CN102624717B - 基于漏洞扫描的安全策略自动生成的方法及装置 - Google Patents

基于漏洞扫描的安全策略自动生成的方法及装置 Download PDF

Info

Publication number
CN102624717B
CN102624717B CN201210052733.0A CN201210052733A CN102624717B CN 102624717 B CN102624717 B CN 102624717B CN 201210052733 A CN201210052733 A CN 201210052733A CN 102624717 B CN102624717 B CN 102624717B
Authority
CN
China
Prior art keywords
security strategy
strategy
vulnerability scanning
scanning
protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210052733.0A
Other languages
English (en)
Other versions
CN102624717A (zh
Inventor
刘余
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Network Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Network Technology Shenzhen Co Ltd filed Critical Sangfor Network Technology Shenzhen Co Ltd
Priority to CN201210052733.0A priority Critical patent/CN102624717B/zh
Publication of CN102624717A publication Critical patent/CN102624717A/zh
Application granted granted Critical
Publication of CN102624717B publication Critical patent/CN102624717B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明揭示了一种基于漏洞扫描的安全策略自动生成的方法及装置。该方法可包括步骤:根据已配置的参数进行漏洞扫描;根据扫描的漏洞配置安全策略;根据防护指令启动防护。本发明不再是由用户手动添加各安全策略来进行防护,仅需通过漏洞扫描来自动发现并生成安全策略,有效的减少了管理员的负担和手动添加策略带来的误操作。

