【技术实现步骤摘要】
一种主机失陷确认及自动修复方法及基于此的系统
本专利技术涉及数字信息的传输,例如电报通信的
,特别涉及一种主机失陷确认及自动修复方法及基于此的系统。
技术介绍
在用户的内网中,用户为了保护自身网络的安全,往往会在网络中部署APT防护设备以监控网络的整体安全状况,部署方式分为IPS和IDS两种方式。IDS(IntrusionDetectionSystems)为入侵检测系统,其依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性;此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用。IPS(IntrusionPreventionSystem)为入侵防御系统,属于网络交换机的一个子项目,是有过滤攻击功能的特种交换机;其一般布于防火墙和外来网络的设备之间,依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网)。一般...
【技术保护点】
1.一种主机失陷确认及自动修复方法,其特征在于:所述方法包括以下步骤:/n步骤1:为若干主机安装代理引擎;/n步骤2:所述代理引擎启动,向协调引擎进行注册;/n步骤3:协调引擎向APT设备订阅告警信息,制定对应的联动规则,将策略下发到注册在当前协调引擎的所有代理引擎;/n步骤4:APT设备持续检测;当APT设备检测到任一协调引擎订阅的任一告警信息,进行下一步,否则,重复步骤4;/n步骤5:APT触发告警事件,对应的协调引擎根据联动规则将告警事件下发至代理引擎;/n步骤6:代理引擎执行联动规则规定的响应策略,并反馈结果至协调引擎。/n
【技术特征摘要】
1.一种主机失陷确认及自动修复方法,其特征在于:所述方法包括以下步骤:
步骤1:为若干主机安装代理引擎;
步骤2:所述代理引擎启动,向协调引擎进行注册;
步骤3:协调引擎向APT设备订阅告警信息,制定对应的联动规则,将策略下发到注册在当前协调引擎的所有代理引擎;
步骤4:APT设备持续检测;当APT设备检测到任一协调引擎订阅的任一告警信息,进行下一步,否则,重复步骤4;
步骤5:APT触发告警事件,对应的协调引擎根据联动规则将告警事件下发至代理引擎;
步骤6:代理引擎执行联动规则规定的响应策略,并反馈结果至协调引擎。
2.根据权利要求1所述的一种主机失陷确认及自动修复方法,其特征在于:所述代理引擎包括文件目录监控模块、文本日志采集模块、数据库日志采集模块、过滤规则模块、应急响应模块。
3.根据权利要求1所述的一种主机失陷确认及自动修复方法,其特征在于:所述步骤3中,将策略下发到注册在当前协调引擎的所有代理引擎包括以下步骤:
步骤3.1:协调引擎与代理引擎建立TCP链接;
步骤3.2:协调引擎将数据封装为Json格式,加密;
步骤3.3:将加密后的数据通过TCP链接传输至代理引擎。
4.根据权利要求2所述的一种主机失陷确认及自动修复方法,其特征在于:所述步骤6包括以下步骤:
步骤6.1:代理引擎根据下发的联动规则,通过文件目录监控模块、文本日志采集模块和数据库日志采集模块进行目录监控和文本日志以及数据库日志采集;
步骤6.2:文件目录监控模块将监控信息向过滤规则模块传达;
步骤6.3:过滤规则模块将信息与预设的过滤规则...
【专利技术属性】
技术研发人员:洪晨港,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。