[发明专利]一种网络入侵特征配置方法及系统

权利要求书

1.一种网络入侵特征配置方法，其特征在于，所述方法包括以下步骤：

步骤1)分别设定“漏洞相关特征”的配置方式和“非漏洞相关特征”的配置方式；

步骤2)建立漏洞-特征对应关联表；其中所述漏洞-特征对应关联表中包括漏洞名称和攻击特征标示两个字段；

步骤3)扫描用户系统，获得网络安全漏洞列表；

步骤4)根据步骤2)建立的漏洞-特征对应联系表，查找步骤3)所述的网络安全漏洞列表的相关特征；其中，查找到所述的网络安全漏洞列表中的漏洞相关的特征统称为“漏洞相关特征”；未查找到的特征称为“非漏洞相关特征”；

步骤5)按照步骤1)设定所述的配置方式，设定步骤4)查找到的“漏洞相关特征”和“非漏洞相关特征”的配置方式，形成IPS特征集合的配置实例。

2.根据权利要求1所述的网络入侵特征配置方法，其特征在于，所述步骤2)具体包括以下步骤：

21)建立漏洞描述表，每行至少包含如下字段：漏洞名称，漏洞编号；

22)建立攻击特征描述表，每行至少包含如下字段：攻击特征标识、特征所对应的漏洞编号；

23)遍历漏洞描述表，在攻击特征描述表中查找一个或多个攻击特征所对应的漏洞编号，将查找到的当前漏洞编号和攻击特征标识加入到“漏洞-特征对应联系表”中。

3.根据权利要求1所述的网络入侵特征配置方法，其特征在于，所述漏洞-特征对应关联表中一个漏洞对应一个或多个攻击特征；一个特征对应一个或多个漏洞。

4.根据权利要求1所述的网络入侵特征配置方法，其特征在于，所述步骤1)中的两个配置方式均至少包括：各个特征是否在IPS系统中启用；在数据报文中检测到特征后的响应方式。

5.根据权利要求4所述的网络入侵特征配置方法，其特征在于，所述响应方式包括是否产生日志、是否丢弃该数据报文、是否产生告警。

6.根据权利要求1所述的网络入侵特征配置方法，其特征在于，所述步骤3)具体为向特定服务器或主机地址依次发出探测数据报文，根据响应的报文和系统预置的知识库，判断该服务器或主机上是否存在漏洞，获得。

7.根据权利要求1所述的网络入侵特征配置方法，其特征在于，所述网络安全漏洞列表包括：漏洞编号、漏洞描述。

8.根据权利要求1所述的网络入侵特征配置方法，其特征在于，在IPS产品中选择所述IPS特征集合的配置实例。

9.一种网络入侵特征配置系统，其特征在于，所述系统包括：

配置单元，用于分别设定“漏洞相关特征”的配置方式和“非漏洞相关特征”的配置方式；

关联表生成单元，用于建立漏洞-特征对应关联表；其中所述对应关联表中包括漏洞名称和攻击特征标示两个字段；

漏洞列表生成单元，用于扫描用户系统，获得网络安全漏洞列表；

查找单元，用于根据所述关联表生成单元建立的漏洞-特征对应联系表查找所述漏洞列表生成单元获得的网络安全漏洞列表的相关特征；其中，查找到所述的网络安全漏洞列表中的漏洞相关的特征统称为“漏洞相关特征”；未查找到的特征称为“非漏洞相关特征”；

配置实例生成单元，用于按照所述配置单元设定所述“漏洞相关特征”和“非漏洞相关特征”的配置方式，设定所述查找单元查找到的“漏洞相关特征”和“非漏洞相关特征”的配置方式，形成IPS特征集合的配置实例。

10.根据权利要求9所述的网络入侵特征配置系统，其特征在于，所述漏洞-特征对应关联表中一个漏洞对应一个或多个攻击特征；一个特征对应一个或多个漏洞。