技術領域

本發明涉及計算機信息技術領域，尤其涉及一種系統網絡安全的防護方法及裝置。

背景技術

計算機系統在硬件、軟件及協議層的設計總會存在缺陷和不足，這些缺陷和不足稱為漏洞，漏洞的存在可以使攻擊者能夠在未授權的情況下訪問或破壞系統。漏洞一般包括了登錄漏洞、拒絕服務漏洞、緩沖區溢出、信息泄漏、蠕蟲后門、意外情況處置錯誤等。

現有的維護網絡安全的方法主要有以下兩種：一種為安全威脅發現類型，如AppScan掃描工具，通過探測當前網絡及節點相關信息，分析網絡安全風險狀況，并能夠給出一些消除風險的參考建議；另一種為安全威脅防護類型，基于漏洞規則庫、協議識別庫等添加防護策略，對已知的通用性漏洞進行防護。

上述兩種維護網絡安全的方法存在以下問題：1.單純的安全威脅發現類型無法實現漏洞的防護，掃描出來的漏洞一般需要網絡管理員根據系統自身的特性進行分析是否存在相關問題，并通過修改自身系統缺陷或購買其他漏洞防護解決方案來達到漏洞防護的目的，其功能單一，不能滿足需要。2.單純的安全威脅防護類型只能對通用漏洞進行防護，無法針對新出現的漏洞進行適合有效的漏洞防護，如：通用漏洞包括A、B、C，漏洞防護類型對A、B、C都配置了策略進行防護，但系統可能只存在漏洞B，漏洞A、C在本系統中已經被修復過，這樣進行A、C的策略防護就會顯得多余，如果此類通用漏洞很多，將會大大影響系統數據處理的速度，系統性能降低。另外，安全威脅防護類型需要人為添加相應的漏洞防護策略，若管理員知識水平或安全意識不足時，容易引發網絡安全問題。

上述內容僅用于輔助理解本發明的技術方案，并不代表承認上述內容是現有技術。

發明內容

本發明的主要目的在于提供一種系統網絡安全的防護方法及裝置，旨在實現將網絡漏洞的發現及防護操作結為一體，提高系統的性能，防護效果更好。

為實現上述目的，本發明提供的一種系統網絡安全的防護方法，包括以下步驟：

獲取掃描規則及漏洞特征；

根據所述掃描規則進行漏洞掃描，及根據所述漏洞特征實時分析所述系統中的網絡流量來檢測系統是否存在漏洞；

當檢測到所述系統存在漏洞時，根據檢測到的漏洞及預存防護策略生成當前防護策略；

根據所述當前防護策略對所述系統進行防護。

優選地，所述根據當前防護策略對所述系統進行防護的步驟之前包括：

更新所述當前防護策略。

優選地，所述更新所述當前防護策略的步驟包括：

通過外部網絡獲取新的掃描規則、漏洞特征及防護策略，根據所述新的掃描規則、漏洞特征及防護策略更新所述當前防護策略。

優選地，所述當發現系統存在漏洞時，根據檢測到的漏洞及預存防護策略生成當前防護策略的步驟包括：

根據檢測到的漏洞獲取對應的預存防護策略；

對所述對應的預存防護策略的使用狀態進行修改；

根據修改后的預存防護策略生成所述當前防護策略。

本發明還提供一種系統網絡安全的防護裝置，包括：

獲取模塊，用于獲取掃描規則及漏洞特征；

檢測模塊，用于根據所述掃描規則進行漏洞掃描，及根據所述漏洞特征實時分析所述系統中的網絡流量來檢測系統是否存在漏洞；

生成模塊，用于當檢測到所述系統存在漏洞時，根據檢測到的漏洞及預存防護策略生成當前防護策略；

防護模塊，用于根據所述當前防護策略對所述系統進行防護。

優選地，所述防護裝置還包括更新模塊，用于更新所述當前防護策略。

優選地，所述更新模塊具體用于通過外部網絡獲取新的掃描規則、漏洞特征及防護策略，根據所述新的掃描規則、漏洞特征及防護策略更新所述當前防護策略。

優選地，所述生成模塊包括：

獲取單元，用于根據檢測到的漏洞獲取對應的預存防護策略；

修改單元，用于對所述對應的預存防護策略的使用狀態進行修改；

生成單元，用于根據修改后的預存防護策略生成所述當前防護策略。