本发明专利技术涉及一种主机失陷确认及自动修复方法及基于此的系统,为若干主机分别安装代理引擎、向协调引擎注册,协调引擎向APT设备订阅告警信息,制定联动规则,将策略下发到对应的所有代理引擎,当APT设备检测到告警信息,则触发告警事件,对应的协调引擎根据联动规则将告警事件下发至代理引擎,代理引擎执行联动规则规定的响应策略,并反馈结果至协调引擎。本发明专利技术流程可编辑,应对除了木马入侵自动修复外的更多实际应用场景,代理引擎可以适应各种各样的规则自定,协调引擎可以轻松应对上万设备量的服务监控和管理,降低误报率,定位攻击成功发生时失陷主机的位置,并对失陷主机进行紧急修复,第一时间修复系统,避免更大的损失发生。
A method of confirming and automatically repairing the main engine's collapse and the system based on it
【技术实现步骤摘要】
一种主机失陷确认及自动修复方法及基于此的系统
本专利技术涉及数字信息的传输,例如电报通信的
,特别涉及一种主机失陷确认及自动修复方法及基于此的系统。
技术介绍
在用户的内网中,用户为了保护自身网络的安全,往往会在网络中部署APT防护设备以监控网络的整体安全状况,部署方式分为IPS和IDS两种方式。IDS(IntrusionDetectionSystems)为入侵检测系统,其依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性;此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用。IPS(IntrusionPreventionSystem)为入侵防御系统,属于网络交换机的一个子项目,是有过滤攻击功能的特种交换机;其一般布于防火墙和外来网络的设备之间,依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网)。一般来说,IDS设备偏向于攻击检测,没有阻断访问的能力,检测到攻击行为后,会以短信或者邮件等方式通知给网络安全管理员,而IPS设备检测到攻击后可以阻断网络访问,防止进一步的攻击发生。然而,这两种设备仅能够发现攻击行为和进行阻断,往往会因为误匹配规则而产生误报的情况,或者因为网络流量中确实存在对应的危险特征行为,但是不能够确定攻击是否成功发生,如果这些信息时常发生,将可能淹没真正危险的告警,从而影响网管人员的主观判断,造成不必要的损失。Gartner的AntonChuvakin于2013年7月首次创造了端点威胁检测和响应(EndpointThreatDetectionandResponse,ETDR)这一术语,用来定义一种“检测和调查主机/端点上可疑活动(及其痕迹)”的工具,后来通常称为端点检测和响应(EDR),这是一种相对较新的终端安全解决方案,但有时会被业界在整体安全功能方面与高级威胁防护(APT)进行比较,因为它也可满足持续监控和响应高级威胁的需求,人们甚至可以认为端点检测和响应是一种先进的威胁保护形式。EDR在2014年就进入Gartner的十大技术之列,它的出现最初是为了弥补传统终端/端点管理系统(EPP)的不足,而现在,EDR正在与EPP互相渗透融合,尤其是各大EPP厂商新发布的版本中纷纷加入了EDR的功能;目前基于云的EDR部署方式正逐渐成为主流,云数据的集中提供了更强大的检测分析功能,通过整合实时数据,并能够在后端使用机器学习和其他检测技术,提升检测能力。SOC(安全运营中心)的概念和应用已经过有了很多年,但事实上SOC的应用非常不成功,被人诟病,直到威胁情报、大数据、机器学习技术的引进,借助态势感知的大潮,新一代SOC,或称iSOC(智能SOC)开始兴起。SOC中,早期阻断阶段的技术最为成熟,90%的用户都能达到(利用APT、WAF等产品),但到了高级响应阶段,只有极少用户能够达到,而绝大部分用户则处于从发现到响应的过渡阶段,面临的典型问题包括被大量的报警淹没、无法确认主机是否确认失陷及失陷后需要人工手动的进行修复,这些问题远超安全运营人员的处理能力、且处理周期长。
技术实现思路
本专利技术解决了现有技术中存在的问题,提供了一种优化的主机失陷确认及自动修复方法及基于此的系统。本专利技术所采用的技术方案是,一种主机失陷确认及自动修复方法,所述方法包括以下步骤:步骤1:为若干主机安装代理引擎;步骤2:所述代理引擎启动,向协调引擎进行注册;步骤3:协调引擎向APT设备订阅告警信息,制定对应的联动规则,将策略下发到注册在当前协调引擎的所有代理引擎;步骤4:APT设备持续检测;当APT设备检测到任一协调引擎订阅的任一告警信息,进行下一步,否则,重复步骤4;步骤5:APT触发告警事件,对应的协调引擎根据联动规则将告警事件下发至代理引擎;步骤6:代理引擎执行联动规则规定的响应策略,并反馈结果至协调引擎。优选地,所述代理引擎包括文件目录监控模块、文本日志采集模块、数据库日志采集模块、过滤规则模块、应急响应模块。优选地,所述步骤3中,将策略下发到注册在当前协调引擎的所有代理引擎包括以下步骤:步骤3.1:协调引擎与代理引擎建立TCP链接;步骤3.2:协调引擎将数据封装为Json格式,加密;步骤3.3:将加密后的数据通过TCP链接传输至代理引擎。优选地,所述步骤6包括以下步骤:步骤6.1:代理引擎根据下发的联动规则,通过文件目录监控模块、文本日志采集模块和数据库日志采集模块进行目录监控和文本日志以及数据库日志采集;步骤6.2:文件目录监控模块将监控信息向过滤规则模块传达;步骤6.3:过滤规则模块将信息与预设的过滤规则进行匹配,若匹配成功,则进行下一步,否则,进行步骤6.5;步骤6.4:触发应急响应,应急响应模块执行预设的响应策略;步骤6.5:应急响应模块将执行结果回传至协调引擎。优选地,所述步骤6中,协调引擎将执行结果通知管理人员。优选地,所述步骤6中,预设代理引擎执行联动规则规定的响应策略的有效时间T。优选地,所述协调引擎包括顺次连接的接收端、响应端和若干操作端。一种采用所述的主机失陷确认及自动修复方法的主机失陷确认及自动修复系统,所述系统包括:一协调引擎,用于与APT设备联动、获取APT设备下发的告警时间并基于预设的响应策略下发至代理引擎;若干代理引擎,用于接收协调引擎下发的联动规则、基于规则进行主机监控并将应急响应的结果反馈至协调引擎。优选地,所述协调引擎包括:一接收端,用于接收IO事件并触发新建通信频道;一响应端,用于对接收端新建的通信频道对应的新事件进行响应并以事件的形式分发;若干操作端,用于接收响应端分发的对应的事件,对通信频道进行读入、完成事件业务处理、对通信频道进行写出。优选地,所述新事件包括连接建立就绪、读就绪、写就绪。本专利技术提供了一种优化的主机失陷确认及自动修复方法及基于此的系统,通过为若干主机分别安装代理引擎、向协调引擎注册,协调引擎向APT设备订阅告警信息,制定对应的联动规则,将策略下发到对应的所有代理引擎,当APT设备检测到任一协调引擎订阅的任一告警信息,则触发告警事件,对应的协调引擎根据联动规则将告警事件下发至代理引擎,代理引擎执行联动规则规定的响应策略,并反馈结果至协调引擎。本专利技术中,EDR在终端上弥补了APT防护设备在边界上隔离的不足,可以在端点或网上发现问题,进而在网上或端点进行封堵,点面结合;集成化处理海量威胁情报,用户可以自行定制响应处理逻辑,流程化的配置可以释放和优化劳动力,以持续进化的预警、防御、检测与响应能力进行安全建设,减少安全运维中花费的时间与精力,应对新形势下的更多且更复杂的网络威胁信息和事件数量,解决设备孤立技术本文档来自技高网...
【技术保护点】
1.一种主机失陷确认及自动修复方法,其特征在于:所述方法包括以下步骤:/n步骤1:为若干主机安装代理引擎;/n步骤2:所述代理引擎启动,向协调引擎进行注册;/n步骤3:协调引擎向APT设备订阅告警信息,制定对应的联动规则,将策略下发到注册在当前协调引擎的所有代理引擎;/n步骤4:APT设备持续检测;当APT设备检测到任一协调引擎订阅的任一告警信息,进行下一步,否则,重复步骤4;/n步骤5:APT触发告警事件,对应的协调引擎根据联动规则将告警事件下发至代理引擎;/n步骤6:代理引擎执行联动规则规定的响应策略,并反馈结果至协调引擎。/n
【技术特征摘要】
1.一种主机失陷确认及自动修复方法,其特征在于:所述方法包括以下步骤:
步骤1:为若干主机安装代理引擎;
步骤2:所述代理引擎启动,向协调引擎进行注册;
步骤3:协调引擎向APT设备订阅告警信息,制定对应的联动规则,将策略下发到注册在当前协调引擎的所有代理引擎;
步骤4:APT设备持续检测;当APT设备检测到任一协调引擎订阅的任一告警信息,进行下一步,否则,重复步骤4;
步骤5:APT触发告警事件,对应的协调引擎根据联动规则将告警事件下发至代理引擎;
步骤6:代理引擎执行联动规则规定的响应策略,并反馈结果至协调引擎。
2.根据权利要求1所述的一种主机失陷确认及自动修复方法,其特征在于:所述代理引擎包括文件目录监控模块、文本日志采集模块、数据库日志采集模块、过滤规则模块、应急响应模块。
3.根据权利要求1所述的一种主机失陷确认及自动修复方法,其特征在于:所述步骤3中,将策略下发到注册在当前协调引擎的所有代理引擎包括以下步骤:
步骤3.1:协调引擎与代理引擎建立TCP链接;
步骤3.2:协调引擎将数据封装为Json格式,加密;
步骤3.3:将加密后的数据通过TCP链接传输至代理引擎。
4.根据权利要求2所述的一种主机失陷确认及自动修复方法,其特征在于:所述步骤6包括以下步骤:
步骤6.1:代理引擎根据下发的联动规则,通过文件目录监控模块、文本日志采集模块和数据库日志采集模块进行目录监控和文本日志以及数据库日志采集;
步骤6.2:文件目录监控模块将监控信息向过滤规则模块传达;
步骤6.3:过滤规则模块将信息与预设的过滤规则...
【专利技术属性】
技术研发人员:洪晨港,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。