CN111010405A - 一种SaaS化的网站安全监控系统 - Google Patents
一种SaaS化的网站安全监控系统 Download PDFInfo
- Publication number
- CN111010405A CN111010405A CN201911393174.8A CN201911393174A CN111010405A CN 111010405 A CN111010405 A CN 111010405A CN 201911393174 A CN201911393174 A CN 201911393174A CN 111010405 A CN111010405 A CN 111010405A
- Authority
- CN
- China
- Prior art keywords
- information
- asset
- address
- domain name
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种利用SaaS模式提供灵活的菜单和灵活的功能模块配置让安全监控变得简单方便,同时能够对各个网站动态变化的信息安全态势进行监控和预警的SaaS化的网站安全监控系统,其特征在于,包括:资产探测装置,包括地址资产存储部、探测控制部、任务队列生成部、任务去重部、探测结果获取部、地址比对设定部以及违规资产存储部。
Description
技术领域
本发明属于网站安全监控领域,具体涉及一种SaaS化的网站安全监控系统。
背景技术
当前我国网络与信息安全的理念已普及深入人心,各个企业对安全正在逐步重视,并对当前运行中的业务系统存有一定忧虑,由于种种原因,安全风险没有得到真正的发现和扑灭,业务系统长期处于较高风险状态,从而导致了各种安全事件的发生。
根据公开数据显示2015年网站遭受大量的攻击,国内运行的网站约有44%存在安全漏洞,网站平均每月遭受1.4亿次攻击。据CNCERT统计,2015年我国境内近2.5万个网站被篡改,其中篡改的政府网站有898个,其网页篡改方式来看大部分网站被植入暗链、博彩、私服等违法反动信息;2015年通报了涉及政府机构和重要信息系统部门的事件型漏洞近2.4万起,是2014年2.6倍,保持着较高速的增长,为相关信息系统带来严重安全隐患。
然而,传统的网站监控方式包括Client端和WEB端,Client端用于不断扫描并识别网络的服务,WEB端用于接收Client端返回的各个网站是否存活的检测结果,并以视图方式展现出来。这种监控方式对于复杂的网络接口问题缺乏整体监控,难以有效确认网站的安全问题,同时用户也无法对自身所拥有的地址进行一个整体的、有效的管理。
发明内容
为解决上述问题,提供一种利用SaaS模式提供灵活的菜单和灵活的功能模块配置让安全监控变得简单方便,同时能够对各个网站动态变化的信息安全态势进行监控和预警的网站安全监控系统,本发明采用了如下技术方案:
本发明提供了一种SaaS化的网站安全监控系统,用于对用户在网络上的地址资产进行自动化的违规地址探查以及安全监控,其特征在于,包括:资产探测装置,包括地址资产存储部、探测控制部、任务队列生成部、任务去重部、探测结果获取部、地址比对设定部以及违规资产存储部,其中,地址资产存储部存储有对应各个用户的已登记的地址资产信息以及相应的安全检测结果,地址资产信息包含域名信息以及IP信息,探测控制部定期控制任务队列生成部根据地址资产存储部中存储的所有地址资产信息生成任务队列,并控制任务去重部去除任务队列中重复的地址资产信息从而得到待探测任务队列,探测控制部依次从待探测任务队列中获取地址资产信息作为待探测地址信息,并控制探测结果获取部对待探测地址信息进行探测从而获取与待探测地址信息相关的相关地址信息以及对应的安全检测结果,控制地址比对设定部根据地址资产信息对相关地址信息进行比对并将不匹配的相关地址信息设定为违规资产信息,进一步控制地址资产存储部根据安全检测结果进行更新以及控制违规资产存储部将违规资产信息以及安全检测结果进行对应存储从而完成资产探测处理,探测结果获取部包括子域名爆破单元、网络扫描单元、多个分别针对不同漏洞的漏洞检测单元以及安全检测控制单元,安全检测控制单元将待探测地址信息中的域名信息以及IP信息分别作为待探测域名信息以及待探测IP信息,子域名爆破单元用于对待探测域名信息进行域名爆破从而得到相关联的子域名信息并作为相关地址信息,安全检测控制单元在子域名爆破单元获取子域名信息后控制漏洞检测单元分别对各个子域名信息中的header、body以及敏感文件进行安全检测并得到对应的安全检测结果,网络扫描单元用于对待探测IP信息进行Nmap扫描得到开放的端口并将该端口的IP信息作为相关地址信息,若端口中含有http服务则安全检测控制单元将该端口的IP信息作为待探测IP信息并控制网络扫描单元进行扫描,若端口中含有非http服务则安全检测控制单元控制漏洞检测单元对该端口进行安全检测并得到对应的安全检测结果。
本发明提供的SaaS化的网站安全监控系统,还可以具有这样的技术特征,还包括:至少一个用户终端,与资产探测装置相通信连接,其中,用户终端包括画面存储部、输入显示部以及用户侧通信部,资产探测装置还包括地址信息处理部,画面存储部存储有探测任务创建画面,输入显示部显示探测任务创建画面从而让用户输入待探测的地址信息并通过用户侧通信部将该地址信息发送给资产探测装置,地址信息为域名信息或IP信息,地址信息处理部用于通过域名反向查询技术或正向域名技术将地址信息处理为待探测域名信息以及待探测IP信息并作为待探测地址信息,一旦地址信息处理部将地址信息处理完毕,探测控制部就根据待探测地址信息完成资产探测处理。
本发明提供的SaaS化的网站安全监控系统,还可以具有这样的技术特征,其中,资产探测装置还包括资产列表检索获取部,画面存储部还存储有资产查询画面以及资产清单列表画面,输入显示部显示资产查询画面从而让用户输入待查询的关键词作为资产查询信息,资产列表检索获取部根据资产查询信息分别对地址资产存储部以及违规资产存储部进行检索并获取所有相关的地址资产信息、违规资产信息以及对应的安全检测结果作为资产列表信息,输入显示部显示资产清单列表画面并在该画面中显示资产列表信息让用户查看。
本发明提供的SaaS化的网站安全监控系统,还可以具有这样的技术特征,还包括:至少一个用户终端,分别由具有不同用户信息的用户持有,与资产探测装置相通信连接,其中,资产探测装置还包括资产安全判定部以及装置侧通信部,地址资产存储部还存储有与地址资产信息相对应的用户信息,一旦地址资产存储部完成更新,资产安全判定部就根据与地址资产信息相对应安全检测结果判定各个地址资产信息是否安全,若判定地址资产信息不安全,探测控制部就控制装置侧通信部根据用户信息发送资产安全提醒给相应的用户终端从而通知用户。
本发明提供的SaaS化的网站安全监控系统,还可以具有这样的技术特征,其中,子域名爆破单元通过小字典递归探测待探测域名信息的多级域名信息,并根据自动去重规则将多级域名信息进行去重并作为子域名信息。
本发明提供的SaaS化的网站安全监控系统,还可以具有这样的技术特征,其中,自动去重规则为:在超过2个域名信息指向同一IP信息时,则此后发现的其他指向该IP信息的域名信息将被丢弃。
发明作用与效果
根据本发明的SaaS化的网站安全监控系统,由于通过探测控制部定期控制任务队列生成部生成任务队列以及任务去重部生成任务队列,实现了探测任务的自动运行,进一步通过控制探测结果获取部依次对探测任务中的待探测地址信息进行探测以及安全检测,从而使得资产探测装置能够获取与地址资产相关联的相关地址信息以及各个地址所对应的安全检测结果,实现了自动化的资产探测以及相应的安全监测,进一步通过验证用户登记的资产,从而能够判定出网络上未经过用户允许而私自建立的违规地址,保证了用户的地址资产安全。同时,在进行探测时,由于通过子域名爆破单元进行域名爆破以及通过网络扫描单元对IP信息进行端口扫描,尽可能地保证了对于相关地址信息的探测完整性,还通过漏洞检测单元分别针对各个域名以及端口进行针对性地安全检测,从而准确地检测出各个网站中所存在的具体安全问题,使得用户能够根据这些问题针对性地进行整改。
