CN110795346A

CN110795346A - 产品监控方法、装置、设备及可读存储介质

Info

Publication number: CN110795346A
Application number: CN201911006277.4A
Authority: CN
Inventors: 牛彬
Original assignee: Suzhou Wave Intelligent Technology Co Ltd
Current assignee: Suzhou Wave Intelligent Technology Co Ltd
Priority date: 2019-10-22
Filing date: 2019-10-22
Publication date: 2020-02-14

Abstract

本申请公开了一种产品监控方法，包括：搜集产品漏洞情报，得到产品漏洞信息；根据产品信息匹配库与产品漏洞信息，判断待监控产品中是否存在漏洞组件；若确认存在漏洞组件，确定与漏洞组件关联的漏洞产品；对漏洞产品进行漏洞修复。该方法通过产品漏洞情报搜集、产品漏洞判定、产品漏洞修复等过程实现产品组件漏洞的及时发现、及时响应以及及时处理，有效避免漏洞的大范围扩张，有效保障了产品安全。本申请还提供了一种产品监控装置、设备及一种可读存储介质，具有上述有益效果。

Description

产品监控方法、装置、设备及可读存储介质

技术领域

本申请涉及电子技术领域，特别涉及一种产品监控方法、装置、设备、及一种可读存储介质。

背景技术

开源将原来分散的开发聚合在一起，只要有一个合适的基础和好的框架，就可以根据若干单独的组件开发出产品级的工具软件。开源组件具有开放、共享、自由等特性，在软件开发中扮演着越来越重要的角色，也是软件供应链的重要组成部分。

企业在享受开源组件带来的便利的同时，也在承担着巨大的安全风险。开源组件通常拥有和自有代码同样的运行权限，开源组件中存在大量的安全隐患，这意味着如果这些组件有安全漏洞，那么整个应用程序的安全都会受到威胁。近年来，开源组件频繁爆出高危漏洞，例如Strusts2、OpenSSL等。这些组件很多都应用于信息系统的底层，并且应用范围非常广泛，因此漏洞带来的安全危害非同一般，若存在产品组件漏洞发现、响应不及时等问题，会对用户带来极大的安全风险，为保障产品安全，开源组件的安全性甄别、以及能否修复产品所使用的第三方组件安全漏洞显得至关重要。

目前产品组件安全保障多采用漏洞扫描器，执行漏洞POC和版本检测，主要保障研发阶段的产品组件安全，产品上市后针对产品组件的保障措施较少，存在产品组件漏洞发现、响应不及时等问题，可能对用户带来极大的安全风险。

因此，如何实现产品组件漏洞的及时发现、及时响应，保障产品安全，提升用户体验，是本领域技术人员需要解决的技术问题。

发明内容

本申请的目的是提供一种产品监控方法，该方法可以实现产品组件漏洞快速发现和及时响应，有效保证产品运行的安全性；本申请的另一目的是提供一种产品监控装置、设备及一种可读存储介质。

为解决上述技术问题，本申请提供一种产品监控方法，包括：

搜集产品漏洞情报，得到产品漏洞信息；

根据产品信息匹配库与所述产品漏洞信息，判断待监控产品中是否存在漏洞组件；

若确认存在漏洞组件，确定与所述漏洞组件关联的漏洞产品；

对所述漏洞产品进行漏洞修复。

可选地，所述搜集产品漏洞情报，包括：

依据待监控产品的厂商信息订阅相关厂商的安全通报信息，并根据所述安全通报信息生成厂商漏洞更新信息；

和/或，依据所述待监控产品的组件信息查找漏洞库中与所述待监控产品关联的漏洞组件信息，并根据所述漏洞组件信息生成漏洞库更新信息；

和/或，依据所述待监控产品的组件信息爬取目标新闻网站中与所述待监控产品关联的网站漏洞信息，并根据所述网站漏洞信息生成网站漏洞更新信息。

可选地，对所述漏洞产品进行漏洞修复，包括：

确定所述漏洞产品的产品线责任人；

向所述产品线责任人发送漏洞提示信息，以便所述产品线责任人完成漏洞修复。

可选地，所述产品监控方法还包括：

收集所述漏洞产品的漏洞信息；其中，所述漏洞信息包括：漏洞通报url、CVE编号、组件及版本信息、漏洞级别、漏洞描述；

向所述产品线责任人发送所述漏洞信息。

可选地，在向所述产品线责任人发送所述漏洞信息之前，还包括：

根据所述漏洞描述确定漏洞利用方式以及实施漏洞所需的条件，生成漏洞传播信息；

将所述漏洞传播信息添加至所述漏洞信息中。

可选地，所述产品监控方法还包括：

根据所述漏洞信息确定漏洞修复时间；

在执行向所述产品线责任人发送漏洞提示信息的步骤后，启动计时；

若所述预设时间内漏洞未修复成功时，向所述产品线责任人发送提醒信息。

可选地，所述产品监控方法还包括：

接收所述产品线责任人反馈的产品修复操作信息，并发布所述产品修复操作信息。

本申请还公开一种产品监控装置，包括：

漏洞情报搜集单元，用于搜集产品漏洞情报，得到产品漏洞信息；

漏洞组件判断单元，用于根据产品信息匹配库与所述产品漏洞信息，判断待监控产品中是否存在漏洞组件；若确认存在漏洞组件，触发漏洞产品确定单元；

所述漏洞产品确定单元，用于确定与所述漏洞组件关联的漏洞产品；

漏洞修复单元，用于对所述漏洞产品进行漏洞修复。

本申请还公开一种产品监控设备，包括：

存储器，用于存储程序；

处理器，用于执行所述程序时实现所述产品监控方法的步骤。

本申请还公开一种可读存储介质，所述可读存储介质上存储有程序，所述程序被处理器执行时实现所述产品监控方法的步骤。

本申请所提供的产品监控方法，包括：搜集产品漏洞情报，得到产品漏洞信息；根据产品信息匹配库与产品漏洞信息，判断待监控产品中是否存在漏洞组件；若确认存在漏洞组件，确定与漏洞组件关联的漏洞产品；对漏洞产品进行漏洞修复。该方法通过产品漏洞情报搜集、产品漏洞判定、产品漏洞修复等过程实现产品组件漏洞的及时发现、及时响应以及及时处理，有效避免漏洞的大范围扩张，有效保障了产品安全。

本申请还提供了一种产品监控装置、设备及一种可读存储介质，具有上述有益效果，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的产品监控方法的流程图；

图2为本申请实施例提供的产品监控装置的结构框图；

图3为本申请实施例提供的产品监控设备的结构示意图。

具体实施方式

本申请的核心是提供一种产品监控方法，该方法可以实现产品组件漏洞快速发现和及时响应，有效保证产品运行的安全性；本申请的另一核心是提供一种产品监控装置、设备及一种可读存储介质。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参考图1，图1为本实施例提供的产品监控方法的流程图；该方法主要包括：

步骤s110、搜集产品漏洞情报，得到产品漏洞信息；

搜集产品漏洞情报即利用各种手段尽早发现与产品相关的潜在的第三方组件安全漏洞的过程，越早发现漏洞，越能减少攻击者利用漏洞实施攻击的可能性。

一般来说，产品所使用的第三方组件漏洞的披露多来自厂商、漏洞库以及一些安全新闻网站等等，因此本申请中漏洞情报搜集可以主要来源于上述途径。优选地，一种产品漏洞情报的搜集方式如下：

依据待监控产品的厂商信息订阅相关厂商的安全通报信息，并根据安全通报信息生成厂商漏洞更新信息；和/或，依据待监控产品的组件信息查找漏洞库中与待监控产品关联的漏洞组件信息，并根据漏洞组件信息生成漏洞库更新信息；和/或，依据待监控产品的组件信息爬取目标新闻网站中与待监控产品关联的网站漏洞信息，并根据网站漏洞信息生成网站漏洞更新信息。

具体地，1、依据待监控产品的厂商信息订阅相关厂商的安全通报信息，这样可以在第一时间得到漏洞更新信息，厂商公布的安全通报信息可以直接作为厂商漏洞更新信息，也可以进行信息处理后在将处理后的信息作为厂商漏洞更新信息，在此不做限定，优选地，可以对通过订阅得到的安全通报信息采用pyhton爬虫方式，爬取目标漏洞信息，将该目标漏洞信息作为厂商漏洞更新信息。依据通报更新时间点可以仅搜集最新更新的漏洞信息，以减少冗余信息的比对过程，爬取的目标漏洞信息可以包括漏洞通报url、CVE编号、组件及版本信息、漏洞级别、漏洞描述，可选的可对漏洞描述展开详细分析，判断漏洞利用方式，实施漏洞所需的条件等等。其中，待监控产品的厂商信息可以通过产品信息匹配库获取。对于厂商公告的漏洞信息，可以采用随机启动搜集方式，以尽量控制对于厂商公告搜集的资源占用。

2、依据产品组件匹配库爬取产品相关的潜在安全漏洞，漏洞库漏洞搜集可以采用pyhton爬虫方式，爬取的信息具体可以包括漏洞通报url、CVE编号、组件及存在漏洞版本信息、漏洞级别、漏洞描述，可选的可对漏洞描述展开详细分析，判断漏洞利用方式(远程or本地)，实施漏洞所需的条件等等。对于漏洞库漏洞信息可下载的，可下载后爬取，提升爬虫速率，绕过防爬虫策略。对于漏洞库披露的漏洞信息，采用定期搜集方式，依据漏洞库的更新频率和常见更新时间点确定搜集时间，以保证信息及时收集的同时降低资源占用。其中，待待监控产品的组件信息可以通过产品信息匹配库获取。

3、首先需要依据自身经验总结常见新闻网站，建立新闻网站列表，采用pyhton爬虫方式爬取网站列表，为提升爬取效率，在爬取产品相关的潜在安全漏洞时除依据产品组件信息之外，增加关键词匹配库，关键词匹配库指产品组件通报时，其通报名称具有明显特点，一般会包含“威胁”、“通报”、“预警”、“公告”等关键词，因此可建立关键词匹配库，根据组件漏洞关键词获取所要爬取的目标漏洞信息，其中，待监控产品的组件信息以及关键词匹配库均可以通过产品信息匹配库获取。特别的，当通过厂商公告、漏洞库披露方式爬取到漏洞信息后，可以立即针对该组件执行安全新闻网站信息爬取。爬取信息包括漏洞通报url、CVE编号、组件及版本信息、漏洞级别、漏洞描述，可选的可对漏洞描述展开详细分析，判断漏洞利用方式(远程or本地)，实施漏洞所需的条件等等，此外还要增加新闻网站报道数量。对于安全新闻网站披露的漏洞信息，可以采用定期搜集方式，以保证信息及时收集的同时降低资源占用。

本实施例中仅以上述产品漏洞情报搜集方式为例进行介绍，其它基于本申请的产品漏洞情报搜集途径在此不做赘述，均可参照本实施例的介绍。

步骤s120、根据产品信息匹配库与产品漏洞信息，判断待监控产品中是否存在漏洞组件；

其中，产品信息匹配库中记录有各产品组件的相关信息，为产品漏洞判断的主要依据。

产品信息匹配库可以依据公司产品类别进行产品划分，为各类别下的每个产品设置对应的产品信息，产品信息可以主要包括三部分内容：产品组件信息匹配库、产品关联用户信息以及产品组件漏洞处理信息。其中，产品组件信息匹配库中可以包括组件版本信息以及组件厂商信息；针对每个产品给出所使用的第三方组件，并列出详细的版本信息，保存为产品组件匹配库，作为组件版本信息，组件版本信息可以用于；分析第三方组件的厂商信息，将所有的厂商信息汇总为产品厂商匹配库，作为组件厂商信息，组件厂商信息可以用于。

产品关联用户信息中可以记录有产品责任人邮箱和客户邮箱列表，方便在组件出现漏洞时及时联系产品责任人进行实时漏洞处理，以及联系应用该组件的相关客户及时进行产品漏洞防护。

产品组件漏洞处理信息中包括组件出现漏洞后的处理机制，用于在某组件出现漏洞后根据相应的处理机制进行漏洞修复和/或提醒，以保证产品的安全性，由于本申请中的漏洞发现主要来自于公布的组件漏洞信息，根据该些信息判断当前待检测的目标产品中是否存在与该组件漏洞信息相匹配的组件，实现产品的漏洞监控，因此产品组件漏洞处理信息中可以依据外界针对产品漏洞的通报进行相应的漏洞处理机制设置。由于目前外界在进行产品漏洞的通报时，根据通报信息确定漏洞危害程度(一般产品组件通报时，其通报名称具有明显特点，一般会包含“威胁”、“通报”、“预警”、“公告”等关键词，因此可建立关键词匹配库，依据关键词确定漏洞危害程度)、漏洞利用难易程度、漏洞攻击方式(远程or本地)、社会关注度等，并根据上述信息确定漏洞响应级别，针对不同的漏洞响应级别，设置不同的漏洞修复策略，建立漏洞响应级别匹配库。另外，可以进一步针对不同级别设置漏洞修复时间要求，以便监控漏洞修复处理是否出现异常。

根据产品信息匹配库与产品漏洞信息，判断产品是否存在漏洞。具体地，可以提取产品漏洞信息中的组件名称及存在的版本信息，并与产品信息匹配库进行信息对比，若待监控产品使用的组件版本在此范围内，则产品受该漏洞影响，判定存在漏洞，提取该漏洞相关的信息并增加受影响的产品后单独保存在已确认漏洞文件中。

步骤s130、若确认存在漏洞组件，确定与漏洞组件关联的漏洞产品；

若判定不存在漏洞组件，本实施例中对该种情况不做限定，可以如流程图所示，持续进行漏洞组件判定。

若某型号的组件确定为漏洞组件后，应用该组件的产品一般不止当前的待监控产品，为保证所有应用该漏洞组件的产品的安全性，需要确定所有关联该漏洞组件的漏洞产品，具体的关联关系的确定可以通过产品信息匹配库查询应用该版本组件的所有产品。

步骤s140、对漏洞产品进行漏洞修复。

对漏洞产品进行漏洞修复的实现过程可以参照传统漏洞修复方式，比如可以调用漏洞修复软件实现自动漏洞修复，也可以通知相关技术人员，实现人工漏洞修复，本实施例对此不做限定。

基于上述介绍，本实施例提供的产品监控方法，通过产品漏洞情报搜集、产品漏洞判定、产品漏洞修复等过程实现产品组件漏洞的及时发现、及时响应以及及时处理，有效避免漏洞的大范围扩张，有效保障了产品安全。

上述实施例中对漏洞修复的具体实现过程不做限定，本实施例中对漏洞修复的具体实现过程进行介绍。一种对漏洞产品进行漏洞修复的实现过程如下：

s141、确定漏洞产品的产品线责任人；

s142、向产品线责任人发送漏洞提示信息，以便产品线责任人完成漏洞修复。

目前已经出厂的产品漏洞修复自动化较难实现，为控制实现成本，可以据漏洞组件确定的漏洞产品作为受影响产品，找到对应产品线的责任人，以邮件或其他提示形式发送漏洞信息给对应产品线的责任人，通知其按时完成漏洞修复。

可选地，为加快责任人的漏洞修复进程，可以进一步执行以下步骤：

s143、收集漏洞产品的漏洞信息；

其中，漏洞信息包括：漏洞通报url、CVE编号、组件及版本信息、漏洞级别、漏洞描述；

s144、向产品线责任人发送漏洞信息。

步骤s144可以与步骤s142同时执行，即同时向产品线责任人发送漏洞提示信息以及漏洞信息，以便产品线责任人完成漏洞修复。则此时步骤s140的执行过程具体可以为：s141→s143→s142+s144。

另外，在向产品线责任人发送漏洞信息之前，为进一步为负责人的漏洞修复过程增加有用参考信息，提升漏洞修复效率，可以进一步执行以下步骤：

s145、根据漏洞描述确定漏洞利用方式以及实施漏洞所需的条件，生成漏洞传播信息；

s146、将漏洞传播信息添加至漏洞信息中。

另外，还可以进一步依据搜集的漏洞信息确认漏洞响应级别。提取漏洞级别、漏洞利用方式、漏洞利用条件、新闻网站报道数量等信息，与漏洞响应级别匹配库对比等到产品漏洞响应级别和对应的修复时间要求，添加至漏洞信息中。

则，步骤s140的执行顺序具体可以为：s141→s143→s145→s146→s142+s144。

另外，为进一步监控漏洞修复的执行进度，优选地，可以进一步执行以下步骤：

s147、根据漏洞信息确定漏洞修复时间，作为预设时间；

其中，漏洞修复时间的确定方式本实施例中不做限定，可以通过对漏洞描述信息进行展开详细分析，根据漏洞利用方式、实施漏洞所需条件等信息来确定；也可以将用户预定义的默认修复时间作为当前漏洞的修复时间等。

s148、在执行向产品线责任人发送漏洞提示信息的步骤后，启动计时；

s149、若预设时间内漏洞未修复成功时，向产品线责任人发送提醒信息。

发送提醒信息，以便提醒其尽快修复漏洞。其中，漏洞修复是否成功的判定方式在此不做限定，比如可以在接收到负责人发送的漏洞修复成功的反馈信息时判定当前漏洞修复成功，也可以在调用其他部件对漏洞组件进行主动检测后根据检测结果进行判定等。

则，步骤s140的执行顺序具体可以为：s141→s143→s145→s146→s147→s142+s144→s148→s149。其中，步骤s147可以在步骤s149以前任意时间执行，在此不做限定。

为提升其它区域或厂商的漏洞修复进程，在上述实施例的基础上，可以进一步执行以下步骤：接收产品线责任人反馈的产品修复操作信息，并发布产品修复操作信息。

其中，产品修复操作信息比如产品补丁包或升级包获取和操作方法。具体地，可以通过安全预警平台发布产品安全预警，提供详细的产品补丁包或升级包获取和操作方法，还可以进一步以邮件形式通知受影响的客户尽快完成产品补丁包或升级包升级，以便于其它受影响的客户及时完成漏洞修复。

本实施例介绍的漏洞修复方法基于产品漏洞响应级别分析、产品漏洞修复和超时通知、产品漏洞预警等过程实现产品组件漏洞的及时响应，可以有效保障产品安全。

请参考图2，图2为本实施例提供的产品监控装置的结构框图；该装置可以包括：漏洞情报搜集单元210、漏洞组件判断单元220、漏洞产品确定单元230以及漏洞修复单元240。本实施例提供的产品监控装置可与上述产品监控方法相互对照。

其中，漏洞情报搜集单元210主要用于搜集产品漏洞情报，得到产品漏洞信息；

漏洞组件判断单元220主要用于根据产品信息匹配库与产品漏洞信息，判断待监控产品中是否存在漏洞组件；若确认存在漏洞组件，触发漏洞产品确定单元；

漏洞产品确定单元230主要用于确定与漏洞组件关联的漏洞产品；

漏洞修复单元240主要用于对漏洞产品进行漏洞修复。

本实施例提供的产品监控装置可以实现产品组件漏洞快速发现和及时响应，有效保证产品运行的安全性。

本实施例提供一种产品监控设备，包括：存储器以及处理器。

其中，存储器用于存储程序；

处理器用于执行程序时实现如上述实施例介绍的产品监控方法的步骤，具体可参照上述产品监控方法的介绍。

请参考图3，为本实施例提供的产品监控设备的结构示意图，该产品监控设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(centralprocessing units，CPU)322(例如，一个或一个以上处理器)和存储器332，一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中，存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储介质330通信，在产品监控设备301上执行存储介质330中的一系列指令操作。

产品监控设备301还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341，例如Windows ServerTM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM等等。

上面图1所描述的产品监控方法中的步骤可以由本实施例介绍的产品监控设备的结构实现。

本实施例公开一种可读存储介质，其上存储有程序，程序被处理器执行时实现如上述实施例介绍的产品监控方法的步骤，具体可参照上述实施例中对产品监控方法的介绍。

该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上对本申请所提供的产品监控方法、装置、设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

Claims

1.一种产品监控方法，其特征在于，包括：

搜集产品漏洞情报，得到产品漏洞信息；

对所述漏洞产品进行漏洞修复。

2.如权利要求1所述的产品监控方法，其特征在于，所述搜集产品漏洞情报，包括：

3.如权利要求1所述的产品监控方法，其特征在于，对所述漏洞产品进行漏洞修复，包括：

确定所述漏洞产品的产品线责任人；

4.如权利要求3所述的产品监控方法，其特征在于，还包括：

向所述产品线责任人发送所述漏洞信息。

5.如权利要求4所述的产品监控方法，其特征在于，在向所述产品线责任人发送所述漏洞信息之前，还包括：

将所述漏洞传播信息添加至所述漏洞信息中。

6.如权利要求4所述的产品监控方法，其特征在于，还包括：

根据所述漏洞信息确定漏洞修复时间；

7.如权利要求3所述的产品监控方法，其特征在于，还包括：

8.一种产品监控装置，其特征在于，包括：

漏洞修复单元，用于对所述漏洞产品进行漏洞修复。

9.一种产品监控设备，其特征在于，包括：

存储器，用于存储程序；

处理器，用于执行所述程序时实现如权利要求1至7任一项所述产品监控方法的步骤。

10.一种可读存储介质，其特征在于，所述可读存储介质上存储有程序，所述程序被处理器执行时实现如权利要求1至7任一项所述产品监控方法的步骤。