Description

基于漏洞扫描的安全策略自动生成的方法及装置
技术领域
本发明涉及到漏洞扫描以及安全策略生成技术,特别涉及到一种基于漏洞扫描的安全策略自动生成的方法及装置。
背景技术
目前许多防火墙产品虽然都包含漏洞扫描以及安全防护功能,但两个功能都是相互独立的:单纯进行漏洞扫描或者只允许手动添加安全策略,例如手动添加IPS(IntrusionPreventionSystem,入侵防御系统)策略等来进行安全防护。
上述技术的缺点表现如下:1、单纯的漏洞扫描,无法做到自动封堵漏洞而达到实时防护的目的;2、仅手动配置安全策略,容易造成误操作,例如屏蔽了不该屏蔽的端口。因此,现有技术的防火墙中,设置相互独立的两个功能模块,使得防火墙整体不够智能化,无法做到“一键防护”的效果。
发明内容
本发明的主要目的为提供一种基于漏洞扫描的安全策略自动生成的方法,提升了安全策略添加的效率。
本发明提出一种基于漏洞扫描的安全策略自动生成的方法,包括步骤:
根据已配置的参数进行漏洞扫描;
根据扫描的漏洞配置安全策略;
根据防护指令启动防护。
优选地,所述安全策略包括:
IPS、WAF和/或应用控制。
优选地,所述根据扫描的漏洞配置安全策略的步骤之后还包括:
配置安全策略完成后,生成相应级别的风险记录。
优选地,所述根据防护指令启动防护的步骤具体包括:
根据防护指令,将生成的风险记录添加至安全策略库。
本发明还提出一种基于漏洞扫描的安全策略自动生成的装置,包括:
漏洞扫描单元,用于根据已配置的参数进行漏洞扫描;
策略配置单元,用于根据扫描的漏洞配置安全策略;
防护启动单元,用于根据防护指令启动防护。
优选地,所述安全策略包括:
IPS、WAF和/或应用控制。
优选地,所述装置还包括:
记录生成单元,用于配置安全策略完成后,生成相应级别的风险记录。
优选地,所述防护启动单元具体用于:
根据防护指令,将生成的风险记录添加至安全策略库。
本发明不再是由用户手动添加各安全策略来进行防护,仅需通过漏洞扫描来自动发现并生成安全策略,有效的减少了管理员的负担和手动添加策略带来的误操作。
附图说明
图1是本发明基于漏洞扫描的安全策略自动生成的方法一实施例中步骤流程示意图;
图2是本发明基于漏洞扫描的安全策略自动生成的装置一实施例中结构示意图;
图3是本发明基于漏洞扫描的安全策略自动生成的装置另一实施例中结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,提出本发明一种基于漏洞扫描的安全策略自动生成的方法一实施例。该方法可包括:
步骤S10、根据已配置的参数进行漏洞扫描;
步骤S11、根据扫描的漏洞配置安全策略;
步骤S12、根据防护指令启动防护。
本实施例中,通过漏洞扫描来自动添加安全策略的过程具体可为:首先,由管理人员配置好参数,进行漏洞扫描,该漏洞扫描可为扫描目标主机端口的应用及漏洞。再根据漏洞扫描的结果匹配各种安全策略,该安全策略可包括但不限于IPS、WAF(WebApplicationFirewall,WEB应用防火墙)、应用控制策略等。
上述匹配可具体为:首先,保存漏洞扫描结果,比如IP、端口以及应用类型等;读取应用控制配置文件,并加载各种安全策略;然后,从第一条安全策略开始,对每条安全策略进行如下操作:如果该条安全策略保护的服务器IP是漏洞扫描的IP,且该条安全策略防护的端口也是扫描出的端口,则表示匹配上该条安全策略。再看该条安全策略允许的动作,如果动作是“拒绝”,则表明用户已经防护了IP和端口,目标服务器是安全的,停止后续匹配;如果动作是“放行”,继续后续安全策略的匹配,当匹配完各种安全策略后,仍没有安全策略是用来阻断到达该服务器IP和端口的数据包,表明该服务器有漏洞,同时生成一条风险记录,该条风险记录也就是漏洞扫描出的结果。生成的风险记录可由管理员点击防护,便可自动将该条风险记录添加进安全策略库,启动防护。此时,漏洞已被防护,保障了服务器安全。
以下以HTTP服务器为例,阐述漏洞扫描以及安全策略自动生成的处理过程:
1、通过管理员配置好参数,例如目标服务器地址设为:67.220.59.43,扫描端口设为:8080等;
2、管理员点击开始扫描,启动扫描程序。
3、扫描程序识别出8080端口的服务名称,比如MicrosoFTIIS4.0等。
4、匹配漏洞特征库以及现有的IPS策略,生成一条新的IPS策略,用于防护IIS(InternetInformationServices,互联网信息服务)Web风险。
新生成的安全策略可有效的防御该端口上的风险,例如弱密码风险、SQL(StructuredQueryLanguage,结构化查询语言)注入风险以及存在IIS漏洞等,管理员发现有级别较高的风险后,通过一键防护,即可生效新生成的安全策略,从而有效的保护了服务器安全。
上述基于漏洞扫描的安全策略自动生成的方法,针对传统漏洞扫描以及手动添加安全策略的不足,实现了一种将漏洞扫描与添加安全策略相结合的技术,即通过漏洞扫描,自动生成安全策略。如此可将漏洞扫描与生成并添加安全策略智能结合,改变了手动配置各种安全策略的复杂性和错误率,有效的保证了内网服务器的安全性。
应用上述基于漏洞扫描的安全策略自动生成的方法的防火墙,与传统的防火墙相比,不再是由用户手动添加各安全策略来进行防护,仅需通过漏洞扫描来自动发现并生成安全策略,有效的减少了管理员的负担和手动添加策略带来的误操作;将漏洞扫描与添加安全策略智能结合,能够实时发现安全漏洞并更新安全策略库,提升防火墙的安全性能。
参照图2,提出本发明一种基于漏洞扫描的安全策略自动生成的装置20一实施例。该装置20可包括:漏洞扫描单元21、策略配置单元22以及防护启动单元23;该漏洞扫描单元21,用于根据已配置的参数进行漏洞扫描;该策略配置单元22,用于根据扫描的漏洞配置安全策略;该防护启动单元23,用于根据防护指令启动防护。
参照图3,在本发明另一实施例中,上述装置20还包括:记录生成单元24,用于配置安全策略完成后,生成相应级别的风险记录。上述防护启动单元23具体用于:根据防护指令,将生成的风险记录添加至安全策略库。
本实施例中,通过漏洞扫描来自动添加安全策略的过程具体可为:首先,由管理人员配置好参数,进行漏洞扫描,该漏洞扫描可为扫描目标主机端口的应用及漏洞。再根据漏洞扫描的结果匹配各种安全策略,具体匹配过程在上面已阐述。该安全策略可包括但不限于IPS、WAF(WebApplicationFirewall,WEB应用防火墙)、应用控制策略等。
上述匹配可具体为:首先,保存漏洞扫描结果,比如IP、端口以及应用类型等;读取应用控制配置文件,并加载各种安全策略;然后,从第一条安全策略开始,对每条安全策略进行如下操作:如果该条安全策略保护的服务器IP是漏洞扫描的IP,且该条安全策略防护的端口也是扫描出的端口,则表示匹配上该条安全策略。再看该条安全策略允许的动作,如果动作是“拒绝”,则表明用户已经防护了IP和端口,目标服务器是安全的,停止后续匹配;如果动作是“放行”,继续后续安全策略的匹配,当匹配完各种安全策略后,仍没有安全策略是用来阻断到达该服务器IP和端口的数据包,表明该服务器有漏洞,同时生成一条风险记录,该条风险记录也就是漏洞扫描出的结果。生成的风险记录可由管理员点击防护,便可自动将该条风险记录添加进安全策略库,启动防护。此时,漏洞已被防护,保障了服务器安全。
以下以HTTP服务器为例,阐述漏洞扫描以及安全策略自动生成的处理过程:
1、通过管理员配置好参数,例如目标服务器地址设为:67.220.59.43,扫描端口设为:8080等;
2、管理员点击开始扫描,启动扫描程序。
3、扫描程序识别出8080端口的服务名称,比如MicrosoftIIS4.0等。
4、匹配漏洞特征库以及现有的IPS策略,生成一条新的IPS策略,用于防护IIS(InternetInformationServices,互联网信息服务)Web风险。
新生成的安全策略可有效的防御该端口上的风险,例如弱密码风险、SQL(StructuredQueryLanguage,结构化查询语言)注入风险以及存在IIS漏洞等,管理员发现有级别较高的风险后,通过一键防护,即可生效新生成的安全策略,从而有效的保护了服务器安全。
上述基于漏洞扫描的安全策略自动生成的装置20,针对传统漏洞扫描以及手动添加安全策略的不足,实现了一种将漏洞扫描与添加安全策略相结合的技术,即通过漏洞扫描,自动生成安全策略。如此可将漏洞扫描与生成并添加安全策略智能结合,改变了手动配置各种安全策略的复杂性和错误率,有效的保证了内网服务器的安全性。
应用上述基于漏洞扫描的安全策略自动生成的装置20的防火墙,与传统的防火墙相比,不再是由用户手动添加各安全策略来进行防护,仅需通过漏洞扫描来自动发现并生成安全策略,有效的减少了管理员的负担和手动添加策略带来的误操作;将漏洞扫描与添加安全策略智能结合,能够实时发现安全漏洞并更新安全策略库,提升防火墙的安全性能。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (4)

