專(zhuān)利名稱(chēng):一種網(wǎng)絡(luò)入侵特征配置方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域��,尤其涉及一種網(wǎng)絡(luò)入侵特征配置方法及系統(tǒng)����。
背景技術(shù):
網(wǎng)絡(luò)攻擊者可以通過(guò)利用計(jì)算機(jī)軟件或硬件系統(tǒng)的漏洞�����,達(dá)到破化或獲取非法利 益的目的����。例如�,將別人的計(jì)算機(jī)當(dāng)作跳板盜取其他計(jì)算機(jī)內(nèi)的文件,造成別人的計(jì)算機(jī)崩 潰���,磁盤(pán)格式化�����,監(jiān)視他人計(jì)算機(jī)或者偷窺他人隱私,遠(yuǎn)程控制他人計(jì)算機(jī)�����,入侵特征網(wǎng)站 服務(wù)器替換該網(wǎng)站的主頁(yè)�����,下載用戶(hù)數(shù)據(jù)庫(kù)造成商業(yè)損失,攻擊網(wǎng)站服務(wù)器使其無(wú)法被用 戶(hù)訪問(wèn)等���。網(wǎng)絡(luò)攻擊技術(shù)現(xiàn)在已經(jīng)逐漸被越來(lái)越多的人掌握和開(kāi)發(fā)����,而且�,有越來(lái)越多的" 傻瓜型"的網(wǎng)絡(luò)攻擊軟件被開(kāi)發(fā)和公布,從而加速了網(wǎng)絡(luò)攻擊威脅的蔓延���。早期的網(wǎng)絡(luò)攻 擊者更傾向于展示技術(shù)和惡作劇���,隨著實(shí)體業(yè)務(wù)向網(wǎng)絡(luò)上轉(zhuǎn)移,攻擊者的經(jīng)濟(jì)利益獲取傾 向也變得更加明顯��。針對(duì)網(wǎng)絡(luò)入侵特征這個(gè)問(wèn)題�����,當(dāng)前主要有兩種的技術(shù)方案����,具體如下A)漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)軟件通過(guò)掃描系統(tǒng)網(wǎng)絡(luò)服務(wù),獲取已存在的網(wǎng)絡(luò)安全漏洞����,然后進(jìn) 行系統(tǒng)升級(jí)來(lái)修復(fù)漏洞�。這個(gè)系統(tǒng)存在兩個(gè)隱患1)在大型網(wǎng)絡(luò)或軟件系統(tǒng)較復(fù)雜的環(huán)境 里����,安裝升級(jí)包會(huì)導(dǎo)致業(yè)務(wù)終止,用戶(hù)一般很難接受��;2)類(lèi)似動(dòng)態(tài)WEB網(wǎng)站����,OA系統(tǒng),用戶(hù)業(yè) 務(wù)系統(tǒng)軟件�,它們是用戶(hù)自己研發(fā)或委托定制的代碼,不像office之類(lèi)常用軟件�,即使掃 描出非常危險(xiǎn)的安全漏洞(例如SQL注入),也很難在客戶(hù)能接受的時(shí)間內(nèi)獲得升級(jí)包�����。B)入侵防護(hù)系統(tǒng)(IPS Jntrusion Prevention System)一般的IPS產(chǎn)品通過(guò)封堵可能導(dǎo)致攻擊的數(shù)據(jù)包的形式�,封堵對(duì)網(wǎng)絡(luò)安全漏洞的 利用�。IPS產(chǎn)品是實(shí)施中不中斷,不更改用戶(hù)的軟件系統(tǒng)���,而且可以對(duì)定制軟件進(jìn)行漏洞攻 擊防護(hù)���,所以被稱(chēng)為“網(wǎng)絡(luò)虛擬補(bǔ)丁”�。但是���,IPS產(chǎn)品有多達(dá)幾千個(gè)攻擊特征要進(jìn)行配置�����,不 同的攻擊特征用于封堵不同的網(wǎng)絡(luò)漏洞����,這就要求網(wǎng)絡(luò)實(shí)施人員必須同時(shí)掌握用戶(hù)軟件系 統(tǒng)的構(gòu)成和IPS的這幾千種攻擊的原理��,才能構(gòu)造出最適合這個(gè)網(wǎng)絡(luò)用戶(hù)的配置集合��。這 基本是不可完成的任務(wù)��。IPS 入侵特征預(yù)防系統(tǒng)(IPS :Intrusion Prevention System)是電腦網(wǎng)路安全 設(shè)施�,是對(duì)防病毒軟體(Antivirus Programs)禾口防火墻(Packet Filter, Application Gateway)的補(bǔ)充。入侵特征預(yù)防系統(tǒng)(Intrusion-preventionsystem)是一部能夠監(jiān)視網(wǎng) 絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備�,能夠即時(shí)的中斷、調(diào)整或隔離 一些不正?�;蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。入侵特征是用于檢查網(wǎng)絡(luò)報(bào)文是否會(huì)產(chǎn)生網(wǎng)絡(luò)攻擊的唯一指標(biāo)。現(xiàn)有的IPS產(chǎn)品的特征配置實(shí)現(xiàn)方案是提供幾個(gè)典型環(huán)境配置�����,然后用戶(hù)手工進(jìn) 行修改����。
發(fā)明內(nèi)容
針對(duì)上述現(xiàn)有技術(shù)中的問(wèn)題���,本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)入侵特征配置方法及系 統(tǒng)���,用于為IPS產(chǎn)品用戶(hù)提供和實(shí)際環(huán)境最匹配的網(wǎng)絡(luò)入侵特征配置集合,從而針對(duì)性封 堵對(duì)系統(tǒng)漏洞的非法攻擊�����。為解決上述技術(shù)問(wèn)題,本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)入侵特征配置方法,所述方法 包括以下步驟步驟1)分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特征”的配置方式;步驟2)建立漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表����;其中所述漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表中包括漏洞 名稱(chēng)和攻擊特征標(biāo)示兩個(gè)字段;步驟3)掃描用戶(hù)系統(tǒng)����,獲得網(wǎng)絡(luò)安全漏洞列表���;步驟4)根據(jù)步驟2)建立的漏洞-特征對(duì)應(yīng)聯(lián)系表���,查找步驟3)所述的網(wǎng)絡(luò)安全 漏洞列表的相關(guān)特征�����;其中��,查找到所述的網(wǎng)絡(luò)安全漏洞列表中的漏洞相關(guān)的特征統(tǒng)稱(chēng)為 “漏洞相關(guān)特征”���;未查找到的特征稱(chēng)為“非漏洞相關(guān)特征”��;步驟5)按照步驟1)設(shè)定所述的配置方式,設(shè)定步驟4)查找到的“漏洞相關(guān)特征” 和“非漏洞相關(guān)特征”的配置方式,形成IPS特征集合的配置實(shí)例����。優(yōu)選地����,所述步驟2)具體包括以下步驟21)建立漏洞描述表�,每行至少包含如下字段漏洞名稱(chēng)�����,漏洞編號(hào)�;22)建立攻擊特征描述表�,每行至少包含如下字段攻擊特征標(biāo)識(shí)���、特征所對(duì)應(yīng)的 漏洞編號(hào);23)遍歷漏洞描述表����,在攻擊特征描述表中查找一個(gè)或多個(gè)攻擊特征所對(duì)應(yīng)的漏 洞編號(hào),將查找到的當(dāng)前漏洞編號(hào)和攻擊特征標(biāo)識(shí)加入到“漏洞-特征對(duì)應(yīng)聯(lián)系表”中���。優(yōu)選地�,所述漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表中一個(gè)漏洞對(duì)應(yīng)一個(gè)或多個(gè)攻擊特征��;一個(gè) 特征對(duì)應(yīng)一個(gè)或多個(gè)漏洞�。優(yōu)選地,所述步驟1)中的兩個(gè)配置方式均至少包括各個(gè)特征是否在IPS系統(tǒng)中 啟用���;在數(shù)據(jù)報(bào)文中檢測(cè)到特征后的響應(yīng)方式。優(yōu)選地�����,所述響應(yīng)方式包括是否產(chǎn)生日志����、是否丟棄該數(shù)據(jù)報(bào)文、是否產(chǎn)生告警��。優(yōu)選地��,所述步驟3)具體為向特定服務(wù)器或主機(jī)地址依次發(fā)出探測(cè)數(shù)據(jù)報(bào)文,根 據(jù)響應(yīng)的報(bào)文和系統(tǒng)預(yù)置的知識(shí)庫(kù)����,判斷該服務(wù)器或主機(jī)上是否存在漏洞�����,獲得���。優(yōu)選地����,所述網(wǎng)絡(luò)安全漏洞列表包括漏洞編號(hào)、漏洞描述。優(yōu)選地,在IPS產(chǎn)品中選擇所述IPS特征集合的配置實(shí)例。本發(fā)明還提供一種網(wǎng)絡(luò)入侵特征配置系統(tǒng)��,所述系統(tǒng)包括配置單元���,用于分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特征”的配 置方式��;關(guān)聯(lián)表生成單元�����,用于建立漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表����;其中所述對(duì)應(yīng)關(guān)聯(lián)表中包括 漏洞名稱(chēng)和攻擊特征標(biāo)示兩個(gè)字段����;漏洞列表生成單元,用于掃描用戶(hù)系統(tǒng)�,獲得網(wǎng)絡(luò)安全漏洞列表�;查找單元�,用于根據(jù)所述關(guān)聯(lián)表生成單元建立的漏洞_特征對(duì)應(yīng)聯(lián)系表查找所述漏 洞列表生成單元獲得的網(wǎng)絡(luò)安全漏洞列表的相關(guān)特征;其中�,查找到所述的網(wǎng)絡(luò)安全漏洞列 表中的漏洞相關(guān)的特征統(tǒng)稱(chēng)為“漏洞相關(guān)特征”����;未查找到的特征稱(chēng)為“非漏洞相關(guān)特征”��;
配置實(shí)例生成單元,用于按照所述配置單元設(shè)定所述“漏洞相關(guān)特征”和“非漏洞 相關(guān)特征”的配置方式���,設(shè)定所述查找單元查找到的“漏洞相關(guān)特征”和“非漏洞相關(guān)特征” 的配置方式�����,形成IPS特征集合的配置實(shí)例。優(yōu)選地,所述漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表中一個(gè)漏洞對(duì)應(yīng)一個(gè)或多個(gè)攻擊特征��;一個(gè) 特征對(duì)應(yīng)一個(gè)或多個(gè)漏洞���。由于本發(fā)明實(shí)施例所述網(wǎng)絡(luò)入侵特征配置方法�����,分別設(shè)定“漏洞相關(guān)特征”的配置 方式和“非漏洞相關(guān)特征”的配置方式����;并且建立漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表;掃描用戶(hù)系統(tǒng)�,并 獲得網(wǎng)絡(luò)安全漏洞列表�����;根據(jù)建立的漏洞_特征對(duì)應(yīng)聯(lián)系表可以查找所述的網(wǎng)絡(luò)安全漏洞 列表的相關(guān)特征;且將查找到所述的網(wǎng)絡(luò)安全漏洞列表中的漏洞相關(guān)的特征統(tǒng)稱(chēng)為“漏洞 相關(guān)特征”���;未查找到的特征稱(chēng)為“非漏洞相關(guān)特征”��;按照上述方式設(shè)定查找到的“漏洞相 關(guān)特征”和“非漏洞相關(guān)特征”的配置方式����,形成IPS特征集合的配置實(shí)例。在IPS系統(tǒng)中 可以根據(jù)漏洞掃描結(jié)果一網(wǎng)絡(luò)安全漏洞列表��,自動(dòng)進(jìn)行特征配置��。本發(fā)明實(shí)施例所述網(wǎng)絡(luò)入侵特征配置方法�,為IPS產(chǎn)品用戶(hù)提供和實(shí)際環(huán)境最匹 配的網(wǎng)絡(luò)入侵特征配置集合���,通過(guò)分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特 征”的配置方式��,可以自動(dòng)產(chǎn)生系統(tǒng)最優(yōu)配置�����,可以實(shí)現(xiàn)有針對(duì)性封堵對(duì)系統(tǒng)漏洞的非法攻 擊o
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例所需要使用的附圖 作簡(jiǎn)單地介紹�,顯而易見(jiàn)地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普 通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明所述網(wǎng)絡(luò)入侵特征配置方法第一實(shí)施例流程圖����;圖2是本發(fā)明所述網(wǎng)絡(luò)入侵特征配置方法第二實(shí)施例流程圖����;圖3是本發(fā)明實(shí)施例所述網(wǎng)絡(luò)入侵特征配置系統(tǒng)結(jié)構(gòu)圖��。
具體實(shí)施例方式本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)入侵特征配置方法及系統(tǒng)��,用于為IPS產(chǎn)品用戶(hù)提供 和實(shí)際環(huán)境最匹配的網(wǎng)絡(luò)入侵特征配置集合����,從而針對(duì)性封堵對(duì)系統(tǒng)漏洞的非法攻擊��。為了便于本領(lǐng)域技術(shù)人員的理解���,下面結(jié)合附圖����,對(duì)本發(fā)明的最佳實(shí)施方案進(jìn)行 詳細(xì)描述。參見(jiàn)圖1����,該圖為本發(fā)明所述網(wǎng)絡(luò)入侵特征配置方法第一實(shí)施例流程圖�。本發(fā)明第一實(shí)施例所述網(wǎng)絡(luò)入侵特征配置方法��,包括以下步驟S100����、分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特征”的配置方式�。用戶(hù)可以設(shè)定對(duì)“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特征”的配置方式�。 用戶(hù)還可以根據(jù)需要增加用戶(hù)的配置界面�����。上述兩個(gè)配置方式至少包括1)各個(gè)特征是否 在IPS系統(tǒng)中啟用��;2)在數(shù)據(jù)報(bào)文中檢測(cè)到特征后的響應(yīng)方式�����。例如是否產(chǎn)生日志、是否 丟棄該數(shù)據(jù)報(bào)文�����、是否產(chǎn)生告警等�����。S200�、建立漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表���;其中所述漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表中包括漏洞名 稱(chēng)和攻擊特征標(biāo)示兩個(gè)字段�。
“漏洞-特征對(duì)應(yīng)聯(lián)系表”中一個(gè)漏洞可以對(duì)應(yīng)一個(gè)或多個(gè)特征�����,一個(gè)特征也可以 對(duì)應(yīng)一個(gè)或多個(gè)漏洞��。S300��、掃描用戶(hù)系統(tǒng)���,獲得網(wǎng)絡(luò)安全漏洞列表����。掃描用戶(hù)系統(tǒng)可以通過(guò)系統(tǒng)集成的漏洞掃描軟件模塊實(shí)現(xiàn)�,從而獲得網(wǎng)絡(luò)安全漏 洞列表���。掃描系統(tǒng)可以向特定服務(wù)器或主機(jī)地址依次發(fā)出探測(cè)數(shù)據(jù)報(bào)文�,根據(jù)響應(yīng)的報(bào)文 和系統(tǒng)預(yù)置的知識(shí)庫(kù)���,判斷該服務(wù)器或主機(jī)上是否存在漏洞�,最后給出掃描結(jié)果表�,掃描結(jié) 果表一般包含漏洞編號(hào)、漏洞描述;其中本發(fā)明主要用的是漏洞編號(hào)。S400��、根據(jù)步驟S200建立的漏洞-特征對(duì)應(yīng)聯(lián)系表查找步驟S300所述的網(wǎng)絡(luò)安 全漏洞列表的相關(guān)特征;其中,查找到所述的網(wǎng)絡(luò)安全漏洞列表中的漏洞相關(guān)的特征統(tǒng)稱(chēng) 為“漏洞相關(guān)特征”��;未查找到的特征稱(chēng)為“非漏洞相關(guān)特征”�。例如針對(duì)微軟服務(wù)器的攻擊特征可以描述為如下3段
sigName = Microsoft Windows NETAPI Stack OverflowsigContent = key “ IF 001 〃 ��;key “ C8 4F 32 4B 70 16 D3 01 12 78 5A47 BF 6E El 88 “relatedID = MS08-067”Jt φ signame Ifc ^ # IE fe iK (Microsoft Windows NETAPI StackOverflow)��; sigContent 是特征內(nèi)容(key: “ IF 001 〃 ��;key “ C8 4F 32 4B 7016 D3 01 12 78 5A 47 BF 6E El 88 | 〃 );特征所對(duì)應(yīng)的漏洞編號(hào)為 reatedID (MS08-067)。S500���、按照步驟1)設(shè)定所述的配置方式�����,設(shè)定步驟4)查找到的“漏洞相關(guān)特征”和 “非漏洞相關(guān)特征”的配置方式�����,形成IPS特征集合的配置實(shí)例�����。用戶(hù)可以選擇在IPS產(chǎn)品中應(yīng)用本發(fā)明第一實(shí)施例所述方法建立的IPS特征集合 的配置實(shí)例���。由于本發(fā)明第一實(shí)施例所述網(wǎng)絡(luò)入侵特征配置方法�,分別設(shè)定“漏洞相關(guān)特征”的 配置方式和“非漏洞相關(guān)特征”的配置方式���;并且建立漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表;掃描用戶(hù)系 統(tǒng)��,并獲得網(wǎng)絡(luò)安全漏洞列表��;根據(jù)建立的漏洞-特征對(duì)應(yīng)聯(lián)系表可以查找所述的網(wǎng)絡(luò)安 全漏洞列表的相關(guān)特征��;且將查找到所述的網(wǎng)絡(luò)安全漏洞列表中的漏洞相關(guān)的特征統(tǒng)稱(chēng)為 “漏洞相關(guān)特征”;未查找到的特征稱(chēng)為“非漏洞相關(guān)特征”;按照上述方式設(shè)定查找到的“漏 洞相關(guān)特征”和“非漏洞相關(guān)特征”的配置方式�����,形成IPS特征集合的配置實(shí)例�����。在IPS系 統(tǒng)中可以根據(jù)漏洞掃描結(jié)果一網(wǎng)絡(luò)安全漏洞列表�,自動(dòng)進(jìn)行特征配置��。本發(fā)明實(shí)施例所述網(wǎng)絡(luò)入侵特征配置方法����,為IPS產(chǎn)品用戶(hù)提供和實(shí)際環(huán)境最匹 配的網(wǎng)絡(luò)入侵特征配置集合�����,通過(guò)分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特 征”的配置方式����,可以自動(dòng)產(chǎn)生系統(tǒng)最優(yōu)配置��,可以實(shí)現(xiàn)有針對(duì)性封堵對(duì)系統(tǒng)漏洞的非法攻 擊ο參見(jiàn)圖2,該圖為本發(fā)明所述網(wǎng)絡(luò)入侵特征配置方法第二實(shí)施例流程圖����。本發(fā)明第二實(shí)施例相對(duì)第一實(shí)施例的區(qū)別在于��,所述步驟S200包括三個(gè)步驟實(shí) 現(xiàn)�。本發(fā)明第二實(shí)施例所述網(wǎng)絡(luò)入侵特征配置方法��,具體包括以下步驟S100、分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特征”的配置方式���。S210、建立漏洞描述表����,每行至少包含如下字段漏洞名稱(chēng)��,漏洞編號(hào)���。
S220���、建立攻擊特征描述表���,每行至少包含如下字段攻擊特征標(biāo)識(shí)���、特征所對(duì)應(yīng) 的漏洞編號(hào)。S230��、遍歷漏洞描述表,在攻擊特征描述表中查找一個(gè)或多個(gè)攻擊特征所對(duì)應(yīng)的 漏洞編號(hào)��,將查找到的當(dāng)前漏洞編號(hào)和攻擊特征標(biāo)識(shí)加入到“漏洞-特征對(duì)應(yīng)聯(lián)系表”中��。S300�����、掃描用戶(hù)系統(tǒng)����,獲得網(wǎng)絡(luò)安全漏洞列表。掃描用戶(hù)系統(tǒng)可以通過(guò)系統(tǒng)集成的漏洞掃描軟件模塊實(shí)現(xiàn)�,從而獲得網(wǎng)絡(luò)安全漏 洞列表。掃描系統(tǒng)可以向特定服務(wù)器或主機(jī)地址依次發(fā)出探測(cè)數(shù)據(jù)報(bào)文��,根據(jù)響應(yīng)的報(bào)文 和系統(tǒng)預(yù)置的知識(shí)庫(kù)�,判斷該服務(wù)器或主機(jī)上是否存在漏洞���,最后給出掃描結(jié)果表,掃描結(jié) 果表一般包含漏洞編號(hào)、漏洞描述�����;其中本發(fā)明主要用的是漏洞編號(hào)��。S400�����、根據(jù)步驟S230建立的漏洞-特征對(duì)應(yīng)聯(lián)系表查找步驟S300所述的網(wǎng)絡(luò)安 全漏洞列表的相關(guān)特征���;其中�,查找到所述的網(wǎng)絡(luò)安全漏洞列表中的漏洞相關(guān)的特征統(tǒng)稱(chēng) 為“漏洞相關(guān)特征”��;未查找到的特征稱(chēng)為“非漏洞相關(guān)特征”��。S500���、按照步驟1)設(shè)定所述的配置方式�����,設(shè)定步驟4)查找到的“漏洞相關(guān)特征”和 “非漏洞相關(guān)特征”的配置方式,形成IPS特征集合的配置實(shí)例�����。用戶(hù)可以選擇在IPS產(chǎn)品中應(yīng)用本發(fā)明第二實(shí)施例所述方法建立的IPS特征集合 的配置實(shí)例�。參見(jiàn)圖3,該圖為本發(fā)明所述網(wǎng)絡(luò)入侵特征配置系統(tǒng)第一實(shí)施例結(jié)構(gòu)圖�����。本發(fā)明還提供一種網(wǎng)絡(luò)入侵特征配置系統(tǒng),所述系統(tǒng)包括配置單元11�����、關(guān)聯(lián)表生 成單元12�、漏洞列表生成單元13��、查找單元14和配置實(shí)例生成單元15。配置單元11�,用于分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特征”的 配置方式�����。關(guān)聯(lián)表生成單元12,用于建立漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表��;其中所述對(duì)應(yīng)關(guān)聯(lián)表中包 括漏洞名稱(chēng)和攻擊特征標(biāo)示兩個(gè)字段�。關(guān)聯(lián)表生成單元12具體可以包括漏洞描述表生成子單元121��、攻擊特征描述表生 成子單元122��、關(guān)聯(lián)表生成子單元123���。漏洞描述表生成子單元121,用于建立漏洞描述表;每行至少包含如下字段漏洞 名稱(chēng)�,漏洞編號(hào)����。攻擊特征描述表生成子單元122����,用于建立攻擊特征描述表;每行至少包含如下 字段攻擊特征標(biāo)識(shí)�����、特征所對(duì)應(yīng)的漏洞編號(hào)。關(guān)聯(lián)表生成子單元123���,用于遍歷漏洞描述表�����,在攻擊特征描述表中查找一個(gè)或 多個(gè)攻擊特征所對(duì)應(yīng)的漏洞編號(hào)����,將查找到的當(dāng)前漏洞編號(hào)和攻擊特征標(biāo)識(shí)加入到“漏 洞-特征對(duì)應(yīng)聯(lián)系表”中��。所述漏洞_特征對(duì)應(yīng)關(guān)聯(lián)表中一個(gè)漏洞可以對(duì)應(yīng)一個(gè)或多個(gè)攻擊特征���;一個(gè)特征 也可以對(duì)應(yīng)一個(gè)或多個(gè)漏洞��。漏洞列表生成單元13���,用于掃描用戶(hù)系統(tǒng)�,獲得網(wǎng)絡(luò)安全漏洞列表。查找單元14����,用于根據(jù)所述關(guān)聯(lián)表生成單元12建立的漏洞-特征對(duì)應(yīng)聯(lián)系表查找 所述漏洞列表生成單元13獲得的網(wǎng)絡(luò)安全漏洞列表的相關(guān)特征�����。其中��,查找到所述的網(wǎng)絡(luò) 安全漏洞列表中的漏洞相關(guān)的特征統(tǒng)稱(chēng)為“漏洞相關(guān)特征”�����;未查找到的特征稱(chēng)為“非漏洞 相關(guān)特征”。
配置實(shí)例生成單元15�,用于按照所述配置單元11設(shè)定所述“漏洞相關(guān)特征”和“非 漏洞相關(guān)特征”的配置方式����,設(shè)定所述查找單元14查找到的“漏洞相關(guān)特征”和“非漏洞相 關(guān)特征”的配置方式���,形成IPS特征集合的配置實(shí)例。由于本發(fā)明實(shí)施例所述網(wǎng)絡(luò)入侵特征配置系統(tǒng)��,通過(guò)配置單元11分別設(shè)定“漏洞 相關(guān)特征”的配置方式和“非漏洞相關(guān)特征”的配置方式�����;并且關(guān)聯(lián)表生成單元12建立漏 洞_特征對(duì)應(yīng)關(guān)聯(lián)表���;漏洞列表生成單元13掃描用戶(hù)系統(tǒng)����,并獲得網(wǎng)絡(luò)安全漏洞列表���;根 據(jù)建立的漏洞_特征對(duì)應(yīng)聯(lián)系表可以查找所述的網(wǎng)絡(luò)安全漏洞列表的相關(guān)特征����;且查找單 元14將查找到所述的網(wǎng)絡(luò)安全漏洞列表中的漏洞相關(guān)的特征統(tǒng)稱(chēng)為“漏洞相關(guān)特征”;未查 找到的特征稱(chēng)為“非漏洞相關(guān)特征”��;配置實(shí)例生成單元15按照上述方式設(shè)定查找到的“漏 洞相關(guān)特征”和“非漏洞相關(guān)特征”的配置方式,形成IPS特征集合的配置實(shí)例���。在IPS系 統(tǒng)中可以根據(jù)漏洞掃描結(jié)果——網(wǎng)絡(luò)安全漏洞列表��,自動(dòng)進(jìn)行特征配置。本發(fā)明實(shí)施例所述網(wǎng)絡(luò)入侵特征配置系統(tǒng)��,為IPS產(chǎn)品用戶(hù)提供和實(shí)際環(huán)境最匹 配的網(wǎng)絡(luò)入侵特征配置集合�����,通過(guò)分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特 征”的配置方式�,可以自動(dòng)產(chǎn)生系統(tǒng)最優(yōu)配置�����,可以實(shí)現(xiàn)有針對(duì)性封堵對(duì)系統(tǒng)漏洞的非法攻 擊ο
本發(fā)明實(shí)施例所述網(wǎng)絡(luò)入侵特征配置系統(tǒng),可以為前文方法中任何一種形式。以上所述僅是本發(fā)明所述網(wǎng)絡(luò)入侵特征配置方法及系統(tǒng)的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指 出�����,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)���,在不脫離本發(fā)明原理的前提下,還可以作出若干 改進(jìn)和潤(rùn)飾�����,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍��。
權(quán)利要求
一種網(wǎng)絡(luò)入侵特征配置方法,其特征在于���,所述方法包括以下步驟步驟1)分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特征”的配置方式�;步驟2)建立漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表�;其中所述漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表中包括漏洞名稱(chēng)和攻擊特征標(biāo)示兩個(gè)字段���;步驟3)掃描用戶(hù)系統(tǒng),獲得網(wǎng)絡(luò)安全漏洞列表;步驟4)根據(jù)步驟2)建立的漏洞-特征對(duì)應(yīng)聯(lián)系表��,查找步驟3)所述的網(wǎng)絡(luò)安全漏洞列表的相關(guān)特征��;其中��,查找到所述的網(wǎng)絡(luò)安全漏洞列表中的漏洞相關(guān)的特征統(tǒng)稱(chēng)為“漏洞相關(guān)特征”�;未查找到的特征稱(chēng)為“非漏洞相關(guān)特征”��;步驟5)按照步驟1)設(shè)定所述的配置方式����,設(shè)定步驟4)查找到的“漏洞相關(guān)特征”和“非漏洞相關(guān)特征”的配置方式����,形成IPS特征集合的配置實(shí)例�����。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵特征配置方法,其特征在于�,所述步驟2)具體包括 以下步驟21)建立漏洞描述表,每行至少包含如下字段漏洞名稱(chēng),漏洞編號(hào)�;22)建立攻擊特征描述表�,每行至少包含如下字段攻擊特征標(biāo)識(shí)�、特征所對(duì)應(yīng)的漏洞編號(hào)�����;23)遍歷漏洞描述表��,在攻擊特征描述表中查找一個(gè)或多個(gè)攻擊特征所對(duì)應(yīng)的漏洞編 號(hào),將查找到的當(dāng)前漏洞編號(hào)和攻擊特征標(biāo)識(shí)加入到“漏洞-特征對(duì)應(yīng)聯(lián)系表”中����。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵特征配置方法,其特征在于�����,所述漏洞-特征對(duì)應(yīng)關(guān) 聯(lián)表中一個(gè)漏洞對(duì)應(yīng)一個(gè)或多個(gè)攻擊特征���;一個(gè)特征對(duì)應(yīng)一個(gè)或多個(gè)漏洞。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵特征配置方法�����,其特征在于�,所述步驟1)中的兩個(gè) 配置方式均至少包括各個(gè)特征是否在IPS系統(tǒng)中啟用;在數(shù)據(jù)報(bào)文中檢測(cè)到特征后的響 應(yīng)方式�。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)入侵特征配置方法,其特征在于��,所述響應(yīng)方式包括是 否產(chǎn)生日志���、是否丟棄該數(shù)據(jù)報(bào)文�、是否產(chǎn)生告警���。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵特征配置方法�,其特征在于,所述步驟3)具體為向 特定服務(wù)器或主機(jī)地址依次發(fā)出探測(cè)數(shù)據(jù)報(bào)文�,根據(jù)響應(yīng)的報(bào)文和系統(tǒng)預(yù)置的知識(shí)庫(kù)�����,判 斷該服務(wù)器或主機(jī)上是否存在漏洞���,獲得����。
7.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵特征配置方法,其特征在于����,所述網(wǎng)絡(luò)安全漏洞列 表包括漏洞編號(hào)�����、漏洞描述�。
8.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵特征配置方法���,其特征在于,在IPS產(chǎn)品中選擇所述 IPS特征集合的配置實(shí)例����。
9.一種網(wǎng)絡(luò)入侵特征配置系統(tǒng),其特征在于����,所述系統(tǒng)包括配置單元�����,用于分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特征”的配置方式�����;關(guān)聯(lián)表生成單元,用于建立漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表;其中所述對(duì)應(yīng)關(guān)聯(lián)表中包括漏洞 名稱(chēng)和攻擊特征標(biāo)示兩個(gè)字段���;漏洞列表生成單元��,用于掃描用戶(hù)系統(tǒng),獲得網(wǎng)絡(luò)安全漏洞列表����; 查找單元���,用于根據(jù)所述關(guān)聯(lián)表生成單元建立的漏洞-特征對(duì)應(yīng)聯(lián)系表查找所述漏洞 列表生成單元獲得的網(wǎng)絡(luò)安全漏洞列表的相關(guān)特征��;其中��,查找到所述的網(wǎng)絡(luò)安全漏洞列表中的漏洞相關(guān)的特征統(tǒng)稱(chēng)為“漏洞相關(guān)特征”����;未查找到的特征稱(chēng)為“非漏洞相關(guān)特征”�; 配置實(shí)例生成單元��,用于按照所述配置單元設(shè)定所述“漏洞相關(guān)特征”和“非漏洞相關(guān) 特征”的配置方式���,設(shè)定所述查找單元查找到的“漏洞相關(guān)特征”和“非漏洞相關(guān)特征”的配 置方式��,形成IPS特征集合的配置實(shí)例���。
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)入侵特征配置系統(tǒng)����,其特征在于,所述漏洞_特征對(duì)應(yīng) 關(guān)聯(lián)表中一個(gè)漏洞對(duì)應(yīng)一個(gè)或多個(gè)攻擊特征����;一個(gè)特征對(duì)應(yīng)一個(gè)或多個(gè)漏洞���。
全文摘要
一種網(wǎng)絡(luò)入侵特征配置方法,包括1)分別設(shè)定“漏洞相關(guān)特征”的配置方式和“非漏洞相關(guān)特征”的配置方式���;2)建立漏洞-特征對(duì)應(yīng)關(guān)聯(lián)表�����;其中所述對(duì)應(yīng)關(guān)聯(lián)表中包括漏洞名稱(chēng)和攻擊特征標(biāo)示兩個(gè)字段;3)掃描用戶(hù)系統(tǒng)����,獲得網(wǎng)絡(luò)安全漏洞列表���;4)根據(jù)2)建立的漏洞-特征對(duì)應(yīng)聯(lián)系表查找3)所述的網(wǎng)絡(luò)安全漏洞列表的相關(guān)特征���;其中��,查找到所述的網(wǎng)絡(luò)安全漏洞列表中的漏洞相關(guān)的特征統(tǒng)稱(chēng)為“漏洞相關(guān)特征”�����;未查找到的特征稱(chēng)為“非漏洞相關(guān)特征”��;5)按照1)設(shè)定所述的配置方式��,設(shè)定4)查找到的“漏洞相關(guān)特征”和“非漏洞相關(guān)特征”的配置方式,形成IPS特征集合的配置實(shí)例���。
文檔編號(hào)H04L12/24GK101873231SQ201010226349
公開(kāi)日2010年10月27日 申請(qǐng)日期2010年7月6日 優(yōu)先權(quán)日2010年7月6日
發(fā)明者高鵬 申請(qǐng)人:聯(lián)想網(wǎng)御科技(北京)有限公司