專利名稱:網(wǎng)絡(luò)安全聯(lián)動(dòng)方法�、系統(tǒng)和檢測(cè)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)安全聯(lián)動(dòng)方法���、 系統(tǒng)和檢測(cè)裝置�。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展�,網(wǎng)絡(luò)安全已成為人們關(guān)注的重要問(wèn)題。現(xiàn) 有的安全防護(hù)技術(shù)�,是依靠單個(gè)安全設(shè)備完成網(wǎng)絡(luò)安全防護(hù),但各個(gè)安全 設(shè)備彼此獨(dú)立����,不能進(jìn)行互操作,任何一個(gè)安全設(shè)備出現(xiàn)問(wèn)題��,便可能導(dǎo) 致安全事故。面對(duì)網(wǎng)絡(luò)安全問(wèn)題��,許多機(jī)構(gòu)配置了網(wǎng)絡(luò)安全產(chǎn)品�,如防火
墻(Fire Wall, FW)����、系統(tǒng)掃描器、系統(tǒng)實(shí)時(shí)監(jiān)控器����、虛擬專用網(wǎng)絡(luò)(Virtual Private Network, VPN)網(wǎng)關(guān)和網(wǎng)絡(luò)防病毒軟件等,但網(wǎng)絡(luò)安全是個(gè)綜合 問(wèn)題���,僅僅通過(guò)各種功能的網(wǎng)絡(luò)安全產(chǎn)品簡(jiǎn)單地疊加無(wú)法滿足需求�。
為解決上述問(wèn)題�,體現(xiàn)"單一防御技術(shù)走向整體防御"的安全聯(lián)動(dòng)技 術(shù)隨之而生,安全聯(lián)動(dòng)技術(shù)即在檢測(cè)機(jī)構(gòu)發(fā)現(xiàn)威脅(或攻擊)后�,以最快 的方式指示響應(yīng)機(jī)構(gòu)在源頭(入侵行為所屬區(qū)域)上消滅威脅(或攻擊)�����, 包括安全管理和設(shè)備間的互操作技術(shù)���。其中��,安全管理是通過(guò)第三方的"管 理中心"模式的實(shí)體把各種安全組件統(tǒng)管起來(lái)���,實(shí)現(xiàn)安全設(shè)備之間的間接 聯(lián)動(dòng)�����;而設(shè)備的互操作則無(wú)需通過(guò)第三方的統(tǒng)一管理和分析��,通過(guò)設(shè)備間 直接調(diào)用以達(dá)到聯(lián)動(dòng)目的���。
現(xiàn)有的安全管理中心(Security Operation Center, SOC )系統(tǒng)包括檢 測(cè)模塊、分析模塊和響應(yīng)模塊��,檢測(cè)模塊與分析模塊之間是單向的信息傳 遞�����,即檢測(cè)模塊向分析模塊提供分析的素材��;分析模塊作出分析��、決策后�����,
6下發(fā)給系統(tǒng)管理員進(jìn)行處理,通知響應(yīng)模塊執(zhí)行相應(yīng)的操作����。該SOC系 統(tǒng)雖然有比較豐富的統(tǒng)一分析功能,也可以把各種安全設(shè)備組織起來(lái)����,但 安全信息和安全響應(yīng)都是通過(guò)上下層關(guān)系實(shí)現(xiàn),缺乏下層之間平行的響應(yīng) 關(guān)系����,不能實(shí)現(xiàn)對(duì)安全事件的實(shí)時(shí)響應(yīng),即無(wú)法在第一時(shí)間及時(shí)做出響應(yīng)���,
需要經(jīng)過(guò)統(tǒng)一的分析和人工處理才能達(dá)到防護(hù)目的�。因此�����,soc技術(shù)更適 合于提前預(yù)防和事后分析�,難以應(yīng)對(duì)實(shí)時(shí)的攻擊�。
現(xiàn)有的聯(lián)動(dòng)系統(tǒng)是在設(shè)備的互操作技術(shù)的基礎(chǔ)上發(fā)展而來(lái)的開(kāi)放的
安全平臺(tái)(Open Platform for Security, OPSEC)和開(kāi)放的安全智能平臺(tái) (Talent Open Platform for Security, TOPSEC )耳關(guān)動(dòng)^支術(shù),通過(guò)i殳備間的 直接調(diào)用來(lái)達(dá)到聯(lián)動(dòng)的目的,該聯(lián)動(dòng)系統(tǒng)包括檢測(cè)模塊和響應(yīng)模塊��,檢測(cè) 模塊直接調(diào)用響應(yīng)模塊來(lái)達(dá)到聯(lián)動(dòng)的目的���。OPSEC和TOPSEC聯(lián)動(dòng)技術(shù) 系統(tǒng)雖然能進(jìn)行高效地響應(yīng)���,但是其為相對(duì)封閉的系統(tǒng),缺乏和上層分析 者之間的交互�,難以保證聯(lián)動(dòng)的有效性,誤報(bào)率較高�。此外,該聯(lián)動(dòng)系統(tǒng) 的實(shí)體需要經(jīng)過(guò)事先配置�,大多情況下只能解決同一網(wǎng)絡(luò)內(nèi)的問(wèn)題,無(wú)法 實(shí)現(xiàn)跨網(wǎng)絡(luò)域的聯(lián)動(dòng)��。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)安全聯(lián)動(dòng)方法���、系統(tǒng)和檢測(cè)裝置�����,實(shí)現(xiàn)能夠 在通過(guò)分析模塊和檢測(cè)模塊的上下層關(guān)系實(shí)現(xiàn)安全信息和安全響應(yīng)的同時(shí)��, 還能夠通過(guò)檢測(cè)模塊和響應(yīng)模塊的下層之間平行的響應(yīng)關(guān)系實(shí)現(xiàn)對(duì)安全事件 的實(shí)時(shí)響應(yīng)��,保證了聯(lián)動(dòng)的有效性���,降低了誤報(bào)率�。
