本发明专利技术涉及一种用于网络安全事件的应急处置系统及应急处置方法,系统包括数据采集模块、事件管理模块、事件处置模块、辅助工具模块及专家知识库模块;录入网络安全事件基本信息并利用辅助工具模块进行安全性检测,数据采集模块采集信息,利用辅助工具模块查找被植入文件并录入系统,事件处置模块分析得到线索树和攻击者信息,基于专家知识库模块信息对分析结果进行确认,对事件定性,得出整改建议并出具事件处置报告,整改。本发明专利技术建立标准的网络安全事件应急处置处理流程,对事件处置手段、方式进行规范,提高处置效率,避免危害扩大,减少经济损失,集信息收集、分析、整改于一体,自动分析、生成整改建议、生成报告,处置结果保留,方便查阅。
【技术实现步骤摘要】
一种用于网络安全事件的应急处置系统及应急处置方法
本专利技术涉及数据交换网络的
,特别涉及一种把网络安全事件应急处置流程化、系统化的用于网络安全事件的应急处置系统及应急处置方法。
技术介绍
现今社会,互联网已经形成规模,越来越深刻地改变着人们的学习、工作以及生活方式,甚至影响着整个社会进程,互联网的应用走向多元化,网民规模继续呈显持续快速发展的趋势。现阶段,我国网络安全形势日趋严峻复杂,网络安全事件也更为复杂,攻击手段更为多样。各企业或组织面对此情况往往束手无策,只能被动增加一些防火墙和防病毒木马系统,但无法有效及时的处理此类问题。现有技术中,对于网络安全事件主要讨论的都是网络安全事件的分析环节,并没有对应急处置环节有太多的描述,在实际的操作中,网络安全事件的应急处置环节往往都采用人工的方式进行处置,受个人因素的影响较大,具体表现在:1、人工处置效率不稳定,效率忽高忽低;2、人工处置流程不统一;3、耗时比较长,无法自动生成处置报告、处置建议;4、处置结果不准确且不易对处置结果进行管理;以上各种将导致网络安全事件的应急处置效率不稳定、处置流程不统一、处置结果不准确。
技术实现思路
本专利技术解决的技术问题是,现有技术中,并没有对网络安全事件的应急处置环节进行规范化、统一化,而导致网络安全事件的应急处置效率不稳定、处置流程不统一、处置结果不准确,为此,本专利技术提供了一种优化的用于网络安全事件的应急处置系统及应急处置方法。本专利技术所采用的技术方案是,一种用于网络安全事件的应急处置系统,所述系统包括:一用于采集数据的数据采集模块、一用于对事件信息综合管理的事件管理模块、一用于事件的分析和展示的事件处置模块、一用于对事件处置定性并出具整改建议和处置报告的处置结论模块、一辅助工具模块及一用于为事件分析以及漏洞验证提供支撑的专家知识库模块。优选地,所述数据采集模块采集的数据包括网站源码、操作系统日志、网站web访问日志和中间件日志信息。优选地,所述事件处置模块中对于事件的分析包括自动分析和人工分析。优选地,所述事件处置模块中对于事件的展示包括分析结果展示和线索展示。优选地,所述辅助工具模块包括用于验证目标对象漏洞存在情况的漏洞验证工具和用于检测目标对象是否存在后门的病毒挂马检测工具,所述辅助工具模块还包括日志分析工具、日志分割工具和文件恢复工具。优选地,所述漏洞验证工具包括系统漏洞验证工具、网站漏洞验证工具、数据库漏洞验证工具和SQL注入验证工具。优选地,所述病毒挂马检测工具包括病毒检测工具、木马检测工具和恶意代码检测工具。一种采用所述的用于网络安全事件的应急处置系统的应急处置方法,所述方法包括以下步骤:步骤1:录入网络安全事件的基本信息并利用辅助工具模块进行安全性检测;步骤2:数据采集模块采集包括网站源码、操作系统日志、网站web访问日志、中间件日志的信息,并利用辅助工具模块进行病毒、木马、恶意代码的检查,查找被植入的病毒文件、木马文件、WebShell文件;步骤3:将查找得到的病毒文件、木马文件、WebShell文件作为初始线索录入应急处置系统中,事件处置模块进行分析,得到线索树和攻击者信息;步骤4:人工基于专家知识库模块的信息对步骤3的分析结果进行确认;若确认无误则进行下一步,否则返回步骤3;步骤5:依据得到的线索树和攻击者相关信息,处置结论模块对事件定性,得出整改建议并出具事件处置报告;步骤6:整改。优选地,所述步骤1中,安全性检测包括系统漏洞、网站漏洞和数据库漏洞校验。优选地,所述步骤6中,整改为基于整改建议和事件报告,使用辅助工具完成网站清理、系统恢复、漏洞加固。本专利技术提供了一种优化的用于网络安全事件的应急处置系统及应急处置方法,通过将系统设置为包括用于采集数据的数据采集模块、用于事件信息管理的事件管理模块、用于事件的分析和展示的事件处置模块、辅助工具模块及用于为事件分析以及漏洞验证提供支撑的专家知识库模块的形式,环环相扣,对录入的时间进行安全性检测,采集事件信息并进行扫描、检查,关联分析后获得线索树和攻击者相关信息,最终整改。本专利技术的系统可以建立标准的网络安全事件应急处置处理流程,对事件处置手段、处置方式进行规范,有效提高事件处置人员的处置效率,避免事件危害的扩大,减少对公司或组织的经济损失。