系统网络安全的防护方法及装置制造方法
【专利摘要】本发明公开了一种系统网络安全的防护方法,包括以下步骤:获取扫描规则及漏洞特征;根据扫描规则进行漏洞扫描,及根据漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;当检测到系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;根据当前防护策略对所述系统进行防护。本发明还公开了一种系统网络安全的防护装置,本发明能够实现将网络漏洞的发现及防护操作结为一体,提高系统的性能,防护效果更好。
【专利说明】系统网络安全的防护方法及装置
【技术领域】
[0001]本发明涉及计算机信息【技术领域】,尤其涉及一种系统网络安全的防护方法及装置。
【背景技术】
[0002]计算机系统在硬件、软件及协议层的设计总会存在缺陷和不足,这些缺陷和不足称为漏洞,漏洞的存在可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等。
[0003]现有的维护网络安全的方法主要有以下两种:一种为安全威胁发现类型,如AppScan扫描工具,通过探测当前网络及节点相关信息,分析网络安全风险状况,并能够给出一些消除风险的参考建议;另一种为安全威胁防护类型,基于漏洞规则库、协议识别库等添加防护策略,对已知的通用性漏洞进行防护。
[0004]上述两种维护网络安全的方法存在以下问题:1.单纯的安全威胁发现类型无法实现漏洞的防护,扫描出来的漏洞一般需要网络管理员根据系统自身的特性进行分析是否存在相关问题,并通过修改自身系统缺陷或购买其他漏洞防护解决方案来达到漏洞防护的目的,其功能单一,不能满足需要。2.单纯的安全威胁防护类型只能对通用漏洞进行防护,无法针对新出现的漏洞进行适合有效的漏洞防护,如:通用漏洞包括A、B、C,漏洞防护类型对A、B、C都配置了策略进行防护,但系统可能只存在漏洞B,漏洞A、C在本系统中已经被修复过,这样进行A、C的策略防护就会显得多余,如果此类通用漏洞很多,将会大大影响系统数据处理的速度,系统性能降低。另外,安全威胁防护类型需要人为添加相应的漏洞防护策略,若管理员知识水平或安全意识不足时,容易引发网络安全问题。
[0005]上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
【发明内容】
[0006]本发明的主要目的在于提供一种系统网络安全的防护方法及装置,旨在实现将网络漏洞的发现及防护操作结为一体,提高系统的性能,防护效果更好。
[0007]为实现上述目的,本发明提供的一种系统网络安全的防护方法,包括以下步骤:
[0008]获取扫描规则及漏洞特征;
[0009]根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;
[0010]当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;
[0011]根据所述当前防护策略对所述系统进行防护。
[0012]优选地,所述根据当前防护策略对所述系统进行防护的步骤之前包括:
[0013]更新所述当前防护策略。[0014]优选地,所述更新所述当前防护策略的步骤包括:
[0015]通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。
[0016]优选地,所述当发现系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略的步骤包括:
[0017]根据检测到的漏洞获取对应的预存防护策略;
[0018]对所述对应的预存防护策略的使用状态进行修改;
[0019]根据修改后的预存防护策略生成所述当前防护策略。
[0020]本发明还提供一种系统网络安全的防护装置,包括:
[0021]获取模块,用于获取扫描规则及漏洞特征;
[0022]检测模块,用于根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;
[0023]生成模块,用于当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;
[0024]防护模块,用于根据所述当前防护策略对所述系统进行防护。
[0025]优选地,所述防护装置还包括更新模块,用于更新所述当前防护策略。
[0026]优选地,所述更新模块具体用于通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。
[0027]优选地,所述生成模块包括:
[0028]获取单元,用于根据检测到的漏洞获取对应的预存防护策略;
[0029]修改单元,用于对所述对应的预存防护策略的使用状态进行修改;
[0030]生成单元,用于根据修改后的预存防护策略生成所述当前防护策略。
[0031]本发明一种系统网络安全的防护方法及装置,根据扫描规则主动进行漏洞扫描,并根据漏洞特征实时分析系统中的网络流量,当发现系统中存在漏洞时,可以根据该漏洞及对应的预存防护策略生成新的防护策略,并使用新的防护策略进行防护,相比于现有技术的安全威胁发现类型的方法,本实施例不需要管理员进行操作,也不需要增加新的防护方案来进行防护;相比于现有技术中的安全威胁防护类型的方法,本实施例使用新的防护策略进行防护,实现将网络漏洞的发现及防护操作结为一体,简化了防护的流程,保证网络安全并提高系统性能,防护效果更好。
【专利附图】
【附图说明】
[0032]图1为本发明系统网络安全的防护方法一实施例的流程示意图;
[0033]图2为图1中根据检测到的漏洞及预存防护策略生成当前防护策略的步骤的细化流程示意图;
[0034]图3为本发明系统网络安全的防护装置一实施例的结构示意图;
[0035]图4为图3中生成模块的结构示意图。
[0036]本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。【具体实施方式】[0037]应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0038]本发明提供一种系统网络安全的防护方法,参照图1,在一实施例中,该方法包括:
[0039]步骤SlOl,获取扫描规则及漏洞特征;
[0040]步骤S102,根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;
[0041]其中,当系统获取扫描规则及漏洞特征后,本实施例根据扫描规则主动对系统的服务器及应用等进行漏洞扫描,并根据漏洞特征实时分析系统中各应用及访问服务器的网络流量,以检测系统是否存在漏洞。
[0042]扫描规则为系统中已发现的漏洞及外部网络上已有的漏洞的扫描规则,可通过网络管理员的配置进行扫描相关服务器及应用等,以检测系统是否存在漏洞。漏洞特征为系统中已发现的漏洞及外部网络上已有的漏洞的特征,系统可以提取这些漏洞的特征作为防护之用。本实施例中,可以将扫描规则及漏洞特征收集并各自保存于一数据库中。
[0043]步骤S103,当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;
[0044]本实施例中,当扫描发现漏洞或者分析系统中的网络流量发现漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略。预存的防护策略可从外部网络中获取,并可存储于一数据库中。
[0045]例如,某一预存防护策略对应漏洞A、B及C进行防护,漏洞B及C在本系统中已经被修复,系统当前只存在漏洞A,则本实施例可根据对应于漏洞A、B及C的预存防护策略以及漏洞A生成当前防护策略,即该当前防护策略只对系统存在的漏洞A进行防护,对漏洞B和C则不进行防护,如此,对应于漏洞A、B及C的预存防护策略变为只对应漏洞A的当前防护策略,这样就能够简化防护策略,对当前存在的漏洞进行最优化的处理,提高系统的性倉泛。
[0046]步骤S104,根据所述当前防护策略对所述系统进行防护。
[0047]例如,本实施例可通过漏洞扫描发现操作系统为Windows,WEB服务器为互联网信息服务(Internet Informat1n Services, IIS), IIS是由微软公司提供的基于运行Microsoft Windows的互联网基本服务,WEB应用脚本语言为ASP.NET,根据这些信息,系统可以剔除掉Linux/Nginx/PHP等的规则,生成更加高效的、低误判的当前防护策略,并对系统进行防护。
[0048]与现有技术相比,本实施例根据扫描规则主动进行漏洞扫描,并根据漏洞特征实时分析系统中的网络流量,当发现系统中存在漏洞时,可以根据该漏洞及对应的预存防护策略生成新的防护策略,并使用新的防护策略进行防护,相比于现有技术的安全威胁发现类型的方法,本实施例不需要管理员进行操作,也不需要增加新的防护方案来进行防护;相比于现有技术中的安全威胁防护类型的方法,本实施例使用新的防护策略进行防护,实现将网络漏洞的发现及防护操作结为一体,简化了防护的流程,保证网络安全并提高系统性能,防护效果更好。
[0049]在一优选实施例中,在上述实施例的基础上,本实施例在根据所述当前防护策略对系统进行防护的步骤之前还包括以下步骤:更新当前防护策略。其中,本实施例具体可通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据获取的新的扫描规则、漏洞特征及防护策略更新当前防护策略。
[0050]在一优选实施例中,如图2所示,上述步骤S103包括:
[0051]步骤S1031,根据检测到的漏洞获取对应的预存防护策略;
[0052]步骤S1032,对所述对应的预存防护策略的使用状态进行修改;
[0053]步骤S1033,根据修改后的预存防护策略生成所述当前防护策略。
[0054]本实施例中,当检测到系统存在漏洞时,根据检测到的漏洞获取对应的预存防护策略,对该预存防护策略的使用状态进行修改,如删除、禁用或增加等,对系统不存在的漏洞不进行防护,得到适合有效的防护策略,剔除掉无用的防护策略能够提升系统的性能。
[0055]如图3所示,本发明提供一种系统网络安全的防护装置,包括:
[0056]获取模块101,用于获取扫描规则及漏洞特征;
[0057]检测模块102,用于根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;
[0058]其中,当系统获取扫描规则及漏洞特征后,本实施例的检测模块102根据扫描规则主动对系统的服务器及应用等进行漏洞扫描,并根据漏洞特征实时分析系统中各应用及访问服务器的网络流量,以检测系统是否存在漏洞。
[0059]扫描规则为系统中已发现的漏洞及外部网络上已有的漏洞的扫描规则,可通过网络管理员的配置进行扫描相关服务器及应用等,检测系统是否存在漏洞。漏洞特征为系统中已发现的漏洞及外部网络上已有的漏洞的特征,系统可以提取这些漏洞的特征作为防护之用。本实施例中,可以将扫描规则及漏洞特征收集并各自保存于一数据库中。
[0060]生成模块103,用于当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;
[0061]本实施例中,当扫描发现漏洞或者分析系统中的网络流量发现漏洞时,生成模块103根据检测到的漏洞及预存防护策略生成当前防护策略。预存的防护策略可从外部网络中获取,并可存储于一数据库中。
[0062]例如,某一预存防护策略对应漏洞A、B及C进行防护,漏洞B及C在本系统中已经被修复,系统当前只存在漏洞A,则本实施例可根据对应于漏洞A、B及C的预存防护策略以及漏洞A生成当前防护策略,即该当前防护策略只对系统存在的漏洞A进行防护,对漏洞B和C则不进行防护,如此,对应于漏洞A、B及C的预存防护策略变为只对应漏洞A的当前防护策略,这样就能够简化防护策略,对当前存在的漏洞进行最优化的处理,提高系统的性倉泛。
[0063]防护模块104,用于根据所述当前防护策略对所述系统进行防护。
[0064]例如,本实施例可通过漏洞扫描发现操作系统为Windows,WEB服务器为HS,WEB应用脚本语言为ASP.NET,根据这些信息,系统可以剔除掉Linux/Nginx/PHP等的规则,生成更加高效的、低误判的当前防护策略,并对系统进行防护。
[0065]在一优选实施例中,在上述实施例的基础上,本实施例还包括更新模块,用于更新当前防护策略。其中,本实施例的更新模块具体可通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据获取的新的扫描规则、漏洞特征及防护策略更新当前防护策略。
[0066]在一优选实施例中,如图4所示,上述生成模块103包括:[0067]获取单元1031,用于根据检测到的漏洞获取对应的预存防护策略;
[0068]修改单元1032,用于对所述对应的预存防护策略的使用状态进行修改;
[0069]生成单元1033,用于根据修改后的预存防护策略生成所述当前防护策略。
[0070]其中,当检测到系统存在漏洞时,获取单元1031根据检测到的漏洞获取对应的预存防护策略,修改单元1032对该预存防护策略的使用状态进行修改,如删除、禁用或增加等,对系统不存在的漏洞不进行防护,得到适合有效的防护策略,剔除掉无用的防护策略能够提升系统的性能。
[0071]通过上面的描述可以看出,本发明一种系统网络安全的防护方法及装置,根据扫描规则主动进行漏洞扫描,并根据漏洞特征实时分析系统中的网络流量,当发现系统中存在漏洞时,可以根据该漏洞及对应的预存防护策略生成新的防护策略,并使用该新的防护策略进行防护,相比于现有技术的安全威胁发现类型的方法,本实施例不需要管理员进行操作,也不需要增加新的防护方案来进行防护,降低了维护成本;相比于现有技术中的安全威胁防护类型的方法,本实施例使用新的防护策略进行防护,实现将网络漏洞的发现及防护操作结为一体,简化了防护的流程,保证网络安全并提高系统性能,防护效果更好。
[0072]上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如R0M/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
[0073]以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的【技术领域】,均同理包括在本发明的专利保护范围内。
【权利要求】
1.一种系统网络安全的防护方法,其特征在于,包括以下步骤: 获取扫描规则及漏洞特征; 根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞; 当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略; 根据所述当前防护策略对所述系统进行防护。
2.如权利要求1所述的防护方法,其特征在于,所述根据当前防护策略对所述系统进行防护的步骤之前包括: 更新所述当前防护策略。
3.如权利要求2所述的防护方法,其特征在于,所述更新所述当前防护策略的步骤包括: 通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。
4.如权利要求1所述的防护方法,其特征在于,所述当发现系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略的步骤包括: 根据检测到的漏洞获取对应的预存防护策略; 对所述对应的预存防护策略的使用状态进行修改; 根据修改后的预存防护策略生成所述当前防护策略。
5.一种系统网络安全的防护装置,其特征在于,包括: 获取模块,用于获取扫描规则及漏洞特征; 检测模块,用于根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞; 生成模块,用于当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略; 防护模块,用于根据所述当前防护策略对所述系统进行防护。
6.如权利要求5所述的防护装置,其特征在于,所述防护装置还包括更新模块,用于更新所述当前防护策略。
7.如权利要求6所述的防护装置,其特征在于,所述更新模块具体用于通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。
8.如权利要求5所述的防护装置,其特征在于,所述生成模块包括: 获取单元,用于根据检测到的漏洞获取对应的预存防护策略; 修改单元,用于对所述对应的预存防护策略的使用状态进行修改; 生成单元,用于根据修改后的预存防护策略生成所述当前防护策略。
【文档编号】H04L29/06GK104038488SQ201410248196
【公开日】2014年9月10日 申请日期:2014年6月5日 优先权日:2014年6月5日
【发明者】范星华 申请人:深信服网络科技(深圳)有限公司