CN105991595A - 网络安全防护方法及装置 - Google Patents

Abstract

一种网络安全防护方法及装置。该方法由一安全防护设备执行，包括：获得受保护网络中与所述安全防护设备连接的主机的网络环境数据和威胁检测数据二者至少之一，其中，所述网络环境数据包括以下至少一种：操作系统的标识、所述操作系统的参数、具有网络端口访问功能的软件的标识和所述软件的参数，所述威胁检测数据包括以下至少一种：威胁种类和威胁标识，所述威胁种类包括漏洞和恶意程序中的至少一种；根据获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息；向所述主机发送所述用于消除所述主机中安全威胁的信息。用以改善现有网络安全防护技术有效性不佳的问题。

Description

网络安全防护方法及装置

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种网络安全防护方法及一种网络安全防护装置。

背景技术

随着信息技术的飞速发展，如何保护一定范围内网络资源的安全，例如文件服务器和数据库服务器上保存的重要机密的数据不被恶意窃取、网页服务器和邮件服务器提供的服务不被攻击而瘫痪，企业网络内的用户之间的通信不被非法窃听，成为一个广受关注的问题。

现有的网络安全防护方案的基本实现原理是受保护的服务器、以及终端组成一个受保护网络，该受保护网络通过安全网关接入互联网。其中安全网关是指集成了安全功能，例如防火墙、入侵防御系统(Intrusion Prevention System，IPS)、深度报文检测(Deep Packet Inspection，DPI)等功能的网关设备。

根据各种设备对安全需求的差异，将网络划分为不同的安全域，通过配置不同安全域之间的域间策略，对流经安全网关的网络流量进行安全处理。例如将受保护网络中的文件服务器、网页服务器、邮件服务器、数据库服务器等对安全要求最高的设备划入第一网络地址段内，设置第一网络地址段对应高级别安全域。将企业中涉及机密信息的核心部门员工所使用的终端划入第二网络地址段内，设置第二网络地址段对应中级别安全域。将企业中普通员工所使用的终端划入第三网络内置段内，设置第三网络地址段以及安全网关所连接的互联网中的节点所处的网络地址范围对应低级别安全域。预先设置需要对低级别安全域至高级别安全域的流量执行DPI处理。这样，安全网关接收到企业中普通用户向文件服务器发送的报文时，通过匹配域间策略，对普通用户向文件服务器发送的报文执行DPI处理。如果在执行DPI处理的过程中确定普通用户向文件服务器发送的报文与已知恶意程序的特征相匹配，则丢弃上述报文，否则转发上述报文至文件服务器。

然而，上述方案中安全网关只能发现已经发生的威胁，却不能在威胁发生之前发现潜在的威胁、也不能在威胁发生之后清除威胁。例如，在企业中的普通用户使用的终端被植入了木马程序后向文件服务器或其他服务器发送大量攻击报文，现有技术只能在普通用户使用的终端发送大量攻击报文后发现阻断攻击报文。

发明内容

本发明实施例提供一种网络安全防护方法，用以改善现有网络安全防护技术有效性不佳的问题。

本发明实施例提供的技术方案如下：

第一方面，提供了一种网络安全防护方法，由一安全防护设备执行，该方法包括：

获得受保护网络中与所述安全防护设备连接的主机的网络环境数据和威胁检测数据二者至少之一，其中，所述网络环境数据包括以下至少一种：操作系统的标识、所述操作系统的参数、具有网络端口访问功能的软件的标识和所述软件的参数，所述威胁检测数据包括以下至少一种：威胁种类和威胁标识，所述威胁种类包括漏洞和恶意程序中的至少一种；

根据获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息；

向所述主机发送所述用于消除所述主机中安全威胁的信息。

在第一方面的第一种可能的实现方式中，所述用于消除所述主机安全威胁的信息包括清理程序的标识和存储位置，所述清理程序的标识和存储位置用于消除所述主机中安全威胁。

在第一方面的第二种可能的实现方式中，所述用于消除所述主机安全威胁的信息包括：用于消除所述主机安全威胁的清理程序；

所述查找对应的用于消除所述主机安全威胁的信息包括：

查找对应的清理程序的标识和存储位置，根据所述标识和存储位置，获得用于消除所述主机安全威胁的清理程序。

在第一方面的第三种可能的实现方式中，所述用于消除所述主机安全威胁的信息包括：

文件操作指令，所述文件操作指令包括文件标识、文件存储位置、以及操作符，所述文件操作指令用以指示所述主机对所述主机中根据所述文件标识和文件存储位置确定的文件，执行所述操作符表示的操作。

第二方面，提供了一种网络安全防护装置，包括：

接收单元，用于获得受保护网络中与所述网络安全防护装置连接的主机的网络环境数据和威胁检测数据二者至少之一，其中，所述网络环境数据包括以下至少一种：操作系统的标识、所述操作系统的参数、、具有网络端口访问功能的软件的标识和所述软件的参数；所述威胁检测数据包括以下至少一种：威胁种类和威胁标识，所述威胁种类包括漏洞和恶意程序中的至少一种；

处理单元，用于根据所述接收单元获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息；

发送单元，用于将所述处理单元查找到的所述用于消除所述主机中安全威胁的信息提供给所述主机。

在第二方面的第一种可能的实现方式中，所述用于消除所述主机安全威胁的信息包括清理程序的标识和存储位置，所述清理程序的标识和存储位置用于消除所述主机中安全威胁。

在第二方面的第二种可能的实现方式中，所述用于消除所述主机安全威胁的信息包括：用于消除所述主机安全威胁的清理程序；

所述处理单元，用于查找对应的清理程序的标识和存储位置，根据所述标识和存储位置，获得用于消除所述主机安全威胁的清理程序。

在第二方面的第三种可能的实现方式中，所述用于消除所述主机安全威胁的信息包括：

文件操作指令，所述文件操作指令包括文件标识、文件存储位置、以及操作符，所述文件操作指令用以指示所述主机对所述主机中根据所述文件标识和文件存储位置确定的文件，执行所述操作符表示的操作。

第三方面，提供了一种网络安全防护设备，包括：

处理器、存储器和网络接口，所述处理器、所述存储器和所述网络接口通过总线相互通信；

所述存储器，用于存储程序代码和数据；

所述网络接口，用于获得受保护网络中与所述网络安全防护设备连接的主机的网络环境数据和威胁检测数据二者至少之一，其中，所述网络环境数据包括以下至少一种：操作系统的标识、所述操作系统的参数、具有网络端口访问功能的软件的标识和所述软件的参数，所述威胁检测数据包括以下至少一种：威胁种类和威胁标识，所述威胁种类包括漏洞和恶意程序中的至少一种；

所述处理器，用于读取所述存储器中存储的程序代码和数据，执行以下操作：

根据所述网络接口获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息；

将所述用于消除所述主机中安全威胁的信息通过所述网络接口提供给所述主机。

在第三方面的第一种可能的实现方式中，所述用于消除所述主机安全威胁的信息包括清理程序的标识和存储位置，所述清理程序的标识和存储位置用于消除所述主机中安全威胁。

在第三方面的第二种可能的实现方式中，所述用于消除所述主机安全威胁的信息包括：用于消除所述主机安全威胁的清理程序；

所述处理器，用于查找对应的清理程序的标识和存储位置，根据所述标识和存储位置，获得用于消除所述主机安全威胁的清理程序。

在第三方面的第三种可能的实现方式中，所述用于消除所述主机安全威胁的信息包括：

文件操作指令，所述文件操作指令包括文件标识、文件存储位置、以及操作符，所述文件操作指令用以指示所述主机对所述主机中根据所述文件标识和文件存储位置确定的文件，执行所述操作符表示的操作。

在本发明实施例中，安全防护设备获得受保护网络中与所述安全防护设备连接的主机的网络环境数据和威胁检测数据二者至少之一，根据获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息，例如清理程序；将所述用于消除所述主机中安全威胁的信息提供给所述主机。从而不仅能够发现受保护网络中已发生的威胁，还能发现潜在威胁，并且主动地触发主机清除安全威胁，改善了网络安全防护效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1a为本发明实施例提供的网络安全防护方案的第一种应用场景示意图；

图1b为本发明实施例提供的网络安全防护方案的第二种应用场景示意图；

图1c为本发明实施例提供的网络安全防护方案的第三种应用场景示意图；

图2为本发明实施例提供的安全防护设备的结构示意图；

图3为本发明实施例提供的一种网络安全防护方法的流程图；

图4为本发明实施例提供的记录集合的示意图；

图5为本发明实施例提供的另一记录集合的示意图；

图6为本发明实施例提供的另一种网络安全防护方法的流程图；

图7为本发明实施例提供的网络安全防护方法的一个实例的示意图；

图8为本发明实施例提供的一种网络安全防护装置的结构示意图。

具体实施方式

本发明实施例所提供的网络安全防护方案可以应用于多种场景中，例如附图1a所示的互联网数据中心(Internet Data Center，IDC)场景、附图1b所示的云计算场景，以及附图1c所示的企业网络场景中。

在附图1a所示的IDC场景中，受保护网络中包括被托管的各种应用服务器，如文件服务器、网页服务器、邮件服务器、数据库服务器等。受保护网络通过网关接入互联网，位于互联网中的远程维护人员或租户可以远程访问上述各种应用服务器。

在附图1b所示的云计算场景中，受保护网络中包括多个虚拟机，这些虚拟机是基于受保护网络中的集群计算机提供的计算资源和存储设备提供的存储资源，利用虚拟化技术实现的。受保护网络通过网关接入互联网，位于互联网中的虚拟机用户通过客户端软件远程连接到上述虚拟机。

在附图1c所示的企业网络场景下，受保护网络即为企业网络，受保护网络通过网关接入互联网。互联网中的用户可以通过即时通讯软件与企业网络中的用户进行通信，或者请求企业网络中的应用服务器提供的服务。

本发明实施例提供了一种网络安全防护设备，该安全防护设备位于受保护网络中，用以保护受保护网络的信息安全，该安全防护设备可以集成在附图1a～附图1c中用于将受保护网络与互联网连接的网关、防火墙、或网络地址转换(Network Address Translation，NAT)设备中，也可以是一个部署于受保护网络中的其他位置上的独立设备，只要能够与受保护网络中的设备，例如各种应用服务器、虚拟机、包括普通用户的个人计算机等在内的终端设备，进行通信即可。

为了描述简便，本发明实施例中将各种应用服务器、虚拟机、终端设备统称为主机。

附图2是本发明实施例提供的一种安全防护设备的结构示意图，安全防护设备200包括存储器201、处理器202、网络接口203和总线204，存储器201、处理器202和网络接口203通过总线204实现相互通信。

存储器201包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM)。

处理器202可以是一个或多个中央处理器(Central Processing Unit，简称CPU)，在处理器202是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

网络接口203可以是一个网络接口，也可以是多个网络接口。网络接口203可以是有线接口，例如光纤分布式数据接口(Fiber Distributed Data Interface，简称FDDI)、千兆以太网(Gigabit Ethernet，简称GE)接口；网络接口203也可以是无线接口。

所述存储器201，用于存储程序代码和数据。

所述网络接口203，用于接收受保护网络中与安全防护设备200链接的主机的络环境数据和威胁检测数据二者至少之一。本实施例中涉及两类数据：

第一类是网络环境数据，是指用来描述主机所处的网络环境的一些信息，这些信息本身并不与威胁或隐患直接相关，也不反映主机是否被植入了恶意代码。所述网络环境数据包括但不限于以下一种或多种的组合：操作系统的标识和所述操作系统的参数、具有网络端口访问功能的软件的标识和所述软件的参数。操作系统的标识可以是操作系统的名称，例如windows、Linux等。操作系统的参数包括操作系统的版本，例如Windows XP、Window 7、Vista 8等等。

具有网络端口访问功能的软件，是指能够通过主机的网络接口向其他网络设备发送报文，或者根据网络接口接收到的报文中携带的数据，执行设定功能的软件。例如网页浏览器Internet Explorer(IE)、腾讯公司推出即时通讯软件QQ等等。上述软件的参数包括软件版本，例如QQ 5.0、QQ5.1、QQ6.0等等。

第二类是威胁检测数据，是指能够反映出主机存在的安全隐患或威胁的数据，包括但不限于威胁种类、威胁标识等中的至少一种。威胁种类包括漏洞和恶意程序中的至少一种，其中恶意程序包括僵尸程序、木马程序、蠕虫程序等等。在威胁种类为恶意程序的情况下，威胁标识是恶意程序的名称。在威胁种类为漏洞的情况下，威胁标识是漏洞编号，例如，可以是国际著名漏洞知识库所采用的通用漏洞披露(Common Vulnerabilities and Exposures,CVE)编号、计算机安全邮件列表BUGTRAQ编号，也可以是中国国内采用的CNCVE编号、CNNVD编号等等。

所述处理器202，用于读取所述存储器201中存储的程序代码和数据，执行以下操作：

根据所述网络接口203获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息。通过所述网络接口203向所述主机发送所述用于消除所述主机中安全威胁的信息。

可选地，存储器201中还存储有数据库，数据库中保存有如附图4所示的网络环境数据与用于消除所述主机中安全威胁的信息的对应关系，或者附图5所示的威胁检测数据与用于消除所述主机中安全威胁的信息的对应关系，或附图6所示的网络环境数据和威胁检测数据的组合与用于消除所述主机中安全威胁的信息的对应关系。以便于处理器202根据接口203获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息。

本实施例提供三种用于消除所述主机中安全威胁的信息。消除主机中的安全威胁包括但不限于：修补漏洞，删除恶意程序、以及删除恶意程序生成的文件或者恢复被恶意程序修改的文件等等。

第一种用于消除所述主机安全威胁的信息为清理程序的标识和存储位置。安全防护设备200将清理程序的标识和存储位置发送给所述主机，以便于所述主机根据接收到的清理程序的标识和存储位置获得所述清理程序。

其中，清理程序的标识可以是清理程序的名称。清理程序的存储位置是一个逻辑上的存储路径，既可以是所述安全防护设备200的文件系统中的一个路径，例如“D:\remove app set\”；也可以是安全防护设备200能够访问的另一个存储设备，例如文件传输协议(File Transfer Protocol，FTP)服务器中的一个路径，例如ftp://administrator:123@192.168.4.189/remove app set，在这里不进行限定。

第二种用于消除所述主机安全威胁的信息为清理程序。在这种情况下，处理器202首先根据接口203获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的清理程序的标识和存储位置，再根据所述标识和存储位置，获得用于消除所述主机安全威胁的清理程序。

第三种用于消除所述主机安全威胁的信息为文件操作指令，所述文件操作指令包括文件标识、文件存储位置、以及操作符，所述文件操作指令用以指示所述主机对所述主机中根据所述文件标识和文件存储位置确定的文件，执行所述操作符表示的操作。提供文件操作指令的初衷是虽然清理程序在主机中运行之后能够自动执行一系列的操作，例如对于一种木马恶意程序，能够强制关闭恶意程序运行时产生的进程、删除恶意程序运行时产生的新增文件、恢复恶意程序对于操作系统注册表的修改等等，在此过程中无需主机用户的参与，是一种快捷、高效、彻底的清除方式。但是由于针对一种典型的主机的网络环境数据、或威胁检测数据、或网络环境数据与威胁检测数据的组合专门开发清理程序需要较长的开发周期，如何在正式的清理程序发布之前尽可能的减少安全威胁对于主机的影响，成为一个需要解决的问题。本发明实施例提供了另一种可选方案，在没有专门的清理程序可用的情况下，可以向主机发送一些文件操作指令，可以利用操作系统自带的一些简单功能，例如删除文件功能，减少安全威胁对于主机的影响。

本发明实施例提供了一种安全防护设备。该安全防护设备获得受保护网络中与所述安全防护设备连接的主机的网络环境数据和威胁检测数据二者至少之一，根据获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息，例如清理程序；将所述用于消除所述主机中安全威胁的信息提供给所述主机。从而不仅能够发现受保护网络中已发生的威胁，还能发现潜在威胁，并且主动地触发主机清除安全威胁，改善了网络安全防护效果。

下面结合各个附图，从方法流程的视角，通过具体实例对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。本发明实施例的执行主体是上述网络安全防护设备。

如图3所示，本发明实施例的实施例流程如下。

步骤310，网络安全防护设备获得主机的网络环境数据。

具体地，网络安全防护设备通过主动或被动的方式，获得主机的网络环境数据。其中主动方式是指通过运行漏洞扫描软件，如Nessus，X-Scan等等，从漏洞扫描软件得到的扫描结果中获取网络环境数据。漏洞扫描工具得到的扫描结果中往往同时包含网络环境数据和威胁检测数据，网络安全防护设备可以通过预先设置的字段标识从扫描结果中获取网络环境数据，例如从OS ID字段中获得操作系统标识，再从OS Version中获得操作系统的版本。此外不同漏洞扫描软件得到的扫描结果中字段标识、排列顺序、字段中数据的格式都会有所不同，网络安全防护设备为了后续比较时的便利，应对得到的网络环境数据或威胁检测数据进行归一化或标准化预处理。

被动的方式是指通过对流经所述网络安全防护设备的流量进行报文解析，来获取网络环境数据。

例如，在本实施例中，网络安全防护设备得到Host1网络环境数据中操作系统标识为Windows、操作系统版本为Windows XP、软件标识为QQ、软件版本为QQ4。

步骤320，网络安全防护设备根据获得的所述网络环境数据，查找是否存在与该网络环境数据对应的用于消除所述主机中安全威胁的信息，如果存在对应的用于消除所述主机中安全威胁的信息，执行步骤330，否则返回步骤310。

图4是本发明实施例提供的记录集合的示意图，其中包含多条以R1至R4为例的记录。每条记录中都至少包括网络环境数据与用于消除所述主机中安全威胁的信息的对应关系。网络安全防护设备将步骤310获得的网络环境数据与附图4中的记录R1至R4进行比较，如果一条记录中包含的网络环境数据与步骤310获得的网络环境数据相同，则确认该条记录中包含的用于消除所述主机中安全威胁的信息为查找到的用于消除所述主机中安全威胁的信息。

本实例中，网络安全防护设备确认R1中的网络环境数据与步骤310获得的网络环境数据相同。R1所记录的具体内容如图4所示，表示在网络环境数据中的操作系统标识为Windows、且操作系统版本为Windows XP、且软件标识为QQ、软件版本为QQ4或QQ5时，对应的清理程序名称Win11，清理程序的存储位置/patch/win-2013-0098.msi，对应的文件操作指令中包括的文件名为Crazy.bat、文件位置为％\System32\Drivers\、操作符为Del该文件操作指令用以指示主机删除路径％\System32\Drivers\下名称为Crazy.bat的文件。

可选地，网络安全防护设备可以根据预先设定的向主机发送的信息的类型和图4中的记录，获取用于消除所述主机中安全威胁的信息，其中信息的类型具体是指用于消除所述主机中安全威胁的信息的类型，例如是上述第一种类型“清理程序的标识和存储位置”，还是第二种类型“清理程序”，还是第三种类型“文件操作指令”。显然可以预先设定向主机发送至少一种类型的用于消除所述主机中安全威胁的信息。网络安全防护设备中还可以设定向主机发送用于消除所述主机中安全威胁的信息时的规则，例如在附图4中存在清理程序的信息的条件下，向主机发送第一类信息和第二类信息，在附图4中不存在清理程序的信息的条件下，向主机发送第三类信息。

例如，若预先设定向主机发送第一类信息，则网络安全防护设备可以从R1中直接获得清理程序名称Win11，清理程序的存储位置/patch/win-2013-0098.msi。

若预先设定向主机发送第二类信息，则网络安全防护设备先从R1中获得清理程序名称Win11，清理程序的存储位置/patch/win-2013-0098.msi后，然后在存储位置/patch/win-2013-0098.msi中获得名称为Win11的清理程序。

若预先设定向主机发送第三类信息，即文件操作指令，则网络安全防护设备可以从R1中直接获得包括的文件名Crazy.bat、文件位置％\System32\Drivers\、操作符Del的文件操作指令。

步骤330，网络安全防护设备向所述主机发送所述用于消除所述主机中安全威胁的信息。

如果用于消除所述主机中安全威胁的信息为清理程序名称Win11，清理程序的存储位置/patch/win-2013-0098.msi，网络安全防护设备将清理程序名称Win11，清理程序的存储位置/patch/win-2013-0098.msi发送给主机Host1，以便于主机Host1根据存储位置/patch/win-2013-0098.msi获得名称为Win11的清理程序，运行该清理程序以消除威胁。

如果用于消除所述主机中安全威胁的信息为名称为Win11的清理程序，网络安全防护设备将得到的名称为Win11的清理程序发送给主机Host1，以便于Host1运行该清理程序以消除威胁。

如果用于消除所述主机中安全威胁的信息为包括的文件名Crazy.bat、文件位置％\System32\Drivers\、操作符Del的文件操作指令，网络安全防护设备将该文件操作指令发送给主机Host1，以便于Host1执行该文件操作指令以消除威胁。

在本发明实施例提供的网络安全防护方法中，网络安全防护设备获得受保护网络中与所述安全防护设备连接的主机的网络环境数据，根据获得到的网络环境数据，查找对应的用于消除所述主机中安全威胁的信息，例如清理程序。此后，安全防护设备将所述用于消除所述主机中安全威胁的信息，发送给所述主机。主机根据所述用于消除所述主机中安全威胁的信息消除威胁。上述方案能够发现受保护网络中的潜在威胁，并且主动地触发消除安全威胁，能够达到防患于未然的目的，改善了网络安全防护效果。相较于现有技术仅丢弃主机发送的攻击报文，提高了安全防护的有效性。

上述附图3是以网络安全防护设备获得主机的网络环境数据为例，介绍本发明提供的安全防护方法。可替代的，网络安全防护设备还可以获得主机的威胁检测数据，根据威胁检测数据查找对应的用于消除所述主机中安全威胁的信息，并将查找到的用于消除所述主机中安全威胁的信息发送给所述主机。

图5是本发明实施例提供的另一种记录集合的示意图，其中包括多条以R11至R14为例的记录。每条记录中都至少包括威胁检测数据与用于消除所述主机中安全威胁的信息的对应关系。网络安全防护设备将获得的威胁检测数据与附图5中的记录R11至R14进行比较，如果一条记录中包含的威胁检测数据与获得的威胁检测数据相同，则确认该条记录中包含的用于消除所述主机中安全威胁的信息为查找到的用于消除所述主机中安全威胁的信息。网络安全防护设备如何根据图5获取用于消除所述主机中安全威胁的信息，以及将得到的用于消除所述主机中安全威胁的信息发送给主机的过程与上述步骤320的描述相类似，在这里不再详述。

可替代地，网络安全防护设备还可以根据网络环境数据和威胁检测数据的组合查找对应的用于消除所述主机中安全威胁的信息，并将查找到的用于消除所述主机中安全威胁的信息发送给所述主机。

图6是本发明实施例提供的另一种记录集合的示意图，其中包括多条以R31至R32为例的记录。每条记录中都至少包括网络环境数据和威胁检测数据的组合与用于消除所述主机中安全威胁的信息的对应关系。网络安全防护设备将获得的网络环境数据和威胁检测数据的组合与附图5中的记录R31至R32进行比较，如果一条记录中包含的网络环境数据和威胁检测数据的组合与获得的网络环境数据和威胁检测数据的组合相同，则确认该条记录中包含的用于消除所述主机中安全威胁的信息为查找到的用于消除所述主机中安全威胁的信息。网络安全防护设备如何根据图6获取用于消除所述主机中安全威胁的信息，以及将得到的用于消除所述主机中安全威胁的信息发送给主机的过程与上述步骤320的描述相类似，在这里不再详述。

显然，在获取到网络环境数据和威胁检测数据后，为了尽可能全地查找到用于消除所述主机中安全威胁的信息，可以对查找的流程进行改进，例如先根据网络环境数据在附图4中查找用于消除所述主机中安全威胁的信息，再根据威胁检测数据在附图5中查找用于消除所述主机中安全威胁的信息，然后在根据网络环境数据和威胁检测数据在附图6中查找用于消除所述主机中安全威胁的信息。或者同时在附图4、附图5和附图6中查找用于消除所述主机中安全威胁的信息。

下面结合一个具体实例，对本发明实施例提供的网络安全防护设备和网络安全防护方法进行说明。如附图7所示。在附图7所示的实例中，预先设定用于消除所述主机中安全威胁的信息为第二类型“清理程序”。

步骤701，网络安全设备通过主动或被动方式获得Host1的网络环境数据和威胁检测数据。

可选地，如果网络安全设备的处理能力有限，或者受保护网络中设备的数目众多，可以在预先通过网络安全设备中的图形用户接口(Graphical UserInterface，GUI)输入受保护的主机的标识，网络安全设备可以按照预先设定的检测周期，根据预先存储的受保护的主机的标识，定期获得受保护的主机的网络环境数据和威胁检测数据。其中受保护的主机的标识可以具体可以是该主机的IP地址，MAC地址，或主机用户的用户名等。网络安全检测设备运行内嵌的漏洞扫描工具获得Host1的网络环境数据和威胁检测数据，还可以通过对流经所述网络安全防护设备的来自于Host1的流量进行报文解析，来获取Host1的网络环境数据。

网络安全设备的处理能力较强，或者受保护网络中设备数目不多，网络安全设备可以按照预先设定的检测周期，获得受保护网络所处网络地址段中每台主机的网络环境数据和威胁检测数据。

实际应用中可以根据具体的网络环境，灵活设置网络环境数据和威胁检测数据的获取方式。

Host1的网络环境数据中操作系统标识为Windows、操作系统版本为Windows XP、软件标识为QQ、软件版本为QQ4。威胁检测数据中威胁种类为漏洞，漏洞标识为CVE-2013-0098。

步骤702，网络安全设备查询附图4所示的预先存储的记录集合，确定是否存在与Host1的网络环境数据对应的清理程序的信息。本实例中先在附图4所示的记录集合中查找，若附图4中存在Host1的网络环境数据对应的清理程序的信息，则执行步骤703，若附图4中不存在Host1的网络环境数据对应的清理程序的信息，执行步骤710。

图4中R4是一个示例，表示在网络环境数据中的操作系统标识为Windows、且操作系统版本为Windows XP，对应的清理程序名称为Win11，清理程序的存储位置为/patch/win-2013-0098.msi。经比较，网络安全设备确定R4中的网络环境数据与Host1网络环境数据，从R4中得到清理程序的信息，即清理程序标识Win14，清理程序的存储位置/patch/win-2013-0098.msi。

步骤703，网络安全防护设备根据步骤702中得到的清理程序的信息，在存储位置/patch/win-2013-0098.msi，获得标识为Win11的清理程序。执行步骤704。

步骤704，网络安全防护设备将标识为Win11的清理程序发送给Host1。在本实例中网络安全防护设备根据Host1的IP地址与Host1建立TCP连接，并通过建立的TCP连接将名称为Win11的清理程序发送给Host1中的代理程序。需要说明的是本发明实施例中的“代理程序”是指处理器执行程序代码后生成的进程。

步骤705，Host1运行接收到的标识为Win11的清理程序。在本实例中，Host1中的代理程序在名称为Win14的清理程序接收完毕后，运行该清理程序。

具体地，代理程序和清理程序之间可以基于客户-服务器的socket机制实现进程间的通信，其中清理程序作为客户端，代理程序作为服务器。代理程序在内存中创建清理程序的进程时，为清理程序分配了一个绑定的端口，清理程序通过该接口向代理程序发送一个表示运行结束的数据，代理程序收到表示运行结束的数据后，确认清理程序执行完毕。

步骤710，网络安全防护设备查询附图6所示的记录集合，确定是否存在与Host1的网络环境数据和威胁检测数据对应的清理程序的信息。若附图6中存在Host1的网络环境数据和威胁检测数据对应的清理程序的信息，则执行与步骤703～705类似的处理，将清理程序发送给Host1。

若附图6中不存在Host1的网络环境数据和威胁检测数据对应的清理程序的信息，返回步骤701。

显然，附图4和附图5所示的记录集合可以存储在同一个数据库中，这样查询处理可以一次完成。

本发明实施例还提供了一种网络安全防护装置，如图8所示，该装置包括接收单元801、处理单元802和发送单元803，具体如下：

接收单元801，用于获得受保护网络中与所述网络安全防护装置连接的主机的网络环境数据和威胁检测数据二者至少之一，其中，所述网络环境数据包括以下至少一种：操作系统的标识、所述操作系统的参数、、具有网络端口访问功能的软件的标识和所述软件的参数；所述威胁检测数据包括以下至少一种：威胁种类和威胁标识，所述威胁种类包括漏洞和恶意程序中的至少一种；

处理单元802，用于根据所述接收单元801获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息；

发送单元803，用于将所述处理单元802查找到的所述用于消除所述主机中安全威胁的信息提供给所述主机。

可选地，所述用于消除所述主机中安全威胁的信息至少包括前面方法实施例中提及的三种中的至少一种。

若用于消除所述主机安全威胁的信息为清理程序，所述处理单元802用于查找对应的清理程序的标识和存储位置，根据查找到的所述标识和存储位置，获得用于消除所述主机安全威胁的清理程序。

所述发送单元803将处理单元802得到的清理程序发送给主机。

上述网络安全防护装置可以作为一个软件或硬件模块集成在将受保护网络与互联网连接的网关、防火墙、或NAT设备中，也可以部署于受保护网络中的其他位置上的独立设备上。应用于方法实施例一附图1a、附图1b和附图1c所示的场景中，实现其中网络安全防护设备的功能。网络安全防护装置可以实现的其他附加功能、以及与其他网元设备的交互过程，请参照方法实施例中对网络安全防护设备的描述，在这里不再赘述。

本发明实施例提供了一种网络安全防护装置。该安全防护装置获得受保护网络中与所述安全防护装置连接的主机的网络环境数据和威胁检测数据二者至少之一，根据获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息，例如清理程序；将所述用于消除所述主机中安全威胁的信息提供给所述主机。从而不仅能够发现受保护网络中已发生的威胁，还能发现潜在威胁，并且主动地触发主机清除安全威胁，改善了网络安全防护效果。

本领域普通技术人员将会理解，本发明的各个方面、或各个方面的可能实现方式可以被具体实施为系统、方法或者计算机程序产品。因此，本发明的各方面、或各个方面的可能实现方式可以采用完全硬件实施例、完全软件实施例(包括固件、驻留软件等等)，或者组合软件和硬件方面的实施例的形式，在这里都统称为“电路”、“模块”或者“系统”。此外，本发明的各方面、或各个方面的可能实现方式可以采用计算机程序产品的形式，计算机程序产品是指存储在计算机可读介质中的计算机可读程序代码。

计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质包含但不限于电子、磁性、光学、电磁、红外或半导体系统、设备或者装置，或者前述的任意适当组合，如随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、光纤、便携式只读存储器(CD-ROM)。

计算机中的处理器读取存储在计算机可读介质中的计算机可读程序代码，使得处理器能够执行在流程图中每个步骤、或各步骤的组合中规定的功能动作；生成实施在框图的每一块、或各块的组合中规定的功能动作的装置。

计算机可读程序代码可以完全在用户的本地计算机上执行、部分在用户的本地计算机上执行、作为单独的软件包、部分在用户的本地计算机上并且部分在远程计算机上，或者完全在远程计算机或者服务器上执行。也应该注意，在某些替代实施方案中，在流程图中各步骤、或框图中各块所注明的功能可能不按图中注明的顺序发生。例如，依赖于所涉及的功能，接连示出的两个步骤、或两个块实际上可能被大致同时执行，或者这些块有时候可能被以相反顺序执行。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种网络安全防护方法，由一安全防护设备执行，其特征在于，包括：

获得受保护网络中与所述安全防护设备连接的主机的网络环境数据和威胁检测数据二者至少之一，其中，所述网络环境数据包括以下至少一种：操作系统的标识、所述操作系统的参数、具有网络端口访问功能的软件的标识和所述软件的参数，所述威胁检测数据包括以下至少一种：威胁种类和威胁标识，所述威胁种类包括漏洞和恶意程序中的至少一种；

根据获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息；

向所述主机发送所述用于消除所述主机中安全威胁的信息。

2.根据权利要求1所述的方法，其特征在于，所述用于消除所述主机安全威胁的信息包括清理程序的标识和存储位置，所述清理程序的标识和存储位置用于消除所述主机中安全威胁。

3.根据权利要求1所述的方法，其特征在于，所述用于消除所述主机安全威胁的信息包括：用于消除所述主机安全威胁的清理程序；

所述查找对应的用于消除所述主机安全威胁的信息包括：

查找对应的清理程序的标识和存储位置，根据所述标识和存储位置，获得用于消除所述主机安全威胁的清理程序。

4.根据权利要求1所述的方法，其特征在于，所述用于消除所述主机安全威胁的信息包括：

文件操作指令，所述文件操作指令包括文件标识、文件存储位置、以及操作符，所述文件操作指令用以指示所述主机对所述主机中根据所述文件标识和文件存储位置确定的文件，执行所述操作符表示的操作。

5.一种网络安全防护装置，其特征在于，包括：

接收单元，用于获得受保护网络中与所述网络安全防护装置连接的主机的网络环境数据和威胁检测数据二者至少之一，其中，所述网络环境数据包括以下至少一种：操作系统的标识、所述操作系统的参数、、具有网络端口访问功能的软件的标识和所述软件的参数；所述威胁检测数据包括以下至少一种：威胁种类和威胁标识，所述威胁种类包括漏洞和恶意程序中的至少一种；

处理单元，用于根据所述接收单元获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息；

发送单元，用于将所述处理单元查找到的所述用于消除所述主机中安全威胁的信息提供给所述主机。

6.根据权利要求5所述的装置，其特征在于，

所述用于消除所述主机安全威胁的信息包括清理程序的标识和存储位置，所述清理程序的标识和存储位置用于消除所述主机中安全威胁。

7.根据权利要求5所述的装置，其特征在于，

所述用于消除所述主机安全威胁的信息包括：用于消除所述主机安全威胁的清理程序；

所述处理单元，用于查找对应的清理程序的标识和存储位置，根据所述标识和存储位置，获得用于消除所述主机安全威胁的清理程序。

8.根据权利要求5所述的装置，其特征在于，

所述用于消除所述主机安全威胁的信息包括：

文件操作指令，所述文件操作指令包括文件标识、文件存储位置、以及操作符，所述文件操作指令用以指示所述主机对所述主机中根据所述文件标识和文件存储位置确定的文件，执行所述操作符表示的操作。

9.一种网络安全防护设备，其特征在于，包括：

处理器、存储器和网络接口，所述处理器、所述存储器和所述网络接口通过总线相互通信；

所述存储器，用于存储程序代码和数据；

所述网络接口，用于获得受保护网络中与所述网络安全防护设备连接的主机的网络环境数据和威胁检测数据二者至少之一，其中，所述网络环境数据包括以下至少一种：操作系统的标识、所述操作系统的参数、具有网络端口访问功能的软件的标识和所述软件的参数，所述威胁检测数据包括以下至少一种：威胁种类和威胁标识，所述威胁种类包括漏洞和恶意程序中的至少一种；

所述处理器，用于读取所述存储器中存储的程序代码和数据，执行以下操作：

根据所述网络接口获得的所述网络环境数据和威胁检测数据二者至少之一，查找对应的用于消除所述主机中安全威胁的信息；

将所述用于消除所述主机中安全威胁的信息通过所述网络接口提供给所述主机。

10.根据权利要求9所述的设备，其特征在于，所述用于消除所述主机安全威胁的信息包括：用于消除所述主机安全威胁的清理程序；

所述处理器，用于查找对应的清理程序的标识和存储位置，根据所述标识和存储位置，获得用于消除所述主机安全威胁的清理程序。