CN107395593A - 一种漏洞自动化防护方法、防火墙及存储介质 - Google Patents
一种漏洞自动化防护方法、防火墙及存储介质 Download PDFInfo
- Publication number
- CN107395593A CN107395593A CN201710593216.7A CN201710593216A CN107395593A CN 107395593 A CN107395593 A CN 107395593A CN 201710593216 A CN201710593216 A CN 201710593216A CN 107395593 A CN107395593 A CN 107395593A
- Authority
- CN
- China
- Prior art keywords
- vulnerability information
- vulnerability
- leak
- information
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种漏洞自动化防护方法、防火墙及存储介质,所述方法包括:防火墙获取云端服务器发送的预设漏洞验证规则库;获取用户设备与外网进行数据交互的数据包,按照所述预设漏洞验证规则库确定所述数据包中的第一漏洞信息;关闭所述第一漏洞信息的相关权限。本发明通过获取云端服务器发送的预设漏洞验证规则库,保证从用户设备与外网进行数据交互的数据包中确定出更准确的漏洞信息,将所述漏洞信息的相关权限关闭,从而降低了漏洞在未修复期间被攻击者利用的风险。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种漏洞自动化防护方法、防火墙及存储介质。
背景技术
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞会影响到很大范围的软硬件设备,包括操作系统本身及支撑软件、路由器、防火墙等。在不同的软件硬件设备中,不同系统,或同种系统在不同设置条件下,都会存在各自不同的漏洞问题。漏洞问题有其时效性。脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的,只能针对目标系统的实际环境来讨论其中可能存在的漏洞及其可行的解决办法。
目前的漏洞检测和修复方案主要基于主动扫描或者被动扫描的方式,所谓被动扫描就是基于主机之上,对系统中不合适的设置、脆弱的口令以及其他与安全规则抵触的对象进行检查;而主动扫描是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。被动扫描及主动扫描存在着如下的缺点:主动扫描存在着一定的周期性,周期性间隔内可能会漏掉一部分的系统,如扫描期间系统没有开机。被动扫描的方式主要是基于规则特征,存在着许多误判。修复漏洞需要一定的时间,在漏洞未修复期间,漏洞可能被攻击者给利用从而在系统上植入后门。
上述信息仅用于辅助理解本发明的技术方案,并不代表承认上述信息是现有技术。
发明内容
本发明的主要目的在于提供一种漏洞自动化防护方法、防火墙及存储介质,旨在解决上述在漏洞扫描结果不准确,且在漏洞未修复期间存在被攻击者利用的风险的技术问题。
为实现上述目的,本发明提供一种漏洞自动化防护方法,所述漏洞自动化防护方法包括以下步骤:
防火墙获取云端服务器发送的预设漏洞验证规则库;
获取用户设备与外网进行数据交互的数据包,按照所述预设漏洞验证规则库确定所述数据包中的第一漏洞信息;
关闭所述第一漏洞信息的相关权限。
优选地,所述获取用户设备与外网进行数据交互的数据包,按照所述预设漏洞验证规则库确定所述数据包中的第一漏洞信息之后,所述方法还包括:
接收云端服务器发送的第二漏洞信息,所述第二漏洞信息为云端服务器检测到的漏洞信息;
删除所述第二漏洞信息中与所述第一漏洞信息重复的漏洞信息,获得的结果作为第三漏洞信息;
关闭所述第三漏洞信息的相关权限。
优选地,所述第二漏洞信息为云端服务器响应于用户设备发送的漏洞检测请求,接收到的由用户设备在获取到检测数据包后所反馈的漏洞信息,所述检测数据包由所述云端服务器根据预设漏洞验证规则库生成。
优选地,所述关闭所述第三漏洞信息的相关权限之后,所述方法还包括:
根据所述第一漏洞信息及所述第三漏洞信息生成重定向策略,将所述重定向策略发送至用户设备,以使所述用户设备的应用程序根据所述重定向策略重定向至升级页面,以提示升级。
优选地,所述将所述重定向策略发送至用户设备之后,所述方法还包括:
接收所述用户设备发送的升级请求,从所述升级请求中提取出漏洞信息,对提取出的漏洞信息进行修复。
优选地,所述关闭所述第三漏洞信息的相关权限之后,所述方法还包括:
获取安全补丁库,根据所述安全补丁库对所述第一漏洞信息及所述第三漏洞信息进行修复。
优选地,所述根据所述安全补丁库对所述第一漏洞信息及所述第三漏洞信息进行修复之后,所述方法还包括:
在所述第一漏洞信息及所述第三漏洞信息修复完成时,释放所述第一漏洞信息及所述第三漏洞信息的相关权限。
优选地,所述按照所述预设漏洞验证规则确定所述数据包中的第一漏洞信息,具体包括:
将所述数据包分别与所述预设漏洞验证规则库中各条漏洞验证规则进行匹配,根据匹配结果确定所述第一漏洞信息。
此外,为实现上述目的,本发明还提出一种防火墙,所述防火墙包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的漏洞自动化防护程序,所述漏洞自动化防护程序配置为实现如如上文所述的漏洞自动化防护方法的步骤。
此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有漏洞自动化防护程序,所述漏洞自动化防护程序被处理器执行时实现如上文所述的漏洞自动化防护方法的步骤。
本发明通过获取云端服务器发送的预设漏洞验证规则库,保证从用户设备与外网进行数据交互的数据包中确定出更准确的漏洞信息,将所述漏洞信息的相关权限关闭,从而降低了漏洞在未修复期间被攻击者利用的风险。
附图说明
图1为本发明一种漏洞自动化防护方法实施例方案涉及的硬件运行环境的防火墙结构示意图;
图2为本发明一种漏洞自动化防护方法第一实施例的流程示意图;
图3为本发明一种漏洞自动化防护系统结构框图;
图4为本发明一种漏洞自动化防护方法第二实施例的流程示意图;
图5为本发明一种漏洞自动化防护方法第三实施例的流程示意图;
图6为本发明一种漏洞自动化防护方法第四实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的防火墙结构示意图。
如图1所示,该防火墙可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如 WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对防火墙的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及漏洞自动化防护程序。
在图1所示的防火墙中,网络接口1004主要用于连接云端服务器,与云端服务器进行数据通信;用户接口1003主要用于连接用户设备,与用户设备进行数据通信,所述用户设备可以是网络终端或服务器终端等,所述防火墙通过处理器1001调用存储器1005中存储的漏洞自动化防护程序,并执行以下操作:
防火墙获取云端服务器发送的预设漏洞验证规则库;
获取用户设备与外网进行数据交互的数据包,按照所述预设漏洞验证规则库确定所述数据包中的第一漏洞信息;
关闭所述第一漏洞信息的相关权限。
进一步地,处理器1001可以调用存储器1005中存储的漏洞自动化防护程序,还执行以下操作:
接收云端服务器发送的第二漏洞信息,所述第二漏洞信息为云端服务器检测到的漏洞信息;
删除所述第二漏洞信息中与所述第一漏洞信息重复的漏洞信息,获得的结果作为第三漏洞信息;
关闭所述第三漏洞信息的相关权限。
进一步地,处理器1001可以调用存储器1005中存储的漏洞自动化防护程序,还执行以下操作:
所述第二漏洞信息为云端服务器响应于用户设备发送的漏洞检测请求,接收到的由用户设备在获取到检测数据包后所反馈的漏洞信息,所述检测数据包由所述云端服务器根据预设漏洞验证规则库生成。
进一步地,处理器1001可以调用存储器1005中存储的漏洞自动化防护程序,还执行以下操作:
根据所述第一漏洞信息及所述第三漏洞信息生成重定向策略,将所述重定向策略发送至用户设备,以使所述用户设备的应用程序根据所述重定向策略重定向至升级页面,以提示升级。
进一步地,处理器1001可以调用存储器1005中存储的漏洞自动化防护程序,还执行以下操作:
接收所述用户设备发送的升级请求,从所述升级请求中提取出漏洞信息,对提取出的漏洞信息进行修复。
进一步地,处理器1001可以调用存储器1005中存储的漏洞自动化防护程序,还执行以下操作:
获取安全补丁库,根据所述安全补丁库对所述第一漏洞信息及所述第三漏洞信息进行修复。
进一步地,处理器1001可以调用存储器1005中存储的漏洞自动化防护程序,还执行以下操作:
在所述第一漏洞信息及所述第三漏洞信息修复完成时,释放所述第一漏洞信息及所述第三漏洞信息的相关权限。
进一步地,处理器1001可以调用存储器1005中存储的漏洞自动化防护程序,还执行以下操作:
将所述数据包分别与所述预设漏洞验证规则库中各条漏洞验证规则进行匹配,根据匹配结果确定所述第一漏洞信息。
本实施例上述方案,通过获取云端服务器发送的预设漏洞验证规则库,保证从用户设备与外网进行数据交互的数据包中确定出更准确的漏洞信息,将所述漏洞信息的相关权限关闭,从而降低了漏洞在未修复期间被攻击者利用的风险。
基于上述硬件结构,提出本发明一种漏洞自动化防护方法实施例。
参照图2,提出本发明一种漏洞自动化防护方法第一实施例。
在本实施例中,所述漏洞自动化防护方法包括以下步骤:
步骤S10,防火墙获取云端服务器发送的预设漏洞验证规则库;
可理解的是,现有技术中的被动扫描方式主要是基于规则特征,通常所述规则特征不会实时进行更新,所以当有新的漏洞出现,而所述规则特征没有及时进行更新,则会出现误判。
本实施例中,云端服务器可通过搜索最新的漏洞信息,同时通过各种途径的定时监控安全漏洞信息,分析搜索到的最新漏洞信息,从而生成预设漏洞验证规则库,下发到防火墙,如图3所示,云端服务器101发送预设漏洞验证规则库至防火墙102。
步骤S20,获取用户设备与外网进行数据交互的数据包,按照所述预设漏洞验证规则库确定所述数据包中的第一漏洞信息;
应理解的是,如图3所示,防火墙102是一种网络安全部件,处于被保护网络107和外网103的边界,被保护网络107中包括多个用户设备104,用户设备104与外网103进行数据交互都需要经过防火墙102。所述预设漏洞验证规则库中包括漏洞特征,获取所有经过防火墙的数据包,根据所述漏洞特征查找所述数据包中是否存在相应的漏洞,从所有数据包中查找出的多个漏洞构成所述第一漏洞信息,本实施例中,所述第一漏洞信息即被动扫描方式获得的扫描结果,因所基于的规则是经过更新的预设漏洞验证规则,从而减少了出现误判的情况。
例如:A软件的V版本存在一个漏洞X,预设漏洞验证规则库中包括A 软件的版本信息及对应的漏洞X,获取所有经过防火墙的数据包,根据所述版本信息查找到数据包中存在所述V版本的A软件,则确认数据包中存在对应的漏洞X。
进一步地,所述按照所述预设漏洞验证规则确定所述数据包中的第一漏洞信息,具体包括:
将所述数据包分别与所述预设漏洞验证规则库中各条漏洞验证规则进行匹配,根据匹配结果确定所述第一漏洞信息。
需要说明的是,所述预设漏洞验证规则库中包括多条漏洞验证规则,例如页面存在源代码泄露漏洞验证规则、网站存在备份文件漏洞验证规则、网站存在服务器环境探针文件漏洞验证规则和网站存在目录浏览漏洞验证规则等,将所有经过防火墙的数据包分别与上述漏洞验证规则进行匹配,以验证这些数据包能匹配到哪些漏洞验证规则,匹配到相应漏洞验证规则的数据包,则存在相应漏洞验证规则所描述的漏洞,所有数据包经过匹配验证确定的多个漏洞构成所述第一漏洞信息。
步骤S30,关闭所述第一漏洞信息的相关权限。
可理解的是,根据所述第一漏洞信息,自动生成漏洞防护策略,即关闭所述第一漏洞信息的相关权限,防止漏洞被攻击者利用在系统上植入后门。例如:禁止SMB(ServerMessage Block服务器信息块协议)445端口的访问、禁止特权URL(Uniform ResourceLocator统一资源定位符)的访问、Java版本低于7的禁止下载jar(Java Archive,Java归档文件)文件等。
本实施例上述方案,通过获取云端服务器发送的预设漏洞验证规则库,从用户设备与外网进行数据交互的数据包中确定出更准确的漏洞信息,将所述漏洞信息的相关权限关闭,从而降低了漏洞在未修复期间被攻击者利用的风险。
进一步地,如图4所示,基于第一实施例提出本发明一种漏洞自动化防护方法第二实施例。
在本实施例中,在所述步骤S20之后,还包括如下步骤:
步骤S201,接收云端服务器发送的第二漏洞信息,所述第二漏洞信息为云端服务器检测到的漏洞信息;
进一步地,所述第二漏洞信息为云端服务器响应于用户设备发送的漏洞检测请求,接收到的由用户设备在获取到检测数据包后所反馈的漏洞信息,所述检测数据包由所述云端服务器根据预设漏洞验证规则库生成。
应理解的是,现有技术中主动扫描存在着一定的周期性,周期性间隔内可能会漏掉一部分的用户设备,如扫描期间用户设备没有开机。本实施例中的第二漏洞信息即主动扫描方式获得的扫描结果。为了防止上述情况发生,用户设备在开机时,可向云端服务器发送漏洞检测请求,所述云端服务器响应于所述漏洞检测请求,主动扫描所述用户设备,根据预设漏洞验证规则库构造无害的检测数据包,所述检测数据包可为版本检测或特权路径访问等,将所述检测数据包发送至用户设备,对用户设备进行相应的检测,根据返回的信息确定用户设备是否存在相应的漏洞,将确定的多个漏洞构成所述第二漏洞信息。
步骤S202,删除所述第二漏洞信息中与所述第一漏洞信息重复的漏洞信息,获得的结果作为第三漏洞信息;
可理解的是,所述第一漏洞信息为预设漏洞验证规则库查找所有经过防火墙的数据包中存在的漏洞,所述第二漏洞信息为云端服务器发送检测数据包而检测到的漏洞,两种方式扫描的漏洞结果会有不同,也会存在重复的结果,为了获得最新最全的漏洞检测结果,将所述第二漏洞信息中与所述第一漏洞信息重复的漏洞信息进行删除处理,剩下的漏洞信息即所述第三漏洞信息,作为所述第一漏洞信息的补充,从而获得更准确的漏洞扫描结果:所述第一漏洞信息及所述第三漏洞信息之和。
步骤S203,关闭所述第三漏洞信息的相关权限。
应理解的是,所述第三漏洞信息作为所述第一漏洞信息的补充,包括了被保护网络中所述第一漏洞信息之外的其他漏洞信息,根据所述第三漏洞信息,自动生成漏洞防护策略,即关闭所述第三漏洞信息的相关权限,防止漏洞被攻击者利用在系统上植入后门。例如:禁止SMB 445端口的访问、禁止特权URL的访问、Java版本低于7的禁止下载jar文件等。
本实施例中,通过将云端服务器主动扫描的漏洞扫描结果第二漏洞信息中与防火墙被动扫描的漏洞扫描结果第一漏洞信息重复的漏洞信息进行删除处理,获得作为所述第一漏洞信息的补充的第三漏洞信息,根据所述第三漏洞信息自动生成漏洞防护策略,从而进一步地降低漏洞在未修复期间被攻击者利用的风险。
进一步地,如图5所示,基于第二实施例提出本发明一种漏洞自动化防护方法第三实施例。
在本实施例中,所述步骤S203之后,还包括如下步骤:
步骤S40,根据所述第一漏洞信息及所述第三漏洞信息生成重定向策略,将所述重定向策略发送至用户设备,以使所述用户设备的应用程序根据所述重定向策略重定向至升级页面,以提示升级。
可理解的是,用户设备的应用程序存在漏洞,当用户使用所述应用程序,则漏洞易被攻击者利用在系统上植入后门,为了防止上述情况发生,根据所述第一漏洞信息及所述第三漏洞信息对用户设备生成重定向策略到补丁升级页面,以提示升级。
例如:用户设备中的浏览器存在漏洞,当用户使用所述浏览器搜索,则浏览器会将页面跳转到浏览器升级页面,提示用户所述浏览器存在漏洞,需要升级,升级之后才能继续使用所述浏览器进行搜索。
步骤S50,接收所述用户设备发送的升级请求,从所述升级请求中提取出漏洞信息,对提取出的漏洞信息进行修复。
应理解的是,在所述用户设备的应用程序根据所述重定向策略重定向至升级页面时,发送当前应用程序的升级请求至防火墙,所述重定向策略为根据所述第一漏洞信息及所述第三漏洞信息生成,则发送的升级请求中包括所述应用程序对应的漏洞信息,从所述升级请求中提取出漏洞信息,将提取出的漏洞信息进行修复。
进一步地,在所述提取出的漏洞信息修复完成时,释放所述提取出的漏洞信息的相关权限。
可理解的是,所述提取出的漏洞信息修复完成,则相应的应用程序不存在漏洞,所述提取出的漏洞信息的相关权限不会被攻击者利用而在系统上植入后门,此时应该释放所述提取出的漏洞信息的相关权限,修复后的应用程序可安全的执行相关操作。
本实施例,通过根据检测出的第一漏洞信息及第三漏洞信息对用户设备生成重定向策略,存在漏洞的用户设备的应用程序使用时自动跳转至升级页面,在升级补上相应的漏洞之后方可放行所述应用程序,从而保证了被保护网络的安全性。
进一步地,如图6所示,基于第二实施例提出本发明一种漏洞自动化防护方法第四实施例
在本实施例中,所述步骤S203之后,还包括如下步骤:
步骤S60,获取安全补丁库,根据所述安全补丁库对所述第一漏洞信息及所述第三漏洞信息进行修复。
应理解的是,云端服务器可通过多种途径监控最新的安全补丁,并将所述最新的安全补丁进行归档整理,形成安全补丁库,下发到防火墙。防火墙从所述安全补丁库中查找到所述第一漏洞信息及所述第三漏洞信息对应的补丁,将漏洞补上,以实现漏洞的修复。
步骤S70,在所述第一漏洞信息及所述第三漏洞信息修复完成时,释放所述第一漏洞信息及所述第三漏洞信息的相关权限。
可理解的是,所述第一漏洞信息及所述第三漏洞信息可包括多个漏洞,从安全补丁库中查找到对应的多个补丁,将多个漏洞分别补上,修复完成,所述第一漏洞信息及所述第三漏洞信息的相关权限不会被攻击者利用而在系统上植入后门,则释放所述第一漏洞信息及所述第三漏洞信息的相关权限。
本实施例,通过根据云端服务器下发的最新的安全补丁库,对第一漏洞信息及第三漏洞信息进行修复,修复完成则释放所述第一漏洞信息及所述第三漏洞信息的相关权限,使用户设备的应用程序可安全使用,提高了被保护网络的安全性。
进一步地,本实施例中的所述步骤S60和步骤S70也可结合第三实施例执行,在第三实施例的步骤S40之后,执行所述步骤S60和步骤S70,可以通过这两种方式,对漏洞进行及时修复,使得用户设备的应用程序能安全的使用,提高了被保护网络的安全性,降低了漏洞被攻击者利用的风险。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有漏洞自动化防护程序,所述漏洞自动化防护程序被处理器执行时实现如下操作:
防火墙获取云端服务器发送的预设漏洞验证规则库;
获取用户设备与外网进行数据交互的数据包,按照所述预设漏洞验证规则库确定所述数据包中的第一漏洞信息;
关闭所述第一漏洞信息的相关权限。
进一步地,所述漏洞自动化防护程序被处理器执行时还实现如下操作:
接收云端服务器发送的第二漏洞信息,所述第二漏洞信息为云端服务器检测到的漏洞信息;
删除所述第二漏洞信息中与所述第一漏洞信息重复的漏洞信息,获得的结果作为第三漏洞信息;
关闭所述第三漏洞信息的相关权限。
进一步地,所述漏洞自动化防护程序被处理器执行时还实现如下操作:
所述第二漏洞信息为云端服务器响应于用户设备发送的漏洞检测请求,接收到的由用户设备在获取到检测数据包后所反馈的漏洞信息,所述检测数据包由所述云端服务器根据预设漏洞验证规则库生成。
进一步地,所述漏洞自动化防护程序被处理器执行时还实现如下操作:
根据所述第一漏洞信息及所述第三漏洞信息生成重定向策略,将所述重定向策略发送至用户设备,以使所述用户设备的应用程序根据所述重定向策略重定向至升级页面,以提示升级。
进一步地,所述漏洞自动化防护程序被处理器执行时还实现如下操作:
接收所述用户设备发送的升级请求,从所述升级请求中提取出漏洞信息,对提取出的漏洞信息进行修复。
进一步地,所述漏洞自动化防护程序被处理器执行时还实现如下操作:
获取安全补丁库,根据所述安全补丁库对所述第一漏洞信息及所述第三漏洞信息进行修复。
进一步地,所述漏洞自动化防护程序被处理器执行时还实现如下操作:
在所述第一漏洞信息及所述第三漏洞信息修复完成时,释放所述第一漏洞信息及所述第三漏洞信息的相关权限。
进一步地,所述漏洞自动化防护程序被处理器执行时还实现如下操作:
将所述数据包分别与所述预设漏洞验证规则库中各条漏洞验证规则进行匹配,根据匹配结果确定所述第一漏洞信息。
本实施例上述方案,通过获取云端服务器发送的预设漏洞验证规则库,保证从用户设备与外网进行数据交互的数据包中确定出更准确的漏洞信息,将所述漏洞信息的相关权限关闭,从而降低了漏洞在未修复期间被攻击者利用的风险。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本文中,单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上存储介质(如ROM/RAM、磁碟、光盘) 中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图信息所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种漏洞自动化防护方法,其特征在于,所述方法包括以下步骤:
防火墙获取云端服务器发送的预设漏洞验证规则库;
获取用户设备与外网进行数据交互的数据包,按照所述预设漏洞验证规则库确定所述数据包中的第一漏洞信息;
关闭所述第一漏洞信息的相关权限。
2.如权利要求1所述的方法,其特征在于,所述获取用户设备与外网进行数据交互的数据包,按照所述预设漏洞验证规则库确定所述数据包中的第一漏洞信息之后,所述方法还包括:
接收云端服务器发送的第二漏洞信息,所述第二漏洞信息为云端服务器检测到的漏洞信息;
删除所述第二漏洞信息中与所述第一漏洞信息重复的漏洞信息,获得的结果作为第三漏洞信息;
关闭所述第三漏洞信息的相关权限。
3.如权利要求2所述的方法,其特征在于,所述第二漏洞信息为云端服务器响应于用户设备发送的漏洞检测请求,接收到的由用户设备在获取到检测数据包后所反馈的漏洞信息,所述检测数据包由所述云端服务器根据预设漏洞验证规则库生成。
4.如权利要求2所述的方法,其特征在于,所述关闭所述第三漏洞信息的相关权限之后,所述方法还包括:
根据所述第一漏洞信息及所述第三漏洞信息生成重定向策略,将所述重定向策略发送至用户设备,以使所述用户设备的应用程序根据所述重定向策略重定向至升级页面,以提示升级。
5.如权利要求4所述的方法,其特征在于,所述将所述重定向策略发送至用户设备之后,所述方法还包括:
接收所述用户设备发送的升级请求,从所述升级请求中提取出漏洞信息,对提取出的漏洞信息进行修复。
6.如权利要求2所述的方法,其特征在于,所述关闭所述第三漏洞信息的相关权限之后,所述方法还包括:
获取安全补丁库,根据所述安全补丁库对所述第一漏洞信息及所述第三漏洞信息进行修复。
7.如权利要求6所述的方法,其特征在于,所述根据所述安全补丁库对所述第一漏洞信息及所述第三漏洞信息进行修复之后,所述方法还包括:
在所述第一漏洞信息及所述第三漏洞信息修复完成时,释放所述第一漏洞信息及所述第三漏洞信息的相关权限。
8.如权利要求1~7任一项中所述的方法,其特征在于,所述按照所述预设漏洞验证规则确定所述数据包中的第一漏洞信息,具体包括:
将所述数据包分别与所述预设漏洞验证规则库中各条漏洞验证规则进行匹配,根据匹配结果确定所述第一漏洞信息。
9.一种防火墙,其特征在于,所述防火墙包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的漏洞自动化防护程序,所述漏洞自动化防护程序配置为实现如权利要求1至8中任一项所述的漏洞自动化防护方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有漏洞自动化防护程序,所述漏洞自动化防护程序被处理器执行时实现如权利要求1至8中任一项所述的漏洞自动化防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710593216.7A CN107395593B (zh) | 2017-07-19 | 2017-07-19 | 一种漏洞自动化防护方法、防火墙及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710593216.7A CN107395593B (zh) | 2017-07-19 | 2017-07-19 | 一种漏洞自动化防护方法、防火墙及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107395593A true CN107395593A (zh) | 2017-11-24 |
| CN107395593B CN107395593B (zh) | 2020-12-04 |
Family
ID=60337296
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710593216.7A Active CN107395593B (zh) | 2017-07-19 | 2017-07-19 | 一种漏洞自动化防护方法、防火墙及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107395593B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600338A (zh) * | 2018-03-30 | 2018-09-28 | 山东乾云启创信息科技股份有限公司 | 一种虚拟化环境中的文件共享方法、装置及系统 |
| CN108830087A (zh) * | 2018-07-06 | 2018-11-16 | 北京知道创宇信息技术有限公司 | 安全补丁管理方法以及装置 |
| CN109067709A (zh) * | 2018-07-06 | 2018-12-21 | 北京知道创宇信息技术有限公司 | 一种漏洞管理方法、装置、电子设备及存储介质 |
| CN109067779A (zh) * | 2018-09-17 | 2018-12-21 | 平安科技(深圳)有限公司 | 基于安全防护的优化防火墙的方法、装置及计算机设备 |
| CN109218336A (zh) * | 2018-11-16 | 2019-01-15 | 北京知道创宇信息技术有限公司 | 漏洞防御方法及系统 |
| CN110572399A (zh) * | 2019-09-10 | 2019-12-13 | 百度在线网络技术(北京)有限公司 | 漏洞检测处理方法、装置、设备及存储介质 |
| CN111079144A (zh) * | 2019-11-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| CN112104490A (zh) * | 2020-09-03 | 2020-12-18 | 杭州安恒信息安全技术有限公司 | 基于云服务器的网络通信方法、装置和电子装置 |
| CN112787985A (zh) * | 2019-11-11 | 2021-05-11 | 华为技术有限公司 | 一种漏洞的处理方法、管理设备以及网关设备 |
| CN113569256A (zh) * | 2021-08-12 | 2021-10-29 | 京东科技信息技术有限公司 | 漏洞扫描方法和装置、系统、电子设备、计算机可读介质 |
| CN114036365A (zh) * | 2021-11-10 | 2022-02-11 | 深圳安巽科技有限公司 | 一种分布式网络空间搜索方法、系统及存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988439A (zh) * | 2006-12-08 | 2007-06-27 | 亿阳安全技术有限公司 | 实现网络安全的装置及方法 |
| CN101873231A (zh) * | 2010-07-06 | 2010-10-27 | 联想网御科技(北京)有限公司 | 一种网络入侵特征配置方法及系统 |
| CN102523218A (zh) * | 2011-12-16 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和系统 |
| CN102592084A (zh) * | 2011-12-27 | 2012-07-18 | 奇智软件(北京)有限公司 | 一种漏洞修复客户端逻辑的测试方法及系统 |
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
| CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
| CN104468563A (zh) * | 2014-12-03 | 2015-03-25 | 北京奇虎科技有限公司 | 网站漏洞防护方法、装置及系统 |
