(wǎng)絡診斷工具等����。
請參見圖3,本發(fā)明的計算機網(wǎng)絡信息安全事件處理方法通過圖2所示的安全監(jiān)控審計系統(tǒng)實現(xiàn)�����,它包括以下步驟第一步�,建立處理平臺在安全監(jiān)控審計系統(tǒng)中建立一個與分析器相連的人機合作事件處理平臺;第二步���,提供網(wǎng)絡處理工具�����;向人機合作事件處理平臺提供可將抽象信息作為輸入?yún)?shù)的包括網(wǎng)絡系統(tǒng)掃描器����、防火墻、遠程訪問工具�、遠程控制工具、反攻擊工具�、網(wǎng)絡嗅探工具、腳本語言和基本網(wǎng)絡診斷工具等網(wǎng)絡處理工具��,網(wǎng)絡處理工具由安全監(jiān)控審計系統(tǒng)自動激活���。
第三步����,獲取并分析數(shù)據(jù)傳感器監(jiān)控計算機網(wǎng)絡���、主機系統(tǒng)����,從計算機網(wǎng)絡�、主機系統(tǒng)中獲取能反映其安全狀態(tài)的原始數(shù)據(jù),對其進行安全狀態(tài)分析�����,并進行過濾及傳輸?shù)椒治銎髯鬟M一步的處理�����;第四步���,產(chǎn)生信息安全事件分析器分析計算機網(wǎng)絡��、主機系統(tǒng)的安全狀態(tài)�����,產(chǎn)生信息安全事件�,并將其送往數(shù)據(jù)庫����、控制臺、響應器和人機合作事件處理平臺���;第五步�����,提取抽象信息人機合作事件處理平臺從信息安全事件中提取包括源地址�、目標地址、源端口�����、目標端口�、時間戳、事件類型等關鍵的抽象信息����。
第六步,人機合作得到處理結果以所提取的抽象信息作為網(wǎng)絡處理工具的輸入?yún)?shù)�����,由操作者決定選擇何種工具及采用何種操作策略執(zhí)行該工具并與網(wǎng)絡處理工具合作對信息安全事件進行分析和處理�,遏阻非法行為,完成對信息安全事件的處理��。
權利要求
1.一種計算機網(wǎng)絡信息安全事件處理方法����,該方法基于一個與計算機網(wǎng)絡連接的安全監(jiān)控審計系統(tǒng)實現(xiàn),審計系統(tǒng)包括分析器��、傳感器、數(shù)據(jù)庫����、控制臺和響應器��,其特征在于該方法至少包括以下步驟第一步���,建立處理平臺在安全監(jiān)控審計系統(tǒng)中建立一個與分析器相連的人機合作事件處理平臺���;第二步,提供網(wǎng)絡處理工具����;向人機合作事件處理平臺提供可將抽象信息作為輸入?yún)?shù)的網(wǎng)絡處理工具;第三步��,獲取并分析數(shù)據(jù)傳感器監(jiān)控計算機網(wǎng)絡���、主機系統(tǒng)���,從計算機網(wǎng)絡、主機系統(tǒng)中獲取能反映其安全狀態(tài)的原始數(shù)據(jù)�����,對其進行安全狀態(tài)分析,并進行過濾及傳輸?shù)椒治銎髯鬟M一步的處理����;第四步,產(chǎn)生信息安全事件分析器分析計算機網(wǎng)絡��、主機系統(tǒng)的安全狀態(tài)�����,產(chǎn)生信息安全事件��,并將其送往數(shù)據(jù)庫�����、控制臺�����、響應器和人機合作事件處理平臺�;第五步,提取抽象信息人機合作事件處理平臺從信息安全事件中提取關鍵的抽象信息;第六步����,人機合作得到處理結果以所提取的抽象信息作為網(wǎng)絡處理工具的輸入?yún)?shù),由操作者與網(wǎng)絡處理工具合作對信息安全事件進行分析和處理�,遏阻非法行為,完成對信息安全事件的處理���。
2.根據(jù)權利要求1所述的計算機網(wǎng)絡信息安全事件處理方法,其特征在于所述的網(wǎng)絡處理工具包括網(wǎng)絡系統(tǒng)掃描器����、防火墻、遠程訪問工具��、遠程控制工具��、反攻擊工具�、網(wǎng)絡嗅探工具、腳本語言和基本網(wǎng)絡診斷工具��。
3.根據(jù)權利要求1或2所述的計算機網(wǎng)絡信息安全事件處理方法����,其特征在于所述的網(wǎng)絡處理工具由安全監(jiān)控審計系統(tǒng)自動激活。
4.根據(jù)權利要求1所述的計算機網(wǎng)絡信息安全事件處理方法,其特征在于所述的抽象信息包括源地址����、目標地址、源端口��、目標端口�����、時間戳��、事件類型��。
5.根據(jù)權利要求1所述的計算機網(wǎng)絡信息安全事件處理方法�����,其特征在于在所述的步驟六中����,由操作者決定選擇的工具類型及采用的操作策略執(zhí)行該工具。
全文摘要
一種計算機網(wǎng)絡信息安全事件處理方法����,通過一個與計算機網(wǎng)絡連接的安全監(jiān)控審計系統(tǒng)實現(xiàn)。在安全監(jiān)控審計系統(tǒng)中建立有人機合作事件處理平臺,在該平臺中設有多種網(wǎng)絡處理工具���,由人決定選擇何種工具及采用何種操作策略執(zhí)行該工具��,由人與網(wǎng)絡處理工具合作對信息安全事件進行分析和處理��。本發(fā)明的計算機網(wǎng)絡信息安全事件處理方法靈活全面���,實用性高,代價低����;可彌補傳統(tǒng)安全模型的不足����;可提高安全監(jiān)控審計系統(tǒng)的應用價值。
文檔編號G06F11/30GK1447263SQ0311583
公開日2003年10月8日 申請日期2003年3月17日 優(yōu)先權日2003年3月17日
發(fā)明者金波, 周晴杰, 任群 申請人:上海金諾網(wǎng)絡安全技術發(fā)展股份有限公司