CN104038488A - 系统网络安全的防护方法及装置 - Google Patents
系统网络安全的防护方法及装置 Download PDFInfo
- Publication number
- CN104038488A CN104038488A CN201410248196.6A CN201410248196A CN104038488A CN 104038488 A CN104038488 A CN 104038488A CN 201410248196 A CN201410248196 A CN 201410248196A CN 104038488 A CN104038488 A CN 104038488A
- Authority
- CN
- China
- Prior art keywords
- prevention policies
- leak
- prestores
- policies
- current prevention
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种系统网络安全的防护方法,包括以下步骤:获取扫描规则及漏洞特征;根据扫描规则进行漏洞扫描,及根据漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;当检测到系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;根据当前防护策略对所述系统进行防护。本发明还公开了一种系统网络安全的防护装置,本发明能够实现将网络漏洞的发现及防护操作结为一体,提高系统的性能,防护效果更好。
Description
技术领域
本发明涉及计算机信息技术领域,尤其涉及一种系统网络安全的防护方法及装置。
背景技术
计算机系统在硬件、软件及协议层的设计总会存在缺陷和不足,这些缺陷和不足称为漏洞,漏洞的存在可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等。
现有的维护网络安全的方法主要有以下两种:一种为安全威胁发现类型,如AppScan扫描工具,通过探测当前网络及节点相关信息,分析网络安全风险状况,并能够给出一些消除风险的参考建议;另一种为安全威胁防护类型,基于漏洞规则库、协议识别库等添加防护策略,对已知的通用性漏洞进行防护。
上述两种维护网络安全的方法存在以下问题:1.单纯的安全威胁发现类型无法实现漏洞的防护,扫描出来的漏洞一般需要网络管理员根据系统自身的特性进行分析是否存在相关问题,并通过修改自身系统缺陷或购买其他漏洞防护解决方案来达到漏洞防护的目的,其功能单一,不能满足需要。2.单纯的安全威胁防护类型只能对通用漏洞进行防护,无法针对新出现的漏洞进行适合有效的漏洞防护,如:通用漏洞包括A、B、C,漏洞防护类型对A、B、C都配置了策略进行防护,但系统可能只存在漏洞B,漏洞A、C在本系统中已经被修复过,这样进行A、C的策略防护就会显得多余,如果此类通用漏洞很多,将会大大影响系统数据处理的速度,系统性能降低。另外,安全威胁防护类型需要人为添加相应的漏洞防护策略,若管理员知识水平或安全意识不足时,容易引发网络安全问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种系统网络安全的防护方法及装置,旨在实现将网络漏洞的发现及防护操作结为一体,提高系统的性能,防护效果更好。
为实现上述目的,本发明提供的一种系统网络安全的防护方法,包括以下步骤:
获取扫描规则及漏洞特征;
根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;
当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;
根据所述当前防护策略对所述系统进行防护。
优选地,所述根据当前防护策略对所述系统进行防护的步骤之前包括:
更新所述当前防护策略。
优选地,所述更新所述当前防护策略的步骤包括:
通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。
优选地,所述当发现系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略的步骤包括:
根据检测到的漏洞获取对应的预存防护策略;
对所述对应的预存防护策略的使用状态进行修改;
根据修改后的预存防护策略生成所述当前防护策略。
本发明还提供一种系统网络安全的防护装置,包括:
获取模块,用于获取扫描规则及漏洞特征;
检测模块,用于根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;
生成模块,用于当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;
防护模块,用于根据所述当前防护策略对所述系统进行防护。
优选地,所述防护装置还包括更新模块,用于更新所述当前防护策略。
优选地,所述更新模块具体用于通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。
优选地,所述生成模块包括:
获取单元,用于根据检测到的漏洞获取对应的预存防护策略;
修改单元,用于对所述对应的预存防护策略的使用状态进行修改;
生成单元,用于根据修改后的预存防护策略生成所述当前防护策略。
本发明一种系统网络安全的防护方法及装置,根据扫描规则主动进行漏洞扫描,并根据漏洞特征实时分析系统中的网络流量,当发现系统中存在漏洞时,可以根据该漏洞及对应的预存防护策略生成新的防护策略,并使用新的防护策略进行防护,相比于现有技术的安全威胁发现类型的方法,本实施例不需要管理员进行操作,也不需要增加新的防护方案来进行防护;相比于现有技术中的安全威胁防护类型的方法,本实施例使用新的防护策略进行防护,实现将网络漏洞的发现及防护操作结为一体,简化了防护的流程,保证网络安全并提高系统性能,防护效果更好。
附图说明
图1为本发明系统网络安全的防护方法一实施例的流程示意图;
图2为图1中根据检测到的漏洞及预存防护策略生成当前防护策略的步骤的细化流程示意图;
图3为本发明系统网络安全的防护装置一实施例的结构示意图;
图4为图3中生成模块的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种系统网络安全的防护方法,参照图1,在一实施例中,该方法包括:
步骤S101,获取扫描规则及漏洞特征;
步骤S102,根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;
其中,当系统获取扫描规则及漏洞特征后,本实施例根据扫描规则主动对系统的服务器及应用等进行漏洞扫描,并根据漏洞特征实时分析系统中各应用及访问服务器的网络流量,以检测系统是否存在漏洞。
扫描规则为系统中已发现的漏洞及外部网络上已有的漏洞的扫描规则,可通过网络管理员的配置进行扫描相关服务器及应用等,以检测系统是否存在漏洞。漏洞特征为系统中已发现的漏洞及外部网络上已有的漏洞的特征,系统可以提取这些漏洞的特征作为防护之用。本实施例中,可以将扫描规则及漏洞特征收集并各自保存于一数据库中。
步骤S103,当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;
本实施例中,当扫描发现漏洞或者分析系统中的网络流量发现漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略。预存的防护策略可从外部网络中获取,并可存储于一数据库中。
例如,某一预存防护策略对应漏洞A、B及C进行防护,漏洞B及C在本系统中已经被修复,系统当前只存在漏洞A,则本实施例可根据对应于漏洞A、B及C的预存防护策略以及漏洞A生成当前防护策略,即该当前防护策略只对系统存在的漏洞A进行防护,对漏洞B和C则不进行防护,如此,对应于漏洞A、B及C的预存防护策略变为只对应漏洞A的当前防护策略,这样就能够简化防护策略,对当前存在的漏洞进行最优化的处理,提高系统的性能。
步骤S104,根据所述当前防护策略对所述系统进行防护。
例如,本实施例可通过漏洞扫描发现操作系统为Windows,WEB服务器为互联网信息服务(Internet Information Services,IIS),IIS是由微软公司提供的基于运行Microsoft Windows的互联网基本服务,WEB应用脚本语言为ASP.NET,根据这些信息,系统可以剔除掉Linux/Nginx/PHP等的规则,生成更加高效的、低误判的当前防护策略,并对系统进行防护。
与现有技术相比,本实施例根据扫描规则主动进行漏洞扫描,并根据漏洞特征实时分析系统中的网络流量,当发现系统中存在漏洞时,可以根据该漏洞及对应的预存防护策略生成新的防护策略,并使用新的防护策略进行防护,相比于现有技术的安全威胁发现类型的方法,本实施例不需要管理员进行操作,也不需要增加新的防护方案来进行防护;相比于现有技术中的安全威胁防护类型的方法,本实施例使用新的防护策略进行防护,实现将网络漏洞的发现及防护操作结为一体,简化了防护的流程,保证网络安全并提高系统性能,防护效果更好。
在一优选实施例中,在上述实施例的基础上,本实施例在根据所述当前防护策略对系统进行防护的步骤之前还包括以下步骤:更新当前防护策略。其中,本实施例具体可通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据获取的新的扫描规则、漏洞特征及防护策略更新当前防护策略。
在一优选实施例中,如图2所示,上述步骤S103包括:
步骤S1031,根据检测到的漏洞获取对应的预存防护策略;
步骤S1032,对所述对应的预存防护策略的使用状态进行修改;
步骤S1033,根据修改后的预存防护策略生成所述当前防护策略。
本实施例中,当检测到系统存在漏洞时,根据检测到的漏洞获取对应的预存防护策略,对该预存防护策略的使用状态进行修改,如删除、禁用或增加等,对系统不存在的漏洞不进行防护,得到适合有效的防护策略,剔除掉无用的防护策略能够提升系统的性能。
如图3所示,本发明提供一种系统网络安全的防护装置,包括:
获取模块101,用于获取扫描规则及漏洞特征;
检测模块102,用于根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;
其中,当系统获取扫描规则及漏洞特征后,本实施例的检测模块102根据扫描规则主动对系统的服务器及应用等进行漏洞扫描,并根据漏洞特征实时分析系统中各应用及访问服务器的网络流量,以检测系统是否存在漏洞。
扫描规则为系统中已发现的漏洞及外部网络上已有的漏洞的扫描规则,可通过网络管理员的配置进行扫描相关服务器及应用等,检测系统是否存在漏洞。漏洞特征为系统中已发现的漏洞及外部网络上已有的漏洞的特征,系统可以提取这些漏洞的特征作为防护之用。本实施例中,可以将扫描规则及漏洞特征收集并各自保存于一数据库中。
生成模块103,用于当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;
本实施例中,当扫描发现漏洞或者分析系统中的网络流量发现漏洞时,生成模块103根据检测到的漏洞及预存防护策略生成当前防护策略。预存的防护策略可从外部网络中获取,并可存储于一数据库中。
例如,某一预存防护策略对应漏洞A、B及C进行防护,漏洞B及C在本系统中已经被修复,系统当前只存在漏洞A,则本实施例可根据对应于漏洞A、B及C的预存防护策略以及漏洞A生成当前防护策略,即该当前防护策略只对系统存在的漏洞A进行防护,对漏洞B和C则不进行防护,如此,对应于漏洞A、B及C的预存防护策略变为只对应漏洞A的当前防护策略,这样就能够简化防护策略,对当前存在的漏洞进行最优化的处理,提高系统的性能。
防护模块104,用于根据所述当前防护策略对所述系统进行防护。
例如,本实施例可通过漏洞扫描发现操作系统为Windows,WEB服务器为IIS,WEB应用脚本语言为ASP.NET,根据这些信息,系统可以剔除掉Linux/Nginx/PHP等的规则,生成更加高效的、低误判的当前防护策略,并对系统进行防护。
在一优选实施例中,在上述实施例的基础上,本实施例还包括更新模块,用于更新当前防护策略。其中,本实施例的更新模块具体可通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据获取的新的扫描规则、漏洞特征及防护策略更新当前防护策略。
在一优选实施例中,如图4所示,上述生成模块103包括:
获取单元1031,用于根据检测到的漏洞获取对应的预存防护策略;
修改单元1032,用于对所述对应的预存防护策略的使用状态进行修改;
生成单元1033,用于根据修改后的预存防护策略生成所述当前防护策略。
其中,当检测到系统存在漏洞时,获取单元1031根据检测到的漏洞获取对应的预存防护策略,修改单元1032对该预存防护策略的使用状态进行修改,如删除、禁用或增加等,对系统不存在的漏洞不进行防护,得到适合有效的防护策略,剔除掉无用的防护策略能够提升系统的性能。
通过上面的描述可以看出,本发明一种系统网络安全的防护方法及装置,根据扫描规则主动进行漏洞扫描,并根据漏洞特征实时分析系统中的网络流量,当发现系统中存在漏洞时,可以根据该漏洞及对应的预存防护策略生成新的防护策略,并使用该新的防护策略进行防护,相比于现有技术的安全威胁发现类型的方法,本实施例不需要管理员进行操作,也不需要增加新的防护方案来进行防护,降低了维护成本;相比于现有技术中的安全威胁防护类型的方法,本实施例使用新的防护策略进行防护,实现将网络漏洞的发现及防护操作结为一体,简化了防护的流程,保证网络安全并提高系统性能,防护效果更好。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种系统网络安全的防护方法,其特征在于,包括以下步骤:
获取扫描规则及漏洞特征;
根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;
当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;
根据所述当前防护策略对所述系统进行防护。
2.如权利要求1所述的防护方法,其特征在于,所述根据当前防护策略对所述系统进行防护的步骤之前包括:
更新所述当前防护策略。
3.如权利要求2所述的防护方法,其特征在于,所述更新所述当前防护策略的步骤包括:
通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。
4.如权利要求1所述的防护方法,其特征在于,所述当发现系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略的步骤包括:
根据检测到的漏洞获取对应的预存防护策略;
对所述对应的预存防护策略的使用状态进行修改;
根据修改后的预存防护策略生成所述当前防护策略。
5.一种系统网络安全的防护装置,其特征在于,包括:
获取模块,用于获取扫描规则及漏洞特征;
检测模块,用于根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;
生成模块,用于当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;
防护模块,用于根据所述当前防护策略对所述系统进行防护。
6.如权利要求5所述的防护装置,其特征在于,所述防护装置还包括更新模块,用于更新所述当前防护策略。
7.如权利要求6所述的防护装置,其特征在于,所述更新模块具体用于通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。
8.如权利要求5所述的防护装置,其特征在于,所述生成模块包括:
获取单元,用于根据检测到的漏洞获取对应的预存防护策略;
修改单元,用于对所述对应的预存防护策略的使用状态进行修改;
生成单元,用于根据修改后的预存防护策略生成所述当前防护策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410248196.6A CN104038488A (zh) | 2014-06-05 | 2014-06-05 | 系统网络安全的防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410248196.6A CN104038488A (zh) | 2014-06-05 | 2014-06-05 | 系统网络安全的防护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104038488A true CN104038488A (zh) | 2014-09-10 |
Family
ID=51469077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410248196.6A Pending CN104038488A (zh) | 2014-06-05 | 2014-06-05 | 系统网络安全的防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104038488A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468563A (zh) * | 2014-12-03 | 2015-03-25 | 北京奇虎科技有限公司 | 网站漏洞防护方法、装置及系统 |
| CN105791273A (zh) * | 2016-02-24 | 2016-07-20 | 上海携程商务有限公司 | web漏洞扫描系统 |
| CN106209851A (zh) * | 2016-07-13 | 2016-12-07 | 安庆师范大学 | 一种计算机信息网络的安全保护系统及方法 |
| CN107493256A (zh) * | 2016-06-13 | 2017-12-19 | 深圳市深信服电子科技有限公司 | 安全事件防御方法及装置 |
| CN109218336A (zh) * | 2018-11-16 | 2019-01-15 | 北京知道创宇信息技术有限公司 | 漏洞防御方法及系统 |
| CN111565202A (zh) * | 2020-07-15 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 一种内网漏洞攻击防御方法及相关装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988439A (zh) * | 2006-12-08 | 2007-06-27 | 亿阳安全技术有限公司 | 实现网络安全的装置及方法 |
| CN102215222A (zh) * | 2011-05-09 | 2011-10-12 | 北京艾普优计算机系统有限公司 | 网站防护方法和装置 |
-
2014
- 2014-06-05 CN CN201410248196.6A patent/CN104038488A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988439A (zh) * | 2006-12-08 | 2007-06-27 | 亿阳安全技术有限公司 | 实现网络安全的装置及方法 |
| CN102215222A (zh) * | 2011-05-09 | 2011-10-12 | 北京艾普优计算机系统有限公司 | 网站防护方法和装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468563A (zh) * | 2014-12-03 | 2015-03-25 | 北京奇虎科技有限公司 | 网站漏洞防护方法、装置及系统 |
| CN105791273A (zh) * | 2016-02-24 | 2016-07-20 | 上海携程商务有限公司 | web漏洞扫描系统 |
| CN107493256A (zh) * | 2016-06-13 | 2017-12-19 | 深圳市深信服电子科技有限公司 | 安全事件防御方法及装置 |
| CN107493256B (zh) * | 2016-06-13 | 2020-11-20 | 深信服科技股份有限公司 | 安全事件防御方法及装置 |
| CN106209851A (zh) * | 2016-07-13 | 2016-12-07 | 安庆师范大学 | 一种计算机信息网络的安全保护系统及方法 |
| CN109218336A (zh) * | 2018-11-16 | 2019-01-15 | 北京知道创宇信息技术有限公司 | 漏洞防御方法及系统 |
| CN111565202A (zh) * | 2020-07-15 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 一种内网漏洞攻击防御方法及相关装置 |
| CN111565202B (zh) * | 2020-07-15 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 一种内网漏洞攻击防御方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10708292B2 (en) | Vulnerability contextualization | |
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN104038488A (zh) | 系统网络安全的防护方法及装置 | |
| CN104462970B (zh) | 一种基于进程通信的Android应用程序权限滥用检测方法 | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| KR101143999B1 (ko) | Api 기반 어플리케이션 분석 장치 및 방법 | |
| CN112685682B (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| US20140215614A1 (en) | System and method for a security assessment of an application uploaded to an appstore | |
| CN104834858A (zh) | 一种android应用中恶意代码的静态检测方法 | |
| CN109918285B (zh) | 一种开源软件的安全识别方法及装置 | |
| CN103428186A (zh) | 一种检测钓鱼网站的方法及装置 | |
| CN107733706A (zh) | 一种无代理的违规外联监测方法和系统 | |
| CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| CN107634931A (zh) | 异常数据的处理方法、云端服务器、网关及终端 | |
| US20220294810A1 (en) | Asset Remediation Trend Map Generation and Utilization for Threat Mitigation | |
| US20170111376A1 (en) | Probabilistically detecting low-intensity, multi-modal threats using synthetic events | |
| WO2009059206A1 (en) | Executable download tracking system | |
| CN110704816B (zh) | 接口破解的识别方法、装置、设备及存储介质 | |
| CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
| KR20210063049A (ko) | 산업 제어 시스템을 위한 위험도 산출 방법 및 이를 위한 장치 | |
| CN114422255A (zh) | 一种云安全模拟检测系统及检测方法 | |
| KR101768079B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
| CN111447167A (zh) | 车载系统安全防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140910 |
|
| RJ01 | Rejection of invention patent application after publication |