[发明专利]一种基于预警信息的漏洞自动化防护方法及系统

权利要求书

1.一种基于预警信息的漏洞自动化防护方法，其特征在于，包括：

遍历预设安全公告页面，当发现漏洞预警后，从预警通告中提取出关键信息,其中，提取出关键信息包括漏洞类型、漏洞名称、存在缺陷的文件名、函数名、受影响的Web应用名称以及版本号；

根据受影响的Web应用名称以及版本号、存在缺陷的文件名和函数名，找出所有受影响的URL请求，并发送消息通知普通服务器节点对缺陷文件的所有调用进行拦截；

根据预先配置的策略决定直接对有缺陷的文件名对应的文件调用进行拦截还是对参数进行检查；

当进行参数检查时，根据漏洞类型、漏洞名称、存在缺陷的文件名、函数名，判断受影响的URL请求是否为异常请求，得到判定结果；

根据判定结果确定是否进行自动防护；

其中，当进行参数检查时，根据漏洞类型、漏洞名称、存在缺陷的文件名、函数名，判断受影响的URL请求是否为异常请求，包括：

预先构建漏洞数据库，针对不同类型的漏洞攻击维护不同的关键词黑名单，根据需要检查的请求参数中是否含有黑名单关键词来判定是否为异常请求；和/或

通过构建的正常行为规范模型，检查函数的执行和参数活动范围是否处于正常水平，如果不处于正常范围，则判定为异常请求，其中，正常行为规范模型通过对正常情况下的行为日志进行分析后构建。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

根据受影响的URL请求生成对应的转发规则；

并根据对应的转发规则对受影响的URL请求进行分类和转发。

3.如权利要求1所述的方法，其特征在于，根据预先配置的策略决定直接对有缺陷的文件名对应的文件调用进行拦截还是对参数进行检查，包括：

如果是直接拦截，则在处理到相关文件调用时直接将页面跳转至情况说明页面；如果要进行参数检查，则对相关敏感函数进行拦截。

4.如权利要求1所述的方法，其特征在于，根据判定结果确定是否进行自动防护，包括：

如果判定结果为异常请求，则阻止函数调用，并提取该URL请求的关键信息，进行报警。

5.一种基于预警信息的漏洞自动化防护系统，其特征在于，包括：

爬虫模块，用于遍历预设安全公告页面，当发现漏洞预警后，从预警通告中提取出关键信息,其中，提取出关键信息包括漏洞类型、漏洞名称、存在缺陷的文件名、函数名、受影响的Web应用名称以及版本号；

调用关系分析模块，用于根据受影响的Web应用名称以及版本号、存在缺陷的文件名和函数名，找出所有受影响的URL请求，并发送消息通知普通服务器节点对缺陷文件的所有调用进行拦截；

参数检查扩展模块，用于根据预先配置的策略决定直接对有缺陷的文件名对应的文件调用进行拦截还是对参数进行检查，以及根据判定结果确定是否进行自动防护；

异常判定模块，用于当进行参数检查时，根据漏洞类型、漏洞名称、存在缺陷的文件名、函数名，判断受影响的URL请求是否为异常请求，得到判定结果；

其中，异常判定模块具体用于：

预先构建漏洞数据库，针对不同类型的漏洞攻击维护不同的关键词黑名单，根据需要检查的请求参数中是否含有黑名单关键词来判定是否为异常请求；和/或

通过构建的正常行为规范模型，检查函数的执行和参数活动范围是否处于正常水平，如果不处于正常范围，则判定为异常请求，其中，正常行为规范模型通过对正常情况下的行为日志进行分析后构建。

6.如权利要求5所述的系统，其特征在于，所述系统还包括负载均衡模块，用于：在爬虫模块根据受影响的URL请求生成对应的转发规则后，

根据对应的转发规则对受影响的URL请求进行分类和转发。

7.如权利要求5所述的系统，其特征在于，参数检查扩展模块，具体用于：

如果是直接拦截，则在处理到相关文件调用时直接将页面跳转至情况说明页面；如果要进行参数检查，则对相关敏感函数进行拦截，且在调用执行之前将函数名和具体参数发给异常判定模块进行判定。

8.如权利要求5所述的系统，其特征在于，参数检查扩展模块还用于：

如果判定结果为异常请求，则阻止函数调用，并提取该URL请求的关键信息。