本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)安全聯(lián)動(dòng)方法����,包括 確定網(wǎng)絡(luò)中的入侵行為類型是否屬于已知的入侵行為; 如果屬于����,則向響應(yīng)模塊發(fā)送攜帶有處理方式的第一指令,所述響應(yīng)模 塊根據(jù)所述第一指令所攜帶的處理方式對(duì)所述入侵行為執(zhí)行相應(yīng)的處理�;
否則,則向分析模塊發(fā)送未知的入侵行為的相關(guān)信息����,所述分析^t塊對(duì)所述相關(guān)信息進(jìn)行分析后,獲取相應(yīng)的處理方式��;
向所述響應(yīng)模塊發(fā)送攜帶有所述處理方式的第二指令����,所述響應(yīng)模塊根 據(jù)所述第二指令所攜帶的處理方式對(duì)所述未知的入侵行為執(zhí)行相應(yīng)的處理。
本發(fā)明實(shí)施例提供了一種檢測(cè)裝置�,包括
第一判斷單元��,用于確定網(wǎng)絡(luò)中的入侵行為類型是否屬于已知的入侵行
為;
第 一執(zhí)行單元�����,用于當(dāng)所述第 一判斷單元確定網(wǎng)絡(luò)中的入侵行為類型屬 于已知的入侵行為時(shí)�,則直接發(fā)送攜帶有處理方式的第一指令;否則����,則發(fā) 送未知的入侵行為的相關(guān)信息。
本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng)�����,包括
檢測(cè)模塊���,用于確定網(wǎng)絡(luò)中的入侵行為類型是否屬于已知的入侵行為���, 如果屬于,則執(zhí)行第一聯(lián)動(dòng)決策�����,所述第一聯(lián)動(dòng)決策為直接向響應(yīng)模塊發(fā)送 攜帶有處理方式的第一指令;否則�����,則執(zhí)行第二聯(lián)動(dòng)決策��,所述第二聯(lián)動(dòng)決 策為向分析模塊發(fā)送未知的入侵行為的相關(guān)信息��;
分析模塊��,用于接收到所述檢測(cè)模塊所發(fā)送的未知的入侵行為的相關(guān)信 息���,對(duì)所述相關(guān)信息進(jìn)行分析后����,獲取相應(yīng)的處理方式�,并向所述響應(yīng)^^莫塊 發(fā)送攜帶有所述處理方式的第二指令;
響應(yīng)模塊���,用于根據(jù)所述第一指令所攜帶的處理方式對(duì)所述已知的入侵 行為執(zhí)行相應(yīng)的處理或根據(jù)所述第二指令所攜帶的處理方式對(duì)所述未知的入 侵行為執(zhí)行相應(yīng)的處理�。
本發(fā)明實(shí)施例的網(wǎng)絡(luò)安全聯(lián)動(dòng)方法和系統(tǒng)�,檢測(cè)模塊檢測(cè)到網(wǎng)絡(luò)中的入 侵行為后,判斷所述入侵行為是否為已知的入侵行為,直接通知響應(yīng)模塊對(duì) 已知的入侵行為進(jìn)行相應(yīng)的處理或者將未知的入侵行為的相關(guān)信息向分析模 塊發(fā)送�����,以供所述分析模塊對(duì)所述相關(guān)信息進(jìn)行分析后再通知響應(yīng)模塊對(duì)未 知的入侵行為進(jìn)行相應(yīng)的處理���,實(shí)現(xiàn)了能夠在通過(guò)分析模塊和檢測(cè)模塊的上 下層關(guān)系實(shí)現(xiàn)安全信息和安全響應(yīng)的同時(shí),還能夠通過(guò)檢測(cè)模塊和響應(yīng)模塊的下層之間平行的響應(yīng)關(guān)系實(shí)現(xiàn)對(duì)安全事件的實(shí)時(shí)響應(yīng)�,保證了聯(lián)動(dòng)的有效 性,降低了誤報(bào)率����。
下面結(jié)合附圖和具體實(shí)施例進(jìn)一步說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案。
圖1為本發(fā)明網(wǎng)絡(luò)安全聯(lián)動(dòng)方法的第一實(shí)施例的流程示意圖��; 圖2為本發(fā)明網(wǎng)絡(luò)安全聯(lián)動(dòng)方法的第二實(shí)施例的流程示意圖����; 圖3為本發(fā)明檢測(cè)裝置的實(shí)施例的結(jié)構(gòu)示意圖; 圖4為本發(fā)明網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng)的實(shí)施例的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式
如圖1所示�����,為本發(fā)明網(wǎng)絡(luò)安全聯(lián)動(dòng)方法的第一實(shí)施例的流程示意圖��。 本實(shí)施例包括以下步驟
步驟101、檢測(cè)模塊檢測(cè)到網(wǎng)絡(luò)中的入侵行為后��,判斷所述入侵行為是 否為已知的入侵行為���,如果是�����,則執(zhí)行步驟102和步驟103;否則��,則執(zhí)行 步驟104��、步驟105和步驟106����。
其中的已知的入侵行為是已知的確定的安全威脅����,本步驟中,檢測(cè)模塊 可以根據(jù)預(yù)置已知攻擊模式規(guī)則庫(kù)進(jìn)行模式匹配���,判斷所述入侵行為是否為 已知的入4I^亍為����;
步驟102、檢測(cè)模塊執(zhí)行第一聯(lián)動(dòng)決策�,第一聯(lián)動(dòng)決策為檢測(cè)模塊直接 向響應(yīng)模塊發(fā)送攜帶有處理方式的第一指令�,以直接通知響應(yīng)模塊對(duì)已知的 入侵行為進(jìn)行相應(yīng)的處理�����;
步驟103��、響應(yīng)模塊根據(jù)上述第一指令所攜帶的處理方式對(duì)已知的入侵 行為執(zhí)行相應(yīng)的處理;
步驟104���、檢測(cè)模塊則執(zhí)行第二聯(lián)動(dòng)決策��,第二聯(lián)動(dòng)決策為檢測(cè)模塊向 分析模塊發(fā)送未知的入侵行為的相關(guān)信息�;步驟105��、分析模塊對(duì)該未知的入侵行為的相關(guān)信息進(jìn)行分析后����,獲取
相應(yīng)的處理方式,則通過(guò)系統(tǒng)管理員向響應(yīng)模塊發(fā)送攜帶有處理方式的第二
指令��,以通知響應(yīng)模塊對(duì)該未知的入侵行為進(jìn)行相應(yīng)的處理����;
步驟106、響應(yīng)模塊根據(jù)上述第二指令所攜帶的處理方式對(duì)所述未知的 入4曼4于為4丸4于相應(yīng)的處理�。
本實(shí)施例中所涉及的需要聯(lián)動(dòng)的設(shè)備分為檢測(cè)模塊、分析模塊和響應(yīng)模 塊三類��。其中����,檢測(cè)模塊可以為具有感知網(wǎng)絡(luò)安全事件能力的實(shí)體��,包括入 侵檢測(cè)系統(tǒng)(Invade Detect System, IDS )����、反病毒(Anti-Vims�����, AV )等具有 安全檢測(cè)能力的組件����;分析模塊可以為具有分析安全事件、下發(fā)安全策略能 力的實(shí)體�,包括審計(jì)、安全管理中心等組件����;執(zhí)行模塊可以具有對(duì)目標(biāo)對(duì)象 采取措施能力的實(shí)體���,例如封閉端口��、 IP地址����、媒體訪問(wèn)控制(MAC)地 址,切斷連接等操作�����,包括防火墻���、交換機(jī)��、路由器等組件���。
本實(shí)施例中檢測(cè)模塊檢測(cè)入侵行為是一種數(shù)據(jù)通信監(jiān)視手段,入侵檢測(cè) 技術(shù)對(duì)于每一個(gè)進(jìn)出數(shù)據(jù)包都要進(jìn)行解碼分析和模式匹配�,如果檢測(cè)到該數(shù) 據(jù)包中含有與已知的攻擊方法特征庫(kù)相匹配的數(shù)據(jù),則斷定有入侵事件發(fā)生 則通知響應(yīng)才莫塊對(duì)該入侵行為進(jìn)行相應(yīng)的處理即固化MJ'j;如果未纟企測(cè)到該 數(shù)據(jù)包中含有與已知的攻擊方法特征庫(kù)相匹配的數(shù)據(jù)�����,則將相關(guān)信息向分析 模塊發(fā)送即非固化規(guī)則����,由分析模塊對(duì)該入侵行為進(jìn)行分析后,則通知響應(yīng) 模塊對(duì)該入侵行為進(jìn)行相應(yīng)的處理���。通過(guò)檢測(cè)模塊的固化規(guī)則和分析模塊的 非固化規(guī)則的分級(jí)��,可以改進(jìn)聯(lián)動(dòng)策略�����,實(shí)現(xiàn)了能夠在通過(guò)分析模塊和檢測(cè) 模塊的上下層關(guān)系實(shí)現(xiàn)安全信息和安全響應(yīng)的同時(shí)���,還能夠通過(guò)檢測(cè)模塊和 響應(yīng)模塊的下層之間平行的響應(yīng)關(guān)系實(shí)現(xiàn)對(duì)安全事件的實(shí)時(shí)響應(yīng)���,保證了聯(lián) 動(dòng)的有效性。
進(jìn)一步地���,本實(shí)施例中步驟103之后還可以包括分析模塊比較對(duì)上述 已知的入侵行為執(zhí)行處理后的實(shí)際結(jié)果與預(yù)期結(jié)果�,當(dāng)所述實(shí)際結(jié)果與所述 預(yù)期結(jié)果不一致的次數(shù)超過(guò)相應(yīng)的預(yù)設(shè)閾值時(shí)��,分析模塊則向檢測(cè)模塊發(fā)送攜帶有入侵行為標(biāo)識(shí)的調(diào)整指令��,以供檢測(cè)模塊再一次檢測(cè)到與所述入侵行 為標(biāo)識(shí)對(duì)應(yīng)的入侵行為后��,調(diào)整所要執(zhí)行的聯(lián)動(dòng)策略即將所述入侵行為判斷 為未知的入侵行為��,執(zhí)行所述第二聯(lián)動(dòng)策略���,從而可以降低檢測(cè)的誤報(bào)率����。
其中的對(duì)上述已知的入侵行為執(zhí)行處理后的實(shí)際結(jié)果是執(zhí)行處理后是否
起到作用��, 一般由人工反饋�,部分情況機(jī)器自動(dòng)生成,例如可以由響應(yīng)模
塊生成�����,并向分析模塊返回�����。
具體地���,可以在分析模塊內(nèi)部��,創(chuàng)建一張表�����,其表項(xiàng)包括"安全事件類 型"��、"處理方式'�,、"預(yù)期結(jié)果"�、"實(shí)際結(jié)果"、"是否有效"�、"是否固化"等 幾項(xiàng)。該表可以動(dòng)態(tài)更新�����,其中"安全事件類型"代表檢測(cè)模塊可以檢測(cè)到
的攻擊事件的全集��;"處理方式"為針對(duì)某一攻擊�,響應(yīng)模塊如何采取操作; "預(yù)期結(jié)果"代表響應(yīng)模塊采取一定操作后�,理想的效果, 一般是由人工預(yù)
先設(shè)置��;"實(shí)際結(jié)果"表響應(yīng)動(dòng)作后是否起到作用�, 一般由人工反饋,部分情
況機(jī)器自動(dòng)生成���;"是否有效"代表響應(yīng)的結(jié)果�����,可根據(jù)前兩項(xiàng)自動(dòng)比較生成�。 "是否固化"代表該條安全事件類型的處理方式是否允許檢測(cè)模塊執(zhí)行第一
聯(lián)動(dòng)策略�,直接向響應(yīng)模塊發(fā)送指令。具體形式如下表所示
表聯(lián)動(dòng)策略實(shí)現(xiàn)表
安全事件類型處理方式預(yù)期結(jié)果實(shí)際結(jié)果是否有效是否固化
Synflood切斷連接連接數(shù)正常人工或機(jī)器動(dòng)態(tài)生成自動(dòng)比較是(預(yù)設(shè))
Blaster封IP無(wú)此IP的包人工或機(jī)器動(dòng)態(tài)生成自動(dòng)比4交是(預(yù)設(shè))
掃描記錄有相關(guān)曰志人工或機(jī)器動(dòng)態(tài)生成自動(dòng)比較否(預(yù)設(shè))
異常包封IP無(wú)此IP的包人工或機(jī)器動(dòng)態(tài)生成自動(dòng)比較否(預(yù)設(shè))
………………
