网站漏洞防护方法、装置及系统.pdf

本发明公开了一种网站漏洞防护方法、装置及系统，涉及信息安全技术领域，主要目的在于在不改变程序源代码的前提下，实现及时的防护网站漏洞不被攻击。本发明的主要技术方案为：漏洞防护服务端获取待防护漏洞；对所述待防护漏洞的使用规则进行分析，得到漏洞补丁防护规则；将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中。漏洞防护客户端获取漏洞补丁防护规则，所述漏洞补丁防护规则为漏洞使用规则；将所述漏洞补丁防护规则在防火墙端生效；当接收到针对一定漏洞的访问时，根据漏洞补丁防护规则确定该访问行为是否为恶意行为；若为恶意行为，则阻止此次的访问。本发明主要用于网站漏洞防护的过程中。

权利要求书
1.  一种网站漏洞防护方法，其特征在于，包括：
漏洞防护服务端获取待防护漏洞；
对所述待防护漏洞的使用规则进行分析，得到漏洞补丁防护规则；
将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中，以便漏洞防护客户端获取漏洞补丁防护规则，并根据所述漏洞补丁防护规则实现对应漏洞的防护。

2.  根据权利要求1所述的方法，其特征在于，所述漏洞防护服务端获取待防护漏洞包括：
从漏洞服务平台获取所述待防护漏洞；
或者从第三方平台获取所述待防护漏洞。

3.  根据权利要求2所述的方法，其特征在于，在将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中之后，还包括：
将生成的所述漏洞补丁防护规则推送给所述漏洞防护客户端。

4.  根据权利要求2所述的方法，其特征在于，还包括：
接收所述漏洞防护客户端发送的获取漏洞补丁防护规则的请求；
根据所述请求将新生成的漏洞补丁防护规则发送给所述漏洞防护客户端。

5.  一种网站漏洞防护方法，其特征在于，包括：
漏洞防护客户端获取漏洞补丁防护规则，所述漏洞补丁防护规则为漏洞使用规则；
将所述漏洞补丁防护规则在防火墙端生效；
当接收到针对一定漏洞的访问时，根据漏洞补丁防护规则确定该访问行为是否为恶意行为；
若为恶意行为，则阻止此次的访问。

6.  根据权利要求5所述的方法，其特征在于，所述漏洞防护客户端获取漏洞补丁防护规则包括：
所述漏洞防护客户端向所述漏洞防护服务端发送获取漏洞补丁防护规则的请求；
接收所述漏洞防护服务端发送的漏洞补丁防护规则。

7.  根据权利要求5所述的方法，其特征在于，所述漏洞防护客户端获取漏洞补丁防护规则包括：
接收所述漏洞防护客服端推送的漏洞补丁防护规则。

8.  一种网站漏洞防护服务端，其特征在于，包括：
获取单元，用于获取待防护漏洞；
分析单元，用于对所述待防护漏洞的使用规则进行分析，得到漏洞补丁防护规则；
存储单元，用于将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中，以便漏洞防护客户端获取漏洞补丁防护规则，并根据所述漏洞补丁防护规则实现对应漏洞的防护。

9.  一种网站漏洞防护客户端，其特征在于，包括：
获取单元，用于获取漏洞补丁防护规则，所述漏洞补丁防护规则为漏洞使用规则；
生效单元，用于将所述漏洞补丁防护规则在防火墙端生效；
确定单元，用于当接收到针对一定漏洞的访问时，根据漏洞补丁防护规则确定该访问行为是否为恶意行为；
操作单元，用于在确定针对一定漏洞的访问为恶意行为时，阻止此次的访问。

10.  一种网站漏洞防护系统，其特征在于，包括：
如权利要求8所述的网站漏洞防护服务端；和
如权利要求9所述的网站漏洞防护客户端。

说明书网站漏洞防护方法、装置及系统
技术领域
本发明涉及一种信息安全技术领域，特别是涉及一种网站漏洞防护方法、装置及系统。
背景技术
随着信息技术的不断发展，人类社会的信息化程度越来越高，整个社会对网络信息的依赖程度也越来越高，从而网络安全的重要性也越来越高。目前各种对网络安全造成威胁的攻击也越来越多，例如，漏洞攻击。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。目前，很多行政机构、企业网站都使用第三方建站系统,这些第三方建站系统时不时被发现网站有漏洞。
为了能够保证网络的安全性，目前当发现网站有漏洞之后，需要网站服务器管理员手动获取漏洞的补丁包，将针对该漏洞的补丁包安装。该种补丁包一般是第三方建站方提供或者网站服务器管理员自助开发，不论哪种方式，都是需要修改系统的源代码，这样会影响正在运行的业务。并且及时允许手动安装漏洞补丁包，网站服务器管理员也不能做到实时检测正在使用的系统是否出现新的漏洞，一旦漏洞不能被及时修复，其将存在被攻击的风险。
发明内容
有鉴于此，本发明提供一种网站漏洞防护方法、装置及系统，主要目的在于在不改变程序源代码的前提下，实现及时的防护网站漏洞不被攻击。
依据本发明一个方面，提供了一种网站漏洞防护方法，包括：
漏洞防护服务端获取待防护漏洞；
对所述待防护漏洞的使用规则进行分析，得到漏洞补丁防护规则；
将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中，以便漏洞防护客户端获取漏洞补丁防护规则，并根据所述漏洞补丁防护规则实现对应漏洞的防护。
依据本发明另一个方面，提供了一种网站漏洞防护方法，包括：
漏洞防护客户端获取漏洞补丁防护规则，所述漏洞补丁防护规则为漏洞使用规则；
将所述漏洞补丁防护规则在防火墙端生效；
当接收到针对一定漏洞的访问时，根据漏洞补丁防护规则确定该访问行为是否为恶意行为；
若为恶意行为，则阻止此次的访问。
依据本发明另一个方面，提供了一种网站漏洞防护服务端，包括：
获取单元，用于获取待防护漏洞；
分析单元，用于对所述待防护漏洞的使用规则进行分析，得到漏洞补丁防护规则；
存储单元，用于将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中，以便漏洞防护客户端获取漏洞补丁防护规则，并根据所述漏洞补丁防护规则实现对应漏洞的防护。
依据本发明另一个方面，提供了一种网站漏洞防护客户端，包括：
获取单元，用于获取漏洞补丁防护规则，所述漏洞补丁防护规则为漏洞使用规则；
生效单元，用于将所述漏洞补丁防护规则在防火墙端生效；
确定单元，用于当接收到针对一定漏洞的访问时，根据漏洞补丁防护规则确定该访问行为是否为恶意行为；
操作单元，用于在确定针对一定漏洞的访问为恶意行为时，阻止此次的访问。
依据本发明另一个方面，提供了一种网站漏洞防护系统，包括：
如上所述的网站漏洞防护服务端和网站漏洞防护客户端。
借由上述技术方案，本发明提供的技术方案至少具有下列优点：
本发明提供的网站漏洞防护方法、装置及系统，网站漏洞防护服务端先将网站待防护的漏洞进行使用规则的分析，得到对应的漏洞补丁防护规则，并将该漏洞补丁防护规则进行存储。网络漏洞防护客户端在进行漏洞防护时，先获取漏洞的补丁防护规则，并将该规则在防火墙处生效，当检测到对该漏洞的访问时，将访问行为与获取的漏洞补丁防护规则进行匹配，若匹配，则确定该方位行为为恶意行为，将阻止该次访问，实现对漏洞的防护。由于在整个漏洞防护的过程中，仅适用了漏洞使用的规则，而没有像现有技术一样生成代码补丁对源代码进行更新，所以本发明实施例下系统程序的源代码保持不变，在对漏洞进行防护的时候不会影响现有业务的处理。另外，本发明中的漏洞的防护是基于防火墙处有效的漏洞补丁防护规则进行的，防火墙的工作是实时进行，不像现有技术一样依赖人的检测判断执行，能够及时的对系统中存在的漏洞进行防护，保证漏洞不被攻击。
上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
图1示出了本发明实施例提供的一种网站漏洞防护服务端侧网站漏洞防护方法的流程图；
图2示出了本发明实施例提供的一种网站漏洞防护客户端侧网站漏洞防护方法的流程图；
图3示出了本发明实施例提供的一种网站漏洞防护服务端的组成框图；
图4示出了本发明实施例提供的另一种网站漏洞防护服务端的组成框图；
图5示出了本发明实施例提供的另一种网站漏洞防护服务端的组成框图；
图6示出了本发明实施例提供的一种网站漏洞防护客户端的组成框图；
图7示出了本发明实施例提供的另一种网站漏洞防护客户端的组成框图；
图8示出了本发明实施例提供的另一种网站漏洞防护客户端的组成框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供一种网站漏洞防护方法，该方法为网站漏洞防护服务端侧的方法，如图1所示，该方法包括：
101、漏洞防护服务端获取待防护漏洞。
在执行本发明实施例时，首先要确定并获取待防护的漏洞，该漏洞一般为新出现的漏洞，当然也可以为之前已发出过修复补丁的漏洞，具体的本发明实施例对此不进行限制。
目前，漏洞的发布方式有很多种，有的是系统开发方以官方的形式发布；有的是民间各种专家发现并发布的；当然，也有一些组织为了更好的发现和防护漏洞，建立了漏洞收集和发布平台，以该平台方式发布。不论什么发布方式，本发明实施例都可以从其中获取待防护漏洞，具体在实施时，可以通过但不局限于以下的方式实现，包括：从漏洞服务平台获取所 述待防护漏洞；或者从第三方平台获取所述待防护漏洞。在获取待防护漏洞的时候，待防护漏洞的信息可以通过一些网络抓取工具第一时间抓取，这在一定程度上保证了漏洞防护的及时性。
上述漏洞信息在获取了之后，可以统一保存在漏洞防护服务端，进而等待进行对所述待防护漏洞的使用规则进行分析。
102、对所述待防护漏洞的使用规则进行分析，得到漏洞补丁防护规则。
黑客在对漏洞进行攻击的时候，往往是通过篡改漏洞的使用规则来实现对对应系统的攻击，因此，为了不改变源代码，本发明实施例对黑客经常使用的攻击手段(即使用规则)进行分析，得到漏洞补丁防护规则。例如，SQL注入漏洞这一攻击行为，其攻击手段一般为：在\productbuy\checkout.asp文件中，对用户提交给"proid"参数的数据在用于SQL查询前进行过滤，提交恶意SQL查询作为参数数据，可更改原来的SQL逻辑，获得敏感信息或操作数据库。基于对其攻击手段的分析，SQL注入漏洞的漏洞补丁防护规则为在\productbuy\checkout.asp文件中，对用户提交给"proid"参数的数据在用于SQL查询前进行过滤。
其中，对所述待防护漏洞的使用规则进行分析时，可以通过预定程序自动执行，也可以通过人工专家手动进行，具体的本发明实施例不进行限制。
103、将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中，以便漏洞防护客户端获取漏洞补丁防护规则，并根据所述漏洞补丁防护规则实现对应漏洞的防护。
进一步的，为了使漏洞防护客户端能够及时的获取漏洞补丁防护规则，本发明实施例在将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中之后，还可以将生成的漏洞补丁防护规则推送给所述漏洞防护客户端。其中，在将生成的所述漏洞补丁防护规则推送给所述漏洞防护客户端时，可以实时推送，也可以周期推送，具体的本发明实施例对此不进行限制，在具体实施时，用户可以根据实际需求进行设置。
进一步的，为了使漏洞防护客户端能够及时的获取漏洞补丁防护规则，除了上述漏洞防护服务端主动推送外，漏洞防护客户端也可以主动请求获 取漏洞补丁防护规则，针对漏洞防护客户端的主动请求，本发明实施例漏洞防护服务端还提供如下的方法，该方法包括：接收所述漏洞防护客户端发送的获取漏洞补丁防护规则的请求；根据所述请求将新生成的漏洞补丁防护规则发送给所述漏洞防护客户端。
本发明实施例还提供一种网站漏洞防护方法，该方法为网站漏洞防护客户端侧的方法，如图2所示，该方法包括：
201、漏洞防护客户端获取漏洞补丁防护规则，所述漏洞补丁防护规则为漏洞使用规则。
其中，关于漏洞补丁防护规则的相关描述，可以参考图1对应实施例中的相关描述，本发明实施例此处将不再赘述。
漏洞防护客户端获取漏洞补丁防护规则可以主动向漏洞防护服务端请求，也可以被动接收漏洞防护服务端的主动推送，具体的本发明实施例对此不进行限制。
当漏洞防护客户端主动向漏洞防护服务端请求漏洞补丁防护规则时，本发明实施例提供以下的方法实现，该方法包括：所述漏洞防护客户端向所述漏洞防护服务端发送获取漏洞补丁防护规则的请求；并接收所述漏洞防护服务端发送的漏洞补丁防护规则。其中，该主动向漏洞防护服务端请求可以周期进行，也可以实时进行，具体的本发明实施例对此不进行限制。在具体实施本发明实施例时，用户可以根据需求选择设置。
当漏洞防护客户端被动接收漏洞防护服务端主动推送的漏洞补丁防护规则时，本发明实施例提供以下的方法实现，该方法包括：漏洞防护客户端接收所述漏洞防护客服端推送的漏洞补丁防护规则。
202、将所述漏洞补丁防护规则在防火墙端生效。
将所述漏洞补丁防护规则在防火墙端生效即为将所述漏洞补丁防护规则在防火墙存储的漏洞补丁防护规则表中添加更新，使其成为可被防火墙查询的漏洞补丁防护规则。
203、当接收到针对一定漏洞的访问时，根据漏洞补丁防护规则确定该访问行为是否为恶意行为。
204、若为恶意行为，则阻止此次的访问。
在阻止此次的访问时，可以通过直接将该次访问过滤掉，或者禁止访问等方式进行，具体的本发明实施例对此不进行限制。
进一步的，当接收到针对一定漏洞的访问时，根据漏洞补丁防护规则确定该访问行为是否为恶意行为，可以采用但不局限于以下的方式实现，该方法包括：
将所述访问行为与所述漏洞补丁防护规则进行匹配；若所述访问行为与所述漏洞补丁防护规则匹配，则确定所述访问行为是否为恶意行为。例如，漏洞补丁防护规则为：传输的id参数应当数字型，若不是数字型，则认为其为恶意行为。如果访问这输入的是字符串，则将被阻止访问。
本发明实施例中，网站漏洞防护服务端先将网站待防护的漏洞进行使用规则的分析，得到对应的漏洞补丁防护规则，并将该漏洞补丁防护规则进行存储。网络漏洞防护客户端在进行漏洞防护时，先获取漏洞的补丁防护规则，并将该规则在防火墙处生效，当检测到对该漏洞的访问时，将访问行为与获取的漏洞补丁防护规则进行匹配，若匹配，则确定该方位行为为恶意行为，将阻止该次访问，实现对漏洞的防护。由于在整个漏洞防护的过程中，仅适用了漏洞使用的规则，而没有像现有技术一样生成代码补丁对源代码进行更新，所以本发明实施例下系统程序的源代码保持不变，在对漏洞进行防护的时候不会影响现有业务的处理。另外，本发明中的漏洞的防护是基于防火墙处有效的漏洞补丁防护规则进行的，防火墙的工作是实时进行，不像现有技术一样依赖人的检测判断执行，能够及时的对系统中存在的漏洞进行防护，保证漏洞不被攻击。
基于上述方法，本发明实施例提供一种网站漏洞防护服务端，如图3所示，该网站漏洞防护服务端包括：
获取单元31，用于获取待防护漏洞。所述获取单元31获取待防护漏洞时，具体可以通过但不局限于以下的方式实现，包括：从漏洞服务平台获取所述待防护漏洞；或者从第三方平台获取所述待防护漏洞。
分析单元32，用于对所述待防护漏洞的使用规则进行分析，得到漏洞补丁防护规则。
存储单元33，用于将所述漏洞补丁防护规则添加到漏洞补丁防护规则 数据库中，以便漏洞防护客户端获取漏洞补丁防护规则，并根据所述漏洞补丁防护规则实现对应漏洞的防护。
进一步的，为了使漏洞防护客户端能够及时的获取漏洞补丁防护规则，所述网站漏洞防护服务端主动将获得的漏洞补丁防护规则推送给漏洞防护客户端，如图4所示，所述网站漏洞防护服务端还包括：
推送单元34，用于在将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中之后，将生成的所述漏洞补丁防护规则推送给所述漏洞防护客户端。
进一步的，为了使漏洞防护客户端能够及时的获取漏洞补丁防护规则，除了上述漏洞防护服务端主动推送外，漏洞防护客户端也可以主动请求，针对漏洞防护客户端的主动请求，如图5所示，所述网站漏洞防护服务端，还包括：
接收单元35，用于接收所述漏洞防护客户端发送的获取漏洞补丁防护规则的请求。
发送单元36，用于根据所述请求将新生成的漏洞补丁防护规则发送给所述漏洞防护客户端。
本发明实施例提供一种网站漏洞防护客户端，如图6所示，该网站漏洞防护客户端包括：
获取单元41，用于获取漏洞补丁防护规则，所述漏洞补丁防护规则为漏洞使用规则。
生效单元42，用于将所述漏洞补丁防护规则在防火墙端生效。
确定单元43，用于当接收到针对一定漏洞的访问时，根据漏洞补丁防护规则确定该访问行为是否为恶意行为。
操作单元44，用于在确定针对一定漏洞的访问为恶意行为时，阻止此次的访问。
进一步的，漏洞防护客户端获取漏洞补丁防护规则可以主动向漏洞防护服务端请求，也可以被动接收漏洞防护服务端的主动推送，具体的本发明实施例对此不进行限制。
当漏洞防护客户端主动向漏洞防护服务端请求漏洞补丁防护规则时， 如图7所示，所述获取单元41包括：
发送模块411，用于向所述漏洞防护服务端发送获取漏洞补丁防护规则的请求。
第一接收模块412，用于接收所述漏洞防护服务端发送的漏洞补丁防护规则。
进一步的，当漏洞防护客户端被动接收漏洞防护服务端主动推送漏洞补丁防护规则时，如图7所示，所述获取单元41包括：
第二接收模块413，用于接收所述漏洞防护客服端推送的漏洞补丁防护规则。
进一步的，如图8所示，所述确定单元43包括：
匹配模块431，用于将所述访问行为与所述漏洞补丁防护规则进行匹配。
确定模块432，用于在所述访问行为与所述漏洞补丁防护规则匹配时，确定所述访问行为是否为恶意行为。
需要说明的是，本发明实施例中所述涉及的各功能模块的其他描述，请参考对应方法实施例中的中的对应描述，本发明实施例此处将不再赘述。
本发明实施例还提供一种网站漏洞防护系统，该网站漏洞防护系统包括：
如上所述的网站漏洞防护服务端和如上如所述的网站漏洞防护客户端。
需要说明的是，本发明实施例中所述涉及的各功能模块的其他描述，请参考对应方法和装置实施例中的中的对应描述，本发明实施例此处将不再赘述。
本发明实施例中，网站漏洞防护服务端先将网站待防护的漏洞进行使用规则的分析，得到对应的漏洞补丁防护规则，并将该漏洞补丁防护规则进行存储。网络漏洞防护客户端在进行漏洞防护时，先获取漏洞的补丁防护规则，并将该规则在防火墙处生效，当检测到对该漏洞的访问时，将访问行为与获取的漏洞补丁防护规则进行匹配，若匹配，则确定该方位行为为恶意行为，将阻止该次访问，实现对漏洞的防护。由于在整个漏洞防护 的过程中，仅适用了漏洞使用的规则，而没有像现有技术一样生成代码补丁对源代码进行更新，所以本发明实施例下系统程序的源代码保持不变，在对漏洞进行防护的时候不会影响现有业务的处理。另外，本发明中的漏洞的防护是基于防火墙处有效的漏洞补丁防护规则进行的，防火墙的工作是实时进行，不像现有技术一样依赖人的检测判断执行，能够及时的对系统中存在的漏洞进行防护，保证漏洞不被攻击。
本发明的实施例公开了：
A1、一种网站漏洞防护方法，其特征在于，包括：
漏洞防护服务端获取待防护漏洞；
对所述待防护漏洞的使用规则进行分析，得到漏洞补丁防护规则；
将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中，以便漏洞防护客户端获取漏洞补丁防护规则，并根据所述漏洞补丁防护规则实现对应漏洞的防护。
A2、根据权利要求A1所述的方法，其特征在于，所述漏洞防护服务端获取待防护漏洞包括：
从漏洞服务平台获取所述待防护漏洞；
或者从第三方平台获取所述待防护漏洞。
A3、根据权利要求A2所述的方法，其特征在于，在将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中之后，还包括：
将生成的所述漏洞补丁防护规则推送给所述漏洞防护客户端。
A4、根据权利要求A2所述的方法，其特征在于，还包括：
接收所述漏洞防护客户端发送的获取漏洞补丁防护规则的请求；
根据所述请求将新生成的漏洞补丁防护规则发送给所述漏洞防护客户端。
B5、一种网站漏洞防护方法，其特征在于，包括：
漏洞防护客户端获取漏洞补丁防护规则，所述漏洞补丁防护规则为漏洞使用规则；
将所述漏洞补丁防护规则在防火墙端生效；
当接收到针对一定漏洞的访问时，根据漏洞补丁防护规则确定该访问 行为是否为恶意行为；
若为恶意行为，则阻止此次的访问。
B6、根据权利要求B5所述的方法，其特征在于，所述漏洞防护客户端获取漏洞补丁防护规则包括：
所述漏洞防护客户端向所述漏洞防护服务端发送获取漏洞补丁防护规则的请求；
接收所述漏洞防护服务端发送的漏洞补丁防护规则。
B7、根据权利要求B5所述的方法，其特征在于，所述漏洞防护客户端获取漏洞补丁防护规则包括：
接收所述漏洞防护客服端推送的漏洞补丁防护规则。
B8、根据权利要求B5-B7中任一项所述的方法，其特征在于，根据漏洞补丁防护规则确定该访问行为是否为恶意行为包括：
将所述访问行为与所述漏洞补丁防护规则进行匹配；
若所述访问行为与所述漏洞补丁防护规则匹配，则确定所述访问行为是否为恶意行为。
C9、一种网站漏洞防护服务端，其特征在于，包括：
获取单元，用于获取待防护漏洞；
分析单元，用于对所述待防护漏洞的使用规则进行分析，得到漏洞补丁防护规则；
存储单元，用于将所述漏洞补丁防护规则添加到漏洞补丁防护规则数据库中，以便漏洞防护客户端获取漏洞补丁防护规则，并根据所述漏洞补丁防护规则实现对应漏洞的防护。
C10、根据权利要求C9所述的网站漏洞防护服务端，其特征在于，所述获取单元具体用于：
从漏洞服务平台获取所述待防护漏洞；
或者从第三方平台获取所述待防护漏洞。
C11、根据权利要求C10所述的网站漏洞防护服务端，其特征在于，还包括：
推送单元，用于在将所述漏洞补丁防护规则添加到漏洞补丁防护规则 数据库中之后，将生成的所述漏洞补丁防护规则推送给所述漏洞防护客户端。
C12、根据权利要求C10所述的网站漏洞防护服务端，其特征在于，还包括：
接收单元，用于接收所述漏洞防护客户端发送的获取漏洞补丁防护规则的请求；
发送单元，用于根据所述请求将新生成的漏洞补丁防护规则发送给所述漏洞防护客户端。
D13、一种网站漏洞防护客户端，其特征在于，包括：
获取单元，用于获取漏洞补丁防护规则，所述漏洞补丁防护规则为漏洞使用规则；
生效单元，用于将所述漏洞补丁防护规则在防火墙端生效；
确定单元，用于当接收到针对一定漏洞的访问时，根据漏洞补丁防护规则确定该访问行为是否为恶意行为；
操作单元，用于在确定针对一定漏洞的访问为恶意行为时，阻止此次的访问。
D14、根据权利要求D13所述的网站漏洞防护客户端，其特征在于，所述获取单元包括：
发送模块，用于向所述漏洞防护服务端发送获取漏洞补丁防护规则的请求；
第一接收模块，用于接收所述漏洞防护服务端发送的漏洞补丁防护规则。
D15、根据权利要求D13所述的网站漏洞防护客户端，其特征在于，所述获取单元包括：
第二接收模块，用于接收所述漏洞防护客服端推送的漏洞补丁防护规则。
D16、根据权利要求D13-D15中任一项所述的网站漏洞防护客户端，其特征在于，所述确定单元包括：
匹配模块，用于将所述访问行为与所述漏洞补丁防护规则进行匹配；
确定模块，用于在所述访问行为与所述漏洞补丁防护规则匹配时，确定所述访问行为是否为恶意行为。
E17、一种网站漏洞防护系统，其特征在于，包括：
如权利要求C9-C12中任一项所述的网站漏洞防护服务端；和
如权利要求D13-D16中任一项所述的网站漏洞防护客户端。
在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方 式，其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网络安全检测方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实 现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。