[发明专利]系统网络安全的防护方法及装置

说明书

技术领域

本发明涉及计算机信息技术领域，尤其涉及一种系统网络安全的防护方法及装置。

背景技术

计算机系统在硬件、软件及协议层的设计总会存在缺陷和不足，这些缺陷和不足称为漏洞，漏洞的存在可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等。

现有的维护网络安全的方法主要有以下两种：一种为安全威胁发现类型，如AppScan扫描工具，通过探测当前网络及节点相关信息，分析网络安全风险状况，并能够给出一些消除风险的参考建议；另一种为安全威胁防护类型，基于漏洞规则库、协议识别库等添加防护策略，对已知的通用性漏洞进行防护。

上述两种维护网络安全的方法存在以下问题：1.单纯的安全威胁发现类型无法实现漏洞的防护，扫描出来的漏洞一般需要网络管理员根据系统自身的特性进行分析是否存在相关问题，并通过修改自身系统缺陷或购买其他漏洞防护解决方案来达到漏洞防护的目的，其功能单一，不能满足需要。2.单纯的安全威胁防护类型只能对通用漏洞进行防护，无法针对新出现的漏洞进行适合有效的漏洞防护，如：通用漏洞包括A、B、C，漏洞防护类型对A、B、C都配置了策略进行防护，但系统可能只存在漏洞B，漏洞A、C在本系统中已经被修复过，这样进行A、C的策略防护就会显得多余，如果此类通用漏洞很多，将会大大影响系统数据处理的速度，系统性能降低。另外，安全威胁防护类型需要人为添加相应的漏洞防护策略，若管理员知识水平或安全意识不足时，容易引发网络安全问题。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种系统网络安全的防护方法及装置，旨在实现将网络漏洞的发现及防护操作结为一体，提高系统的性能，防护效果更好。

为实现上述目的，本发明提供的一种系统网络安全的防护方法，包括以下步骤：

获取扫描规则及漏洞特征；

根据所述扫描规则进行漏洞扫描，及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞；

当检测到所述系统存在漏洞时，根据检测到的漏洞及预存防护策略生成当前防护策略；

根据所述当前防护策略对所述系统进行防护。

优选地，所述根据当前防护策略对所述系统进行防护的步骤之前包括：

更新所述当前防护策略。

优选地，所述更新所述当前防护策略的步骤包括：

通过外部网络获取新的扫描规则、漏洞特征及防护策略，根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。

优选地，所述当发现系统存在漏洞时，根据检测到的漏洞及预存防护策略生成当前防护策略的步骤包括：

根据检测到的漏洞获取对应的预存防护策略；

对所述对应的预存防护策略的使用状态进行修改；

根据修改后的预存防护策略生成所述当前防护策略。

本发明还提供一种系统网络安全的防护装置，包括：

获取模块，用于获取扫描规则及漏洞特征；

检测模块，用于根据所述扫描规则进行漏洞扫描，及根据所述漏洞特征实时分析所述系统中的网络流量来检测系统是否存在漏洞；

生成模块，用于当检测到所述系统存在漏洞时，根据检测到的漏洞及预存防护策略生成当前防护策略；

防护模块，用于根据所述当前防护策略对所述系统进行防护。

优选地，所述防护装置还包括更新模块，用于更新所述当前防护策略。

优选地，所述更新模块具体用于通过外部网络获取新的扫描规则、漏洞特征及防护策略，根据所述新的扫描规则、漏洞特征及防护策略更新所述当前防护策略。

优选地，所述生成模块包括：

获取单元，用于根据检测到的漏洞获取对应的预存防护策略；

修改单元，用于对所述对应的预存防护策略的使用状态进行修改；

生成单元，用于根据修改后的预存防护策略生成所述当前防护策略。