CN107204869B - 消除智能装置的漏洞的方法和系统 - Google Patents
消除智能装置的漏洞的方法和系统 Download PDFInfo
- Publication number
- CN107204869B CN107204869B CN201610868398.XA CN201610868398A CN107204869B CN 107204869 B CN107204869 B CN 107204869B CN 201610868398 A CN201610868398 A CN 201610868398A CN 107204869 B CN107204869 B CN 107204869B
- Authority
- CN
- China
- Prior art keywords
- smart device
- settings
- network
- web page
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于消除连接到数据网络的智能装置的漏洞的系统和方法。示例性方法包括:识别提供对所述数据网络的访问的路由器;获得对所述网络的访问;以及通过所述数据网络发送用于获得在网络上对智能装置的访问的请求。此外,该方法包括:访问智能装置以获得智能装置的设置;将所述设置与已知的漏洞进行比较;确定用于修补与所述装置的设置相关联的网络漏洞的动作;以及向所述智能装置发送指令,以执行用于修补与所述设置相关联的网络漏洞的所述动作。
Description
相关申请的交叉引用
本申请为2016年5月6日提交的美国专利申请No.15/148,153的部分继续申请,其要求2016年3月18日提交的俄罗斯申请No.2016109931的优先权的权益,该俄罗斯申请的全部内容通过引用并入本文。
技术领域
本发明总体涉及计算机安全和反病毒技术领域,更具体地,涉及一种消除具有因特网访问的智能装置的漏洞的系统和方法。
背景技术
目前,从用户的计算机和智能电话到更普通的装置(如电视机和冰箱)的越来越多的装置连接到因特网。当新类型的装置连接到因特网时,它们采取用于营销目的的形容词“智能”(如智能电视)。当智能装置连接到因特网时,用户变得能够这样更新装置:监视装置(诸如冰箱)的操作状态,并将该装置本身集成到所谓的“智能家居”的概念。这个概念使得可以通过检查这样的装置的操作状态并将其调节到自己的个人需求来从一点控制这样的智能装置。“智能家居”的概念也涉及称为物联网(Internet of Things,IOT)的另一概念,这意味着甚至在没有直接人工介入的情况下的上述装置的交互。
用户之间出现的多个第一装置中的一个装置是路由器,其使得可以创建无线家庭网络,今天使得可以将其它智能装置连接到因特网。目前,很多路由器都支持创建所谓的异构网络的可能性。作为一个示例,可以提到智能装置的网络,其中一些智能装置经由无线Wi-Fi网络连接到路由器,而其它的智能装置通过蓝牙连接。
不足为奇的是,随着具有网络交互功能的装置的数目的增长,企图恶意使用这种装置的尝试次数已经开始增加。在利用管理员权限获得对路由器的访问时,可以检查通过路由器的网络流量。在获得对这些装置(如“智能手表”)的访问时,则可以检查与该手表配对(例如,通过智能电话)的装置上的数据。所有这些动作会导致数据的盗窃或替代。
传统的安全系统的分析指示许多系统是无效的,并且在一些情况下,不可能使用以前的技术,这些技术的缺点通过消除具有因特网访问的装置的漏洞的本发明来解决。
发明内容
公开了用于消除连接到数据网络的智能装置的漏洞的系统和方法。根据一个示例性方面,所述方法包括:通过处理器识别被配置成提供对所述数据网络的访问的路由器;通过所述处理器获得对所述网络的访问;通过所述处理器借助所述数据网络发送用于获得对通信地联接到所述路由器的至少一个智能装置的访问的请求;访问所述至少一个智能装置,以获得所述至少一个智能装置的设置;在数据库中将所述至少一个智能装置的所述设置中的每一者与已知漏洞的设置进行比较,以识别与所述至少一个智能装置的所述设置中的至少一个设置相关联的至少一个网络漏洞;通过所述处理器确定用于修补与所述至少一个智能装置的所述至少一个设置相关联的所述至少一个网络漏洞的动作;以及向所述至少一个智能装置发送指令,以执行用于修补与所述至少一个智能装置的所述至少一个设置相关联的所述至少一个网络漏洞的所述动作。
根据另一方面,所述方法还包括:通过所述处理器,通过获得网页并基于文档对象模型解析所述网页的元素来访问所述至少一个智能装置的网页界面;以及使用所述至少一个智能装置的所述网页界面来获得所述至少一个智能装置的所述设置。
根据另一方面,所述方法还包括:向所述至少一个智能装置发送指令,以通过改变所述至少一个智能装置的文件来调节所述文件的设置,而修补所述至少一个网络漏洞。
根据另一方面,所述方法还包括:向所述至少一个智能装置发送指令,以通过借助所述至少一个智能装置的所述网页界面进行调节,来修补所述至少一个网络漏洞。
根据另一方面,通过所述处理器对所述至少一个智能装置的所述访问包括以下操作中的至少一者:获得对所述至少一个智能装置的网页访问;通过通用即插即用协议访问所述至少一个智能装置;通过经由所述至少一个智能装置在所述数据网络中的网络地址的文件传输访问所述至少一个智能装置;经由远程管理协议访问所述至少一个智能装置;以及通过安全外壳协议访问所述至少一个智能装置。
根据另一方面,通过所述数据网络发送所述请求包括:向所述路由器发送所述请求,所述路由器将所述请求重新导向到经由所述路由器通信地联接到所述数据网络的多个智能装置。
根据另一方面,访问所述至少一个智能装置以获得所述至少一个智能装置的所述设置包括:使用通用即插即用(UPnP)协议获得所述设置。
根据一个方面,一种用于消除连接到数据网络的智能装置的漏洞的系统包括:至少一个数据库,所述数据库存储装置的有关网络漏洞的设置和用于修补所述网络漏洞的动作;以及处理器,所述处理器被配置成:识别被配置成提供对所述数据网络的访问的路由器;获得对所述网络的访问;通过所述数据网络发送用于获得对通信地联接到所述路由器的至少一个智能装置的访问的请求;访问所述至少一个智能装置,以获得所述至少一个智能装置的设置;在所述至少一个数据库中将所述至少一个智能装置的所述设置中的每一者与已知漏洞的装置的设置进行比较,以识别与所述至少一个智能装置的所述设置中的至少一个设置相关联的至少一个网络漏洞;确定用于修补与所述至少一个智能装置的所述至少一个设置相关联的所述至少一个网络漏洞的动作;以及向所述至少一个智能装置发送指令,以执行用于修补与所述至少一个智能装置的所述至少一个设置相关联的所述至少一个网络漏洞的所述动作。
以上对本发明的示例方面的简要概述用来提供对本发明的基本理解。该概述并不是对所有预期方面的广泛综述,并且既不旨在识别所有方面的关键元素或重要元素,也不旨在描绘本发明的任何方面或所有方面的范围。它的唯一目的是以简化形式呈现一个或多个方面,作为随后的对本发明的更详细的描述的前奏。为了实现前述目的,本发明的一个或多个方面包括权利要求中所描述和示例性指出的特征。
附图说明
图1示出对路由器进行计算机攻击的示例。
图2示出对智能装置进行计算机攻击的示例。
图3示出根据一个示例性方面的用于消除能够访问因特网的装置的漏洞的系统的框图。
图4示出根据一个示例性方面的具有用于消除能够访问因特网的装置的漏洞的智能装置的系统的框图。
图5示出用于根据一个示例性方面的用于消除能够访问因特网的装置的漏洞的方法的流程图。
图6示出用于HTML页面的DOM模型的示例。
图7示出在其上可实施所公开的系统和方法的通用计算机系统的示例。
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。
具体实施方式
在本文中,在用于消除具有因特网访问的智能装置的漏洞的系统、方法和计算机程序产品的上下文中,描述了示例性方面。本领域的普通技术人员将认识到,以下描述仅仅是说明性的,而不旨在以任何方式进行限制。其它方面将容易地将其自身暗示给了解本发明的优点的本领域的技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或类似的项目。
出于本公开的目的,术语“智能装置”用于描述如日常用品的装置,包括例如,手表、灯、相机、录音电话机、腕带、心率监视器和能够通过各种连接(如Wi-Fi或蓝牙)访问因特网(或局域网)的其它装置。这些装置创建网络连接、接收并处理输入通信量,并具有用于交互的单独的接口(API、或应用程序可编程接口),该接口可以不仅监视装置的参数,而且还设置这些参数。
图1示出了对路由器进行计算机攻击的示例。路由器100连接到计算机110(例如经由以太网或Wi-Fi)和因特网130。路由器具有以下访问选项:
●网页访问。作为一项规则,这是网页http://192.168.0.1,在该网页上输入管理员的登录名和密码之后,用户访问路由器的设置。
●访问设置/变量文件。路由器具有它们自己的文件系统并将这些设置存储在配置文件中,使得如果用户知道如何访问这样的文件则能够改变它们。
●使用各种实用程序的访问。例如,作为Microsoft SDK的一部分的实用的fdbrowser,使用协议“通用即插即用”(Universal Plug-and-Play,UPnP)来获得访问路由器设置并改变它们。
不足为奇的是,由于对这种局域网的重要元素(如路由器)的访问选项的这种阵列,引起了黑客的兴趣。例如,许多用户不改变管理员的默认密码,从而到路由器的网页访问是易受攻击的。为了他们自己的目的,黑客拥有使用路由器的许多的选项:
●流量的拦截。例如,交易的拦截、执行中间人(Man in the Middle,MitM)攻击。
●为了路由器和其配置的后续控制而安装后门。路由器可以用作代理服务器或参与DDoS攻击。
●DNS劫持。
可以利用计算机110上的或因特网130上的恶意程序120或者利用来自黑客140的计算机攻击来实现这样的行动。作为一项规则,这样的攻击包括搜索路由器100本身,确定其版本和所给定的版本的已知的漏洞,以及利用漏洞执行攻击。
图2示出了对智能装置进行计算机攻击的示例。相较于图1,在图2中,智能装置以装置151-153的形式示出。不论是在计算机110上的或经由因特网130的恶意程序120,攻击向量保持不变,或者使用利用来自黑客140的计算机攻击。这些攻击包括搜索装置151-153中的一者,确定其版本和所给定的版本的已知的漏洞,以及利用漏洞(exploit)执行攻击。
如本文所描述的,智能装置可以不直接连接到路由器100,而是通过另一个装置(例如经由智能电话的智能手表)来连接。这种连接的示例可能是智能手表Samsung Gear与智能电话Samsung Galaxy的配对。API接口(例如Wearable Message API)可以用于这些装置之间的链路。
应当领会的是,在黑客已经针对智能装置成功执行计算机攻击的事件中可能出现可能问题。这里是根据2015年12月的因特网出版物“The Wired”的结论的这种问题的非详尽列表:
●获得控制吉普切诺基汽车的多个子组件,甚至包括控制速度;
●控制诊所中的某些医疗装置,例如自动向患者施药的那些医疗装置;
