專利名稱:計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)安全的技術(shù)領(lǐng)域,具體的說是一種對計算機網(wǎng)絡(luò)非法入侵的網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng)。
背景技術(shù):
計算機安全,國際標準化委員會的定義為數(shù)據(jù)處理系統(tǒng)和采取的技術(shù)和管理的安全保護,保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、泄露。
隨著科技的發(fā)展和時間的推移,“計算機安全”的發(fā)展劃分為三個階段第一階段,計算機安全(過去)通指實體安全、系統(tǒng)安全、系統(tǒng)可靠性;第二階段,網(wǎng)絡(luò)安全(現(xiàn)在)通指多機系統(tǒng)、開放式系統(tǒng)互聯(lián)、通信與數(shù)據(jù)傳輸;第三階段,信息安全(未來)通指資料、信息、社會、心理、生存環(huán)境,信息戰(zhàn)爭。
隨著科技、計算機和Internet的飛速發(fā)展,計算機安全受到越來越嚴重的挑戰(zhàn)。人們面臨著網(wǎng)絡(luò)攻擊事件急劇增加及惡性病毒的嚴重泛濫。目前,防火墻和防病毒軟件仍然是許多網(wǎng)絡(luò)所采取的僅有的網(wǎng)絡(luò)安全措施。事實證明,在當(dāng)今的網(wǎng)絡(luò)攻擊(如Code Red、Nimda事件)和黑客利用系統(tǒng)漏洞對系統(tǒng)進行的攻擊中,防火墻和防病毒軟件都沒有發(fā)揮作用。尤其對于大規(guī)模的分布式拒絕服務(wù)的攻擊,現(xiàn)有防火墻的手工配置管理機制無法滿足大規(guī)模網(wǎng)絡(luò)的管理需求,導(dǎo)致安全管理人員不堪重負。于是計算機安全領(lǐng)域?qū)崟r提出了入侵響應(yīng)技術(shù)。“響應(yīng)”是對入侵行為的反應(yīng)機制,它分為主動響應(yīng)和被動響應(yīng)。目前的響應(yīng)方式只能局限于本地的入侵對象,而且缺乏自動的、網(wǎng)絡(luò)范圍內(nèi)、針對真實源端的有效響應(yīng)。
目前的信息安全技術(shù)領(lǐng)域的IDS(Intrusion Detection System主機入侵檢測系統(tǒng))和/NIDS(Network Intrusion Detection System網(wǎng)絡(luò)入侵檢測系統(tǒng))技術(shù)已經(jīng)十分成熟(入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù),違反安全策略的行為有入侵----非法用戶的違規(guī)行為;濫用----用戶的違規(guī)行為),計算機網(wǎng)絡(luò)之應(yīng)急響應(yīng)與災(zāi)難恢復(fù)軟件就對該成熟技術(shù)進行借鑒,再在該成熟技術(shù)上的進行拓展,加入應(yīng)急相應(yīng)與容災(zāi)備份主要功能。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng),它可克服現(xiàn)有網(wǎng)絡(luò)應(yīng)急響應(yīng)處理技術(shù)中的一些不足。
為了實現(xiàn)上述目的,本發(fā)明的技術(shù)方案是計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng),它主要包括交換機,路由器、以太網(wǎng)集線器和外部網(wǎng)段,其特征在于所述計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng)將外部網(wǎng)段通過交換機,路由器、以太網(wǎng)集線器與內(nèi)部服務(wù)網(wǎng)段連接,內(nèi)部服務(wù)網(wǎng)段通過交換機與內(nèi)部管理網(wǎng)段連接,其中,內(nèi)部服務(wù)網(wǎng)段中設(shè)有鷹眼網(wǎng)絡(luò)入侵檢測儀和若干臺服務(wù)器,內(nèi)部管理網(wǎng)段中設(shè)有控制中心服務(wù)器和日志終端,控制中心服務(wù)器中設(shè)有預(yù)警處理模塊,當(dāng)攻擊事件發(fā)生時,鷹眼網(wǎng)絡(luò)入侵檢測儀首先判斷識別攻擊事件類型,然后將攻擊事件類型發(fā)送到預(yù)警處理模塊,預(yù)警處理模塊會將相關(guān)攻擊事件信息傳遞給虛擬推理機程序,虛擬推理機程序啟動安全策略生成模塊,安全策略生成模塊啟動并接受到攻擊事件信息,安全策略生成模塊將調(diào)用數(shù)據(jù)庫中對攻擊事件的預(yù)設(shè)定義信息,再將攻擊事件信息與數(shù)據(jù)庫中對攻擊事件的預(yù)設(shè)定義信息比較,安全策略生成模塊會確定相應(yīng)的響應(yīng)方式集合A,安全策略生成模塊再對確定的相應(yīng)響應(yīng)方式集合A進行策略分析和篩選,經(jīng)分析和篩選后得到響應(yīng)方式子集,最后安全策略生成模塊再根據(jù)策略制約原則,選擇綜合系數(shù)最高的響應(yīng)方式作后最終響應(yīng)方式。
本發(fā)明提供了一種計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng),本系統(tǒng)針對傳統(tǒng)的入侵檢測儀對于入侵行為響應(yīng)的所存在的局限性,借鑒了當(dāng)前先進的技術(shù),建立了基于策略響應(yīng)的智能平臺,這個智能平臺能夠?qū)崿F(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)的智能響應(yīng)和安全策略的快速生成。為了真正提高網(wǎng)絡(luò)生存能力,將開發(fā)實現(xiàn)以主動防御和應(yīng)急響應(yīng)災(zāi)難恢復(fù)能力相結(jié)合的計算機網(wǎng)絡(luò)系統(tǒng)。計算機網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)和快速恢復(fù)技術(shù)智能平臺是將應(yīng)急響應(yīng)系統(tǒng)整體框架在計算機網(wǎng)絡(luò)系統(tǒng)中實現(xiàn)的一個智能系統(tǒng)。其主要目的是為建立信息安全應(yīng)急響應(yīng)服務(wù)體系提供技術(shù)手段。它是在實現(xiàn)了事件分析診斷與攻擊取證技術(shù),網(wǎng)絡(luò)化系統(tǒng)容災(zāi)技術(shù),系統(tǒng)和數(shù)據(jù)快速恢復(fù)技術(shù)為一體的應(yīng)急響應(yīng)技術(shù)基礎(chǔ)之上建立一個相對智能的控制和處理平臺,以實現(xiàn)已有技術(shù)和系統(tǒng)的總體控制和智能融合,是一種反應(yīng)機敏、排難迅速、恢復(fù)有效的網(wǎng)絡(luò)應(yīng)急排難處理系統(tǒng)。
圖1為本計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)2為本發(fā)明分析處理流程圖。
圖3為本發(fā)明一實施例分析處理流程圖。
具體實施例方式下面結(jié)合附圖和實施例對本發(fā)明作進一步的描述。
本發(fā)明為一種計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng),它主要包括交換機1,路由器2、以太網(wǎng)集線器3、外部網(wǎng)段4,其區(qū)別于現(xiàn)有技術(shù)在于所述計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng)將外部網(wǎng)段通過交換機,路由器、以太網(wǎng)集線器與內(nèi)部服務(wù)網(wǎng)段5連接,內(nèi)部服務(wù)網(wǎng)段通過交換機與內(nèi)部管理網(wǎng)段6連接,其中,內(nèi)部服務(wù)網(wǎng)段中設(shè)有鷹眼網(wǎng)絡(luò)入侵檢測儀7和若干臺服務(wù)器8,內(nèi)部管理網(wǎng)段中設(shè)有控制中心服務(wù)器9和日志終端10,控制中心服務(wù)器中設(shè)有預(yù)警處理模塊,當(dāng)攻擊事件發(fā)生時,鷹眼網(wǎng)絡(luò)入侵檢測儀首先判斷識別攻擊事件類型,然后將攻擊事件類型發(fā)送到預(yù)警處理模塊,預(yù)警處理模塊會將相關(guān)攻擊事件信息傳遞給虛擬推理機程序,虛擬推理機程序啟動安全策略生成模塊,安全策略生成模塊啟動并接受到攻擊事件信息,攻擊事件信息的內(nèi)容包括入侵事件的事件類型、危險等級和針對對象三個參數(shù),安全策略生成模塊將調(diào)用數(shù)據(jù)庫中對攻擊事件的預(yù)設(shè)定義信息,再將攻擊事件信息與數(shù)據(jù)庫中對攻擊事件的預(yù)設(shè)定義信息比較,安全策略生成模塊會確定相應(yīng)的響應(yīng)方式集合A,安全策略生成模塊再對確定的相應(yīng)響應(yīng)方式集合A進行策略分析和篩選,經(jīng)分析和篩選后得到響應(yīng)方式子集,最后安全策略生成模塊再根據(jù)策略制約原則,選擇綜合系數(shù)最高的響應(yīng)方式作后最終響應(yīng)方式。
安全策略生成模塊再對相應(yīng)響應(yīng)方式集合進行策略分析和篩選的流程為第一步對響應(yīng)方式集合中的所有響應(yīng)方式按策略安全級別高低進行分析比較,可根據(jù)用戶預(yù)先設(shè)定的綜合系數(shù),篩選掉一個響應(yīng)方式,得到一個響應(yīng)方式子集B,從響應(yīng)方式A中排除部分策略。得到響應(yīng)方式B的原則如下
綜合系數(shù)=(響應(yīng)方式業(yè)務(wù)影響度*2+響應(yīng)方式安全系數(shù))/2。響應(yīng)方式業(yè)務(wù)影響度和響應(yīng)方式安全系數(shù)是由安全策略生成模塊設(shè)定的,其中響應(yīng)方式業(yè)務(wù)影響度是指響應(yīng)方式對其它業(yè)務(wù)的影響程度,響應(yīng)方式安全系數(shù)是指響應(yīng)方式對系統(tǒng)安全的影響程度。
第二步安全策略生成模塊再對響應(yīng)方式子集B中所有響應(yīng)方式按危險級別高低進行分析比較,根據(jù)用戶預(yù)先設(shè)定的綜合系數(shù),篩選掉一個響應(yīng)方式,得到一個響應(yīng)方式子集C,從響應(yīng)方式B中排除部分策略。得到響應(yīng)方式C的原則如下
第三步安全策略生成模塊再對響應(yīng)方式子集C中所有響應(yīng)方式按代理系數(shù)高低進行分析比較,根據(jù)用戶預(yù)先設(shè)定的綜合系數(shù),篩選掉一個響應(yīng)方式,得到一個響應(yīng)方式子集D,代理系數(shù)是用來衡量自身安全性的,主要是參照代理的操作系統(tǒng)和其運行的應(yīng)用程序的信息,公式定義
最后根據(jù)策略制約原則,在響應(yīng)方式子集D中選擇綜合系數(shù)最高的響應(yīng)方式作后最終響應(yīng)方式。
鷹眼網(wǎng)絡(luò)入侵檢測儀可以識別以下19大類,共計800余種的入侵行為,19大類分別為后門程序攻擊、分布式拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、Ftp服務(wù)攻擊、帳戶信息查詢服務(wù)攻擊、Icmp協(xié)議攻擊、其它類型攻擊、Netbios協(xié)議攻擊、遠過程調(diào)用服務(wù)攻擊、掃描器軟件攻擊、郵件傳輸協(xié)議攻擊、Telnet服務(wù)攻擊、Tftp協(xié)議攻擊、Webcgi程序攻擊(webcf)、Coldfusion類型web服務(wù)器攻擊、Frontpage類型web服務(wù)器攻擊、IIs類型web服務(wù)器攻擊、其它類型web服務(wù)器攻擊、xwindow服務(wù)器攻擊。
在本發(fā)明一實施例中,外部網(wǎng)段中的非法客戶通過外部主機試圖在內(nèi)部主機FTP服務(wù)器攫取passwd文件,此時整體網(wǎng)絡(luò)架構(gòu)如圖1中所示,包括外部、服務(wù)和管理三個網(wǎng)段組成的網(wǎng)絡(luò)和過濾、處理二個模塊;正常訪問者的計算機和攻擊者計算機均通過外部網(wǎng)段與路由器連接,路由器的一輸出端與裝有鷹眼網(wǎng)絡(luò)入侵檢測儀的服務(wù)網(wǎng)段連接,路由器的另一輸出端與管理網(wǎng)段連接,外部網(wǎng)段與路由器之間通過交換機S1連接,路由器與服務(wù)網(wǎng)段之間通過以太網(wǎng)集線器連接,管理網(wǎng)段與路由器之間通過交換機S2連接,管理網(wǎng)段連接有控制中心服務(wù)器、控制終端、日志終端,服務(wù)網(wǎng)段與管理網(wǎng)段之間裝有至少四個服務(wù)器和鷹眼網(wǎng)絡(luò)入侵檢測儀,鷹眼網(wǎng)絡(luò)入侵檢測儀發(fā)現(xiàn)該種ftp攻擊類型(對應(yīng)于第4大類攻擊類型----Ftp服務(wù)器攻擊),當(dāng)鷹眼網(wǎng)絡(luò)入侵檢測儀識別該攻擊后,過濾模塊最先收到鷹眼網(wǎng)絡(luò)入侵檢測儀發(fā)送的Trap包,該模塊在該動作前會先行讀取配置信息;如果該配置信息讀取失敗,則在界面上提示用戶“配置信息讀取失?。蝗襞渲眯畔⒊晒ψx取后,則開始設(shè)置時間鏈表,確定缺省時間鏈表,在設(shè)置的缺省時間鏈表內(nèi)可以存儲Trap數(shù)據(jù)包,在設(shè)置的時間鏈表如果有相重的Trap數(shù)據(jù)包來訪時,則不予以處理,若是新的Trap數(shù)據(jù)包則加入該時間鏈表;Trap數(shù)據(jù)包停留在設(shè)置時間鏈表后會被刪除;對于時間鏈表的處理會有二種處理,在時間鏈表的左側(cè)分支中,是專門檢測時間鏈表中的Trap數(shù)據(jù)包是否超過鏈表的時間長度的;如果時間鏈表中的Trap超過鏈表的時間長度,則刪除該鏈表中的Trap數(shù)據(jù)包;如果時間鏈表中的Trap沒有超過鏈表的時間長度,則繼續(xù)檢測該時間鏈表是否有超時Trap數(shù)據(jù)包;在時間鏈表的右側(cè)分支中,是作加入新包及判斷是否有重包的處理動作,它首先格式化Trap數(shù)據(jù)包,提取如攻擊類型、源IP地址、源端口號、目標IP地址和目標端口號的主要字段;如果新接收的Trap數(shù)據(jù)包與時間鏈表中的Trap數(shù)據(jù)包的攻擊類型、源IP地址、源端口號、目標IP地址和目標端口號這五個字段相同,則刪除新接收的Trap數(shù)據(jù)包;如果新接收的Trap數(shù)據(jù)包與時間鏈表中的Trap數(shù)據(jù)包中攻擊類型、源IP地址、源端口號、目標IP地址和目標端口號這五個字段任何一個不同,則加入新接收的Trap數(shù)據(jù)包到時間鏈表中。處理模塊接收到過濾模塊的發(fā)送來的Trap數(shù)據(jù)包;首先判斷該Trap數(shù)據(jù)包是否是指定的版本格式,當(dāng)接收的Trap版本不是指定的版本格式時,將不予以處理;接收指定到版本的Trap數(shù)據(jù)包后,然后進行格式化處理,提取需要的數(shù)據(jù)字段,進入日志的處理;日志處理完成之后進入事件類型及告警級別的確定;然后將相關(guān)參數(shù)傳遞出。預(yù)警過濾處理模塊發(fā)送Trap數(shù)據(jù)包,預(yù)警過濾處理子模塊收到Trap數(shù)據(jù)包后,首先檢測預(yù)警過濾處理子模塊中的時間鏈表是否有相同的Trap數(shù)據(jù)包,如果沒有則加入時間鏈表中(另外Trap數(shù)據(jù)包如果超出設(shè)置的時間段,該Trap數(shù)據(jù)包則會被刪除掉),預(yù)警過濾子模塊再發(fā)送該Trap數(shù)據(jù)包到預(yù)警分析和處理子模塊,預(yù)警分析和處理子模塊收到Trap數(shù)據(jù)包后,進行格式化處理得到攻擊類型、源IP地址、源端口號、目標IP地址和目標端口號字段,然后分析該攻擊類型,得到攻擊事件(分為未知類型、Web事件、Ftp事件、數(shù)據(jù)庫服務(wù)事件、郵件服務(wù)事件、掃描事件、后門程序事件和拒絕服務(wù)事件)、危險級別(分為“高級危險、中級?!焙偷图壩kU三級)和針對對象三個字段,這里得到的攻擊事件為Ftp事件,危險級別為高級危險,針對對象沒有,最后預(yù)警分析和處理子模塊將這些參數(shù)發(fā)送給安全策略生成模塊;安全策略生成模塊啟動并接收到三個參數(shù),分別為入侵事件的事件類型、危險等級和針對對象。這里收到的事件類型是‘Ftp事件’,危險等級為高級危險,針對對象則為無,每種攻擊事件對應(yīng)的響應(yīng)方式在數(shù)據(jù)庫中都有定義,F(xiàn)tp事件對應(yīng)的響應(yīng)方式有5種關(guān)閉連接、關(guān)閉端口、漂移、重啟機器和關(guān)機。這5種響應(yīng)方式也就構(gòu)成了響應(yīng)方式集合A;另外,每種響應(yīng)方式中在數(shù)據(jù)庫中都有業(yè)務(wù)影響度和安全系數(shù)的定義值,業(yè)務(wù)影響度、安全系數(shù)和綜合系數(shù)三者之間的關(guān)系是這樣的綜合系數(shù)=(響應(yīng)方式業(yè)務(wù)影響度+響應(yīng)方式安全系數(shù))/2。關(guān)閉連接的業(yè)務(wù)影響度為1,安全系數(shù)為1,所以關(guān)閉連接的綜合系數(shù)為1;關(guān)閉端口的業(yè)務(wù)影響度為2,安全系數(shù)為2,所以關(guān)閉端口的綜合系數(shù)為2;漂移的業(yè)務(wù)影響度為3,安全系數(shù)為3,所以漂移的綜合系數(shù)為3;重啟機器的業(yè)務(wù)影響度為4,安全系數(shù)為4,所以重啟機器的綜合系數(shù)為4;關(guān)機的業(yè)務(wù)影響度為5,安全系數(shù)為5,所以關(guān)機的綜合系數(shù)為5。策略安全級別分為高、中和低三種,這里假設(shè)用戶設(shè)置策略安全級別為低。根據(jù)得響應(yīng)方式集合B的原則,則不使用綜合系數(shù)高的響應(yīng)方式,所以排除關(guān)機的策略(綜合系數(shù)最高,值為為5),從而得到響應(yīng)方式集合B為4種策略,分別為關(guān)閉連接、關(guān)閉端口、漂移和重啟機器,見圖3中的流程。由于Ftp攻擊事件的危險等級為高級,根據(jù)得到響應(yīng)方式集合B的原則,則不使用綜合系數(shù)低的響應(yīng)方式,所以排除關(guān)閉連接的策略(綜合系數(shù)最低,為1),從而得到響應(yīng)方式集合C為3種策略關(guān)閉端口、漂移、重啟機器,見圖3中的流程。被攻擊的機器同時也是運行服務(wù)的代理機器,假設(shè)被攻擊的是一臺windows2000補丁為sp3的機器,從數(shù)據(jù)庫的軟件系數(shù)表中(由專家維護)查得,這種環(huán)境的代理系數(shù)為0.6(按照機器的操作系統(tǒng)、安裝補丁以及應(yīng)用程序的不同代理機器對應(yīng)不同的代理系數(shù),最低為0,最高為1,數(shù)值越高說明機器的安全性越高,最高的代理系數(shù)為1,大于0.3為高代理系數(shù),<=0.3為低代理系數(shù)),這個代理系數(shù)是比較高的,該代理比較安全,所以在響應(yīng)方式集合C中選擇綜合系數(shù)偏低的策略(這里的原則是代理系數(shù)高的,則相應(yīng)綜合系數(shù)要求低的,反之選用綜合系數(shù)要求高的),從而得到響應(yīng)方式集合D為2種策略關(guān)閉端口、漂移,見圖3中的流程。參照數(shù)據(jù)庫的響應(yīng)方式表中的制約情況知道,關(guān)閉端口和漂移兩種策略是相互制約的,所以選取綜合系數(shù)更高的漂移策略,見圖3中的流程。最后在這次攻擊時,安全策略生成模塊得到漂移的響應(yīng)策略,安全策略生成模塊將最終生成的響應(yīng)策略傳送給控制中心服務(wù)器中的信息發(fā)送模塊,信息發(fā)送模塊將響應(yīng)策略信息發(fā)送給路由器代理模塊,路由器代理模塊執(zhí)行由WinNT-Web服務(wù)器切換到Mosx-Web服務(wù)器的IP切換命令,最終達到防御攻擊事件的結(jié)果。
在使用中,所有響應(yīng)策略都可由控制中心內(nèi)的信息發(fā)送模塊將響應(yīng)策略信息發(fā)送給內(nèi)部服務(wù)網(wǎng)段中的服務(wù)器代理模塊或路由器代理模塊,最終由服務(wù)器代理模塊或路由器代理模塊去執(zhí)行響應(yīng)策略。
權(quán)利要求
1.計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng),它主要包括交換機,路由器、以太網(wǎng)集線器和外部網(wǎng)段,其特征在于所述計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng)將外部網(wǎng)段通過交換機,路由器、以太網(wǎng)集線器與內(nèi)部服務(wù)網(wǎng)段連接,內(nèi)部服務(wù)網(wǎng)段通過交換機與內(nèi)部管理網(wǎng)段連接,其中,內(nèi)部服務(wù)網(wǎng)段中設(shè)有鷹眼網(wǎng)絡(luò)入侵檢測儀和若干臺服務(wù)器,內(nèi)部管理網(wǎng)段中設(shè)有控制中心服務(wù)器和日志終端,控制中心服務(wù)器中設(shè)有預(yù)警處理模塊,當(dāng)攻擊事件發(fā)生時,鷹眼網(wǎng)絡(luò)入侵檢測儀首先判斷識別攻擊事件類型,然后將攻擊事件類型發(fā)送到預(yù)警處理模塊,預(yù)警處理模塊會將相關(guān)攻擊事件信息傳遞給虛擬推理機程序,虛擬推理機程序啟動安全策略生成模塊,安全策略生成模塊啟動并接受到攻擊事件信息,安全策略生成模塊將調(diào)用數(shù)據(jù)庫中對攻擊事件的預(yù)設(shè)定義信息,再將攻擊事件信息與數(shù)據(jù)庫中對攻擊事件的預(yù)設(shè)定義信息比較,安全策略生成模塊會確定相應(yīng)的響應(yīng)方式集合A,安全策略生成模塊再對確定的相應(yīng)響應(yīng)方式集合A進行策略分析和篩選,經(jīng)分析和篩選后得到響應(yīng)方式子集,最后安全策略生成模塊再根據(jù)策略制約原則,選擇綜合系數(shù)最高的響應(yīng)方式作后最終響應(yīng)方式。
2.按權(quán)利要求1所述的計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng),其特征在于攻擊事件信息的內(nèi)容包括入侵事件的事件類型、危險等級和針對對象三個參數(shù)。
3.按權(quán)利要求1所述的計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng),其特征在于安全策略生成模塊再對相應(yīng)響應(yīng)方式集合進行策略分析和篩選的流程為首先對響應(yīng)方式集合中的所有響應(yīng)方式按策略安全級別高低進行分析比較,可根據(jù)用戶預(yù)先設(shè)定的綜合系數(shù),篩選掉一個響應(yīng)方式,得到一個響應(yīng)方式子集B,安全策略生成模塊再對響應(yīng)方式子集B中所有響應(yīng)方式按危險級別高低進行分析比較,根據(jù)用戶預(yù)先設(shè)定的綜合系數(shù),篩選掉一個響應(yīng)方式,得到一個響應(yīng)方式子集C,安全策略生成模塊再對響應(yīng)方式子集C中所有響應(yīng)方式按代理系數(shù)高低進行分析比較,根據(jù)用戶預(yù)先設(shè)定的綜合系數(shù),篩選掉一個響應(yīng)方式,得到一個響應(yīng)方式子集D,最后根據(jù)策略制約原則,在響應(yīng)方式子集D中選擇綜合系數(shù)最高的響應(yīng)方式作后最終響應(yīng)方式。
全文摘要
本發(fā)明公開了一種計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)之安全策略生成系統(tǒng),其特征在于安全策略生成模塊啟動并接受到攻擊事件信息,安全策略生成模塊將調(diào)用數(shù)據(jù)庫中對攻擊事件的預(yù)設(shè)定義信息,再將攻擊事件信息與數(shù)據(jù)庫中對攻擊事件的預(yù)設(shè)定義信息比較,安全策略生成模塊會確定相應(yīng)的響應(yīng)方式集合A,安全策略生成模塊再對確定的相應(yīng)響應(yīng)方式集合A進行策略分析和篩選,經(jīng)分析和篩選后得到響應(yīng)方式子集,最后安全策略生成模塊再根據(jù)策略制約原則,選擇綜合系數(shù)最高的響應(yīng)方式作后最終響應(yīng)方式,本系統(tǒng)為一種反應(yīng)機敏、排難迅速、恢復(fù)有效的網(wǎng)絡(luò)應(yīng)急排難處理系統(tǒng)。
文檔編號H04L12/26GK1655526SQ200410016220
公開日2005年8月17日 申請日期2004年2月11日 優(yōu)先權(quán)日2004年2月11日
發(fā)明者張建軍, 李成斌, 明楊, 梁群, 李沁濤, 熊悅, 魏忠 申請人:上海三零衛(wèi)士信息安全有限公司