| CN104506522A (zh) * | 2014-12-19 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
| CN105763574A (zh) * | 2016-05-13 | 2016-07-13 | 北京洋浦伟业科技发展有限公司 | 一种基于大数据分析的防火墙系统 |
| US20170078309A1 (en) * | 2015-09-11 | 2017-03-16 | Beyondtrust Software, Inc. | Systems and methods for detecting vulnerabilities and privileged access using cluster movement |
| CN106713358A (zh) * | 2017-02-04 | 2017-05-24 | 国家电网公司信息通信分公司 | 一种攻击性检测方法及装置 |
| CN106919843A (zh) * | 2017-01-24 | 2017-07-04 | 北京奇虎科技有限公司 | 漏洞修复系统、方法及设备 |
-
2017
- 2017-07-19 CN CN201710593216.7A patent/CN107395593B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988439A (zh) * | 2006-12-08 | 2007-06-27 | 亿阳安全技术有限公司 | 实现网络安全的装置及方法 |
| CN101873231A (zh) * | 2010-07-06 | 2010-10-27 | 联想网御科技(北京)有限公司 | 一种网络入侵特征配置方法及系统 |
| CN102523218A (zh) * | 2011-12-16 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和系统 |
| CN102592084A (zh) * | 2011-12-27 | 2012-07-18 | 奇智软件(北京)有限公司 | 一种漏洞修复客户端逻辑的测试方法及系统 |
| CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
| CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
| CN104468563A (zh) * | 2014-12-03 | 2015-03-25 | 北京奇虎科技有限公司 | 网站漏洞防护方法、装置及系统 |
| CN104506522A (zh) * | 2014-12-19 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
| US20170078309A1 (en) * | 2015-09-11 | 2017-03-16 | Beyondtrust Software, Inc. | Systems and methods for detecting vulnerabilities and privileged access using cluster movement |
| CN105763574A (zh) * | 2016-05-13 | 2016-07-13 | 北京洋浦伟业科技发展有限公司 | 一种基于大数据分析的防火墙系统 |
| CN106919843A (zh) * | 2017-01-24 | 2017-07-04 | 北京奇虎科技有限公司 | 漏洞修复系统、方法及设备 |
| CN106713358A (zh) * | 2017-02-04 | 2017-05-24 | 国家电网公司信息通信分公司 | 一种攻击性检测方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600338A (zh) * | 2018-03-30 | 2018-09-28 | 山东乾云启创信息科技股份有限公司 | 一种虚拟化环境中的文件共享方法、装置及系统 |
| CN108830087A (zh) * | 2018-07-06 | 2018-11-16 | 北京知道创宇信息技术有限公司 | 安全补丁管理方法以及装置 |
| CN109067709A (zh) * | 2018-07-06 | 2018-12-21 | 北京知道创宇信息技术有限公司 | 一种漏洞管理方法、装置、电子设备及存储介质 |
| CN109067779A (zh) * | 2018-09-17 | 2018-12-21 | 平安科技(深圳)有限公司 | 基于安全防护的优化防火墙的方法、装置及计算机设备 |
| CN109218336A (zh) * | 2018-11-16 | 2019-01-15 | 北京知道创宇信息技术有限公司 | 漏洞防御方法及系统 |
| CN110572399A (zh) * | 2019-09-10 | 2019-12-13 | 百度在线网络技术(北京)有限公司 | 漏洞检测处理方法、装置、设备及存储介质 |
| CN112787985A (zh) * | 2019-11-11 | 2021-05-11 | 华为技术有限公司 | 一种漏洞的处理方法、管理设备以及网关设备 |
| CN112787985B (zh) * | 2019-11-11 | 2022-09-16 | 华为技术有限公司 | 一种漏洞的处理方法、管理设备以及网关设备 |
| CN111079144A (zh) * | 2019-11-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| CN112104490A (zh) * | 2020-09-03 | 2020-12-18 | 杭州安恒信息安全技术有限公司 | 基于云服务器的网络通信方法、装置和电子装置 |
| CN113569256A (zh) * | 2021-08-12 | 2021-10-29 | 京东科技信息技术有限公司 | 漏洞扫描方法和装置、系统、电子设备、计算机可读介质 |
| CN114036365A (zh) * | 2021-11-10 | 2022-02-11 | 深圳安巽科技有限公司 | 一种分布式网络空间搜索方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107395593B (zh) | 2020-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107395593A (zh) | 一种漏洞自动化防护方法、防火墙及存储介质 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| KR101295644B1 (ko) | 스마트폰 앱 검증 시스템 및 그 방법 | |
| CN102546576B (zh) | 一种网页挂马检测和防护方法、系统及相应代码提取方法 | |
| US20200026846A1 (en) | System and method for authenticating safe software | |
| CN104376263B (zh) | 应用程序行为拦截的方法和装置 | |
| CN106548076A (zh) | 检测应用漏洞代码的方法和装置 | |
| US20140215614A1 (en) | System and method for a security assessment of an application uploaded to an appstore | |
| CN108768960B (zh) | 病毒检测方法、装置、存储介质及计算机设备 | |
| CN107896219B (zh) | 一种网站脆弱性的检测方法、系统及相关装置 | |
| CN102664876A (zh) | 网络安全检测方法及系统 | |
| CN105512559A (zh) | 一种用于提供访问页面的方法与设备 | |
| KR101902747B1 (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
| CN109361713A (zh) | 互联网风险监控方法、装置、设备及存储介质 | |
| CN110968872A (zh) | 文件漏洞的检测处理方法、装置、电子设备及存储介质 | |
| CN109413045A (zh) | 一种访问控制系统及方法 | |
| CN108737531A (zh) | 一种业务处理的方法和装置 | |
| CN105550598A (zh) | 一种移动存储设备的安全管理方法和装置 | |
| CN110336812A (zh) | 资源拦截处理方法、装置、计算机设备和存储介质 | |
| CN107301346A (zh) | 一种利用白名单机制实现安卓设备app快速安全检测方法 | |
| CN107103243B (zh) | 漏洞的检测方法及装置 | |
| CN109635222A (zh) | 网页权限管控方法、装置、设备及计算机可读存储介质 | |
| CN106302515B (zh) | 一种网站安全防护的方法和装置 | |
| Subedi et al. | Secure paradigm for web application development | |
| Deng et al. | {NAUTILUS}: Automated {RESTful}{API} Vulnerability Detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |