[发明专利]基于OODA流程欺骗诱捕构建大规模事件发生的应急决策方法

权利要求书

1.基于OODA流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，其具体包括以下步骤：

步骤一：在网络中，构建部署大量的探针节点，仿真各种业务场景、服务、协议、漏洞陷阱的一种或多种；

步骤二：在主机终端中，构建部署大量的诱饵，包括文件诱饵、数据诱饵、凭据诱饵、网络诱饵浏览器类诱饵的一种或多种；

步骤三：在网络中采集探针节点攻击者发送的数据，在主机终端中采集触碰诱饵数据，同时采集主机内核中网络数据、文件数据、进程数据、注册表数据的一种或多种；

步骤四：将采集的攻击数据上传至分析组件；

步骤五：通过分析引擎，分类，预处理，分析告警事件，构建OODA决策组态；

步骤六：动态调整欺骗策略；

步骤七：触发响应处理流程，做响应处置决策；

步骤八：下发决策动作到网络中、终端节点中。

2.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，所述步骤五，通过分析引擎，分类，预处理，分析告警事件，构建OODA决策组态，具体包括以下步骤：

A)告警及联动相应的安全防护设备，收集攻击者情报；

B)借助智能事件关联分析引擎，找出事件中存在的关联关系；

C)研判网络安全事件。

3.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，所述步骤8下发决策动作到网络中、终端节点中，具体包括以下步骤：

a)告警，邮件、短信、工单的一种或多种方式；

b)抑制、根除、恢复。

4.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，优选的，所述b)中，具体包括有以下步骤：

Ⅰ.基于主机的防御策略，关闭进程、关闭服务、安装补丁、病毒扫描；

Ⅱ.基于网络的策略：隔离主机、断开端口、断开网络、阻断IP；

Ⅲ.对接其他安管平台，通过防火墙、IPS、WAF封堵网络；

Ⅳ.进行系统加固；

Ⅴ.恢复。

5.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，在进行步骤五中的数据分类、预处理时，联动三方安全设备收集攻击者数据。

6.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，所述步骤五中，通过分析装置对事件进行分析，将分析结果发送判断装置中，判断装置对分析结果进行判断，若判断为非攻击事件则返回分析装置，反之则发送至决策装置进行决策，再发送至处置装置进行处理。

7.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，所述步骤六若为动态调整欺骗策略，则将信息返回至欺骗策略组件。

8.根据权利要求4所述的基于OODA流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，在所述步骤Ⅰ、步骤Ⅱ以及步骤Ⅲ完成后均下发策略脚本。

9.根据权利要求4所述的基于OODA流程的欺骗诱捕构建大规模事件发生时的应急响应决策的方法，其特征在于，所述步骤Ⅴ.恢复，为恢复还原攻击链以及攻击过程。