CN107493256B - 安全事件防御方法及装置 - Google Patents
安全事件防御方法及装置 Download PDFInfo
- Publication number
- CN107493256B CN107493256B CN201610414967.3A CN201610414967A CN107493256B CN 107493256 B CN107493256 B CN 107493256B CN 201610414967 A CN201610414967 A CN 201610414967A CN 107493256 B CN107493256 B CN 107493256B
- Authority
- CN
- China
- Prior art keywords
- security
- security event
- vulnerability
- terminal
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 title claims abstract description 66
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000006378 damage Effects 0.000 claims description 15
- 238000011156 evaluation Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000001514 detection method Methods 0.000 description 16
- 238000005516 engineering process Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 9
- 238000012986 modification Methods 0.000 description 9
- 241000700605 Viruses Species 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 230000007547 defect Effects 0.000 description 6
- 238000009434 installation Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008439 repair process Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000006806 disease prevention Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种安全事件防御方法,包括步骤:从云端获取安全事件的漏洞特征信息、攻击特征信息及防护策略信息;根据所述漏洞特征信息扫描终端是否存在安全事件漏洞;当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎。本发明还公开了一种安全事件防御装置。本发明通过云端实时对互联网的安全事件进行探测,当安全事件出现时,能够第一时间获得安全事件的漏洞特征信息、攻击特征信息及防护策略信息,及时全面的对终端进行安全事件防护。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种安全事件防御方法及装置。
背景技术
随着信息技术和网络的快速发展,安全的边界已经超越地理和物理实体的限制,拓展到信息网络。近年来信息泄露类安全事件呈现集中爆发态势,涉及政府、医院、企业等多个领域。信息泄露数量达百万级的事件数次发生。
然而,安全事件爆发后,一般在很短的时间就会披露攻击方法,且通过网络迅速传播,在一、两天内被攻击对象大面积的业务系统都会遭受攻击,如果没有及时进行防护,会造成严重的损失。
现有的防护方案,是在安全事件爆发后,安全厂商通过分析攻击特征生成攻击特征库后,对外发布后,通过系统的更新机制更新特征库进行防御。需要在系统遭受攻击时或者用户主动启动网络安全扫描时,才会更新特征库以进行防护,且通过简单的特征识别进行防护效果并不理想。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种安全事件防御方法及装置,旨在解决现有的防护方案需要在系统遭受攻击时或者用户主动启动网络安全扫描时,才会更新特征库以进行防护,且通过简单的特征识别进行防护效果并不理想的问题。
为实现上述目的,本发明提供的一种安全事件防御方法,包括以下步骤:
从云端获取安全事件的漏洞特征信息、攻击特征信息及防护策略信息;
根据所述漏洞特征信息扫描终端是否存在安全事件漏洞;
当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎。
优选地,所述从云端获取安全事件的漏洞特征信息、攻击特征信息及防护策略信息的步骤之前,还包括:
通过云端监测网络中的安全事件,在安全事件出现时提取安全事件的漏洞特征信息及攻击特征信息,并根据所述漏洞特征信息及攻击特征信息生成防护策略信息。
优选地,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略的步骤包括:
根据终端存在的安全事件漏洞情况,结合防护策略信息中给出的通用防护配置信息,生成终端安全防护策略。
优选地,所述根据所述漏洞特征信息扫描终端是否存在安全事件漏洞的步骤之后,还包括:
根据是否存在安全事件漏洞对终端的安全状况进行评估;
当存在所述安全事件漏洞时,获取所述终端中受安全事件影响的信息。
优选地,所述当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎的步骤之后,还包括:
根据所述漏洞特征信息和所述攻击特征信息扫描终端是否存在安全事件危害;
根据扫描结果对进行安全事件防护后终端的安全状况进行评估,并提供是否调整安全防护策略的提示信息。
此外,为实现上述目的,本发明还提供一种安全事件防御装置,包括:
获取模块,用于从云端获取安全事件的漏洞特征信息、攻击特征信息及防护策略信息;
扫描模块,用于根据所述漏洞特征信息扫描终端是否存在安全事件漏洞;
防护模块,用于当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎。
优选地,所述安全事件防御装置还包括:
嗅探模块,用于通过云端监测网络中的安全事件,在安全事件出现时提取安全事件的漏洞特征信息及攻击特征信息,并根据所述漏洞特征信息及攻击特征信息生成防护策略信息。
优选地,所述防护模块,还用于根据终端存在的安全事件漏洞情况,结合防护策略信息中给出的通用防护配置信息,生成终端安全防护策略。
优选地,所述安全事件防御装置还包括:评估模块;
所述评估模块,用于根据是否存在安全事件漏洞对终端的安全状况进行评估;
所述获取模块,还用于当存在所述安全事件漏洞时,获取所述终端中受安全事件影响的信息。
优选地,所述安全事件防御装置还包括:提示模块,
所述扫描模块,还用于根据所述漏洞特征信息和所述攻击特征信息扫描终端是否存在安全事件危害;
所述提示模块,用于根据扫描结果对进行安全事件防护后终端的安全状况进行评估,并提供是否调整安全防护策略的提示信息。
本发明从云端获取安全事件的漏洞特征信息、攻击特征信息及防护策略信息;根据所述漏洞特征信息扫描终端是否存在安全事件漏洞;当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎。通过云端实时对互联网的安全事件进行探测,当安全事件出现时,能够第一时间获得安全事件的漏洞特征信息、攻击特征信息及防护策略信息,及时全面的对终端进行安全事件防护。
附图说明
图1为本发明安全事件防御方法的第一实施例的流程示意图;
图2为本发明安全事件防御方法的第二实施例的流程示意图;
图3为本发明安全事件防御方法的第三实施例的流程示意图;
图4为本发明安全事件防御方法的第四实施例的流程示意图;
图5为本发明安全事件防御装置的第一实施例的功能模块示意图;
图6为本发明安全事件防御装置的第二实施例的功能模块示意图;
图7为本发明安全事件防御装置的第三实施例的功能模块示意图;
图8为本发明安全事件防御装置的第四实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:从云端获取安全事件的漏洞特征信息、攻击特征信息及防护策略信息;根据所述漏洞特征信息扫描终端是否存在安全事件漏洞;当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎。通过云端实时对互联网的安全事件进行探测,当安全事件出现时,能够第一时间获得安全事件的漏洞特征信息、攻击特征信息及防护策略信息,及时全面的对终端进行安全事件防护。
由于现有的防护方案需要在系统遭受攻击时或者用户主动启动网络安全扫描时,才会更新特征库以进行防护,且通过简单的特征识别进行防护效果并不理想。
基于上述问题,本发明提供一种安全事件防御方法。
参照图1,图1为本发明安全事件防御方法的第一实施例的流程示意图。
在一实施例中,所述安全事件防御方法包括:
步骤S10,从云端获取安全事件的漏洞特征信息、攻击特征信息及防护策略信息;
安全事件是指当前互联网中正在发生的、影响范围广、危害性大的安全攻击事件,通常是由人为恶意的通过网络或其他技术手段,利用网络系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对网络系统实施攻击,并造成网络系统异常或对网络系统当前运行造成潜在危害的安全事件,安全事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等七个子类。安全事件爆发后,一般在很短的时间就会披露攻击方法,且通过网络迅速传播,在一、两天内大面积的业务系统都会遭受攻击,如果没有及时进行防护,会造成严重的损失。而在安全事件爆发后,等安全厂商通过分析攻击特征生成攻击特征库并对外发布后,再由系统的更新机制更新特征库进行防御,显然会错过安全事件防御的最佳时机,且通过简单的特征识别无法对终端进行全面有效的防护。本实施例通过云端实时对互联网的安全事件进行探测,当然,也可以是定时或者间隔一定时间对互联网的安全事件进行探测,考虑到安全事件发生时间的不确定性,为了能第一时间探测到安全事件,本实施例优选实时对互联网的安全事件进行探测;探测到安全事件出现时,获取安全事件的信息,包括安全事件的危害描述、漏洞特征信息及攻击特征信息,依据漏洞特征信息及攻击特征信息生成适用于防护软件的防护策略信息。
步骤S20,根据所述漏洞特征信息扫描终端是否存在安全事件漏洞;
漏洞扫描可以划分为ping扫描、端口扫描、OS探测、脆弱点探测、防火墙扫描五种主要技术,每种技术实现的目标和运用的原理各不相同。按照TCP/IP协议簇的结构,ping扫描工作在互联网络层:端口扫描、防火墙探测工作在传输层;0S探测、脆弱点探测工作在互联网络层、传输层、应用层。ping扫描确定目标主机的IP地址,端口扫描探测目标主机所开放的端口,然后基于端口扫描的结果,进行OS探测和脆弱点扫描。对终端进行漏洞扫描前,要将漏洞特征信息汇入漏洞资料库中,对终端进行漏洞扫描时,先探测目标系统的活动主机(终端),对活动主机进行端口扫描,确定系统开放的端口,同时根据协议指纹技术识别出主机的操作系统类型;然后,对开放的端口进行网络服务类型的识别,确定其提供的网络服务;根据目标系统的操作系统平台和提供的网络服务,调用漏洞资料库中已知的各种漏洞进行逐一检测,通过对探测响应数据包的分析判断是否存在已知安全漏洞;目标可以是工作站、服务器、交换机、数据库应用等各种对象;扫描结果可以给用户提供周密可靠的安全性分析报告,是提高网络安全整体水平的重要依据。
步骤S30,当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎。
安全事件通常是在有漏洞的终端进行扩散,因而,在安全事件发生后,要及时根据漏洞特征信息对终端进行扫描,以确认终端是否存在安全事件漏洞,当终端不存在安全事件漏洞时,表示终端目前不会受到安全事件危害;当终端存在安全事件漏洞时,表示终端对安全事件的抵抗性能较弱,根据安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎,同时下载补丁等对相应的安全事件漏洞进行修护,以确保终端能抵御安全事件的攻击。
具体地,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略的步骤包括:
根据终端存在的安全事件漏洞情况,结合防护策略信息中给出的通用防护配置信息,生成终端安全防护策略。
在云端依据漏洞特征信息及攻击特征信息生成适用于防护软件的防护策略信息,属于针对不同终端及不同的防护软件均适用的通用防护策略,所述防护策略信息中包括升级操作系统补丁、安装和/或修改防病杀毒软件、安装和/或修改入侵检测系统、安装和/或修改网络防火墙和硬件防火墙、数据保密与安装和/或修改动态口令认证系统、操作系统安全内核技术及身份验证技术等;以防火墙为例,防火墙包括包过滤防火墙、代理防火墙及双穴主机防火墙,根据终端存在的安全事件漏洞情况、安全事件的攻击特征信息、终端的防护要求等级及终端的防火墙状况等信息,给出不同的防火墙配置信息,包括在终端的防护要求等级较高、而已有的防火墙不能满足需求时,给出安装更高等级的防火墙的策略建议等;现有的针对安全事件进行防御的方式,是在安全事件爆发后,等安全厂商通过分析攻击特征生成攻击特征库并对外发布后,再由系统的更新机制更新特征库进行防御,且特征库仅包含攻击特征,但大部分的安全事件都无法通过简单的特征识别进行防护;而本实施例通过云端实时对互联网的安全事件进行探测,在安全事件发生之初,即对安全事件的漏洞特征信息及攻击特征信息进行自动分析,并生成防护策略信息,并将与安全事件相关的漏洞特征信息、攻击特征信息及防护策略信息与终端进行交互,使终端能及时的针对终端的具体情况,调整防护策略信息中给出的通用防护配置信息,生成终端安全防护策略。
本实施例通过云端实时对互联网的安全事件进行探测,当安全事件出现时,能够第一时间获得安全事件的漏洞特征信息、攻击特征信息及防护策略信息,及时全面的对终端进行安全事件防护。
参照图2,图2为本发明安全事件防御方法的第二实施例的流程示意图。基于上述安全事件防御方法的第一实施例,所述步骤S10之前,还包括:
步骤S40,通过云端监测网络中的安全事件,在安全事件出现时提取安全事件的漏洞特征信息及攻击特征信息,并根据所述漏洞特征信息及攻击特征信息生成防护策略信息。
云端可以全面实时的监测网络中的安全事件,可以在云端设置安全事件嗅探工具,例如网络爬虫,网络爬虫可以自动获取网络中的信息,并对获取的信息进行分析,安全事件携带有病毒特征,网络爬虫在对获取的信息进行分析时,当发现信息中具有病毒特征时,就将该信息标定为疑似安全事件,再由管理中心对该信息进行进一步分析,以确认该信息是否为安全事件;在探测到安全事件出现时,获取安全事件的信息,包括安全事件的危害描述、漏洞特征信息及攻击特征信息,依据漏洞特征信息及攻击特征信息生成适用于防护软件的防护策略信息。
本实施例通过云端监测网络中的安全事件,在安全事件出现时,提取安全事件的漏洞特征信息及攻击特征信息,并根据所述漏洞特征信息及攻击特征信息生成防护策略信息,可以全面及时的对网络中的安全事件进行监测。
参照图3,图3为本发明安全事件防御方法的第三实施例的流程示意图。基于上述安全事件防御方法的第二实施例,所述步骤S20之后,还包括:
步骤S50,根据是否存在安全事件漏洞对终端的安全状况进行评估;
当互联网出现安全事件后,在终端受到安全事件妨害前,用户对所使用终端对安全事件的防御能力及终端的安全状况不一定清楚,为了让用户及时的了解终端的状况,并根据终端的状况及时且有准备的做出系统调整以应对可能出现的风险,在根据漏洞特征信息对终端进行扫描后,根据是否存在安全事件漏洞对终端的安全状况进行评估,例如,无此漏洞、存在安全危害或已防护等状况,并将评估结果进行展示,例如,通过控制台首页或弹窗的方式进行展示,当然,还可以将安全事件的描述、危害及已经造成的损失等情况也进行展示,以便用户能够更准确的了解安全事件的信息。
步骤S60,当存在所述安全事件漏洞时,获取所述终端中受安全事件影响的信息。
当终端存在安全事件漏洞时,获取终端中受安全事件影响的信息,以便对安全事件防御做准备,同时也可以获取存在漏洞的软件、文件等信息,对漏洞进行修护、对存在危害的信息进行隔离甚至删除和/或粉碎等,并将修护、隔离、删除和/或粉碎等情况展示给用户,包括对隔离信息进行信任、删除和/或粉碎等处置,同时也使用户更详细了解终端的状况。
本实施例通过对终端的安全状况进行评估,获取终端中受安全事件影响的信息,以便对安全事件防御做准备,同时也可以使用户更详细了解终端的状况。
参照图4,图4为本发明安全事件防御方法的第四实施例的流程示意图。基于上述安全事件防御方法的第三实施例,所述步骤S30之后,还包括:
步骤S70,根据所述漏洞特征信息和所述攻击特征信息扫描终端是否存在安全事件危害;
步骤S80,根据扫描结果对进行安全事件防护后终端的安全状况进行评估,并提供是否调整安全防护策略的提示信息。
当终端存在安全事件漏洞时,根据安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎,以便对安全事件进行防护,在进行安全事件防御后,由于安全事件传播过程中,还可能出现病毒升级等情况,需再次根据安全事件的漏洞特征信息和攻击特征信息扫描终端是否存在安全事件危害,根据扫描结果对进行安全事件防护后终端的安全状况进行评估,以确保终端对安全事件进行了全面防护;本实施例优选采用主动扫描、自动对安全事件进行防御的方式对终端进行防护,在自动防御之后,还可以发出是否调整安全防护策略的提示信息,供用户进行手动扫描及防护策略配置,以适应不同用户对不同终端采用个性化防御的需求;在防御方面,不局限于网关软件、设备及终端软件,还可以采用网关软件和/或网关设备与终端一起实现更加全面的防护。
本实施例通过在终端对安全事件进行防御后,再次对终端是否存在安全事件危害进行扫描,以确保防护的全面准确性,同时,还提供用户手动进行扫描及防御的窗口,以适应不同用户对不同终端采用个性化防御的需求。
本发明进一步提供一种安全事件防御装置。
参照图5,图5为本发明安全事件防御装置的第一实施例的功能模块示意图。
在一实施例中,所述安全事件防御装置包括:获取模块10、扫描模块20及防护模块30。
所述获取模块10,用于从云端获取安全事件的漏洞特征信息、攻击特征信息及防护策略信息;
安全事件是指当前互联网中正在发生的、影响范围广、危害性大的安全攻击事件,通常是由人为恶意的通过网络或其他技术手段,利用网络系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对网络系统实施攻击,并造成网络系统异常或对网络系统当前运行造成潜在危害的安全事件,安全事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等七个子类。安全事件爆发后,一般在很短的时间就会披露攻击方法,且通过网络迅速传播,在一、两天内大面积的业务系统都会遭受攻击,如果没有及时进行防护,会造成严重的损失。而在安全事件爆发后,等安全厂商通过分析攻击特征生成攻击特征库并对外发布后,再由系统的更新机制更新特征库进行防御,显然会错过安全事件防御的最佳时机,且通过简单的特征识别无法对终端进行全面有效的防护。本实施例通过云端实时对互联网的安全事件进行探测,当然,也可以是定时或者间隔一定时间对互联网的安全事件进行探测,考虑到安全事件发生时间的不确定性,为了能第一时间探测到安全事件,本实施例优选实时对互联网的安全事件进行探测;探测到安全事件出现时,获取安全事件的信息,包括安全事件的危害描述、漏洞特征信息及攻击特征信息,依据漏洞特征信息及攻击特征信息生成适用于防护软件的防护策略信息。
所述扫描模块20,用于根据所述漏洞特征信息扫描终端是否存在安全事件漏洞;
漏洞扫描可以划分为ping扫描、端口扫描、OS探测、脆弱点探测、防火墙扫描五种主要技术,每种技术实现的目标和运用的原理各不相同。按照TCP/IP协议簇的结构,ping扫描工作在互联网络层:端口扫描、防火墙探测工作在传输层;0S探测、脆弱点探测工作在互联网络层、传输层、应用层。ping扫描确定目标主机的IP地址,端口扫描探测目标主机所开放的端口,然后基于端口扫描的结果,进行OS探测和脆弱点扫描。对终端进行漏洞扫描前,要将漏洞特征信息汇入漏洞资料库中,对终端进行漏洞扫描时,先探测目标系统的活动主机(终端),对活动主机进行端口扫描,确定系统开放的端口,同时根据协议指纹技术识别出主机的操作系统类型;然后,对开放的端口进行网络服务类型的识别,确定其提供的网络服务;根据目标系统的操作系统平台和提供的网络服务,调用漏洞资料库中已知的各种漏洞进行逐一检测,通过对探测响应数据包的分析判断是否存在已知安全漏洞;目标可以是工作站、服务器、交换机、数据库应用等各种对象;扫描结果可以给用户提供周密可靠的安全性分析报告,是提高网络安全整体水平的重要依据。
所述防护模块30,用于当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎。
安全事件通常是在有漏洞的终端进行扩散,因而,在安全事件发生后,要及时根据漏洞特征信息对终端进行扫描,以确认终端是否存在安全事件漏洞,当终端不存在安全事件漏洞时,表示终端目前不会受到安全事件危害;当终端存在安全事件漏洞时,表示终端对安全事件的抵抗性能较弱,根据安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎,同时下载补丁等对相应的安全事件漏洞进行修护,以确保终端能抵御安全事件的攻击。
具体地,所述防护模块30,还用于根据终端存在的安全事件漏洞情况,结合防护策略信息中给出的通用防护配置信息,生成终端安全防护策略。
在云端依据漏洞特征信息及攻击特征信息生成适用于防护软件的防护策略信息,属于针对不同终端及不同的防护软件均适用的通用防护策略,所述防护策略信息中包括升级操作系统补丁、安装和/或修改防病杀毒软件、安装和/或修改入侵检测系统、安装和/或修改网络防火墙和硬件防火墙、数据保密与安装和/或修改动态口令认证系统、操作系统安全内核技术及身份验证技术等;以防火墙为例,防火墙包括包过滤防火墙、代理防火墙及双穴主机防火墙,根据终端存在的安全事件漏洞情况、安全事件的攻击特征信息、终端的防护要求等级及终端的防火墙状况等信息,给出不同的防火墙配置信息,包括在终端的防护要求等级较高、而已有的防火墙不能满足需求时,给出安装更高等级的防火墙的策略建议等;现有的针对安全事件进行防御的方式,是在安全事件爆发后,等安全厂商通过分析攻击特征生成攻击特征库并对外发布后,再由系统的更新机制更新特征库进行防御,且特征库仅包含攻击特征,但大部分的安全事件都无法通过简单的特征识别进行防护;而本实施例通过云端实时对互联网的安全事件进行探测,在安全事件发生之初,即对安全事件的漏洞特征信息及攻击特征信息进行自动分析,并生成防护策略信息,并将与安全事件相关的漏洞特征信息、攻击特征信息及防护策略信息与终端进行交互,使终端能及时的针对终端的具体情况,调整防护策略信息中给出的通用防护配置信息,生成终端安全防护策略。
本实施例通过云端实时对互联网的安全事件进行探测,当安全事件出现时,能够第一时间获得安全事件的漏洞特征信息、攻击特征信息及防护策略信息,及时全面的对终端进行安全事件防护。
参照图6,图6为本发明安全事件防御装置的第二实施例的功能模块示意图。所述安全事件防御装置还包括嗅探模块40。
所述嗅探模块40,用于通过云端监测网络中的安全事件,在安全事件出现时提取安全事件的漏洞特征信息及攻击特征信息,并根据所述漏洞特征信息及攻击特征信息生成防护策略信息。
云端可以全面实时的监测网络中的安全事件,可以在云端设置安全事件嗅探工具,例如网络爬虫,网络爬虫可以自动获取网络中的信息,并对获取的信息进行分析,安全事件携带有病毒特征,网络爬虫在对获取的信息进行分析时,当发现信息中具有病毒特征时,就将该信息标定为疑似安全事件,再由管理中心对该信息进行进一步分析,以确认该信息是否为安全事件;在探测到安全事件出现时,获取安全事件的信息,包括安全事件的危害描述、漏洞特征信息及攻击特征信息,依据漏洞特征信息及攻击特征信息生成适用于防护软件的防护策略信息。
本实施例通过云端监测网络中的安全事件,在安全事件出现时,提取安全事件的漏洞特征信息及攻击特征信息,并根据所述漏洞特征信息及攻击特征信息生成防护策略信息,可以全面及时的对网络中的安全事件进行监测。
参照图7,图7为本发明安全事件防御装置的第三实施例的功能模块示意图。所述安全事件防御装置还包括评估模块50。
所述评估模块50,用于根据是否存在安全事件漏洞对终端的安全状况进行评估;
当互联网出现安全事件后,在终端受到安全事件妨害前,用户对所使用终端对安全事件的防御能力及终端的安全状况不一定清楚,为了让用户及时的了解终端的状况,并根据终端的状况及时且有准备的做出系统调整以应对可能出现的风险,在根据漏洞特征信息对终端进行扫描后,根据是否存在安全事件漏洞对终端的安全状况进行评估,例如,无此漏洞、存在安全危害或已防护等状况,并将评估结果进行展示,例如,通过控制台首页或弹窗的方式进行展示,当然,还可以将安全事件的描述、危害及已经造成的损失等情况也进行展示,以便用户能够更准确的了解安全事件的信息。
所述获取模块10,还用于当存在所述安全事件漏洞时,获取所述终端中受安全事件影响的信息。
当终端存在安全事件漏洞时,获取终端中受安全事件影响的信息,以便对安全事件防御做准备,同时也可以获取存在漏洞的软件、文件等信息,对漏洞进行修护、对存在危害的信息进行隔离甚至删除和/或粉碎等,并将修护、隔离、删除和/或粉碎等情况展示给用户,包括对隔离信息进行信任、删除和/或粉碎等处置,同时也使用户更详细了解终端的状况。
本实施例通过对终端的安全状况进行评估,获取终端中受安全事件影响的信息,以便对安全事件防御做准备,同时也可以使用户更详细了解终端的状况。
参照图8,图8为本发明安全事件防御装置的第四实施例的功能模块示意图。所述安全事件防御装置还包括:提示模块60。
所述扫描模块20,还用于根据所述漏洞特征信息和所述攻击特征信息扫描终端是否存在安全事件危害;
所述提示模块60,还用于根据扫描结果对进行安全事件防护后终端的安全状况进行评估,并提供是否调整安全防护策略的提示信息。
当终端存在安全事件漏洞时,根据安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎,以便对安全事件进行防护,在进行安全事件防御后,由于安全事件传播过程中,还可能出现病毒升级等情况,需再次根据安全事件的漏洞特征信息和攻击特征信息扫描终端是否存在安全事件危害,根据扫描结果对进行安全事件防护后终端的安全状况进行评估,以确保终端对安全事件进行了全面防护;本实施例优选采用主动扫描、自动对安全事件进行防御的方式对终端进行防护,在自动防御之后,还可以发出是否调整安全防护策略的提示信息,供用户进行手动扫描及防护策略配置,以适应不同用户对不同终端采用个性化防御的需求;在防御方面,不局限于网关软件、设备及终端软件,还可以采用网关软件和/或网关设备与终端一起实现更加全面的防护。
本实施例通过在终端对安全事件进行防御后,再次对终端是否存在安全事件危害进行扫描,以确保防护的全面准确性,同时,还提供用户手动进行扫描及防御的窗口,以适应不同用户对不同终端采用个性化防御的需求。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种安全事件防御方法,其特征在于,包括以下步骤:
通过云端对互联网的安全事件进行探测,在安全事件发生时,提取安全事件的漏洞特征信息及攻击特征信息,并对所述安全事件的漏洞特征信息和攻击特征信息进行自动分析,生成防护策略信息;
从云端获取安全事件的漏洞特征信息、攻击特征信息及防护策略信息;
根据所述漏洞特征信息扫描终端是否存在安全事件漏洞;
当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎;
下载补丁,并修护相应的安全事件漏洞。
2.如权利要求1所述的安全事件防御方法,其特征在于,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略的步骤包括:
根据终端存在的安全事件漏洞情况,结合防护策略信息中给出的通用防护配置信息,生成终端安全防护策略。
3.如权利要求1所述的安全事件防御方法,其特征在于,所述根据所述漏洞特征信息扫描终端是否存在安全事件漏洞的步骤之后,还包括:
根据是否存在安全事件漏洞对终端的安全状况进行评估;
当存在所述安全事件漏洞时,获取所述终端中受安全事件影响的信息。
4.如权利要求1至3任一项所述的安全事件防御方法,其特征在于,所述当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎的步骤之后,还包括:
根据所述漏洞特征信息和所述攻击特征信息扫描终端是否存在安全事件危害;
根据扫描结果对进行安全事件防护后终端的安全状况进行评估,并提供是否调整安全防护策略的提示信息。
5.一种安全事件防御装置,其特征在于,包括:
嗅探模块,用于通过云端监测网络中的安全事件,在安全事件出现时,提取安全事件的漏洞特征信息及攻击特征信息,并对所述安全事件的漏洞特征信息和攻击特征信息进行自动分析,生成防护策略信息;
获取模块,用于从云端获取安全事件的漏洞特征信息、攻击特征信息及防护策略信息;
扫描模块,用于根据所述漏洞特征信息扫描终端是否存在安全事件漏洞;
防护模块,用于当存在所述安全事件漏洞时,根据所述安全事件漏洞及防护策略信息自动生成终端安全防护策略,结合所述攻击特征信息启动安全引擎;同时,下载补丁,并修护相应的安全事件漏洞。
6.如权利要求5所述的安全事件防御装置,其特征在于,所述防护模块,还用于根据终端存在的安全事件漏洞情况,结合防护策略信息中给出的通用防护配置信息,生成终端安全防护策略。
7.如权利要求6所述的安全事件防御装置,其特征在于,所述安全事件防御装置还包括:评估模块;
所述评估模块,用于根据是否存在安全事件漏洞对终端的安全状况进行评估;
所述获取模块,还用于当存在所述安全事件漏洞时,获取所述终端中受安全事件影响的信息。
8.如权利要求5至7任一项所述的安全事件防御装置,其特征在于,所述安全事件防御装置还包括:提示模块,
所述扫描模块,还用于根据所述漏洞特征信息和所述攻击特征信息扫描终端是否存在安全事件危害;
所述提示模块,用于根据扫描结果对进行安全事件防护后终端的安全状况进行评估,并提供是否调整安全防护策略的提示信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610414967.3A CN107493256B (zh) | 2016-06-13 | 2016-06-13 | 安全事件防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610414967.3A CN107493256B (zh) | 2016-06-13 | 2016-06-13 | 安全事件防御方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107493256A CN107493256A (zh) | 2017-12-19 |
| CN107493256B true CN107493256B (zh) | 2020-11-20 |
Family
ID=60642758
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610414967.3A Active CN107493256B (zh) | 2016-06-13 | 2016-06-13 | 安全事件防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107493256B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417709B (zh) * | 2018-04-27 | 2022-01-21 | 南宁富桂精密工业有限公司 | 勒索软件攻击的预警方法、服务器及计算机可读存储介质 |
| CN109347846A (zh) * | 2018-10-30 | 2019-02-15 | 郑州市景安网络科技股份有限公司 | 一种网站放行方法、装置、设备及可读存储介质 |
| US11218503B2 (en) * | 2019-07-19 | 2022-01-04 | Jpmorgan Chase Bank, N.A. | System and method for implementing a vulnerability management module |
| CN110661795A (zh) * | 2019-09-20 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 一种向量级威胁情报自动生产、分发系统及方法 |
| CN110995693A (zh) * | 2019-11-28 | 2020-04-10 | 杭州迪普信息技术有限公司 | 一种攻击特征的提取方法、装置及设备 |
| CN112491626A (zh) * | 2020-12-02 | 2021-03-12 | 云南财经大学 | 基于大数据的信息安全防御系统 |
| CN114186218B (zh) * | 2021-04-27 | 2023-11-21 | 贵州财经大学 | 基于密码协议实现的逻辑安全检测方法 |
| CN113434855A (zh) * | 2021-06-30 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 一种安全事件的处理方法及装置、可读存储介质 |
| CN114944962B (zh) * | 2022-07-05 | 2022-12-13 | 广州平云信息科技有限公司 | 一种数据安全防护方法及系统 |
| CN115296860B (zh) * | 2022-07-15 | 2023-08-15 | 智己汽车科技有限公司 | 基于中央计算平台的车辆安全运维运营系统及车辆 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102523218A (zh) * | 2011-12-16 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和系统 |
| CN103118036A (zh) * | 2013-03-07 | 2013-05-22 | 上海电机学院 | 一种基于云端的智能安全防御系统和方法 |
| CN103324887A (zh) * | 2013-07-05 | 2013-09-25 | 百度在线网络技术(北京)有限公司 | 移动终端的安全防御装置、方法和移动终端 |
| CN104038488A (zh) * | 2014-06-05 | 2014-09-10 | 深信服网络科技(深圳)有限公司 | 系统网络安全的防护方法及装置 |
| US9141789B1 (en) * | 2013-07-16 | 2015-09-22 | Go Daddy Operating Company, LLC | Mitigating denial of service attacks |
| CN105119874A (zh) * | 2015-06-17 | 2015-12-02 | 广东电网有限责任公司信息中心 | 一种信息安全防护体系有效性评价的方法 |
-
2016
- 2016-06-13 CN CN201610414967.3A patent/CN107493256B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102523218A (zh) * | 2011-12-16 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和系统 |
| CN103118036A (zh) * | 2013-03-07 | 2013-05-22 | 上海电机学院 | 一种基于云端的智能安全防御系统和方法 |
| CN103324887A (zh) * | 2013-07-05 | 2013-09-25 | 百度在线网络技术(北京)有限公司 | 移动终端的安全防御装置、方法和移动终端 |
| US9141789B1 (en) * | 2013-07-16 | 2015-09-22 | Go Daddy Operating Company, LLC | Mitigating denial of service attacks |
| CN104038488A (zh) * | 2014-06-05 | 2014-09-10 | 深信服网络科技(深圳)有限公司 | 系统网络安全的防护方法及装置 |
| CN105119874A (zh) * | 2015-06-17 | 2015-12-02 | 广东电网有限责任公司信息中心 | 一种信息安全防护体系有效性评价的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107493256A (zh) | 2017-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107493256B (zh) | 安全事件防御方法及装置 | |
| CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| US8429746B2 (en) | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems | |
| CN111490970A (zh) | 一种网络攻击的溯源分析方法 | |
| US10873594B2 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| CA2968327C (en) | Systems and methods for malicious code detection accuracy assurance | |
| JP5351883B2 (ja) | コンピュータネットワークへの不正侵入を解析するシステムおよび方法 | |
| CN111245787A (zh) | 一种失陷设备识别与设备失陷度评估的方法、装置 | |
| TWI407328B (zh) | 網路病毒防護方法及系統 | |
| CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
| CN110348210B (zh) | 安全防护方法及装置 | |
| CN108200095B (zh) | 互联网边界安全策略脆弱性确定方法及装置 | |
| CN106713358A (zh) | 一种攻击性检测方法及装置 | |
| CN112688930A (zh) | 暴力破解检测方法、系统、设备及介质 | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| CN107515820A (zh) | 服务器监测方法及装置、检测服务器 | |
| Zhang et al. | Unveiling malicious activities in lan with honeypot | |
| CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
| US20170085577A1 (en) | Computer method for maintaining a hack trap | |
| US10498757B2 (en) | Telecommunications defence system | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| US11108800B1 (en) | Penetration test monitoring server and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Applicant after: SANGFOR TECHNOLOGIES Inc. Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518052 No. 1001 Nanshan Chi Park building A1 layer Applicant before: Sangfor Technologies Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Security incident defense methods and devices Effective date of registration: 20231212 Granted publication date: 20201120 Pledgee: Shenzhen Branch of China Merchants Bank Co.,Ltd. Pledgor: SANGFOR TECHNOLOGIES Inc. Registration number: Y2023980070863 |