附图说明
图1是本发明实施例中SaaS化的网站安全监控系统的结构框图
图2是本发明实施例中资产探测装置的结构框图;
图3是本发明实施例中资产探测装置的总体设计流程图;
图4是本发明实施例中用户终端的结构框图;
图5是本发明实施例中资产清单列表画面的示意图;
图6是本发明实施例中资产清单列表画面的示意图;以及
图7是本发明实施例中探测任务创建画面的示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,以下结合实施例及附图对本发明的SaaS化的网站安全监控系统作具体阐述。
<实施例>
图1是本发明实施例中SaaS化的网站安全监控系统的结构框图。
如图1所示,SaaS化的网站安全监控系统100包括资产探测装置1、多个用户终端2以及通信网络3。
本实施例中,资产探测装置为一台服务器,由提供资产探测服务的服务商所持有。用户终端2为各个具有不同用户信息(如用户邮箱、手机号等用户联系信息)的用户持有的个人终端(如计算机、智能手机等),分别通过通信网络3与资产探测装置1完成数据通信。
图2是本发明实施例中资产探测装置的结构框图。
如图2所示,资产探测装置1包括地址资产存储部101、违规资产存储部102、资产列表检索获取部103、探测控制部104、任务队列生成部105、任务去重部106、地址信息处理部107、探测结果获取部108、地址比对设定部109、资产安全判定部110、装置侧通信部111以及用于控制上述各部的装置侧控制部112。
其中,装置侧通信部111用于进行资产探测装置1的各个构成部件之间以及资产探测装置1与其他系统或是终端之间的数据通信。装置侧控制部112存储有用于对资产探测装置1的各个构成部件的工作进行控制的计算机程序。
地址资产存储部101用于存储各个用户的已登记的地址资产信息、历史所有的相应的安全检测结果以及对应的用户信息。
本实施例中,地址资产信息为各个用户所属且正式登记过的域名(如www.xxxxx.com)及IP信息(如47.52.146.0)。安全检测结果为过去每一次资产探测装置1针对每个地址资产信息进行检测后得到的安全检测结果。
违规资产存储部102用于存储所有未登记的违规资产信息以及历史所有的相应的安全检测结果。
本实施例中,违规资产信息为地址资产存储部101中未存储有的、资产探测装置1探测得到的域名及IP信息,这些域名或IP信息未经过登记,即有可能是仿冒用户的域名或IP信息所形成的违规资产信息。每个违规资产信息也对应有过去每一次资产探测装置1检测得到的安全检测结果。
资产列表检索获取部103用于在装置侧通信部111接收到用户终端2发送的资产查询信息时,根据该资产查询信息对地址资产存储部101以及违规资产存储部102进行检索,从而获取相应的地址资产信息、违规资产信息以及对应的安全检测结果作为资产列表信息。
本实施例中,资产列表检索获取部103通过类似key="value"的语法搜索(例如Elasticsearch搜索引擎),地址资产存储部101以及违规资产存储部102中以非关系型数据的Elastic数据库(或是MySQL数据库等)进行存储,因为存储的字段比较多,所以用此搜索方式来搜索数据。资产列表检索获取部103同时也支持组合查询,相关搜索语法示例:
·header=“abc”#从各个域名下网址中的http头进行搜索
·url=“.baidu.com”#搜索baidu.com的子域名,``号是通配符
·ip=‘1.1.1.1’#搜索IP,支持CIDR'192.168.1.0/24'和通配符搜索'192.168.1.*'