●甚至玩具,例如具有Wi-Fi支持的最新版本的芭比娃娃易受到计算机攻击。
可以肯定,智能装置的制造商尝试消除已知的漏洞,但是在许多情况下,安全性在这些装置的开发中并不是优先的。需要以下的解决方案:路由器和智能装置上的漏洞可以通过它们的设置来关闭。
图3示出了根据一个示例性方面的系统的框图。用于检测并校正路由器100的漏洞的系统300包括以下模块:爬行器330、搜索漏洞的模块340、漏洞数据库360、设置工具350和设置数据库370。
根据示例性方面,用于检测并校正漏洞的系统包括以应用程序的形式安装在连接到路由器100的计算机上的前述模块。
爬行器或搜索机器人330被设计成对在网络中利用已知的网络协议(例如UDP)可访问的对象(例如计算机、路由器、智能电话和连接到该网络的其它装置)进行分类。在图3的描述的环境中,假定在网络中的对象为路由器100。爬行器330的典型工作包括:通过网络发送广播请求、从该网络中的所有可访问的对象获得响应并进一步分析它们。爬行器的示例包括Google或Yandex的搜索机器人。
通过爬行器330对网络中的对象的分析包括以下算法。具体地,在广播请求之后,爬行器330已经获得网络中的所有可访问的对象的列表之后,爬行器330尝试获得通过一种方法或另一种方法访问对象。根据示例性方面,以下为这种访问的示例:
●网页访问。作为一项规则,如果对象返回其地址(例如192.168.0.1),这可能意味着该对象为路由器,并且可以通过HTTP协议访问它。
●通过UPnP协议访问。
●通过对象在网络中的网络地址经由FTP协议访问。
●通过远程管理协议(remote administration protocol,RDP)访问。
●通过SSH协议访问。
访问网络中的对象可能需要授权。当爬行器使用普遍的登录名/密码组(例如管理员/管理员、管理员/1q2w3e、客户/客户等等)或者通过在线自动认证技术(例如活动目录)执行授权时,该授权可以手动和自动地执行。
例如,在经由UPnP访问的情况下,可以获得表征路由器100的以下数据字段:
●PKEY_PNPX_DeviceCategory
●PKEY_PNPX_Types
●PKEY_DeviceDisplay_FriendlyName
●PKEY_DeviceDisplay_Manufacturer
●PKEY_DeviceDisplay_ModelName
●PKEY_DeviceDisplay_ModelNumber
●PKEY_PNPX_PresentationUrl
●PKEY_PNPX_IpAddress
●PKEY_PNPX_XAddrs
●PKEY_Device_LocationInfo
下面提供爬行器330如何访问路由器100的网页界面的示例。爬行器330获得起始网页(通常在地址http://192.168.0.1可访问)并开始根据DOM模型解析它的元素。文档对象模型(Document Object Model,DOM)为用于XML/HTML文档的对象模型。简单来说,DOM模型表示以标签树的形式的文档。该树由标签的嵌入式结构加上页面的多个文本片段形成,页面的每一个文本片段形成了单独的节点。
图6呈现了用于HTML页面的DOM模型的示例。根节点为标签HTML,标签HEAD和BODY源自标签HTML,标签HEAD和BODY也具有嵌入的标签节点。通过穿过DOM模型树,可以找到所有必要的标签并确定它们的参数(例如用于标签TITLE的文本(text))。
爬行器330的任务是在从路由器100所获得的网页的DOM模型中搜索所有必要的标签。必要的标签的示例为:“A”、“FORM”、“INPUT”和其它的可以包含必要信息的标签。例如,在从路由器100所获得的网页的DOM模型的结构中的重要标签将是该种类<a href=“…”>Administration</a>的标签,其链接到具有路由器设置和其访问权限的页面。
追随在标签<a>的主体中发现的链接,爬行器330到达另一个页面,在这里再一次对所给定的网页的DOM模型中的所有必要的标签进行搜索。浏览所有的页面可以通过点击所有链接来递归地进行,或者可以仅仅通过点击必要的链接来进行,该必要的链接的标题指示重要的设置。这种链接的标题为:“设置(Setup)”、“无线(Wireless)”、“管理(Administration)”、“访问限制(Access Restrictions)”、“管理(Management)”、“网络(Network)”、“安全(Security)”等等。
已经访问在网络中的对象后,爬行器330获得路由器100中的可用资源的列表。资源指的是路由器的可被访问和/或调节的参数和/或属性。例如,在通过FTP访问的情况下,这将是到一组到该文件的路径。在通过HTTP协议访问的情况下,这可以是网页(或多个网页)。爬行器330还确定开放的端口(例如8080)。爬行器330向搜索漏洞的模块340发送所获得的可用资源的列表。
搜索漏洞的模块340获得可用资源的列表,并且使用漏洞数据库360来尝试确定与所给定的资源相关联的漏洞。下面呈现用于确定保存在前述的数据库中的漏洞的规则的示例。
规则1
可访问的资源(资源的类型):网络端口。
资源(端口)的状态:8080,开放。
规则2
可访问的资源(资源的类型):远程管理。
资源的状态:可访问。
规则3
可访问的资源(资源的类型):通过SSH访问。
资源的状态:允许利用管理员权限访问。
根据一个示例性方面,下面的列表提供了主要类型的资源的示例:
●密码,
●远程管理,
●DNS设置,
●网络端口
●Wi-Fi设置,
●通过各种协议(SSH、Telnet、FTP、HTTP(S))访问,
●防火墙,
●例如IPTV等服务。
搜索漏洞的模块340将来自可用的资源的列表的每一个资源与来自漏洞数据库360的规则相比较,以用于资源的类型和其状态之间的匹配。如果发现了匹配,则搜索漏洞的模块340确定利用类似的易受攻击的状态所发现的资源,并将该所发现的易受攻击的资源上的信息及其状态发送到设置工具350。
设置工具350使用设置数据库370来消除/修补从搜索漏洞的模块340所获得的易受攻击的资源中的漏洞。
设置数据库370包括类似于保存在漏洞数据库360中的规则的规则。下面为这种规则的示例。
规则A
可访问的资源(资源的类型):远程管理。
资源的状态:可访问。
解决方案:经由路由器100的网页界面或另一设置选项删除远程管理的可能性。
规则B
可访问的资源(资源的类型):通过SSH访问。
资源的状态:允许利用管理员权限访问。
解决方案:经由路由器100的网页界面或另一设置选项关闭通过SSH的访问。
规则С
可访问的资源(资源的类型):管理员密码。
资源的状态:不耐暴力破解。
解决方案:选择更强的密码(自动生成新的密码)。
对于该具体的示例,明显的是,来自漏洞数据库360的规则2匹配来自设置数据库370的规则“A”,相应地规则3匹配规则“B”。进一步的调节在于执行该解决方案中所指示的动作。这些动作可以使用爬行器330来执行。
该解决方案将看起来像下面选项之一:
●通过在设置文件本身中做出改变来调节路由器100的该设置文件(例如,SSH访问线路可以看起来像“SSH连接=真(true)”,且其更换在于将该线路改变到“SSH连接=假(false)”)。
●通过路由器100的网页界面来调节。该通过网页的元素,调节看起来与爬行器330的电路完全一样,除了在搜索如<option>、<button>、<input>等等的控制元素的情况。
例如,在废除SSH访问的可能性的情况下,将存在对以下元素(如示例所给出的)的搜索:
<select name=“ssh_connect”>
<option value="true">Enabled</option>
<option value="false">Disabled</option>
</select>
在此之后,将选择具有值“false”的元素。
路由器100的调节的又一示例在于更新其固件。在该情况下,设置数据库370包含用于路由器100的固件的版本(作为解决方案),并且该解决方案的应用程序在于利用爬行器330及其后续的执行(作为一个示例,利用路由器100的网页界面)将固件文件写到路由器100。
图4示出了根据一个示例性方面的具有智能装置的系统的框图。作为图示,除了增加了装置151-153(智能装置)之外,图4与图3几乎没有什么不同。智能装置可以是能够通过各种连接(如Wi-Fi或蓝牙)访问因特网(或局域网)的物品,例如手表、灯、相机、录音电话机、腕带、心率监视器等等。在目前的情况下,它们连接到路由器100。装置151直接连接到路由器100的Wi-Fi网络,而装置153通过装置152连接。这种连接的示例可以为智能手表Samsung Gear(装置153)与智能电话Samsung Galaxy(装置152)的配对。该配对可以使用单独的应用程序(已安装的Samsung Galaxy(装置152))来进行。
爬行器330被设计成对在利用已知的协议(例如UDP)的网络中的可用对象(例如装置151-153)进行分类。在图4的描述的环境中,假定在网络中的对象为装置151-153中的一者。爬行器330的通用工作包括:通过网络发送广播请求、从该网络中的所有可用对象获得回答并进一步分析它们。对于发送广播请求,爬行器330应该注册在通过路由器100提供的网络中。从而,第一步骤是检测路由器100(作为允许访问无线Wi-Fi网络的装置)并将其连接到该网络,然后仅仅发送该广播请求。
利用爬行器330对该网络中的对象的分析看作如下。在广播请求之后,爬行器330已经获得网络中的所有可用对象的列表之后,爬行器330尝试通过一种方法或另一种方法访问对象。根据示例性方面,以下为这种访问的示例:
●网页访问。
●通过UPnP协议访问。
●通过对象在网络中的网络地址借助FTP协议访问。
●通过远程管理协议(remote administration protocol,RDP)访问。
访问网络中的对象可能需要授权。当爬行器通过普通的登录名/密码组(例如管理员/管理员、管理员/1q2w3e、客人/客人等等)或者通过在线自动认证技术(例如活动目录)分类时,该授权可以手动和自动地执行。
已经访问网络中的对象时,爬行器330获得在装置151-153中的一个装置中的可用资源的列表。例如,在通过FTP访问的情况下,这将是一组文件路径。在通过HTTP协议访问的情况下,这可以是网页(或多个网页)。爬行器330还确定开放的端口(例如8080)。爬行器330向搜索漏洞的模块340发送所获得的可用资源的列表。
搜索漏洞的模块340获得可用资源的列表,并且使用漏洞数据库360来尝试确定与所给定的资源连接的漏洞。搜索漏洞的模块340从可用资源的列表获取每一个资源并将该资源与来自漏洞数据库360的规则相比较,以用于资源的类型和其状态之间的匹配。如果发现了匹配,则搜索漏洞的模块340将限定利用类似的“易受攻击的”状态所发现的资源,并将该所发现的易受攻击的资源上的信息及其状态发送到设置工具350。
设置工具350使用设置数据库370来修补从搜索漏洞的模块340所获得的易受攻击的资源中的漏洞。设置数据库370包括类似于保存在漏洞数据库360中的规则的规则。进一步的调节在于执行该解决方案中所指示的动作。这些动作可以通过爬行器330来执行。
图5示出了用于根据该示例性方面的方法的流程图。如图所示,在步骤510中确定可被访问的装置(例如,如在图3和图4的细节中所描述的,通过爬行器330来确定)。如以上已经所描述的,可以获得对路由器100和装置151-153的访问。在对装置151-153的访问的情况下,首先请求访问所指示的装置可访问的网络。在步骤520中,确定装置(路由器100和装置151-153)的设置,这也可以通过爬行器330来进行。在步骤530中,通过搜索漏洞的模块340针对漏洞分析所获得的设置,在步骤530之后的步骤540中,设置工具350制定动作的列表以消除已发现的漏洞。在步骤550中,爬行器330针对该装置执行来自所制定的列表的动作。
图7示出了根据示例性方面的可在其上实现所公开的系统和方法的通用计算机系统(其可以是个人计算机或服务器)的示例。该计算机系统20可以包括中央处理单元21、系统存储器22和连接各种系统部件的系统总线23,各种系统部件包括与中央处理单元21相关联的存储器。系统总线23像现有技术已知的任何总线结构一样来实现,该任何总线结构依次包括总线存储器或总线存储器控制器、外围总线和本地总线,该任何总线结构能够与任何其它的总线架构交互。系统存储器包括只读存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统(basic input/output system,BIOS)26包括确保在个人计算机20的元件之间的信息传输的基本程序,例如在使用ROM 24加载操作系统时的那些基本程序。
然后,个人计算机20包括用于数据的读取和写入的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28和用于在可移动光盘31(例如CD-ROM、DVD-ROM和其它的光学信息介质)上读取和写入的光盘驱动器30。硬盘27、磁盘驱动器28、和光盘驱动器30分别经过硬盘接口32、磁盘接口33和光盘驱动器接口34而连接到系统总线23。驱动器和对应的计算机信息介质为用于存储计算机指令、数据结构、程序模块和个人计算机20的其它数据的电源独立的模块。
本发明提供了使用硬盘27、可移动磁盘29和可移动光盘31的系统的实现方式,但是应当理解的是,可以采用能够存储以计算机可读的形式的数据的其它类型的计算机信息介质56(固态驱动器、闪存卡、数字盘、随机存取存储器(RAM)等),该其它类型的计算机信息介质56经由控制器55连接到系统总线23。
计算机20具有保留记录的操作系统35的文件系统36、以及另外的程序应用37、其它的程序模块38和程序数据39。用户能够通过使用输入设备(键盘40、鼠标42)将命令和信息输入到个人计算机20中。可以使用其它的输入设备(未示出):麦克风、操纵杆、游戏控制器、扫描器等等。这样的输入设备通常通过串行端口46而插接到计算机系统20中,该串行端口46转而连接至系统总线,但这样的输入设备可以以其它方式(例如借助并行端口、游戏端口或通用串行总线(USB))被连接。监控器47或其它类型的显示设备也经过接口(诸如视频适配器48)连接至系统总线23。除了监控器47外,个人计算机还可以配备有其它的外围输出设备(未示出),诸如扬声器、打印机等。
个人计算机20能够使用与一个或多个远程计算机49的网络连接,在网络环境中操作。一个或多个远程计算机49也是个人计算机或服务器,其具有在描述个人计算机20的性质时使用的上述元件中的大多数元件或全部元件,如图7所示。其它的设备也可以存在于计算机网络中,例如路由器、网站、对等设备或其它的网络节点。
网络连接可以形成局域计算机网络(Local-Area computer Network,LAN)50和广域计算机网络(Wide-Area computer Network,WAN),该局域计算机网络诸如有线和/或无线网络。这种网络用在企业计算机网络和公司内部网络中,并且它们通常有权访问因特网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,个人计算机20可以采用调制解调器54或其它的用于提供与广域计算机网络(例如因特网)的通信的模块。作为内部设备或外部设备的调制解调器54通过串行端口46连接至系统总线23。应当注意的是,网络连接仅仅是示例并且不需要描述网络的准确配置,即实际上具有通过技术通信模块(诸如蓝牙)建立一个计算机到另一个计算机的连接的其它方式。
在各个方面中,本文所描述的系统和方法可以在硬件、软件、固件或它们的任何组合中实施。如果在软件中实施,则该方法可以被存储为在永久性计算机可读介质上的一个或多个指令或代码。计算机可读介质包括数据存储器。以示例性而非限制性的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质或光存储介质、或任何其它介质,该任何其它介质可用来承载或存储以指令或数据结构形式的所期望的程序代码并可以被通用计算机的处理器访问。
在各个方面中,本发明中所描述的系统和方法可以按照模块来处理。本文所使用的术语“模块”指的是:现实世界的设备;部件;或使用硬件(例如通过专用集成电路(ASIC)或现场可编程门阵列(field-programmable gate array,FPGA))实施的部件的布置;或硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令组,该指令组(在被执行时)将微处理器系统转换成专用设备。一个模块还可以被实施为两个模块的组合,其中通过硬件单独地促进某些功能,通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分、以及在某些情况下模块的全部可以被执行在通用计算机(例如上文在图3中更详细描述的通用计算机)的处理器上。因此,每一个模块可以以各种适合的配置来实现,而不应受限于本文所示例化的任何示例性实现方式。
为了清楚起见,本文没有公开各个方面的所有例行特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力可能是复杂且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文所公开的各个方面包括本文以说明性方式所提到的已知模块的现在和未来知道的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,许多比上面所提及的内容更多的修改是可行的,而不脱离本文所公开的发明构思。
Claims (12)
1.一种用于消除连接到数据网络的智能装置的漏洞的方法,所述方法包括:
由在计算机服务器上执行的爬行器通过所述数据网络发送用于获得对至少一个智能装置的访问的广播请求;
由所述爬行器访问所述至少一个智能装置;
由所述爬行器通过访问存储在所述至少一个智能装置上并且包含所述至少一个智能装置的设置的配置文件,来获得所述至少一个智能装置的设置,其中,所述至少一个智能装置的设置包括所述至少一个智能装置的参数和属性中的一者或两者;
将所述至少一个智能装置的设置中的每一者与存储在数据库中的已知漏洞的设置进行比较,以通过识别具有与所述数据库中的易受攻击状态类似的状态的设置来识别所述至少一个智能装置的至少一个网络漏洞;
基于将所述至少一个智能装置的设置中的每一者与所述数据库中的已知漏洞的所述设置进行比较以识别具有与所述数据库中的易受攻击状态类似的状态的该设置,来确定用于修补所述至少一个网络漏洞的动作;以及
向所述至少一个智能装置发送指令,以执行用于修补与所述至少一个智能装置的至少一个设置相关联的所述至少一个网络漏洞的所述动作,其中,所述动作包括通过改变所述配置文件本身来调节所述至少一个智能装置的该设置。
2.根据权利要求1所述的方法,还包括:
通过获得网页并基于文档对象模型解析所述网页的超文本标记语言(HTML)元素来访问所述至少一个智能装置的网页界面,其中,所述网页包括所述至少一个智能装置的设置;以及
使用所述至少一个智能装置的所述网页界面来获得所述至少一个智能装置的设置。
3.根据权利要求1所述的方法,其中,向所述至少一个智能装置发送指令以修补所述至少一个网络漏洞还包括:
在与所述至少一个智能装置的所述至少一个设置相关联的所述至少一个网络漏洞所对应的所述配置文件的线路的真与假之间改变值。
4.根据权利要求2所述的方法,还包括向所述至少一个智能装置发送指令以通过借助所述至少一个智能装置的所述网页界面调节该设置来修补所述至少一个网络漏洞,这包括:
使用所述文档对象模型来改变所述网页,以选择与所述至少一个智能装置的至少一个设置相对应的HTML控制元素。
5.根据权利要求1至4中任一项所述的方法,其中,通过所述数据网络发送所述广播请求包括:向路由器发送所述广播请求,所述路由器将所述广播请求重新导向到经由所述路由器通信地联接到所述数据网络的多个智能装置。
6.根据权利要求1至4中任一项所述的方法,其中,访问所述至少一个智能装置以获得所述至少一个智能装置的设置包括:使用通用即插即用协议获得所述设置。
7.一种用于消除连接到数据网络的智能装置的漏洞的系统,所述系统包括:
至少一个数据库,所述数据库存储装置的有关网络漏洞的设置和用于修补所述网络漏洞的动作;以及
计算机服务器,所述计算机服务器被配置成:
由爬行器通过所述数据网络发送用于获得对至少一个智能装置的访问的广播请求;
访问所述至少一个智能装置;
通过访问存储在所述至少一个智能装置上并且包含所述至少一个智能装置的设置的配置文件,来获得所述至少一个智能装置的设置,其中,所述至少一个智能装置的设置包括所述至少一个智能装置的参数和属性中的一者或两者;
将所述至少一个智能装置的设置中的每一者与存储在所述至少一个数据库中的已知漏洞的装置的设置进行比较,以通过识别具有与所述数据库中的易受攻击状态类似的状态的设置来识别所述至少一个智能装置的至少一个网络漏洞;
基于将所述至少一个智能装置的设置中的每一者与所述数据库中的已知漏洞的所述设置进行比较以识别具有与所述数据库中的易受攻击状态类似的状态的该设置,来确定用于修补与所述至少一个智能装置的至少一个设置相关联的所述至少一个网络漏洞的动作;以及
向所述至少一个智能装置发送指令,以执行用于修补与所述至少一个智能装置的所述至少一个设置相关联的所述至少一个网络漏洞的所述动作,其中,所述动作包括通过改变所述配置文件本身来调节所述至少一个智能装置的该设置。
8.根据权利要求7所述的系统,其中,所述至少一个智能装置为路由器,所述计算机服务器还被配置成:
通过获得网页并基于文档对象模型解析所述网页的超文本标记语言(HTML)元素来访问所述至少一个智能装置的网页界面,其中,所述网页包括所述至少一个智能装置的设置;以及
使用所述至少一个智能装置的所述网页界面来获得所述至少一个智能装置的设置。
9.根据权利要求7所述的系统,其中,配置成向所述至少一个智能装置发送指令以修补所述至少一个网络漏洞的所述计算机服务器还被配置成:
改变在与所述至少一个智能装置的所述至少一个设置相关联的所述至少一个网络漏洞所对应的所述配置文件的线路中的布尔值。
10.根据权利要求8所述的系统,其中,所述计算机服务器还被配置成向所述至少一个智能装置发送指令,以通过借助所述至少一个智能装置的所述网页界面调节该设置来修补所述至少一个网络漏洞,
其中,所述计算机服务器还被配置成:使用文档对象模型来改变所述网页,以选择与所述至少一个智能装置的至少一个设置相对应的HTML控制元素。
11.根据权利要求7至10中任一项所述的系统,其中,所述计算机服务器还被配置成通过下列方式来进行通过所述数据网络发送所述广播请求:向路由器发送所述广播请求,所述路由器将所述广播请求重新导向到经由所述路由器通信地联接到所述数据网络的多个智能装置。
12.根据权利要求7至10中任一项所述的系统,其中,所述计算机服务器还被配置成通过下列方式来访问所述至少一个智能装置以获得所述至少一个智能装置的设置:使用通用即插即用协议获得所述设置。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2016109930A RU2636700C1 (ru) | 2016-03-18 | 2016-03-18 | Способ устранения уязвимостей устройств, имеющих выход в Интернет |
| RU2016109930 | 2016-03-18 | ||
| US15/148,153 | 2016-05-06 | ||
| US15/148,153 US9787710B1 (en) | 2016-03-18 | 2016-05-06 | Method and system of eliminating vulnerabilities of a router |
| US15/234,145 US9860267B2 (en) | 2016-03-18 | 2016-08-11 | Method and system of eliminating vulnerabilities of smart devices |
| US15/234,145 | 2016-08-11 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107204869A CN107204869A (zh) | 2017-09-26 |
| CN107204869B true CN107204869B (zh) | 2020-07-17 |
Family
ID=59904626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610868398.XA Active CN107204869B (zh) | 2016-03-18 | 2016-09-29 | 消除智能装置的漏洞的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP6363139B2 (zh) |
| CN (1) | CN107204869B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109325353A (zh) * | 2018-11-01 | 2019-02-12 | 南京邮电大学 | 一种针对家用路由器的聚类漏洞分析方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135483A (zh) * | 2014-06-13 | 2014-11-05 | 汪志 | 一种网络安全自动配置管理系统 |
| CN104270389A (zh) * | 2014-10-23 | 2015-01-07 | 国网湖北省电力公司电力科学研究院 | 一种路由器/交换机安全配置漏洞自动修复方法及系统 |
| CN104376264A (zh) * | 2014-07-11 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 一种软件漏洞处理方法、装置和系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002157221A (ja) * | 2000-11-20 | 2002-05-31 | Nec Fielding Ltd | セキュリティ脆弱点の対策設定自動化システム |
| US20150033350A1 (en) * | 2003-07-01 | 2015-01-29 | Securityprofiling, Llc | System, method, and computer program product with vulnerability and intrusion detection components |
| JP2013196356A (ja) * | 2012-03-19 | 2013-09-30 | Sony Corp | 情報処理装置および方法、並びにプログラム |
| US20150040222A1 (en) * | 2013-07-31 | 2015-02-05 | International Business Machines Corporation | Detecting and reacting to inappropriate equipment and programming in a computer system without generating alerts to unauthorized users of the detection |
| JP2015138509A (ja) * | 2014-01-24 | 2015-07-30 | 株式会社日立システムズ | 脆弱性リスク診断システム及び脆弱性リスク診断方法 |
-
2016
- 2016-09-05 JP JP2016172719A patent/JP6363139B2/ja active Active
- 2016-09-29 CN CN201610868398.XA patent/CN107204869B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135483A (zh) * | 2014-06-13 | 2014-11-05 | 汪志 | 一种网络安全自动配置管理系统 |
| CN104376264A (zh) * | 2014-07-11 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 一种软件漏洞处理方法、装置和系统 |
| CN104270389A (zh) * | 2014-10-23 | 2015-01-07 | 国网湖北省电力公司电力科学研究院 | 一种路由器/交换机安全配置漏洞自动修复方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107204869A (zh) | 2017-09-26 |
| JP6363139B2 (ja) | 2018-07-25 |
| JP2017174378A (ja) | 2017-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10484416B2 (en) | System and method for repairing vulnerabilities of objects connected to a data network | |
| US9742805B2 (en) | Managing dynamic deceptive environments | |
| US10771500B2 (en) | System and method of determining DDOS attacks | |
| JP6832951B2 (ja) | 自動デバイス検出のためのシステムおよび方法 | |
| CN115486105A (zh) | Iot设备发现和标识 | |
| US9787710B1 (en) | Method and system of eliminating vulnerabilities of a router | |
| RU2598337C2 (ru) | Система и способ выбора средств перехвата данных, передаваемых по сети | |
| CN117397223A (zh) | 物联网设备应用工作负荷捕捉 | |
| US10084812B2 (en) | Method and system of repairing vulnerabilities of smart devices | |
| EP3220595B1 (en) | Method and system of eliminating vulnerabilities of smart devices | |
| CN107204869B (zh) | 消除智能装置的漏洞的方法和系统 | |
| JP2019047239A (ja) | パケットフィルタリング装置 | |
| CN107204969B (zh) | 消除数据网络上的漏洞的方法和系统 | |
| EP3220596B1 (en) | Method and system of eliminating vulnerabilities of a router | |
| EP3432544B1 (en) | System and method of determining ddos attacks | |
| RU2798178C1 (ru) | Система и способ обеспечения безопасности IoT-устройств посредством установки компонентов обеспечения безопасности | |
| US20240089271A1 (en) | System and method for providing security to iot devices | |
| EP4336803A1 (en) | System and method for providing security to iot devices | |
| RU2786201C1 (ru) | Система и способ обеспечения безопасности IoT-устройств посредством шлюза | |
| EP4266627A1 (en) | System and method for securing iot devices through a gateway | |
| US20230344797A1 (en) | SYSTEM AND METHOD FOR SECURING IoT DEVICES THROUGH A GATEWAY | |
| CN117675173A (zh) | 用于为物联网设备提供安全性的系统和方法 | |
| CN116938504A (zh) | 用于通过网关保护物联网设备的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |