[发明专利]一种安全事件实时确认方法及系统有效
| 申请号: | 200910084704.0 | 申请日: | 2009-05-25 |
| 公开(公告)号: | CN101902334A | 公开(公告)日: | 2010-12-01 |
| 发明(设计)人: | 赵东宾 | 申请(专利权)人: | 北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司 |
| 主分类号: | H04L9/36 | 分类号: | H04L9/36;H04L29/06 |
| 代理公司: | 北京安信方达知识产权代理有限公司 11262 | 代理人: | 龙洪;霍育栋 |
| 地址: | 100193 北京市海淀区东北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 安全 事件 实时 确认 方法 系统 | ||
1.一种安全事件实时确认方法,其特征在于,包括:
接收网络报文;
对所述网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;
提取所述攻击报文的响应报文;
使用一安全事件确认规则,对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果,所述安全事件确认规则用于判定所述攻击是否成功。
2.如权利要求1所述的方法,其特征在于:
所述安全事件确认规则中,包含有攻击成功特征和/或攻击失败特征,所述攻击成功特征用于判定所述攻击报文攻击成功,所述攻击失败特征用于判定所述攻击报文攻击失败。
3.如权利要求2所述的方法,其特征在于:
所述攻击确认结果,包括确认为攻击成功的攻击成功事件、确认为攻击失败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果未知事件。
4.如权利要求1所述的方法,其特征在于:
检测到所述攻击报文后,监控到所述攻击报文所属连接上的后续报文为攻击者发出的网络报文时,确认所述攻击报文攻击失败。
5.如权利要求1所述的方法,其特征在于:
对所述响应报文进行所述匹配,包括采用匹配树方式进行。
6.一种安全事件实时确认系统,其特征在于,包括:
接收模块,用于接收报文;
检测模块,与所述接收模块相连,用于对所述网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;
提取模块,与所述检测模块相连,用于提取所述攻击报文的响应报文;
安全事件确认规则库,用于存储判定攻击是否成功的安全事件确认规则;
匹配模块,与所述提取模块及安全事件确认规则库相连,用于使用所述安全事件确认规则对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果。
7.如权利要求6所述的系统,其特征在于:
所述安全事件确认规则库,包含有攻击成功特征和/或攻击失败特征,所述攻击成功特征用于判定所述攻击报文攻击成功,所述攻击失败特征用于判定所述攻击报文攻击失败。
8.如权利要求7所述的系统,其特征在于:
所述匹配模块得到的所述攻击确认结果,包括确认为攻击成功的攻击成功事件、确认为攻击失败的攻击失败事件,或者无法确认为攻击成功或者失败的攻击结果未知事件。
9.如权利要求6所述的系统,其特征在于:
所述匹配模块,对所述响应报文进行所述匹配,包括采用匹配树方式进行。
10.如权利要求1所述的系统,其特征在于:
所述提取模块,在所述检测模块检测到所述攻击报文后,进一步监控到所述攻击报文所属连接上的后续报文为攻击者发出的网络报文时,确认所述攻击报文攻击失败。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司,未经北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200910084704.0/1.html,转载请声明来源钻瓜专利网。
