CN110472418B - 一种安全漏洞防护方法及系统、相关设备 - Google Patents
一种安全漏洞防护方法及系统、相关设备 Download PDFInfo
- Publication number
- CN110472418B CN110472418B CN201910636909.9A CN201910636909A CN110472418B CN 110472418 B CN110472418 B CN 110472418B CN 201910636909 A CN201910636909 A CN 201910636909A CN 110472418 B CN110472418 B CN 110472418B
- Authority
- CN
- China
- Prior art keywords
- network request
- protection
- java system
- existing security
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及安全防护技术领域,揭示了一种安全漏洞防护方法及系统、相关设备。所述方法包括:获取现有安全漏洞的信息,该现有安全漏洞的信息至少包括现有安全漏洞和对应现有安全漏洞的非法网络请求;将现有安全漏洞的信息保存至防护数据库;创建防护接口以对接java系统,并通过该防护接口实时检测是否有发送给java系统的网络请求;当检测到网络请求时,调用防护数据库以判断该网络请求是否属于非法网络请求;若是,拦截上述网络请求。可见,实施本发明实施例,能够防止java系统由于出现安全漏洞而受到非法网络请求的攻击,进而提高java系统的安全性。
Description
技术领域
本发明涉及安全防护技术领域,特别涉及一种安全漏洞防护方法及系统、相关设备。
背景技术
随着技术的不断更新进步,已有的java系统的缺陷容易造成安全漏洞的出现,使得网络上一些非法网络请求(如带有木马程序的请求)能够通过安全漏洞对java系统进行攻击,给java系统带来安全隐患。目前,一般是由技术人员定期排查java系统以确定java系统中是否存在安全漏洞,并在排查出安全漏洞后进行修补,如果技术人员不能在安全漏洞出现时及时发现并进行修补,则java系统很容易因为非法网络请求的攻击造成系统瘫痪或系统数据丢失等后果。可见,已有java系统易受非法网络请求的攻击,安全性低。
发明内容
为了解决相关技术中存在的java系统安全性低的问题,本发明提供了一种安全漏洞防护方法及系统、相关设备。
本发明实施例第一方面公开了一种安全漏洞防护方法,所述方法包括:
获取现有安全漏洞的信息,所述现有安全漏洞的信息至少包括现有安全漏洞和对应所述现有安全漏洞的非法网络请求;
将所述现有安全漏洞的信息保存至防护数据库;
创建防护接口以对接java系统;
通过所述防护接口实时检测是否有发送给所述java系统的网络请求;
当检测到所述网络请求时,调用所述防护数据库以判断所述网络请求是否属于非法网络请求;
若所述网络请求属于所述非法网络请求,拦截所述网络请求。
作为一种可选的实施方式,在本发明实施例第一方面中,所述方法还包括:
若所述网络请求不属于所述非法网络请求,解析所述网络请求以判断所述网络请求中是否包括所述现有安全漏洞对应的敏感信息;
若所述网络请求中包括所述现有安全漏洞对应的敏感信息,拦截所述网络请求。
作为一种可选的实施方式,在本发明实施例第一方面中,所述现有安全漏洞信息还包括所述现有安全漏洞的漏洞代码,所述获取现有安全漏洞的信息之后,所述方法还包括:
分析所述漏洞代码,获得所述现有安全漏洞对应的敏感信息;
为所述敏感信息设置危险等级;
根据所述敏感信息以及所述敏感信息的危险等级建立敏感信息参考树;
所述解析所述网络请求以判断所述网络请求中是否包括所述现有安全漏洞对应的敏感信息,包括:
解析所述网络请求,获得所述网络请求包括的若干个子信息;
通过遍历所述敏感信息参考树检索所述若干个子信息,以判断所述网络请求中是否包括所述现有安全漏洞对应的敏感信息。
作为一种可选的实施方式,在本发明实施例第一方面中,所述若所述网络请求中包括所述现有安全漏洞对应的敏感信息,拦截所述网络请求之后,所述方法还包括:
将所述网络请求发送至虚拟java系统,以检验所述网络请求是否攻击所述虚拟java系统;
若是,将所述网络请求作为新增的非法网络请求保存至所述防护数据库。
作为一种可选的实施方式,在本发明实施例第一方面中,所述方法还包括:
按照预设周期向所述java系统发送安全漏洞检测请求信息;
当接收到所述java系统反馈的对应所述安全漏洞检测请求信息的同意信息时,调用所述防护数据库以检测所述java系统是否存在安全漏洞;
若是,向所述java系统发送提示信息,所述提示信息指示所述java系统存在所述安全漏洞。
作为一种可选的实施方式,在本发明实施例第一方面中,所述将所述现有安全漏洞的信息保存至防护数据库之后,所述方法还包括:
获取所述现有安全漏洞对应的解决方案,并保存至所述防护数据库;
所述向所述java系统发送提示信息之后,所述方法还包括:
确定出所述java系统中存在的目标安全漏洞;
从所述防护数据库中查找所述目标安全漏洞对应的目标解决方案;
将所述目标解决方案推送至所述java系统。
作为一种可选的实施方式,在本发明实施例第一方面中,所述将所述目标解决方案推送至所述java系统,包括:
获取所述java系统的兼容参数;
根据所述java系统的兼容参数以及所述目标解决方案生成修复补丁;
将所述修复补丁推送至所述java系统。
本发明实施例第二方面公开了一种安全漏洞防护系统,所述系统包括:
获取单元,用于获取现有安全漏洞的信息,所述现有安全漏洞的信息至少包括现有安全漏洞和对应所述现有安全漏洞的非法网络请求;
第一保存单元,用于将所述现有安全漏洞的信息保存至防护数据库;
创建单元,用于创建防护接口以对接java系统;
