CN110430217A

CN110430217A - 基于信息系统分类安全威胁的检测方法、装置和计算机可读存储介质

Info

Publication number: CN110430217A
Application number: CN201910762691.1A
Authority: CN
Inventors: 黄书寒; 徐达飞; 李兆康; 王晓丹; 李腾; 刘晓莹
Original assignee: China Building Materials Group Finance Co Ltd
Current assignee: China Building Materials Group Finance Co Ltd
Priority date: 2019-08-19
Filing date: 2019-08-19
Publication date: 2019-11-08
Anticipated expiration: 2039-08-19
Also published as: CN110430217B

Abstract

本发明公开了一种基于信息系统分类安全威胁的检测方法、装置和计算机可读存储介质，其中，所述检测方法包括：接收检测命令，根据所述检测命令中的检测任务确定待测系统以及目标检测引擎；基于预设规则，确定所述待测系统的系统信息集合中系统信息的分类并标识每个类别的系统信息的维度；基于所述待测系统的系统信息的维度，调用目标检测引擎的检测单元对所述待测系统的系统信息进行检测。本发明的技术方案，能够对待测系统进行精准漏洞检测，快速准确识别待测系统的安全情况，降低因加载过多无效的检测单元造成的误报率，提高检测结果的准确性，有效防止信息系统遭受安全威胁。

Description

基于信息系统分类安全威胁的检测方法、装置和计算机可读存储介质

技术领域

本发明涉及信息安全检测技术领域，尤其涉及一种基于信息系统分类安全威胁的检测方法、装置和计算机可读存储介质。

背景技术

目前，现有的系统的漏洞检测技术常见分为两种类型：第一类是系统扫描，根据对操作系统和端口服务进行识别；第二类是Web应用漏洞扫描，根据对HTTP协议进行模糊检测。上述两种漏洞检测，会加载大量的无效的检测模块，如果被检测的系统当中有边界防御，还会造成大量的攻击告警信息，并且由于无效的检测模块过多，不仅严重影响检测效率，而且造成了较高的误报信息。

发明内容

本发明旨在解决上面描述的问题。本发明的一个目的是提供一种解决以上问题中的任何一个的基于信息系统分类安全威胁的检测方法、装置和计算机可读存储介质。具体地，本发明提供能够对待测系统进行精准漏洞检测，快速准确识别待测系统的安全情况，降低因加载过多无效的检测单元造成的误报率，提高检测结果的准确性，有效防止信息系统遭受安全威胁的基于信息系统分类安全威胁的检测方法。

本发明提供的基于信息系统分类安全威胁的检测方法，包括：

接收检测命令，根据所述检测命令中的检测任务确定待测系统以及目标检测引擎；

基于预设规则，确定所述待测系统的系统信息集合中系统信息的分类并标识每个类别的系统信息的维度；

基于所述待测系统的系统信息的维度，调用目标检测引擎的检测单元对所述待测系统的系统信息进行检测。

上述基于信息系统分类安全威胁的检测方法还具有以下特点：

所述方法还包括：确定所述目标检测引擎的检测单元：

基于所述预设规则，对所述目标检测引擎中的检测单元集合中检测单元进行分类，并标识每个类别的检测单元的维度。

所述检测方法还包括：基于所述系统信息的维度和所述检测单元的维度，构建维度标记记录表，记录所述系统信息的维度和所述检测单元的维度的关联关系。

所述基于所述待测系统的系统信息的维度，调用目标检测引擎的检测单元对所述待测系统的系统信息进行检测包括：基于所述待测系统的系统信息的维度，查询所述维度标记记录表，判断是否有与所述待测系统的系统信息的维度相同的检测单元；如果有，使用该检测单元对所述待测系统的系统信息进行检测；如果没有，判断是否有比所述待测系统的系统信息的维度高一级的检测单元，如有，使用该检测单元对所述待测系统的系统信息进行检测；以此类推，直至获取到能检测所述待测系统的系统信息的检测单元或者直至最大维度。

所述基于所述待测系统的系统信息的维度，调用目标检测引擎的检测单元对所述待测系统的系统信息进行检测包括：基于所述待测系统的系统信息的维度，调用一个或者多个目标检测引擎的检测单元对所述待测系统的系统信息进行检测。

本发明还提供一种基于信息系统分类安全威胁的检测装置，包括：

接收模块，用于接收检测命令，根据所述检测命令中的检测任务确定待测系统以及目标检测引擎；

确定模块，用于基于预设规则，确定所述待测系统的系统信息集合中系统信息的分类并标识每个类别的系统信息的维度；

调用模块，用于基于所述待测系统的系统信息的维度，调用目标检测引擎的检测单元对所述待测系统的系统信息进行检测。

上述的基于信息系统分类安全威胁的检测装置还具有以下特点：

所述确定模块，还用于确定所述目标检测引擎的检测单元：基于所述预设规则，对所述目标检测引擎中的检测单元集合中检测单元进行分类，并标识每个类别的检测单元的维度。

所述确定模块，还用于基于所述系统信息的维度和所述检测单元的维度，构建维度标记记录表，记录所述系统信息的维度和所述检测单元的维度的关联关系。

所述调用模块，还用于基于所述待测系统的系统信息的维度，查询所述维度标记记录表，判断是否有与所述待测系统的系统信息的维度相同的检测单元；如果有，使用该检测单元对所述待测系统的系统信息进行检测；如果没有，判断是否有比所述待测系统的系统信息的维度高一级的检测单元，如有，使用该检测单元对所述待测系统的系统信息进行检测；以此类推，直至获取到能检测所述待测系统的系统信息的检测单元或者直至最大维度。

所述调用模块，还用于基于所述待测系统的系统信息的维度，调用一个或者多个目标检测引擎的检测单元对所述待测系统的系统信息进行检测。

处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：

本发明还提供一种非临时性计算机可读存储介质，当所述存储介质中的指令由移动终端的处理器执行时，使得移动终端能够执行一种服务卡片的显示方法，所述方法包括：

本发明提供的基于信息系统分类安全威胁的检测方法，通过对待测系统的系统信息以及目标检测引擎中的检测单元分别进行维度分类划分，并通过升维的方式异步调用加载目标检测引擎中对应待测系统的系统信息的维度的检测单元，对待测系统进行精准漏洞检测，快速准确识别待测系统的安全情况，降低因加载过多无效的检测单元造成的误报率，提高检测结果的准确性，有效防止信息系统遭受安全威胁。

参照附图来阅读对于示例性实施例的以下描述，本发明的其他特性特征和优点将变得清晰。

附图说明

图1是本发明的实施例的基于信息系统分类安全威胁的检测方法的示意流程图；

图2是本发明的实施例的基于信息系统分类安全威胁的检测装置的示意框图。

具体实施例

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

本发明的基于信息系统分类安全威胁的检测方法，通过对待测系统的系统信息进行维度分类划分，并加载目标检测引擎中对应待测系统的系统信息的维度的检测单元进行精准的安全检测，快速识别准确识别待测系统的安全情况。

下面结合附图，对根据本发明的基于信息系统分类安全威胁的检测方法进行详细说明。

图1是本发明的基于信息系统分类安全威胁的检测方法的一种具体实施例的示意流程图。

根据本发明的第一方面，提供了一种基于信息系统分类安全威胁的检测方法。

如图1所示，基于信息系统分类安全威胁的检测方法包括：

步骤101，接收检测命令，根据检测命令中的检测任务确定待测系统以及目标检测引擎；

步骤102，基于预设规则，确定待测系统的系统信息集合中系统信息的分类并标识每个类别的系统信息的维度；

步骤103，基于待测系统的系统信息的维度，调用目标检测引擎的检测单元对待测系统的系统信息进行检测。

其中，在步骤101之前，首先创建检测任务，并根据检测任务下发检测命令，接收检测命令，根据检测命令中的检测任务确定待测系统以及目标检测引擎。

检测任务的信息主要包括任务ID、任务描述、待测系统的信息、任务状态(例如：开始、暂停、停止、完成)、选择检测引擎，管理任务信息(例如：新建任务、删除任务、修改任务、计划任务)等。

检测引擎包括：SQL注入检测引擎、WEB漏洞检测引擎、数据库检测引擎、系统检测引擎等，在选择检测引擎时，可以选择一个或者多个检测引擎对待测系统的系统信息进行检测。

在步骤102中，具体地，先获取到待测系统的系统信息集合中的系统信息，系统信息包括以下内容：操作系统、操作系统版本、开放端口、服务类型(如：Web、SSH、Telnet、Database等)、服务名称(如：Apache、Nginx、Filezilla)、服务版本号、Mac地址、Ip地址、资产类型(如：网络设备、数据存储设备、安全设备等)。

系统信息的获取可分为以下三种方式：

方式一，使用人工方式进行系统信息录入分类；

人工系统信息录入有两种方式进行录入，第一种是在线编辑：使用XML或JSON数据格式传输系统信息；第二种是离线编辑：使用excel、文本编辑待测系统的系统信息，最后进行导入操作。

方式二，使用自动识别的方式对系统进行识别，自动识别系统信息方式有两种：第一种是主动识别；第二种是被动识别；

其中，主动识别分为两种模式，一种是白盒模式，即采用自动化运维技术手段，在待测系统上执行系统信息收集的程序，自动采集上报待测系统的系统信息；另一种是黑盒模式，即采用端口服务自动发现方式进行服务探测，主要依赖于指纹信息库；

被动识别主要是对流量镜像进行识别，与主动识别的黑盒模式类似，依赖于指纹信息库，同时需要在网络出口处进行流量镜像，优点就是不会主动发送数据包，不会干扰系统正常运行。

方式三，自动识别结合人工录入方式，进行对待测系统的系统信息进行补全；

第三种方式主要是通过自动识别系统信息和人工对系统信息进行编辑修改，以提高检测引擎对待测系统的系统信息检测的准确率与检测速度为主。

其次，基于预设规则，来对待测系统的系统信息集合中的系统信息进行分类，再标识每个类别的系统信息的维度。

其中，预设规则就是按照预设的信息指标分别对待测系统的系统信息集合中的系统信息进行类别划分，信息指标具体可以包括：操作系统、操作系统版本、服务类型、服务名称、服务版本号。

可利用维度值对每个类别的系统信息的维度按照维度值越大，代表维度越小的规则进行排序，分类类别及维度值如下：

(a)操作系统，维度值为1；

(b)操作系统与操作系统版本，维度值为2；

(c)操作系统与服务类型，维度值为3；

(d)服务类型，维度值为4；

(e)操作系统与服务名称，维度值为5；

(f)服务类型与服务名称，维度值为6；

(g)服务名称与服务版本号，维度值为7；

(h)操作系统与服务名称、服务版本号，维度值为8。

基于待测系统的系统信息集合中系统信息的分类，可通过tag标签标识每个类别的系统信息的维度，例如：对操作系统与操作系统版本的维度进行标识，可以利用“操作系统”、“操作系统版本”的信息进行tag标记。

其中，对于重复出现的tag标记进行去重处理。

其中，步骤102中，还需要确定目标检测引擎的检测单元，具体地，基于预设规则，对目标检测引擎中的检测单元集合中检测单元进行分类，并标识每个类别的检测单元的维度。

具体地，为了提高检测结果的准确性，可按照对待测系统的系统信息进行类别划分的规则，对目标检测引擎中的检测单元集合中检测单元进行分类，并通过tag标签标识每个类别的检测单元的维度，例如对通过操作系统与操作系统版本的维度进行分类的检测单元，可以利用“操作系统”、“操作系统版本”的信息进行tag标记。

优选地，基于信息系统分类安全威胁的检测方法还包括：基于系统信息的维度和检测单元的维度，构建维度标记记录表，记录系统信息的维度和检测单元的维度的关联关系。

具体地，基于标识每个类别的系统信息的维度的tag标签与标识每个类别的检测单元的维度tag标签存在对应关系，可通过tag_map表使用一对多的关系储存，记录系统信息的维度和检测单元的维度的关联关系，构建出系统信息的维度和检测单元的维度的维度标记记录表。

优选地，基于待测系统的系统信息的维度，调用目标检测引擎的检测单元对待测系统的系统信息进行检测具体执行过程如下：

基于待测系统的系统信息的维度，查询维度标记记录表，判断是否有与待测系统的系统信息的维度相同的检测单元；

如果有，使用该检测单元对待测系统的系统信息进行检测；

如果没有，判断是否有比待测系统的系统信息的维度高一级的检测单元，如有，使用该检测单元对待测系统的系统信息进行检测；

以此类推，直至获取到能检测待测系统的系统信息的检测单元或者直至最大维度。

具体地，可通过异步实现调用目标检测引擎的检测单元对待测系统的系统信息进行检测，避免任务之间互相影响。

判断是否有与待测系统的系统信息的维度相同的检测单元，则可以通过判断待测系统的系统信息的维度的维度值是否存在与待测系统的系统信息的维度的维度值相同的检测单元。

判断是否有比待测系统的系统信息的维度高一级的检测单元，则是可以通过对待测系统的系统信息的维度的维度值进行升维，即使用比待测系统的系统信息的维度的维度值高于一级的系统信息的维度的维度值进行判断，判断是否存在与待测系统的系统信息的维度的维度值(升维后)相同的检测单元，升维即是将待测系统的系统信息的维度的维度值依次递减，则待测系统的系统信息的维度的标识也变为升维后的维度值所对应的维度。

具体地，例如当对待测系统的系统信息的维度为“服务类型与服务名称，维度值为6”进行检测时，若目标检测引擎中不存在tag标记为“服务类型与服务名称，维度值为6”的检测单元时，对其进行升维，则待测系统的系统信息的维度进行升维至“操作系统与服务名称，维度值为5”，若目标检测引擎中存在tag标记为“操作系统与服务名称，维度值为5”的检测单元，则使用该检测单元对待测系统的系统信息进行检测，若不存在，则继续升维直至最大维度。

其中，步骤103中，基于待测系统的系统信息的维度，调用目标检测引擎的检测单元对待测系统的系统信息进行检测包括：

基于待测系统的系统信息的维度，调用一个或者多个目标检测引擎的检测单元对待测系统的系统信息进行检测。

优选地，基于信息系统分类安全威胁的检测方法还包括：基于待测系统的系统信息的维度，对检测结果进行数据建模存储，生成各个维度的数据集合。

具体地，基于待测系统的系统信息的维度的分类类别对检测结果进行数据建模存储，生成各个维度的数据集合，用户可根据需求自定义报告，通过业务需求的组合可视化地展示数据集合，还可以将数据集合使用结构化数据结构存储至数据库，可根据结构化数据导出不同报表的格式，如PDF、HTML、WORD等。

根据本发明的第二方面，提供了一种基于信息系统分类安全威胁的检测装置。

图2是本发明的基于信息系统分类安全威胁的检测装置的一种具体实施例的结构示意框图。

如图2所示，基于信息系统分类安全威胁的检测装置200包括：接收模块201，确定模块202，调用模块203。

接收模块201，用于接收检测命令，根据检测命令中的检测任务确定待测系统以及目标检测引擎；确定模块202，用于基于预设规则，确定待测系统的系统信息集合中系统信息的分类并标识每个类别的系统信息的维度；调用模块203，用于基于待测系统的系统信息的维度，调用目标检测引擎的检测单元对待测系统的系统信息进行检测。

其中，预设规则就是按照预设的信息指标分别对待测系统的系统信息进行分类划分，可通过tag标签标识每个类别的系统信息的维度。

信息指标具体可以包括：操作系统、操作系统版本、服务类型、服务名称、服务版本号；分类类别可以划分为：操作系统；操作系统与操作系统版本；操作系统与服务类型；服务类型；操作系统与服务名称；服务类型与服务名称；服务名称与服务版本号；操作系统与服务名称、服务版本号，例如对操作系统与操作系统版本的维度进行标识，可以利用操作系统、操作系统版本进行tag标记。

其中，对于重复出现的tag标记进行去重处理。

优选地，确定模块202，还用于确定目标检测引擎的检测单元：基于预设规则，对目标检测引擎中的检测单元集合中检测单元进行分类，并标识每个类别的检测单元的维度。

优选地，确定模块202，还用于基于系统信息的维度和检测单元的维度，构建维度标记记录表，记录系统信息的维度和检测单元的维度的关联关系。

优选地，调用模块203，还用于基于待测系统的系统信息的维度，查询维度标记记录表，判断是否有与待测系统的系统信息的维度相同的检测单元；如果有，使用该检测单元对待测系统的系统信息进行检测；如果没有，判断是否有比待测系统的系统信息的维度高一级的检测单元，如有，使用该检测单元对待测系统的系统信息进行检测；以此类推，直至获取到能检测待测系统的系统信息的检测单元或者直至最大维度。

优选地，调用模块203，还用于基于待测系统的系统信息的维度，调用一个或者多个目标检测引擎的检测单元对待测系统的系统信息进行检测。

根据本发明的第三方面，提供了一种基于信息系统分类安全威胁的检测装置，包括：

处理器；用于存储处理器可执行指令的存储器；其中，处理器被配置为：接收检测命令，根据检测命令中的检测任务确定待测系统以及目标检测引擎；基于预设规则，确定待测系统的系统信息集合中系统信息的分类并标识每个类别的系统信息的维度；基于待测系统的系统信息的维度，调用目标检测引擎的检测单元对待测系统的系统信息进行检测。

根据本发明的第四方面，提供了一种非临时性计算机可读存储介质，当存储介质中的指令由移动终端的处理器执行时，使得移动终端能够执行一种服务卡片的显示方法，该方法包括：接收检测命令，根据检测命令中的检测任务确定待测系统以及目标检测引擎；基于预设规则，确定待测系统的系统信息集合中系统信息的分类并标识每个类别的系统信息的维度；基于待测系统的系统信息的维度，调用目标检测引擎的检测单元对待测系统的系统信息进行检测。

本领域技术人员应明白，本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质,包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质等。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明的意图也包含这些改动和变型在内。

Claims

1.一种基于信息系统分类安全威胁的检测方法，其特征在于，包括：

2.如权利要求1所述的基于信息系统分类安全威胁的检测方法，其特征在于：所述检测方法还包括：确定所述目标检测引擎的检测单元：

3.如权利要求2所述的基于信息系统分类安全威胁的检测方法，其特征在于，所述检测方法还包括：

基于所述系统信息的维度和所述检测单元的维度，构建维度标记记录表，记录所述系统信息的维度和所述检测单元的维度的关联关系。

4.如权利要求3所述的基于信息系统分类安全威胁的检测方法，其特征在于，所述基于所述待测系统的系统信息的维度，调用目标检测引擎的检测单元对所述待测系统的系统信息进行检测包括：

基于所述待测系统的系统信息的维度，查询所述维度标记记录表，判断是否有与所述待测系统的系统信息的维度相同的检测单元；如果有，使用该检测单元对所述待测系统的系统信息进行检测；如果没有，判断是否有比所述待测系统的系统信息的维度高一级的检测单元，如有，使用该检测单元对所述待测系统的系统信息进行检测；以此类推，直至获取到能检测所述待测系统的系统信息的检测单元或者直至最大维度。

5.如权利要求3所述的基于信息系统分类安全威胁的检测方法，其特征在于，所述基于所述待测系统的系统信息的维度，调用目标检测引擎的检测单元对所述待测系统的系统信息进行检测包括：

基于所述待测系统的系统信息的维度，调用一个或者多个目标检测引擎的检测单元对所述待测系统的系统信息进行检测。

6.一种基于信息系统分类安全威胁的检测装置，其特征在于，所述检测装置包括：

7.如权利要求6所述的基于信息系统分类安全威胁的检测装置，其特征在于，

8.如权利要求7所述的基于信息系统分类安全威胁的检测装置，其特征在于，

9.如权利要求8所述的基于信息系统分类安全威胁的检测装置，其特征在于，

10.如权利要求8所述的基于信息系统分类安全威胁的检测装置，其特征在于，

11.一种基于信息系统分类安全威胁的检测装置，其特征在于，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为：

12.一种非临时性计算机可读存储介质，当所述存储介质中的指令由移动终端的处理器执行时，使得移动终端能够执行一种服务卡片的显示方法，所述方法包括：