CN107204969B - 消除数据网络上的漏洞的方法和系统 - Google Patents
消除数据网络上的漏洞的方法和系统 Download PDFInfo
- Publication number
- CN107204969B CN107204969B CN201610604990.9A CN201610604990A CN107204969B CN 107204969 B CN107204969 B CN 107204969B CN 201610604990 A CN201610604990 A CN 201610604990A CN 107204969 B CN107204969 B CN 107204969B
- Authority
- CN
- China
- Prior art keywords
- network
- router
- accessing
- processor
- available resources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
提供了一种用于消除数据网络上的漏洞的方法和系统,该数据网络包括用于在该数据网络中引导数据的路由器。一种示例方法包括:通过该数据网络来传输用于获得对耦接至该数据网络的设备的访问的请求;访问该设备以获得该设备的可用资源列表;将该设备的这些可用资源中的每一个可用资源与数据库中的多个资源规则进行比较从而识别与这些可用资源相关联的多个网络漏洞,并且确定用于修补与该设备的这些可用资源相关联的这些网络漏洞的动作。此外,根据该方法,可以将多条指令传输至该设备从而执行用于修补与这些可用资源相关联的这些网络漏洞的动作。
Description
技术领域
本披露总体上涉及计算机安全领域,并且更确切地涉及一种消除可以访问互联网的设备(如路由器)的漏洞的方法和系统。
背景技术
目前,越来越多的设备连接至互联网,从用户的计算机和智能电话到更加司空见惯的物品,如电视机和冰箱。当将新型设备连接到互联网时,它们“获得”“智能”修饰(如智能电视),这用于营销目的。当智能设备被连接至互联网时,用户能够自己更新这些设备,监测设备(如冰箱)的运行状态,并将设备本身整合到所谓的“智能家居”概念中。这个概念使得可以通过检查此类设备的运行状态并根据个人自己的个人需求对其进行调整来从单个点控制此类“智能”对象(设备)。“智能家居”的概念还涉及另一种被称为物联网(IoT)的概念,该物联网暗示前述物品之间的交互,甚至没有直接人工介入。
首先出现在用户当中的设备之一是路由器,路由器使得可以创建无线家庭网络,现在使得可以将其他“智能”设备连接至互联网。目前,许多路由器支持创建所谓的异构网络的可能性。作为一个示例,我们可以提及设备(“智能”设备)网络,一部分这些设备经由无线Wi-Fi网络连接至路由器,其他的经由蓝牙。
不出所料,随着具有网络交互能力的设备的数量增长,恶意使用此类设备的尝试次数也开始增涨。在以管理员权限获得对路由器的访问时,可以对经过路由器的网络流量进行检查。在获得对如“智能手表”等设备的访问时,可以检查与这个手表配对的设备上的数据(例如,访问与手表配对的智能电话)。所有这些动作都有可能导致对数据的盗取或替换。
对常规安全系统的分析表明许多是无效的,并且在某些情况下不可能使用前述技术,这些技术的缺陷由消除路由器的漏洞的本披露所解决。
概述
一方面,披露了一种用于消除数据网络上的漏洞的方法,该数据网络包括用于在该数据网络中引导数据的路由器。根据该示例性方面,该方法包括:由处理器通过该数据网络传输用于获得对通信耦接至该数据网络的至少一个设备的访问的请求;由该处理器访问该至少一个设备,以获得该至少一个设备的可用资源列表;由该处理器将该至少一个设备的这些可用资源中的每一个可用资源与数据库中的多个资源规则进行比较,从而分别识别与这些可用资源之一相关联的至少一个网络漏洞;由该处理器确定用于修补与该至少一个设备的这一个可用资源相关联的该至少一个网络漏洞的动作;并且将多条指令传输至该至少一个设备,以执行用于修补与这一个可用资源相关联的该至少一个网络漏洞的所述动作。
根据另一方面,该至少一个设备是路由器,并且该方法进一步包括:由该处理器通过获得网页并基于文档对象模型对该网页的多个元素进行解析来访问该路由器的网络接口;并且使用该路由器的该网络接口来获得该路由器的可用资源列表。
根据另一方面,该方法进一步包括:将多条指令传输至该路由器,从而通过借助于改变该路由器的文件来调整该文件的设置从而修补该至少一个网络漏洞。
根据另一方面,该方法进一步包括将多条指令传输至该路由器,从而通过经该路由器的该网络接口进行调整来修补该至少一个网络漏洞。
根据另一方面,该方法进一步包括由所述该处理器通过以下各项中的至少一项访问该至少一个设备:获得对该至少一个设备的网络访问;按照通用即插即用协议访问该至少一个设备;通过按照该数据网络中的该至少一个设备的网络地址进行文件传送来访问该至少一个设备;通过远程管理协议访问该至少一个设备;以及通过安全外壳协议访问该至少一个设备。
根据另一方面,该方法进一步包括通过该数据网络传输该请求,其包括:将该请求传输至该路由器,该路由器将该请求重新引导至经由该路由器通信耦接至该数据网络的多个设备。
根据另一方面,该方法进一步包括,该可用资源列表包括以下各项中的至少一项:密码、远程管理、域名系统设置、网络端口、Wi-Fi设置、以及安装的防火墙。
根据另一方面,披露了一种用于消除数据网络上的漏洞的系统,该数据网络包括用于在该数据网络中引导数据的路由器,该系统包括:至少一个数据库,该至少一个数据库存储与多个网络漏洞有关的多个资源规则以及用于修补这些网络漏洞的多个动作;以及处理器,该处理器被配置成用于:通过该数据网络来传输用于获得对通信耦接至该数据网络的至少一个设备的访问的请求,访问该至少一个设备,以获得该至少一个设备的可用资源列表,将该至少一个设备的这些可用资源中的每一个可用资源与该至少有一个数据库中的多个资源规则进行比较,从而分别识别与这些可用资源之一相关联的至少一个网络漏洞,识别用于修补与该至少一个设备的这一个可用资源相关联的该至少一个网络漏洞的所述动作;并且将多条指令传输至该至少一个设备,以执行用于修补与这一个可用资源相关联的该至少一个网络漏洞的所述动作。
上面对示例方面的简化概述用于提供对本披露的基本了解。此概述并不是对所有构想的方面的详尽综述,并且既非旨在标识出所有方面的关键性或决定性元素,亦非试图界定本披露的任何或所有方面的范围。其唯一的目的是以简化的方式呈现一个或多个方面以作为下文对本披露的更详细说明的前序。对于前述的实现,本披露的所述一个或多个方面包括已描述并在权利要求书中示例性指出的特征。
附图简要说明
图1展示了对路由器的计算机攻击的示例。
图2示出了对“智能”设备的计算机攻击的示例。
图3示出了根据示例性方面的用于消除可以访问互联网的设备的漏洞的系统的框图。
图4示出了根据示例性方面的具有用于消除可以访问互联网的设备的漏洞的“智能”设备的系统的框图。
图5示出了根据示例性方面的用于消除可以访问互联网的设备的漏洞的方法的流程图。
图6示出了用于HTML页面的DOM模型的示例。
图7展示了通用计算机系统的示例,所披露的系统和方法可以在该系统上实现。
被并入本说明书中并构成本说明书的一部分的附图展示了本披露的一个或多个示例方面,并且与详细说明一起用于解释其原理和实现方式。
详细说明
本文在用于控制计算机上所执行的应用的系统、方法和计算机程序产品的背景下描述了多个示例方面。本领域普通技术人员将意识到,以下说明仅仅是示意性的并且并不旨在以任何方式成为限制性的。得益于本披露,本领域技术人员将易于想到其他方面。现在详细参照如附图中所展示的示例方面的实现方式。在附图和以下说明中将尽量使用相同的参考指示符以指代相同或相似项。
在此所披露的方法和系统提供了与路由器连接时的信息安全保障。
根据一个变体方面,借助于消除路由器中的漏洞的方法实现了所指示的技术结果,其中,该方法包含以下步骤:确定该路由器;获得路由器设置,其中,获得所述设置是借助于以下各项之一完成的:路由器的网络接口、设置文件或UPnP协议;针对漏洞对所获得的设置进行分析,其中该分析包括将所获得的设置与已知漏洞的设置进行比较;制定消除所确定的漏洞的动作,其中,这些动作包括以下各项之一的改变:路由器的网络接口、设置文件;对该路由器执行所制定的动作从而消除漏洞。
为了本披露的目的,术语“智能”用于描述日常物品,如手表、灯、照相机、录音机、手环、心率监测器和可以通过各种连接(如Wi-Fi或蓝牙)访问互联网(或局域网)的其他物品。此类设备创建网络连接、接收并处理进入的流量,并且具有用于交互(API、或应用可编程接口)的单独接口,这使得不仅可以监测设备的参数,还可以对其进行设置。
图1展示了对路由器的计算机攻击的示例。路由器100既连接至计算机110(例如,通过以太网或Wi-Fi)又连接至互联网130。该路由器具有以下访问变体:
·网络访问。一般说来,这是页面http://192.168.0.1,其中,在输入管理员登录名和密码之后,用户获得对路由器设置的访问。
·访问设置/变量文件。路由器具有其自身的文件系统并且将设置存储在配置文件中,使得如果用户知道如何获得对这种文件的访问则可以改变所述设置。
·借助于各种工具(utility)进行的访问。例如,fd浏览器工具(它是微软SDK的一部分)让人们使用协议UPnP(通用即插即拔)来获得对路由器设置的访问并改变它们。
不出所料,对局域网的这种重要元件(如路由器)的这种访问变体阵列引起黑客的兴趣。例如,许多用户并不改变管理员的默认密码,因此对路由器的网络访问易受攻击。出于他们自己的目的,黑客具有众多针对路由器的使用的变体:
·窃听业务。例如,窃听交易,进行MitM(中间人)攻击。
·安装后门以用于稍后控制路由器及其配置。路由器可以被用作代理服务器或者牵涉进DDoS攻击。
·DNS劫持。
人们可以借助于恶意程序120在计算机110或互联网130上、或者借助于来自黑客140的计算机攻击来实现此类动作。一般说来,此类攻击涉及搜索路由器100本身,确定其版本以及针对给定版本的已知漏洞,并且借助于开发工具来实施攻击。
图2示出了对“智能”设备的计算机攻击的示例。在图2中,与图1相比,以设备151-153的形式展示了“智能”设备。借助于恶意程序120在计算机110上或经由互联网130、或者借助于来自黑客140的计算机攻击,攻击向量始终保持不变。这些攻击涉及搜索这些设备151-153之一,确定其版本以及给定版本的已知漏洞,并且借助于开发工具来实施攻击。
如在此所描述的,“智能”设备可以不直接连接至路由器100,而是通过另一设备——如“智能”手表经由智能电话。这种连接的示例可以是“智能”手表三星Gear(SamsungGear)与智能电话三星Galaxy(Samsung Galaxy)的链接。API接口(如可穿戴消息API)可以用于这些设备之间的链接。
应当理解的是,在黑客已经成功地对“智能”设备进行计算机攻击的情况下,会出现可能的问题。这里是根据2015年12月的互联网出版物“连线(The Wired)”杂志的总结对此类问题的非详尽列表:
·获得对吉普·切诺基(Jeep Cherokee)汽车的多个组件的控制,甚至包括对速度的控制;
·控制诊所的某些医疗设备,如自动给病人派药的设备;
·甚至有Wi-Fi支持的玩具(如最新版本的芭比(Barbie)娃娃)易受计算机攻击。
“智能”设备的制造商正在试图消除已知的漏洞,但在许多情况下,在开发此类设备的过程中安全并不是优先考虑的事。需要一种可以通过其设置来堵住路由器和“智能”设备上的漏洞的方案。
图3示出了根据示例性方面的系统的框图。用于检测并改正路由器100的漏洞的系统300包括以下模块:爬行器330、漏洞搜索模块340、漏洞数据库360、设置工具350和设置数据库370。
根据示例性方面,用于检测和改正漏洞的系统包括以应用的形式安装在连接至路由器100的计算机上的前述模块。
爬行器或搜索机器人330被设计成用于使用已知网络协议(如UDP)在网络中搜遍可访问的对象(如计算机、路由器、智能电话和连接至网络的其他设备)。在对图3的描述的背景下,假设网络中的对象是路由器100。爬行器330的工作的优选变体包括:通过网络发送广播请求,从网络中的所有可访问的对象获得响应以及对此的进一步分析。作为爬行器的示例,我们可以提及谷歌(Google)或Yandex搜索机器人。
爬行器330对网络中的对象进行分析包括以下算法。确切地说,在爬行器330在广播请求之后已经获得了网络中的所有可访问对象的列表之后,它试图通过一种或另一种方法来获得对对象的访问。根据示例性方面,以下是这种访问的示例:
·网络访问。一般说来,如果对象返回其地址,如192.168.0.1,这可能意味着这个对象是路由器,并且我们可以通过HTTP协议获得对它的访问。
·通过UPnP协议进行访问。
·按照网络中的对象的网络地址通过FTP协议进行访问。
·通过远程管理协议(RDP)进行访问。
·通过SSH协议进行访问。
对网络中对象的访问可能需要认证。当爬行器使用普遍的登录名/密码组(如admin/admin、admin/1q2w3e、guest/guest及其他)或通过在线自动认证技术(如活动目录)进行认证时,认证既可以手动也可以自动进行。
例如,在通过UPnP进行访问的情况下,我们可以获得表征路由器100的以下数据字段:
·PKEY_PNPX_DeviceCategory
·PKEY_PNPX_Types
·PKEY_DeviceDisplay_FriendlyName
·PKEY_DeviceDisplay_Manufacturer
·PKEY_DeviceDisplay_ModelName
·PKEY_DeviceDisplay_ModelNumber
·PKEY_PNPX_PresentationUrl
·PKEY_PNPX_IpAddress
·PKEY_PNPX_XAddrs
·PKEY_Device_LocationInfo
下面根据示例性方面提供了爬行器330如何获得对路由器100的网络接口进行访问的示例。爬行器330获得起始网页(一般在地址http://192.168.0.1处可访问)并开始根据DOM模型解析其元素。DOM(文档对象模型)是用于XML/HTML文档的对象模型。简而言之,DOM模型是采用标记树形式的文档的表示。这种树是由嵌入式的标记结构加上页面的文本片段形成的,其中的每一者都形成单独的节点。
图6呈现了用于HTML页面的DOM模型的示例。根节点是标记HTML,标记HEAD和BODY来自该标记HTML,标记HEAD和BODY还具有嵌入式标记节点。通过移动穿过DOM模型树,可以找到所有必要标记并确定其参数(如用于标记TITLE的文本)。
爬行器330的任务是搜索从路由器100获得的网页的DOM模型中的所有必要标记。必要标记的示例是:“A”、“FORM”、“INPUT”以及可能包含必要信息的其他标记。例如,从路由器100获得的网页的DOM模型的结构中的重要标记将是<a href=“…”>Administration</a>种类的标记,这是到具有路由器设置及其访问权限的页面的链接。
跟随在标记<a>的主体中发现的这个链接,爬行器330到达另一页面,在这个页面中再次搜索给定网页的DOM模型中的所有必要标记。通过沿着所有链接移动穿过所有页面可以递归地完成,或者可以仅通过沿着其标题指示重要设置的必要链接来完成。此类链接的标题是:“设置”“无线”“管理(Administration)”“访问限制”“管理(Management)”“网络”“安全”以及其他。
在已经获得对网络中对象的访问之后,爬行器330获得路由器100中的可用资源列表。资源指的是可以被访问和/或调整的路由器的参数和/或属性。例如,在通过FTP进行访问的情况下,这将是一组文件路径。在通过HTTP协议进行访问的情况下,这可以是网页(或若干网页)。爬行器330还确定开放的端口(如8080)。爬行器330将所获得的可用资源列表发送至漏洞搜索模块340。
漏洞搜索模块340获得可用资源列表,并使用漏洞数据库360来试图确定与给定资源相关联的漏洞。根据示例性方面,以下是用于确定保存在前述数据库中的漏洞的规则的目前示例。
规则1。
可访问的资源(资源类型):网络端口。
资源状态(端口):8080,开放。
规则2。
可访问的资源(资源类型):远程管理。
资源状态:可访问。
规则3。
可访问的资源(资源类型):通过SSH进行访问。
资源状态:允许使用管理员权限进行访问。
以下列表提供了根据一个示例性方面的主要资源类型的示例:
·密码,
·远程管理,
·DNS设置,
·网络端口,
·Wi-Fi设置,
通过各种协议(SSH、Telnet、TFP、HTTP(S))进行访问,
防火墙,
服务,如IPTV及其他。
漏洞搜索模块340将来自该可用资源列表的每个资源与来自该漏洞数据库360的规则进行比较,以获得资源类型与其状态之间的匹配。如果发现匹配,漏洞搜索模块340确定被发现的资源具有类似易受攻击状态并将关于所发现的这些易受攻击资源的信息及其状态发送至设置工具350。
设置工具350使用设置数据库370来消除从漏洞搜索模块340获得的易受攻击资源的漏洞。
设置数据库370包含与漏洞数据库360中所保存的规则类似的规则。根据示例性方面,以下是这种规则的示例:
规则A。
可访问的资源(资源类型):远程管理。
资源状态:可访问。
方案:经由网络接口或路由器100的另一种设置变体去除远程管理的可能性。
规则B。
可访问的资源(资源类型):通过SSH进行访问。
资源状态:允许使用管理员权限进行访问。
方案:经由网络接口或路由器100的另一种设置变体关闭通过SSH进行访问。
规则C。
可访问的资源(资源类型):管理员密码。
资源状态:对暴力不抵抗。
方案:选择更强的密码(自动地生成新密码)。
对于特定示例,明显的是,来自漏洞数据库360的规则2与来自设置数据库370的规则“A”相匹配,并且相应地,规则3与规则“B”相匹配。进一步调整在于执行方案中所指示的动作。可以借助于爬行器330来执行这些动作。
该方案将看起来像以下变体之一:
通过对文件本身进行改变来调整路由器100的设置文件(例如,SSH访问路线可以看起来像“SSH连接=真”,并且其替换在于将这条路线改成“SSH连接=假”)。
通过路由器100的网络接口进行调整。这种调整看起来与爬行器330移动通过网页的元素完全一样,除了在人们搜索控制元素(如<option>、<button>、<input>以及其他)的情况下。
例如,在废止SSH访问的可能性的情况下,将对以下元素(作为示例给出)进行搜索:
<select name=“ssh_connect”>
<option value="true">Enabled</option>
<option value="false">Disabled</option>
</select>
在这之后,将选择值为“假”的元素。
而调整路由器100的另一种变体在于更新其固件。在这种情况下,设置数据库370(作为方案)包含路由器100的固件版本,并且这个方案的应用在于借助于爬行器330将固件文件写至路由器100,以及其后续执行(作为变体,借助于路由器100的网络接口)。
图4示出了根据示例性方面的具有“智能”设备的系统的框图。作为展示,图4与图3的略微不同之处在于,增加了设备151-153——“智能”设备。“智能”设备可以是相同的物品,如手表、灯、照相机、录音机、手环、心率监测器以及可以通过各种连接(如Wi-Fi或蓝牙)访问互联网(或局域网)的其他物品。在目前的情况下,它们连接至路由器100。尽管设备151直接连接至路由器100的Wi-Fi网络,但设备153通过设备152来进行连接。这种连接的示例可以是将“智能”手表三星Gear(设备153)链接至智能电话三星Galaxy(设备152)。可以借助于单独的应用(所安装的三星Galaxy(设备152))来完成该链接。
爬行器330被设计成借助于已知协议(诸如UDP)来对网络中的可用对象(如设备151-153)进行分类。在图4的描述的背景下,假设网络中的对象是设备151-153之一。爬行器330的优选工作变体涉及:通过网络发送广播请求;从网络中所有可用对象获得回复;以及对这个回复的进一步分析。为了发送广播请求,应该在由路由器100构成的网络中注册爬行器330。因而,第一步是检测路由器100(当设备允许访问无线Wi-Fi网络时)并且连接至这个网络,并且只有这时才发送广播请求。
借助于爬行器330对网络中的对象进行的分析看起来如下。在爬行器330在广播请求之后获得了网络中的所有可用对象的列表之后,它试图用一种方法或另一种方法获得对对象的访问。根据示例性方面,以下是这种访问的示例:
·网络访问。
通过协议UPnP进行访问。
按照网络中的对象的网络地址通过协议FTP进行访问。
通过远程管理协议(RDP)进行访问。
对网络中对象的访问可能需要验证。当爬行器使用普遍的登录/密码组(如admin/admin、admin/1q2w3e、guest/guest及其他)或通过在线自动认证技术(如活动目录)进行授权时,授权既可以手动也可以自动进行。
获得对网络中对象的访问之后,爬行器330获得设备151-153之一中的可用资源列表。例如,在通过FTP进行访问的情况下,这将是一组到达文件的路径。在通过HTTP协议进行访问的情况下,这可以是网页(或若干网页)。爬行器330还确定开放的端口(如8080)。爬行器330将所获得的可用资源列表发送至漏洞搜索模块340。
漏洞搜索模块340获得可用资源列表,并使用漏洞数据库360试图确定与给定资源联系的漏洞。漏洞搜索模块340取得来自该可用资源列表的每个资源,并将其与来自该漏洞数据库360的规则进行比较,以获得资源类型与其状态之间的匹配。如果发现匹配,漏洞搜索模块340将定义被发现的资源具有类似“易受攻击”状态并将关于所发现的这些易受攻击资源的信息及其状态发送至设置工具350。
设置工具350使用设置数据库370来修补从漏洞搜索模块340获得的易受攻击资源的漏洞。设置数据库370包含与漏洞数据库360中所保存的规则类似的规则。进一步的调整在于执行方案中所指示的动作。可以借助于爬行器330来执行这些动作。
图5示出了根据示例性方面的方法的流程图。如所示的,在步骤510中,确定可以被访问的设备(例如,借助于爬行器330,如针对图3和图4详细描述的)。如上文已经描述的,可以获得对路由器100和对设备151-153的访问。在后者的情况下,首先,存在访问网络的请求,在该网络中,所指示的设备是可访问的。在步骤520中,确定设备(路由器100和设备151-153两者)的设置,这也可以借助于爬行器330来完成。在步骤530,借助于漏洞搜索模块340对所获得的针对漏洞的设置进行分析,在这之后,在步骤540,设置工具350制定一动作列表以用于消除所发现的漏洞。在步骤550中,爬行器330对设备执行来自所制定的列表的动作。
图7展示了可以实现根据示例方面所披露的系统和方法的通用计算机系统(其可以是个人计算机或服务器)的示例。计算机系统20包括中央处理单元21、系统存储器22和系统总线23,该系统总线连接各个系统部件,包括与中央处理单元21相关联的存储器。系统总线23被实现为与从现有技术已知的任何总线结构相似,进而包括总线存储器或总线存储器控制器、外围总线和本地总线,该系统总线能够与任何其他总线架构进行交互。该系统存储器包括只读存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统(BIOS)26包括保证在个人计算机20的元件之间进行信息传递的基本程序,如通过使用ROM 24来加载操作系统时的那些程序。
个人计算机20进而包括用于读写数据的硬盘27、用于在可移除磁盘29上进行读写的磁盘驱动器28以及用于在可移除光盘31上进行读写的光驱30,如CD-ROM、DVD-ROM和其他光学信息介质。硬盘27、磁盘驱动器28、以及光驱30分别经由硬盘接口32、磁盘接口33和光驱接口34连接至系统总线23。这些驱动器和相应的计算机信息介质是用于存储计算机指令、数据结构、程序模块和个人计算机20的其他数据的电源独立模块。
本披露提供了使用硬盘27、可移除磁盘29和可移除光盘31的系统的实现方式,但应当理解的是,可以采取能够以计算机可读的形式存储数据的其他类型的计算机信息介质56(固态驱动器、快闪存储卡、数字磁盘、随机存取存储器(RAM)等),这些其他类型的计算机信息介质通过控制器55连接至系统总线23。
计算机20具有文件系统36,在该文件系统中保存着所记录的操作系统35,并且还有附加程序应用37、其他程序模块38和程序数据39。用户能够通过使用输入设备(键盘40、鼠标42)将命令和信息输入个人计算机20。可以使用其他输入设备(未示出):麦克风、操纵杆、游戏控制器、扫描器等。此类输入设备一般通过串行端口46插入计算机系统20,该计算机系统进而连接至系统总线,但它们可以采用其他方式连接,例如借助于并行端口、游戏端口或通用串行总线(USB)。监视器47或其他类型的显示设备还经由接口(如视频适配器48)连接至系统总线23。除了显示器47之外,个人计算机可以配备有其他外围输出设备(未示出),如扬声器、打印机等。
个人计算机20能够使用到一个或多个远程计算机49的网络连接在网络环境内运行。如图7中所示,在描述个人计算机20的本质时,该(或这些)远程计算机49同样还是具有大部分或全部前述元件的个人计算机或服务器。其他设备还可以存在于计算机网络,如路由器、网络站、对等设备或其他网络节点中。
网络连接可以形成局域计算机网络(LAN)50(如有线网络和/或无线网络)和广域计算机网络(WAN)。此类网络用在企业计算机网络和内部计算机网络中,并且它们一般可以访问互联网。在LAN或WAN网络中,个人网络20经由网络适配器或网络接口51连接至局域网50。当使用网络时,个人计算机20可以采用调制解调器54或用于提供与计算机广域网(如互联网)的通信的其他模块。调制解调器54通过串行端口46连接至系统总线23,该调制解调器是内部设备或外部设备。应当注意的是,这些网络连接仅仅是示例并且不需要描绘网络的准确配置,即,事实上存在通过技术通信模块(如蓝牙)建立一个计算机至另一计算机的连接的其他方式。
在各个方面,可以以硬件、软件、固件、或其任何组合中实现在此所描述的系统和方法。如果以软件实现,这些方法可以在非瞬态计算机可读介质上作为一条或多条指令或代码存储。计算机可读介质包括数据存储器。举例来说,并且非限制性的,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪速存储器或其他类型的电气、磁性、或光学存储介质,或可以用于以指令或数据结构的形式携带或存储期望程序代码、并且可以被通用计算机的处理器访问的任何其他介质。
在各个方面,在本披露中从模块方面描述系统和方法。如在此所使用的术语“模块”指实际设备、部件、或使用硬件实现的部件安排,比如像通过专用集成电路(ASIC)或可编程门阵列(EPGA);或者作为硬件与软件的组合,如通过微处理器系统与实现模块的功能的一组指令,这组指令(在被执行时)将微处理器系统转换成专用设备。模块还可以被实现为这两种的组合,其中,某些功能由硬件单独促成,并且其他功能由硬件和软件的组合促成。在某些实现方式中,至少一部分模块(并且在某些情况下为全部模块)可以在通用计算机的处理器上执行(如上文在图3中更详细描述的)。相应地,每个模块可以用各种适当配置实现,并且不应当限于在此例证的任何示例实现方式。
为了清楚起见,在此并未披露这些方面的所有例行特征。将理解的是,在开发本披露的任何实际实现方式时,必须做出众多实现方式特定的决定,从而实现开发者的特定目标,并且这些特定目标将针对不同实现方式和不同开发者而变化。将理解的是,这种开发努力可能是复杂而耗时的,但虽然如此,对于得益于本披露的本领域普通技术而言来说属于例行编程任务。
进而,应当理解的是,在此所使用的词语或术语是针对描述而非限制的目的,这样使得本领域技术人员根据在此所呈现的教导和引导结合相关领域技术人员的知识将理解本说明书的术语或词语。而且,除非明确陈述,并未旨在将本说明书和权利要求书中的任何术语归于罕见的或特殊的含义。
在此所披露的各个方面包含了在此通过展示提到的已知模块的目前和将来的已知等效物。而且,虽然已经示出并描绘了多个方面和应用,对于得益于本披露的本领域技术人员将明显的是,在不背离在此所披露的发明概念的情况下,比上文所提及的更多修改是可能的。
Claims (14)
1.一种用于消除数据网络上的漏洞的方法,该数据网络包括用于在该数据网络中引导数据的路由器,该方法包括:
由处理器通过该数据网络传输用于获得对通信耦接至该数据网络的至少一个设备的访问的请求;
由该处理器访问该至少一个设备,以获得该至少一个设备的可用资源列表;
由该处理器将该至少一个设备的这些可用资源中的每一个可用资源分别与数据库中的多个资源规则进行比较,从而识别与这些可用资源中的一个可用资源相关联的至少一个网络漏洞;
由该处理器确定用于修补与该至少一个设备的该一个可用资源相关联的该至少一个网络漏洞的动作;并且
将多条指令传输至该至少一个设备,以执行用于修补与该一个可用资源相关联的该至少一个网络漏洞的所述动作。
2.如权利要求1所述的方法,其中,该至少一个设备是该路由器,该方法进一步包括:
由该处理器通过获得网页并基于文档对象模型对该网页的多个元素进行解析来访问该路由器的网络接口;并且
使用该路由器的该网络接口来获得该路由器的该可用资源列表。
3.如权利要求2所述的方法,进一步包括将多条指令传输至该路由器以通过借助于改变该路由器的文件来调整该文件的设置从而修补该至少一个网络漏洞。
4.如权利要求2所述的方法,进一步包括将多条指令传输至该路由器从而通过经该路由器的该网络接口进行调整来修补该至少一个网络漏洞。
5.如权利要求1所述的方法,其中,由该处理器访问该至少一个设备包括以下各项中的至少一项:获得对该至少一个设备的网络访问;通过通用即插即用协议访问该至少一个设备;通过按照该数据网络中的该至少一个设备的网络地址进行文件传输来访问该至少一个设备;通过远程管理协议访问该至少一个设备;以及通过安全外壳协议访问该至少一个设备。
6.如权利要求1所述的方法,其中,通过该数据网络传输该请求包括:将该请求传输至该路由器,该路由器将该请求重新引导至经由该路由器通信耦接至该数据网络的多个设备。
7.如权利要求1所述的方法,其中,该可用资源列表包括以下各项中的至少一项:密码、远程管理、域名系统设置、网络端口、Wi-Fi设置以及安装的防火墙。
8.一种用于消除数据网络上的漏洞的系统,该数据网络包括用于在该数据网络中引导数据的路由器,该系统包括:
至少一个数据库,该至少一个数据库存储与多个网络漏洞有关的多个资源规则以及用于修补这些网络漏洞的多个动作;以及
处理器,该处理器被配置成用于:
通过该数据网络来传输用于获得对通信耦接至该数据网络的至少一个设备的访问的请求,
访问该至少一个设备,以获得该至少一个设备的可用资源列表,
将该至少一个设备的这些可用资源中的每一个可用资源分别与该至少一个数据库中的所述多个资源规则进行比较,从而识别与这些可用资源中的一个可用资源相关联的至少一个网络漏洞,
识别用于修补与该至少一个设备的该一个可用资源相关联的该至少一个网络漏洞的动作;并且
将多条指令传输至该至少一个设备,以执行用于修补与该一个可用资源相关联的该至少一个网络漏洞的所述动作。
9.如权利要求8所述的系统,其中,该至少一个设备是该路由器,该处理器被进一步配置成用于:
通过获得网页并基于文档对象模型对该网页的多个元素进行解析来访问该路由器的网络接口;并且
使用该路由器的该网络接口来获得该路由器的该可用资源列表。
10.如权利要求9所述的系统,其中,该处理器被进一步配置成用于将多条指令传输至该路由器以通过借助于改变该路由器的文件来调整该文件的设置从而修补该至少一个网络漏洞。
11.如权利要求9所述的系统,其中,该处理器被进一步配置成用于将多条指令传输至该路由器,从而通过经该路由器的该网络接口进行调整来修补该至少一个网络漏洞。
12.如权利要求8所述的系统,其中,该处理器被进一步配置成用于通过以下各项中的至少一项来访问该至少一个设备:获得对该至少一个设备的网络访问;通过通用即插即用协议访问该至少一个设备;通过按照该数据网络中的该至少一个设备的网络地址进行文件传输来访问该至少一个设备;通过远程管理协议访问该至少一个设备;以及通过安全外壳协议访问该至少一个设备。
13.如权利要求8所述的系统,其中,该处理器被进一步配置成用于通过将该请求传输至该路由器来通过该数据网络传输该请求,该路由器将该请求重新引导至经由该路由器通信耦接至该数据网络的多个设备。
14.如权利要求8所述的系统,其中,该可用资源列表包括以下各项中的至少一项:密码、远程管理、域名系统设置、网络端口、Wi-Fi设置以及安装的防火墙。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016109931 | 2016-03-18 | ||
RU2016109931A RU2614559C1 (ru) | 2016-03-18 | 2016-03-18 | Способ устранения уязвимостей роутера |
US15/148,153 US9787710B1 (en) | 2016-03-18 | 2016-05-06 | Method and system of eliminating vulnerabilities of a router |
US15/148,153 | 2016-05-06 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107204969A CN107204969A (zh) | 2017-09-26 |
CN107204969B true CN107204969B (zh) | 2020-07-17 |
Family
ID=58505464
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610604990.9A Active CN107204969B (zh) | 2016-03-18 | 2016-07-27 | 消除数据网络上的漏洞的方法和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107204969B (zh) |
RU (1) | RU2614559C1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11030321B2 (en) | 2018-10-02 | 2021-06-08 | International Business Machines Corporation | Processing and evaluating data based on associated device vulnerability |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101330409A (zh) * | 2008-08-01 | 2008-12-24 | 杭州华三通信技术有限公司 | 一种检测网络漏洞的方法和系统 |
CN102075927A (zh) * | 2011-01-11 | 2011-05-25 | 中国联合网络通信集团有限公司 | 无线网络设备安全配置方法和系统 |
CN103748999B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 一种网络安全态势综合评估系统 |
CN104135483A (zh) * | 2014-06-13 | 2014-11-05 | 汪志 | 一种网络安全自动配置管理系统 |
CN104346565A (zh) * | 2013-07-30 | 2015-02-11 | 北京神州泰岳软件股份有限公司 | 一种漏洞扫描方法及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101567889B (zh) * | 2001-04-13 | 2014-01-08 | 诺基亚公司 | 用于为网络提供漏洞利用保护的系统与方法 |
US20050054326A1 (en) * | 2003-09-09 | 2005-03-10 | Todd Rogers | Method and system for securing and monitoring a wireless network |
KR100901776B1 (ko) * | 2007-10-24 | 2009-06-11 | 한국전자통신연구원 | 검색엔진을 이용한 네트워크 장비 취약점 점검 장치 및방법 |
US8069230B2 (en) * | 2007-10-31 | 2011-11-29 | Affinegy, Inc. | System and method of configuring a network |
RU151859U1 (ru) * | 2014-03-25 | 2015-04-20 | Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Волгоградский государственный университет" | Автоматизированное рабочее место для аудита защищенности беспроводной локальной сети |
-
2016
- 2016-03-18 RU RU2016109931A patent/RU2614559C1/ru active
- 2016-07-27 CN CN201610604990.9A patent/CN107204969B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101330409A (zh) * | 2008-08-01 | 2008-12-24 | 杭州华三通信技术有限公司 | 一种检测网络漏洞的方法和系统 |
CN103748999B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 一种网络安全态势综合评估系统 |
CN102075927A (zh) * | 2011-01-11 | 2011-05-25 | 中国联合网络通信集团有限公司 | 无线网络设备安全配置方法和系统 |
CN104346565A (zh) * | 2013-07-30 | 2015-02-11 | 北京神州泰岳软件股份有限公司 | 一种漏洞扫描方法及系统 |
CN104135483A (zh) * | 2014-06-13 | 2014-11-05 | 汪志 | 一种网络安全自动配置管理系统 |
Also Published As
Publication number | Publication date |
---|---|
RU2614559C1 (ru) | 2017-03-28 |
CN107204969A (zh) | 2017-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10484416B2 (en) | System and method for repairing vulnerabilities of objects connected to a data network | |
US11706246B2 (en) | IOT device risk assessment and scoring | |
US8856909B1 (en) | IF-MAP provisioning of resources and services | |
US11722458B2 (en) | Method and system for restricting transmission of data traffic for devices with networking capabilities | |
US20190268384A1 (en) | Security-on-demand architecture | |
US11165805B2 (en) | Guard system for automatic network flow controls for internet of things (IoT) devices | |
US20130191901A1 (en) | Security actions based on client identity databases | |
US9787710B1 (en) | Method and system of eliminating vulnerabilities of a router | |
US20200021671A1 (en) | Method and system for updating a whitelist at a network node | |
US20220092087A1 (en) | Classification including correlation | |
US10084812B2 (en) | Method and system of repairing vulnerabilities of smart devices | |
EP3220595B1 (en) | Method and system of eliminating vulnerabilities of smart devices | |
JP6591504B2 (ja) | パケットフィルタリング装置 | |
CN107204969B (zh) | 消除数据网络上的漏洞的方法和系统 | |
CN107204869B (zh) | 消除智能装置的漏洞的方法和系统 | |
Demetriou et al. | Guardian of the HAN: Thwarting mobile attacks on smart-home devices using OS-level situation awareness | |
EP3220596B1 (en) | Method and system of eliminating vulnerabilities of a router | |
Foremski et al. | Autopolicy: Automated traffic policing for improved iot network security | |
EP3432544B1 (en) | System and method of determining ddos attacks | |
RU2798178C1 (ru) | Система и способ обеспечения безопасности IoT-устройств посредством установки компонентов обеспечения безопасности | |
RU2786201C1 (ru) | Система и способ обеспечения безопасности IoT-устройств посредством шлюза | |
US20240089271A1 (en) | System and method for providing security to iot devices | |
EP4336803A1 (en) | System and method for providing security to iot devices | |
CN116938504A (zh) | 用于通过网关保护物联网设备的系统和方法 | |
Ul Islam | Implementation and Evaluation of OSGi based Networking Functions Prototype for Home Gateways |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |