CN104954335A - 一种阻断高风险网络入侵的方法及系统 - Google Patents
一种阻断高风险网络入侵的方法及系统 Download PDFInfo
- Publication number
- CN104954335A CN104954335A CN201410123813.XA CN201410123813A CN104954335A CN 104954335 A CN104954335 A CN 104954335A CN 201410123813 A CN201410123813 A CN 201410123813A CN 104954335 A CN104954335 A CN 104954335A
- Authority
- CN
- China
- Prior art keywords
- information
- strategy
- leak
- emergency alert
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种阻断高风险网络入侵的方法,包括:建立漏洞-攻击对应表,将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息,根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵。本发明还同时公开了一种阻断高风险网络入侵的方法的系统。
Description
技术领域
本发明涉及网络与信息安全领域中的网络入侵阻断技术,尤其涉及一种阻断高风险网络入侵的方法及系统。
背景技术
现有的安全防护系统包括漏洞扫描器、入侵检测系统(Intrusion DetectionSystems,IDS)和防火墙,这三部分各司其职,孤立工作。
其中,IDS采用传统的模式匹配方法,将所检测数据包中的内容与系统已知的入侵特征库中的攻击特征串机械地进行匹配,只要发现数据包中的内容与攻击特征相匹配,就马上发出告警,并不判断该数据包是不是真的攻击行为,这样就不可避免地会产生误报,因此,IDS每天会有海量的告警信息,而在这些告警信息中,真正有威胁的入侵是其中的很少一部分,安全维护人员很难发现并有针对性地进行阻断操作;而且,安全维护人员还需要手工操作防火墙,因此入侵防御难以实施且不及时。
发明内容
有鉴于此,本发明实施例期望提供一种阻断高风险网络入侵的方法及系统,能够快速、准确地发现真正有威胁的网络入侵行为,并及时阻断入侵,大大提高了高风险网络入侵的检测效率和安全维护人员的工作成效。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种阻断高风险网络入侵的方法,建立漏洞-攻击对应表,所述方法还包括:
将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息;
根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵。
上述方案中,所述建立漏洞-攻击对应表包括:对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表。
上述方案中,所述将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:提取告警信息中入侵事件的源IP地址和事件名称,并将同一源网络协议(Internet Protocol,IP)地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功。
上述方案中,所述生成紧急告警信息包括:提取所述告警信息中入侵事件的名称、IP地址和时间信息,统一格式并标识告警级别为紧急告警,生成紧急告警信息。
上述方案中,所述根据所述紧急告警信息生成阻断策略包括:提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略;
所述生成防火墙的阻断策略之后,所述方法还包括:显示所述紧急告警信息及对应阻断策略。
上述方案中,所述将所述阻断策略发送至防火墙之前,所述方法还包括:将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙。
本发明实施例还提供了一种阻断高风险网络入侵的系统,所述系统包括:获取模块、匹配模块、策略生成与执行模块、漏洞-攻击信息库和防火墙;其中,
所述获取模块,用于建立漏洞-攻击对应表;
所述匹配模块,用于将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息,并将所述紧急告警信息发送至策略生成与执行模块;
所述策略生成与执行模块,用于根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙;
所述防火墙,用于根据所述阻断策略阻断入侵;
所述漏洞-攻击信息库,用于存储所述漏洞-攻击对应表;
上述方案中,所述获取模块包括:漏洞扫描单元和生成单元;其中,
所述漏洞扫描单元,用于对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,并将所述漏洞信息发送至生成单元;
所述生成单元,用于提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表;
所述防火墙包括防火墙策略库,用于存储防火墙策略。
上述方案中,所述系统还包括显示模块和入侵检测设模块;其中,
所述显示模块,用于显示紧急告警信息和次要告警信息;
相应的,所述匹配模块,还用于确定匹配不成功时生成次要告警信息,并将次要告警信息发送至显示模块显示;所述策略生成与执行模块,还用于将所述紧急告警信息及相应阻断策略发送至显示模块显示;
所述入侵检测模块,用于检测网络入侵行为,并生成告警信息发送至匹配模块。
上述方案中,所述匹配模块将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:匹配模块提取告警信息中入侵事件的源IP地址和事件名称,并将同一源IP地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功。
上述方案中,所述策略生成与执行模块,还用于将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙,以及将所述阻断策略发送至防火墙后,添加所述阻断策略至本地策略表。
上述方案中,所述匹配模块生成紧急告警信息包括:匹配模块提取所述告警信息中入侵事件的名称、IP地址和时间信息,统一格式并标识告警级别为紧急告警,生成紧急告警信息。
上述方案中,所述策略生成与执行模块根据所述紧急告警信息生成阻断策略包括:策略生成与执行模块提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略。
本发明实施例所提供的阻断高风险网络入侵的方法,建立漏洞-攻击对应表,将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息;根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵。如此,能够快速、准确地从IDS海量告警信息中发现真正有威胁的高风险网络入侵行为,大大降低了误报率及安全维护人员的工作量,提高了高风险网络入侵的检测效率和安全维护人员的工作成效。
附图说明
图1为本发明实施例一阻断高风险网络入侵的方法流程示意图;
图2为本发明实施例二阻断高风险网络入侵的方法流程示意图;
图3为本发明实施例阻断高风险网络入侵的系统组成结构示意图。
具体实施方式
在本发明实施例中,建立漏洞-攻击对应表,将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息;根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵。
这里,将所述阻断策略发送至防火墙后,可进一步显示所述紧急告警信息及相应的阻断策略;
进一步的,在将所述阻断策略发送至防火墙之前,可先将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙,并添加至本地策略表;
这里,所述本地策略表可放置于策略生成与执行模块,作为阻断策略在本地的备份。
进一步的,防火墙在收到阻断策略后,还可以将所述阻断策略添加至防火墙策略,以便防火墙在今后防御入侵时直接使用。
图1为本发明实施例一阻断高风险网络入侵的方法流程示意图,如图1所示,本实施例阻断高风险网络入侵的方法流程包括:
步骤100:建立漏洞-攻击对应表;
所述建立漏洞-攻击对应表包括:对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,形成漏洞-攻击对应表;之后定期对保护的业务系统进行漏洞扫描和人工维护,以更新所述漏洞-攻击对应表中信息;其中,
所述关键信息包括:安全漏洞(Common Vulnerabilities & Exposures,CVE)和IP地址等;
所述入侵事件链表中的入侵事件名称涵盖了不同厂家IDS设备对于入侵事件的命名,以保证可以兼容不同厂家的IDS设备。
步骤101:将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息;
这里,本步骤的操作可以由匹配模块完成;
将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配之前,该方法还包括:入侵检测模块检测网络入侵行为并生成告警信息,将所述告警信息发送至匹配模块;相应的,匹配模块再从收到的告警信息中提取入侵事件信息;之后,再将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配。
所述入侵检测模块检测网络入侵行为并生成告警信息包括:将所检测的数据包中的内容与自身规则库中的入侵特征串进行匹配,如果匹配成功,则生成并发出告警信息;这里,具体如何生成告警信息为现有技术,此处不再赘述;
所述将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:
提取告警信息中入侵事件的源IP地址和事件名称,并将同一源IP地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功;
所述生成紧急告警信息包括:提取IDS告警信息中入侵事件的名称、IP地址和时间等信息,统一格式并标识告警级别为紧急告警,生成紧急告警信息;
所述将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配之后,该方法还包括:确定匹配不成功,生成次要告警信息,并将次要告警信息发送至显示模块显示;
这里,所述生成次要告警信息包括:提取IDS告警信息中入侵事件的名称、IP地址和时间等信息,统一格式并标识告警级别为次要告警,生成次要告警信息;进一步的,可将次要告警信息和紧急告警信息及相应阻断策略发送至显示模块显示,以便安全维护人员对整个网络的安全告警信息进行集中查看和处理。
步骤102:根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵;
这里,所述根据所述紧急告警信息生成阻断策略由策略生成与执行模块完成,相应的,匹配模块将紧急告警信息发送至策略生成与执行模块;
所述根据所述紧急告警信息生成阻断策略包括:提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略;这里,所述策略序号为比当前所用策略序号小1的序号;所述阻断策略如rule 10 deny ipsource 123.233.12.43 0,其中123.233.12.43为入侵源IP地址,10是防火墙所用策略序号;
所述短信的内容如:123.233.12.43于2013年4月15日17:04:43对120.209.131.42进行高风险攻击,是否下发阻断策略:rule10deny ip source123.233.12.43 0,如果是,请回复“Y”,不回复视为不下发;安全维护人员通过手机随时接收查看告警信息和相应的阻断策略,并通过短信快速确认下发阻断策略,实现了安全维护人员不在机房值班的情况下也可以处理安全紧急事件;
进一步的,可将所述紧急告警信息及相应阻断策略发送至显示模块进行显示,以便安全维护人员通过控制界面直接批量确认阻断策略,提高向防火墙发送阻断策略的效率;
进一步的,在将所述阻断策略发送至防火墙之前,可先将所述阻断策略和所述紧急告警信息一起以短信方式发送至维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙,并添加至本地策略表;
进一步的,防火墙可将收到的阻断策略添加到防火墙策略中,如:添加到现有访问控制列表(Access Control List,ACL)中;
所述将收到的阻断策略添加到防火墙策略中时,由于防火墙优先匹配靠前的策略,所以,所述阻断策略必须添加在现有ACL策略之前;
由于防火墙添加策略,会使防火墙策略变得冗长,因此,如果高风险入侵告警消失一段时间后(如一周),具体时间可由安全维护人员视具体情况而定,所述策略生成与执行模块会生成相应的删除指令,删除之前添加的阻断策略;
将所述阻断策略添加至防火墙策略及本地策略表后,策略生成与执行模块会记录防火墙已用策略的ACL编号,安全维护人员可根据此ACL编号定期与防火墙策略核对,以保证阻断策略添加成功。
图2为本发明实施例二阻断高风险网络入侵的方法流程示意图,如图2所示,本实施例阻断高风险网络入侵的方法流程包括:
步骤200:对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息。
步骤201:提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表;
这里,定期对保护的业务系统进行漏洞扫描和人工维护,以更新所述漏洞-攻击对应表中信息;
所述关键信息包括:CVE和IP地址等;
所述入侵事件链表中的入侵事件名称涵盖了不同厂家IDS设备对于入侵事件的命名,以保证可以兼容不同厂家的IDS设备。
步骤202:入侵检测模块检测网络入侵行为并生成告警信息,将所述告警信息发送至匹配模块;
这里,所述入侵检测模块可以为IDS设备;
所述入侵检测模块检测网络入侵行为并生成告警信息包括:将所检测的数据包中的内容与自身规则库中的入侵特征串进行匹配,如果匹配成功,则生成并发出告警信息;具体如何生成告警信息为现有技术,此处不再赘述。
步骤203:匹配模块将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配,并判断匹配是否成功,确定匹配成功时,执行步骤204;否则执行步208,结束本次处理流程;
这里,所述匹配模块将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:匹配模块提取告警信息中入侵事件的源IP地址和事件名称,并将同一源IP地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功。
步骤204:生成紧急告警信息,并将紧急告警信息发送至策略生成与执行模块;
这里,所述生成紧急告警信息包括:提取告警信息中入侵事件的名称、IP地址和时间等信息,统一格式并标识告警级别为紧急告警,生成紧急告警信息。
步骤205:策略生成与执行模块根据所述紧急告警信息生成阻断策略,将所述阻断策略和所述紧急告警信息一起以短信方式发送至维护人员确认,同时将所述紧急告警信息和对应阻断策略发送至显示模块显示;
这里,所述策略生成与执行模块根据所述紧急告警信息生成阻断策略包括:策略生成与执行模块提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略;这里,所述策略序号为比当前所用策略序号小1的序号;其中,所述阻断策略如rule 10 deny ip source 123.233.12.43 0,其中123.233.12.43为入侵源IP地址,10是防火墙所用策略序号;
所述短信的内容如:123.233.12.43于2013年4月15日17:04:43对120.209.131.42进行高风险攻击,是否下发阻断策略:rule10deny ip source123.233.12.43 0,如果是,请回复“Y”,不回复视为不下发;安全维护人员通过手机随时接收查看告警信息和相应的阻断策略,并通过短信快速确认下发阻断策略,实现了安全维护人员不在机房值班的情况下也可以处理安全紧急事件;
由于所述紧急告警信息也同步在显示模块显示,所以安全维护人员也可以通过控制界面直接批量确认阻断策略,提高向防火墙发送阻断策略的效率。
步骤206:策略生成与执行模块收到确认信息,将所述阻断策略发送至防火墙,并添加至本地策略表;
这里,所述本地策略表可放置于策略生成与执行模块中,作为阻断策略在本地的备份;
防火墙可将收到的阻断策略添加到防火墙策略中,如:添加到现有ACL策略中;
所述将收到的阻断策略添加到防火墙策略中时,由于防火墙优先匹配靠前的策略,所以所述阻断策略必须添加在现有ACL策略之前;
由于防火墙添加策略,会使防火墙策略会变的冗长,因此,如果高风险入侵告警消失一段时间后(如一周),具体时间可由安全维护人员视具体情况而定,所述策略生成与执行模块会生成相应的删除指令,删除之前添加的阻断策略;
将所述阻断策略添加至防火墙策略及本地策略表后,策略生成与执行模块会记录防火墙已用策略的ACL编号,安全维护人员可根据此ACL编号定期与防火墙策略核对,以保证阻断策略添加成功。
步骤207:防火墙根据所述阻断策略阻断相应高风险网络入侵,并执行步骤209。
步骤208:生成次要告警信息,并将次要告警信息发送至显示模块显示;
这里,所述生成次要告警信息包括:提取IDS告警信息中入侵事件的名称、IP地址和时间等信息,统一格式并标识告警级别为次要告警,生成次要告警信息;
将次要告警信息和紧急告警信息发送至显示模块显示,以便安全维护人员对整个网络的安全告警信息进行集中查看和处理。
步骤209:结束本次处理流程。
图3为本发明实施例阻断高风险网络入侵的系统组成结构示意图,如图3所示,本实施例阻断高风险网络入侵的系统组成结构包括:获取模块31、匹配模块32、策略生成与执行模块33、防火墙34及漏洞-攻击信息库35;其中,
所述获取模块31,用于建立漏洞-攻击对应表;
所述匹配模块32,用于将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息,并将所述紧急告警信息发送至策略生成与执行模块33;
所述策略生成与执行模块33,用于根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙34;
所述防火墙34,用于根据所述阻断策略阻断入侵;
所述漏洞-攻击信息库35,用于存储所述漏洞-攻击对应表;
这里,所述匹配模块32将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:匹配模块32提取告警信息中入侵事件的源IP地址和事件名称,并将同一源IP地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功;
所述匹配模块生成紧急告警信息包括:匹配模块提取告警信息中入侵事件的名称、IP地址和时间等信息,统一格式并标识告警级别为紧急告警,生成紧急告警信息;
所述策略生成与执行模块33根据所述紧急告警信息生成阻断策略包括:策略生成与执行模块33提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略;这里,所述策略序号为比当前所用策略序号小1的序号;其中,所述阻断策略如rule 10 deny ip source 123.233.12.43 0,其中123.233.12.43为入侵源IP地址,10是防火墙所用策略序号;
进一步的,所述获取模块31包括:漏洞扫描单元311和生成单元312;其中,
所述漏洞扫描单元311,用于对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,并将所述漏洞信息发送至生成单元312;
所述生成单元312,用于提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表;其中,
所述关键信息包括:CVE和IP地址等;所述入侵事件链表中的入侵事件名称涵盖了不同厂家IDS设备对于入侵事件的命名,以保证可以兼容不同厂家的IDS设备;
所述防火墙34还包括防火墙策略库341,用于存储防火墙策略。
进一步的,所述系统还包括显示模块36和入侵检测模块37;其中,
所述显示模块36,用于显示紧急告警信息或次要告警信息;
所述入侵检测模块37,用于检测网络入侵行为,并生成告警信息发送至匹配模块32;
这里,所述漏洞扫描单元311可以是漏洞扫描器;所述入侵检测模块37可以为IDS,所述IDS部署在防火墙34的内侧,这样IDS检测到的网络入侵事件是穿过防火墙34的,所述入侵事件对保护的业务系统可能造成威胁;漏洞扫描单元311也部署在防火墙34的内侧,这样可以更全面的检查到业务系统的漏洞,因为如果漏洞扫描单元311部署在防火墙34的外侧,则可能因为防火墙的保护而探测不到业务系统的部分漏洞;
进一步的,所述策略生成与执行模块33,还用于将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙34,以及将所述阻断策略发送至防火墙34后,添加所述阻断策略至本地策略表;
相应的,所述匹配模块32,还用于存储本地策略表,以及确定匹配不成功时生成次要告警信息,并将次要告警信息发送至显示模块36显示;所述策略生成与执行模块,还用于将所述紧急告警信息及相应阻断策略发送至显示模块显示;
这里,所述匹配模块生成次要告警信息包括:匹配模块提取告警信息中入侵事件的名称、IP地址和时间等信息,统一格式并标识告警级别为次要告警,生成次要告警信息;
将次要告警信息和紧急告警信息及相应阻断策略发送至显示模块36显示,以便安全维护人员对整个网络的安全告警信息进行集中查看和处理。
在实际应用中,所述匹配模块32、策略生成与执行模块33及漏洞-攻击信息库35可位于同一台服务器上;所述匹配模块32和策略生成与执行模块33可由服务器中的中央处理器(CPU),或微处理器(MPU),或数字信号处理器(DSP),或可编程门阵列(FPGA)实现;所述显示模块36可以为显示器。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (13)
1.一种阻断高风险网络入侵的方法,其特征在于,建立漏洞-攻击对应表,所述方法还包括:
将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息;
根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙,所述防火墙根据所述阻断策略阻断入侵。
2.根据权利要求1所述方法,其特征在于,所述建立漏洞-攻击对应表包括:对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表。
3.根据权利要求1所述方法,其特征在于,所述将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:提取告警信息中入侵事件的源网络协议IP地址和事件名称,并将同一源IP地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功。
4.根据权利要求1所述方法,其特征在于,所述生成紧急告警信息包括:提取所述告警信息中入侵事件的名称、IP地址和时间信息,统一格式并标识告警级别为紧急告警,生成紧急告警信息。
5.根据权利要求1所述方法,其特征在于,所述根据所述紧急告警信息生成阻断策略包括:提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略;
所述生成防火墙的阻断策略之后,所述方法还包括:显示所述紧急告警信息及对应阻断策略。
6.根据权利要求1所述方法,其特征在于,所述将所述阻断策略发送至防火墙之前,所述方法还包括:将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙。
7.一种阻断高风险网络入侵的系统,其特征在于,所述系统包括:获取模块、匹配模块、策略生成与执行模块、漏洞-攻击信息库和防火墙;其中,
所述获取模块,用于建立漏洞-攻击对应表;
所述匹配模块,用于将提取的告警信息中的入侵事件信息与漏洞-攻击对应表进行匹配,确定匹配成功时,生成紧急告警信息,并将所述紧急告警信息发送至策略生成与执行模块;
所述策略生成与执行模块,用于根据所述紧急告警信息生成阻断策略,并将所述阻断策略发送至防火墙;
所述防火墙,用于根据所述阻断策略阻断入侵;
所述漏洞-攻击信息库,用于存储所述漏洞-攻击对应表。
8.根据权利要求7所述系统,其特征在于,所述获取模块包括:漏洞扫描单元和生成单元;其中,
所述漏洞扫描单元,用于对保护的业务系统进行漏洞扫描,获取所述系统的漏洞信息,并将所述漏洞信息发送至生成单元;
所述生成单元,用于提取漏洞扫描结果中关键信息,并在每条漏洞记录中增加可利用此漏洞的入侵事件链表,生成漏洞-攻击对应表;
所述防火墙包括防火墙策略库,用于存储防火墙策略。
9.根据权利要求7所述系统,其特征在于,所述系统还包括显示模块和入侵检测设模块;其中,
所述显示模块,用于显示紧急告警信息和次要告警信息;
相应的,所述匹配模块,还用于确定匹配不成功时生成次要告警信息,并将次要告警信息发送至显示模块显示;所述策略生成与执行模块,还用于将所述紧急告警信息及相应阻断策略发送至显示模块显示;
所述入侵检测模块,用于检测网络入侵行为,并生成告警信息发送至匹配模块。
10.根据权利要求7所述系统,其特征在于,所述匹配模块将提取的告警信息中的入侵事件信息与所述漏洞-攻击对应表进行匹配包括:匹配模块提取告警信息中入侵事件的源IP地址和事件名称,并将同一源IP地址发起的入侵事件的名称,与所述漏洞-攻击对应表中包含的入侵事件的名称取交集,结果为空集时,确定匹配不成功;结果为非空集合时,匹配成功。
11.根据权利要求7所述系统,其特征在于,所述策略生成与执行模块,还用于将所述阻断策略和所述紧急告警信息一起以短信方式发送给安全维护人员确认,在收到确认信息后,再将所述阻断策略发送至防火墙,以及将所述阻断策略发送至防火墙后,添加所述阻断策略至本地策略表。
12.根据权利要求7所述系统,其特征在于,所述匹配模块生成紧急告警信息包括:匹配模块提取所述告警信息中入侵事件的名称、IP地址和时间信息,统一格式并标识告警级别为紧急告警,生成紧急告警信息。
13.根据权利要求7所述系统,其特征在于,所述策略生成与执行模块根据所述紧急告警信息生成阻断策略包括:策略生成与执行模块提取所述紧急告警信息中入侵事件的源IP地址,并结合策略序号自动生成防火墙的阻断策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410123813.XA CN104954335A (zh) | 2014-03-27 | 2014-03-27 | 一种阻断高风险网络入侵的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410123813.XA CN104954335A (zh) | 2014-03-27 | 2014-03-27 | 一种阻断高风险网络入侵的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104954335A true CN104954335A (zh) | 2015-09-30 |
Family
ID=54168695
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410123813.XA Pending CN104954335A (zh) | 2014-03-27 | 2014-03-27 | 一种阻断高风险网络入侵的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104954335A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681327A (zh) * | 2016-02-26 | 2016-06-15 | 上海携程商务有限公司 | 防火墙策略的自动查询方法及系统 |
| CN106685968A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种工控设备自动化漏洞防御系统及方法 |
| CN108566382A (zh) * | 2018-03-21 | 2018-09-21 | 北京理工大学 | 基于规则生命周期检测的防火墙自适应能力提升方法 |
| CN109688105A (zh) * | 2018-11-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及系统 |
| CN110866278A (zh) * | 2019-11-14 | 2020-03-06 | 吉林亿联银行股份有限公司 | 一种数据库实时入侵阻断方法及装置 |
| CN111245785A (zh) * | 2019-12-30 | 2020-06-05 | 中国建设银行股份有限公司 | 防火墙封禁和解禁ip的方法、系统、设备和介质 |
| CN113765885A (zh) * | 2021-07-30 | 2021-12-07 | 广东浪潮智慧计算技术有限公司 | 一种防火墙规则同步方法、装置及电子设备和存储介质 |
| CN113965406A (zh) * | 2021-11-04 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | 网络阻断方法、装置、电子装置和存储介质 |
| WO2023160693A1 (zh) * | 2022-02-28 | 2023-08-31 | 华为技术有限公司 | 一种攻击阻断方法及相关装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039179A (zh) * | 2007-04-13 | 2007-09-19 | 北京启明星辰信息技术有限公司 | 一种入侵检测精确报警方法和系统 |
| US20090070880A1 (en) * | 2007-09-11 | 2009-03-12 | Harris David E | Methods and apparatus for validating network alarms |
| CN101572691A (zh) * | 2008-04-30 | 2009-11-04 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
| CN101803337A (zh) * | 2007-09-19 | 2010-08-11 | 阿尔卡特朗讯公司 | 入侵检测方法和系统 |
| CN101873231A (zh) * | 2010-07-06 | 2010-10-27 | 联想网御科技(北京)有限公司 | 一种网络入侵特征配置方法及系统 |
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
-
2014
- 2014-03-27 CN CN201410123813.XA patent/CN104954335A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039179A (zh) * | 2007-04-13 | 2007-09-19 | 北京启明星辰信息技术有限公司 | 一种入侵检测精确报警方法和系统 |
| US20090070880A1 (en) * | 2007-09-11 | 2009-03-12 | Harris David E | Methods and apparatus for validating network alarms |
| CN101803337A (zh) * | 2007-09-19 | 2010-08-11 | 阿尔卡特朗讯公司 | 入侵检测方法和系统 |
| CN101572691A (zh) * | 2008-04-30 | 2009-11-04 | 华为技术有限公司 | 一种入侵检测方法、系统和装置 |
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| CN101873231A (zh) * | 2010-07-06 | 2010-10-27 | 联想网御科技(北京)有限公司 | 一种网络入侵特征配置方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 郝士军: "针对IPv6漏洞攻击事件的入侵检测系统的研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681327A (zh) * | 2016-02-26 | 2016-06-15 | 上海携程商务有限公司 | 防火墙策略的自动查询方法及系统 |
| CN106685968A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种工控设备自动化漏洞防御系统及方法 |
| CN108566382A (zh) * | 2018-03-21 | 2018-09-21 | 北京理工大学 | 基于规则生命周期检测的防火墙自适应能力提升方法 |
| CN108566382B (zh) * | 2018-03-21 | 2020-12-08 | 北京理工大学 | 基于规则生命周期检测的防火墙自适应能力提升方法 |
| CN109688105A (zh) * | 2018-11-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及系统 |
| CN110866278A (zh) * | 2019-11-14 | 2020-03-06 | 吉林亿联银行股份有限公司 | 一种数据库实时入侵阻断方法及装置 |
| CN111245785A (zh) * | 2019-12-30 | 2020-06-05 | 中国建设银行股份有限公司 | 防火墙封禁和解禁ip的方法、系统、设备和介质 |
| CN113765885A (zh) * | 2021-07-30 | 2021-12-07 | 广东浪潮智慧计算技术有限公司 | 一种防火墙规则同步方法、装置及电子设备和存储介质 |
| CN113765885B (zh) * | 2021-07-30 | 2023-08-15 | 广东浪潮智慧计算技术有限公司 | 一种防火墙规则同步方法、装置及电子设备和存储介质 |
| CN113965406A (zh) * | 2021-11-04 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | 网络阻断方法、装置、电子装置和存储介质 |
| WO2023160693A1 (zh) * | 2022-02-28 | 2023-08-31 | 华为技术有限公司 | 一种攻击阻断方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104954335A (zh) | 一种阻断高风险网络入侵的方法及系统 | |
| US10334083B2 (en) | Systems and methods for malicious code detection | |
| KR101369727B1 (ko) | 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법 | |
| EP2930703A1 (en) | System and method for identifying alarm system problems | |
| CN101136797B (zh) | 内外网物理连通的检测、通断控制方法 | |
| CN103944915A (zh) | 一种工业控制系统威胁检测防御装置、系统及方法 | |
| CN103457931A (zh) | 一种网络诱骗与反攻击的主动防御方法 | |
| CN104468624A (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| CN104486765A (zh) | 一种无线入侵检测系统及其检测方法 | |
| CN105227559A (zh) | 一种积极的自动检测http攻击的信息安全管理框架 | |
| CN103905265A (zh) | 一种网络中新增设备的检测方法和装置 | |
| US9578039B2 (en) | OAM security authentication method and OAM transmitting/receiving devices | |
| CN105187209A (zh) | 一种以太网通信安全保护的方法 | |
| CN105765942A (zh) | 经由边界网关进行信息安全性威胁中断的系统和方法 | |
| CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
| US20160036843A1 (en) | Connected home system with cyber security monitoring | |
| KR101887544B1 (ko) | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 | |
| CN105791027A (zh) | 一种工业网络异常中断的检测方法 | |
| CN105812338B (zh) | 一种数据访问管控方法及网络管理设备 | |
| KR101871406B1 (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
| KR101889502B1 (ko) | 제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법 | |
| KR101343693B1 (ko) | 네트워크 보안시스템 및 그 처리방법 | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| CN112422501B (zh) | 正反向隧道防护方法、装置、设备及存储介质 | |
| Ye et al. | Research on network security protection strategy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150930 |