第一检测单元,用于通过所述防护接口实时检测是否有发送给所述java系统的网络请求;
第一判断单元,用于在检测到所述网络请求时,调用所述防护数据库以判断所述网络请求是否属于非法网络请求;
拦截单元,用于在所述判断单元判定所述网络请求属于所述非法网络请求时,拦截所述网络请求。
本发明实施例第三方面公开了一种电子设备,所述电子设备包括:
处理器;
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现本发明实施例第一方面公开的安全漏洞防护方法。
本发明实施例第四方面公开了一种计算机可读存储介质,其存储计算机程序,所述计算机程序使得计算机执行本发明实施例第一方面公开的安全漏洞防护方法。
本发明的实施例提供的技术方案可以包括以下有益效果:
本发明所提供的安全漏洞防护方法包括如下步骤:获取现有安全漏洞的信息,该现有安全漏洞的信息至少包括现有安全漏洞和对应现有安全漏洞的非法网络请求;将现有安全漏洞的信息保存至防护数据库;创建防护接口以对接java系统,并通过该防护接口实时检测是否有发送给java系统的网络请求;当检测到网络请求时,调用防护数据库以判断该网络请求是否属于非法网络请求;若是,拦截上述网络请求。
此方法下,将现有安全漏洞和对应现有安全漏洞的非法网络请求保存在防护数据库中,当在防护接口发现发送给java系统的网络请求时,调用防护数据库来判断判断该网络请求是否属于会对java系统的安全造成威胁的非法网络请求,如果是,拦截该网络请求,以防止该网络请求通过java系统的安全漏洞攻击该java系统。可见,实施本发明实施例,能够防止java系统由于出现安全漏洞而受到非法网络请求的攻击,进而提高java系统的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并于说明书一起用于解释本发明的原理。
图1是本发明实施例公开的一种装置的结构示意图;
图2是本发明实施例公开的一种安全漏洞防护方法的流程图;
图3是本发明实施例公开的另一种安全漏洞防护方法的流程图;
图4是本发明实施例公开的又一种安全漏洞防护方法的流程图;
图5是本发明实施例公开的一种安全漏洞防护系统的结构示意图;
图6是本发明实施例公开的另一种安全漏洞防护系统的结构示意图;
图7是本发明实施例公开的又一种安全漏洞防护系统的结构示意图。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与本发明的一些方面相一致的装置和方法的例子。
实施例一
本发明的实施环境可以是电子设备,例如智能手机、平板电脑、台式电脑。
图1是本发明实施例公开的一种装置的结构示意图。装置100可以是上述电子设备。如图1所示,装置100可以包括以下一个或多个组件:处理组件102,存储器104,电源组件106,多媒体组件108,音频组件110,传感器组件114以及通信组件116。
处理组件102通常控制装置100的整体操作,诸如与显示,电话呼叫,数据通信,相机操作以及记录操作相关联的操作等。处理组件102可以包括一个或多个处理器118来执行指令,以完成下述的方法的全部或部分步骤。此外,处理组件102可以包括一个或多个模块,用于便于处理组件102和其他组件之间的交互。例如,处理组件102可以包括多媒体模块,用于以方便多媒体组件108和处理组件102之间的交互。
存储器104被配置为存储各种类型的数据以支持在装置100的操作。这些数据的示例包括用于在装置100上操作的任何应用程序或方法的指令。存储器104可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static RandomAccess Memory,简称SRAM),电可擦除可编程只读存储器(Electrically ErasableProgrammable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Red-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。存储器104中还存储有一个或多个模块,用于该一个或多个模块被配置成由该一个或多个处理器118执行,以完成如下所示方法中的全部或者部分步骤。
电源组件106为装置100的各种组件提供电力。电源组件106可以包括电源管理系统,一个或多个电源,及其他与为装置100生成、管理和分配电力相关联的组件。
多媒体组件108包括在装置100和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(Liquid Crystal Display,简称LCD)和触摸面板。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。屏幕还可以包括有机电致发光显示器(Organic Light Emitting Display,简称OLED)。
音频组件110被配置为输出和/或输入音频信号。例如,音频组件110包括一个麦克风(Microphone,简称MIC),当装置100处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器104或经由通信组件116发送。在一些实施例中,音频组件110还包括一个扬声器,用于输出音频信号。
传感器组件114包括一个或多个传感器,用于为装置100提供各个方面的状态评估。例如,传感器组件114可以检测到装置100的打开/关闭状态,组件的相对定位,传感器组件114还可以检测装置100或装置100一个组件的位置改变以及装置100的温度变化。在一些实施例中,该传感器组件114还可以包括磁传感器,压力传感器或温度传感器。
通信组件116被配置为便于装置100和其他设备之间有线或无线方式的通信。装置100可以接入基于通信标准的无线网络,如WiFi(Wireless-Fidelity,无线保真)。在本发明实施例中,通信组件116经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在本发明实施例中,通信组件116还包括近场通信(Near Field Communication,简称NFC)模块,用于以促进短程通信。例如,在NFC模块可基于射频识别(Radio FrequencyIdentification,简称RFID)技术,红外数据协会(Infrared Data Association,简称IrDA)技术,超宽带(Ultra Wideband,简称UWB)技术,蓝牙技术和其他技术来实现。
在示例性实施例中,装置100可以被一个或多个应用专用集成电路(ApplicationSpecific Integrated Circuit,简称ASIC)、数字信号处理器、数字信号处理设备、可编程逻辑器件、现场可编程门阵列、控制器、微控制器、微处理器或其他电子元件实现,用于执行下述方法。
实施例二
请参阅图2,图2是本发明实施例公开的一种安全漏洞防护方法的流程示意图。如图2所示该安全漏洞防护方法可以包括以下步骤:
201、获取现有安全漏洞的信息,该现有安全漏洞的信息至少包括现有安全漏洞和对应现有安全漏洞的非法网络请求。
本发明实施例中,可以理解,上述现有安全漏洞指java系统(基于java编辑而成的系统,如企业管理系统)中已被发现的安全策略上存在的缺陷,是java系统无意中留下的不受保护的入口点,从而使攻击者能够在未授权的情况下访问或破坏java系统。其中,现有安全漏洞可以包括代码注入、会话固定、路径访问、弱密码以及硬编码加密密钥等常见的安全漏洞,还可以包括其他非常见安全漏洞,本发明实施例不作限定。
本发明实施例中,上述非法网络请求可以指能利用现有安全漏洞对java系统的系统安全造成威胁的网络请求。
202、将上述现有安全漏洞的信息保存至防护数据库。
本发明实施例中,上述防护数据库可以是为存储安全漏洞的相关信息而建立的数据库。可以理解,当系统出现安全漏洞时,很容易被外部的非法网络请求攻击,分析现有安全漏洞,将每一个现有安全漏洞对应的非法网络请求保存至安全漏洞防护数据库时,能够为后续拦截非法网络请求提供基础信息。
203、创建防护接口以对接java系统。
本发明实施例中,上述防护接口可以对接多个java系统,进而能够将防护数据库中的信息应用于多个java系统,应用广泛。
204、通过上述防护接口实时检测是否有发送给java系统的网络请求。
205、当检测到网络请求时,调用防护数据库以判断网络请求是否属于非法网络请求;若是,执行步骤206;若否,结束本流程。
206、拦截上述网络请求。
本发明实施例中,通过上述防护接口对发送给java系统的网络请求进行筛查,并拦截非法网络请求,提高java系统的安全性。
作为一种可选的实施方式,在步骤206之后,还可以包括以下步骤:
获取上述网络请求的危险等级;在显示界面显示拦截通知信息,其中,若该网络请求的危险等级低于指定的危险等级阈值,该拦截通知信息中包括用于允许接入上述网络请求的链接。
可见,实施本实施方式,当网络请求的危险等级较低时,可以人为允许网络请求的接入,满足用户的一些特定需求。
可见,实施图2所描述的方法,将现有安全漏洞和对应现有安全漏洞的非法网络请求保存在防护数据库中,当在防护接口发现发送给java系统的网络请求时,调用防护数据库来判断判断该网络请求是否属于非法网络请求,并在判定该网络请求为非法网络请求时进行拦截,以防止该网络请求通过java系统的安全漏洞攻击该java系统,从而提高java系统的安全性。
实施例三
请参阅图3,图3是本发明实施例公开的另一种安全漏洞防护方法的流程示意图。如图3所示,该安全漏洞防护方法可以包括以下步骤:
301、获取现有安全漏洞的信息,该现有安全漏洞的信息至少包括现有安全漏洞和对应现有安全漏洞的非法网络请求。
302、将上述现有安全漏洞的信息保存至防护数据库。
303、创建防护接口以对接java系统,并通过上述防护接口实时检测是否有发送给java系统的网络请求。
304、当检测到网络请求时,调用防护数据库以判断网络请求是否属于非法网络请求;若是,执行步骤306;若否,执行步骤305~步骤308。
305、解析网络请求以判断网络请求中是否包括现有安全漏洞对应的敏感信息;若是,执行步骤306~步骤308;若否,结束本流程。
本发明实施例中,上述敏感信息可以是存在一定几率会对java系统造成安全威胁的信息,可以包括敏感代码等;敏感信息可以预先进行设置。
作为一种可选的实施方式,上述现有安全漏洞信息还包括现有安全漏洞的漏洞代码,在步骤301之后,该安全漏洞防护方法还可以包括以下步骤:
分析上述漏洞代码,获得现有安全漏洞对应的敏感信息;为该敏感信息设置危险等级;根据敏感信息以及敏感信息的危险等级建立敏感信息参考树;
步骤305可以包括:
解析网络请求,获得网络请求包括的若干个子信息;通过遍历敏感信息参考树检索若干个子信息,以判断网络请求中是否包括现有安全漏洞对应的敏感信息。
可以理解,所谓遍历,是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。实施本实施方式,采用遍历方式访问安全漏洞防护数据库中的敏感信息参考树,可以避免重复访问,进而加快判断网络请求中是否包括敏感信息的速率。
306、拦截上述网络请求。
实施步骤305~步骤306,在判定上述网络请求不属于非法网络请求后,检测网络请求中是否存在敏感信息,并拦截存在敏感信息的网络请求,能够进一步地提高java系统的安全性。
307、将网络请求发送至虚拟java系统,以检验网络请求是否攻击虚拟java系统;若是,执行步骤308;若否,结束本流程。
本发明实施例中,可以理解,上述虚拟java系统可以是根据java系统的特性建立的一个虚拟系统,用于检验接收到网络请求是否存在攻击行为。
308、将网络请求作为新增的非法网络请求保存至防护数据库。
本发明实施例中,可以理解,随着时间的流逝,不断会有新的安全漏洞出现,针对现有安全漏洞的非法网络请求也并不是一成不变的,实施步骤307~步骤308,可以及时发现新的非法网络请求,不断完善防护数据库中非法网络请求的数据储备,进而能够更好的防止java系统受到非法网络请求的攻击。
可见,实施图3所描述的方法,将现有安全漏洞和对应现有安全漏洞的非法网络请求保存在防护数据库中,当在防护接口发现发送给java系统的网络请求时,调用防护数据库来判断判断该网络请求是否属于非法网络请求,并在判定该网络请求为非法网络请求时进行拦截,以防止该网络请求通过java系统的安全漏洞攻击该java系统,从而提高java系统的安全性。此外,拦截存在敏感信息的网络请求,能够进一步地提高java系统的安全性。此外,不断完善防护数据库中非法网络请求的数据储备,进而能够更好的防止java系统受到非法网络请求的攻击。
实施例四
请参阅图4,图4是本发明实施例公开的又一种安全漏洞防护方法的流程示意图。如图4所示该安全漏洞防护方法可以包括以下步骤:
401、获取现有安全漏洞的信息,该现有安全漏洞的信息至少包括现有安全漏洞和对应现有安全漏洞的非法网络请求。
402、将上述现有安全漏洞的信息保存至防护数据库。
403、获取现有安全漏洞对应的解决方案,并保存至防护数据库。
本发明实施例中,可以理解,对于现有安全漏洞,在分析得到解决方案后,将现有安全漏洞对应的解决方案,保存至防护数据库中进行统一管理,能够避免重复分析同一个安全漏洞的情况。
404、创建防护接口以对接java系统,并通过上述防护接口实时检测是否有发送给java系统的网络请求。
405、当检测到网络请求时,调用防护数据库以判断网络请求是否属于非法网络请求;若是,执行步骤406~步骤411;若否,结束本流程。
406、拦截上述网络请求。
作为一种可选的实施方式,在步骤406之后,还可以包括以下步骤:
获取发送上述网络请求的互联网协议地址;判断灰名单中是否存在该互联网协议地址;若否,将该互联网协议地址标加入灰名单;若是,更新灰名单中记录的该互联网协议地址发送非法网络请求的次数,在该次数大于指定的次数阈值时,将该互联网协议地址标加入黑名单,以使得后续拦截该互联网协议地址发送的网络请求。
可以理解,互联网协议地址可以反映网络请求的来源,当同一个互联网协议地址多次向java系统发送非法网络请求时,可以认为是一种恶意骚扰或攻击行为,上述灰名单中存储有给java系统发送过非法网络请求的互联网协议地址,黑名单中存储的互联网协议地址发送的网络请求将直接被拦截;可见,实施本实施方式,可以进一步提高java系统的安全性。
407、按照预设周期向java系统发送安全漏洞检测请求信息。
408、当接收到java系统反馈的对应安全漏洞检测请求信息的同意信息时,调用防护数据库以检测java系统是否存在安全漏洞;若是,执行步骤409~步骤411;若否,结束本流程。
409、向java系统发送提示信息,该提示信息指示java系统存在安全漏洞。
410、确定出java系统中存在的目标安全漏洞;
411、从防护数据库中查找目标安全漏洞对应的目标解决方案,并将目标解决方案推送至java系统。
实施步骤407~步骤411,定时对java系统进行检测,能够排查出java系统出现的安全漏洞,进一步的,从防护数据库获取相应的解决方案推送给java系统,能够提高java 项目修复排查到的安全漏洞的速率。
作为一种可选的实施方式,上述将目标解决方案推送至java系统可以包括:
获取java系统的兼容参数;根据java系统的兼容参数以及目标解决方案生成修复补丁;将修复补丁推送至java系统。
可以理解,不同java系统的兼容性是不同的,在生成针对java系统存在的目标安全漏洞的修复补丁时,需要将java系统的兼容参数纳入考虑范围,实施本实施方式,java系统能够根据接收到的修复补丁直接修复其存在的目标安全漏洞,方便快捷。
可见,实施图4所描述的方法,将现有安全漏洞和对应现有安全漏洞的非法网络请求保存在防护数据库中,当在防护接口发现发送给java系统的网络请求时,调用防护数据库来判断判断该网络请求是否属于非法网络请求,并在判定该网络请求为非法网络请求时进行拦截,以防止该网络请求通过java系统的安全漏洞攻击该java系统,从而提高java系统的安全性。此外,将现有安全漏洞对应的解决方案,保存至防护数据库中进行统一管理,能够避免重复分析同一个安全漏洞的情况。此外,定时对java系统进行检测,并在检测到java系统存在安全漏洞时推送相应的解决方案给java系统,能够提高java 项目修复排查到的安全漏洞的速率。
实施例五
请参阅图5,图5是本发明实施例公开的一种安全漏洞防护系统的结构示意图。如图5所示,该安全漏洞防护系统可以包括:获取单元501、第一保存单元502、创建单元503、第一检测单元504、第一判断单元505以及拦截单元506,其中,
获取单元501,用于获取现有安全漏洞的信息,该现有安全漏洞的信息至少包括现有安全漏洞和对应现有安全漏洞的非法网络请求;
第一保存单元502,用于将现有安全漏洞的信息保存至防护数据库;
创建单元503,用于创建防护接口以对接java系统;
第一检测单元504,用于通过防护接口实时检测是否有发送给java系统的网络请求;
第一判断单元505,用于在检测到网络请求时,调用防护数据库以判断网络请求是否属于非法网络请求;
拦截单元506,用于在第一判断单元505判定网络请求属于非法网络请求时,拦截网络请求。
作为一种可选的实施方式,拦截单元506,还用于在拦截网络请求之后,获取上述网络请求的危险等级;在显示界面显示拦截通知信息,其中,若该网络请求的危险等级低于指定的危险等级阈值,该拦截通知信息中包括用于允许接入上述网络请求的链接。
可见,实施本实施方式,当网络请求的危险等级较低时,可以人为允许网络请求的接入,满足用户的一些特定需求。
可见,实施图5所描述的安全漏洞防护系统,将现有安全漏洞和对应现有安全漏洞的非法网络请求保存在防护数据库中,当在防护接口发现发送给java系统的网络请求时,调用防护数据库来判断判断该网络请求是否属于非法网络请求,并在判定该网络请求为非法网络请求时进行拦截,以防止该网络请求通过java系统的安全漏洞攻击该java系统,从而提高java系统的安全性。
实施例六
请参阅图6,图6是本发明实施例公开的另一种安全漏洞防护系统的结构示意图。图6所示的安全漏洞防护系统是由图5所示的安全漏洞防护系统进行优化得到的。与图5所示的安全漏洞防护系统相比较,图6所示的安全漏洞防护系统还可以包括:第二判断单元507、检验单元508、第二保存单元509、分析单元510、设置单元511以及建立单元512,其中,
第二判断单元507,用于在第一判断单元505判定网络请求不属于非法网络请求,解析网络请求以判断网络请求中是否包括现有安全漏洞对应的敏感信息;
拦截单元506,还用于在第二判断单元507判定网络请求中包括现有安全漏洞对应的敏感信息时,拦截网络请求。
检验单元508,用于在若网络请求中包括现有安全漏洞对应的敏感信息,拦截网络请求之后,将网络请求发送至虚拟java系统,以检验网络请求是否攻击虚拟java系统;
第二保存单元509,用于在检验单元508检验到网络请求攻击虚拟java系统后,将该网络请求作为新增的非法网络请求保存至防护数据库。
作为一种可选的实施方式,现有安全漏洞信息还包括现有安全漏洞的漏洞代码,图6所示的安全漏洞防护系统还可以包括:
分析单元510,用于获取现有安全漏洞的信息之后,分析漏洞代码,获得现有安全漏洞对应的敏感信息;
设置单元511,用于为敏感信息设置危险等级;
建立单元512,用于根据敏感信息以及敏感信息的危险等级建立敏感信息参考树;
第二判断单元507用于解析网络请求以判断网络请求中是否包括现有安全漏洞对应的敏感信息的方式具体可以为:
第二判断单元507,用于解析网络请求,获得网络请求包括的若干个子信息;以及通过遍历敏感信息参考树检索若干个子信息,以判断网络请求中是否包括现有安全漏洞对应的敏感信息。
可见,实施本实施方式,采用遍历方式访问安全漏洞防护数据库中的敏感信息参考树,可以避免重复访问,进而加快判断网络请求中是否包括敏感信息的速率。
可见,实施图6所描述的安全漏洞防护系统,将现有安全漏洞和对应现有安全漏洞的非法网络请求保存在防护数据库中,当在防护接口发现发送给java系统的网络请求时,调用防护数据库来判断判断该网络请求是否属于非法网络请求,并在判定该网络请求为非法网络请求时进行拦截,以防止该网络请求通过java系统的安全漏洞攻击该java系统,从而提高java系统的安全性。此外,拦截存在敏感信息的网络请求,能够进一步地提高java系统的安全性。此外,不断完善防护数据库中非法网络请求的数据储备,进而能够更好的防止java系统受到非法网络请求的攻击。
实施例七
请参阅图7,图7是本发明实施例公开的又一种安全漏洞防护系统的结构示意图。图7所示的安全漏洞防护系统是由图6所示的安全漏洞防护系统进行优化得到的。与图6所示的安全漏洞防护系统相比较,图7所示的安全漏洞防护系统还可以包括:发送单元513、第二检测单元514、确定单元515、查找单元516以及推送单元517,其中,
发送单元513,用于按照预设周期向java系统发送安全漏洞检测请求信息;
第二检测单元514,用于当接收到java系统反馈的对应安全漏洞检测请求信息的同意信息时,调用防护数据库以检测java系统是否存在安全漏洞;
发送单元513,还用于在第二检测单元514检测到java系统存在安全漏洞时,向java系统发送提示信息,该提示信息指示java系统存在安全漏洞。
获取单元501,还用于在将现有安全漏洞的信息保存至防护数据库之后,获取现有安全漏洞对应的解决方案,并保存至防护数据库;
确定单元515,用于在向java系统发送提示信息之后,确定出java系统中存在的目标安全漏洞;
查找单元516,用于从防护数据库中查找目标安全漏洞对应的目标解决方案;
推送单元517,用于将目标解决方案推送至java系统。
作为一种可选的实施方式,推送单元517用于将目标解决方案推送至java系统的方式具体可以为:
推送单元517,用于获取java系统的兼容参数;以及根据java系统的兼容参数以及目标解决方案生成修复补丁;以及将修复补丁推送至java系统。
可见,实施本实施方式,java系统能够根据接收到的修复补丁直接修复其存在的目标安全漏洞,方便快捷。
作为一种可选的实施方式,拦截单元506,还用于在拦截网络请求之后,获取发送上述网络请求的互联网协议地址;判断灰名单中是否存在该互联网协议地址;以及,在判定灰名单中不存在该互联网协议地址时,将该互联网协议地址标加入灰名单;以及,以及在判定灰名单中不存在该互联网协议地址时,更新灰名单中记录的该互联网协议地址发送非法网络请求的次数,在该次数大于指定的次数阈值时,将该互联网协议地址标加入黑名单,以使得后续拦截该互联网协议地址发送的网络请求。
可以理解,互联网协议地址可以反映网络请求的来源,当同一个互联网协议地址多次向java系统发送非法网络请求时,可以认为是一种恶意骚扰或攻击行为,上述灰名单中存储有给java系统发送过非法网络请求的互联网协议地址,黑名单中存储的互联网协议地址发送的网络请求将直接被拦截;可见,实施本实施方式,可以进一步提高java系统的安全性。
可见,实施图7所描述的安全漏洞防护系统,将现有安全漏洞和对应现有安全漏洞的非法网络请求保存在防护数据库中,当在防护接口发现发送给java系统的网络请求时,调用防护数据库来判断判断该网络请求是否属于非法网络请求,并在判定该网络请求为非法网络请求时进行拦截,以防止该网络请求通过java系统的安全漏洞攻击该java系统,从而提高java系统的安全性。此外,将现有安全漏洞对应的解决方案,保存至防护数据库中进行统一管理,能够避免重复分析同一个安全漏洞的情况。此外,定时对java系统进行检测,并在检测到java系统存在安全漏洞时推送相应的解决方案给java系统,能够提高java 项目修复排查到的安全漏洞的速率。
本发明还提供一种电子设备,该电子设备包括:
处理器;
存储器,该存储器上存储有计算机可读指令,该计算机可读指令被处理器执行时,实现如前所示的安全漏洞防护方法。
该电子设备可以是图1所示装置100。
在一示例性实施例中,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,实现如前所示的安全漏洞防护方法。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围执行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (8)
1.一种安全漏洞防护方法,其特征在于,所述方法包括:
获取现有安全漏洞的信息,所述现有安全漏洞的信息至少包括现有安全漏洞、所述现有安全漏洞的漏洞代码和对应所述现有安全漏洞的非法网络请求;
分析所述漏洞代码,获得所述现有安全漏洞对应的敏感信息;
为所述敏感信息设置危险等级;
根据所述敏感信息以及所述敏感信息的危险等级建立敏感信息参考树;
将所述现有安全漏洞的信息保存至防护数据库;
创建防护接口以对接java系统;
通过所述防护接口实时检测是否有发送给所述java系统的网络请求;
当检测到所述网络请求时,调用所述防护数据库以判断所述网络请求是否属于非法网络请求;
若所述网络请求属于所述非法网络请求,拦截所述网络请求;
若所述网络请求不属于所述非法网络请求,解析所述网络请求,获得所述网络请求包括的若干个子信息;
通过遍历所述敏感信息参考树检索所述若干个子信息,以判断所述网络请求中是否包括所述现有安全漏洞对应的敏感信息;
若所述网络请求中包括所述现有安全漏洞对应的敏感信息,拦截所述网络请求。
2.根据权利要求1所述的方法,其特征在于,所述若所述网络请求中包括所述现有安全漏洞对应的敏感信息,拦截所述网络请求之后,所述方法还包括:
将所述网络请求发送至虚拟java系统,以检验所述网络请求是否攻击所述虚拟java系统;
若是,将所述网络请求作为新增的非法网络请求保存至所述防护数据库。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
按照预设周期向所述java系统发送安全漏洞检测请求信息;
当接收到所述java系统反馈的对应所述安全漏洞检测请求信息的同意信息时,调用所述防护数据库以检测所述java系统是否存在安全漏洞;
若是,向所述java系统发送提示信息,所述提示信息指示所述java系统存在所述安全漏洞。
4.根据权利要求3所述的方法,其特征在于,所述将所述现有安全漏洞的信息保存至防护数据库之后,所述方法还包括:
获取所述现有安全漏洞对应的解决方案,并保存至所述防护数据库;
所述向所述java系统发送提示信息之后,所述方法还包括:
确定出所述java系统中存在的目标安全漏洞;
从所述防护数据库中查找所述目标安全漏洞对应的目标解决方案;
将所述目标解决方案推送至所述java系统。
5.根据权利要求4所述的方法,其特征在于,所述将所述目标解决方案推送至所述java系统,包括:
获取所述java系统的兼容参数;
根据所述java系统的兼容参数以及所述目标解决方案生成修复补丁;
将所述修复补丁推送至所述java系统。
6.一种安全漏洞防护系统,其特征在于,所述系统包括:
获取单元,用于获取现有安全漏洞的信息,所述现有安全漏洞的信息至少包括现有安全漏洞、所述现有安全漏洞的漏洞代码和对应所述现有安全漏洞的非法网络请求;分析所述漏洞代码,获得所述现有安全漏洞对应的敏感信息;为所述敏感信息设置危险等级;根据所述敏感信息以及所述敏感信息的危险等级建立敏感信息参考树;
第一保存单元,用于将所述现有安全漏洞的信息保存至防护数据库;
创建单元,用于创建防护接口以对接java系统;
第一检测单元,用于通过所述防护接口实时检测是否有发送给所述java系统的网络请求;
第一判断单元,用于在检测到所述网络请求时,调用所述防护数据库以判断所述网络请求是否属于非法网络请求;
第二判断单元,用于在所述第一判断单元判定所述网络请求不属于所述非法网络请求时,解析所述网络请求,获得所述网络请求包括的若干个子信息;通过遍历所述敏感信息参考树检索所述若干个子信息,以判断所述网络请求中是否包括所述现有安全漏洞对应的敏感信息;
拦截单元,用于在所述第一判断单元判定所述网络请求属于所述非法网络请求时,或者在所述第二判断单元判定所述网络请求中包括所述现有安全漏洞对应的敏感信息时,拦截所述网络请求。
7.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1~5中任一项所述的安全漏洞防护方法的步骤。
8.一种计算机可读存储介质,其特征在于,其存储计算机程序,所述计算机程序使得计算机执行权利要求1~5任一项所述的安全漏洞防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910636909.9A CN110472418B (zh) | 2019-07-15 | 2019-07-15 | 一种安全漏洞防护方法及系统、相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910636909.9A CN110472418B (zh) | 2019-07-15 | 2019-07-15 | 一种安全漏洞防护方法及系统、相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110472418A CN110472418A (zh) | 2019-11-19 |
| CN110472418B true CN110472418B (zh) | 2023-08-29 |
Family
ID=68508612
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910636909.9A Active CN110472418B (zh) | 2019-07-15 | 2019-07-15 | 一种安全漏洞防护方法及系统、相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110472418B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115632882B (zh) * | 2022-12-15 | 2023-05-23 | 北京市大数据中心 | 非法网络攻击检测方法、计算机设备及介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1421771A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种有效防御未知攻击手法的网络入侵安全防御系统 |
| CN102137059A (zh) * | 2010-01-21 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| CN105404816A (zh) * | 2015-12-24 | 2016-03-16 | 北京奇虎科技有限公司 | 基于内容的漏洞检测方法及装置 |
| CN106845208A (zh) * | 2017-02-13 | 2017-06-13 | 北京奇虎科技有限公司 | 异常应用控制方法、装置和终端设备 |
| CN108259478A (zh) * | 2017-12-29 | 2018-07-06 | 中国电力科学研究院有限公司 | 基于工控终端设备接口hook的安全防护方法 |
| CN108512841A (zh) * | 2018-03-23 | 2018-09-07 | 四川长虹电器股份有限公司 | 一种基于机器学习的智能防御系统及防御方法 |
| CN108830084A (zh) * | 2018-06-12 | 2018-11-16 | 国网江苏省电力有限公司无锡供电分公司 | 实现计算机信息安全防护漏洞扫描与防护加固的手持式终端及防护方法 |
| CN108898020A (zh) * | 2018-05-31 | 2018-11-27 | 深圳壹账通智能科技有限公司 | 基于代理端的漏洞检测方法、装置、移动终端和存储介质 |
| CN108965327A (zh) * | 2018-08-21 | 2018-12-07 | 中国平安人寿保险股份有限公司 | 检测系统漏洞的方法、装置、计算机设备以及存储介质 |
| CN109087648A (zh) * | 2018-08-21 | 2018-12-25 | 平安科技(深圳)有限公司 | 柜台语音监控方法、装置、计算机设备及存储介质 |
| CN109428878A (zh) * | 2017-09-01 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、检测装置和检测系统 |
| CN109922062A (zh) * | 2019-03-04 | 2019-06-21 | 腾讯科技(深圳)有限公司 | 源代码泄露监控方法及相关设备 |
| CN109918947A (zh) * | 2019-03-14 | 2019-06-21 | 哈尔滨工程大学 | 一种基于社交网络组合度-邻域标签匹配攻击的敏感标签保护方法 |
| CN110008470A (zh) * | 2019-03-19 | 2019-07-12 | 阿里巴巴集团控股有限公司 | 报表的敏感性分级方法和装置 |
-
2019
- 2019-07-15 CN CN201910636909.9A patent/CN110472418B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1421771A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种有效防御未知攻击手法的网络入侵安全防御系统 |
| CN102137059A (zh) * | 2010-01-21 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| CN105404816A (zh) * | 2015-12-24 | 2016-03-16 | 北京奇虎科技有限公司 | 基于内容的漏洞检测方法及装置 |
| CN106845208A (zh) * | 2017-02-13 | 2017-06-13 | 北京奇虎科技有限公司 | 异常应用控制方法、装置和终端设备 |
| CN109428878A (zh) * | 2017-09-01 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、检测装置和检测系统 |
| CN108259478A (zh) * | 2017-12-29 | 2018-07-06 | 中国电力科学研究院有限公司 | 基于工控终端设备接口hook的安全防护方法 |
| CN108512841A (zh) * | 2018-03-23 | 2018-09-07 | 四川长虹电器股份有限公司 | 一种基于机器学习的智能防御系统及防御方法 |
| CN108898020A (zh) * | 2018-05-31 | 2018-11-27 | 深圳壹账通智能科技有限公司 | 基于代理端的漏洞检测方法、装置、移动终端和存储介质 |
| CN108830084A (zh) * | 2018-06-12 | 2018-11-16 | 国网江苏省电力有限公司无锡供电分公司 | 实现计算机信息安全防护漏洞扫描与防护加固的手持式终端及防护方法 |
| CN109087648A (zh) * | 2018-08-21 | 2018-12-25 | 平安科技(深圳)有限公司 | 柜台语音监控方法、装置、计算机设备及存储介质 |
| CN108965327A (zh) * | 2018-08-21 | 2018-12-07 | 中国平安人寿保险股份有限公司 | 检测系统漏洞的方法、装置、计算机设备以及存储介质 |
| CN109922062A (zh) * | 2019-03-04 | 2019-06-21 | 腾讯科技(深圳)有限公司 | 源代码泄露监控方法及相关设备 |
| CN109918947A (zh) * | 2019-03-14 | 2019-06-21 | 哈尔滨工程大学 | 一种基于社交网络组合度-邻域标签匹配攻击的敏感标签保护方法 |
| CN110008470A (zh) * | 2019-03-19 | 2019-07-12 | 阿里巴巴集团控股有限公司 | 报表的敏感性分级方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110472418A (zh) | 2019-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10264104B2 (en) | Systems and methods for malicious code detection accuracy assurance | |
| US11086983B2 (en) | System and method for authenticating safe software | |
| US20140380478A1 (en) | User centric fraud detection | |
| US20160119344A1 (en) | System and method for web application security | |
| US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
| US11411965B2 (en) | Method and system of attack detection and protection in computer systems | |
| US20210021637A1 (en) | Method and system for detecting and mitigating network breaches | |
| CN110598411A (zh) | 敏感信息检测方法、装置、存储介质和计算机设备 | |
| US11805152B2 (en) | Domain specific language for defending against a threat-actor and adversarial tactics, techniques, and procedures | |
| Mansfield-Devine | Android architecture: attacking the weak points | |
| US11711383B2 (en) | Autonomous generation of attack signatures to detect malicious network activity | |
| CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
| Garg et al. | Analysis of software vulnerability classification based on different technical parameters | |
| CN115378686A (zh) | 一种工控网络的沙盒应用方法、装置及存储介质 | |
| CN104038488A (zh) | 系统网络安全的防护方法及装置 | |
| CN106302531B (zh) | 安全防护方法、装置及终端设备 | |
| CN110472418B (zh) | 一种安全漏洞防护方法及系统、相关设备 | |
| Falade et al. | Vulnerability analysis of digital banks' mobile applications | |
| CN113596044A (zh) | 一种网络防护方法、装置、电子设备及存储介质 | |
| KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
| Riadi et al. | Vulnerability of injection attacks against the application security of framework based websites open web access security project (OWASP) | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| US11693651B1 (en) | Static and dynamic correlation of software development pipeline events | |
| KR20160142268A (ko) | 웹 사이트의 악성코드 탐지 및 차단 시스템 | |
| WO2019027106A1 (ko) | 머신러닝을 이용한 악성코드 유포지 위험도 분석 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |