(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211011630.X (22)申请日 2022.08.23 (71)申请人 北京元支点信息安全技 术有限公司 地址 100000 北京市东城区安 乐林路69号3 号楼203-A (72)发明人 杨志卫　 (74)专利代理 机构 北京贵都专利代理事务所 (普通合伙) 11649 专利代理师 田志华 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于OODA流程欺骗诱捕构建大规模事件发 生的应急决策方法 (57)摘要 本发明涉及基于OODA流程的欺骗诱捕构建 大规模事件发生时的应急响应决策的方法， 属于 信息安全技术领域。 通过部署的伪装环境、 业务 应用系统的终端诱饵等， 诱使攻击者对其攻击， 暴露其攻击手 法、 战术和技术， 分别从 网络层、 系 统层、 应用层、 数据层实现对对其交互行为进行 检测,特点具有网络全覆盖、 业务场景全覆盖、 不 依赖特征库、 误报率0， 同时根据网络突发事件应 急响应特点， 结合欺骗技术构建一个由观察 ‑检 测(observation)、 判断 ‑分析(orientation)、 决 策‑策略(deci sion)和行动 ‑处置(action)4个阶 段构成的事件应急响应决策闭环， 融入现有安全 防护体系中， 实现自决策、 自配置、 自调整的网络 安全事件应急方法， 提升 现有防御应急机制的循 环迭代和能力演化。 权利要求书2页 说明书4页 附图1页 CN 115396174 A 2022.11.25 CN 115396174 A 1.基于OODA流程的欺骗诱捕构建大规模事件发生 时的应急响应决策的方法， 其特征在 于， 其具体包括以下步骤： 步骤一： 在网络中， 构建部署大量的探针节点， 仿真各种业务场景、 服务、 协议、 漏洞陷 阱的一种或多种； 步骤二： 在主机终端中， 构建部署大量的诱饵， 包括文件诱饵、 数据诱饵、 凭据诱饵、 网 络诱饵浏览器 类诱饵的一种或多种； 步骤三： 在网络 中采集探针节点攻击者发送的数据， 在主机终端中采集触碰诱饵数据， 同时采集主机内核中网络数据、 文件数据、 进程数据、 注 册表数据的一种或多种； 步骤四： 将采集的攻击数据上传至分析组件； 步骤五： 通过分析引擎， 分类， 预处 理， 分析告警事 件， 构建OODA决策组态； 步骤六： 动态调整欺骗策略； 步骤七： 触发响应处 理流程， 做响应处置决策； 步骤八： 下发决策动作到网络中、 终端节点中。 2.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生 时的应急响应 决策的方法， 其特征在于， 所述步骤五， 通过分析引擎， 分类， 预处理， 分析告警事件， 构建 OODA决策组态， 具体包括以下步骤： A)告警及联动相应的安全防护设备， 收集 攻击者情 报； B)借助智能事 件关联分析引擎， 找出事 件中存在的关联关系； C)研判网络安全 事件。 3.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生 时的应急响应 决策的方法， 其特征在于， 所述步骤8下发决策动作到网络中、 终端节点中， 具体包括以下步 骤： a)告警， 邮件、 短信、 工单的一种或多种方式； b)抑制、 根除、 恢复。 4.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生 时的应急响应 决策的方法， 其特 征在于， 优选的， 所述b)中， 具体包括有以下步骤： Ⅰ.基于主机的防御策略， 关闭进程、 关闭服 务、 安装补丁、 病毒扫描； Ⅱ.基于网络的策略： 隔离主机、 断开端口、 断开网络、 阻断IP； Ⅲ.对接其他安管平台， 通过防火墙、 IP S、 WAF封堵网络； Ⅳ.进行系统加固； Ⅴ.恢复。 5.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生 时的应急响应 决策的方法， 其特征在于， 在进行步骤五中的数据分类、 预处理时， 联动三方安全设备收集 攻击者数据。 6.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生 时的应急响应 决策的方法， 其特征在于， 所述步骤五中， 通过分析装置对事件进行分析， 将分析结果发送 判断装置中， 判断装置对分析结果进 行判断， 若判断为 非攻击事件则返回分析装置， 反之则 发送至决策装置进行决策， 再发送至处置装置进行处 理。 7.根据权利要求1所述的基于OODA流程的欺骗诱捕构建大规模事件发生 时的应急响应权　利　要　求　书 1/2 页 2 CN 115396174 A 2决策的方法， 其特征在于， 所述步骤六若为动态调整欺骗策略， 则将信息 返回至欺骗策略组 件。 8.根据权利要求4所述的基于OODA流程的欺骗诱捕构建大规模事件发生 时的应急响应 决策的方法， 其特 征在于， 在所述 步骤Ⅰ、 步骤Ⅱ以及步骤 Ⅲ完成后均下发策略脚本 。 9.根据权利要求4所述的基于OODA流程的欺骗诱捕构建大规模事件发生 时的应急响应 决策的方法， 其特 征在于， 所述 步骤Ⅴ.恢复， 为恢复还原攻击链以及攻击过程。权　利　要　求　书 2/2 页 3 CN 115396174 A 3