CN110572399B - 漏洞检测处理方法、装置、设备及存储介质 - Google Patents
漏洞检测处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110572399B CN110572399B CN201910853150.XA CN201910853150A CN110572399B CN 110572399 B CN110572399 B CN 110572399B CN 201910853150 A CN201910853150 A CN 201910853150A CN 110572399 B CN110572399 B CN 110572399B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- scanning
- detected
- updated
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了漏洞检测处理方法、装置、设备及存储介质,涉及安全技术领域。具体方法的实现方案包括:获取待检测对象的属性信息;根据所述属性信息,确定所述待检测对象是否发生更新;如果所述待检测对象发生更新时,利用第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,所述第一扫描模块为所述漏洞扫描平台的云端扫描模块;利用预设的漏洞启发规则,对所述第一扫描结果进行识别处理,得到所述更新后的待检测对象的第一漏洞识别结果。本方案通过确定待检测对象是否发生更新,并利用预设的漏洞启发规则,对更新后的待检测对象进行漏洞检测处理,能够有效提高漏洞识别的准确率。
Description
技术领域
本申请涉及安全技术领域,尤其是一种漏洞检测处理方法、装置、设备及存储介质。
背景技术
随着车联网技术的迅速发展,车辆的车载设备通过云端服务器与用户的移动终端设备进行通信连接,用户通过移动终端设备控制车载设备的应用变得越来越普遍。
现有技术中,在进行车辆漏洞识别时,通过对车辆组件以及车辆组件与云端服务器进行通信的通信数据包进行漏洞扫描,得到漏洞扫描结果;把得到的漏洞扫描结果和现有的漏洞库去比对,如果在现有的漏洞库中发现与漏洞扫描结果匹配的漏洞,确定车辆组件或云端服务器存在安全漏洞。
然而,利用该种方法进行车辆漏洞识别,只能识别现有的漏洞库中存在的已知漏洞。如果现有的漏洞库中不存在与漏洞扫描结果匹配的漏洞,则无法识别出车辆组件或云端服务器中的漏洞,漏洞识别精度低,漏洞识别能力有限,安全隐患大。
发明内容
本申请实施例提供一种漏洞检测处理方法、装置、设备及存储介质,用于解决现有漏洞识别技术存在的漏洞识别精度低的问题。
第一方面,本申请提供了一种漏洞检测处理方法,所述方法应用于漏洞扫描平台,包括:
获取待检测对象的属性信息;
根据所述属性信息,确定所述待检测对象是否发生更新;
如果所述待检测对象发生更新,利用第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,所述第一扫描模块为所述漏洞扫描平台的云端扫描模块;
利用预设的漏洞启发规则,对所述第一扫描结果进行识别处理,得到所述更新后的待检测对象的第一漏洞识别结果。
通过确定待检测对象是否发生更新,并利用预设的漏洞启发规则,对发生更新的待检测对象进行漏洞检测处理,实现了对未知版本的待检测对象的漏洞检测,能够有效提高漏洞检测的准确率。
进一步地,所述待检测对象是以下任意一种或几种:系统、应用程序和通信协议;
所述系统为车载设备运行的系统;
所述应用程序包括所述车载设备安装的第一应用程序、用户移动终端设备安装的用于控制所述车载设备的第二应用程序,和云端服务器首次接入的第三应用程序;
所述通信协议包括所述车载设备通信时所使用的第一通信协议,和所述云端服务器通信时所使用的第二通信协议;
获取待检测对象的属性信息,包括:
如果所述待检测对象为所述系统或所述应用程序,获取所述系统或所述应用程序的版本信息;
如果所述待检测对象为所述通信协议,获取所述通信协议的通信数据包。
通过获取车辆组件中的待检测对象的属性信息,确定车辆组件中的待检测对象是否发生更新,确定方法简单可靠。
进一步地,根据所述属性信息,确定所述待检测对象是否发生更新,包括:
根据所述版本信息,如果所述版本信息发生更新,确定所述版本信息对应的所述系统或所述应用程序发生更新;
根据所述通信数据包,如果所述通信数据包中的数据段发生更新,确定所述通信协议发生更新。
在漏洞检测前确定车辆组件中的待检测对象是否发生更新,并根据待检测对象是否发生更新,采用有区别的漏洞检测处理方法,能够有效提高漏洞检测的准确率。
进一步地,利用预设的漏洞启发规则,对所述第一扫描结果进行识别处理,得到所述更新后的待检测对象的第一漏洞识别结果,包括:
根据所述第一扫描结果对应的所述待检测对象的扫描位置,对所述第一扫描结果进行分类处理,得到至少一个第一待识别对象;
提取每一个第一待识别对象的至少一个第一结构特征,并确定每一个第一待识别对象的至少一个第一结构特征与已知漏洞的第二结构特征间的第一相似度,所述已知漏洞与所述第一待识别对象对应相同的扫描位置;
如果所述第一相似度超过设定阈值,确定所述已知漏洞为对应的所述第一待识别对象的漏洞识别结果,所有所述第一待识别对象的漏洞识别结果构成所述第一漏洞识别结果。
根据由已知漏洞的结构特征生成的漏洞启发规则,对发生更新的待检测对象进行漏洞识别,实现了对未知版本的待检测对象的漏洞检测,能够有效提高漏洞检测的准确率。
进一步地,所述方法还包括:如果所述待检测对象未发生更新,利用第二扫描模块对所述待检测对象进行漏洞扫描,得到第二扫描结果,所述第二扫描模块为所述漏洞扫描平台中设置的本地扫描模块;
利用所述漏洞扫描平台的本地漏洞库,对所述第二扫描结果进行匹配处理,并将匹配到的与所述第二扫描结果对应的已知漏洞,作为第二漏洞识别结果。
在确定待检测对象未发生更新后,再利用本地扫描模块和本地漏洞库,对已知版本的待检测对象进行漏洞检测处理,能够有效提高漏洞检测的准确率和置信度。
进一步地,如果所述本地漏洞库中无法匹配到与所述第二扫描结果对应的已知漏洞,所述方法还包括:
根据所述第二扫描结果对应的所述待检测对象的扫描位置,对所述第二扫描结果进行分类处理,得到至少一个第二待识别对象;
提取每一个第二待识别对象的至少一个第三结构特征,并确定每一个第二待识别对象的至少一个第三结构特征之间的第二相似度;
如果所述第二相似度低于设定阈值,确定对应的所述第二待识别对象存在安全漏洞。
如果未发生更新的待检测对象中不存在已知漏洞,进一步利用第二扫描结果的结构特征做出是否存在安全漏洞的预测,能够进一步保证漏洞检测的准确率,和进一步保证车辆的安全运行。
进一步地,所述方法还包括利用所述第一漏洞识别结果或第二漏洞识别结果,更新所述第一漏洞扫描模块、第二漏洞扫描模块和本地漏洞库。
利用确定出的漏洞识别结果,更新已知漏洞信息和已知漏洞的检测方法,有利于提高漏洞检测的效率和准确率。
进一步地,所述方法包括:在确定出漏洞识别结果后,对所述待检测对象中存在的漏洞进行修补处理。
在确定出待检测对象的漏洞识别结果后,对待检测对象中存在的漏洞进行修补处理,可以有效保证车辆的安全运行。
第二方面,本申请提供了一种漏洞检测处理装置,所述装置应用于漏洞扫描平台,包括:
获取单元,用于获取待检测对象的属性信息;
第一处理单元,用于根据所述属性信息,确定所述待检测对象是否发生更新;
第二处理单元,用于如果所述待检测对象发生更新,利用第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,所述第一扫描模块为所述漏洞扫描平台的云端扫描模块;
第三处理单元,用于利用预设的漏洞启发规则,对所述第一扫描结果进行识别处理,得到所述更新后的待检测对象的第一漏洞识别结果。
进一步地,所述待检测对象是以下任意一种或几种:系统、应用程序和通信协议;
所述系统为车载设备运行的系统;
所述应用程序包括所述车载设备安装的第一应用程序、用户移动终端设备安装的用于控制所述车载设备的第二应用程序,和云端服务器首次接入的第三应用程序;
所述通信协议包括所述车载设备通信时所使用的第一通信协议,和所述云端服务器通信时所使用的第二通信协议;
所述获取单元,包括:
第一获取子单元,用于如果所述待检测对象为所述系统或所述应用程序,获取所述系统或所述应用程序的版本信息;
第二获取子单元,用于如果所述待检测对象为所述通信协议,获取所述通信协议的通信数据包。
进一步地,所述第一处理单元,包括:
第一处理子单元,用于根据所述版本信息,如果所述版本信息发生更新,确定所述版本信息对应的所述系统或所述应用程序发生更新;
第二处理子单元,用于根据所述通信数据包,如果所述通信数据包中的数据段发生更新,确定所述通信协议发生更新。
进一步地,所述第三处理单元,包括:
第三处理子单元,用于根据所述第一扫描结果对应的所述待检测对象的扫描位置,对所述第一扫描结果进行分类处理,得到至少一个第一待识别对象;
第四处理子单元,用于提取每一个第一待识别对象的至少一个第一结构特征,并确定每一个第一待识别对象的至少一个第一结构特征与已知漏洞的第二结构特征间的第一相似度,所述已知漏洞与所述第一待识别对象对应相同的扫描位置;
第五处理子单元,用于如果所述第一相似度超过设定阈值,确定所述已知漏洞为对应的所述第一待识别对象的漏洞识别结果,所有所述第一待识别对象的漏洞识别结果构成所述第一漏洞识别结果。
进一步地,所述装置还包括:
第四处理单元,用于如果所述待检测对象未发生更新,利用第二扫描模块对所述待检测对象进行漏洞扫描,得到第二扫描结果,所述第二扫描模块为所述漏洞扫描平台中设置的本地扫描模块;
第五处理单元,用于利用所述漏洞扫描平台的本地漏洞库,对所述第二扫描结果进行匹配处理,并将匹配到的与所述第二扫描结果对应的已知漏洞,作为第二漏洞识别结果。
进一步地,如果所述本地漏洞库中无法匹配到与所述第二扫描结果对应的已知漏洞,所述装置还包括:
第六处理单元,用于根据所述第二扫描结果对应的所述待检测对象的扫描位置,对所述第二扫描结果进行分类处理,得到至少一个第二待识别对象;
第七处理单元,用于提取每一个第二待识别对象的至少一个第三结构特征,并确定每一个第二待识别对象的至少一个第三结构特征之间的第二相似度;
第八处理单元,用于如果所述第二相似度低于设定阈值,确定对应的所述第二待识别对象存在安全漏洞。
进一步地,所述装置还包括:
第九处理单元,用于利用所述第一漏洞识别结果或第二漏洞识别结果,更新所述第一漏洞扫描模块、第二漏洞扫描模块和本地漏洞库。
进一步地,所述装置包括:
第十处理单元,用于在确定出漏洞识别结果后,对所述待检测对象中存在的漏洞进行修补处理。
第三方面,本申请提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行第一方面中任一项所述的方法。
第四方面,本申请提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行第一方面中任一项所述的方法。
上述申请中的一个实施例具有如下优点或有益效果:漏洞检测准确率得以有效提升。因为采用了获取待检测对象的属性信息;根据属性信息,确定待检测对象是否发生更新;如果待检测对象发生更新,利用第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,第一扫描模块为漏洞扫描平台的云端扫描模块;利用预设的漏洞启发规则,对第一扫描结果进行识别处理,得到更新后的待检测对象的第一漏洞识别结果的技术手段,实现了通过确定待检测对象是否发生更新,并利用预设的漏洞启发规则,对更新后的待检测对象进行漏洞检测处理,漏洞检测准确率得以有效提升的技术效果。
上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是本申请实施例提供的一种漏洞检测处理方法的流程示意图;
图2是本申请实施例提供的又一种漏洞检测处理方法的流程示意图;
图3是本申请实施例提供的一种漏洞检测平台的结构示意图;
图4是本申请实施例提供的一种漏洞检测处理装置的结构示意图;
图5是本申请实施例提供的又一种漏洞检测处理装置的结构示意图;
图6是本申请实施例提供的一种漏洞检测处理设备的结构示意图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
本申请涉及的名词解释:
漏洞:在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
通信协议:双方实体完成通信或服务所必须遵循的规则和约定。
MD5:Message-Digest Algorithm 5,是一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值,用于确保信息传输的完整一致。
本申请的应用场景:随着车联网技术的迅速发展,车辆的车载设备通过云端服务器与用户的移动终端设备进行通信连接,用户通过移动终端设备控制车载设备的应用变得越来越普遍。现有技术中,在进行车辆漏洞识别时,通过对车辆组件以及车辆组件与云端服务器进行通信的通信数据包进行漏洞扫描,得到漏洞扫描结果;把得到的漏洞扫描结果和现有的漏洞库去比对,如果在现有的漏洞库中发现与漏洞扫描结果匹配的漏洞,确定车辆组件或云端服务器存在安全漏洞。
然而,利用该种方法进行车辆漏洞识别,只能识别现有的漏洞库中存在的已知漏洞。如果现有的漏洞库中不存在与漏洞扫描结果匹配的漏洞,则无法识别出车辆组件或云端服务器中的漏洞,漏洞识别精度低,漏洞识别能力有限,安全隐患大。
本申请提供的漏洞检测处理方法、装置、设备及存储介质,旨在解决上述技术问题。
图1为本申请实施例提供的一种漏洞检测处理方法,如图1所示,该方法包括:
步骤101、获取待检测对象的属性信息;
在本实施例中,具体的,本实施例的执行主体为漏洞扫描平台或者设置在漏洞扫描平台上的服务器、或者控制器、或者其他可以执行本实施例的装置或设备,本实施例以执行主体为漏洞扫描平台为例进行说明。
待检测对象是以下任意一种或几种:系统、应用程序和通信协议。其中,系统为车载设备运行的系统;应用程序包括车载设备安装的第一应用程序、用户移动终端设备安装的用于控制车载设备的第二应用程序,和云端服务器首次接入的第三应用程序;通信协议包括车载设备通信时所使用的第一通信协议,和云端服务器通信时所使用的第二通信协议。
示例性的,车载设备包括汽车端T-BOX(Telematics BOX,远程信息处理器)、车载导航仪、行车记录仪等。车载设备运行的系统包括车载设备CAN GATEWAY系统(CAN:Controller Area Network总线协议,总线协议网关系统)、汽车端IVI(In-VehicleInfotainment,车载信息娱乐系统)等。车载设备安装的第一应用程序,包括地图APP,违章查询APP等。如果待检测对象为系统或应用程序,获取系统或应用程序的版本信息;如果待检测对象为通信协议,获取通信协议的通信数据包。
步骤102、根据属性信息,确定待检测对象是否发生更新。
在本实施例中,具体的,根据获取到的待检测对象的属性信息,确定待检测对象是否发生更新,即确定待检测对象是否为已知版本。如果待检测对象为车载设备运行的系统,根据获取的系统的版本信息,确定系统是否发生更新;如果待检测对象为应用程序,根据获取的应用程序的版本信息,确定应用程序是否发生更新;如果待检测对象为通信协议,根据获取到的通信数据包,确定通信协议是否发生更新,具体根据构成通信数据包的数据段是否发生变化,来确定通信协议是否发生更新。此外,还可根据系统或应用程序的文件MD5值,确定系统或应用程序是否发生更新,文件MD5值相当于文件ID,每一个文件的MD5值是唯一的,可以根据文件MD5值是否发生变化,来确定系统或应用程序是否发生更新。
步骤103如果待检测对象发生更新,利用第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,第一扫描模块为漏洞扫描平台的云端扫描模块。
在本实施例中,具体的,待检测对象更新方式包括:将旧版本待检测对象更换为新版本待检测对象,或者在旧版本待检测对象中安装补丁,得到更新后的待检测对象。更新后的待检测对象的版本信息发生变化,待检测对象具体包含的端口,以及各端口提供的服务可能发生变化,同时,待检测对象中包含的数据段也可能发生变化。由于设置在漏洞扫描平台的本地扫描模块适用于对版本已知的待检测对象的固定位置进行扫描,因此,本地扫描模块适用于对版本已知的待检测对象进行漏洞扫描;同时,设置在漏洞扫描平台的本地漏洞库,适用于版本已知的待检测对象的已知漏洞检测,因此,当待检测对象发生更新后,将无法利用漏洞扫描平台的本地扫描模块和本地漏洞库进行漏洞检测。
当待检测对象发生更新后,利用设置在漏洞扫描平台的的云端漏洞挖掘模块对待检测对象进行漏洞挖掘,具体的,利用设置在漏洞扫描平台的第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,第一扫描模块为设置在漏洞扫描平台中的云端扫描模块。第一扫描模块适用于更新后的待检测对象的漏洞扫描。利用第一扫描模块对多个更新后的待检测对象进行漏洞扫描,具体的,利用第一扫描模块扫描每一个更新后的待检测对象的多个扫描位置,示例性的,利用第一扫描模块扫描更新后的待检测对象的不同端口的服务,记录更新后的待检测对象的不同端口给予的回答,通过该种方式,得到更新后的待检测对象的多种信息,例如,得到是否可以匿名登录、是否有可写的FTP目录、是否能用Telnet、是否使用root在运行等信息。
步骤104、利用预设的漏洞启发规则,对第一扫描结果进行识别处理,得到更新后的待检测对象的第一漏洞识别结果。
在本实施例中,具体的,根据第一扫描结果对应的待检测对象的扫描位置,对第一扫描结果进行分类处理,得到至少一个第一待识别对象;提取每一个第一待识别对象的至少一个第一结构特征,并确定每一个第一待识别对象的至少一个第一结构特征与已知漏洞的第二结构特征间的第一相似度,已知漏洞与第一待识别对象对应相同的扫描位置;如果第一相似度超过设定阈值,确定已知漏洞为对应的第一待识别对象的漏洞识别结果,每一个第一待识别对象的漏洞识别结果构成了第一漏洞识别结果。
利用第一扫描模块对更新后的待检测对象的多个扫描位置进行扫描,例如,利用第一扫描模块,对每一个更新后的待检测对象的多个端口提供的服务进行扫描,得到第一扫描结果。根据第一扫描结果对应的待检测对象的扫描位置,将针对同一扫描位置的第一扫描结果,划分为一个第一待识别对象,不同第一待识别对象对应的扫描位置不同。提取每一个第一待识别对象的至少一个第一结构特征,示例性的,提取的第一结构特征包括入口点特征、节表特征、偏移位特征等。
漏洞扫描平台的本地漏洞库中存储有大量的已知漏洞,根据已知漏洞对应的待检测对象的扫描位置,对存储的大量的已知漏洞进行分类处理,得到至少一个类别的已知漏洞集,其中,每一类别的已知漏洞集对应待检测对象的同一扫描位置。提取每一个已知漏洞集的多种类别的结构特征,由于每一个已知漏洞集中可能包括多个已知漏洞,因此提取出的每一类别的结构特征的数量可能有多个。对相同类别的多个结构特征进行基于SPARK的分布式集群处理,得到用于表征同一类别的多个结构特征的第二结构特征。每一个已知漏洞集中的多个已知漏洞具有相同的第二结构特征,即针对待检测对象的相同扫描位置的多个已知漏洞具有相同的第二结构特征,并且每一个已知漏洞具有至少一个第二结构特征。
在对更新后的待检测对象进行漏洞挖掘时,确定针对相同扫描位置的第一待识别对象的第一结构特征,与已知漏洞的第二结构特征之间的相似度,相似度超过设定阈值时,确定已知漏洞为第一待识别对象的漏洞识别结果,所有第一待识别对象的漏洞识别结果构成了更新后的待检测对象的第一漏洞识别结果。这实现了利用已知漏洞形成漏洞启发规则,并利用漏洞启发规则对更新后的待检测对象进行漏洞挖掘,将更新后的待检测对象的未知漏洞转换成已知漏洞。在确定出更新后的待检测对象的第一漏洞识别结果后,对漏洞扫描平台的第一扫描模块、第二扫描模块(本地扫描模块)和本地漏洞库进行更新处理。
