漏洞的防御方法及装置制造方法及图纸

本发明专利技术提供一种漏洞的防御方法及装置，包括：获得漏洞的漏洞信息；其中，漏洞信息中至少包括漏洞所在的网络地址；基于漏洞信息中的漏洞所在的网络地址，确定出需要制定防御策略的防御系统；判断需要制定防御策略的防御系统中，是否有漏洞信息对应的防御策略；其中，防御策略用于对漏洞进行防御；若判断出需要制定防御策略的防御系统中，有漏洞信息对应的防御策略，则控制需要制定防御策略的防御系统，开启与漏洞信息对应的防御策略，从而实现将扫描系统和防御系统按企业内已发现漏洞精确联动起来，使得获得的漏洞在危险时间内时，及时通过防御系统对漏洞执行防御策略，使得危险时间内保护系统及信息安全，保证信息系统稳定运行。

Defense methods and devices for vulnerabilities

The invention provides a vulnerability defense method and device, including: obtaining vulnerability information of vulnerabilities; in which vulnerability information includes at least the network address where vulnerabilities are located; based on the network address where vulnerabilities are located in vulnerability information, the defense system that needs to formulate defense strategies is determined; and judging whether there is corresponding defense of vulnerability information in the defense system that needs to formulate defense strategies. The defense strategy is used to defend vulnerabilities; if we judge that there are defense strategies corresponding to vulnerability information in defense systems that need to formulate defense strategies, then we control defense systems that need to formulate defense strategies, and open defense strategies corresponding to vulnerability information, so as to realize the precise linkage between scanning system and defense system according to the vulnerabilities found in enterprises, so as to make them more effective. When the acquired vulnerabilities are in dangerous time, the defense strategy is implemented through the defense system in time to protect the system and information security in dangerous time and ensure the stable operation of the information system.

【技术实现步骤摘要】
漏洞的防御方法及装置
本专利技术属于网络安全
，更具体的说，尤其涉及一种漏洞的防御方法及装置。
技术介绍
在互联网飞速发展的当下，目前各类业务都是通过IT系统对外提供服务，而承载这类业务功能的IT基础设施(操作系统、数据库、中间件等)，会随着外部攻击手段、技术方法的不断提升，每天都会有新增的安全类漏洞，一方面各类安全厂商会提供检测类设备、防护类设备进行漏洞的检测和防护。另一方面企业会采购相关的设备，以保障企业内的信息系统安全。企业内目前对于基础环境漏洞的处理方式是：对系统进行漏洞扫描得到漏洞，对该漏洞进行打补丁加固。考虑到业务应用的连续性，防御设备不会开启攻击事件的全阻断策略，如果获得漏洞的当下环境为生产环境时，则需等待测试环境进行功能验证完成之后再对漏洞进行打补丁加固。因此，得到漏洞到打补丁加固之间存在一段危险时间，如果漏洞在这段危险时间内被恶意攻击，则会使得隐私信息被获取，更严重者使得系统瘫痪。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种漏洞的防御方法及装置，用于在危险时间内，通过防御系统对漏洞进行防御。其中，本申请提供了一种漏洞的防御方法，包括：获得漏洞的漏洞信息；其中，所述漏洞信息中至少包括漏洞所在的网络地址；基于所述漏洞信息中的所述漏洞所在的网络地址，确定出需要制定防御策略的防御系统；判断所述需要制定防御策略的防御系统中，是否有所述漏洞信息对应的防御策略；其中，所述防御策略用于对所述漏洞进行防御；若判断出所述需要制定防御策略的防御系统中，有所述漏洞信息对应的防御策略，则控制所述需要制定防御策略的防御系统，开启所述与所述漏洞信息对应的防御策略。可选的，所述获得漏洞的漏洞信息，包括：调用漏洞扫描类系统进行扫描，得到所述漏洞；获得所述漏洞的漏洞信息。可选的，所述判断所述需要制定防御策略的防御系统中，是否有所述漏洞信息对应的防御策略，包括：获得所述漏洞的公共漏洞和暴露CVE编号；判断在所述需要制定防御策略的防御系统的CVE编号，是否与所述漏洞的CVE编号相同；其中，若判断出所述需要制定防御策略的防御系统的CVE编号，与所述漏洞的CVE编号相同，则判断出所述需要制定防御策略的防御系统中，有所述漏洞信息对应的防御策略。可选的，所述基于所述漏洞信息中的所述漏洞所在的网络地址，确定出需要制定防御策略的防御系统，包括：基于所述漏洞信息中的所述漏洞所在的网络地址，得到访问所述漏洞所在系统的网络访问路径；将所述网络访问路径上的防御系统确定为需要制定防御策略的防御系统。可选的，所述方法还包括：若判断出所述需要制定防御策略的防御系统中，没有所述漏洞信息对应的防御策略，则确定需要制定防御策略的防御系统中没有对应防御策略的漏洞的优先级为高；将携带所述优先级的漏洞信息发送至漏洞加固系统，其中，所述优先级为高的漏洞被所述漏洞加固系统优先加固。本申请还提供了一种漏洞的防御装置，包括：获得单元，用于获得漏洞的漏洞信息；其中，所述漏洞信息中至少包括漏洞所在的网络地址；防御系统确定单元，用于基于所述漏洞信息中的所述漏洞所在的网络地址，确定出需要制定防御策略的防御系统；判断单元，用于判断所述需要制定防御策略的防御系统中，是否有所述漏洞信息对应的防御策略；其中，所述防御策略用于对所述漏洞进行防御；第一执行单元，用于若所述判断单元判断出所述需要制定防御策略的防御系统中，有所述漏洞信息对应的防御策略，则控制所述需要制定防御策略的防御系统，开启所述与所述漏洞信息对应的防御策略。可选的，所述获得单元，包括：调用子单元，用于调用漏洞扫描类系统进行扫描，得到漏洞；第一获得子单元，用于获得所述漏洞的漏洞信息。可选的，所述判断单元，包括：第二获得子单元，用于获得所述漏洞的公共漏洞和暴露CVE编号；判断子单元，用于判断在所述需要制定防御策略的防御系统的CVE编号，是否有与所述漏洞的CVE编号相同；其中，若判断出所述需要制定防御策略的防御系统的CVE编号，与所述漏洞的CVE编号相同，则判断出所述需要制定防御策略的防御系统中，有所述漏洞信息对应的防御策略。可选的，所述防御系统确定单元，包括：网络访问路径确定子单元，用于基于所述漏洞信息中的所述漏洞所在的网络地址，得到访问所述漏洞所在系统的网络访问路径；防御系统确定子单元，用于将所述网络访问路径上的防御系统确定为需要制定防御策略的防御系统。可选的，所述装置还包括：第二执行单元，用于若判断出所述需要制定防御策略的防御系统中，没有所述漏洞信息对应的防御策略，则确定需要制定防御策略的防御系统中没有对应防御策略的漏洞的优先级为高；发送单元，用于将携带所述优先级的漏洞信息发送至漏洞加固系统，其中，所述优先级为高的漏洞被所述漏洞加固系统优先加固。从上述技术方案可知，本申请提供的一种漏洞的防御方法及装置中，通过基于漏洞信息中的漏洞所在的网络地址，确定出需要制定防御策略的防御系统，并控制需要制定防御策略的防御系统，开启与漏洞信息对应的防御策略，从而实现将漏洞扫描类系统和防御系统基于准确的漏洞信息联动起来，使得获得的漏洞处于危险时间内时，及时通过防御系统开启防御策略，对漏洞进行防御，使得危险时间内保护隐私信息，从而使得系统稳定，并且控制需要制定防御策略的防御系统开启与与漏洞信息对应的防御策略，使得防御系统针对性的对漏洞进行防御，提高防御效率，从而提高系统整体安全水平。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种漏洞的防御方法的具体流程图；图2是本专利技术另一种实施例提供的一种漏洞的防御方法的具体流程图；图3是本专利技术另一种实施例提供的一种漏洞的防御方法的具体流程图；图4是本专利技术另一种实施例提供的一种漏洞的防御方法的具体流程图；图5是本专利技术另一种实施例提供的一种漏洞的防御装置的示意图；图6是本专利技术另一种实施例提供的一种漏洞的防御装置的示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例提供的一种漏洞的防御方法，如图1所示，包括：S101、获得漏洞的漏洞信息。漏洞是指在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞可以是在操作系统、数据库、中间件中存在的漏洞。其中，漏洞信息中至少包括漏洞所在的网络地址。需要说明的是，漏洞信息中还可以包括漏洞名称、漏洞详情、公共漏洞和暴露(CommonVulnerabilities&Exposures，CVE)编号、漏洞级别等信息。其中，每个漏洞的漏洞名称是唯一的，漏洞详情是指漏洞的特征信息；CVE编号是指为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称，每个通用漏洞均对应一个唯一CV本文档来自技高网...

【技术保护点】
1.一种漏洞的防御方法，其特征在于，包括：获得漏洞的漏洞信息；其中，所述漏洞信息中至少包括漏洞所在的网络地址；基于所述漏洞信息中的所述漏洞所在的网络地址，确定出需要制定防御策略的防御系统；判断所述需要制定防御策略的防御系统中，是否有所述漏洞信息对应的防御策略；其中，所述防御策略用于对所述漏洞进行防御；若判断出所述需要制定防御策略的防御系统中，有所述漏洞信息对应的防御策略，则控制所述需要制定防御策略的防御系统，开启所述与所述漏洞信息对应的防御策略。

【技术特征摘要】
1.一种漏洞的防御方法，其特征在于，包括：获得漏洞的漏洞信息；其中，所述漏洞信息中至少包括漏洞所在的网络地址；基于所述漏洞信息中的所述漏洞所在的网络地址，确定出需要制定防御策略的防御系统；判断所述需要制定防御策略的防御系统中，是否有所述漏洞信息对应的防御策略；其中，所述防御策略用于对所述漏洞进行防御；若判断出所述需要制定防御策略的防御系统中，有所述漏洞信息对应的防御策略，则控制所述需要制定防御策略的防御系统，开启所述与所述漏洞信息对应的防御策略。2.根据权利要求1所述的方法，其特征在于，所述获得漏洞的漏洞信息，包括：调用漏洞扫描类系统进行扫描，得到所述漏洞；获得所述漏洞的漏洞信息。3.根据权利要求1所述的方法，其特征在于，所述判断所述需要制定防御策略的防御系统中，是否有所述漏洞信息对应的防御策略，包括：获得所述漏洞的公共漏洞和暴露CVE编号；判断在所述需要制定防御策略的防御系统的CVE编号，是否与所述漏洞的CVE编号相同；其中，若判断出所述需要制定防御策略的防御系统的CVE编号，与所述漏洞的CVE编号相同，则判断出所述需要制定防御策略的防御系统中，有所述漏洞信息对应的防御策略。4.根据权利要求1所述的方法，其特征在于，所述基于所述漏洞信息中的所述漏洞所在的网络地址，确定出需要制定防御策略的防御系统，包括：基于所述漏洞信息中的所述漏洞所在的网络地址，得到访问所述漏洞所在系统的网络访问路径；将所述网络访问路径上的防御系统确定为需要制定防御策略的防御系统。5.根据要求1所述的方法，其特征在于，还包括：若判断出所述需要制定防御策略的防御系统中，没有所述漏洞信息对应的防御策略，则确定需要制定防御策略的防御系统中没有对应防御策略的漏洞的优先级为高；将携带所述优先级的漏洞信息发送至漏洞加固系统，其中，所述优先级为高的漏洞被所述漏洞加固系统优先加固。6.一种漏洞的防御装置，其特征在于，包括：获得单元，...

【专利技术属性】
技术研发人员：王照文，邹帮山，秦旭果，孙鹏飞，韩秀文，
申请(专利权)人：吉林亿联银行股份有限公司，
类型：发明
国别省市：吉林,22