技術領域

本發明涉及網絡與信息安全領域中的網絡入侵阻斷技術，尤其涉及一種阻斷高風險網絡入侵的方法及系統。

背景技術

現有的安全防護系統包括漏洞掃描器、入侵檢測系統（Intrusion?Detection?Systems，IDS）和防火墻，這三部分各司其職，孤立工作。

其中，IDS采用傳統的模式匹配方法，將所檢測數據包中的內容與系統已知的入侵特征庫中的攻擊特征串機械地進行匹配，只要發現數據包中的內容與攻擊特征相匹配，就馬上發出告警，并不判斷該數據包是不是真的攻擊行為，這樣就不可避免地會產生誤報，因此，IDS每天會有海量的告警信息，而在這些告警信息中，真正有威脅的入侵是其中的很少一部分，安全維護人員很難發現并有針對性地進行阻斷操作；而且，安全維護人員還需要手工操作防火墻，因此入侵防御難以實施且不及時。

發明內容

有鑒于此，本發明實施例期望提供一種阻斷高風險網絡入侵的方法及系統，能夠快速、準確地發現真正有威脅的網絡入侵行為，并及時阻斷入侵，大大提高了高風險網絡入侵的檢測效率和安全維護人員的工作成效。

為達到上述目的，本發明的技術方案是這樣實現的：

本發明實施例提供了一種阻斷高風險網絡入侵的方法，建立漏洞-攻擊對應表，所述方法還包括：

將提取的告警信息中的入侵事件信息與漏洞-攻擊對應表進行匹配，確定匹配成功時，生成緊急告警信息；

根據所述緊急告警信息生成阻斷策略，并將所述阻斷策略發送至防火墻，所述防火墻根據所述阻斷策略阻斷入侵。

上述方案中，所述建立漏洞-攻擊對應表包括：對保護的業務系統進行漏洞掃描，獲取所述系統的漏洞信息，提取漏洞掃描結果中關鍵信息，并在每條漏洞記錄中增加可利用此漏洞的入侵事件鏈表，生成漏洞-攻擊對應表。

上述方案中，所述將提取的告警信息中的入侵事件信息與所述漏洞-攻擊對應表進行匹配包括：提取告警信息中入侵事件的源IP地址和事件名稱，并將同一源網絡協議（Internet?Protocol，IP）地址發起的入侵事件的名稱，與所述漏洞-攻擊對應表中包含的入侵事件的名稱取交集，結果為空集時，確定匹配不成功；結果為非空集合時，匹配成功。

上述方案中，所述生成緊急告警信息包括：提取所述告警信息中入侵事件的名稱、IP地址和時間信息，統一格式并標識告警級別為緊急告警，生成緊急告警信息。

上述方案中，所述根據所述緊急告警信息生成阻斷策略包括：提取所述緊急告警信息中入侵事件的源IP地址，并結合策略序號自動生成防火墻的阻斷策略；

所述生成防火墻的阻斷策略之后，所述方法還包括：顯示所述緊急告警信息及對應阻斷策略。

上述方案中，所述將所述阻斷策略發送至防火墻之前，所述方法還包括：將所述阻斷策略和所述緊急告警信息一起以短信方式發送給安全維護人員確認，在收到確認信息后，再將所述阻斷策略發送至防火墻。

本發明實施例還提供了一種阻斷高風險網絡入侵的系統，所述系統包括：獲取模塊、匹配模塊、策略生成與執行模塊、漏洞-攻擊信息庫和防火墻；其中，

所述獲取模塊，用于建立漏洞-攻擊對應表；

所述匹配模塊，用于將提取的告警信息中的入侵事件信息與漏洞-攻擊對應表進行匹配，確定匹配成功時，生成緊急告警信息，并將所述緊急告警信息發送至策略生成與執行模塊；

所述策略生成與執行模塊，用于根據所述緊急告警信息生成阻斷策略，并將所述阻斷策略發送至防火墻；

所述防火墻，用于根據所述阻斷策略阻斷入侵；

所述漏洞-攻擊信息庫，用于存儲所述漏洞-攻擊對應表；

上述方案中，所述獲取模塊包括：漏洞掃描單元和生成單元；其中，

所述漏洞掃描單元，用于對保護的業務系統進行漏洞掃描，獲取所述系統的漏洞信息，并將所述漏洞信息發送至生成單元；

所述生成單元，用于提取漏洞掃描結果中關鍵信息，并在每條漏洞記錄中增加可利用此漏洞的入侵事件鏈表，生成漏洞-攻擊對應表；

所述防火墻包括防火墻策略庫，用于存儲防火墻策略。

上述方案中，所述系統還包括顯示模塊和入侵檢測設模塊；其中，

所述顯示模塊，用于顯示緊急告警信息和次要告警信息；

相應的，所述匹配模塊，還用于確定匹配不成功時生成次要告警信息，并將次要告警信息發送至顯示模塊顯示；所述策略生成與執行模塊，還用于將所述緊急告警信息及相應阻斷策略發送至顯示模塊顯示；