CN104468459B - 一种漏洞检测方法及装置 - Google Patents

Abstract

本发明涉及一种漏洞检测方法，包括以下步骤：当接收到客户端发送的站点访问请求时，判断该站点访问请求是否来自目标用户；若该站点访问请求来自目标用户，则在使用该站点访问请求访问目标站点后，获取该目标站点返回的响应页面；根据该响应页面检测目标站点是否存在漏洞，得到检测结果。本发明还提供一种漏洞检测装置。利用本发明可以及时发现网络站点存在的漏洞。

Description

一种漏洞检测方法及装置

技术领域

本发明具体实施例涉及网络安全技术领域，特别涉及一种漏洞检测方法及装置。

背景技术

在网络科技中，漏洞是指网络系统中的安全缺陷。漏洞的存在使攻击者能够在未授权的情况下访问或破坏网络系统。Web漏洞通常是指网站程序上的漏洞，Web漏洞可能是由于代码编写者在编写代码时考虑不周全等原因造成的。常见的Web漏洞例如包括SQL（Structured Query Language，结构化查询语言）注入漏洞、XSS（Cross Site Scripting，跨站脚本攻击）漏洞、上传漏洞等。

目前，发现Web漏洞的方法主要是依靠针对网络站点的漏洞扫描系统来实现的。该漏洞扫描系统通过网络爬虫等手段收集网页地址（URL，Uniform Resource Locator，又称统一资源定位符）列表及各网页地址对应的参数及类型，然后根据漏洞特征库构造各网页地址对应目标站点的漏洞攻击测试请求，再根据目标站点回应的信息判断该目标站点是否存在特定的漏洞。

然而，通过网络爬虫手段收集网页内嵌入的网页地址及对应的参数和类型，不但会存在网页地址覆盖不全的问题，同时也会抓取大量无用的静态资源链接，造成系统资源的浪费。此外，漏洞特征库通常是由漏洞扫描系统的维护人员收集及制定，也可能会存在漏洞特征覆盖不全的问题。因此，根据该漏洞特征库构造出的漏洞攻击测试请求可能无法及时发现新出现的漏洞，对新出现的漏洞存在响应时间过长的问题。

发明内容

有鉴于此，有必要提供一种漏洞检测方法及装置，可以及时发现网络站点存在的漏洞，并减少系统资源的浪费。

一种漏洞检测方法，包括以下步骤：当接收到客户端发送的站点访问请求时，判断该站点访问请求是否来自目标用户；若该站点访问请求来自目标用户，则在使用该站点访问请求访问目标站点后，获取该目标站点返回的响应页面；根据该响应页面检测目标站点是否存在漏洞，得到检测结果。

一种漏洞检测装置，包括：判断模块，用于当接收到客户端发送的站点访问请求时，判断该站点访问请求是否来自目标用户；获取模块，用于若该站点访问请求来自目标用户，则在使用该站点访问请求访问目标站点后，获取该目标站点返回的响应页面；检测模块，用于根据该响应页面检测目标站点是否存在漏洞，得到检测结果。

相较于现有技术，本发明漏洞检测方法及装置，通过对来自目标用户的站点访问请求的监控，并根据目标站点响应于该站点访问请求的信息检测该目标站点是否存在漏洞，可以及时发现网络站点存在的漏洞，并减少系统资源的浪费。

为让本发明的上述和其他目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附图式，作详细说明如下。

附图说明

图1为一种服务器的结构框图。

图2为本发明实施例提供的漏洞检测方法应用时的环境示意图。

图3为本发明第一实施例提供的漏洞检测方法的流程图。

图4为建立目标用户数据库的方法流程图。

图5为判断站点访问请求是否来自目标用户的方法流程图。

图6为本发明第二实施例提供的漏洞检测方法的流程图。

图7为本发明第三实施例提供的漏洞检测装置的框图。

图8为本发明第四实施例提供的漏洞检测装置的框图。

具体实施方式

为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效，以下结合附图及较佳实施例，对依据本发明的具体实施方式、结构、特征及其功效，详细说明如后。

图1示出了一种服务器的结构框图。如图1所示，服务器1包括一个或多个（图中仅示出一个）存储器11、处理器12、存储控制器13、外设接口14、通信模块15、输入单元16及显示单元17。这些组件通过一条或多条通讯总线/信号线相互通讯。

本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对服务器1的结构造成限定。例如，服务器1还可包括比图1所示更多或者更少的组件，或者具有与图1所示不同的配置。图1所示的各组件可以采用硬件、软件或其组合实现。

存储器11可用于存储软件程序以及模块，如本发明实施例中的漏洞检测方法及装置对应的程序指令/模块，处理器12通过运行存储在存储器11内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的漏洞检测方法。

存储器11可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器11可进一步包括相对于处理器12远程设置的存储器，这些远程设置的存储器可以通过网络连接至服务器1。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。处理器12以及其他可能的组件对存储器11的访问可在存储控制器13的控制下进行。

外设接口14将各种输入/输出装置耦合至处理器12以及存储器11。处理器12运行存储器11内的各种软件、指令以及执行服务器1的各种功能以及进行数据处理。

通信模块15用于与通信网络或者其他设备进行通信。具体地，通信模块15例如可以是网卡。网卡作为局域网中连接计算机和传输介质的接口，用于实现与局域网传输介质之间的物理连接与电信号匹配，从而建立局域网并连接到因特网（Internet），与各种网络如局域网、城域网、广域网进行通信。网卡可包括各种现有的用于执行上述功能的电路元件，例如处理器和存储器（包括ROM和RAM）等。

输入单元16可用于接收输入的字符信息，以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地，输入单元16可包括按键161以及触控表面162。按键161例如可包括用于输入字符的字符按键，以及用于触发控制功能的控制按键。控制按键的实例包括“返回主屏”按键、开机/关机按键、拍照键等等。触控表面162可收集用户在其上或附近的触摸操作（比如用户使用手指、触笔等任何适合的物体或附件在触控表面162上或在触控表面162附近的操作），并根据预先设定的程序驱动相应的连接装置。可选的，触控表面162可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器12，并能接收处理器12发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控表面162。除了触控表面162，输入单元16还可以包括其他输入设备。上述的其他输入设备包括但不限于物理键盘、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元17用于显示由用户输入的信息、提供给用户的信息以及服务器1的各种图形接口。这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。在一个实例中，显示单元17包括一个显示面板171。该显示面板171例如可为一个液晶显示面板(Liquid Crystal Display，LCD)、有机发光二极管（Organic Light-Emitting DiodeDisplay，OLED）显示面板、电泳显示面板（Electro-Phoretic Display,EPD）等。进一步地，触控表面162可设置于显示面板171上从而与显示面板171构成一个整体。

参阅图2所示，为本发明实施例提供的漏洞检测方法应用时的环境示意图。在本实施例中，该漏洞检测方法应用于上述服务器1中，该服务器1可以通过网络2与至少一台终端，例如图2中的终端3进行网络通信。其中，该服务器1可以包括一台或多台服务器，当然该服务器1也可以是虚拟云计算模组。所述终端3的具体实例包括但并不限于台式计算机、便携式计算机、智能手机、平板电脑、个人数字助理或者其它类似的运算装置。所述网络2可为任意的网络连接方式，例如互联网（Internet）、移动互联网（如电信运营商提供的2G、3G网络）、局域网（有线或者无线）等。

第一实施例

参阅图3所示，本发明第一实施例提供一种漏洞检测方法，该漏洞检测方法包括以下步骤：

步骤S1，当接收到客户端发送的站点访问请求时，判断该站点访问请求是否来自目标用户；

步骤S2，若该站点访问请求来自目标用户，则在使用该站点访问请求访问目标站点后，获取该目标站点返回的响应页面；

步骤S3，根据该响应页面检测目标站点是否存在漏洞，得到检测结果。

按照上述的漏洞检测方法，通过对来自目标用户的站点访问请求的监控，并根据目标站点响应于该站点访问请求的信息检测该目标站点是否存在漏洞，可以及时发现网络站点存在的漏洞，并减少系统资源的浪费。

在一些实例中，上述方法的各步骤的实现细节如下：

步骤S1所述的客户端例如可以是浏览器等网站访问工具的客户端。该网站访问工具被架设在服务器1中，而该网站访问工具的该客户端则安装并运行于所述终端3中。用户可以通过该客户端访问互联网中的网络站点，例如社交网站、购物网站等。

在本实施例中，用户在使用该客户端访问各网络站点之前，还需要先通过有效的登录账号登录该网站访问工具。具体而言，登录该网站访问工具的过程包括：用户向网站访问工具的客户端输入登录账号，该登录账号可以为预先申请的用户名及密码；该客户端将该登录账号送至服务器1验证其有效性；当服务器1验证该登录账号有效时，用户成功登录该网站访问工具，从而可以通过该客户端向目标站点发送站点访问请求，访问相应的目标站点。

所述站点访问请求将根据用户在该客户端上的操作发出。例如，当用户在该客户端的地址输入栏中输入网页地址时，发出所输入网页地址对应目标站点的站点访问请求。还例如，当用户点击某一网页中或文档中的嵌入的网页链接时，发出该网页链接对应目标站点的站点访问请求。该站点访问请求中例如包括该客户端的当前登录账号、目标站点的网页地址、该目标站点的网页地址对应的参数等信息。该对应的参数例如包括当前搜索的关键词、源站点、浏览器类型、目标站点标记等。

此外，在本实施例中，在执行所述步骤S1前还需要先建立一目标用户数据库。该目标用户数据库可以存储在服务器1的所述存储器11中。该目标用户数据库中记录有各目标用户的登录账号。该目标用户是指由于专业擅长或兴趣爱好等原因，较有可能对网络站点是否存在漏洞产生怀疑，从而向相应的网络站点发出漏洞攻击测试请求的用户。因此，目标用户发出的站点访问请求，比较有可能是对目标站点的漏洞攻击测试请求。而通过对目标用户发出的站点访问请求进行监控，也更有机会发现目标站点存在的漏洞。

具体而言，参阅图4所示，所述建立目标用户数据库的方法可以包括以下步骤：

步骤S41，收集所注册的各登录账号对应的兴趣数据。该兴趣数据可以用于反映与对应登录账号关联的用户访问网络时的兴趣倾向。例如，有些用户访问网络时倾向于查看时事新闻，有些倾向于浏览购物网站，而有些则倾向于浏览网络安全技术方面的网站。

继续参阅图4所示，所述步骤S41具体可以包括以下步骤：

步骤S411，监听所注册的各登录账号的网络访问行为。该网络访问行为例如包括访问所输入地址对应的网页、在一个网页上搜索另一个网页、在网页上发表图片或文字等内容、浏览网页中的文档内容等行为。该网络访问行为可以通过关键词来具体化，例如该关键词可以是各登录账号所访问网页的内容标题和关键词、搜索网页时输入的检索词、在网页上发表评论或留言的关键词、在网页上发表文章的标题及标签等。

每当一个登录账号登录所述网站访问工具并访问相应网页后，步骤S411都将该登录账号对应的网络访问行为以上述关键词的方式记录下来，例如记录在所述存储器11中，供后续分析登录账号对应的兴趣数据。在本实施例中，可以规定对一个登录账号的一次网络访问行为只提取指定个数，例如两个关键词来表征该次网络访问行为，从而规范每一次网络访问行为对应的关键词个数，避免因为某些网络访问行为对应的关键词数量过多，造成后续对所述兴趣数据的分析不精确。例如，当该登录账号访问了一次一个关于漏洞挖掘的网页，则可以从该网页中提取“漏洞挖掘”和“网络安全”两个关键词表示该登录账号的该次网络访问行为。

步骤S412，根据该网络访问行为分析出各登录账号对应的兴趣数据。在一个实例中，可以对各登录账号的网络访问行为进行统计，即对各登录账号对应的网络访问行为的关键词进行统计，并计算各登录账号对应的各关键词在该登录账号对应的所有关键词中所占的比例。可以理解，当一个登录账号对应的一个关键词在该登录账号对应的所有关键词中所占的比例较高，则说明该关键词对应的网络访问行为较频繁，该关键词对应的网络访问行为在一定程度上反映了与该登录账号关联的用户的兴趣倾向。

因此，若某个登录账号对应的一个关键词在该登录账号对应的所有关键词中所占的比例达到一个预设阈值，例如50%，则确定该关键词为该登录账号对应兴趣数据之一。一个登录账号对应兴趣数据可以包括一个或多个关键词。例如该登录账号对应的兴趣数据包括“时事”、“漏洞挖掘”和“网络安全”等。

值得注意的是，由于在实际应用中，作为自然人的一个用户可以申请一个或多个登录账号用于登录该网站访问工具并访问网络站点，对属于同一个用户的登录账号而言，各登录账号对应的兴趣数据理应一致。然而，通过步骤S41所收集的与同一用户关联的登录账号对应的兴趣数据可能并不一致。

因此，在执行步骤S41后，还可以将与同一用户关联的登录账号对应的兴趣数据统一。具体而言，可以先根据各登录账号的登录时间、登录IP地址、登录地点等信息，识别出与同一用户关联的登录账号。然后对与同一用户关联的登录账号对应的兴趣数据取并集，并将该并集作为与该同一用户关联的各登录账号对应的兴趣数据。

步骤S42，逐一判断各登录账号对应的兴趣数据与指定兴趣是否相符，若是，则将该登录账号记录在所述目标用户数据库中。在本实施例中，由于所述目标用户是指较有可能对网络站点是否存在漏洞产生怀疑，从而向相应的网络站点发出漏洞测试请求的用户。因此，所述指定兴趣例如包括站点入侵或漏洞挖掘等兴趣。该指定兴趣也可以由若干个关键词组成，例如该指定兴趣包括“站点入侵”、“漏洞挖掘”、“Web漏洞”、“网站入侵”等关键词。在本实施例中，只要一登录账号对应的兴趣数据的部分或全部与该指定兴趣相符，则判断该登录账号与目标用户关联，并将该登录账号记录在所述目标用户数据库中。

综上所述，参阅图5所示，所述步骤S1判断该站点访问请求是否来自所述目标用户的方法可以包括以下步骤：

步骤S51，从该站点访问请求中获取该客户端的当前登录账号。具体地，步骤S51可以使用DPI（Deep Packet Inspection，深度包检测）技术分析该站点访问请求，从而从该站点访问请求中获取该客户端的当前登录账号。

步骤S52，判断该当前登录账号是否存在于该目标用户数据库中，若是，则判断该站点访问请求来自该目标用户。若否，则判断该站点访问请求并非来自该目标用户。

步骤S2中，若该站点访问请求来自目标用户，则该站点访问请求较有可能是目标用户构造的一个针对该目标站点的漏洞测试请求。因此，可以直接使用该站点访问请求来访问目标站点，并获取该目标站点返回的响应页面。该目标站点返回的响应页面同时也被传送到客户端，交由用户进行处理。

步骤S3中根据该响应页面检测目标站点是否存在漏洞，在本实施例中，可以将该响应页面与该目标站点所设置的正常页面进行对比。若该响应页面与该正常页面一致，则判断该目标站点不存在漏洞。若该响应页面与该正常页面不一致，则判断该目标站点存在漏洞。该目标站点的正常页面是针对非漏洞攻击测试请求的正常访问请求响应的。该目标站点的正常页面可以先通过该正常访问请求从目标站点获取，并被预先存储在所述存储器11中。所述检测结果即包括该目标站点是否存在漏洞。若该检测结果表示该目标站点存在漏洞，则步骤S3还可以向该目标站点发出警告信息，从而警告维护该目标站点的负责人该目标站点存在漏洞，并提供该漏洞的一些信息，例如漏洞类型等。

综上所述，在本实施例提供的漏洞检测方法中，由于目标用户是较有可能对网络站点是否存在漏洞产生怀疑，从而向相应的网络站点发出漏洞测试请求的用户。通过建立并维护包括各目标用户的登录账号的目标用户数据库，并对来自目标用户的站点访问请求进行监控，若该站点访问请求为目标用户构造的针对该目标站点的漏洞攻击测试请求，则可以及时发现该目标站点存在的漏洞，缩短对新出现漏洞的响应时间，同时减少系统资源的浪费。

第二实施例

根据第一实施例提供的漏洞检测方法，可以及时发现该目标站点存在的漏洞，缩短对新出现漏洞的响应时间。而现有的漏洞扫描系统的网页地址库中保存有若干待进行漏洞测试的网页地址。这些待进行漏洞测试的网页地址通常是通过网络爬虫等方式收集的，因此会存在网页地址覆盖不全的问题。此外，该漏洞扫描系统的漏洞特征库也存在漏洞特征覆盖不全的问题。

为了进一步解决上述问题，本发明第二实施例提供一种漏洞检测方法，其可以在第一实施例的基础上进一步起到完善漏洞扫描系统的网页地址库及漏洞特征库的作用。参阅图6所示，本发明第二实施例提供一种漏洞检测方法，其相较于第一实施例的漏洞检测方法，在所述步骤S2判断该站点访问请求来自目标用户后，还进一步包括：

步骤S21，分析该站点访问请求，从该站点访问请求中提取目标站点的网页地址。同样的，步骤S21也可以使用所述DPI技术分析该站点访问请求，从而从该站点访问请求中提取该目标站点的网页地址。

步骤S22，判断该目标站点的网页地址是否存在于漏洞扫描系统的网页地址库中，若否，则将该目标站点的网页地址存入该网页地址库中。该网页地址库用于使该漏洞扫描系统构造对网页地址库中的各网页地址对应站点的漏洞攻击测试请求。若该网页地址库中的网页地址覆盖不全，则漏洞扫描系统可能无法对未覆盖的网页地址对应站点是否存在漏洞进行测试。因此，若该站点访问请求来自目标用户，并且该目标站点的网页地址不存在于该网页地址库中，则步骤S22将该网页地址存入该网页地址库中，从而完善该网页地址库。

此外，在所述步骤S3得到所述检测结果后，还进一步包括：

步骤S23，若该检测结果表示该目标站点存在漏洞，则提取目标站点的该漏洞的漏洞特征，并根据所提取的漏洞特征更新漏洞扫描系统的漏洞特征库中。通常，该漏洞扫描系统根据该漏洞特征库中的已有漏洞特征构造相应的漏洞攻击测试请求。因此，若该漏洞特征库未覆盖到某种漏洞特征，则漏洞扫描系统将无法根据该未覆盖到的漏洞特征构造漏洞攻击测试请求，从而无法检测到站点中存在的该未覆盖到的漏洞特征对应的漏洞。步骤S23在提取到所述漏洞特征后，可以先判断该漏洞特征库中是否已经包括所提取的漏洞特征。若该漏洞特征库中尚未包括所提取的漏洞特征，则将所提取的漏洞特征添加到漏洞特征库中，从而完善该漏洞特征库。

综上所述，本实施例的漏洞检测方法，在目标站点的网页地址不存在于漏洞扫描系统的网页地址库的情况下，将该网页地址存入该网页地址库，以及在该目标站点存在漏洞的情况下，根据该漏洞的漏洞特征更新漏洞扫描系统的漏洞特征库，可以及时完善该网页地址库及漏洞特征库，提高该漏洞扫描系统发现漏洞的能力。

第三实施例

参阅图7所示，本发明第三实施例提供一种漏洞检测装置100，其包括建立模块101、判断模块102、获取模块103和检测模块104。可以理解，上述的各模块是指计算机程序或者程序段，用于执行某一项或多项特定的功能。此外，上述各模块的区分并不代表实际的程序代码也必须是分开的。

建立模块101，用于建立一目标用户数据库，该目标用户数据库中记录有各目标用户的登录账号。

具体而言，建立模块101可以先收集所注册的各登录账号对应的兴趣数据。在本实施例中，建立模块101可以通过监听所注册的各登录账号的网络访问行为，然后根据该网络访问行为分析出各登录账号对应的兴趣数据。同时，由于作为自然人的一个用户可以申请一个或多个登录账号，对属于同一个用户的登录账号而言，各登录账号对应的兴趣数据理应一致。因此优选地，建立模块101还将与同一用户关联的登录账号对应的兴趣数据统一。

然后，建立模块101逐一判断各登录账号对应的兴趣数据与指定兴趣是否相符，若是，则将该登录账号记录在所述目标用户数据库中。所述指定兴趣包括站点入侵或漏洞挖掘。

判断模块102，用于当接收到客户端发送的站点访问请求时，判断该站点访问请求是否来自目标用户。具体而言，判断模块102可以从该站点访问请求中获取该客户端的当前登录账号，然后判断该当前登录账号是否存在于该目标用户数据库中。若该当前登录账号存在于该目标用户数据库中，则判断模块102判断该站点访问请求来自目标用户。

