網(wǎng)絡(luò)安全防護(hù)方法及裝置的制造方法
【專利摘要】一種網(wǎng)絡(luò)安全防護(hù)方法及裝置����。該方法由一安全防護(hù)設(shè)備執(zhí)行,包括:獲得受保護(hù)網(wǎng)絡(luò)中與所述安全防護(hù)設(shè)備連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一���,其中�����,所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)包括以下至少一種:操作系統(tǒng)的標(biāo)識���、所述操作系統(tǒng)的參數(shù)、具有網(wǎng)絡(luò)端口訪問功能的軟件的標(biāo)識和所述軟件的參數(shù)��,所述威脅檢測數(shù)據(jù)包括以下至少一種:威脅種類和威脅標(biāo)識���,所述威脅種類包括漏洞和惡意程序中的至少一種�;根據(jù)獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一�����,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息���;向所述主機(jī)發(fā)送所述用于消除所述主機(jī)中安全威脅的信息���。用以改善現(xiàn)有網(wǎng)絡(luò)安全防護(hù)技術(shù)有效性不佳的問題。
【專利說明】
網(wǎng)絡(luò)安全防護(hù)方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域��,尤其涉及一種網(wǎng)絡(luò)安全防護(hù)方法及一種網(wǎng)絡(luò)安全防護(hù)裝置��。
【背景技術(shù)】
[0002]隨著信息技術(shù)的飛速發(fā)展�,如何保護(hù)一定范圍內(nèi)網(wǎng)絡(luò)資源的安全,例如文件服務(wù)器和數(shù)據(jù)庫服務(wù)器上保存的重要機(jī)密的數(shù)據(jù)不被惡意竊取�����、網(wǎng)頁服務(wù)器和郵件服務(wù)器提供的服務(wù)不被攻擊而癱瘓�,企業(yè)網(wǎng)絡(luò)內(nèi)的用戶之間的通信不被非法竊聽,成為一個(gè)廣受關(guān)注的問題���。
[0003]現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)方案的基本實(shí)現(xiàn)原理是受保護(hù)的服務(wù)器�����、以及終端組成一個(gè)受保護(hù)網(wǎng)絡(luò)��,該受保護(hù)網(wǎng)絡(luò)通過安全網(wǎng)關(guān)接入互聯(lián)網(wǎng)�����。其中安全網(wǎng)關(guān)是指集成了安全功能���,例如防火墻����、入侵防御系統(tǒng)(Intrus1n Prevent1n System, IPS)��、深度報(bào)文檢測(DeepPacket Inspect1n����,DPI)等功能的網(wǎng)關(guān)設(shè)備。
[0004]根據(jù)各種設(shè)備對安全需求的差異�,將網(wǎng)絡(luò)劃分為不同的安全域,通過配置不同安全域之間的域間策略��,對流經(jīng)安全網(wǎng)關(guān)的網(wǎng)絡(luò)流量進(jìn)行安全處理。例如將受保護(hù)網(wǎng)絡(luò)中的文件服務(wù)器��、網(wǎng)頁服務(wù)器�����、郵件服務(wù)器��、數(shù)據(jù)庫服務(wù)器等對安全要求最高的設(shè)備劃入第一網(wǎng)絡(luò)地址段內(nèi)����,設(shè)置第一網(wǎng)絡(luò)地址段對應(yīng)高級別安全域�。將企業(yè)中涉及機(jī)密信息的核心部門員工所使用的終端劃入第二網(wǎng)絡(luò)地址段內(nèi),設(shè)置第二網(wǎng)絡(luò)地址段對應(yīng)中級別安全域��。將企業(yè)中普通員工所使用的終端劃入第三網(wǎng)絡(luò)內(nèi)置段內(nèi)��,設(shè)置第三網(wǎng)絡(luò)地址段以及安全網(wǎng)關(guān)所連接的互聯(lián)網(wǎng)中的節(jié)點(diǎn)所處的網(wǎng)絡(luò)地址范圍對應(yīng)低級別安全域��。預(yù)先設(shè)置需要對低級別安全域至高級別安全域的流量執(zhí)行DPI處理����。這樣,安全網(wǎng)關(guān)接收到企業(yè)中普通用戶向文件服務(wù)器發(fā)送的報(bào)文時(shí)�,通過匹配域間策略,對普通用戶向文件服務(wù)器發(fā)送的報(bào)文執(zhí)行DPI處理。如果在執(zhí)行DPI處理的過程中確定普通用戶向文件服務(wù)器發(fā)送的報(bào)文與已知惡意程序的特征相匹配�����,則丟棄上述報(bào)文��,否則轉(zhuǎn)發(fā)上述報(bào)文至文件服務(wù)器�。
[0005]然而,上述方案中安全網(wǎng)關(guān)只能發(fā)現(xiàn)已經(jīng)發(fā)生的威脅��,卻不能在威脅發(fā)生之前發(fā)現(xiàn)潛在的威脅�����、也不能在威脅發(fā)生之后清除威脅�����。例如���,在企業(yè)中的普通用戶使用的終端被植入了木馬程序后向文件服務(wù)器或其他服務(wù)器發(fā)送大量攻擊報(bào)文���,現(xiàn)有技術(shù)只能在普通用戶使用的終端發(fā)送大量攻擊報(bào)文后發(fā)現(xiàn)阻斷攻擊報(bào)文。
【發(fā)明內(nèi)容】
[0006]本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)安全防護(hù)方法���,用以改善現(xiàn)有網(wǎng)絡(luò)安全防護(hù)技術(shù)有效性不佳的問題�����。
[0007]本發(fā)明實(shí)施例提供的技術(shù)方案如下:
[0008]第一方面�����,提供了一種網(wǎng)絡(luò)安全防護(hù)方法���,由一安全防護(hù)設(shè)備執(zhí)行,該方法包括:
[0009]獲得受保護(hù)網(wǎng)絡(luò)中與所述安全防護(hù)設(shè)備連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一�,其中,所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)包括以下至少一種:操作系統(tǒng)的標(biāo)識���、所述操作系統(tǒng)的參數(shù)�、具有網(wǎng)絡(luò)端口訪問功能的軟件的標(biāo)識和所述軟件的參數(shù)���,所述威脅檢測數(shù)據(jù)包括以下至少一種:威脅種類和威脅標(biāo)識�,所述威脅種類包括漏洞和惡意程序中的至少一種���;
[0010]根據(jù)獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一���,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息�����;
[0011 ] 向所述主機(jī)發(fā)送所述用于消除所述主機(jī)中安全威脅的信息�。
[0012]在第一方面的第一種可能的實(shí)現(xiàn)方式中���,所述用于消除所述主機(jī)安全威脅的信息包括清理程序的標(biāo)識和存儲位置�����,所述清理程序的標(biāo)識和存儲位置用于消除所述主機(jī)中安全威脅����。
[0013]在第一方面的第二種可能的實(shí)現(xiàn)方式中�,所述用于消除所述主機(jī)安全威脅的信息包括:用于消除所述主機(jī)安全威脅的清理程序;
[0014]所述查找對應(yīng)的用于消除所述主機(jī)安全威脅的信息包括:
[0015]查找對應(yīng)的清理程序的標(biāo)識和存儲位置���,根據(jù)所述標(biāo)識和存儲位置�,獲得用于消除所述主機(jī)安全威脅的清理程序�。
[0016]在第一方面的第三種可能的實(shí)現(xiàn)方式中,所述用于消除所述主機(jī)安全威脅的信息包括:
[0017]文件操作指令���,所述文件操作指令包括文件標(biāo)識��、文件存儲位置���、以及操作符�,所述文件操作指令用以指示所述主機(jī)對所述主機(jī)中根據(jù)所述文件標(biāo)識和文件存儲位置確定的文件�,執(zhí)行所述操作符表示的操作。
[0018]第二方面��,提供了一種網(wǎng)絡(luò)安全防護(hù)裝置����,包括:
[0019]接收單元�����,用于獲得受保護(hù)網(wǎng)絡(luò)中與所述網(wǎng)絡(luò)安全防護(hù)裝置連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一��,其中�,所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)包括以下至少一種:操作系統(tǒng)的標(biāo)識、所述操作系統(tǒng)的參數(shù)����、��、具有網(wǎng)絡(luò)端口訪問功能的軟件的標(biāo)識和所述軟件的參數(shù)�����;所述威脅檢測數(shù)據(jù)包括以下至少一種:威脅種類和威脅標(biāo)識���,所述威脅種類包括漏洞和惡意程序中的至少一種;
[0020]處理單元�,用于根據(jù)所述接收單元獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息��;
[0021]發(fā)送單元�����,用于將所述處理單元查找到的所述用于消除所述主機(jī)中安全威脅的信息提供給所述主機(jī)��。
[0022]在第二方面的第一種可能的實(shí)現(xiàn)方式中�����,所述用于消除所述主機(jī)安全威脅的信息包括清理程序的標(biāo)識和存儲位置�����,所述清理程序的標(biāo)識和存儲位置用于消除所述主機(jī)中安全威脅。
[0023]在第二方面的第二種可能的實(shí)現(xiàn)方式中��,所述用于消除所述主機(jī)安全威脅的信息包括:用于消除所述主機(jī)安全威脅的清理程序�����;
[0024]所述處理單元����,用于查找對應(yīng)的清理程序的標(biāo)識和存儲位置,根據(jù)所述標(biāo)識和存儲位置���,獲得用于消除所述主機(jī)安全威脅的清理程序�����。
[0025]在第二方面的第三種可能的實(shí)現(xiàn)方式中,所述用于消除所述主機(jī)安全威脅的信息包括:
[0026]文件操作指令����,所述文件操作指令包括文件標(biāo)識、文件存儲位置���、以及操作符��,所述文件操作指令用以指示所述主機(jī)對所述主機(jī)中根據(jù)所述文件標(biāo)識和文件存儲位置確定的文件��,執(zhí)行所述操作符表示的操作��。
[0027]第三方面����,提供了一種網(wǎng)絡(luò)安全防護(hù)設(shè)備,包括:
[0028]處理器��、存儲器和網(wǎng)絡(luò)接口��,所述處理器���、所述存儲器和所述網(wǎng)絡(luò)接口通過總線相互通信�����;
[0029]所述存儲器����,用于存儲程序代碼和數(shù)據(jù)��;
[0030]所述網(wǎng)絡(luò)接口,用于獲得受保護(hù)網(wǎng)絡(luò)中與所述網(wǎng)絡(luò)安全防護(hù)設(shè)備連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一�,其中,所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)包括以下至少一種:操作系統(tǒng)的標(biāo)識�����、所述操作系統(tǒng)的參數(shù)����、具有網(wǎng)絡(luò)端口訪問功能的軟件的標(biāo)識和所述軟件的參數(shù),所述威脅檢測數(shù)據(jù)包括以下至少一種:威脅種類和威脅標(biāo)識����,所述威脅種類包括漏洞和惡意程序中的至少一種;
[0031]所述處理器�,用于讀取所述存儲器中存儲的程序代碼和數(shù)據(jù),執(zhí)行以下操作:
[0032]根據(jù)所述網(wǎng)絡(luò)接口獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一��,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息��;
[0033]將所述用于消除所述主機(jī)中安全威脅的信息通過所述網(wǎng)絡(luò)接口提供給所述主機(jī)�����。
[0034]在第三方面的第一種可能的實(shí)現(xiàn)方式中���,所述用于消除所述主機(jī)安全威脅的信息包括清理程序的標(biāo)識和存儲位置���,所述清理程序的標(biāo)識和存儲位置用于消除所述主機(jī)中安全威脅。
[0035]在第三方面的第二種可能的實(shí)現(xiàn)方式中��,所述用于消除所述主機(jī)安全威脅的信息包括:用于消除所述主機(jī)安全威脅的清理程序����;
[0036]所述處理器,用于查找對應(yīng)的清理程序的標(biāo)識和存儲位置��,根據(jù)所述標(biāo)識和存儲位置�����,獲得用于消除所述主機(jī)安全威脅的清理程序���。
[0037]在第三方面的第三種可能的實(shí)現(xiàn)方式中���,所述用于消除所述主機(jī)安全威脅的信息包括:
[0038]文件操作指令,所述文件操作指令包括文件標(biāo)識���、文件存儲位置�����、以及操作符����,所述文件操作指令用以指示所述主機(jī)對所述主機(jī)中根據(jù)所述文件標(biāo)識和文件存儲位置確定的文件,執(zhí)行所述操作符表示的操作���。
[0039]在本發(fā)明實(shí)施例中��,安全防護(hù)設(shè)備獲得受保護(hù)網(wǎng)絡(luò)中與所述安全防護(hù)設(shè)備連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一����,根據(jù)獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一�,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息,例如清理程序����;將所述用于消除所述主機(jī)中安全威脅的信息提供給所述主機(jī)。從而不僅能夠發(fā)現(xiàn)受保護(hù)網(wǎng)絡(luò)中已發(fā)生的威脅��,還能發(fā)現(xiàn)潛在威脅��,并且主動地觸發(fā)主機(jī)清除安全威脅�,改善了網(wǎng)絡(luò)安全防護(hù)效果���。
【附圖說明】
[0040]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹��,顯而易見地����,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖�。
[0041]圖1a為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全防護(hù)方案的第一種應(yīng)用場景示意圖;
[0042]圖1b為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全防護(hù)方案的第二種應(yīng)用場景示意圖�����;
[0043]圖1c為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全防護(hù)方案的第三種應(yīng)用場景示意圖�����;
[0044]圖2為本發(fā)明實(shí)施例提供的安全防護(hù)設(shè)備的結(jié)構(gòu)示意圖����;
[0045]圖3為本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全防護(hù)方法的流程圖�;
[0046]圖4為本發(fā)明實(shí)施例提供的記錄集合的示意圖����;
[0047]圖5為本發(fā)明實(shí)施例提供的另一記錄集合的示意圖;
[0048]圖6為本發(fā)明實(shí)施例提供的另一種網(wǎng)絡(luò)安全防護(hù)方法的流程圖��;
[0049]圖7為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全防護(hù)方法的一個(gè)實(shí)例的示意圖�;
[0050]圖8為本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全防護(hù)裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0051]本發(fā)明實(shí)施例所提供的網(wǎng)絡(luò)安全防護(hù)方案可以應(yīng)用于多種場景中���,例如附圖1a所示的互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center��,IDC)場景�����、附圖1b所示的云計(jì)算場景����,以及附圖1c所示的企業(yè)網(wǎng)絡(luò)場景中����。
[0052]在附圖1a所示的IDC場景中,受保護(hù)網(wǎng)絡(luò)中包括被托管的各種應(yīng)用服務(wù)器��,如文件服務(wù)器、網(wǎng)頁服務(wù)器����、郵件服務(wù)器���、數(shù)據(jù)庫服務(wù)器等���。受保護(hù)網(wǎng)絡(luò)通過網(wǎng)關(guān)接入互聯(lián)網(wǎng),位于互聯(lián)網(wǎng)中的遠(yuǎn)程維護(hù)人員或租戶可以遠(yuǎn)程訪問上述各種應(yīng)用服務(wù)器�。
[0053]在附圖1b所示的云計(jì)算場景中,受保護(hù)網(wǎng)絡(luò)中包括多個(gè)虛擬機(jī)����,這些虛擬機(jī)是基于受保護(hù)網(wǎng)絡(luò)中的集群計(jì)算機(jī)提供的計(jì)算資源和存儲設(shè)備提供的存儲資源,利用虛擬化技術(shù)實(shí)現(xiàn)的�����。受保護(hù)網(wǎng)絡(luò)通過網(wǎng)關(guān)接入互聯(lián)網(wǎng)��,位于互聯(lián)網(wǎng)中的虛擬機(jī)用戶通過客戶端軟件遠(yuǎn)程連接到上述虛擬機(jī)�����。
[0054]在附圖1c所示的企業(yè)網(wǎng)絡(luò)場景下,受保護(hù)網(wǎng)絡(luò)即為企業(yè)網(wǎng)絡(luò)���,受保護(hù)網(wǎng)絡(luò)通過網(wǎng)關(guān)接入互聯(lián)網(wǎng)����?��;ヂ?lián)網(wǎng)中的用戶可以通過即時(shí)通訊軟件與企業(yè)網(wǎng)絡(luò)中的用戶進(jìn)行通信�,或者請求企業(yè)網(wǎng)絡(luò)中的應(yīng)用服務(wù)器提供的服務(wù)����。
[0055]本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)安全防護(hù)設(shè)備,該安全防護(hù)設(shè)備位于受保護(hù)網(wǎng)絡(luò)中�,用以保護(hù)受保護(hù)網(wǎng)絡(luò)的信息安全,該安全防護(hù)設(shè)備可以集成在附圖1a?附圖1c中用于將受保護(hù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接的網(wǎng)關(guān)����、防火墻、或網(wǎng)絡(luò)地址轉(zhuǎn)換(Network AddressTranslat1n, NAT)設(shè)備中�,也可以是一個(gè)部署于受保護(hù)網(wǎng)絡(luò)中的其他位置上的獨(dú)立設(shè)備,只要能夠與受保護(hù)網(wǎng)絡(luò)中的設(shè)備��,例如各種應(yīng)用服務(wù)器、虛擬機(jī)�����、包括普通用戶的個(gè)人計(jì)算機(jī)等在內(nèi)的終端設(shè)備�����,進(jìn)行通信即可����。
[0056]為了描述簡便�,本發(fā)明實(shí)施例中將各種應(yīng)用服務(wù)器、虛擬機(jī)�����、終端設(shè)備統(tǒng)稱為主機(jī)�。
[0057]附圖2是本發(fā)明實(shí)施例提供的一種安全防護(hù)設(shè)備的結(jié)構(gòu)示意圖,安全防護(hù)設(shè)備200包括存儲器201��、處理器202��、網(wǎng)絡(luò)接口 203和總線204���,存儲器201��、處理器202和網(wǎng)絡(luò)接口 203通過總線204實(shí)現(xiàn)相互通信���。
[0058]存儲器201包括但不限于是隨機(jī)存取存儲器(RAM)��、只讀存儲器(ROM)����、可擦除可編程只讀存儲器(EPR0M或者快閃存儲器)��、或便攜式只讀存儲器(CD-ROM)�����。
[0059]處理器202可以是一個(gè)或多個(gè)中央處理器(Central Processing Unit����,簡稱CPU),在處理器202是一個(gè)CPU的情況下�,該CPU可以是單核CPU,也可以是多核CPU�。
[0060]網(wǎng)絡(luò)接口 203可以是一個(gè)網(wǎng)絡(luò)接口,也可以是多個(gè)網(wǎng)絡(luò)接口���。網(wǎng)絡(luò)接口 203可以是有線接口����,例如光纖分布式數(shù)據(jù)接口(Fiber Distributed Data Interface,簡稱FDDI)����、千兆以太網(wǎng)(Gigabit Ethernet,簡稱GE)接口 ����;網(wǎng)絡(luò)接口 203也可以是無線接口。
[0061]所述存儲器201���,用于存儲程序代碼和數(shù)據(jù)。
[0062]所述網(wǎng)絡(luò)接口 203��,用于接收受保護(hù)網(wǎng)絡(luò)中與安全防護(hù)設(shè)備200鏈接的主機(jī)的絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一��。本實(shí)施例中涉及兩類數(shù)據(jù):
[0063]第一類是網(wǎng)絡(luò)環(huán)境數(shù)據(jù)��,是指用來描述主機(jī)所處的網(wǎng)絡(luò)環(huán)境的一些信息��,這些信息本身并不與威脅或隱患直接相關(guān)�,也不反映主機(jī)是否被植入了惡意代碼。所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)包括但不限于以下一種或多種的組合:操作系統(tǒng)的標(biāo)識和所述操作系統(tǒng)的參數(shù)、具有網(wǎng)絡(luò)端口訪問功能的軟件的標(biāo)識和所述軟件的參數(shù)�。操作系統(tǒng)的標(biāo)識可以是操作系統(tǒng)的名稱,例如windows���、Linux等����。操作系統(tǒng)的參數(shù)包括操作系統(tǒng)的版本�,例如Windows XP、Window 7��、Vista 8 等等�����。
[0064]具有網(wǎng)絡(luò)端口訪問功能的軟件����,是指能夠通過主機(jī)的網(wǎng)絡(luò)接口向其他網(wǎng)絡(luò)設(shè)備發(fā)送報(bào)文,或者根據(jù)網(wǎng)絡(luò)接口接收到的報(bào)文中攜帶的數(shù)據(jù)�,執(zhí)行設(shè)定功能的軟件。例如網(wǎng)頁瀏覽器Internet Explorer (IE)�、騰訊公司推出即時(shí)通訊軟件QQ等等。上述軟件的參數(shù)包括軟件版本���,例如QQ 5.0���、QQ5.1�、QQ6.0等等�。
[0065]第二類是威脅檢測數(shù)據(jù),是指能夠反映出主機(jī)存在的安全隱患或威脅的數(shù)據(jù)���,包括但不限于威脅種類�����、威脅標(biāo)識等中的至少一種���。威脅種類包括漏洞和惡意程序中的至少一種,其中惡意程序包括僵尸程序���、木馬程序、蠕蟲程序等等����。在威脅種類為惡意程序的情況下,威脅標(biāo)識是惡意程序的名稱���。在威脅種類為漏洞的情況下��,威脅標(biāo)識是漏洞編號�,例如,可以是國際著名漏洞知識庫所采用的通用漏洞披露(Common Vulnerabilities andExposures, CVE)編號�����、計(jì)算機(jī)安全郵件列表BUGTRAQ編號����,也可以是中國國內(nèi)采用的CNCVE編號、CNNVD編號等等��。
[0066]所述處理器202��,用于讀取所述存儲器201中存儲的程序代碼和數(shù)據(jù)���,執(zhí)行以下操作:
[0067]根據(jù)所述網(wǎng)絡(luò)接口 203獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一�����,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息���。通過所述網(wǎng)絡(luò)接口 203向所述主機(jī)發(fā)送所述用于消除所述主機(jī)中安全威脅的信息��。
[0068]可選地�,存儲器201中還存儲有數(shù)據(jù)庫�,數(shù)據(jù)庫中保存有如附圖4所示的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)與用于消除所述主機(jī)中安全威脅的信息的對應(yīng)關(guān)系,或者附圖5所示的威脅檢測數(shù)據(jù)與用于消除所述主機(jī)中安全威脅的信息的對應(yīng)關(guān)系���,或附圖6所示的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)的組合與用于消除所述主機(jī)中安全威脅的信息的對應(yīng)關(guān)系���。以便于處理器202根據(jù)接口 203獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息����。
[0069]本實(shí)施例提供三種用于消除所述主機(jī)中安全威脅的信息。消除主機(jī)中的安全威脅包括但不限于:修補(bǔ)漏洞�,刪除惡意程序、以及刪除惡意程序生成的文件或者恢復(fù)被惡意程序修改的文件等等�����。
[0070]第一種用于消除所述主機(jī)安全威脅的信息為清理程序的標(biāo)識和存儲位置��。安全防護(hù)設(shè)備200將清理程序的標(biāo)識和存儲位置發(fā)送給所述主機(jī)�����,以便于所述主機(jī)根據(jù)接收到的清理程序的標(biāo)識和存儲位置獲得所述清理程序��。
[0071]其中�,清理程序的標(biāo)識可以是清理程序的名稱。清理程序的存儲位置是一個(gè)邏輯上的存儲路徑�����,既可以是所述安全防護(hù)設(shè)備200的文件系統(tǒng)中的一個(gè)路徑�,例如“D:\remove app set\” ;也可以是安全防護(hù)設(shè)備200能夠訪問的另一個(gè)存儲設(shè)備���,例如文件傳輸協(xié)議(File Transfer Protocol��,F(xiàn)TP)月艮務(wù)器中的一個(gè)路徑�,例如ftp://administrator: 1230192.168.4.189/remove app set����,在這里不進(jìn)行限定。
[0072]第二種用于消除所述主機(jī)安全威脅的信息為清理程序��。在這種情況下����,處理器202首先根據(jù)接口 203獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一�����,查找對應(yīng)的清理程序的標(biāo)識和存儲位置����,再根據(jù)所述標(biāo)識和存儲位置�����,獲得用于消除所述主機(jī)安全威脅的清理程序�。
[0073]第三種用于消除所述主機(jī)安全威脅的信息為文件操作指令,所述文件操作指令包括文件標(biāo)識����、文件存儲位置、以及操作符��,所述文件操作指令用以指示所述主機(jī)對所述主機(jī)中根據(jù)所述文件標(biāo)識和文件存儲位置確定的文件����,執(zhí)行所述操作符表示的操作。提供文件操作指令的初衷是雖然清理程序在主機(jī)中運(yùn)行之后能夠自動執(zhí)行一系列的操作�,例如對于一種木馬惡意程序,能夠強(qiáng)制關(guān)閉惡意程序運(yùn)行時(shí)產(chǎn)生的進(jìn)程、刪除惡意程序運(yùn)行時(shí)產(chǎn)生的新增文件����、恢復(fù)惡意程序?qū)τ诓僮飨到y(tǒng)注冊表的修改等等�,在此過程中無需主機(jī)用戶的參與,是一種快捷���、高效�、徹底的清除方式�����。但是由于針對一種典型的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)����、或威脅檢測數(shù)據(jù)、或網(wǎng)絡(luò)環(huán)境數(shù)據(jù)與威脅檢測數(shù)據(jù)的組合專門開發(fā)清理程序需要較長的開發(fā)周期�����,如何在正式的清理程序發(fā)布之前盡可能的減少安全威脅對于主機(jī)的影響�,成為一個(gè)需要解決的問題。本發(fā)明實(shí)施例提供了另一種可選方案����,在沒有專門的清理程序可用的情況下�����,可以向主機(jī)發(fā)送一些文件操作指令���,可以利用操作系統(tǒng)自帶的一些簡單功能,例如刪除文件功能��,減少安全威脅對于主機(jī)的影響����。
[0074]本發(fā)明實(shí)施例提供了一種安全防護(hù)設(shè)備。該安全防護(hù)設(shè)備獲得受保護(hù)網(wǎng)絡(luò)中與所述安全防護(hù)設(shè)備連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一����,根據(jù)獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息�����,例如清理程序����;將所述用于消除所述主機(jī)中安全威脅的信息提供給所述主機(jī)����。從而不僅能夠發(fā)現(xiàn)受保護(hù)網(wǎng)絡(luò)中已發(fā)生的威脅�����,還能發(fā)現(xiàn)潛在威脅���,并且主動地觸發(fā)主機(jī)清除安全威脅,改善了網(wǎng)絡(luò)安全防護(hù)效果��。
[0075]下面結(jié)合各個(gè)附圖����,從方法流程的視角,通過具體實(shí)例對本發(fā)明實(shí)施例技術(shù)方案的主要實(shí)現(xiàn)原理��、【具體實(shí)施方式】及其對應(yīng)能夠達(dá)到的有益效果進(jìn)行詳細(xì)的闡述��。本發(fā)明實(shí)施例的執(zhí)行主體是上述網(wǎng)絡(luò)安全防護(hù)設(shè)備����。
[0076]如圖3所示,本發(fā)明實(shí)施例的實(shí)施例流程如下��。
[0077]步驟310,網(wǎng)絡(luò)安全防護(hù)設(shè)備獲得主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)�����。
[0078]具體地�,網(wǎng)絡(luò)安全防護(hù)設(shè)備通過主動或被動的方式,獲得主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)��。其中主動方式是指通過運(yùn)行漏洞掃描軟件����,如Nessus,X-Scan等等����,從漏洞掃描軟件得到的掃描結(jié)果中獲取網(wǎng)絡(luò)環(huán)境數(shù)據(jù)。漏洞掃描工具得到的掃描結(jié)果中往往同時(shí)包含網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)���,網(wǎng)絡(luò)安全防護(hù)設(shè)備可以通過預(yù)先設(shè)置的字段標(biāo)識從掃描結(jié)果中獲取網(wǎng)絡(luò)環(huán)境數(shù)據(jù)���,例如從OS ID字段中獲得操作系統(tǒng)標(biāo)識,再從OS Vers1n中獲得操作系統(tǒng)的版本�。此外不同漏洞掃描軟件得到的掃描結(jié)果中字段標(biāo)識、排列順序�����、字段中數(shù)據(jù)的格式都會有所不同,網(wǎng)絡(luò)安全防護(hù)設(shè)備為了后續(xù)比較時(shí)的便利����,應(yīng)對得到的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)或威脅檢測數(shù)據(jù)進(jìn)行歸一化或標(biāo)準(zhǔn)化預(yù)處理。
[0079]被動的方式是指通過對流經(jīng)所述網(wǎng)絡(luò)安全防護(hù)設(shè)備的流量進(jìn)行報(bào)文解析���,來獲取網(wǎng)絡(luò)環(huán)境數(shù)據(jù)��。
[0080]例如,在本實(shí)施例中�����,網(wǎng)絡(luò)安全防護(hù)設(shè)備得到Hostl網(wǎng)絡(luò)環(huán)境數(shù)據(jù)中操作系統(tǒng)標(biāo)識為Windows����、操作系統(tǒng)版本為Windows XP、軟件標(biāo)識為QQ��、軟件版本為QQ4�。
[0081]步驟320,網(wǎng)絡(luò)安全防護(hù)設(shè)備根據(jù)獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)�����,查找是否存在與該網(wǎng)絡(luò)環(huán)境數(shù)據(jù)對應(yīng)的用于消除所述主機(jī)中安全威脅的信息,如果存在對應(yīng)的用于消除所述主機(jī)中安全威脅的信息�����,執(zhí)行步驟330����,否則返回步驟310。
[0082]圖4是本發(fā)明實(shí)施例提供的記錄集合的示意圖�,其中包含多條以Rl至R4為例的記錄。每條記錄中都至少包括網(wǎng)絡(luò)環(huán)境數(shù)據(jù)與用于消除所述主機(jī)中安全威脅的信息的對應(yīng)關(guān)系�。網(wǎng)絡(luò)安全防護(hù)設(shè)備將步驟310獲得的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)與附圖4中的記錄Rl至R4進(jìn)行比較,如果一條記錄中包含的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)與步驟310獲得的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)相同��,則確認(rèn)該條記錄中包含的用于消除所述主機(jī)中安全威脅的信息為查找到的用于消除所述主機(jī)中安全威脅的信息���。
[0083]本實(shí)例中�,網(wǎng)絡(luò)安全防護(hù)設(shè)備確認(rèn)Rl中的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)與步驟310獲得的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)相同����。Rl所記錄的具體內(nèi)容如圖4所示,表示在網(wǎng)絡(luò)環(huán)境數(shù)據(jù)中的操作系統(tǒng)標(biāo)識為Windows���、且操作系統(tǒng)版本為Windows XP����、且軟件標(biāo)識為QQ、軟件版本為QQ4或QQ5時(shí)����,對應(yīng)的清理程序名稱Winl I,清理程序的存儲位置/patch/win-2013-0098.msi����,對應(yīng)的文件操作指令中包括的文件名為Crazy, bat、文件位置為% \System32\Drivers\�、操作符為Del該文件操作指令用以指示主機(jī)刪除路徑% \System32\Drivers\下名稱為Crazy, bat的文件。
[0084]可選地���,網(wǎng)絡(luò)安全防護(hù)設(shè)備可以根據(jù)預(yù)先設(shè)定的向主機(jī)發(fā)送的信息的類型和圖4中的記錄,獲取用于消除所述主機(jī)中安全威脅的信息���,其中信息的類型具體是指用于消除所述主機(jī)中安全威脅的信息的類型���,例如是上述第一種類型“清理程序的標(biāo)識和存儲位置”,還是第二種類型“清理程序”��,還是第三種類型“文件操作指令”。顯然可以預(yù)先設(shè)定向主機(jī)發(fā)送至少一種類型的用于消除所述主機(jī)中安全威脅的信息���。網(wǎng)絡(luò)安全防護(hù)設(shè)備中還可以設(shè)定向主機(jī)發(fā)送用于消除所述主機(jī)中安全威脅的信息時(shí)的規(guī)則���,例如在附圖4中存在清理程序的信息的條件下,向主機(jī)發(fā)送第一類信息和第二類信息�,在附圖4中不存在清理程序的信息的條件下,向主機(jī)發(fā)送第三類信息��。
[0085]例如�,若預(yù)先設(shè)定向主機(jī)發(fā)送第一類信息,則網(wǎng)絡(luò)安全防護(hù)設(shè)備可以從Rl中直接獲得清理程序名稱WinlI���,清理程序的存儲位置/patch/win-2013-0098.msi��。
[0086]若預(yù)先設(shè)定向主機(jī)發(fā)送第二類信息���,則網(wǎng)絡(luò)安全防護(hù)設(shè)備先從Rl中獲得清理程序名稱Winll,清理程序的存儲位置/patch/win-2013-0098.msi后���,然后在存儲位置/patch/win-2013-0098, msi中獲得名稱為Winll的清理程序���。
[0087]若預(yù)先設(shè)定向主機(jī)發(fā)送第三類信息����,即文件操作指令��,則網(wǎng)絡(luò)安全防護(hù)設(shè)備可以從Rl中直接獲得包括的文件名Crazy, bat�、文件位置% \System32\Drivers\、操作符Del的文件操作指令���。
[0088]步驟330�����,網(wǎng)絡(luò)安全防護(hù)設(shè)備向所述主機(jī)發(fā)送所述用于消除所述主機(jī)中安全威脅的信息���。
[0089]如果用于消除所述主機(jī)中安全威脅的信息為清理程序名稱Winll,清理程序的存儲位置/patch/win-2013-0098.msi,網(wǎng)絡(luò)安全防護(hù)設(shè)備將清理程序名稱WinlI����,清理程序的存儲位置/patch/win-2013-0098, msi發(fā)送給主機(jī)Hostl�����,以便于主機(jī)Hostl根據(jù)存儲位置/patch/win-2013-0098.msi獲得名稱為Winll的清理程序�����,運(yùn)行該清理程序以消除威脅。
[0090]如果用于消除所述主機(jī)中安全威脅的信息為名稱為Winll的清理程序�����,網(wǎng)絡(luò)安全防護(hù)設(shè)備將得到的名稱為Winll的清理程序發(fā)送給主機(jī)Hostl�,以便于Hostl運(yùn)行該清理程序以消除威脅。
[0091]如果用于消除所述主機(jī)中安全威脅的信息為包括的文件名Crazy, bat�、文件位置% \System32\Drivers\、操作符Del的文件操作指令���,網(wǎng)絡(luò)安全防護(hù)設(shè)備將該文件操作指令發(fā)送給主機(jī)Hostl���,以便于Hostl執(zhí)行該文件操作指令以消除威脅。
[0092]在本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全防護(hù)方法中�,網(wǎng)絡(luò)安全防護(hù)設(shè)備獲得受保護(hù)網(wǎng)絡(luò)中與所述安全防護(hù)設(shè)備連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù),根據(jù)獲得到的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)����,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息,例如清理程序����。此后�����,安全防護(hù)設(shè)備將所述用于消除所述主機(jī)中安全威脅的信息����,發(fā)送給所述主機(jī)����。主機(jī)根據(jù)所述用于消除所述主機(jī)中安全威脅的信息消除威脅。上述方案能夠發(fā)現(xiàn)受保護(hù)網(wǎng)絡(luò)中的潛在威脅���,并且主動地觸發(fā)消除安全威脅�����,能夠達(dá)到防患于未然的目的��,改善了網(wǎng)絡(luò)安全防護(hù)效果�����。相較于現(xiàn)有技術(shù)僅丟棄主機(jī)發(fā)送的攻擊報(bào)文,提高了安全防護(hù)的有效性。
[0093]上述附圖3是以網(wǎng)絡(luò)安全防護(hù)設(shè)備獲得主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)為例���,介紹本發(fā)明提供的安全防護(hù)方法�����?����?商娲?���,網(wǎng)絡(luò)安全防護(hù)設(shè)備還可以獲得主機(jī)的威脅檢測數(shù)據(jù)��,根據(jù)威脅檢測數(shù)據(jù)查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息�,并將查找到的用于消除所述主機(jī)中安全威脅的信息發(fā)送給所述主機(jī)。
[0094]圖5是本發(fā)明實(shí)施例提供的另一種記錄集合的示意圖�����,其中包括多條以Rll至R14為例的記錄����。每條記錄中都至少包括威脅檢測數(shù)據(jù)與用于消除所述主機(jī)中安全威脅的信息的對應(yīng)關(guān)系�。網(wǎng)絡(luò)安全防護(hù)設(shè)備將獲得的威脅檢測數(shù)據(jù)與附圖5中的記錄Rll至R14進(jìn)行比較��,如果一條記錄中包含的威脅檢測數(shù)據(jù)與獲得的威脅檢測數(shù)據(jù)相同��,則確認(rèn)該條記錄中包含的用于消除所述主機(jī)中安全威脅的信息為查找到的用于消除所述主機(jī)中安全威脅的信息。網(wǎng)絡(luò)安全防護(hù)設(shè)備如何根據(jù)圖5獲取用于消除所述主機(jī)中安全威脅的信息,以及將得到的用于消除所述主機(jī)中安全威脅的信息發(fā)送給主機(jī)的過程與上述步驟320的描述相類似��,在這里不再詳述。
[0095]可替代地,網(wǎng)絡(luò)安全防護(hù)設(shè)備還可以根據(jù)網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)的組合查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息,并將查找到的用于消除所述主機(jī)中安全威脅的信息發(fā)送給所述主機(jī)���。
[0096]圖6是本發(fā)明實(shí)施例提供的另一種記錄集合的示意圖,其中包括多條以R31至R32為例的記錄���。每條記錄中都至少包括網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)的組合與用于消除所述主機(jī)中安全威脅的信息的對應(yīng)關(guān)系�����。網(wǎng)絡(luò)安全防護(hù)設(shè)備將獲得的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)的組合與附圖5中的記錄R31至R32進(jìn)行比較�����,如果一條記錄中包含的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)的組合與獲得的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)的組合相同��,則確認(rèn)該條記錄中包含的用于消除所述主機(jī)中安全威脅的信息為查找到的用于消除所述主機(jī)中安全威脅的信息�。網(wǎng)絡(luò)安全防護(hù)設(shè)備如何根據(jù)圖6獲取用于消除所述主機(jī)中安全威脅的信息,以及將得到的用于消除所述主機(jī)中安全威脅的信息發(fā)送給主機(jī)的過程與上述步驟320的描述相類似�,在這里不再詳述。
[0097]顯然��,在獲取到網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)后�,為了盡可能全地查找到用于消除所述主機(jī)中安全威脅的信息����,可以對查找的流程進(jìn)行改進(jìn),例如先根據(jù)網(wǎng)絡(luò)環(huán)境數(shù)據(jù)在附圖4中查找用于消除所述主機(jī)中安全威脅的信息����,再根據(jù)威脅檢測數(shù)據(jù)在附圖5中查找用于消除所述主機(jī)中安全威脅的信息,然后在根據(jù)網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)在附圖6中查找用于消除所述主機(jī)中安全威脅的信息���?;蛘咄瑫r(shí)在附圖4�����、附圖5和附圖6中查找用于消除所述主機(jī)中安全威脅的信息���。
[0098]下面結(jié)合一個(gè)具體實(shí)例�,對本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全防護(hù)設(shè)備和網(wǎng)絡(luò)安全防護(hù)方法進(jìn)行說明。如附圖7所示�����。在附圖7所示的實(shí)例中���,預(yù)先設(shè)定用于消除所述主機(jī)中安全威脅的信息為第二類型“清理程序”�。
[0099]步驟701�,網(wǎng)絡(luò)安全設(shè)備通過主動或被動方式獲得Hostl的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)。
[0100]可選地�����,如果網(wǎng)絡(luò)安全設(shè)備的處理能力有限�����,或者受保護(hù)網(wǎng)絡(luò)中設(shè)備的數(shù)目眾多�����,可以在預(yù)先通過網(wǎng)絡(luò)安全設(shè)備中的圖形用戶接口(Graphical User Interface���,⑶I)輸入受保護(hù)的主機(jī)的標(biāo)識���,網(wǎng)絡(luò)安全設(shè)備可以按照預(yù)先設(shè)定的檢測周期����,根據(jù)預(yù)先存儲的受保護(hù)的主機(jī)的標(biāo)識����,定期獲得受保護(hù)的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)�。其中受保護(hù)的主機(jī)的標(biāo)識可以具體可以是該主機(jī)的IP地址,MAC地址�����,或主機(jī)用戶的用戶名等�。網(wǎng)絡(luò)安全檢測設(shè)備運(yùn)行內(nèi)嵌的漏洞掃描工具獲得Hostl的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù),還可以通過對流經(jīng)所述網(wǎng)絡(luò)安全防護(hù)設(shè)備的來自于Hostl的流量進(jìn)行報(bào)文解析���,來獲取Hostl的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)��。
[0101]網(wǎng)絡(luò)安全設(shè)備的處理能力較強(qiáng)�,或者受保護(hù)網(wǎng)絡(luò)中設(shè)備數(shù)目不多�,網(wǎng)絡(luò)安全設(shè)備可以按照預(yù)先設(shè)定的檢測周期,獲得受保護(hù)網(wǎng)絡(luò)所處網(wǎng)絡(luò)地址段中每臺主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)����。
[0102]實(shí)際應(yīng)用中可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境�����,靈活設(shè)置網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)的獲取方式��。
[0103]Hostl的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)中操作系統(tǒng)標(biāo)識為Windows��、操作系統(tǒng)版本為WindowsXP��、軟件標(biāo)識為QQ���、軟件版本為QQ4。威脅檢測數(shù)據(jù)中威脅種類為漏洞���,漏洞標(biāo)識為CVE-20I3-0098���。
[0104]步驟702,網(wǎng)絡(luò)安全設(shè)備查詢附圖4所示的預(yù)先存儲的記錄集合���,確定是否存在與Hostl的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)對應(yīng)的清理程序的信息�。本實(shí)例中先在附圖4所示的記錄集合中查找,若附圖4中存在Hostl的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)對應(yīng)的清理程序的信息�����,則執(zhí)行步驟703�����,若附圖4中不存在Hostl的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)對應(yīng)的清理程序的信息�,執(zhí)行步驟710。
[0105]圖4中R4是一個(gè)示例���,表示在網(wǎng)絡(luò)環(huán)境數(shù)據(jù)中的操作系統(tǒng)標(biāo)識為Windows、且操作系統(tǒng)版本為Windows XP,對應(yīng)的清理程序名稱為WinlI�,清理程序的存儲位置為/patch/win-2013-0098, msi。經(jīng)比較���,網(wǎng)絡(luò)安全設(shè)備確定R4中的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)與Hostl網(wǎng)絡(luò)環(huán)境數(shù)據(jù)��,從R4中得到清理程序的信息�����,即清理程序標(biāo)識Winl4����,清理程序的存儲位置/patch/win-2013-0098, msi。
[0106]步驟703���,網(wǎng)絡(luò)安全防護(hù)設(shè)備根據(jù)步驟702中得到的清理程序的信息��,在存儲位置/patch/win-2013-0098, msi���,獲得標(biāo)識為Winll的清理程序。執(zhí)行步驟704���。
[0107]步驟704��,網(wǎng)絡(luò)安全防護(hù)設(shè)備將標(biāo)識為Winll的清理程序發(fā)送給Hostl��。在本實(shí)例中網(wǎng)絡(luò)安全防護(hù)設(shè)備根據(jù)Hostl的IP地址與Hostl建立TCP連接����,并通過建立的TCP連接將名稱為Winll的清理程序發(fā)送給Hostl中的代理程序�。需要說明的是本發(fā)明實(shí)施例中的“代理程序”是指處理器執(zhí)行程序代碼后生成的進(jìn)程。
[0108]步驟705���,Hostl運(yùn)行接收到的標(biāo)識為Winll的清理程序�。在本實(shí)例中,Hostl中的代理程序在名稱為Winl4的清理程序接收完畢后��,運(yùn)行該清理程序�����。
[0109]具體地��,代理程序和清理程序之間可以基于客戶-服務(wù)器的socket機(jī)制實(shí)現(xiàn)進(jìn)程間的通信����,其中清理程序作為客戶端,代理程序作為服務(wù)器��。代理程序在內(nèi)存中創(chuàng)建清理程序的進(jìn)程時(shí)�,為清理程序分配了一個(gè)綁定的端口,清理程序通過該接口向代理程序發(fā)送一個(gè)表示運(yùn)行結(jié)束的數(shù)據(jù)�����,代理程序收到表示運(yùn)行結(jié)束的數(shù)據(jù)后�����,確認(rèn)清理程序執(zhí)行完畢����。
[0110]步驟710,網(wǎng)絡(luò)安全防護(hù)設(shè)備查詢附圖6所示的記錄集合����,確定是否存在與Hostl的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)對應(yīng)的清理程序的信息。若附圖6中存在Hostl的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)對應(yīng)的清理程序的信息����,則執(zhí)行與步驟703?705類似的處理,將清理程序發(fā)送給Hostl���。
[0111]若附圖6中不存在Hostl的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)對應(yīng)的清理程序的信息�����,返回步驟701��。
[0112]顯然����,附圖4和附圖5所示的記錄集合可以存儲在同一個(gè)數(shù)據(jù)庫中����,這樣查詢處理可以一次完成�。
[0113]本發(fā)明實(shí)施例還提供了一種網(wǎng)絡(luò)安全防護(hù)裝置�,如圖8所示,該裝置包括接收單元801���、處理單元802和發(fā)送單元803�����,具體如下:
[0114]接收單元801��,用于獲得受保護(hù)網(wǎng)絡(luò)中與所述網(wǎng)絡(luò)安全防護(hù)裝置連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一��,其中��,所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)包括以下至少一種:操作系統(tǒng)的標(biāo)識��、所述操作系統(tǒng)的參數(shù)�、���、具有網(wǎng)絡(luò)端口訪問功能的軟件的標(biāo)識和所述軟件的參數(shù)��;所述威脅檢測數(shù)據(jù)包括以下至少一種:威脅種類和威脅標(biāo)識,所述威脅種類包括漏洞和惡意程序中的至少一種����;
[0115]處理單元802��,用于根據(jù)所述接收單元801獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一�,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息��;
[0116]發(fā)送單元803��,用于將所述處理單元802查找到的所述用于消除所述主機(jī)中安全威脅的信息提供給所述主機(jī)�。
[0117]可選地,所述用于消除所述主機(jī)中安全威脅的信息至少包括前面方法實(shí)施例中提及的三種中的至少一種��。
[0118]若用于消除所述主機(jī)安全威脅的信息為清理程序��,所述處理單元802用于查找對應(yīng)的清理程序的標(biāo)識和存儲位置����,根據(jù)查找到的所述標(biāo)識和存儲位置,獲得用于消除所述主機(jī)安全威脅的清理程序����。
[0119]所述發(fā)送單元803將處理單元802得到的清理程序發(fā)送給主機(jī)。
[0120]上述網(wǎng)絡(luò)安全防護(hù)裝置可以作為一個(gè)軟件或硬件模塊集成在將受保護(hù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接的網(wǎng)關(guān)�、防火墻、或NAT設(shè)備中��,也可以部署于受保護(hù)網(wǎng)絡(luò)中的其他位置上的獨(dú)立設(shè)備上。應(yīng)用于方法實(shí)施例一附圖la��、附圖1b和附圖1c所示的場景中�����,實(shí)現(xiàn)其中網(wǎng)絡(luò)安全防護(hù)設(shè)備的功能���。網(wǎng)絡(luò)安全防護(hù)裝置可以實(shí)現(xiàn)的其他附加功能�����、以及與其他網(wǎng)元設(shè)備的交互過程�,請參照方法實(shí)施例中對網(wǎng)絡(luò)安全防護(hù)設(shè)備的描述�,在這里不再贅述。
[0121]本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)安全防護(hù)裝置�。該安全防護(hù)裝置獲得受保護(hù)網(wǎng)絡(luò)中與所述安全防護(hù)裝置連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一,根據(jù)獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一���,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息���,例如清理程序;將所述用于消除所述主機(jī)中安全威脅的信息提供給所述主機(jī)��。從而不僅能夠發(fā)現(xiàn)受保護(hù)網(wǎng)絡(luò)中已發(fā)生的威脅��,還能發(fā)現(xiàn)潛在威脅���,并且主動地觸發(fā)主機(jī)清除安全威脅�,改善了網(wǎng)絡(luò)安全防護(hù)效果�����。
[0122]本領(lǐng)域普通技術(shù)人員將會理解�,本發(fā)明的各個(gè)方面、或各個(gè)方面的可能實(shí)現(xiàn)方式可以被具體實(shí)施為系統(tǒng)��、方法或者計(jì)算機(jī)程序產(chǎn)品�。因此,本發(fā)明的各方面��、或各個(gè)方面的可能實(shí)現(xiàn)方式可以采用完全硬件實(shí)施例�、完全軟件實(shí)施例(包括固件、駐留軟件等等)���,或者組合軟件和硬件方面的實(shí)施例的形式�,在這里都統(tǒng)稱為“電路”�����、“模塊”或者“系統(tǒng)”。此夕卜���,本發(fā)明的各方面����、或各個(gè)方面的可能實(shí)現(xiàn)方式可以采用計(jì)算機(jī)程序產(chǎn)品的形式���,計(jì)算機(jī)程序產(chǎn)品是指存儲在計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)可讀程序代碼�����。
[0123]計(jì)算機(jī)可讀介質(zhì)可以是計(jì)算機(jī)可讀信號介質(zhì)或者計(jì)算機(jī)可讀存儲介質(zhì)�。計(jì)算機(jī)可讀存儲介質(zhì)包含但不限于電子�、磁性、光學(xué)�����、電磁�����、紅外或半導(dǎo)體系統(tǒng)、設(shè)備或者裝置�,或者前述的任意適當(dāng)組合,如隨機(jī)存取存儲器(RAM)��、只讀存儲器(R0M)�、可擦除可編程只讀存儲器(EPR0M或者快閃存儲器)��、光纖����、便攜式只讀存儲器(CD-ROM)。
[0124]計(jì)算機(jī)中的處理器讀取存儲在計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)可讀程序代碼�����,使得處理器能夠執(zhí)行在流程圖中每個(gè)步驟�、或各步驟的組合中規(guī)定的功能動作;生成實(shí)施在框圖的每一塊��、或各塊的組合中規(guī)定的功能動作的裝置��。
[0125]計(jì)算機(jī)可讀程序代碼可以完全在用戶的本地計(jì)算機(jī)上執(zhí)行����、部分在用戶的本地計(jì)算機(jī)上執(zhí)行��、作為單獨(dú)的軟件包�、部分在用戶的本地計(jì)算機(jī)上并且部分在遠(yuǎn)程計(jì)算機(jī)上�����,或者完全在遠(yuǎn)程計(jì)算機(jī)或者服務(wù)器上執(zhí)行�����。也應(yīng)該注意���,在某些替代實(shí)施方案中��,在流程圖中各步驟�、或框圖中各塊所注明的功能可能不按圖中注明的順序發(fā)生���。例如��,依賴于所涉及的功能��,接連示出的兩個(gè)步驟�、或兩個(gè)塊實(shí)際上可能被大致同時(shí)執(zhí)行,或者這些塊有時(shí)候可能被以相反順序執(zhí)行�����。
[0126]顯然��,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精神和范圍����。這樣�����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)�����,則本發(fā)明也意圖包含這些改動和變型在內(nèi)�����。
【主權(quán)項(xiàng)】
1.一種網(wǎng)絡(luò)安全防護(hù)方法����,由一安全防護(hù)設(shè)備執(zhí)行,其特征在于,包括: 獲得受保護(hù)網(wǎng)絡(luò)中與所述安全防護(hù)設(shè)備連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一����,其中,所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)包括以下至少一種:操作系統(tǒng)的標(biāo)識����、所述操作系統(tǒng)的參數(shù)、具有網(wǎng)絡(luò)端口訪問功能的軟件的標(biāo)識和所述軟件的參數(shù)�,所述威脅檢測數(shù)據(jù)包括以下至少一種:威脅種類和威脅標(biāo)識,所述威脅種類包括漏洞和惡意程序中的至少一種�; 根據(jù)獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息�����; 向所述主機(jī)發(fā)送所述用于消除所述主機(jī)中安全威脅的信息����。2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述用于消除所述主機(jī)安全威脅的信息包括清理程序的標(biāo)識和存儲位置��,所述清理程序的標(biāo)識和存儲位置用于消除所述主機(jī)中安全威脅。3.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述用于消除所述主機(jī)安全威脅的信息包括:用于消除所述主機(jī)安全威脅的清理程序��; 所述查找對應(yīng)的用于消除所述主機(jī)安全威脅的信息包括: 查找對應(yīng)的清理程序的標(biāo)識和存儲位置��,根據(jù)所述標(biāo)識和存儲位置����,獲得用于消除所述主機(jī)安全威脅的清理程序。4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,所述用于消除所述主機(jī)安全威脅的信息包括: 文件操作指令�,所述文件操作指令包括文件標(biāo)識�、文件存儲位置、以及操作符����,所述文件操作指令用以指示所述主機(jī)對所述主機(jī)中根據(jù)所述文件標(biāo)識和文件存儲位置確定的文件,執(zhí)行所述操作符表示的操作�����。5.一種網(wǎng)絡(luò)安全防護(hù)裝置,其特征在于��,包括: 接收單元�����,用于獲得受保護(hù)網(wǎng)絡(luò)中與所述網(wǎng)絡(luò)安全防護(hù)裝置連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一�,其中,所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)包括以下至少一種:操作系統(tǒng)的標(biāo)識�����、所述操作系統(tǒng)的參數(shù)�、、具有網(wǎng)絡(luò)端口訪問功能的軟件的標(biāo)識和所述軟件的參數(shù)�����;所述威脅檢測數(shù)據(jù)包括以下至少一種:威脅種類和威脅標(biāo)識�,所述威脅種類包括漏洞和惡意程序中的至少一種; 處理單元�,用于根據(jù)所述接收單元獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息�����; 發(fā)送單元,用于將所述處理單元查找到的所述用于消除所述主機(jī)中安全威脅的信息提供給所述主機(jī)�。6.根據(jù)權(quán)利要求5所述的裝置,其特征在于��, 所述用于消除所述主機(jī)安全威脅的信息包括清理程序的標(biāo)識和存儲位置���,所述清理程序的標(biāo)識和存儲位置用于消除所述主機(jī)中安全威脅���。7.根據(jù)權(quán)利要求5所述的裝置,其特征在于����, 所述用于消除所述主機(jī)安全威脅的信息包括:用于消除所述主機(jī)安全威脅的清理程序; 所述處理單元,用于查找對應(yīng)的清理程序的標(biāo)識和存儲位置��,根據(jù)所述標(biāo)識和存儲位置��,獲得用于消除所述主機(jī)安全威脅的清理程序���。8.根據(jù)權(quán)利要求5所述的裝置,其特征在于���, 所述用于消除所述主機(jī)安全威脅的信息包括: 文件操作指令�,所述文件操作指令包括文件標(biāo)識、文件存儲位置�����、以及操作符�����,所述文件操作指令用以指示所述主機(jī)對所述主機(jī)中根據(jù)所述文件標(biāo)識和文件存儲位置確定的文件��,執(zhí)行所述操作符表示的操作���。9.一種網(wǎng)絡(luò)安全防護(hù)設(shè)備��,其特征在于���,包括: 處理器、存儲器和網(wǎng)絡(luò)接口����,所述處理器、所述存儲器和所述網(wǎng)絡(luò)接口通過總線相互通?目; 所述存儲器���,用于存儲程序代碼和數(shù)據(jù)���; 所述網(wǎng)絡(luò)接口�����,用于獲得受保護(hù)網(wǎng)絡(luò)中與所述網(wǎng)絡(luò)安全防護(hù)設(shè)備連接的主機(jī)的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一��,其中�����,所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)包括以下至少一種:操作系統(tǒng)的標(biāo)識����、所述操作系統(tǒng)的參數(shù)����、具有網(wǎng)絡(luò)端口訪問功能的軟件的標(biāo)識和所述軟件的參數(shù),所述威脅檢測數(shù)據(jù)包括以下至少一種:威脅種類和威脅標(biāo)識�,所述威脅種類包括漏洞和惡意程序中的至少一種; 所述處理器��,用于讀取所述存儲器中存儲的程序代碼和數(shù)據(jù)�,執(zhí)行以下操作: 根據(jù)所述網(wǎng)絡(luò)接口獲得的所述網(wǎng)絡(luò)環(huán)境數(shù)據(jù)和威脅檢測數(shù)據(jù)二者至少之一,查找對應(yīng)的用于消除所述主機(jī)中安全威脅的信息�; 將所述用于消除所述主機(jī)中安全威脅的信息通過所述網(wǎng)絡(luò)接口提供給所述主機(jī)。10.根據(jù)權(quán)利要求9所述的設(shè)備�,其特征在于,所述用于消除所述主機(jī)安全威脅的信息包括:用于消除所述主機(jī)安全威脅的清理程序��; 所述處理器����,用于查找對應(yīng)的清理程序的標(biāo)識和存儲位置,根據(jù)所述標(biāo)識和存儲位置����,獲得用于消除所述主機(jī)安全威脅的清理程序。
【文檔編號】H04L29/06GK105991595SQ201510083707
【公開日】2016年10月5日
【申請日】2015年2月15日
【發(fā)明人】蔣武
【申請人】華為技術(shù)有限公司