1.一种基于漏洞扫描的安全策略自动生成的方法,其特征在于,包括步骤:
根据已配置的参数进行漏洞扫描;
根据扫描的漏洞配置安全策略;
根据防护指令启动防护;
所述根据扫描的漏洞配置安全策略的步骤包括:匹配漏洞特征库以及现有的IPS策略,生成新的IPS策略;
所述根据扫描的漏洞配置安全策略的步骤之后还包括:
配置安全策略完成后,若仍没有安全策略是用来阻断到达服务器IP和端口的数据包,则生成相应级别的风险记录;
所述根据防护指令启动防护的步骤具体包括:
根据防护指令,将生成的风险记录添加至安全策略库。
2.根据权利要求1所述的基于漏洞扫描的安全策略自动生成的方法,其特征在于,所述安全策略包括:
IPS、WAF和/或应用控制。
3.一种基于漏洞扫描的安全策略自动生成的装置,其特征在于,包括:
漏洞扫描单元,用于根据已配置的参数进行漏洞扫描;
策略配置单元,用于根据扫描的漏洞配置安全策略;
防护启动单元,用于根据防护指令启动防护;
所述策略配置单元具体用于:匹配漏洞特征库以及现有的IPS策略,生成新的IPS策略;
记录生成单元,用于配置安全策略完成后,若仍没有安全策略是用来阻断到达服务器IP和端口的数据包,则生成相应级别的风险记录;
所述防护启动单元具体用于:
根据防护指令,将生成的风险记录添加至安全策略库。
4.根据权利要求3所述的基于漏洞扫描的安全策略自动生成的装置,其特征在于,所述安全策略包括:
IPS、WAF和/或应用控制。
CN201210052733.0A 2012-03-02 2012-03-02 基于漏洞扫描的安全策略自动生成的方法及装置 Active CN102624717B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210052733.0A CN102624717B (zh) 2012-03-02 2012-03-02 基于漏洞扫描的安全策略自动生成的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210052733.0A CN102624717B (zh) 2012-03-02 2012-03-02 基于漏洞扫描的安全策略自动生成的方法及装置

Publications (2)

Publication Number Publication Date
CN102624717A CN102624717A (zh) 2012-08-01
CN102624717B true CN102624717B (zh) 2015-11-18

Family

ID=46564402

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210052733.0A Active CN102624717B (zh) 2012-03-02 2012-03-02 基于漏洞扫描的安全策略自动生成的方法及装置

Country Status (1)

Country Link
CN (1) CN102624717B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105227338B (zh) * 2014-06-25 2018-07-17 北京奇安信科技有限公司 网站系统信息的识别方法和装置
CN105208035B (zh) * 2015-10-09 2018-08-14 上海瀚银信息技术有限公司 一种访问操作屏蔽方法及系统以及服务器设备
US20170126727A1 (en) * 2015-11-03 2017-05-04 Juniper Networks, Inc. Integrated security system having threat visualization
CN107277070A (zh) * 2017-08-15 2017-10-20 山东华诺网络科技有限公司 一种计算机网络入侵防御系统及入侵防御方法
CN108363926A (zh) * 2017-10-19 2018-08-03 北京安天网络安全技术有限公司 一种漏洞防御方法及系统
CN108183887B (zh) * 2017-12-12 2020-12-29 杭州安恒信息技术股份有限公司 一种基于自主授权的云端漏洞扫描策略配置方法及装置
CN109818984A (zh) * 2019-04-10 2019-05-28 吉林亿联银行股份有限公司 漏洞的防御方法及装置
CN112702300B (zh) * 2019-10-22 2023-03-28 华为技术有限公司 一种安全漏洞的防御方法和设备
CN111859401A (zh) * 2020-07-30 2020-10-30 杭州安恒信息技术股份有限公司 一种漏洞数据分析方法、系统及相关装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1604541A (zh) * 2004-11-01 2005-04-06 沈明峰 基于安全策略的网络安全管理系统和方法
CN1710906A (zh) * 2005-07-08 2005-12-21 清华大学 P2p蠕虫防御系统
CN101635730A (zh) * 2009-08-28 2010-01-27 深圳市永达电子股份有限公司 中小企业内网信息安全托管方法与系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100499451C (zh) * 2003-08-26 2009-06-10 中兴通讯股份有限公司 网络通信安全处理器及其数据处理方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1604541A (zh) * 2004-11-01 2005-04-06 沈明峰 基于安全策略的网络安全管理系统和方法
CN1710906A (zh) * 2005-07-08 2005-12-21 清华大学 P2p蠕虫防御系统
CN101635730A (zh) * 2009-08-28 2010-01-27 深圳市永达电子股份有限公司 中小企业内网信息安全托管方法与系统

Also Published As

Publication number Publication date
CN102624717A (zh) 2012-08-01

Similar Documents

Publication Publication Date Title
CN102624717B (zh) 基于漏洞扫描的安全策略自动生成的方法及装置
US20210209563A1 (en) Communication systems for multi-source robot control
US9769167B2 (en) Authentication and authorization using device-based validation
EP2550601B1 (en) Executable code validation in a web browser
CN105027493B (zh) 安全移动应用连接总线
US10212130B1 (en) Browser extension firewall
US9306953B2 (en) System and method for secure unidirectional transfer of commands to control equipment
CN107872456A (zh) 网络入侵防御方法、装置、系统及计算机可读存储介质
US10410007B2 (en) Selection of robot operation mode from determined compliance with a security criteria
CN102801717B (zh) 登录验证方法及系统
CN113783871B (zh) 一种采用零信任架构的微隔离防护系统及其防护方法
Riquet et al. Large-scale coordinated attacks: Impact on the cloud security
CN114598540A (zh) 访问控制系统、方法、装置及存储介质
Scott Sr et al. Rise of the machines: The dyn attack was just a practice run december 2016
CN106789981A (zh) 基于waf的流量控制方法、装置及系统
Susukailo et al. Analysis of the attack vectors used by threat actors during the pandemic
CN114257413A (zh) 基于应用容器引擎的反制阻断方法、装置和计算机设备
Thiyagarajan et al. Anti-phishing technique using automated challenge response method
Barabanov et al. The study into cross-site request forgery attacks within the framework of analysis of software vulnerabilities
CN110492994B (zh) 一种可信网络接入方法和系统
Garba The anatomy of a cyber attack: dissecting the cyber kill chain (ckc)
Deng Linux network security technology
WO2008086224A2 (en) Systems and methods for detecting and blocking malicious content in instant messages
Omeiza et al. Web security investigation through penetration tests: A case study of an educational institution portal
Roh et al. Real-time Network Intrusion Detection System with Supporting Cyber Security Regulations for Nuclear Power Plants

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20200616

Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer

Patentee after: SANGFOR TECHNOLOGIES Inc.

Address before: 518000 Nanshan Science and Technology Pioneering service center, No. 1 Qilin Road, Guangdong, Shenzhen 418, 419,

Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd.