[发明专利]一种网络入侵特征配置方法及系统

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种网络入侵特征配置方法及系统。

背景技术

网络攻击者可以通过利用计算机软件或硬件系统的漏洞，达到破化或获取非法利益的目的。例如，将别人的计算机当作跳板盗取其他计算机内的文件，造成别人的计算机崩溃，磁盘格式化，监视他人计算机或者偷窥他人隐私，远程控制他人计算机，入侵特征网站服务器替换该网站的主页，下载用户数据库造成商业损失，攻击网站服务器使其无法被用户访问等。网络攻击技术现在已经逐渐被越来越多的人掌握和开发，而且，有越来越多的″傻瓜型″的网络攻击软件被开发和公布，从而加速了网络攻击威胁的蔓延。早期的网络攻击者更倾向于展示技术和恶作剧，随着实体业务向网络上转移，攻击者的经济利益获取倾向也变得更加明显。

针对网络入侵特征这个问题，当前主要有两种的技术方案，具体如下：

A)漏洞扫描系统

漏洞扫描系统软件通过扫描系统网络服务，获取已存在的网络安全漏洞，然后进行系统升级来修复漏洞。这个系统存在两个隐患：1)在大型网络或软件系统较复杂的环境里，安装升级包会导致业务终止，用户一般很难接受；2)类似动态WEB网站，OA系统，用户业务系统软件，它们是用户自己研发或委托定制的代码，不像office之类常用软件，即使扫描出非常危险的安全漏洞(例如：SQL注入)，也很难在客户能接受的时间内获得升级包。

B)入侵防护系统(IPS：Intrusion Prevention System)

一般的IPS产品通过封堵可能导致攻击的数据包的形式，封堵对网络安全漏洞的利用。IPS产品是实施中不中断，不更改用户的软件系统，而且可以对定制软件进行漏洞攻击防护，所以被称为“网络虚拟补丁”。但是，IPS产品有多达几千个攻击特征要进行配置，不同的攻击特征用于封堵不同的网络漏洞，这就要求网络实施人员必须同时掌握用户软件系统的构成和IPS的这几千种攻击的原理，才能构造出最适合这个网络用户的配置集合。这基本是不可完成的任务。

IPS：入侵特征预防系统(IPS：Intrusion Prevention System)是电脑网路安全设施，是对防病毒软体(Antivirus Programs)和防火墙(Packet Filter，Application Gateway)的补充。入侵特征预防系统(Intrusion-preventionsystem)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

入侵特征是用于检查网络报文是否会产生网络攻击的唯一指标。

现有的IPS产品的特征配置实现方案是提供几个典型环境配置，然后用户手工进行修改。

发明内容

针对上述现有技术中的问题，本发明实施例提供一种网络入侵特征配置方法及系统，用于为IPS产品用户提供和实际环境最匹配的网络入侵特征配置集合，从而针对性封堵对系统漏洞的非法攻击。

为解决上述技术问题，本发明实施例提供一种网络入侵特征配置方法，所述方法包括以下步骤：

步骤1)分别设定“漏洞相关特征”的配置方式和“非漏洞相关特征”的配置方式；

步骤2)建立漏洞-特征对应关联表；其中所述漏洞-特征对应关联表中包括漏洞名称和攻击特征标示两个字段；

步骤3)扫描用户系统，获得网络安全漏洞列表；

步骤4)根据步骤2)建立的漏洞-特征对应联系表，查找步骤3)所述的网络安全漏洞列表的相关特征；其中，查找到所述的网络安全漏洞列表中的漏洞相关的特征统称为“漏洞相关特征”；未查找到的特征称为“非漏洞相关特征”；

步骤5)按照步骤1)设定所述的配置方式，设定步骤4)查找到的“漏洞相关特征”和“非漏洞相关特征”的配置方式，形成IPS特征集合的配置实例。

优选地，所述步骤2)具体包括以下步骤：

21)建立漏洞描述表，每行至少包含如下字段：漏洞名称，漏洞编号；

22)建立攻击特征描述表，每行至少包含如下字段：攻击特征标识、特征所对应的漏洞编号；

23)遍历漏洞描述表，在攻击特征描述表中查找一个或多个攻击特征所对应的漏洞编号，将查找到的当前漏洞编号和攻击特征标识加入到“漏洞-特征对应联系表”中。

优选地，所述漏洞-特征对应关联表中一个漏洞对应一个或多个攻击特征；一个特征对应一个或多个漏洞。

优选地，所述步骤1)中的两个配置方式均至少包括：各个特征是否在IPS系统中启用；在数据报文中检测到特征后的响应方式。