本实施例通过获取待检测对象的属性信息;根据属性信息,确定待检测对象是否发生更新;如果待检测对象发生更新,利用第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,第一扫描模块为漏洞扫描平台的云端扫描模块;利用预设的漏洞启发规则,对第一扫描结果进行识别处理,得到更新后的待检测对象的第一漏洞识别结果。在针对待检测对象进行漏洞检测前,获取待检测对象的属性信息,确定待检测对象是否发生更新,通过判断待检测对象是否发生更新,可以有效避免因只采用针对已知版本待检测对象适用的漏洞扫描方法进行扫描时,出现的漏洞检测率低,甚至检测不出漏洞的问题,可以有效提高漏洞检测的准确率;如果确定待检测对象发生更新,利用预设的漏洞启发规则,对更新后的待检测对象的第一扫描模块进行识别处理,实现了根据已知漏洞形成的漏洞启发规则,确定出待检测对象的第一漏洞识别结果,实现了利用对未知版本的待检测对象的漏洞检测,能够有效提高漏洞检测的准确率。
图2为本申请实施例提供的另一种漏洞检测处理方法的流程示意图,如图2所示,该方法包括:
步骤201、获取待检测对象的属性信息,并根据属性信息,确定待检测对象是否发生更新。
在本实施例中,具体的,本步骤可以参见图1的步骤101-102,不再赘述。
步骤202、如果待检测对象未发生更新,利用第二扫描模块对待检测对象进行漏洞扫描,得到第二扫描结果,第二扫描模块为漏洞扫描平台中设置的本地扫描模块。
在本实施例中,具体的,如果待检测对象未发生更新,利用设置在漏洞扫描平台中的第二扫描模块,对已知版本的待检测对象进行漏洞扫描。第二扫描模块为漏洞扫描平台中设置的本地扫描模块,适用于已知版本的待检测对象的漏洞扫描。具体的,利用第二扫描模块扫描已知版本的待检测对象的固定位置,示例性的,利用第二扫描模块扫描已知版本的待检测对象的固定端口、接入服务、登录方式等,得到第二扫描结果。
步骤203、根据第二扫描结果对应的待检测对象的扫描位置,对第二扫描结果进行分类处理,得到至少一个第二待识别对象。
在本实施例中,具体的,在得到未发生更新的待检测对象的第二扫描结果后,利用漏洞扫描平台中的本地漏洞库,对第二扫描结果进行匹配处理,确定本地漏洞库中是否存储有与第二扫描结果匹配的已知漏洞。如果确定存在与第二扫描结果匹配的已知漏洞,将已知漏洞确定为未发生更新的待检测对象的第二漏洞识别结果。本地漏洞库中存储有待检测对象的各种已知漏洞信息,以及如何检测各种已知漏洞的指令,示例性的,在针对对TCP80端口的第二扫描结果中,若发现存在/cgi-bin/phf或/cgi-bin/count格式的文件,根据已知经验和CGI(Common Gateway Interface,公用网关接口)程序的共享性及标准化,确定扫描的WWW服务存在两个CGI漏洞。
如果在本地漏洞库中无法匹配到与第二扫描结果对应的已知漏洞,需要确定已知版本的待检测对象中是否存在未知漏洞,该步骤可以有效提高车辆系统中的待检测对象的漏洞检测准确率,有利于保证车辆的安全运行。
如果在本地漏洞库中无法匹配到与第二扫描结果对应的已知漏洞,根据第二扫描结果对应的待检测对象的扫描位置,对第二扫描结果进行分类处理,得到至少一个第二待识别对象,其中,不同第二待识别对象对应待检测对象的不同扫描位置。
步骤204、提取每一个第二待识别对象的至少一个第三结构特征,并确定每一个第二待识别对象的至少一个第三结构特征之间的第二相似度;如果第二相似度低于设定阈值,确定对应的第二待识别对象存在安全漏洞。
在本实施例中,具体的,提取每一个第二待识别对象的至少一个第三结构特征,示例性的,提取的第三结构特征包括入口点特征、节表特征、偏移位特征等。采用特征提取算法,确定每一个第二待识别对象的至少一个第三结构特征之间的第二相似度,特征提取算法包括:卡方检验法、方差选择算法、相关系数法等
通常,如果待检测对象正常,针对待检测对象的同一扫描位置得到的扫描结果中的多个结构特征,是大量重复性存在的,因此,通过采用特征提取算法,确定每一个第二待识别对象的至少一个第三结构特征之间的第二相似度。如果第二相似度低于设定阈值,说明对应的第二待识别对象中存在差异较大的第三结构特征,确定该第二待识别对象种存在安全漏洞。
本实施例通过获取待检测对象的属性信息,并根据属性信息,确定待检测对象是否发生更新;如果待检测对象未发生更新,利用第二扫描模块对待检测对象进行漏洞扫描,得到第二扫描结果,第二扫描模块为漏洞扫描平台中设置的本地扫描模块;根据第二扫描结果对应的待检测对象的扫描位置,对第二扫描结果进行分类处理,得到至少一个第二待识别对象;提取每一个第二待识别对象的至少一个第三结构特征,并确定每一个第二待识别对象的至少一个第三结构特征之间的第二相似度;如果第二相似度低于设定阈值时,确定对应的第二待识别对象存在安全漏洞。对于未发生更新的待检测对象,如果本地漏洞库中无法匹配到与待检测对象对应的已知漏洞,通过确定针对相同扫描位置的第二待识别对象的多个第三结构特征之间的第二相似度,并在多个第三结构特征之间的第二相似低于设定阈值时,确定针对该扫描位置的待检测对象中存在安全漏洞,本申请实施例公开的漏洞检测方法不依赖于本地漏洞库,实现了除本地漏洞库中的已知漏洞之外的漏洞检测,有效提高了对待检测对象的未知漏洞的检测能力,能够有效提高漏洞检测的准确率,有利于进一步保障车辆的安全运行。
图3为本申请实施例提供的一种漏洞扫描平台的结构示意图,如图3所示,漏洞扫描平台包括本地扫描平台和云端扫描平台,其中,
本地扫描平台包括:
基础信息确定模块,用于获取待检测对象的属性信息,并根据属性信息,确定待检测对象是否发生更新。
本地扫描模块,用于对未更新的待检测对象进行漏洞扫描,得到第二扫描结果。
本地漏洞库,用于存储已知漏洞信息,以及已知漏洞的检测方法;
检测报告生成模块,用于对待检测对象的漏洞检测结果生成检测报告。
云端扫描平台包括:
云端扫描模块,用于对更新后的待检测对象进行漏洞扫描,得到第一扫描结果。
漏洞挖掘模块,用于对更新后的待检测对象的第一扫描结果进行漏洞识别处理,以确定出更新后的待检测对象的第一漏洞识别结果;还用于对未在本地漏洞库中匹配到已知漏洞的第二扫描结果进行漏洞识别处理,以确定未更新的待检测对象中是否存在未知的安全漏洞。
更新模块,用于根据第一漏洞识别结果、第二漏洞识别结果对本地漏洞库、本地扫描模块、云端扫描模块进行更新处理。
本实施例提供的漏洞扫描平台的工作原理和有益效果,参考图1-图2中的漏洞检测处理方法的原理和有益效果,不再赘述。
图4为本申请实施例提供的一种漏洞检测处理装置的结构示意图,如图4所示,该装置应用于漏洞扫描平台,包括:
获取单元1,用于获取待检测对象的属性信息;
第一处理单元2,用于根据属性信息,确定待检测对象是否发生更新;
第二处理单元3,用于如果待检测对象发生更新,利用第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,第一扫描模块为漏洞扫描平台的云端扫描模块;
第三处理单元4,用于利用预设的漏洞启发规则,对第一扫描结果进行识别处理,得到更新后的待检测对象的第一漏洞识别结果。
本实施例通过获取待检测对象的属性信息;根据属性信息,确定待检测对象是否发生更新;如果待检测对象发生更新,利用第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,第一扫描模块为漏洞扫描平台的云端扫描模块;利用预设的漏洞启发规则,对第一扫描结果进行识别处理,得到更新后的待检测对象的第一漏洞识别结果。在针对待检测对象进行漏洞检测前,获取待检测对象的属性信息,确定待检测对象是否发生更新,通过判断待检测对象是否发生更新,可以有效避免因只采用针对已知版本待检测对象适用的漏洞扫描方法进行扫描时,出现的漏洞检测率低,甚至检测不出漏洞的问题,可以有效提高漏洞检测的准确率;如果确定待检测对象发生更新,利用预设的漏洞启发规则,对更新后的待检测对象的第一扫描模块进行识别处理,实现了根据已知漏洞形成的漏洞启发规则,确定出待检测对象的第一漏洞识别结果,实现了利用对未知版本的待检测对象的漏洞检测,能够有效提高漏洞检测的准确率。
图5为本申请实施例提供的另一种漏洞检测处理装置的结构示意图,在图4的基础上,如图5所示,
待检测对象是以下任意一种或几种:系统、应用程序和通信协议;
系统为车载设备运行的系统;
应用程序包括车载设备安装的第一应用程序、用户移动终端设备安装的用于控制车载设备的第二应用程序,和云端服务器首次接入的第三应用程序;
通信协议包括车载设备通信时所使用的第一通信协议,和云端服务器通信时所使用的第二通信协议;
获取单元1,包括:
第一获取子单元101,用于如果待检测对象为系统或应用程序,获取系统或应用程序的版本信息;
第二获取子单元102,用于如果待检测对象为通信协议,获取通信协议的通信数据包。
第一处理单元2,包括:
第一处理子单元201,用于根据版本信息,如果版本信息发生更新,确定版本信息对应的系统或应用程序发生更新;
第二处理子单元202,用于根据通信数据包,如果通信数据包中的数据段发生更新,确定通信协议发生更新。
第三处理单元4,包括:
第三处理子单元401,用于根据第一扫描结果对应的待检测对象的扫描位置,对第一扫描结果进行分类处理,得到至少一个第一待识别对象;
第四处理子单元402,用于提取每一个第一待识别对象的至少一个第一结构特征,并确定每一个第一待识别对象的至少一个第一结构特征与已知漏洞的第二结构特征间的第一相似度,已知漏洞与第一待识别对象对应相同的扫描位置;
第五处理子单元403,用于如果第一相似度超过设定阈值,确定已知漏洞为对应的第一待识别对象的漏洞识别结果,所有第一待识别对象的漏洞识别结果构成第一漏洞识别结果。
该装置还包括:
第四处理单元5,用于如果待检测对象未发生更新,利用第二扫描模块对待检测对象进行漏洞扫描,得到第二扫描结果,第二扫描模块为漏洞扫描平台中设置的本地扫描模块;
第五处理单元6,用于利用漏洞扫描平台的本地漏洞库,对第二扫描结果进行匹配处理,并将匹配到的与第二扫描结果对应的已知漏洞,作为第二漏洞识别结果。
如果本地漏洞库中无法匹配到与第二扫描结果对应的已知漏洞,该装置还包括:
第六处理单元7,用于根据第二扫描结果对应的待检测对象的扫描位置,对第二扫描结果进行分类处理,得到至少一个第二待识别对象;
第七处理单元8,用于提取每一个第二待识别对象的至少一个第三结构特征,并确定每一个第二待识别对象的至少一个第三结构特征之间的第二相似度;
第八处理单元9,用于如果第二相似度低于设定阈值时,确定对应的第二待识别对象存在安全漏洞。
该装置还包括:
第九处理单元10,用于利用第一漏洞识别结果或第二漏洞识别结果,更新第一漏洞扫描模块、第二漏洞扫描模块和本地漏洞库。
该装置包括:
第十处理单元11,用于在确定出漏洞识别结果后,对待检测对象中存在的漏洞进行修补处理。
本实施例通过获取待检测对象的属性信息,并根据属性信息,确定待检测对象是否发生更新;如果待检测对象未发生更新,利用第二扫描模块对待检测对象进行漏洞扫描,得到第二扫描结果,第二扫描模块为漏洞扫描平台中设置的本地扫描模块;根据第二扫描结果对应的待检测对象的扫描位置,对第二扫描结果进行分类处理,得到至少一个第二待识别对象;提取每一个第二待识别对象的至少一个第三结构特征,并确定每一个第二待识别对象的至少一个第三结构特征之间的第二相似度;如果第二相似度低于设定阈值,确定对应的第二待识别对象存在安全漏洞。对于未发生更新的待检测对象,如果本地漏洞库中无法匹配到与待检测对象对应的已知漏洞,通过确定针对相同扫描位置的第二待识别对象的多个第三结构特征之间的第二相似度,并在多个第三结构特征之间的第二相似低于设定阈值时,确定针对该扫描位置的待检测对象中存在安全漏洞,本申请实施例公开的漏洞检测方法不依赖于本地漏洞库,实现了除本地漏洞库中的已知漏洞之外的漏洞检测,有效提高了对待检测对象的未知漏洞的检测能力,能够有效提高漏洞检测的准确率,有利于进一步保障车辆的安全运行。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图6所示,是根据本申请实施例的漏洞检测处理的方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图6所示,该电子设备包括:一个或多个处理器601、存储器602,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图5中以一个处理器601为例。
存储器602即为本申请所提供的非瞬时计算机可读存储介质。其中,存储器存储有可由至少一个处理器执行的指令,以使至少一个处理器执行本申请所提供的漏洞检测处理的方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的漏洞检测处理的方法。
存储器602作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的漏洞检测处理的方法对应的程序指令/模块(例如,附图4所示的获取单元1、第一处理单元2、第二处理单元3和第三处理单元4)。处理器601通过运行存储在存储器602中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的漏洞检测处理的方法。
存储器602可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据漏洞检测处理的电子设备的使用所创建的数据等。此外,存储器602可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器602可选包括相对于处理器601远程设置的存储器,这些远程存储器可以通过网络连接至漏洞检测处理的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
漏洞检测处理的方法的电子设备还可以包括:输入装置603和输出装置604。处理器601、存储器602、输入装置603和输出装置604可以通过总线或者其他方式连接,图6中以通过总线连接为例。
输入装置603可接收输入的数字或字符信息,以及产生与漏洞检测处理的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置604可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
本实施例提供的漏洞检测处理系统的原理和有益效果,参考图1-图2中的漏洞检测处理方法的原理和有益效果,不再赘述。
在本申请实施例中,上述各实施例之间可以相互参考和借鉴,相同或相似的步骤以及名词均不再一一赘述。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (18)
1.一种漏洞检测处理方法,其特征在于,所述方法应用于漏洞扫描平台,包括:
获取待检测对象的属性信息;
根据所述属性信息,确定所述待检测对象是否发生更新;
如果所述待检测对象发生更新,利用第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,所述第一扫描模块为所述漏洞扫描平台的云端扫描模块;
利用预设的漏洞启发规则,对所述第一扫描结果进行识别处理,得到所述更新后的待检测对象的第一漏洞识别结果。
2.根据权利要求1所述的方法,其特征在于,所述待检测对象是以下任意一种或几种:系统、应用程序和通信协议;
所述系统为车载设备运行的系统;
所述应用程序包括所述车载设备安装的第一应用程序、用户移动终端设备安装的用于控制所述车载设备的第二应用程序,和云端服务器首次接入的第三应用程序;
所述通信协议包括所述车载设备通信时所使用的第一通信协议,和所述云端服务器通信时所使用的第二通信协议;
获取待检测对象的属性信息,包括:
如果所述待检测对象为所述系统或所述应用程序,获取所述系统或所述应用程序的版本信息;
如果述待检测对象为所述通信协议,获取所述通信协议的通信数据包。
3.根据权利要求2所述的方法,其特征在于,根据所述属性信息,确定所述待检测对象是否发生更新,包括:
根据所述版本信息,如果所述版本信息发生更新,确定所述版本信息对应的所述系统或所述应用程序发生更新;
根据所述通信数据包,如果所述通信数据包中的数据段发生更新,确定所述通信协议发生更新。
4.根据权利要求1所述的方法,其特征在于,利用预设的漏洞启发规则,对所述第一扫描结果进行识别处理,得到所述更新后的待检测对象的第一漏洞识别结果,包括:
根据所述第一扫描结果对应的所述待检测对象的扫描位置,对所述第一扫描结果进行分类处理,得到至少一个第一待识别对象;
提取每一个第一待识别对象的至少一个第一结构特征,并确定每一个第一待识别对象的至少一个第一结构特征与已知漏洞的第二结构特征间的第一相似度,所述已知漏洞与所述第一待识别对象对应相同的扫描位置;
如果所述第一相似度超过设定阈值,确定所述已知漏洞为对应的所述第一待识别对象的漏洞识别结果,所有所述第一待识别对象的漏洞识别结果构成所述第一漏洞识别结果。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:如果所述待检测对象未发生更新,利用第二扫描模块对所述待检测对象进行漏洞扫描,得到第二扫描结果,所述第二扫描模块为所述漏洞扫描平台中设置的本地扫描模块;
利用所述漏洞扫描平台的本地漏洞库,对所述第二扫描结果进行匹配处理,并将匹配到的与所述第二扫描结果对应的已知漏洞,作为第二漏洞识别结果。
6.根据权利要求5所述的方法,其特征在于,如果所述本地漏洞库中无法匹配到与所述第二扫描结果对应的已知漏洞,所述方法还包括:
根据所述第二扫描结果对应的所述待检测对象的扫描位置,对所述第二扫描结果进行分类处理,得到至少一个第二待识别对象;
提取每一个第二待识别对象的至少一个第三结构特征,并确定每一个第二待识别对象的至少一个第三结构特征之间的第二相似度;
如果所述第二相似度低于设定阈值,确定对应的所述第二待识别对象存在安全漏洞。
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括利用所述第一漏洞识别结果或第二漏洞识别结果,更新所述第一漏洞扫描模块、第二漏洞扫描模块和本地漏洞库。
8.根据权利要求1-6任一项所述的方法,其特征在于,所述方法包括:在确定出漏洞识别结果后,对所述待检测对象中存在的漏洞进行修补处理。
9.一种漏洞检测处理装置,其特征在于,所述装置应用于漏洞扫描平台,包括:
获取单元,用于获取待检测对象的属性信息;
第一处理单元,用于根据所述属性信息,确定所述待检测对象是否发生更新;
第二处理单元,用于如果所述待检测对象发生更新,利用第一扫描模块对更新后的待检测对象进行漏洞扫描,得到第一扫描结果,所述第一扫描模块为所述漏洞扫描平台的云端扫描模块;
第三处理单元,用于利用预设的漏洞启发规则,对所述第一扫描结果进行识别处理,得到所述更新后的待检测对象的第一漏洞识别结果。
10.根据权利要求9所述的装置,其特征在于,所述待检测对象是以下任意一种或几种:系统、应用程序和通信协议;
所述系统为车载设备运行的系统;
所述应用程序包括所述车载设备安装的第一应用程序、用户移动终端设备安装的用于控制所述车载设备的第二应用程序,和云端服务器首次接入的第三应用程序;
所述通信协议包括所述车载设备通信时所使用的第一通信协议,和所述云端服务器通信时所使用的第二通信协议;
所述获取单元,包括:
第一获取子单元,用于如果所述待检测对象为所述系统或所述应用程序,获取所述系统或所述应用程序的版本信息;
第二获取子单元,用于如果所述待检测对象为所述通信协议,获取所述通信协议的通信数据包。
11.根据权利要求10所述的装置,其特征在于,所述第一处理单元,包括:
第一处理子单元,用于根据所述版本信息,如果所述版本信息发生更新,确定所述版本信息对应的所述系统或所述应用程序发生更新;
第二处理子单元,用于根据所述通信数据包,如果所述通信数据包中的数据段发生更新,确定所述通信协议发生更新。
12.根据权利要求9所述的装置,其特征在于,所述第三处理单元,包括:
第三处理子单元,用于根据所述第一扫描结果对应的所述待检测对象的扫描位置,对所述第一扫描结果进行分类处理,得到至少一个第一待识别对象;
第四处理子单元,用于提取每一个第一待识别对象的至少一个第一结构特征,并确定每一个第一待识别对象的至少一个第一结构特征与已知漏洞的第二结构特征间的第一相似度,所述已知漏洞与所述第一待识别对象对应相同的扫描位置;
第五处理子单元,用于如果所述第一相似度超过设定阈值,确定所述已知漏洞为对应的所述第一待识别对象的漏洞识别结果,所有所述第一待识别对象的漏洞识别结果构成所述第一漏洞识别结果。
13.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第四处理单元,用于如果所述待检测对象未发生更新,利用第二扫描模块对所述待检测对象进行漏洞扫描,得到第二扫描结果,所述第二扫描模块为所述漏洞扫描平台中设置的本地扫描模块;
第五处理单元,用于利用所述漏洞扫描平台的本地漏洞库,对所述第二扫描结果进行匹配处理,并将匹配到的与所述第二扫描结果对应的已知漏洞,作为第二漏洞识别结果。
14.根据权利要求13所述的装置,其特征在于,如果所述本地漏洞库中无法匹配到与所述第二扫描结果对应的已知漏洞,所述装置还包括:
第六处理单元,用于根据所述第二扫描结果对应的所述待检测对象的扫描位置,对所述第二扫描结果进行分类处理,得到至少一个第二待识别对象;
第七处理单元,用于提取每一个第二待识别对象的至少一个第三结构特征,并确定每一个第二待识别对象的至少一个第三结构特征之间的第二相似度;
第八处理单元,用于如果所述第二相似度低于设定阈值时,确定对应的所述第二待识别对象存在安全漏洞。
15.根据权利要求13或14所述的装置,其特征在于,所述装置还包括:
第九处理单元,用于利用所述第一漏洞识别结果或第二漏洞识别结果,更新所述第一漏洞扫描模块、第二漏洞扫描模块和本地漏洞库。
16.根据权利要求9-14任一项所述的装置,其特征在于,所述装置包括:
第十处理单元,用于在确定出漏洞识别结果后,对所述待检测对象中存在的漏洞进行修补处理。
17.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的方法。
18.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1-8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910853150.XA CN110572399B (zh) | 2019-09-10 | 2019-09-10 | 漏洞检测处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910853150.XA CN110572399B (zh) | 2019-09-10 | 2019-09-10 | 漏洞检测处理方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110572399A CN110572399A (zh) | 2019-12-13 |
| CN110572399B true CN110572399B (zh) | 2022-05-20 |
Family
ID=68778736
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910853150.XA Active CN110572399B (zh) | 2019-09-10 | 2019-09-10 | 漏洞检测处理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110572399B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114115936A (zh) * | 2021-10-27 | 2022-03-01 | 安天科技集团股份有限公司 | 一种计算机程序的升级方法、装置、电子设备及存储介质 |
| CN113987516B (zh) * | 2021-11-02 | 2022-11-29 | 湖北天融信网络安全技术有限公司 | 一种漏洞扫描方法、装置、存储介质和电子设备 |
| CN114866305A (zh) * | 2022-04-27 | 2022-08-05 | 国汽智控(北京)科技有限公司 | 入侵检测方法、装置、计算机设备及介质 |
| CN116318751B (zh) * | 2022-09-07 | 2023-10-03 | 上海金电网安科技有限公司 | 漏洞识别方法、装置、设备及存储介质 |
| CN115221530B (zh) * | 2022-09-15 | 2022-12-23 | 平安银行股份有限公司 | Sdlc流程中接口安全扫描方法、设备及系统 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9304980B1 (en) * | 2007-10-15 | 2016-04-05 | Palamida, Inc. | Identifying versions of file sets on a computer system |
| US8146158B2 (en) * | 2008-12-30 | 2012-03-27 | Microsoft Corporation | Extensible activation exploit scanner |
| CN102404281B (zh) * | 2010-09-09 | 2014-08-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种网站扫描设备和方法 |
| CN102664872B (zh) * | 2012-03-05 | 2016-05-25 | 星云融创(北京)科技有限公司 | 用于检测和防止对计算机网络中服务器攻击的方法 |
| US9298927B2 (en) * | 2014-02-27 | 2016-03-29 | Intuit Inc. | Method and system for providing an efficient vulnerability management and verification service |
| CN104077531B (zh) * | 2014-06-05 | 2017-11-07 | 中标软件有限公司 | 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 |
| US9619655B2 (en) * | 2014-09-12 | 2017-04-11 | Salesforce.Com, Inc. | Cloud-based security profiling, threat analysis and intelligence |
| CN106295353B (zh) * | 2016-08-08 | 2020-04-07 | 腾讯科技(深圳)有限公司 | 一种引擎漏洞检测的方法以及检测装置 |
| CN106656657A (zh) * | 2016-11-11 | 2017-05-10 | 北京匡恩网络科技有限责任公司 | 基于工控协议的自适应漏洞挖掘框架 |
| CN106446691B (zh) * | 2016-11-24 | 2019-07-05 | 工业和信息化部电信研究院 | 检测软件中集成或定制的开源项目漏洞的方法和装置 |
| CN106921731B (zh) * | 2017-01-24 | 2021-06-22 | 北京奇虎科技有限公司 | 漏洞修复方法及装置 |
| CN107395593B (zh) * | 2017-07-19 | 2020-12-04 | 深信服科技股份有限公司 | 一种漏洞自动化防护方法、防火墙及存储介质 |
| CN108197476B (zh) * | 2017-12-27 | 2020-12-08 | 中国信息通信研究院 | 一种智能终端设备的漏洞检测方法及装置 |
| CN108989299A (zh) * | 2018-07-03 | 2018-12-11 | 杭州安恒信息技术股份有限公司 | 一种物联网设备漏洞的监测方法与系统 |
| CN109194615A (zh) * | 2018-08-01 | 2019-01-11 | 北京奇虎科技有限公司 | 一种检测设备漏洞信息的方法、装置及计算机设备 |
| CN109375945B (zh) * | 2018-08-28 | 2022-04-12 | 中国人民解放军国防科技大学 | 物联网设备的固件版本探测方法及漏洞修复率评估方法 |
| CN110210228A (zh) * | 2019-04-26 | 2019-09-06 | 国家电网有限公司 | 一种主机设备漏洞扫描方法及系统 |
-
2019
- 2019-09-10 CN CN201910853150.XA patent/CN110572399B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110572399A (zh) | 2019-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110572399B (zh) | 漏洞检测处理方法、装置、设备及存储介质 | |
| US10176321B2 (en) | Leveraging behavior-based rules for malware family classification | |
| US9779254B2 (en) | Detection and prevention of sensitive information leaks | |
| US8701192B1 (en) | Behavior based signatures | |
| US20230362182A1 (en) | Abnormality sensing device and abnormality sensing method | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| US11029969B2 (en) | Determining characteristics of configuration files | |
| CN110543506B (zh) | 数据分析方法、装置、电子设备及存储介质 | |
| US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
| CN111399848B (zh) | 一种硬编码数据检测方法、装置、电子设备和介质 | |
| CN111859354B (zh) | 图片验证方法、装置、电子设备、存储介质和程序产品 | |
| US20170277887A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN113449298B (zh) | 一种反弹shell进程的检测方法、装置、设备和介质 | |
| CN113259197A (zh) | 一种资产探测方法、装置及电子设备 | |
| JP2019148882A (ja) | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム | |
| CN112183052B (zh) | 一种文档重复度检测方法、装置、设备和介质 | |
| CN112613576A (zh) | 确定告警的方法、装置、电子设备和存储介质 | |
| CN114697066A (zh) | 网络威胁检测方法和装置 | |
| CN115589339B (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN111756762A (zh) | 车辆安全性分析方法、装置、电子设备及存储介质 | |
| CN111552829A (zh) | 用于分析图像素材的方法和装置 | |
| CN113127875A (zh) | 一种漏洞处理方法及相关设备 | |
| EP3504597A1 (en) | Identification of deviant engineering modifications to programmable logic controllers | |
| CN113347186B (zh) | 反射攻击探测方法、装置和电子设备 | |
| CN113839944B (zh) | 应对网络攻击的方法、装置、电子设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20211019 Address after: 100176 101, floor 1, building 1, yard 7, Ruihe West 2nd Road, Beijing Economic and Technological Development Zone, Daxing District, Beijing Applicant after: Apollo Zhilian (Beijing) Technology Co.,Ltd. Address before: 100085 Baidu Building, 10 Shangdi Tenth Street, Haidian District, Beijing Applicant before: BAIDU ONLINE NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |