CN109729068B - 基于区块链技术的安全漏洞审计系统 - Google Patents
基于区块链技术的安全漏洞审计系统 Download PDFInfo
- Publication number
- CN109729068B CN109729068B CN201811407855.0A CN201811407855A CN109729068B CN 109729068 B CN109729068 B CN 109729068B CN 201811407855 A CN201811407855 A CN 201811407855A CN 109729068 B CN109729068 B CN 109729068B
- Authority
- CN
- China
- Prior art keywords
- type
- vulnerability detection
- equipment
- class
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开涉及一种基于区块链技术的安全漏洞审计系统,所述系统包括:多个相互通信的电子设备,每个所述电子设备具有至少一种身份;所述多个电子设备包括:第一类设备,生成漏洞检测请求以及接收返回的检测结果;第二类设备,用于根据所述第一类设备发送的漏洞检测请求确定用于执行漏洞检测的适配的第三类设备或第四类设备;第三类设备,基于第二类设备的指令执行针对所述漏洞检测请求的漏洞检测;第四类设备,基于第二类设备的指令以及利用存储的漏洞检测插件执行针对所述漏洞检测请求的漏洞检测;第五类设备,基于从所述第三类设备接收的第一检测结果确定针对所述漏洞检测请求的漏洞检测结果。本公开能够通过去中心化的方式实现设备的漏洞检测。
Description
技术领域
本公开涉及计算机网络安全领域,尤其涉及一种基于区块链技术的安全漏洞审计系统。
背景技术
近年来,物联网、车联网、智能家居、移动支付的繁荣发展为人们的生产生活带来了极大的便利。然而,网络安全形势也日益严重。网络安全漏洞(CybersecurityVulnerability)已经成为目前阻碍网络发展的最重要因素之一。
传统基于中心化的漏洞审计框架在准确性和安全性方面存在一定的缺陷,例如传统的数据存储和安全管理往往依赖于可信赖的中央结构(如服务器),以便进行整体规划。然而,中心节点的管理缺陷或被攻击将使隐私数据及网络遭受灭顶之灾,因此现有技术中仅通过中心节点执行设备管理的方式具有安全性较低的问题。
发明内容
有鉴于此,本公开提出了一种基于区块链技术的安全漏洞审计系统,该系统可以通过去中心化的方式实现设备的漏洞检测,并且具有较高的安全性。
根据本公开的一方面,提供了一种基于区块链技术的安全漏洞审计系统,所述系统包括:多个相互通信的电子设备,每个所述电子设备具有至少一种身份;所述多个电子设备包括:
第一类设备,其至少具有第一身份,并生成漏洞检测请求以及接收返回的检测结果;
第二类设备,其至少具有第二身份,并用于根据所述第一类设备发送的漏洞检测请求确定用于执行漏洞检测的适配的第三类设备或第四类设备,以及将从执行漏洞检测的第四类设备接收的漏洞检测结果返回给所述第一类设备,或者利用第三类设备反馈的第一检测结果控制第五类设备审核第一检测结果,并将从所述第五类设备接收的漏洞检测结果返回给第一类设备;
第三类设备,其至少具有第三身份,并基于第二类设备的指令执行针对所述漏洞检测请求的漏洞检测,并将获得的第一检测结果传输给第五类设备进行审核;
第四类设备,其至少具有第四身份,并基于第二类设备的指令以及利用存储的漏洞检测插件执行针对所述漏洞检测请求的漏洞检测,并将漏洞检测结果返回至所述第二类设备;
第五类设备,其至少具有第五身份,并基于从所述第三类设备接收的第一检测结果确定针对所述漏洞检测请求的漏洞检测结果,并将该检测结果返回至所述第二类设备。
在一些可能的实施方式中,所述第二类设备还用于根据从执行漏洞检测的所述第四类设备接收的漏洞检测结果为所述第四类设备分配奖励值,以及根据从所述第五类设备接收的漏洞检测结果为执行漏洞检测的第三类设备分配奖励值。
在一些可能的实施方式中,所述第二类设备还用于将所述第三类设备的第一检测结果以及所述第五类设备的漏洞检测结果发送给其他具有第五身份的第五类设备,从该其他具有第五身份的第五类设备接收关于执行第一检测结果的审核的第五类设备的第一投票标识,并根据各第一投票标识为执行第一检测结果的审核的第五类设备分配对应的奖励值。
在一些可能的实施方式中,所述第二类设备还用于根据所述漏洞检测请求与从所述第四类设备接收的漏洞检测结果的匹配度为所述第四类设备分配对应的奖励值。
在一些可能的实施方式中,所述第二类设备还用于根据从所述第五类设备接收的漏洞检测结果中包括的第一检测结果所对应的第三类设备分配对应的奖励值。
在一些可能的实施方式中,所述第二类设备还用于根据接收的投票标识中第一标识和第二标识的数量的比较结果,为执行第一检测结果的审核的第五类设备分配对应的奖励值。
在一些可能的实施方式中,所述第三类设备还用于在其积累的奖励值达到第一阈值时,其第三身份被调整为第五身份。
在一些可能的实施方式中,所述系统还包括:
第六类设备,其至少具有第六身份,并用于为所述第二类设备提供更新的漏洞检测插件;并且,
所述第二类设备还用于在确定用于执行所述漏洞检测的适配的第四类设备时,将更新的漏洞检测插件传输给该适配的第四类设备。
在一些可能的实施方式中,所述系统还包括:
第七类设备,其至少具有第七身份,并用于审核所述第六类设备中更新的漏洞检测插件的有效性和重复性,并将审核结果发送至第二类设备;
所述第二类设备根据所述第七类设备发送的审核结果确定是否保留所述第六类设备中的漏洞检测插件。
在一些可能的实施方式中,所述第二类设备还用于根据所述第七类设备针对所述第六类设备提供的漏洞检测插件的审核结果为所述第六类设备以及第七类设备分别配对应的奖励值。
在一些可能的实施方式中,所述第二类设备还用于将所述第七类设备针对所述第六类设备提供的漏洞检测插件的审核结果发送至其他具有第七身份的第七类设备,从该其他具有第七身份的第七类设备接收关于执行漏洞检测插件的审核的第七类设备的第二投票标识,并
根据各第二投票标识为执行漏洞检测插件的审核的第七类设备分配对应的奖励值。
在一些可能的实施方式中,所述第六类设备还用于在其积累的奖励值达到第二阈值时,其第六身份被调整为第七身份。
在一些可能的实施方式中,所述漏洞检测请求包括漏洞检测选择信息、第一类设备的设备标识,其中所述漏洞检测选择信息包括选择的漏洞类型;
所述系统中的第二类设备还用于根据所述漏洞检测中的第一类设备的设备标识确定与所述第一类设备距离,并根据该距离以及所述第二类设备的数据处理能力选择是否执行所述漏洞检测请求对应的漏洞检测。
在一些可能的实施方式中,所述漏洞检测请求还包括漏测检测方式,所述漏洞检测方式包括通过第三类设备执行漏洞检测或者通过第四类设备执行漏洞检测;
所述第二类设备在确定执行所述漏洞检测请求对应的漏洞检测时,根据所述漏洞检测方式确定执行漏洞检测的第三类设备或者第四类设备。
在一些可能的实施方式中,所述第二类设备还用于在确定通过具有第三身份的第三类设备执行漏洞检测时,根据所述系统中各第三类设备积累的奖励值、各第三类设备与第一类设备之间的距离确定执行漏洞检测的第三类设备,以及根据系统中各第五类设备积累的奖励值、各第五类设备与第一类设备之间的距离确定执行第一检测结果的审核的第五类设备;
所述第二类设备还用于在确定通过具有第四身份的第四类设备执行漏洞检测时,根据所述系统中各第四类设备与第一类设备之间的距离、各第四类设备的数据处理能力值,以及各第四类设备积累的奖励值,确定执行漏洞检测的第四类设备。
在一些可能的实施方式中,所述第二类设备还用于在判断出存储的所述第四类设备的数据处理能力值与对应的第四类设备的数据处理能力不匹配时,调整所述第四类设备的数据处理能力值,并从所述第四类设备积累的奖励值中扣除预设奖励值。
在一些可能的实施方式中,所述第二类设备还用于多次判断出存储的所述第四类设备的数据处理能力值与对应的第四类设备的数据处理能力不匹配时,不再为该第四类设备分配任务。
在一些可能的实施方式中,所述系统中的各具有第三身份的第三类设备还用于主动提交自主发现的安全漏洞的漏洞检测报告给所述第二类设备;
所述第二类设备还用于将接收到来自所述第三类设备的漏洞检测报告发送给各第一类设备,并当有第一类设备认领该漏洞检测报告时,第二类设备为检测到该安全漏洞的第三类设备分配相应的奖励值。
在一些可能的实施方式中,所述第二类设备还用于将所述漏洞检测请求对应的漏洞检测任务划分成多个子任务,并分配适配的第三类设备或者第四类设备分别执行对应的子任务。
在一些可能的实施方式中,所述系统还包括:
分布式账本,其用于存储所述系统内的各电子设备的奖罚记录;
所述系统内的各电子设备在被分配相应的奖励值时,将相应的奖罚记录上传至所述分布式账本。
本公开实施例的安全漏洞审计系统,不再需要系统外的第三方设备对工作情况进行评估,系统内具有相应身份的设备都可以执行漏洞检测,实现了去中心化的管理方式。系统内的每个身份可以具有相应的身份,或者可以具有多种身份,具有相应身份的设备即可以实现对应的功能,例如可以同时包括多个设备具有漏洞检测的身份,从而即使其中一个设备出现故障或者被攻击,其他设备也可以执行相应的功能,并能够提高系统的安全性。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出根据本公开一实施例的区块链的结构示意图。
图2示出根据本公开一实施例的安全漏洞审计系统的结构示意图。
图3示出根据本公开一实施例的安全漏洞审计系统的使用方法的示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示安全检测相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,下面先对本发明实施例中涉及的部分技术术语进行简单说明。
区块链技术(Blockchain technology,简称BT),是一种互联网数据库技术,其特点是去中心化、公开透明,让每个人均可参与数据库记录。
分布式账本是一种在网络成员之间共享、复制和同步的数据库。分布式账本记录网络参与者之间的交易,比如资产或数据的交换。网络中的参与者根据共识原则来制约和协商对账本中的记录的更新。没有中间的第三方仲裁机构(比如金融机构或票据交换所)的参与。分布式账本中的每条记录都有一个时间戳和唯一的密码签名,这使得账本成为网络中所有交易的可审计历史记录。
图1示出根据本公开一实施例的区块链的结构示意图,本公开实施例的系统可以应用在该区块链中,如图1所示,该区块链包括资源层、传输层、合约层、应用层。其中,资源层可以包括提出漏洞检测的用户以及服务于本系统的安全漏洞检测的从业人员,资源层还可以包括分布式账本,该账本可以存储本公开实施例的系统中的各电子设备的奖罚记录,记录上链可以保证各参与方的权益不被侵犯;传输层,负责角色调度和信息广播,其中,系统中的各个设备的地位平等,共处于一个P2P网络中,理论上彼此可达,设备可以在网络中传递任务信息、调度信息、密钥等,以此实现各设备之间账本的同步;合约层,可以包含共识机制和奖惩机制,各个设备遵从共识机制和奖惩机制,实现服务流程合约化;应用层,各个设备在应用层可以完成安全漏洞检测的各项内容,例如,系统可以将接收到的任务请求进行分片处理,即系统将不同任务的片段分发给系统中的不同设备执行漏洞检测处理,应用层还可以包括对系统中的设备的漏洞挖掘,以及漏洞检测插件的撰写等。
本公开实施例的系统采用了区块链技术,不再采用传统方法中的中心化服务器来提供服务,能够有效避免服务器被攻击而导致信息泄露或审计结果丢失的事故,提高安全漏洞审计系统的安全性,同时,系统中的各参与方是以区块链节点的形式匿名存在,因此还能够保证各参与方的隐私性。
本公开提出一种基于区块链技术的安全漏洞审计系统,图2示出根据本公开一实施例的安全漏洞审计系统的结构示意图,其中,虚线代表P2P网络中的节点彼此可相互通信,但本公开实施例只对连接实线的电子设备之间的交互进行具体说明。如图2所示,所述系统包括:多个相互通信的电子设备,该多个电子设备可以分别为如图2中所示的第一类设备S1、第二类设备S2、第三类设备S3、第四类设备S4、第五类设备S5、第六类设备S6、第七类设备S7,每个电子设备具有至少一种身份。下面对本公开实施例的系统中的各类电子设备进行详细说明。
第一类设备S1,其至少具有第一身份,例如,第一身份可以是需要进行漏洞检测的用户身份,第一类设备可以生成漏洞检测请求以及接收返回的检测结果。
其中,本公开实施例可以将具有第一身份的电子设备称为第一类设备,第一类设备可以基于第一身份生成漏洞检测请求。另外,系统内可以包括多个第一类设备,同时第一类设备也可以具有其他的身份,本公开实施例中,可以将当前需要执行漏洞检测且具有第一身份的设备称为第一类设备,在其他实施例中,第一类设备同时具有其他身份,可以执行其他身份对应的职能。
在一些可能的实施方式中,漏洞检测请求包括第一类设备的设备标识。
作为一个示例,上述的第一类设备的设备标识可以用于唯一的确定该第一类设备,并且系统的每个电子设备都可以具有对应的设备标识。其中设备标识可以为设备的名称、IP地址、MAC地址等信息,通过该设备标识一方面可以确认相应的电子设备,同时另一方面还可以获取与电子设备相关的相关信息,例如电子设备的位置信息等,或者设备标识也可以直接为电子设备的地址信息。例如,漏洞检测请求中的设备标识可以为第一类设备的位置信息,从而可以方便其他设备获知与第一类设备之间的距离。例如第二类设备可以根据第一类设备的设备标识获知第二类设备与第一类设备的距离,并根据该距离以及第二类设备的数据处理能力选择是否执行所述漏洞检测请求对应的漏洞检测,例如系统中存在多个第二类设备,系统会选择与第一类设备距离最近且具有处理该漏洞检测请求的数据处理能力的第二类设备,对该漏洞检测请求做进一步处理。
在一些可能的实施方式中,漏洞检测请求除了可以包括第一类设备的设备标识外,漏洞检测请求还可以包括漏洞检测选择信息,其中,漏洞检测选择信息还可以包括选择的漏洞类型。
作为一个示例,漏洞类型大致可以分为五类:网站漏洞、应用漏洞、底层技术漏洞、虚拟机漏洞和智能合约漏洞,其中,这五类漏洞还可以做一步划分:网站漏洞可分为信息泄露、文件包含、SQL注入、命令执行等;应用漏洞可分为任意用户注册、用户信息泄露、权限提升、数据存储、数据通信、组件暴露、弱加密等,底层技术漏洞可分为时间戳依赖、伪随机问题等;虚拟机漏洞可以分为传输丢失和短地址攻击等;智能合约漏洞可分为条件竞争、拒绝服务、未授权访问、溢出等。对上述各种漏洞,第一类设备在执行相应的漏洞检测时,可以根据所要检测的漏洞类型生成漏洞检测请求,即漏洞检测请求可以包括,漏洞检测选择信息,该漏洞选择信息可以包含上述漏洞类型中的任意一者或多者,在其他实施例中,也可以包括其他的漏洞类型,本公开对此不进行限定。
图3示出根据本公开一实施例的安全漏洞审计系统的使用方法的示意图。如图3所示,第一身份可以为需要进行漏洞检测的用户,第一类设备可以为手机、电脑或者任何可以与系统中的电子设备进行通信的电子设备,作为一个示例,用户使用电脑并通过浏览器与系统中的各电子设备进行通信,用户通过电脑生成一个包含网站漏洞、应用漏洞、智能合约漏洞的检测请求,系统接收并处理该请求后,生成相应的漏洞检测报告,并将该报告返回至用户的电脑。
在一些可能的实施方式中,第一类设备生成的漏洞检测请求除了可以包括上述漏洞类型的选择,还可以包括漏测检测方式,漏洞检测方式包括通过第三类设备执行漏洞检测或者通过第四类设备执行漏洞检测。第二类设备在确定执行所述漏洞检测请求对应的漏洞检测时,可以根据所述漏洞检测方式确定执行漏洞检测的第三类设备或者第四类设备。
作为一个示例,从人工操作和机器自动化操作的角度上划分,可将漏洞检测分为人工漏洞检测、自动化漏洞检测,人工漏洞检测即从事安全漏洞检测的从业人员根据专业知识来操作相应设备以进行漏洞检测,自动化漏洞检测即通过具有漏洞检测能力的设备来执行自动化漏洞检测,例如在具有足够数据处理能力的电子设备上安装漏洞检测插件。
至此,系统已接收到用户发来的包含第一类设备的设备标识、漏洞检测选择信息以及漏洞检测方式的漏洞检测请求,并根据第一类设备的设备标识和第二类设备的数据处理能力选出针对该漏洞检测请求做进一步处理的第二类设备,接下来由第二类设备对该请求做进一步处理。
第二类设备S2,其至少具有第二身份,例如第二身份可以为负责调度并存储各个设备的资源的调度员身份,并用于根据第一类设备发送的漏洞检测请求确定用于执行漏洞检测的适配的第三类设备或第四类设备,以及将从执行漏洞检测的第四类设备接收的漏洞检测结果返回给所述第一类设备,或者利用第三类设备反馈的第一检测结果控制第五类设备审核第一检测结果,并将从所述第五类设备接收的漏洞检测结果返回给第一类设备。
其中,第二类设备S2为接收到第一类设备S1发送的漏洞检测请求并能够执行相应的漏洞检测的设备。在第一类设备通过系统提出漏洞检测请求时,由于系统中的各第二类设备可以根据该漏洞检测请求确认与第一类设备之间的距离,以及还可以获知第二类设备本身的数据处理能力,因此,第二类设备在确定与第一类设备之间的距离小于预设距离,且数据处理能力满足预设要求,则可以确认执行所述漏洞检测请求对应的漏洞检测操作。其中,预设距离可以根据需求进行设定,本公开实施例对此不进行限定。数据处理能力满足预设要求可以包括:空余内存与总的内存之间的比值超过预设比例值和/或数据处理速度超过预设速度。在其他实施例中也可以通过其他方式确定数据处理能力是否满足要求,只要能够执行本公开实施例的漏洞检测请求的漏洞检测,即可以作为本公开实施例。在此不作一一限定。
进一步地,为了防止系统中的其他第二类身份重复执行该操作,确认执行所述漏洞检测请求的第二类设备还可以向系统中广播确认执行所述漏洞检测请求的确认信息,以防止其他第二类设备重复检测。
第二类设备S2在确认执行漏洞检测请求对应的漏洞检测时,可以对应的确认执行漏洞检测的设备,如第三类设备S3或者第四类设备S4。如上述所述,第二类设备S2可以根据漏洞检测请求中的漏洞检测方式确定人工检测或者自动化检测,从而进一步确定第三类设备S3或者第四类设备S4。或者,第二类设备也可以根据系统中各第三类设备以及第四类设备与第一类设备之间的距离,以及各第三类设备和第四类设备的数据处理能力,确定执行漏洞检测的第三类设备S3和第四类设备S4。
系统中的第二类设备S2可以获取与之关联的各设备的当前状态,如各设备的奖励值排名,以及各设备的数据处理能力,如算力,因此,第二类设备S2也可以自行确定当前最适配于漏洞检测请求的设备。如果漏洞检测请求中包括的漏洞检测方式为人工检测,或者漏洞检测请求中不包括漏洞检测方式,第二类设备确定第三类设备S3为执行漏洞检测的最适配的设备,则可以通过第三类设备S3进行漏洞检测。在此需要说明的是,第二类设备可以同时利用多个第三类设备S3执行针对漏洞检测请求的漏洞检测。
其中,第三类设备S3,其至少具有第三身份,例如,第三身份可以是如上所述的人工漏洞检测者身份,其可以基于第二类设备的指令执行针对漏洞检测请求的漏洞检测,并得到第一检测结果。第三类设备可以将得到的第一检测结果发送给第二类设备,并由第二类设备将该第一检测结果返回给第一类设备,或者,第二类设备可以利用该第一检测结果控制第五类设备去审核第一检测结果,即第二类设备寻找适配的第五类设备对该第一检测结果进行审核,第五类设备可以将关于各第三设备的第一检测结果的审核结果发送至第二类设备,或者可以将审核通过的第一检测结果发送至第二类设备。
对应的,第二类设备可以根据第五类设备返回的审核结果进行下一步操作。
在一些可能的实施方式中,第二类设备可以仅指定一个第三类设备S3执行关于漏洞检测请求的漏洞检测。例如,在第二类设备中,或者在数据库或者存储器中,可以存储系统内各个设备的奖励值,该奖励值是各设备在执行各项操作所获得的奖励分值,奖励分值可以为大于0也可以为小于0,或者为0,具体可以根据设备完成操作的质量确定。第二类设备可以获取系统内各第三类设备当前的奖励值的排名以及各第三类设备与第一类设备之间的距离,同时还可以获得当前各第三类设备是否执行其他的漏洞检测,对应的,可以在未执行漏洞检测的第三类设备中选择出奖励值最高的第三类设备执行漏洞检测请求对应的第一类设备的漏洞检测。该第三类设备可以在接收到第二类设备的控制指令时,执行相应的漏洞检测操作,并将得到的第一检测结果返回给第二类设备。为了保证检测结果的准确性,第二类设备还可以进一步控制第五类设备执行第一检测结果的审核操作,例如可以将第一检测结果发送至指定的第五类设备,第五类设备可以执行对第一检测结果的审核,并将审核结果(漏洞检测结果)返回给第三类设备。其中,第五类设备S5,其至少具有第五身份,例如,第五身份可以是审核第一检测结果的审核者,并基于从第三类设备接收的第一检测结果确定针对漏洞检测请求的漏洞检测结果,即第五类设备对接收的第一检测结果进行审核,将审核后的漏洞检测结果返回至第二类设备,第二类设备可以将审核结果为正确的漏洞检测结果返回给第一类设备。
若第五类设备对第一检测结果的审核结果为通过,则第二类设备将审核通过的第一检测结果返回给第一类设备,若审核结果为不通过,则第二类设备继续寻找适配的第三类设备执行漏洞检测,直至找到可以给出正确第一检测结果的第三类设备,并将正确的第一检测结果存储在第二类设备的存储器中,并将第一检测结果传输给第一类设备。进一步地,第二类设备还根据第五类设备返回的审核结果为各第三类设备分配奖励值,例如,审核通过的第三类设备(第一检测结果正确的第三类设备)可以被分配相应的奖励值,如+3,而审核未通过的第三类设备可以被分配相应的奖励值,如-3,或者也可以不分配奖励值。从而可以根据第三类设备执行的漏洞检测的结果执行相应的奖惩。
在另一些可能的实施方式中,第二类设备也可以指定多个第三类设备执行第一类电子设备的漏洞检测,对应的,可以在距离第一类设备一定距离内的各第三类设备积累的奖励值从高到低的顺序,确定预设个数个第三类设备执行第一类设备的漏洞检测。预设个数可以根据系统中第三类设备的个数以及其他需求进行限定,本公开不作具体限定,例如本公开实施例可以选择5个第三类设备执行漏洞检测操作。
被确定的预设个数个第三类设备可以执行相应的漏洞检测,并分别得到第一检测结果,并将第一检测结果发送至第二类设备,对应的第二类设备可以选择一第五类设备对各第三类设备得到的第一检测结果进行审核,第五类设备可以根据各第一检测结果确定正确的检测结果。例如,第五类设备可以将各第一检测结果中相同数量最多的第一检测结果作为正确的检测结果,其他的第一检测结果作为审核不通过的检测结果,而后可以将审核结果发送至第二类设备。
其中,第五类设备可以直接将审核通过的第一检测结果作为漏洞检测结果返回给第二类设备,也可以将全部的第一检测检测结果的审核结果作为漏洞检测结果返回给第二类设备。在仅将审核通过的第一检测结果返回给第二类设备时,第二类设备一方面可以将该第一检测结果发送至第一类设备,另一方面可以对获得该审核通过的第一检测结果的第三类设备分配相应的奖励值。在第二类设备从第五类设备接收的漏洞检测结果为全部的第一检测结果的审核结果时,可以将其中审核通过的第一检测结果发送至第一类设备,同时可以进一步根据第五类设备返回的审核结果为各第三类设备分配奖励值。第二类设备可以为审核通过的第三类设备(第一检测结果正确的第三类设备)分配相应的奖励值,如+3,而审核未通过的第三类设备可以被分配相应的奖励值,如-3,或者也可以不分配奖励值。从而可以根据第三类设备执行的漏洞检测的结果执行相应的奖惩。
进一步地,本公开实施例中还可以对第五类设备的审核结果进行审核,并为第五类设备分配相应的奖励值。如上所述,系统中可以包括多个第五类设备,第二类设备可以利用其它的第五类设备为执行审核操作的第五类设备进行二次审核,从而提高检测结果的安全性和准确性。其中,第二类设备可以将各第三类设备的第一检测结果以及第五类设备的漏洞检测结果发送给其他具有第五身份的第五类设备,从该其他具有第五身份的第五类设备接收关于执行第一检测结果的审核的第五类设备的第一投票标识,并根据各第一投票标识为执行第一检测结果的审核的第五类设备分配对应的奖励值。
其中,第一投票标识可以为1或0,如果该其它的第五类设备对第一检测结果的审核结果为通过,则其发送的第一投票标识为1,如果为不通过,则其发送的第一投票标识为0。第二类设备可以根据第一投票标识中“1”的标识的数量与为“0”的标识的数量确定该第一检测结果是否为正确检测结果,例如,当第一投票标识中“1”的标识数量大于等于“0”的标识数量,则确定该第一检测结果为正确的检测结果,如果第一投票标识中“1”的标识数量小于“0”的标识数量,则确定该第一检测结果为错误的检测结果。或者第二类设备可以计算第一投票标识中“1”的标识的数量与“0”的标识的数量的比值,如果该比值大于等于预设比值,例如预设比值可以为0.5,则可以确定该第一检测结果为正确的检测结果,并为各个同意该第一检测结果为正确检测结果的第五类设备分配相应的奖励值,如+5;如果该比值小于预设比值,则该第一检测结果为错误的检测结果,为同意该第一检测结果为错误检测结果的第五类设备分配相应的奖励值,如+3,或不为任何第五类设备分配奖励值。其中分配的奖励值可以根据预先配置的信息进行分配。
另外,如果第二类设备接收的漏洞检测请求中包括的漏洞检测方式为自动检测,或者漏洞检测请求中不包括漏洞检测方式,第二类设备确定第四类设备S4为执行漏洞检测的最适配的设备,则可以通过第四类设备S4进行漏洞检测。
其中,第四类设备S4,其至少具有第四身份,例如,第四身份可以是如上所述的自动化漏洞检测者,并基于第二类设备的指令以及利用存储的漏洞检测插件执行针对漏洞检测请求的漏洞检测,并将漏洞检测结果返回至第二类设备;第二类设备接收到第四类设备返回的漏洞检测结果后,可以将该漏洞检测结果返回给第一类设备。
其中,由于系统中可以包括多个具有第四身份的第四类设备,因此,第二类设备也需要从各第四类设备中选择预设个数个适配的第四类设备,其中,本公开实施例不对该预设个数进行限定,可以根据具体需求进行选择,例如,预设个数可以为3。其中,第二类设备中或者数据库中,可以存储各第四类设备的积累的奖励值,以及还包括各第四类设备的算力值,该算力值可以为第四类设备发送给第二类设备的,也可以是第二类设备根据第四类设备的历史处理记录确定的。同时第二类设备还可以获知当前各第四类设备是否正在执行漏洞检测操作。因此,第二类设备可以在当前未执行漏洞检测操作的第四类设备中选择积累奖励值和算力值排名高,且与第一类设备距离近的预设个数个第四类设备作为执行漏洞检测适配的设备,被选择的第四类设备则可以执行相应的漏洞检测操作。例如,可以在第四类设备中确定第一部分第四类设备,该第一部分第四类设备中的各第四类设备当前未执行任何的漏洞检测。而后从该第一部分第四类设备中选择出与第一设备距离在预设距离范围内,且积累奖励值的排名在第一预设排名范围内,以及算力值的排名在第二预设排名范围内的预设个数个第四类设备作为适配的执行漏洞检测的设备,该预设个数个第四类设备执行漏洞检测后,分别将各自得出的漏洞检测结果发送给第二类设备,第二类设备将执行该漏洞请求的各第四类设备返回的漏洞检测结果进行比较,若该返回的各个漏洞检测结果一样,则第二类设备将该漏洞检测结果返回给第一类设备;若该返回的各个漏洞检测结果不一样,即存在不同版本的漏洞检测结果,则统计各版本的漏洞检测结果的数量,将数量最多的漏洞检测结果作为该漏洞检测请求对应的漏洞检测结果,第二类设备则将该漏洞检测结果返回给第一类设备。
在本公开实施例中,各第四类设备中可以包括至少一种漏洞检测插件,为了进一步的精确的完成漏洞检测,第二类设备在向第四类设备发送执行漏洞检测的控制指令时,可以同时发送漏洞检测插件,可以使得第四类设备有效的完成漏洞检测。发送的漏洞检测插件可以是更新的漏洞检测插件,也可以是第四类设备中不包括的但在执行漏洞检测时需要使用的漏洞检测插件。从而一方面可以更新第四类设备中的插件,另一方面可以提高第四类设备中插件的多样化,提高漏洞检测精度。
第四类设备在执行完成漏洞检测后,可以将漏洞检测结果发送给第二类设备,第二类设备可以将该漏洞检测结果发送给第一类设备。进一步地,第二类设备还可以对第四类设备的漏洞检测操作分配对应的奖励值。
其中,第二类设备可以根据第四类设备返回的漏洞检测结果的完整性和/或执行处理漏洞检测的时间确定为第四类设备分配的奖励值。本公开实施例中,第二类设备可以判断第四类设备返回的漏洞检测结果的完整性,例如,可以判断漏洞检测结果是否对漏洞检测请求中的各漏洞类型进行了漏洞检测,如果对每个漏洞类型都执行了漏洞检测,并得到相应的检测结果,即可以确定漏洞检测结果为完整的。如果部分漏洞类型没有相应的检测结果,则可以确定漏洞检测结果为不完整的。此时可以根据漏洞结果的完整程度为第四类设备分配相应的奖励值。
另外,可以根据存储的关于第四类设备的算力,确定第四类设备执行该漏洞检测的预设时间,并获取第四类设备执行该漏洞检测的真实时间,如果真实时间大于预设时间,则确定第四类设备的数据处理能力值(如算力值)与对应的第四类设备的真实数据处理能力不匹配,此时可以调整所述第四类设备的数据处理能力值,并从所述第四类设备积累的奖励值中扣除预设奖励值(如扣除5)。进一步地,第二类设备在多次判断出存储的所述第四类设备的数据处理能力值与对应的第四类设备的数据处理能力不匹配时,不再为该第四类设备分配任务。即此时可以弃用该第四类设备,不在使用该第四类设备执行漏洞检测。
进一步地,本公开实施例中,为了加快漏洞检测的速度,以及保证漏洞检测的安全性,第二类设备可以将漏洞检测请求对应的漏洞检测任务划分成多个子任务,并利用不同的第三类设备或者不同的第四类设备分别执行子任务。其中,漏洞检测请求对应的漏洞检测任务可以为多个漏洞类型的漏洞检测,每个子任务则可以包括至少一个漏洞类型的漏洞检测。
基于上述实施例可以执行漏洞检测请求对应的漏洞检测,本公开实施例中,系统中可以包括多个第二类设备,每个第二类设备可以执行不同的第一类设备的漏洞检测请求,无需设置额外的中心服务器,通过第二身份的第二类设备对相应漏洞检测请求执行相应漏洞检测任务的分配,实现去中心化的管理。
另外,系统还可以实现漏洞插件的安全管理,系统中还可以包括:
第六类设备S6,其至少具有第六身份,例如,第六身份可以是漏洞检测插件的提供者,并用于为第二类设备提供更新的漏洞检测插件。并且,第二类设备还可以在确定用于执行漏洞检测的适配的第四类设备时,将更新的漏洞检测插件传输给该适配的第四类设备。
第七类设备S7,其至少具有第七身份,例如,第七身份可以是审核漏洞检测插件的审核者,并用于审核第六类设备中更新的漏洞检测插件的有效性和重复性,并将审核结果发送至第二类设备。其中,有效性指的是该漏洞检测插件是否可以有效检测出该插件针对的漏洞,重复性指的是该更新的漏洞检测插件是否与存储在第二类设备中的某个漏洞检测插件完全相同。
例如,第六类设备可以向第二类设备发送了一个更新的漏洞检测插件,则该第二类设备可以寻找一个与第六类设备邻近且具有处理该更新的漏洞检测插件的数据处理能力的第七类设备执行审核,并将该更新的漏洞检测插件发送给该第七类设备,第二类设备可以根据第七类设备发送的审核结果确定是否保留所述第六类设备中的漏洞检测插件,例如第七类设备发送的审核结果为通过,则第二类设备将其存储在存储器中,第二类设备还可以统计该更新的漏洞检测插件在一段时间内被调用的次数,决定该插件是否可以被分发至每个第四类设备的漏洞检测插件的存储器中,以方便各个第四类设备执行漏洞检测时能够快速得到漏洞检测结果;若第七类设备发送的审核结果为不通过,则第二类设备将不存储该漏洞检测插件。
再例如,第六类设备向第二类设备发送了一个更新的漏洞检测插件,该第二类设备还可以寻找若干个与第六类设备邻近且具有处理该更新的漏洞检测插件的数据处理能力的第七类设备执行审核,并实施投票制度,第二类设备可以将第七类设备针对第六类设备提供的漏洞检测插件的审核结果发送至其他具有第七身份的第七类设备,从该其他具有第七身份的第七类设备接收关于执行漏洞检测插件的审核的第七类设备的第二投票标识。例如,第二投票标识中表示通过的标识为T、不通过的标识为B,第二类设备可以根据接收的投票标识中的标识T和标识B的数量的比较结果,确定该第六类设备提供的漏洞检测插件的审核结果,或者也可以根据标识T和标识B的数量的比值确定该第六类设备提供的漏洞检测插件的审核结果,其中标识T大于或者等于标识B的数量时,表示审核通过,如果识T小于标识B的数量时,表示审核不通过。或者标识T和标识B的数量的比值大于或者等于预设比值时表示审核通过,小于预设比值时表示审核不通过。预设标志为大于0.5的数值。例如,第二类设备选取了三个第七类设备,经投票后,投票结果中T标识为2个,B标识为1个,则第二类设备可以确定该漏洞检测插件的审核结果为通过,在其他实施例中,可以采用其他标识作为投票标识,也可以采用其他投票制度决定最终的审核结果,本公开对此不进行限定。
本公开实施例的安全漏洞审计系统,通过共识的投票机制来保证检测结果的公正性,以及系统中各个设备的工作情况评估的准确性。
如上述所述,系统中的设备可以实行积分制,即每个设备都有自己的奖励值积分,系统可以根据设备的贡献度为其分发相应的奖励值,设备的积分可以影响该设备被调用的几率。同时,系统还设立了共识的调度机制,例如系统可以通过设备之间的距离、设备的数据处理能力以及设备拥有的积分三个角度来衡量应该调度哪个电子设备来执行任务,这样既保证了检测结果的质量的同时,还保证了各个设备被公平调度的公平性。
例如,第二类设备接收到漏洞检测请求,并且该漏洞检测请求中指定第三类设备执行漏洞检测,则第二类设备可以根据系统中各第三类设备积累的奖励值、各第三类设备与第一类设备之间的距离确定执行漏洞检测的第三类设备。具体来说,在第二类设备选择第三类设备执行漏洞检测时,可以在所有第三类设备中,选择距离第一类设备一定范围内且奖励值最大的第三类设备作为执行漏洞检测的设备,或者将距离第一类设备一定范围内的第三类设备的奖励值按照从大到小的顺序排名,例如,选择前五名的第三类设备作为执行漏洞检测的设备。
再例如,第二类设备接收到漏洞检测请求,并且该漏洞检测请求中指定第四类设备执行漏洞检测,则第二类设备可以根据系统中各第四类设备与第一类设备之间的距离、各第四类设备的数据处理能力值,以及各第四类设备积累的奖励值,确定执行漏洞检测的第四类设备。具体来说,第四类设备的数据处理能力值可以是该设备的算力,当第二类设备选择第四类设备执行漏洞检测时,可以在距离第一类设备一定范围内且算力能够达到处理该漏洞检测的第四类设备中,选择奖励值最大的第四类设备作为执行该漏洞检测的设备,或者将距离第一类设备一定范围内且算力能够达到处理该漏洞检测的第四类设备的奖励值按照从大到小的顺序排名,例如,选择前六名的第四类设备作为执行漏洞检测的设备。
第二设备选取适配的第五类设备时,也可以根据系统中各第五类设备积累的奖励值、各第五类设备与第一类设备之间的距离确定执行第一检测结果的审核的第五类设备,例如选取奖励值分数最大的第五类设备执行第一检测结果的审核,或者选取距离第一类设备一定范围内且具有足够的数据处理能力的第五类设备中奖励值最大的第五类设备执行审核,或选取距离第一类设备一定范围内且具有足够的数据处理能力的第五类设备的奖励值进行排名,选取前几名的第五类设备执行审核。
若第二类设备同时选取了若干个第五类设备执行审核,则可以实施投票制度,第二类设备可以将第三类设备的第一检测结果以及审核该第一检测结果的第五类设备的漏洞检测结果发送给其他具有第五身份的第五类设备,从该其他具有第五身份的第五类设备接收关于执行第一检测结果的审核的第五类设备的第一投票标识,第二类设备可以根据接收的投票标识中第一标识和第二标识的数量的比较结果,确定该第一检测结果的最终审核结果,例如,第二类设备选取了五个第五类设备,并设置第一标识为“1”,其代表该第一检测结果的审核结果为通过,第二标识为“0”,其代表该第一检测结果的审核结果为不通过,比如投票结果中第一标识为3个,第二标识为2个,则第二类设备可以确定该第一检测结果的审核结果为通过,在其他实施例中,可以采用其他标识作为投票标识,也可以采用其他投票制度决定最终的审核结果,本公开对此不进行限定。
在一些可能的实施方式中,第二类设备还用于将漏洞检测请求对应的漏洞检测任务划分成多个子任务,并分配适配的第三类设备或者第四类设备分别执行对应的子任务。例如,漏洞检测请求中指定的漏洞检测设备为第三类设备,则可以按照如上述的方式选出执行漏洞检测的五个第三类设备,然后第二类设备可以将漏洞检测请求中包含的任务划分成五个子任务,每个第三类设备执行一个子任务,或者将每个子任务再划分出五个片段,五个第三类设备分别执行每个子任务中的1个片段,即每个第三类设备执行五个来自不同子任务中的一个片段。同理,漏洞检测请求中指定的漏洞检测设备为第四类设备时,第二类设备也可按照如上所述的两种方法,将任务划分后再分配给不同的第四类设备去分别执行。并且,在其他实施例中,也可以先确定分配的子任务的数量,再寻找相应数量的可以执行漏洞检测的设备,本公开对此顺序不进行限定。
本公开实施例的安全漏洞审计系统,通过对漏洞检测任务进行分段处理,使每个设备分别执行不同子任务中的不同片段,从而有效防止了中心化服务带来的严重信息泄露和审计结果的丢失,与此同时,将一个任务划分成多个小任务让众多设备一起来执行,可以实现利益的共享化。
如上所述,系统可以根据设备的贡献度为其分发相应的奖励值,下面对奖励值的分发方式进行详细说明。
第二类设备可以根据从执行漏洞检测的第四类设备接收的漏洞检测结果为第四类设备分配奖励值,其中,第二类设备还可以进一步根据漏洞检测请求与从第四类设备接收的漏洞检测结果的匹配度为第四类设备分配对应的奖励值,例如,第四类设备返回给第二类设备的漏洞检测结果没有完全完成漏洞检测请求中的所有任务,则从该第四类设备的积分中扣除相应大小的奖励值,如果第四类设备返回给第二类设备的漏洞检测结果完全完成了漏洞检测请求中的所有任务,则获得本次任务中的所有奖励值,例如本次任务的奖励值范围为-5至+5,在其他实施例中,也可以采用其他奖励值的分配方法,本公开对此不进行限定。
在一些可能的实施方式中,第二类设备还可以存储各个第四类设备上报的数据处理能力值,并根据该数据处理能力值为各个第四类设备分配任务,若第二类设备判断出存储的第四类设备的数据处理能力值与对应的第四类设备的数据处理能力不匹配时,调整所述第四类设备的数据处理能力值,并从所述第四类设备积累的奖励值中扣除预设奖励值。具体来说,可以通过第四类设备完成任务的实际情况获知第四类设备的实际数据处理能力,若第二类设备判断出该第四类设备的实际数据处理能力小于存储的数据处理能力时,第二类设备可修改存储的第四类设备的数据处理能力值,并为了惩罚这种不诚实的行为,可在其累积的奖励值中扣除一定奖励值,并为该第四类设备做不诚实的标记。若第二类设备多次判断出存储的第四类设备的数据处理能力值与对应的第四类设备的数据处理能力不匹配时,不再为该第四类设备分配任务。
第二类设备还可以根据从第五类设备接收的漏洞检测结果为执行漏洞检测的第三类设备分配奖励值。具体来说,第二类设备还可以根据从第五类设备接收的漏洞检测结果中包括的第一检测结果所对应的第三类设备分配对应的奖励值。例如,经过第五类设备审核第三类设备得出的第一检测结果后,得出第一检测结果为正确结果,则第二类设备可以为该第三类设备分配相应数目的奖励值。
若第二类设备同时选取了若干个第五类设备对第三设备的第一检测结果进行审核,并将第三类设备的第一检测结果以及审核该第一检测结果的第五类设备的漏洞检测结果发送给其他具有第五身份的第五类设备,并从该其他具有第五身份的第五类设备接收关于执行第一检测结果的审核的第五类设备的第一投票标识,则可以根据各第一投票标识为执行第一检测结果的审核的第五类设备分配对应的奖励值。具体来说,第二类设备可以根据接收的投票标识中第一标识和第二标识的数量的比较结果,为执行第一检测结果的审核的第五类设备分配对应的奖励值。例如,第二设备选取了五个第五类设备进行审核,且第一标识代表审核通过,第二标识代表审核不通过,经投票后,有4个第一标识和1个第二标识,则该第一检测结果的审核结果为通过,则第二类设备为该第一检测结果对应的第三类设备分配相应的奖励值,并为4个第一标识对应的第五类设备分配奖励值;若投票后,有2个第一标识和3个第二标识,则第一检测结果为不通过,并且没有第五类设备可以得到奖励值,或者第二类设备为3个第二标识对应的第五类设备分配较少的奖励值,不为2个第一标识对应的第五类设备分配奖励值,甚至还可以对2个第一标识对应的第五类设备的积分中扣除一定数量的奖励值,在其他实施例中,也可以采用其他奖励值的分配方法,本公开对此不进行限定。
第二类设备还可以根据第七类设备针对第六类设备提供的漏洞检测插件的审核结果为第六类设备以及第七类设备分别配对应的奖励值。例如,第二类设备选取了一个第七类设备针对第六类设备提供的漏洞检测插件进行审核,若第七类设备针对第六类设备提供的漏洞检测插件的审核结果为通过,则第二类设备可以为该第六类设备和第七类设备分配相应数目的奖励值;若第七类设备针对第六类设备提供的漏洞检测插件的审核结果为不通过,则第二类设备不为两者分配奖励值,或者从该第六类设备积累的奖励值中扣除一定数量的奖励值,为该第七类设备分配一定数量的奖励值,例如奖励值数量的范围设置为-6至+6个单位,则从该第六类设备积累的奖励值中扣除3个单位的奖励值,并为该第七类设备分配3个单位的奖励值,在其他实施例中,也可以采用其他奖励值的分配方法,本公开对此不进行限定。
若第二类设备选取了若干个第七类设备针对该第六类设备提供的漏洞检测插件进行审核,则按照上述的若干个第七类设备的投票制度进行投票,分别得到相应数目的第二投票标识,在此不再赘述。接下来,第二类设备可以根据各第二投票标识为执行漏洞检测插件的审核的第七类设备分配对应的奖励值。例如,选取3个第七类设备执行审核,其中,第二投票标识中表示通过的标识为T、不通过的标识为B,经投票后,有2个标识T和1个标识B,则审核结果为通过,并为提供该漏洞检测插件的第六类设备分配相应数目的奖励值,为2个标识T对应的第七类设备分配相应数目的奖励值,不为标识B对应的第七类设备分奖励值,在其他实施例中,也可以采用其他奖励值的分配方法,本公开对此不进行限定。
系统除了可以根据电子设备的贡献度为其分发相应的奖励值,还可以根据设备获取的奖励值的累计值为其确定等级,下面对设备的等级的确定方法进行详细说明。
为了保证系统的公平性,可以将新加入的第三类设备、第四类设备第五类设备和第七类设备的等级设置为实习者,当第三类设备、第四类设备、第五类设备以及第七类设备满足一定阈值时,可将其等级升级为正式员工,其中,当第三类设备在其积累的奖励值达到第一阈值时,其第三身份还可以被调整为第五身份,当第六类设备在其积累的奖励值达到第二阈值时,其第六身份被调整为第七身份。其中第一阈值和第二阈值可以根据需求进行设定,本公开对此不进行具体限定。
例如,第三身份为人工漏洞检测者,第五身份为人工漏洞检测审核者,第六身份为漏洞检测插件提供者,第七身份为漏洞检测插件审核者,现有一个新的第三类设备加入系统,则其积累的奖励值目前为0分,其等级为人工漏洞检测者中的实习者,当其通过完成一定数目的任务并获得相应的奖励值后,其积累的奖励值已达到50分,则可将其等级升级为人工漏洞检测者中的正式员工,该第三类设备可以继续通过完成一定数目的任务来获得相应的奖励值,并当其积累的奖励值达到300分时,其等级还可以升级为人工漏洞检测审核者,即该第三类设备的身份已从第三身份升级为第五身份;同理,第六类设备也可以仿照第三类设备的等级升级方法进行升级,将第六类设备的第六身份升级为第七身份,在此不再赘述。
若有新的第五类设备加入系统,则其积累的奖励值目前为0分,其等级为人工漏洞检测审核者中的实习者,并当其通过完成一定数目的任务并获得相应的奖励值后,将其升级为人工漏洞检测审核者中的正式员工,同理,新加入的第七类设备也可以按照如此方法从实习者升级为正式员工,在其他实施例中,也可以采用其他等级确定方法,本公开对此不进行限定。
在一些可能的实施方式中,本公开实施例的安全漏洞审计系统不仅可以接收第一类设备发送的漏洞检测请求,各具有第三身份的第三类设备还可以可以主动提交自主发现的安全漏洞的漏洞检测报告给所述第二类设备;第二类设备还用于将接收到的来自第三类设备的漏洞检测报告发送给各第一类设备,并当有第一类设备认领该漏洞检测报告时,第二类设备为监测到该安全漏洞的第三类设备分配相应的奖励值。
作为一个示例,第三类设备自主发现了一个安全漏洞,所述安全漏洞可以包括网站漏洞、应用漏洞、底层技术漏洞、虚拟机漏洞和智能合约漏洞中的一者或多者,于是第三类设备对该安全漏洞进行了检测,并生成漏洞检测报告发给具有能够处理该报告能力且距离第三类设备最近的一个第二类设备,第二类设备将该漏洞检测报告发送给各第一类设备,若该存在认领该漏洞检测报告的第一类设备,则第二类设备为该第三类电子设备分配相应数量的奖励值,若没有第一类电子设备认领发送来的漏洞检测报告,则第二类设备不为该第三类电子设备分配奖励值,或者该第三类设备可以向第二类设备申请对本次漏洞检测报告进行审查,则第二类设备可以通过本公开上述的选择方法选出适配的一个或多个第五类设备执行审查,若审核结果为该漏洞检测报告是正确的,则第二类设备为该第三类电子设备分配相应数量的奖励值。
本公开实施例的安全漏洞审计系统,不再需要系统外的第三方设备对工作情况进行评估,审核者就存在于系统内,同时各个设备遵循共识的调度机制来执行任务,并根据各个设备的贡献度来确定设备的等级,进而可以从优选取执行检测或审核命令的设备,保证检测结果的准确性,系统还通过设立共识的奖罚机制,并根据各个设备的实际的工作情况为其分配奖励值或扣除奖励值,进而保证系统内的各个设备的利益公平性。
在一些可能的实施方式中,本公开实施例的安全漏洞审计系统还可以包括分布式账本,其用于存储系统内的各电子设备的奖罚记录,同时,系统内的各电子设备在被分配相应的奖励值时,需要将相应的奖罚记录上传至分布式账本。
本公开实施例的安全漏洞审计系统,通过分布式账本记录各个电子设备的奖罚记录,防止恶意篡改事件的发生,维护了系统的安全性。
综上所述,本公开实施例的安全漏洞审计系统,不再需要系统外的第三方设备对工作情况进行评估,系统内具有相应身份的设备都可以执行漏洞检测,实现了去中心化的管理方式。系统内的每个身份可以具有相应的身份,或者可以具有多种身份,具有相应身份的设备即可以实现对应的功能,例如可以同时包括多个设备具有漏洞检测的身份,从而即使其中一个设备出现故障或者被攻击,其他设备也可以执行相应的功能,并能够提高系统的安全性。
另外,现有技术中安全厂商所能够负担的安全技术人员总量有限,无法及时应对高活跃黑客连续不断高强度的攻击。因此,安全厂商需要不断引入外部安全技术人员协助完成网络安全保护工作。然而,安全厂商无法为这些技术人员提供一个安全可信的平台,从而无法保障其个人隐私不被泄露。本申请可以通过奖励值积分确定各个设备的能力,从而可以为漏洞检测提供保障,并且各设备的身份受到严格限制,能够保证系统的安全性。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (20)
1.一种基于区块链技术的安全漏洞审计系统,其特征在于,所述系统包括:多个相互通信的电子设备,每个所述电子设备具有至少一种身份;所述多个电子设备包括:
第一类设备,其至少具有第一身份,并生成漏洞检测请求以及接收返回的检测结果;
第二类设备,其至少具有第二身份,并用于根据所述第一类设备发送的漏洞检测请求确定用于执行漏洞检测的适配的第三类设备或第四类设备,以及将从执行漏洞检测的第四类设备接收的漏洞检测结果返回给所述第一类设备,或者利用第三类设备反馈的第一检测结果控制第五类设备审核第一检测结果,并将从所述第五类设备接收的漏洞检测结果返回给第一类设备;
第三类设备,其至少具有第三身份,并基于第二类设备的指令执行针对所述漏洞检测请求的漏洞检测,并将获得的第一检测结果传输给第五类设备进行审核;
第四类设备,其至少具有第四身份,并基于第二类设备的指令以及利用存储的漏洞检测插件执行针对所述漏洞检测请求的漏洞检测,并将漏洞检测结果返回至所述第二类设备;
第五类设备,其至少具有第五身份,并基于从所述第三类设备接收的第一检测结果确定针对所述漏洞检测请求的漏洞检测结果,并将该检测结果返回至所述第二类设备。
2.根据权利要求1所述的系统,其特征在于,所述第二类设备还用于根据从执行漏洞检测的所述第四类设备接收的漏洞检测结果为所述第四类设备分配奖励值,以及根据从所述第五类设备接收的漏洞检测结果为执行漏洞检测的第三类设备分配奖励值。
3.根据权利要求1所述的系统,其特征在于,所述第二类设备还用于将所述第三类设备的第一检测结果以及所述第五类设备的漏洞检测结果发送给其他具有第五身份的第五类设备,从该其他具有第五身份的第五类设备接收关于执行第一检测结果的审核的第五类设备的第一投票标识,并
根据各第一投票标识为执行第一检测结果的审核的第五类设备分配对应的奖励值。
4.根据权利要求2所述的系统,其特征在于,所述第二类设备还用于根据所述漏洞检测请求与从所述第四类设备接收的漏洞检测结果的匹配度为所述第四类设备分配对应的奖励值,
其中,所述匹配度包括所述漏洞检测结果针对所述漏洞检测请求的任务的完成度。
5.根据权利要求2所述的系统,其特征在于,所述第二类设备还用于根据从所述第五类设备接收的漏洞检测结果中包括的第一检测结果所对应的第三类设备分配对应的奖励值。
6.根据权利要求3所述的系统,其特征在于,所述第二类设备还用于根据接收的投票标识中第一标识和第二标识的数量的比较结果,为执行第一检测结果的审核的第五类设备分配对应的奖励值,
其中,所述第一标识和所述第二标识均用于表示所述第五类设备的对立的审核结果。
7.根据权利要求1所述的系统,其特征在于,所述第三类设备还用于在其积累的奖励值达到第一阈值时,其第三身份被调整为第五身份。
8.根据权利要求1所述的系统,其特征在于,所述系统还包括:
第六类设备,其至少具有第六身份,并用于为所述第二类设备提供更新的漏洞检测插件;并且,
所述第二类设备还用于在确定用于执行所述漏洞检测的适配的第四类设备时,将更新的漏洞检测插件传输给该适配的第四类设备。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括:
第七类设备,其至少具有第七身份,并用于审核所述第六类设备中更新的漏洞检测插件的有效性和重复性,并将审核结果发送至第二类设备;
所述第二类设备根据所述第七类设备发送的审核结果确定是否保留所述第六类设备中的漏洞检测插件。
10.根据权利要求9所述的系统,其特征在于,所述第二类设备还用于根据所述第七类设备针对所述第六类设备提供的漏洞检测插件的审核结果为所述第六类设备以及第七类设备分别分配对应的奖励值。
11.根据权利要求10所述的系统,其特征在于,所述第二类设备还用于将所述第七类设备针对所述第六类设备提供的漏洞检测插件的审核结果发送至其他具有第七身份的第七类设备,从该其他具有第七身份的第七类设备接收关于执行漏洞检测插件的审核的第七类设备的第二投票标识,并根据各第二投票标识为执行漏洞检测插件的审核的第七类设备分配对应的奖励值。
12.根据权利要求9所述的系统,其特征在于,所述第六类设备还用于在其积累的奖励值达到第二阈值时,其第六身份被调整为第七身份。
13.根据权利要求1所述的系统,其特征在于,所述漏洞检测请求包括漏洞检测选择信息、第一类设备的设备标识,其中所述漏洞检测选择信息包括选择的漏洞类型;
所述系统中的第二类设备还用于根据所述漏洞检测中的第一类设备的设备标识确定与所述第一类设备距离,并根据该距离以及所述第二类设备的数据处理能力选择是否执行所述漏洞检测请求对应的漏洞检测。
14.根据权利要求13所述的系统,其特征在于,所述漏洞检测请求还包括漏测检测方式,所述漏洞检测方式包括通过第三类设备执行漏洞检测或者通过第四类设备执行漏洞检测;
所述第二类设备在确定执行所述漏洞检测请求对应的漏洞检测时,根据所述漏洞检测方式确定执行漏洞检测的第三类设备或者第四类设备。
15.根据权利要求1所述的系统,其特征在于,所述第二类设备还用于在确定通过具有第三身份的第三类设备执行漏洞检测时,根据所述系统中各第三类设备积累的奖励值、各第三类设备与第一类设备之间的距离确定执行漏洞检测的第三类设备,以及根据系统中各第五类设备积累的奖励值、各第五类设备与第一类设备之间的距离确定执行第一检测结果的审核的第五类设备;
所述第二类设备还用于在确定通过具有第四身份的第四类设备执行漏洞检测时,根据所述系统中各第四类设备与第一类设备之间的距离、各第四类设备的数据处理能力值,以及各第四类设备积累的奖励值,确定执行漏洞检测的第四类设备。
16.根据权利要求15所述的系统,其特征在于,所述第二类设备还用于在判断出存储的所述第四类设备的数据处理能力值与对应的第四类设备的数据处理能力不匹配时,调整所述第四类设备的数据处理能力值,并从所述第四类设备积累的奖励值中扣除预设奖励值。
17.根据权利要求16所述的系统,其特征在于,所述第二类设备还用于多次判断出存储的所述第四类设备的数据处理能力值与对应的第四类设备的数据处理能力不匹配时,不再为该第四类设备分配任务。
18.根据权利要求1所述的系统,其特征在于,所述系统中的各具有第三身份的第三类设备还用于主动提交自主发现的安全漏洞的漏洞检测报告给所述第二类设备;
所述第二类设备还用于将接收到来自所述第三类设备的漏洞检测报告发送给各第一类设备,并当有第一类设备认领该漏洞检测报告时,第二类设备为检测到该安全漏洞的第三类设备分配相应的奖励值。
19.根据权利要求1所述的系统,其特征在于,所述第二类设备还用于将所述漏洞检测请求对应的漏洞检测任务划分成多个子任务,并分配适配的第三类设备或者第四类设备分别执行对应的子任务。
20.根据权利要求1所述的系统,其特征在于,所述系统还包括:
分布式账本,其用于存储所述系统内的各电子设备的奖罚记录;
所述系统内的各电子设备在被分配相应的奖励值时,将相应的奖罚记录上传至所述分布式账本。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811407855.0A CN109729068B (zh) | 2018-11-23 | 2018-11-23 | 基于区块链技术的安全漏洞审计系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811407855.0A CN109729068B (zh) | 2018-11-23 | 2018-11-23 | 基于区块链技术的安全漏洞审计系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109729068A CN109729068A (zh) | 2019-05-07 |
| CN109729068B true CN109729068B (zh) | 2021-05-07 |
Family
ID=66295142
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811407855.0A Active CN109729068B (zh) | 2018-11-23 | 2018-11-23 | 基于区块链技术的安全漏洞审计系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109729068B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220083694A1 (en) * | 2020-09-11 | 2022-03-17 | Fujifilm Business Innovation Corp. | Auditing system |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111164948B (zh) * | 2019-06-27 | 2022-05-27 | 创新先进技术有限公司 | 使用区块链网络管理网络安全漏洞 |
| CN110474868B (zh) * | 2019-06-27 | 2022-12-16 | 山东安畅物联网科技有限公司 | 基于区块链激励机制的物联网环境安全检测方法及系统 |
| CN111083107B (zh) * | 2019-11-14 | 2021-12-21 | 中通服咨询设计研究院有限公司 | 一种基于区块链的网络安全漏洞收集处理方法 |
| CN112988447B (zh) * | 2021-05-20 | 2021-08-20 | 全时云商务服务股份有限公司 | 一种自动纠正漏洞信息的方法、系统和可读存储介质 |
| CN115987673B (zh) * | 2022-12-30 | 2023-12-08 | 北京天融信网络安全技术有限公司 | 基于事件驱动的漏洞渗透测试系统、方法、装置、介质及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107026871A (zh) * | 2017-05-15 | 2017-08-08 | 安徽大学 | 一种基于云计算的Web漏洞扫描方法 |
| CN107395343A (zh) * | 2017-07-10 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 证书管理方法及系统 |
| CN108833440A (zh) * | 2018-07-21 | 2018-11-16 | 杭州安恒信息技术股份有限公司 | 一种基于区块链的网络安全审计系统及网络安全审计方法 |
| CN108846557A (zh) * | 2018-05-29 | 2018-11-20 | 厦门哈希科技有限公司 | 一种基于区块链的数据获取方法、装置、存储介质、终端设备及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10616259B2 (en) * | 2017-01-17 | 2020-04-07 | Nio Usa, Inc. | Real-time network vulnerability analysis and patching |
| US10375105B2 (en) * | 2017-03-03 | 2019-08-06 | International Business Machines Corporation | Blockchain web browser interface |
-
2018
- 2018-11-23 CN CN201811407855.0A patent/CN109729068B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107026871A (zh) * | 2017-05-15 | 2017-08-08 | 安徽大学 | 一种基于云计算的Web漏洞扫描方法 |
| CN107395343A (zh) * | 2017-07-10 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 证书管理方法及系统 |
| CN108846557A (zh) * | 2018-05-29 | 2018-11-20 | 厦门哈希科技有限公司 | 一种基于区块链的数据获取方法、装置、存储介质、终端设备及系统 |
| CN108833440A (zh) * | 2018-07-21 | 2018-11-16 | 杭州安恒信息技术股份有限公司 | 一种基于区块链的网络安全审计系统及网络安全审计方法 |
Non-Patent Citations (2)
| Title |
|---|
| Security Implications of Blockchain Cloud with Analysis of Block Withholding Attack;Deepak K. Tosh;《2017 17th IEEE/ACM International Symposium on Cluster, Cloud and Grid Computing (CCGRID)》;20170713;458-467 * |
| 区块链的安全检测模型;叶聪聪;《软件学报》;20180111(第5期);1348-1359 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220083694A1 (en) * | 2020-09-11 | 2022-03-17 | Fujifilm Business Innovation Corp. | Auditing system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109729068A (zh) | 2019-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109729068B (zh) | 基于区块链技术的安全漏洞审计系统 | |
| Hassan et al. | Enhanced QoS-based model for trust assessment in cloud computing environment | |
| US20190354968A1 (en) | Utilization Management Method, Utilization Management System, and Node | |
| CN112154468A (zh) | 基于安全共识的自监控区块链背书 | |
| CN105100042A (zh) | 用于对应用中的漏洞进行分布式发现的计算机系统 | |
| CN110602217B (zh) | 基于区块链的联盟管理方法、装置、设备及存储介质 | |
| CN111008402A (zh) | 区块链时间戳协定 | |
| CN106778109A (zh) | 一种基于智能合约的认证权限评价方法及装置 | |
| CN110532025B (zh) | 基于微服务架构的数据处理方法、装置、设备及存储介质 | |
| CN110599331B (zh) | 基于区块链的债务催收系统、方法、设备及存储介质 | |
| CN112837157A (zh) | 区块链中定时智能合约的注册、执行方法、装置和系统 | |
| EP4456514A1 (en) | Method and apparatus for executing computing task, and storage medium and electronic apparatus | |
| CN112837154A (zh) | 区块链中定时智能合约的注册、执行方法和装置 | |
| CN111934881B (zh) | 数据确权方法和装置、存储介质和电子装置 | |
| CN110808839A (zh) | 一种区块链异常数据的处理方法、装置、设备和介质 | |
| CN113781230B (zh) | 基于区块链的交易处理方法和装置 | |
| Yuan et al. | Lightweight and reliable decentralized reward system using blockchain | |
| CN110557394B (zh) | 一种平行链的管理方法、设备及存储介质 | |
| CN112104704A (zh) | 边缘计算方法及装置 | |
| CN109727040B (zh) | 数据发布方法、数据调用方法、设备和存储介质 | |
| CN112181599A (zh) | 模型训练方法、装置及存储介质 | |
| KR20210083457A (ko) | 블록체인 기반 전자투표 이력 관리 시스템 | |
| CN111202987A (zh) | 游戏应用的登录控制方法及装置 | |
| WO2020062119A1 (en) | Method and system for incentivizing data exchange | |
| CN115563117A (zh) | 一种基于SaaS技术的多租户管理应用及其实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |