一种安全漏洞的防御方法和设备技术

一种安全漏洞防御方法和设备，所述方法包括：漏洞管理设备获取第一网络设备的资产的资产信息，所述资产信息包括资产标识、资产型号和资产版本，所述第一网络设备位于受控网络范围内；所述漏洞管理设备基于所述资产信息中的资产型号和资产版本，获取与所述资产信息对应的漏洞信息；所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，所述漏洞响应playbook用于被解析后执行对所述第一网络设备的漏洞防御策略。通过执行所述方法，可以快速匹配发现网络设备中存在的安全漏洞，及时生成并执行漏洞防御策略，对网络设备进行应急防护，避免网络设备在接收漏洞补丁之前遭受攻击，影响网络运行安全。影响网络运行安全。影响网络运行安全。

【技术实现步骤摘要】
一种安全漏洞的防御方法和设备


[0001]本申请涉及网络安全领域，尤其涉及一种安全漏洞的防御方法和设备。

技术介绍

[0002]安全漏洞，也被称为脆弱性(Vulnerability)，是指在计算机系统安全方面的缺陷，使得计算机系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。上述缺陷包括计算机硬件、软件、以及计算机在通信协议的具体实现或安全策略方面上存在的缺陷。
[0003]为了提高网络运行的安全性，现有技术利用漏洞扫描技术对网络进行监控和扫描，及时发现网络中存在的安全漏洞。例如，漏洞扫描软件对网络中的关键网络设备进行扫描，将扫描过程中发现的网络设备存在的安全漏洞和安全配置等级等信息上报网络管理系统。网络管理系统根据接收到的扫描结果，向相应的网络设备下发安全补丁，以用于修复所述网络设备存在的漏洞。网络管理系统本身保存有安全补丁，或者网络管理系统基于漏洞型号通过网络向第三方安全补丁提供方获取安全补丁。例如，对于在应用软件中发现的安全漏洞，网络管理系统基于所述应用软件的版本从应用软件开发厂商的技术支持网站下载相应补丁等。但是，对于某些新出现的漏洞，应用软件开发厂商可能无法及时提供补丁，并且补丁的开发时间通常较长，这导致对于当前网络中漏洞的安全处置和防御会出现一个空窗期。在空窗期内网络极其容易遭受黑客攻击，从而影响了网络的安全运行。即使应用软件开发厂商加快补丁开发速度，但随着被发现后立即恶意利用的零日漏洞的不断增多，网络安全性难以保障。

技术实现思路

[0004]本申请实施例提供了一种安全漏洞的防御方法和设备，用于提升网络进行应急处置和防御的及时性，降低网络遭受攻击的可能性。
[0005]第一方面，提供了一种安全漏洞的防御方法。所述方法包括漏洞管理设备获取第一网络设备的资产的资产信息，所述资产信息包括资产标识、资产型号和资产版本，所述第一网络设备位于受控网络范围内；所述漏洞管理设备基于所述资产信息中的资产型号和资产版本，获取与所述资产信息对应的漏洞信息；所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，所述漏洞响应playbook用于被解析后执行对所述第一网络设备的漏洞防御策略。
[0006]本申请实施例利用漏洞响应playbook相对于安全补丁，开发快捷灵活的优势，提供了一种基于漏洞响应playbook的安全漏洞防御方法。具体地，漏洞管理设备根据受控网络中网络设备上资产的安全漏洞获取对应的漏洞响应playbook，并进一步根据获取的漏洞响应playbook以便于对网络设备执行漏洞防御策略。该方法用于在安全补丁可用之前，例如软件开发商或第三方安全补丁提供方未针对网络的安全漏洞发布安全补丁或有效安全策略前，通过自动化地响应对网络进行应急处置和防御，避免网络遭受攻击，提高了网络的
健壮性和安全性。
[0007]在一种可能的设计中，所述获取与所述资产信息对应的漏洞信息，包括所述漏洞管理设备基于所述资产信息中所述资产型号和资产版本，在资产型号和资产版本的组合与漏洞信息的对应关系中，查找到与所述资产信息中所述资产型号和资产版本对应的漏洞信息；所述漏洞管理设备基于所述资产型号和资产版本的组合与漏洞信息的对应关系，以及所述资产信息中所述资产标识、资产型号和资产版本，确定所述资产标识和漏洞信息的对应关系。
[0008]通过基于资产型号和资产版本的匹配，确定资产标识和漏洞信息的对应关系，以便于后续确定需执行漏洞防御策略的网络设备，保证漏洞防御的准确性。
[0009]在一种可能的设计中，所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，包括：所述漏洞管理设备基于所述资产标识和漏洞信息的对应关系，以及所述漏洞信息和所述漏洞响应playbook的对应关系，确定所述资产信息中的所述资产标识对应的所述漏洞响应playbook；将确定出的所述漏洞响应playbook作为所述与所述漏洞信息对应的漏洞响应playbook。
[0010]在一种可能的设计中，所述漏洞管理设备解析所述漏洞响应playbook得到所述漏洞防御策略；所述漏洞管理设备基于与所述资产信息中的所述资产标识，向所述第一网络设备发送所述漏洞防御策略，以使得所述第一网络设备执行所述漏洞防御策略。
[0011]漏洞管理设备可以直接向第一网络设备发送漏洞响应playbook，由第一网络设备对漏洞响应playbook进行解析后得到漏洞防御策略并执行漏洞防御策略。这种方式漏洞管理设备省略了解析漏洞响应playbook的步骤，降低了漏洞管理设备的处理负荷，但第一网络设备需要支持解析漏洞响应playbook的功能，对第一网络设备的性能要求较高。漏洞管理设备也可以解析所述漏洞响应playbook得到所述漏洞防御策略后，向第一网络设备发送漏洞防御策略。这种方式由漏洞管理设备执行解析漏洞响应playbook的步骤，会增加漏洞管理设备的处理负荷，但第一网络设备无需支持解析漏洞响应playbook的功能，对第一网络设备的性能要求较低。在实际应用中，可以根据网络设备和漏洞管理设备的硬件条件，灵活选择上述两种方式之一。
[0012]在一种可能的设计中，所述资产信息中的所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的设备标识，所述全局资产标识在所述受控网络范围内是唯一的，所述向所述第一网络设备发送所述漏洞防御策略之前，所述方法还包括从所述全局资产标识中获取包括的所述第一网络设备的设备标识；所述向所述第一网络设备发送所述漏洞防御策略，具体为根据所述第一网络设备的设备标识，向所述第一网络设备发送所述漏洞防御策略。
[0013]通过在全局资产标识中携带设备标识信息，可以提高网络传输效率、节约网络资源。
[0014]在一种可能的设计中，所述漏洞管理设备解析所述漏洞响应playbook得到所述漏洞防御策略；向与所述第一网络设备相关的转发设备发送所述漏洞防御策略，以使得与所述第一网络设备相关的转发设备执行所述漏洞防御策略。
[0015]在一种可能的设计中，所述向与所述第一网络设备相关的转发设备发送所述漏洞防御策略之前，所述方法还包括所述漏洞管理设备获取所述第一网络设备的设备标识，以
及所述受控网络的网络拓扑信息；所述漏洞管理设备基于所述网络拓扑信息，确定与所述第一网络设备相关的所述转发设备。
[0016]对于短期内难以进行补丁修补的网络设备的漏洞，可以通过在与所述网络设备相关的转发设备上执行漏洞防御策略，为所述网络设备隔离存在风险的数据和设备，避免所述网络设备被攻击。
[0017]在一种可能的设计中，所述漏洞管理设备获取所述第一网络设备的设备标识，具体为：所述漏洞管理设备基于所述资产信息中的所述资产标识，获取所述第一网络设备的所述设备标识，其中，所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的所述设备标识，并且所述全局资产标识在所述受控网络范围内是唯一的，所述漏洞管理设备基于所述全局资产标识获取所述第一网络设备的所述设备标识，或者，所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全漏洞防御方法，其特征在于，所述方法包括：漏洞管理设备获取第一网络设备的资产的资产信息，所述资产信息包括资产标识、资产型号和资产版本，所述第一网络设备位于受控网络范围内；所述漏洞管理设备基于所述资产信息中的资产型号和资产版本，获取与所述资产信息对应的漏洞信息；所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，所述漏洞响应playbook用于被解析后执行对所述第一网络设备的漏洞防御策略。2.如权利要求1所述的方法，其特征在于，所述获取与所述资产信息对应的漏洞信息，包括：所述漏洞管理设备基于所述资产信息中所述资产型号和资产版本，在资产型号和资产版本的组合与漏洞信息的对应关系中，查找到与所述资产信息中所述资产型号和资产版本对应的漏洞信息；所述漏洞管理设备基于所述资产型号和资产版本的组合与漏洞信息的对应关系，以及所述资产信息中所述资产标识、资产型号和资产版本，确定所述资产标识和漏洞信息的对应关系。3.如权利要求2所述的方法，其特征在于，所述漏洞管理设备确定与所述漏洞信息对应的漏洞响应剧本playbook，包括：所述漏洞管理设备基于所述资产标识和漏洞信息的对应关系，以及所述漏洞信息和所述漏洞响应playbook的对应关系，确定所述资产信息中的所述资产标识对应的所述漏洞响应playbook；将确定出的所述漏洞响应playbook作为所述与所述漏洞信息对应的漏洞响应playbook。4.如权利要求1至3任一所述的方法，其特征在于，所述方法还包括：所述漏洞管理设备解析所述漏洞响应playbook得到所述漏洞防御策略；所述漏洞管理设备基于与所述资产信息中的所述资产标识，向所述第一网络设备发送所述漏洞防御策略，以使得所述第一网络设备执行所述漏洞防御策略。5.如权利要求4所述的方法，其特征在于，所述资产信息中的所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的设备标识，所述全局资产标识在所述受控网络范围内是唯一的，所述向所述第一网络设备发送所述漏洞防御策略之前，所述方法还包括：所述漏洞管理设备从所述全局资产标识中获取包括的所述第一网络设备的设备标识；所述向所述第一网络设备发送所述漏洞防御策略，具体为：根据所述第一网络设备的设备标识，向所述第一网络设备发送所述漏洞防御策略。6.如权利要求1至3任一所述的方法，其特征在于，所述方法还包括：所述漏洞管理设备解析所述漏洞响应playbook得到所述漏洞防御策略；向与所述第一网络设备相关的转发设备发送所述漏洞防御策略，以使得与所述第一网络设备相关的转发设备执行所述漏洞防御策略。7.如权利要求6所述的方法，其特征在于，所述向与所述第一网络设备相关的转发设备发送所述漏洞防御策略之前，所述方法还包括：
所述漏洞管理设备获取所述第一网络设备的设备标识，以及所述受控网络的网络拓扑信息；所述漏洞管理设备基于所述网络拓扑信息，确定所述与所述第一网络设备相关的转发设备。8.如权利要求7所述的方法，其特征在于，所述漏洞管理设备获取所述第一网络设备的设备标识，具体为：所述漏洞管理设备基于所述资产信息中的所述资产标识，获取所述第一网络设备的设备标识，其中，所述资产标识为全局资产标识，所述全局资产标识包括所述第一网络设备的所述设备标识，并且所述全局资产标识在所述受控网络范围内是唯一的，所述漏洞管理设备基于所述全局资产标识获取所述第一网络设备的所述设备标识，或者，所述资产标识为局部资产标识，并且所述局部资产标识在所述第一网络设备内是唯一的，所述漏洞管理设备基于所述局部资产标识和设备标识的对应关系，获取所述第一网络设备的设备标识。9.如权利要求1-8任一所述的方法，其特征在于，所述漏洞防御策略包括基于访问控制列表ACL的访问控制策略、基于特征串的正则过滤策略、和/或入侵防护系统IPS防护签名策略。10.一种漏洞管理设备，其特征在于，所述设备包括：第一获取单元，用于获取第一网络设备的资产...

【专利技术属性】
技术研发人员：蒋武，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：