如上表所示�����,分析^虞塊通過(guò)統(tǒng)"卜"是否有效"這一項(xiàng)數(shù)據(jù)�,^^改變"是
否固化"這一項(xiàng)的值,從而實(shí)現(xiàn)固化規(guī)則向非固化規(guī)則的轉(zhuǎn)換�����。例如���,對(duì)于 某類"安全事件類型"如果"是否有效"項(xiàng)的值為假的次數(shù)超過(guò)某個(gè)閾值�, 若該規(guī)則是固化的��,則置為非固化�。
上節(jié)方法,用來(lái)進(jìn)行固化和非固化兩級(jí)策略的相互轉(zhuǎn)換��。對(duì)于固化規(guī)則
11來(lái)說(shuō)��, 一旦其有效性不足則被直接撤銷。本實(shí)施例還可以通過(guò)對(duì)檢測(cè)沖莫塊內(nèi) 部的改進(jìn)�,不斷調(diào)整檢測(cè)算法的閾值,使檢測(cè)得出的判斷更準(zhǔn)確�,減少誤報(bào) 率,使得根據(jù)原有的檢測(cè)算法和閾值設(shè)定可能無(wú)效的固化規(guī)則在不斷調(diào)整檢 測(cè)算法的閾值之后有可能達(dá)到有效�����,而并不 一 定要將固化規(guī)則撤銷為非固化 規(guī)則��,這樣可以提高聯(lián)動(dòng)系統(tǒng)實(shí)時(shí)處理的效率���。該方法可以作為上一方法的 一個(gè)補(bǔ)充����,作為可選方案�。
檢測(cè)模塊在向響應(yīng)模塊下發(fā)聯(lián)動(dòng)策略時(shí),會(huì)同時(shí)自動(dòng)復(fù)制上報(bào)給分析模 塊�����。當(dāng)某條聯(lián)動(dòng)策略對(duì)正常應(yīng)用產(chǎn)生負(fù)面影響時(shí)�,通常情況下由人工反饋策 略給分析模塊。分析模塊根據(jù)反饋的結(jié)果��,進(jìn)行分析,更新檢測(cè)模塊的聯(lián)動(dòng) 策略���。
其中,響應(yīng)模塊必須保存接收到的聯(lián)動(dòng)策略���,達(dá)到存儲(chǔ)上限則覆蓋最早 的�。聯(lián)動(dòng)策略和其它策略邏輯上分開(kāi)存儲(chǔ)����。在發(fā)現(xiàn)問(wèn)題時(shí),能更方便地追查 到是由哪條聯(lián)動(dòng)策略所造成的����。
測(cè)模塊產(chǎn)生的聯(lián)動(dòng)策略除了包含常用的時(shí)間、事件���、創(chuàng)建模塊等信息外�,還 應(yīng)包括產(chǎn)生該策略時(shí)所用的檢測(cè)算法����、算法參數(shù)、以及標(biāo)記此策略為"聯(lián)動(dòng)策 略"的標(biāo)識(shí)等信息�����,這些附加的信息作為聯(lián)動(dòng)策略的上下文,是后續(xù)對(duì)檢測(cè)模 塊內(nèi)部進(jìn)行調(diào)整的依據(jù)�����。通常情況是�,分析模塊若發(fā)現(xiàn)某條固化規(guī)則無(wú)效的 次數(shù)達(dá)到一定數(shù)目,則暫時(shí)不將其撤銷為非固化規(guī)則���,適當(dāng)調(diào)整上下文中的 某項(xiàng)參數(shù)�����,比如檢測(cè)算法的閾值等���,若其經(jīng)過(guò)一定次數(shù)調(diào)整還是無(wú)效的話, 則撤銷為非固化規(guī)則�����。
本實(shí)施例還可以包括預(yù)置已知入侵模式規(guī)則庫(kù)的步驟�,以供所述檢測(cè)模 塊進(jìn)行模式匹配檢測(cè)出已知的入侵行為。
如圖2所示�����,為本發(fā)明網(wǎng)絡(luò)安全聯(lián)動(dòng)方法的第二實(shí)施例的流程示意圖。 與上一實(shí)施例相比�����,本實(shí)施例中為了實(shí)現(xiàn)不同區(qū)域?qū)嶓w對(duì)同一事件的聯(lián)合響 應(yīng)��,需要?jiǎng)澐殖龈鱾€(gè)聯(lián)動(dòng)區(qū)域����,當(dāng)某個(gè)區(qū)域內(nèi)的檢測(cè)者發(fā)現(xiàn)安全威脅問(wèn)題無(wú)法在本區(qū)域內(nèi)解決時(shí)����,可以借助聯(lián)動(dòng)調(diào)度來(lái)轉(zhuǎn)至適當(dāng)?shù)钠渌麉^(qū)域來(lái)解決。聯(lián) 動(dòng)調(diào)度可以由分析模塊來(lái)完成��,也可以是單獨(dú)的實(shí)體���,聯(lián)動(dòng)調(diào)度僅轉(zhuǎn)發(fā)聯(lián)動(dòng) 策略���,不作過(guò)多的分析。本實(shí)施例在步驟101之前還可以包括以下步驟
步驟201��、檢測(cè)模塊檢測(cè)到網(wǎng)絡(luò)中的入侵行為后,檢測(cè)模塊判斷所述入
侵行為是否屬于本區(qū)域��,如果是��,則執(zhí)行步驟101 ~步驟106;否則���,則執(zhí)行 步驟202和步驟204�。
步驟202��、檢測(cè)模塊則通過(guò)分析模塊向入侵行為所屬區(qū)域的分析模塊發(fā) 送所述入侵行為的相關(guān)信息���;
步驟203��、入侵行為所屬區(qū)域的分析模塊對(duì)所述相關(guān)信息進(jìn)行分析后�, 向入侵行為所屬區(qū)域的響應(yīng)模塊發(fā)送攜帶有處理方式的第三指令���;
步驟204����、入侵行為所屬區(qū)域的響應(yīng)模塊根據(jù)所述第三指令所攜帶的處 理方式對(duì)所述入侵行為進(jìn)行相應(yīng)的處理���。
其中的聯(lián)動(dòng)區(qū)域的劃分方法�����,可以采取以分析模塊直接調(diào)度的范圍來(lái)劃 分���;也可以采:f又網(wǎng)絡(luò)地域的劃分方法���,例如省、市��、地區(qū)等方法��。
