32 ;
[0111]这里,所述漏洞扫描单元311可以是漏洞扫描器;所述入侵检测模块37可以为IDS,所述IDS部署在防火墙34的内侧,这样IDS检测到的网络入侵事件是穿过防火墙34的,所述入侵事件对保护的业务系统可能造成威胁;漏洞扫描单元311也部署在防火墙34的内侧,这样可以更全面的检查到业务系统的漏洞,因为如果漏洞扫描单元311部署在防火墙34的外侧,则可能因为防火墙的保护而探测不到业务系统的部分漏洞;
[0112]进一步的,所述策略生成与执行模块33,还用于将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙34,以及将所述阻断策略发送至防火墙34后,添加所述阻断策略至本地策略表;
[0113]相应的,所述匹配模块32,还用于存储本地策略表,以及确定匹配不成功时生成次要告警信息,并将次要告警信息发送至显示模块36显示;所述策略生成与执行模块,还用于将所述紧急告警信息及相应阻断策略发送至显示模块显示;
[0114]这里,所述匹配模块生成次要告警信息包括:匹配模块提取告警信息中入侵事件的名称、IP地址和时间等信息,统一格式并标识告警级别为次要告警,生成次要告警信息;
[0115]将次要告警信息和紧急告警信息及相应阻断策略发送至显示模块36显示,以便安全维护人员对整个网络的安全告警信息进行集中查看和处理。
[0116]在实际应用中,所述匹配模块32、策略生成与执行模块33及漏洞-攻击信息库35可位于同一台服务器上;所述匹配模块32和策略生成与执行模块33可由服务器中的中央处理器(CPU),或微处理器(MPU),或数字信号处理器(DSP),或可编程门阵列(FPGA)实现;所述显示模块36可以为显示器。
[0117]以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
【主权项】
1.一种阻断高风险网络入侵的方法,其特征在于,建立漏洞-攻击对应表,所述方法还包括: 将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息; 根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵。2.根据权利要求1所述方法,其特征在于,所述建立漏洞-攻击对应表包括:对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表。3.根据权利要求1所述方法,其特征在于,所述将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:提取告警信息中入侵事件的源网络协议IP地址和事件名称,并将同一源IP地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功。4.根据权利要求1所述方法,其特征在于,所述生成紧急告警信息包括:提取所述告警信息中入侵事件的名称、IP地址和时间信息,统一格式并标识告警级别为紧急告警,生成紧#告藥_自口目 I I=I Λ?!、ο5.根据权利要求1所述方法,其特征在于,所述根据所述紧急告警信息生成阻断策略包括:提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略; 所述生成防火墙的阻断策略之后,所述方法还包括:显示所述紧急告警信息及对应阻断策略。6.根据权利要求1所述方法,其特征在于,所述将所述阻断策略发送至防火墙之前,所述方法还包括:将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙。7.—种阻断高风险网络入侵的系统,其特征在于,所述系统包括:获取模块、匹配模块、策略生成与执行模块、漏洞-攻击信息库和防火墙;其中, 所述获取模块,用于建立漏洞-攻击对应表; 所述匹配模块,用于将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息,并将所述紧急告警信息发送至策略生成与执行模块; 所述策略生成与执行模块,用于根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙; 所述防火墙,用于根据所述阻断策略阻断入侵; 所述漏洞-攻击信息库,用于存储所述漏洞-攻击对应表。8.根据权利要求7所述系统,其特征在于,所述获取模块包括:漏洞扫描单元和生成单元;其中, 所述漏洞扫描单元,用于对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,并将所述漏洞信息发送至生成单元; 所述生成单元,用于提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表; 所述防火墙包括防火墙策略库,用于存储防火墙策略。9.根据权利要求7所述系统,其特征在于,所述系统还包括显示模块和入侵检测设模块;其中, 所述显示模块,用于显示紧急告警信息和次要告警信息; 相应的,所述匹配模块,还用于确定匹配不成功时生成次要告警信息,并将次要告警信息发送至显示模块显示;所述策略生成与执行模块,还用于将所述紧急告警信息及相应阻断策略发送至显示模块显示; 所述入侵检测模块,用于检测网络入侵行为,并生成告警信息发送至匹配模块。10.根据权利要求7所述系统,其特征在于,所述匹配模块将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:匹配模块提取告警信息中入侵事件的源IP地址和事件名称,并将同一源IP地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功。11.根据权利要求7所述系统,其特征在于,所述策略生成与执行模块,还用于将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙,以及将所述阻断策略发送至防火墙后,添加所述阻断策略至本地策略表。12.根据权利要求7所述系统,其特征在于,所述匹配模块生成紧急告警信息包括:匹配模块提取所述告警信息中入侵事件的名称、IP地址和时间信息,统一格式并标识告警级别为紧急告警,生成紧急告警信息。13.根据权利要求7所述系统,其特征在于,所述策略生成与执行模块根据所述紧急告警信息生成阻断策略包括:策略生成与执行模块提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略。
【专利摘要】本发明公开了一种阻断高风险网络入侵的方法,包括:建立漏洞-攻击对应表,将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息,根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵。本发明还同时公开了一种阻断高风险网络入侵的方法的系统。
【IPC分类】H04L12/24, G06F17/30, H04L29/06
【公开号】CN104954335
【申请号】CN201410123813
【发明人】夏登俊, 盛鸿彬, 陈曾胜, 韩露, 荣勇
【申请人】中国移动通信集团安徽有限公司
【公开日】2015年9月30日
【申请日】2014年3月27日