一种阻断高风险网络入侵的方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络与信息安全领域中的网络入侵阻断技术,尤其涉及一种阻断高风险网络入侵的方法及系统。
【背景技术】
[0002]现有的安全防护系统包括漏洞扫描器、入侵检测系统(Intrus1n Detect1nSystems, IDS)和防火墙,这三部分各司其职,孤立工作。
[0003]其中,IDS采用传统的模式匹配方法,将所检测数据包中的内容与系统已知的入侵特征库中的攻击特征串机械地进行匹配,只要发现数据包中的内容与攻击特征相匹配,就马上发出告警,并不判断该数据包是不是真的攻击行为,这样就不可避免地会产生误报,因此,IDS每天会有海量的告警信息,而在这些告警信息中,真正有威胁的入侵是其中的很少一部分,安全维护人员很难发现并有针对性地进行阻断操作;而且,安全维护人员还需要手工操作防火墙,因此入侵防御难以实施且不及时。
【发明内容】
[0004]有鉴于此,本发明实施例期望提供一种阻断高风险网络入侵的方法及系统,能够快速、准确地发现真正有威胁的网络入侵行为,并及时阻断入侵,大大提高了高风险网络入侵的检测效率和安全维护人员的工作成效。
[0005]为达到上述目的,本发明的技术方案是这样实现的:
[0006]本发明实施例提供了一种阻断高风险网络入侵的方法,建立漏洞-攻击对应表,所述方法还包括:
[0007]将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息;
[0008]根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵。
[0009]上述方案中,所述建立漏洞-攻击对应表包括:对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表。
[0010]上述方案中,所述将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:提取告警信息中入侵事件的源IP地址和事件名称,并将同一源网络协议(Internet Protocol, IP)地址发起的入侵事件的名称,与所述漏洞_攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功。
[0011]上述方案中,所述生成紧急告警信息包括:提取所述告警信息中入侵事件的名称、IP地址和时间信息,统一格式并标识告警级别为紧急告警,生成紧急告警信息。
[0012]上述方案中,所述根据所述紧急告警信息生成阻断策略包括:提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略;
[0013]所述生成防火墙的阻断策略之后,所述方法还包括:显示所述紧急告警信息及对应阻断策略。
[0014]上述方案中,所述将所述阻断策略发送至防火墙之前,所述方法还包括:将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙。
[0015]本发明实施例还提供了一种阻断高风险网络入侵的系统,所述系统包括:获取模块、匹配模块、策略生成与执行模块、漏洞-攻击信息库和防火墙;其中,
[0016]所述获取模块,用于建立漏洞-攻击对应表;
[0017]所述匹配模块,用于将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息,并将所述紧急告警信息发送至策略生成与执4丁丰旲块;
[0018]所述策略生成与执行模块,用于根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙;
[0019]所述防火墙,用于根据所述阻断策略阻断入侵;
[0020]所述漏洞-攻击信息库,用于存储所述漏洞-攻击对应表;
[0021]上述方案中,所述获取模块包括:漏洞扫描单元和生成单元;其中,
[0022]所述漏洞扫描单元,用于对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,并将所述漏洞信息发送至生成单元;
[0023]所述生成单元,用于提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表;
[0024]所述防火墙包括防火墙策略库,用于存储防火墙策略。
[0025]上述方案中,所述系统还包括显示模块和入侵检测设模块;其中,
[0026]所述显示模块,用于显示紧急告警信息和次要告警信息;
[0027]相应的,所述匹配模块,还用于确定匹配不成功时生成次要告警信息,并将次要告警信息发送至显示模块显示;所述策略生成与执行模块,还用于将所述紧急告警信息及相应阻断策略发送至显示模块显示;
[0028]所述入侵检测模块,用于检测网络入侵行为,并生成告警信息发送至匹配模块。
[0029]上述方案中,所述匹配模块将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:匹配模块提取告警信息中入侵事件的源IP地址和事件名称,并将同一源IP地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功。
[0030]上述方案中,所述策略生成与执行模块,还用于将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙,以及将所述阻断策略发送至防火墙后,添加所述阻断策略至本地策略表。
[0031]上述方案中,所述匹配模块生成紧急告警信息包括:匹配模块提取所述告警信息中入侵事件的名称、IP地址和时间信息,统一格式并标识告警级别为紧急告警,生成紧急告
m样自目 I R ο
[0032]上述方案中,所述策略生成与执行模块根据所述紧急告警信息生成阻断策略包括:策略生成与执行模块提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略。
[0033]本发明实施例所提供的阻断高风险网络入侵的方法,建立漏洞-攻击对应表,将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息;根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵。如此,能够快速、准确地从IDS海量告警信息中发现真正有威胁的高风险网络入侵行为,大大降低了误报率及安全维护人员的工作量,提高了高风险网络入侵的检测效率和安全维护人员的工作成效。
【附图说明】
[0034]图1为本发明实施例一阻断高风险网络入侵的方法流程示意图;
[0035]图2为本发明实施例二阻断高风险网络入侵的方法流程示意图;
[0036]图3为本发明实施例阻断高风险网络入侵的系统组成结构示意图。
【具体实施方式】
[0037]在本发明实施例中,建立漏洞-攻击对应表,将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息;根据所述紧急告警信息