[发明专利]一种安全事件实时确认方法及系统

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种安全事件实时确认方法及系统。

背景技术

随着Internet的发展，计算机网络的信息与网络安全面临着前所未有的严峻形势。网络入侵检测系统(NIDS)作为一种帮助用户及时了解网络安全信息的实际解决方法，正在成为任何一个严肃的网络保护战略中不可或缺的组成部分。但入侵检测系统(IDS)通常会报告大量安全事件，使安全管理员淹没在事件洪流中不知所措，严重影响了后期的入侵响应，是目前科学界和工业界的广泛共识。

提高检测精度，使管理人员直观的获悉“谁被攻击？攻击是否成功？以及应当对攻击采取什么对策？”，已经成为亟待解决的问题，业界将这些问题称为安全事件的攻击确认。

对于安全事件的攻击确认，目前主流做法有两种：

(1)通过直接访问疑似被攻击机，确认是否真正发生攻击，典型的应用在业界称之为威胁响应技术。通过确认目标操作系统或设备的危险性、补丁等级检查、读取系统日志进行详细的系统调查、搜集重要证据以及发送攻击确认通知等一系列动作，将确认结果通知管理员。这种方式准确性很高，但有一定局限性，首先扫描被攻击主机会增加疑似攻击机负担；其次登录到被攻击主机上进行取证确认这种方法需要知道被保护主机的隐私信息，不够灵活；再次对于黑客来说，攻击成功后通常会擦除痕迹，取证难度很大。

(2)通过多个检测系统合作，融合协同与时/空关联分析方法，对安全事件进行多层次确认。此方式适用于分布式入侵检测系统，但由于通讯及分析算法原因，一般采取后期验证的方式，有时间的滞后性；另外该方法对多个采集点数据进行关联分析时，存在一定的不确定性，确认的准确性很大程度上取决于模型建立的好坏。

综上所述，业界亟待提出一种简单高效的安全事件实时确认方法及系统。

发明内容

本发明所要解决的技术问题，在于需要提供一种安全事件实时确认方法及系统，以实时高效地进行安全事件的确认。

为了解决上述技术问题，本发明提供了一种安全事件实时确认方法，包括：

接收网络报文；

对所述网络报文进行攻击行为检测，将检测出攻击行为的所述网络报文描述为攻击报文；

提取所述攻击报文的响应报文；

使用一安全事件确认规则，对所述响应报文进行匹配，得到所述攻击报文的攻击确认结果，所述安全事件确认规则用于判定所述攻击是否成功。

优选地，所述安全事件确认规则中，包含有攻击成功特征和/或攻击失败特征，所述攻击成功特征用于判定所述攻击报文攻击成功，所述攻击失败特征用于判定所述攻击报文攻击失败。

优选地，所述攻击确认结果，包括确认为攻击成功的攻击成功事件、确认为攻击失败的攻击失败事件，或者无法确认为攻击成功或者失败的攻击结果未知事件。

优选地，检测到所述攻击报文后，监控到所述攻击报文所属连接上的后续报文为攻击者发出的网络报文时，确认所述攻击报文攻击失败。

优选地，对所述响应报文进行所述匹配，包括采用匹配树方式进行。

为了解决上述技术问题，本发明还提供了一种安全事件实时确认系统，包括：

接收模块，用于接收报文；

检测模块，与所述接收模块相连，用于对所述网络报文进行攻击行为检测，将检测出攻击行为的所述网络报文描述为攻击报文；

提取模块，与所述检测模块相连，用于提取所述攻击报文的响应报文；

安全事件确认规则库，用于存储判定攻击是否成功的安全事件确认规则；

匹配模块，与所述提取模块及安全事件确认规则库相连，用于使用所述安全事件确认规则对所述响应报文进行匹配，得到所述攻击报文的攻击确认结果。

优选地，所述安全事件确认规则库，包含有攻击成功特征和/或攻击失败特征，所述攻击成功特征用于判定所述攻击报文攻击成功，所述攻击失败特征用于判定所述攻击报文攻击失败。

优选地，所述匹配模块得到的所述攻击确认结果，包括确认为攻击成功的攻击成功事件、确认为攻击失败的攻击失败事件，或者无法确认为攻击成功或者失败的攻击结果未知事件。

优选地，所述匹配模块，对所述响应报文进行所述匹配，包括采用匹配树方式进行。

优选地，所述提取模块，在所述检测模块检测到所述攻击报文后，进一步监控到所述攻击报文所属连接上的后续报文为攻击者发出的网络报文时，确认所述攻击报文攻击失败。