[发明专利]一种网络安全应急响应方法

权利要求书

1.一种网络安全应急响应方法，其步骤为：

1)服务器端建立一网络安全应急策略库，并设置该策略库中每一策略的属性；其中策略属性包括：针对某类型安全事件的策略类型、是否为某类型安全事件的通用策略、针对某类型安全事件的安全属性；

2)将网络探针从待检测网络环境中探测的安全事件报告上报到服务器；

3)服务器提取当前安全事件报告的事件类型和事件属性信息；

4)服务器根据事件类型查找匹配类型的策略，如果匹配类型的策略为通用策略，则将该策略添加到可选策略列表中；如果不是通用策略，则将该策略的安全属性中的每一属性与事件属性进行匹配，如果每一属性均与事件属性中的某一属性匹配，则将该策略添加到可选策略列表中，否则放弃该策略；

5)服务器返回当前安全事件的可选策略列表给用户。

2.如权利要求1所述的方法，其特征在于所述网络探针包括：木马通讯监控探针、病毒传播监控探针、Ids探针、桌面主动防御软件；所述策略类型包括木马应急策略、病毒传播应急策略、Ids应急策略、桌面主动防御应急策略；所述安全事件报告的事件类型包括：木马安全事件报告、病毒传播安全事件报告、Ids安全事件报告、桌面主动防御安全事件报告。

3.如权利要求2所述的方法，其特征在于所述木马应急策略的安全属性包括：木马的名称、木马行为；所述病毒传播应急策略的安全属性包括：安全事件病毒名称；所述Ids应急策略的安全属性包括：Ids报警类型、Ids报警名称、Ids报警事件所属服务、Ids报警事件CVE编号；所述桌面主动防御应急策略的安全属性包括：针对对象类型。

4.如权利要求3所述的方法，其特征在于所述木马安全事件报告的属性包括：安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、木马探针报警类型、木马探针报警子类型、等级、木马探针报警规则id、木马探针报警规则名称、木马探针报警行为类型名称、木马探针报警网络协议。

5.如权利要求3所述的方法，其特征在于所述病毒传播安全事件报告的属性包括：安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、病毒探针报警说明、病毒探针报警病毒名称、病毒探针报警中应用协议类型。

6.如权利要求3所述的方法，其特征在于所述Ids安全事件报告的属性包括：安全事件发生时间、来源探针的设备ip、源Mac地址、目的Mac地址、源ip地址、目的ip地址、源端口、目的端口、发送报警的设备ip地址、Ids报警事件类型、Ids报警事件名称、Ids报警事件所属服务、Ids报警事件CVE编号、Ids报警事件的应用协议类型。

7.如权利要求3所述的方法，其特征在于所述桌面主动防御安全事件报告的属性包括：安全事件发生时间、来源探针的设备ip、桌面防御报警模块/文件/注册表路径、桌面防御报警模块/文件/注册表名称、桌面防御报警事件在模块/文件/注册表关键区域中执行的动作、针对对象类型。

8.如权利要求1或2或3所述的方法，其特征在于用户根据返回的所述可选策略列表，选取策略处理当前安全事件后，填写并返回一反馈记录表给所述服务器；所述服务器根据反馈记录表对相应策略进行评分。

9.如权利要求8所述的方法，其特征在于所述服务器根据策略评分对所述可选策略列表中的策略进行排序。