本发明专利技术公开了一种系统网络安全的防护方法,包括以下步骤:获取扫描规则及漏洞特征;根据扫描规则进行漏洞扫描,及根据漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;当检测到系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;根据当前防护策略对所述系统进行防护。本发明专利技术还公开了一种系统网络安全的防护装置,本发明专利技术能够实现将网络漏洞的发现及防护操作结为一体,提高系统的性能,防护效果更好。
【技术实现步骤摘要】
系统网络安全的防护方法及装置
本专利技术涉及计算机信息
,尤其涉及一种系统网络安全的防护方法及装置。
技术介绍
计算机系统在硬件、软件及协议层的设计总会存在缺陷和不足,这些缺陷和不足称为漏洞,漏洞的存在可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等。现有的维护网络安全的方法主要有以下两种:一种为安全威胁发现类型,如AppScan扫描工具,通过探测当前网络及节点相关信息,分析网络安全风险状况,并能够给出一些消除风险的参考建议;另一种为安全威胁防护类型,基于漏洞规则库、协议识别库等添加防护策略,对已知的通用性漏洞进行防护。上述两种维护网络安全的方法存在以下问题:1.单纯的安全威胁发现类型无法实现漏洞的防护,扫描出来的漏洞一般需要网络管理员根据系统自身的特性进行分析是否存在相关问题,并通过修改自身系统缺陷或购买其他漏洞防护解决方案来达到漏洞防护的目的,其功能单一,不能满足需要。2.单纯的安全威胁防护类型只能对通用漏洞进行防护,无法针对新出现的漏洞进行适合有效的漏洞防护,如:通用漏洞包括A、B、C,漏洞防护类型对A、B、C都配置了策略进行防护,但系统可能只存在漏洞B,漏洞A、C在本系统中已经被修复过,这样进行A、C的策略防护就会显得多余,如果此类通用漏洞很多,将会大大影响系统数据处理的速度,系统性能降低。另外,安全威胁防护类型需要人为添加相应的漏洞防护策略,若管理员知识水平或安全意识不足时,容易引发网络安全问题。上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种系统网络安全的防护方法及装置,旨在实现将网络漏洞的发现及防护操作结为一体,提高系统的性能,防护效果更好。为实现上述目的,本专利技术提供的一种系统网络安全的防护方法,包括以下步骤:获取扫描规则及漏洞特征;根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;根据所述当前防护策略对所述系统进行防护。优选地,所述根据当前防护策略对所述系统进行防护的步骤之前包括:更新所述当前防护策略。优选地,所述更新所述当前防护策略的步骤包括:通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。优选地,所述当发现系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略的步骤包括:根据检测到的漏洞获取对应的预存防护策略;对所述对应的预存防护策略的使用状态进行修改;根据修改后的预存防护策略生成所述当前防护策略。本专利技术还提供一种系统网络安全的防护装置,包括:获取模块,用于获取扫描规则及漏洞特征;检测模块,用于根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;生成模块,用于当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;防护模块,用于根据所述当前防护策略对所述系统进行防护。优选地,所述防护装置还包括更新模块,用于更新所述当前防护策略。优选地,所述更新模块具体用于通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。优选地,所述生成模块包括:获取单元,用于根据检测到的漏洞获取对应的预存防护策略;修改单元,用于对所述对应的预存防护策略的使用状态进行修改;生成单元,用于根据修改后的预存防护策略生成所述当前防护策略。本专利技术一种系统网络安全的防护方法及装置,根据扫描规则主动进行漏洞扫描,并根据漏洞特征实时分析系统中的网络流量,当发现系统中存在漏洞时,可以根据该漏洞及对应的预存防护策略生成新的防护策略,并使用新的防护策略进行防护,相比于现有技术的安全威胁发现类型的方法,本实施例不需要管理员进行操作,也不需要增加新的防护方案来进行防护;相比于现有技术中的安全威胁防护类型的方法,本实施例使用新的防护策略进行防护,实现将网络漏洞的发现及防护操作结为一体,简化了防护的流程,保证网络安全并提高系统性能,防护效果更好。【附图说明】图1为本专利技术系统网络安全的防护方法一实施例的流程示意图;图2为图1中根据检测到的漏洞及预存防护策略生成当前防护策略的步骤的细化流程示意图;图3为本专利技术系统网络安全的防护装置一实施例的结构示意图;图4为图3中生成模块的结构示意图。本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。【具体实施方式】应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。本专利技术提供一种系统网络安全的防护方法,参照图1,在一实施例中,该方法包括:步骤SlOl,获取扫描规则及漏洞特征;步骤S102,根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;其中,当系统获取扫描规则及漏洞特征后,本实施例根据扫描规则主动对系统的服务器及应用等进行漏洞扫描,并根据漏洞特征实时分析系统中各应用及访问服务器的网络流量,以检测系统是否存在漏洞。扫描规则为系统中已发现的漏洞及外部网络上已有的漏洞的扫描规则,可通过网络管理员的配置进行扫描相关服务器及应用等,以检测系统是否存在漏洞。漏洞特征为系统中已发现的漏洞及外部网络上已有的漏洞的特征,系统可以提取这些漏洞的特征作为防护之用。本实施例中,可以将扫描规则及漏洞特征收集并各自保存于一数据库中。步骤S103,当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;本实施例中,当扫描发现漏洞或者分析系统中的网络流量发现漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略。预存的防护策略可从外部网络中获取,并可存储于一数据库中。例如,某一预存防护策略对应漏洞A、B及C进行防护,漏洞B及C在本系统中已经被修复,系统当前只存在漏洞A,则本实施例可根据对应于漏洞A、B及C的预存防护策略以及漏洞A生成当前防护策略,即该当前防护策略只对系统存在的漏洞A进行防护,对漏洞B和C则不进行防护,如此,对应于漏洞A、B及C的预存防护策略变为只对应漏洞A的当前防护策略,这样就能够简化防护策略,对当前存在的漏洞进行最优化的处理,提高系统的性倉泛。步骤S104,根据所述当前防护策略对所述系统进行防护。例如,本实施例可通过漏洞扫描发现操作系统为Windows,WEB服务器为互联网信息服务(Internet Informat1n Services, IIS), IIS是由微软公司提供的基于运行Microsoft Windows的互联网基本服务,WEB应用脚本语言为ASP.NET,根据这些信息,系统可以剔除掉Linux/Nginx/PHP等的规则,生成更加高效的、低误判的当前防护策略,并对系统进行防护。与现有技术相比,本实施例根据扫描规则主动进行漏洞扫描,并根据漏洞特征实时分析系统中的网络流量,当发现系统中存在漏洞时,可以根据该漏洞及对应的预存防护策略生成新的防护策略,并使用新的防护策略进行防护,相比于现有技术的安全威胁发现本文档来自技高网...
【技术保护点】
一种系统网络安全的防护方法,其特征在于,包括以下步骤:获取扫描规则及漏洞特征;根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞;当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略;根据所述当前防护策略对所述系统进行防护。
【技术特征摘要】
1.一种系统网络安全的防护方法,其特征在于,包括以下步骤: 获取扫描规则及漏洞特征; 根据所述扫描规则进行漏洞扫描,及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞; 当检测到所述系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略; 根据所述当前防护策略对所述系统进行防护。2.如权利要求1所述的防护方法,其特征在于,所述根据当前防护策略对所述系统进行防护的步骤之前包括: 更新所述当前防护策略。3.如权利要求2所述的防护方法,其特征在于,所述更新所述当前防护策略的步骤包括: 通过外部网络获取新的扫描规则、漏洞特征及防护策略,根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。4.如权利要求1所述的防护方法,其特征在于,所述当发现系统存在漏洞时,根据检测到的漏洞及预存防护策略生成当前防护策略的步骤包括: 根据检测到的漏洞获取对应的预存防护策略; 对所述对应的预存防护策略的使用状态进行修改; 根据修改后的预存防护策略生成所述当...
【专利技术属性】
技术研发人员:范星华,
申请(专利权)人:深信服网络科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。