获取模块103，用于若该站点访问请求来自目标用户，则在使用该站点访问请求访问目标站点后，获取该目标站点返回的响应页面。

检测模块104，用于根据该响应页面检测目标站点是否存在漏洞，得到检测结果。在本实施例中，可以将该响应页面与该目标站点所设置的正常页面进行对比。若该响应页面与该正常页面一致，则判断该目标站点不存在漏洞。若该响应页面与该正常页面不一致，则判断该目标站点存在漏洞。所述检测结果即包括该目标站点是否存在漏洞。若该检测结果表示该目标站点存在漏洞，则所述检测模块104还可以向该目标站点发出警告信息，从而警告维护该目标站点的负责人该目标站点存在漏洞。

对于以上各模块的具体工作过程，可进一步参考本发明第一实施例提供的漏洞检测方法，在此不再重复。

综上所述，在本实施例提供的漏洞检测装置100的实现过程中，由于目标用户是较有可能对网络站点是否存在漏洞产生怀疑，从而向相应的网络站点发出漏洞测试请求的用户。通过建立并维护包括各目标用户的登录账号的目标用户数据库，并对来自目标用户的站点访问请求进行监控，若该站点访问请求为目标用户构造的针对该目标站点的漏洞攻击测试请求，则可以及时发现该目标站点存在的漏洞，缩短对新出现漏洞的响应时间，同时减少系统资源的浪费。

第四实施例

参阅图8所示，本发明第四实施例提供一种漏洞检测装置200，其相较于本发明第三实施例提供的漏洞检测装置100，进一步包括：

第一更新模块201，用于在所述判断模块102判断该站点访问请求来自目标用户后，分析该站点访问请求，从该站点访问请求中提取目标站点的网页地址。所述第一更新模块201可以使用DPI技术分析该站点访问请求，从而从该站点访问请求中提取该目标站点的网页地址。

所述第一更新模块201，还用于判断该目标站点的网页地址是否存在于漏洞扫描系统的网页地址库中，若否，则将该目标站点的网页地址存入该网页地址库中。

此外，所述漏洞检测装置200还进一步包括：

第二更新模块202，用于在所述检测模块104得到所述检测结果后，若该检测结果表示该目标站点存在漏洞，则提取目标站点的该漏洞的漏洞特征，并根据所提取的漏洞特征更新漏洞扫描系统的漏洞特征库中。

对于以上各模块的具体工作过程，可进一步参考本发明第二实施例提供的漏洞检测方法，在此不再重复。

综上所述，本实施例的漏洞检测装置200，在目标站点的网页地址不存在于漏洞扫描系统的网页地址库的情况下，将该网页地址存入该网页地址库，以及在该目标站点存在漏洞的情况下，根据该漏洞的漏洞特征更新漏洞扫描系统的漏洞特征库，可以及时完善该网页地址库及漏洞特征库，提高该漏洞扫描系统发现漏洞的能力。

此外，本发明实施例还提供一种计算机可读存储介质，其内存储有计算机可执行指令，上述的计算机可读存储介质例如为非易失性存储器例如光盘、硬盘、或者闪存。上述的计算机可执行指令用于让计算机或者类似的运算装置完成上述的漏洞检测方法中的各种操作。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭示如上，然而并非用以限定本发明，任何本领域技术人员，在不脱离本发明技术方案范围内，当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例，但凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简介修改、等同变化与修饰，均仍属于本发明技术方案的范围内。

Claims (16)

1.一种漏洞检测方法，其特征在于，该方法包括以下步骤：

建立目标用户数据库，该目标用户数据库中记录有各目标用户的登录账号，其中，所述建立目标用户数据库的步骤包括收集所注册的各登录账号对应的兴趣数据，并逐一判断各登录账号对应的兴趣数据与指定兴趣是否相符，若是，则将该登录账号记录在所述目标用户数据库中；

当接收到客户端发送的站点访问请求时，判断该站点访问请求是否来自目标用户，其中，所述判断该站点访问请求是否来自目标用户的步骤包括从该站点访问请求中获取该客户端的当前登录账号，并判断该当前登录账号是否存在于该目标用户数据库中，若是，则判断该站点访问请求来自目标用户；

若该站点访问请求来自目标用户，则在使用该站点访问请求访问目标站点后，获取该目标站点返回的响应页面；

根据该响应页面检测目标站点是否存在漏洞，得到检测结果。

2.如权利要求1所述的漏洞检测方法，其特征在于，所述收集所注册的各登录账号对应的兴趣数据的步骤包括：

监听所注册的各登录账号的网络访问行为；

根据该网络访问行为分析出各登录账号对应的兴趣数据。

3.如权利要求2所述的漏洞检测方法，其特征在于，所述收集所注册的各登录账号对应的兴趣数据的步骤还包括：

将与同一用户关联的登录账号对应的兴趣数据统一。

4.如权利要求1所述的漏洞检测方法，其特征在于，所述指定兴趣包括站点入侵或漏洞挖掘。

5.如权利要求1所述的漏洞检测方法，其特征在于，在判断该站点访问请求来自目标用户的步骤后，还包括：

分析该站点访问请求，从该站点访问请求中提取目标站点的网页地址；

判断该网页地址是否存在于漏洞扫描系统的网页地址库中，若否，则将该网页地址存入该网页地址库中。

6.如权利要求5所述的漏洞检测方法，其特征在于，使用深度包检测技术分析该站点访问请求。

7.如权利要求1所述的漏洞检测方法，其特征在于，所述得到检测结果的步骤后，还包括：

若该检测结果表示该目标站点存在漏洞，则提取该漏洞的漏洞特征，并根据所提取的漏洞特征更新漏洞扫描系统的漏洞特征库中。

8.如权利要求1所述的漏洞检测方法，其特征在于，所述得到检测结果的步骤后，还包括：

若该检测结果表示该目标站点存在漏洞，则向该目标站点发出警告信息。

9.一种漏洞检测装置，其特征在于，该装置包括：

建立模块，用于建立目标用户数据库，该目标用户数据库中记录有各目标用户的登录账号，其中，所述建立模块收集所注册的各登录账号对应的兴趣数据，并逐一判断各登录账号对应的兴趣数据与指定兴趣是否相符，若是，则将该登录账号记录在所述目标用户数据库中；

判断模块，用于当接收到客户端发送的站点访问请求时，判断该站点访问请求是否来自目标用户，其中，所述判断模块从该站点访问请求中获取该客户端的当前登录账号，并判断该当前登录账号是否存在于该目标用户数据库中，若是，则判断该站点访问请求来自目标用户；

获取模块，用于若该站点访问请求来自目标用户，则在使用该站点访问请求访问目标站点后，获取该目标站点返回的响应页面；

检测模块，用于根据该响应页面检测目标站点是否存在漏洞，得到检测结果。

10.如权利要求9所述的漏洞检测装置，其特征在于，所述收集所注册的各登录账号对应的兴趣数据包括：

监听所注册的各登录账号的网络访问行为；

根据该网络访问行为分析出各登录账号对应的兴趣数据。

11.如权利要求10所述的漏洞检测装置，其特征在于，所述收集所注册的各登录账号对应的兴趣数据还包括：

将与同一用户关联的登录账号对应的兴趣数据统一。

12.如权利要求9所述的漏洞检测装置，其特征在于，所述指定兴趣包括站点入侵或漏洞挖掘。

13.如权利要求9所述的漏洞检测装置，其特征在于，还包括：

第一更新模块，用于在所述判断模块判断该站点访问请求来自目标用户后，分析该站点访问请求，从该站点访问请求中提取目标站点的网页地址；

所述第一更新模块，还用于判断该网页地址是否存在于漏洞扫描系统的网页地址库中，若否，则将该网页地址存入该网页地址库中。

14.如权利要求13所述的漏洞检测装置，其特征在于，所述第一更新模块使用深度包检测技术分析该站点访问请求。

15.如权利要求9所述的漏洞检测装置，其特征在于，还包括：

第二更新模块，用于在所述检测模块得到检测结果后，若该检测结果表示该目标站点存在漏洞，则提取该漏洞的漏洞特征，并根据所提取的漏洞特征更新漏洞扫描系统的漏洞特征库中。

16.如权利要求9所述的漏洞检测装置，其特征在于，所述检测模块在得到检测结果后，还用于：

若该检测结果表示该目标站点存在漏洞，则向该目标站点发出警告信息。