生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵。
[0038]这里,将所述阻断策略发送至防火墙后,可进一步显示所述紧急告警信息及相应的阻断策略;
[0039]进一步的,在将所述阻断策略发送至防火墙之前,可先将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙,并添加至本地策略表;
[0040]这里,所述本地策略表可放置于策略生成与执行模块,作为阻断策略在本地的备份。
[0041]进一步的,防火墙在收到阻断策略后,还可以将所述阻断策略添加至防火墙策略,以便防火墙在今后防御入侵时直接使用。
[0042]图1为本发明实施例一阻断高风险网络入侵的方法流程示意图,如图1所示,本实施例阻断高风险网络入侵的方法流程包括:
[0043]步骤100:建立漏洞-攻击对应表;
[0044]所述建立漏洞-攻击对应表包括:对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,形成漏洞-攻击对应表;之后定期对保护的业务系统进行漏洞扫描和人工维护,以更新所述漏洞-攻击对应表中信息;其中,
[0045]所述关键信息包括:安全漏洞(CommonVulnerabilities & Exposures, CVE)和 IP地址等;
[0046]所述入侵事件链表中的入侵事件名称涵盖了不同厂家IDS设备对于入侵事件的命名,以保证可以兼容不同厂家的IDS设备。
[0047]步骤101:将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息;
[0048]这里,本步骤的操作可以由匹配模块完成;
[0049]将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配之前,该方法还包括:入侵检测模块检测网络入侵行为并生成告警信息,将所述告警信息发送至匹配模块;相应的,匹配模块再从收到的告警信息中提取入侵事件信息;之后,再将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配。
[0050]所述入侵检测模块检测网络入侵行为并生成告警信息包括:将所检测的数据包中的内容与自身规则库中的入侵特征串进行匹配,如果匹配成功,则生成并发出告警信息;这里,具体如何生成告警信息为现有技术,此处不再赘述;
[0051]所述将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:
[0052]提取告警信息中入侵事件的源IP地址和事件名称,并将同一源IP地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功;
[0053]所述生成紧急告警信息包括:提取IDS告警信息中入侵事件的名称、IP地址和时间等信息,统一格式并标识告警级别为紧急告警,生成紧急告警信息;
[0054]所述将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配之后,该方法还包括:确定匹配不成功,生成次要告警信息,并将次要告警信息发送至显示模块显示;
[0055]这里,所述生成次要告警信息包括:提取IDS告警信息中入侵事件的名称、IP地址和时间等信息,统一格式并标识告警级别为次要告警,生成次要告警信息;进一步的,可将次要告警信息和紧急告警信息及相应阻断策略发送至显示模块显示,以便安全维护人员对整个网络的安全告警信息进行集中查看和处理。
[0056]步骤102:根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵;
[0057]这里,所述根据所述紧急告警信息生成阻断策略由策略生成与执行模块完成,相应的,匹配模块将紧急告警信息发送至策略生成与执行模块;
[0058]所述根据所述紧急告警信息生成阻断策略包括:提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略;这里,所述策略序号为比当前所用策略序号小I的序号;所述阻断策略如rule 10 deny ip source 123.233.12.43 0,其中123.233.12.43为入侵源IP地址,10是防火墙所用策略序号;
[0059]所述短信的内容如:123.233.12.43于2013年4月15日17:04:43对120.209.131.42进行高风险攻击,是否下发阻断策略:rulelOdeny ip source123.233.12.43 0,如果是,请回复“Y”,不回复视为不下发;安全维护人员通过手机随时接收查看告警信息和相应的阻断策略,并通过短信快速确认下发阻断策略,实现了安全维护人员不在机房值班的情况下也可以处理安全紧急事件;
[0060]进一步的,可将所述紧急告警信息及相应阻断策略发送至显示模块进行显示,以便安全维护人员通过控制界面直接批量确认阻断策略,提高向防火墙发送阻断策略的效率;
[0061]进一步的,在将所述阻断策略发送至防火墙之前,可先将所述阻断策略和所述紧急告警信息一起以短信方式发送至维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙,并添加至本地策略表;
[0062]进一步的,防火墙可将收到的阻断策略添加到防火墙策略中,如:添加到现有访问控制列表(Access Control List, ACL)中;
[0063]所述将收到的阻断策略添加到防火墙策略中时,由于防火墙优先匹配靠前的策略,所以,所述阻断策略必须添加在现有ACL策略之前;
[0064]由于防火墙添加策略,会使防火墙策略变得冗长,因此,如果高风险入侵告警消失一段时间后(如一周),具体时间可由安全维护人员视具体情况而定,所述策略生成与执行模块会生成相应的删除指令,删除之前添加的阻断策略;
[0065]将所述阻断策略添加至防火墙策略及本地策略表后,策略生成与执行模块会记录防火墙已用策略的ACL编号,安全维护人员可根据此ACL编号定期与防火墙策略核对,以保证阻断策略添加成功。
[0066]图2为本发明实施例二阻断高风险网络入侵的方法流程示意图,如图2所示,本实施例阻断高风险网络入侵的方法流程包括:
[0067]步骤200:对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息。
[0068]步骤201:提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表;
[0069]这里,定期对保护的业务系统进行漏洞扫描和人工维护,以更新所述漏洞-攻击对应表中信息;
[0070]所述关键信息包括:CVE和IP地址等;
[0071]所述入侵事件链表中的入侵事件名称涵盖了不同厂家IDS设备对于入侵事件的命名,以保证可以兼容不同厂家的IDS设备。
[0072]步骤202:入侵检测模块检测网络入侵行为并生成告警信息,将所述告警信息发送至匹配模块;
[0073]这里,所述入侵检测模块可以为IDS设备;
[0074]所述入侵检测模块检测网络入侵行为并生成告警