本實(shí)施例通過(guò)聯(lián)動(dòng)區(qū)域的劃分���,以及聯(lián)動(dòng)調(diào)度實(shí)體將未知的入侵行為的 相關(guān)信息轉(zhuǎn)發(fā)到入侵行為所屬區(qū)域的分析模塊,能夠使得不同網(wǎng)絡(luò)聯(lián)動(dòng)區(qū)域 的設(shè)備實(shí)現(xiàn)調(diào)用���,從而幫助網(wǎng)絡(luò)系統(tǒng)將問(wèn)題解決在源頭�����。
如圖3所示�,為本發(fā)明檢測(cè)裝置的實(shí)施例的結(jié)構(gòu)示意圖����。本實(shí)施例包括 相互連接的第一判斷單元11和第一執(zhí)行單元12��。其中����,第一判斷單元ll用 于檢測(cè)到網(wǎng)絡(luò)中的入侵行為后�,判斷所述入侵行為是否為已知的入侵行為; 第一執(zhí)行單元12用于當(dāng)?shù)谝慌袛鄦卧?1判斷所述入侵行為是已知的入侵行 為時(shí)�,則直接發(fā)送攜帶有處理方式的第一指令;否則���,則發(fā)送未知的入侵行 為的相關(guān)信息�����。
其中的已知的入侵行為是已知的確定的安全威脅�����,本步驟中���,第一判斷 單元11可以根據(jù)預(yù)置已知攻擊模式規(guī)則庫(kù)進(jìn)行模式匹配,判斷所述入侵行為 是否為已知的入侵行為�。本實(shí)施例中第一判斷單元檢測(cè)入侵行為是一種數(shù)據(jù)通信監(jiān)視手段����,入侵 檢測(cè)技術(shù)對(duì)于每一個(gè)進(jìn)出數(shù)據(jù)包都要進(jìn)行解碼分析和模式匹配����,如果檢測(cè)到 該數(shù)據(jù)包中含有與已知的攻擊方法特征庫(kù)相匹配的數(shù)據(jù),則斷定有入侵事件 發(fā)生��,第 一執(zhí)行單元?jiǎng)t通知系統(tǒng)中的響應(yīng)模塊對(duì)該入侵行為進(jìn)行相應(yīng)的處理 即固化規(guī)則�����;如果未檢測(cè)到該數(shù)據(jù)包中含有與已知的攻擊方法特征庫(kù)相匹配 的數(shù)據(jù)�,第一執(zhí)行單元?jiǎng)t將相關(guān)信息向系統(tǒng)中的分析模塊發(fā)送即非固化規(guī)則, 由分析模塊對(duì)該入侵行為進(jìn)行分析后�,則通知響應(yīng)模塊對(duì)該入侵行為進(jìn)行相 應(yīng)的處理�����。通過(guò)第一執(zhí)行單元的固化規(guī)則和分析模塊的非固化規(guī)則的分級(jí)�, 可以改進(jìn)聯(lián)動(dòng)策略,實(shí)現(xiàn)了能夠在通過(guò)分析模塊和本實(shí)施例的上下層關(guān)系實(shí) 現(xiàn)安全信息和安全響應(yīng)的同時(shí)�,還能夠通過(guò)本實(shí)施例和響應(yīng)模塊的下層之間 平行的響應(yīng)關(guān)系實(shí)現(xiàn)對(duì)安全事件的實(shí)時(shí)響應(yīng),保證了聯(lián)動(dòng)的有效性����。
為了實(shí)現(xiàn)不同區(qū)域?qū)嶓w對(duì)同一事件的聯(lián)合響應(yīng)���,需要?jiǎng)澐殖龈鱾€(gè)聯(lián)動(dòng)區(qū)
借助聯(lián)動(dòng)調(diào)度來(lái)轉(zhuǎn)至適當(dāng)?shù)钠渌麉^(qū)域來(lái)解決。聯(lián)動(dòng)調(diào)度可以由分析模塊來(lái)完 成����,也可以是單獨(dú)的實(shí)體,聯(lián)動(dòng)調(diào)度僅轉(zhuǎn)發(fā)聯(lián)動(dòng)策略����,不作過(guò)多的分析。因
此����,進(jìn)一步地,本實(shí)施例中還可以包括相互連接的第二判斷單元13和第二執(zhí) 行單元14����。其中,第二判斷單元13用于判斷所述檢測(cè)到的網(wǎng)絡(luò)中的入侵行 為是否屬于本區(qū)域����;第二執(zhí)行單元14,與第一判斷單元11連接,用于當(dāng)?shù)?二判斷單元13判斷所述檢測(cè)到的網(wǎng)絡(luò)中的入侵行為屬于本區(qū)域時(shí)�����,則觸發(fā)第 一判斷單元11判斷所述入侵行為是否為已知的入侵行為;否則�����,則發(fā)送所述 入侵行為的相關(guān)信息到入侵行為所屬區(qū)域����。
其中的聯(lián)動(dòng)區(qū)域的劃分方法,可以采取以系統(tǒng)中的分析模塊直接調(diào)度的 范圍來(lái)劃分�;也可以采取網(wǎng)絡(luò)地域的劃分方法,例如省����、市、地區(qū)等方法�。
本實(shí)施例通過(guò)聯(lián)動(dòng)區(qū)域的劃分,以及聯(lián)動(dòng)調(diào)度實(shí)體將未知的入侵行為的 相關(guān)信息轉(zhuǎn)發(fā)到入侵行為所屬區(qū)域的分析模塊����,能夠使得不同網(wǎng)絡(luò)聯(lián)動(dòng)區(qū)域 的設(shè)備實(shí)現(xiàn)調(diào)用���,從而幫助網(wǎng)絡(luò)系統(tǒng)將問(wèn)題解決在源頭����。
14如圖4所示,為本發(fā)明網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng)的實(shí)施例的結(jié)構(gòu)示意圖�����。本實(shí)
施例的網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng)包括檢測(cè)模塊10�����、分析模塊20和響應(yīng)模塊30�����。其 中���,檢測(cè)模塊IO用于檢測(cè)到網(wǎng)絡(luò)中的入侵行為后���,判斷所述入侵行為是否為 已知的入侵行為,如果是�,則執(zhí)行第一聯(lián)動(dòng)決策,所述第一聯(lián)動(dòng)決策為直接 向響應(yīng)模塊30發(fā)送攜帶有處理方式的第一指令�;否則,則執(zhí)行第二聯(lián)動(dòng)決策, 所述第二聯(lián)動(dòng)決策為向分析模塊20發(fā)送未知的入侵行為的相關(guān)信息����;分析模 塊20用于接收到檢測(cè)模塊10所發(fā)送的未知的入侵行為的相關(guān)信息,對(duì)所述 相關(guān)信息進(jìn)行分析后���,獲取相應(yīng)的處理方式��,并向響應(yīng)^^莫塊30發(fā)送攜帶有所 述處理方式的第二指令��;響應(yīng)模塊30用于根據(jù)所述第一指令所攜帶的處理方 式對(duì)所述已知的入侵行為執(zhí)行相應(yīng)的處理或根據(jù)所述第二指令所攜帶的處理 方式對(duì)所述未知的入侵行為執(zhí)行相應(yīng)的處理����。
本實(shí)施例中檢測(cè)模塊檢測(cè)入侵行為是一種數(shù)據(jù)通信監(jiān)視手段��,入侵檢測(cè) 技術(shù)對(duì)于每一個(gè)進(jìn)出數(shù)據(jù)包都要進(jìn)行解碼分析和模式匹配��,如果檢測(cè)到該數(shù) 據(jù)包中含有與已知的攻擊方法特征庫(kù)相匹配的數(shù)據(jù)���,則斷定有入侵事件發(fā)生 則通知響應(yīng)^f莫塊對(duì)該入侵行為進(jìn)行相應(yīng)的處理即固化MJ'J;如果未^r測(cè)到該 數(shù)據(jù)包中含有與已知的攻擊方法特征庫(kù)相匹配的數(shù)據(jù)��,則將相關(guān)信息向分析 模塊發(fā)送即非固化規(guī)則�����,由分析模塊對(duì)該入侵行為進(jìn)行分析后��,則通知響應(yīng) 模塊對(duì)該入侵行為進(jìn)行相應(yīng)的處理��。通過(guò)檢測(cè)模塊的固化規(guī)則和分析模塊的 非固化規(guī)則的分級(jí)�,可以改進(jìn)聯(lián)動(dòng)策略��,實(shí)現(xiàn)了能夠在通過(guò)分析模塊和檢測(cè) 模塊的上下層關(guān)系實(shí)現(xiàn)安全信息和安全響應(yīng)的同時(shí)�����,還能夠通過(guò)檢測(cè)模塊和 響應(yīng)模塊的下層之間平行的響應(yīng)關(guān)系實(shí)現(xiàn)對(duì)安全事件的實(shí)時(shí)響應(yīng)�����,保證了聯(lián) 動(dòng)的有效性����。
其中的檢測(cè)模塊IO可以包括相互連接的第一判斷單元11和第一執(zhí)行單 元12。其中��,第一判斷單元11用于檢測(cè)到網(wǎng)絡(luò)中的入侵行為后����,判斷所述 入侵行為是否為已知的入侵行為����;第一執(zhí)行單元12用于當(dāng)?shù)谝慌袛鄦卧?1 判斷所述入侵行為是已知的入侵行為時(shí)���,則直接發(fā)送攜帶有處理方式的第一指令����;否則��,則發(fā)送未知的入侵行為的相關(guān)信息�。
其中的分析模塊20包括相互連接的分析單元21和決策單元22。其中��, 分析單元21用于接收到檢測(cè)模塊10的第一執(zhí)行單元12所發(fā)送的未知的入侵 行為的相關(guān)信息�����,對(duì)所述相關(guān)信息進(jìn)行分析�����,獲取相應(yīng)的處理方式�;決策單 元22用于根據(jù)分析單元21所進(jìn)行分析的結(jié)果向響應(yīng)模塊30發(fā)送攜帶有所述 處理方式的第二指令。
進(jìn)一步地����,本實(shí)施例中分析模塊20還包括調(diào)整單元23�����,與檢測(cè)模塊10 的第一判斷單元11連接,用于比較對(duì)所述已知的入侵行為執(zhí)行處理后的實(shí)際 結(jié)果與預(yù)期結(jié)果���,當(dāng)所述實(shí)際結(jié)果與所述預(yù)期結(jié)果不一致的次數(shù)超過(guò)相應(yīng)的 預(yù)設(shè)鬮值時(shí)�����,則向檢測(cè)模塊10的第一判斷單元11發(fā)送攜帶有入侵行為標(biāo)識(shí) 的調(diào)整指令���,以供檢測(cè)模塊10的第一判斷單元11再一次檢測(cè)到與所述入侵 行為標(biāo)識(shí)對(duì)應(yīng)的入侵行為后,將所述入侵行為判斷為未知的入侵行為��,執(zhí)行 所述第二聯(lián)動(dòng)策略���,從而可以降低檢測(cè)的誤報(bào)率�。
其中的響應(yīng)模塊30包括相互連接的接收單元31和處理單元32����。其中�����, 接收單元31,分別與檢測(cè)模塊10的第一執(zhí)行單元12和分析模塊20的決策 單元22連接���,用于接收檢測(cè)模塊10的第一執(zhí)行單元12發(fā)送的第一指令或分 析模塊20的決策單元22發(fā)送的第二指令;處理單元32用于根據(jù)所述第一指 令所攜帶的處理方式對(duì)所述已知的入侵行為執(zhí)行相應(yīng)的處理或根據(jù)所述第二 指令所攜帶的處理方式對(duì)所述未知的入侵行為執(zhí)行相應(yīng)的處理�����。
進(jìn)一步地��,本實(shí)施例中響應(yīng)模塊30還可以包括反饋單元33,與處理單 元32和分析模塊20的調(diào)整單元23連接�����,用于向分析模塊20的調(diào)整單元23 返回對(duì)所述已知的入侵行為執(zhí)行處理后的實(shí)際結(jié)果�����,以供所述分析模塊20的 調(diào)整單元23比較所述實(shí)際結(jié)果和預(yù)期結(jié)果�����,以供所述分析^^塊20的調(diào)整單 元23改進(jìn)處理策略��,可以進(jìn)一步改進(jìn)聯(lián)動(dòng)規(guī)則。
為了實(shí)現(xiàn)不同區(qū)域?qū)嶓w對(duì)同一事件的聯(lián)合響應(yīng)�,本實(shí)施例需要?jiǎng)澐殖龈鲿r(shí),可以借助聯(lián)動(dòng)調(diào)度來(lái)轉(zhuǎn)至適當(dāng)?shù)钠渌麉^(qū)域來(lái)解決����。聯(lián)動(dòng)調(diào)度可以由分析 模塊來(lái)完成,也可以是單獨(dú)的實(shí)體���,聯(lián)動(dòng)調(diào)度僅轉(zhuǎn)發(fā)聯(lián)動(dòng)策略,不作過(guò)多的 分析����。因此,進(jìn)一步地���,本實(shí)施例中還可以包括相互連接的第二判斷單元13
和第二執(zhí)行單元14�。其中�,第二判斷單元13用于判斷所述檢測(cè)到的網(wǎng)絡(luò)中 的入侵行為是否屬于本區(qū)域;第二執(zhí)行單元14,與第一判斷單元11連接�, 用于當(dāng)?shù)诙袛鄦卧?3判斷所述檢測(cè)到的網(wǎng)絡(luò)中的入侵行為屬于本區(qū)域時(shí), 則觸發(fā)第一判斷單元11判斷所述入侵行為是否為已知的入侵行為���;否則����,則 發(fā)送所述入侵行為的相關(guān)信息到入侵行為所屬區(qū)域,以供所述入侵行為所屬 區(qū)域的分析模塊對(duì)所述相關(guān)信息進(jìn)行分析后��,向所述入侵行為所屬區(qū)域的響 應(yīng)模塊發(fā)送攜帶有處理方式的第三指令�����,所述入侵行為所屬區(qū)域的響應(yīng)模塊 根據(jù)所述第三指令所攜帶的處理方式對(duì)所述入侵行為進(jìn)行相應(yīng)的處理���。
其中的聯(lián)動(dòng)區(qū)域的劃分方法�,可以采取以分析模塊直接調(diào)度的范圍來(lái)劃 分���;也可以采取網(wǎng)絡(luò)地域的劃分方法��,例如省���、市、地區(qū)等方法����。
本實(shí)施例通過(guò)聯(lián)動(dòng)區(qū)域的劃分將未知的入侵行為的相關(guān)信息轉(zhuǎn)發(fā)到入侵 行為所屬區(qū)域的分析模塊,能夠使得不同網(wǎng)絡(luò)聯(lián)動(dòng)區(qū)域的設(shè)備實(shí)現(xiàn)調(diào)用,從 而幫助網(wǎng)絡(luò)系統(tǒng)將問(wèn)題解決在源頭���。
最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案���,而非對(duì)其 限制;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明����,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或 者對(duì)其中部分技術(shù)特征進(jìn)行等同替換����;而這些修改或者替換,并不使相應(yīng)技 術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍�����。
權(quán)利要求
1����、一種網(wǎng)絡(luò)安全聯(lián)動(dòng)方法��,其特征在于���,包括確定網(wǎng)絡(luò)中的入侵行為類型是否屬于已知的入侵行為����;如果屬于,則向響應(yīng)模塊發(fā)送攜帶有處理方式的第一指令���,所述響應(yīng)模塊根據(jù)所述第一指令所攜帶的處理方式對(duì)所述入侵行為執(zhí)行相應(yīng)的處理����;否則�����,則向分析模塊發(fā)送未知的入侵行為的相關(guān)信息�,所述分析模塊對(duì)所述相關(guān)信息進(jìn)行分析后,獲取相應(yīng)的處理方式����;向所述響應(yīng)模塊發(fā)送攜帶有所述處理方式的第二指令,所述響應(yīng)模塊根據(jù)所述第二指令所攜帶的處理方式對(duì)所述未知的入侵行為執(zhí)行相應(yīng)的處理�。
2、 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全聯(lián)動(dòng)方法�,其特征在于,所述響應(yīng)模 塊根據(jù)所述第 一指令所攜帶的處理方式對(duì)所述入侵行為執(zhí)行相應(yīng)的處理的步 驟之后還包括所述分析模塊比較對(duì)所述已知的入侵行為執(zhí)行處理后的實(shí)際結(jié)果與預(yù)期 結(jié)果�;當(dāng)所述實(shí)際結(jié)果與所述預(yù)期結(jié)果不一致的次數(shù)超過(guò)相應(yīng)的預(yù)設(shè)閾值時(shí)����, 所述分析模塊則向所述檢測(cè)模塊發(fā)送攜帶有入侵行為標(biāo)識(shí)的調(diào)整指令��。
3�����、 根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)安全聯(lián)動(dòng)方法�,其特征在于,還包括 所述響應(yīng)模塊向所述分析模塊返回對(duì)所述已知的入侵行為執(zhí)行處理后的實(shí)際結(jié)果����。
4、 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全聯(lián)動(dòng)方法�,其特征在于,所述向所述 響應(yīng)模塊發(fā)送攜帶有所述處理方式的第二指令的步驟具體包括通過(guò)網(wǎng)絡(luò)管理員向所述響應(yīng)模塊發(fā)送攜帶有處理方式的第二指令��。
5�����、 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全聯(lián)動(dòng)方法�,其特征在于����,所述確定網(wǎng) 絡(luò)中的入侵行為類型是否屬于已知的入侵行為的步驟之前還包括預(yù)置已知 入侵模式規(guī)則庫(kù)����。
6����、 根據(jù)權(quán)利要求1中所述的網(wǎng)絡(luò)安全聯(lián)動(dòng)方法,其特征在于���,所述確定網(wǎng)絡(luò)中的入侵行為類型是否屬于已知的入侵行為的步驟之前還包括 所述檢測(cè)模塊判斷所述入侵行為是否屬于本區(qū)域�����; 如果屬于,所述檢測(cè)模塊則判斷所述入侵行為是否為已知的入侵行為�����; 否則�,所述檢測(cè)模塊則通過(guò)所述分析模塊向入侵行為所屬區(qū)域的分析模塊發(fā)送所述入侵行為的相關(guān)信息。
7��、 一種檢測(cè)裝置����,其特征在于����,包括第 一判斷單元��,用于確定網(wǎng)絡(luò)中的入侵行為類型是否屬于已知的入侵行為����;第 一執(zhí)行單元,用于當(dāng)所述第 一判斷單元確定網(wǎng)絡(luò)中的入侵行為類型屬于已知的入侵行為時(shí)���,則直接發(fā)送攜帶有處理方式的第一指令�;否則����,則發(fā) 送未知的入侵行為的相關(guān)信息。
8�、 根據(jù)權(quán)利要求7所述的檢測(cè)裝置,其特征在于��,還包括 第二判斷單元���,用于判斷所述檢測(cè)到的網(wǎng)絡(luò)中的入侵行為是否屬于本區(qū)域���;第二執(zhí)行單元,用于當(dāng)所述第二判斷單元判斷所述檢測(cè)到的網(wǎng)絡(luò)中的入 侵行為屬于本區(qū)域時(shí)�����,則觸發(fā)所述第一判斷單元判斷所述入侵行為是否為已 知的入侵行為�;否則,則發(fā)送所述入侵行為的相關(guān)信息���。
9�、 一種網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng)����,其特征在于,包括檢測(cè)模塊���,用于確定網(wǎng)絡(luò)中的入侵行為類型是否屬于已知的入侵行為����, 如果屬于�,則執(zhí)行第一聯(lián)動(dòng)決策,所述第一聯(lián)動(dòng)決策為直接向響應(yīng)模塊發(fā)送 攜帶有處理方式的第一指令����;否則�����,則執(zhí)行第二聯(lián)動(dòng)決策���,所述第二聯(lián)動(dòng)決 策為向分析模塊發(fā)送未知的入侵行為的相關(guān)信息;分析模塊��,用于接收到所述檢測(cè)模塊所發(fā)送的未知的入侵行為的相關(guān)信 息��,對(duì)所述相關(guān)信息進(jìn)行分析后��,獲取相應(yīng)的處理方式����,并向所述響應(yīng)模塊 發(fā)送攜帶有所述處理方式的第二指令;響應(yīng)模塊����,用于根據(jù)所述第一指令所攜帶的處理方式對(duì)所述已知的入侵行為執(zhí)行相應(yīng)的處理或根據(jù)所述第二指令所攜帶的處理方式對(duì)所述未知的入 侵行為執(zhí)行相應(yīng)的處理。
10�、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng),其特征在于,所述檢測(cè) 模塊包括第 一判斷單元�����,用于確定網(wǎng)絡(luò)中的入侵行為類型是否屬于已知的入侵行為���;第 一執(zhí)行單元,用于當(dāng)所述第 一判斷單元確定網(wǎng)絡(luò)中的入侵行為類型屬于已知的入侵行為時(shí)�����,則直接發(fā)送攜帶有處理方式的第一指令�;否則,則發(fā) 送未知的入侵行為的相關(guān)信息�����。
11����、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng),其特征在于����,所述分析 模塊包括分析單元,用于接收到所述檢測(cè)模塊所發(fā)送的未知的入侵行為的相關(guān)信 息,對(duì)所述相關(guān)信息進(jìn)行分析�����,獲取相應(yīng)的處理方式�;決策單元,用于根據(jù)所述分析的結(jié)果向所述響應(yīng)模塊發(fā)送攜帶有處理方 式的第二指令�。
12、 根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng)���,其特征在于����,所述分析 模塊還包括調(diào)整單元��;所述調(diào)整單元�����,用于比較對(duì)所述已知的入侵行為執(zhí)行處理后的實(shí)際結(jié)果 與預(yù)期結(jié)果���,當(dāng)所述實(shí)際結(jié)果與所述預(yù)期結(jié)果不 一致的次數(shù)超過(guò)相應(yīng)的預(yù)設(shè) 閾值時(shí)����,則向所述檢測(cè)模塊發(fā)送攜帶有入侵行為標(biāo)識(shí)的調(diào)整指令。
13���、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng)��,其特征在于�����,所述響應(yīng) 模塊包括接收單元,用于接收所述第一指令或所述第二指令�;處理單元,用于根據(jù)所述第一指令所攜帶的處理方式對(duì)所述已知的入侵 行為執(zhí)行相應(yīng)的處理或根據(jù)所述第二指令所攜帶的處理方式對(duì)所述未知的入 侵行為執(zhí)行相應(yīng)的處理����。
14、根據(jù)權(quán)利要求13所述的網(wǎng)絡(luò)安全聯(lián)動(dòng)系統(tǒng)���,其特征在于���,所述響應(yīng) 模塊還包括反饋單元,用于向所述分析模塊返回對(duì)所述已知的入侵行為執(zhí)行處理后 的實(shí)際結(jié)果����。
全文摘要
本發(fā)明提供一種網(wǎng)絡(luò)安全聯(lián)動(dòng)方法、系統(tǒng)和檢測(cè)裝置,該方法包括確定網(wǎng)絡(luò)中的入侵行為類型是否屬于已知的入侵行為���;如果屬于�,則向響應(yīng)模塊發(fā)送攜帶有處理方式的第一指令����;否則,則向分析模塊發(fā)送未知的入侵行為的相關(guān)信息���,分析模塊對(duì)相關(guān)信息進(jìn)行分析后���,獲取相應(yīng)的處理方式;向響應(yīng)模塊發(fā)送攜帶有處理方式的第二指令����。本發(fā)明實(shí)施例實(shí)現(xiàn)了能夠在通過(guò)分析模塊和檢測(cè)模塊的上下層關(guān)系實(shí)現(xiàn)安全信息和安全響應(yīng)的同時(shí),還能夠通過(guò)檢測(cè)模塊和響應(yīng)模塊的下層之間平行的響應(yīng)關(guān)系實(shí)現(xiàn)對(duì)安全事件的實(shí)時(shí)響應(yīng)�,保證了聯(lián)動(dòng)的有效性,降低了誤報(bào)率����。
文檔編號(hào)H04L29/06GK101527712SQ20081010146
公開(kāi)日2009年9月9日 申請(qǐng)日期2008年3月6日 優(yōu)先權(quán)日2008年3月6日
發(fā)明者位繼偉, 冰 劉, 王小妹, 王紹斌, 陽(yáng) 辛 申請(qǐng)人:華為技術(shù)有限公司