本专利技术的有益效果在于:(1)本专利技术集信息收集、分析、整改于一体,规范网络安全事件的应急处置流程;(2)本专利技术可以自动分析、自动生成整改建议、自动生成报告,减少人工参与对客观性的影响;(3)本专利技术的处置结果可以以数据库文件的形式保留在当前系统中,方便以后查阅。具体实施方式下面结合实施例对本专利技术做进一步的详细描述,但本专利技术的保护范围并不限于此。本专利技术涉及一种用于网络安全事件的应急处置系统,所述系统包括:一用于采集数据的数据采集模块、一用于对事件信息综合管理的事件管理模块、一用于事件的分析和展示的事件处置模块、一用于对事件处置定性并出具整改建议和处置报告的处置结论模块、一辅助工具模块及一用于为事件分析以及漏洞验证提供支撑的专家知识库模块。所述数据采集模块采集的数据包括网站源码、操作系统日志、网站web访问日志和中间件日志信息。所述事件处置模块中对于事件的分析包括自动分析和人工分析。本专利技术中,自动分析的内部实现逻辑包括几种形式:(1)对采集到的事件信息进行整理,依据录入的初始线索,如病毒文件、木马文件、WebShell文件的相关信息等进行识别匹配,整理匹配的信息并反馈给应急处置系统;(2)对采集到的事件信息进行整理,对各类攻击特征如sql注入攻击特征、xss攻击特征、webshell特征等,其他特征如struts2漏洞特征、网站敏感类型文件、敏感关键词等进行识别匹配,把匹配的信息进行整理,并反馈给应急处置系统;(3)对应急处置系统反馈的其他线索进行进一步的关联分析,并反馈给应急处置系统。本专利技术中,对自动分析举例来说,假设采集到的信息有web日志,则通过自动分析为xss攻击特征匹配[attackRule=(\S)%3C(\S+)%3E|(\S)%3C(\S+)%2F%3E|(\S+)<(\S+)>|(\S+)<(\S+)/>|onerror|onmouse|expression|\"|alert|document\.|prompt\(]),即可知道web日志中是否有xss攻击的痕迹,如有就标注为xss攻击行为,把所有信息标注后进行分类统计,反馈给应急处置系统。本专利技术中,人工分析的实现逻辑包括几种形式:(1)自动分析会反馈给处置系统已经整理但未分析的数据,处置人员可以基于此进行人工分析,并进行如搜索、标注、把某些信息定义为线索等操作;(2)在自动分析反馈的结果之上进行再次分析,如自动分析反馈了100个漏洞的相关数据5000条,处置人员可以对这5000条数据进行再次分析;(3)处置人员自定义的线索,可以在自动分析后反馈给处置系统已经整理但未分析的数据上进行筛选,查找其关联性,也可以交给自动分析的方式完成。本专利技术中,对人工分析举例来说,自动分析反馈给处置系统整理后的数据150w条,处置人员可以对150w条数据进行筛选,可以自行设定查询条件进行查询,也可以对数据进行标注本文档来自技高网...
【技术保护点】
1.一种用于网络安全事件的应急处置系统,其特征在于:所述系统包括:一用于采集数据的数据采集模块、一用于对事件信息综合管理的事件管理模块、一用于事件的分析和展示的事件处置模块、一用于对事件处置定性并出具整改建议和处置报告的处置结论模块、一辅助工具模块及一用于为事件分析以及漏洞验证提供支撑的专家知识库模块。
【技术特征摘要】
1.一种用于网络安全事件的应急处置系统,其特征在于:所述系统包括:一用于采集数据的数据采集模块、一用于对事件信息综合管理的事件管理模块、一用于事件的分析和展示的事件处置模块、一用于对事件处置定性并出具整改建议和处置报告的处置结论模块、一辅助工具模块及一用于为事件分析以及漏洞验证提供支撑的专家知识库模块。2.根据权利要求1所述的一种用于网络安全事件的应急处置系统,其特征在于:所述数据采集模块采集的数据包括网站源码、操作系统日志、网站web访问日志和中间件日志信息。3.根据权利要求1所述的一种用于网络安全事件的应急处置系统,其特征在于:所述事件处置模块中对于事件的分析包括自动分析和人工分析。4.根据权利要求1所述的一种用于网络安全事件的应急处置系统,其特征在于:所述事件处置模块中对于事件的展示包括分析结果展示和线索展示。5.根据权利要求1所述的一种用于网络安全事件的应急处置系统,其特征在于:所述辅助工具模块包括用于验证目标对象漏洞存在情况的漏洞验证工具和用于检测目标对象是否存在后门的病毒挂马检测工具,所述辅助工具模块还包括日志分析工具、日志分割工具和文件恢复工具。6.根据权利要求5所述的一种用于网络安全事件的应急处置系统,其特征在于:所述漏洞验证工具包括系统漏洞验证工具、网站漏洞验证工具、数据库漏洞验证工具和SQL注入验证工具。7.根据权利要求5所述的一种用...
【专利技术属性】
技术研发人员:王勇,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。