·port=‘80’#搜索端口
·country=‘cn’#搜索国家
·bugs='xx'#寻找存在某个漏洞的地址
通过上述示意的搜索语法,用户即可通过用户终端2输入相应的关键词从而查询到所需的地址信息。
探测控制部104用于对资产探测装置1中各部件涉及探测过程的工作进行控制,具体对任务队列生成部105、任务去重部106、地址信息处理部107、探测结果获取部108、地址比对设定部109以及资产安全判定部110涉及探测过程的工作进行控制。
当到达预设的探测时间点时,探测控制部104就控制任务队列生成部105根据地址资产存储部101中存储的所有地址资产信息生成任务队列。
本实施例中,探测时间点为预先根据实际需求情况设置,用于使得资产探测装置1定期对存储的资产信息进行探测。同时,任务队列生成部105生成的任务队列也可以根据实际需求设定,例如一次性根据所有地址资产信息生成任务队列、或是分批次根据各个地址资产信息生成任务队列等。
一旦生成任务队列,探测控制部104就任务去重部106去除任务队列中重复的地址资产信息从而得到待探测任务队列。
当装置侧通信部111接收到用户终端2发送的地址信息时,探测控制部104就控制地址信息处理部107通过域名反向查询技术或正向域名技术将地址信息处理为待探测域名信息以及待探测IP信息并作为待探测地址信息。
本实施例中,地址信息处理部107通过域名DNS反向查询技术(reverse DNS)把一个IP地址分解成一个域名,还通过正像域名系统(DNS)把域名分解成关联的IP地址。因此,用户仅需要输入一个域名或是输入一个IP即可完成对应的所有域名以及IP的探测。
本实施例中,任务队列暂存在一个redis数据库中,同时,资产探测装置1在接收到从用户终端2发送的地址信息后,也会将该地址信息首先加入到该redis数据库中进行暂存,进一步由后续部件依次读取并进行对应处理。
本实施例中资产探测装置1的总体设计流程如图3所示,在接收到用户发送的待探测地址信息或是创建了待探测任务队列后,资产探测装置1就会分别根据这些检查请求中的地址信息分别进行对应域名以及IP的探测操作。在扫描完并取得相应结果后,数据会存入到elasticsearch数据库(图3中所示的DB,即对应地址资产存储部101、违规资产存储部102以及资产列表检索获取部103)中。具体通过如下部件执行扫描探测操作:
当任务去重部106得到待探测任务队列或地址信息处理部107得到待探测地址信息后,探测控制部104就会根据各个待探测地址信息进行资产探测处理。具体为控制探测结果获取部108对待探测地址信息进行探测从而获取与待探测地址信息相关的相关地址信息以及对应的安全检测结果,控制地址比对设定部109根据地址资产信息对相关地址信息进行比对并将不匹配的相关地址信息设定为违规资产信息,进一步控制地址资产存储部101根据安全检测结果进行更新以及控制违规资产存储部102将违规资产信息以及安全检测结果进行对应存储。
本实施例中,探测结果获取部108包括子域名爆破单元1081、网络扫描单元1082、多个分别针对不同漏洞的漏洞检测单元1083以及安全检测控制单元1084。
本实施例中,在得到待探测地址信息后,探测结果获取部108会识别出其中的域名或是IP信息,从而通过不同的流程进行处理,处理后的结果会暂存在“收集器”当中,最终在地址比对设定部109处理后“收集器”会自动通过restful接口将结果提交给地址资产存储部101、违规资产存储部102进行更新。
子域名爆破单元1081用于对域名进行处理,本实施例中子域名爆破单元1081采用子域名爆破(Subdomainbrute)的方法,对主域名进行域名爆破,从而得到对应待探测域名信息的子域名信息(即三级域名,四级域名、五级域名等域名)。
具体地,本实施例中,子域名爆破单元1081通过小字典递归地发现各个子域名信息,使用114DNS、百度DNS、阿里DNS这几个快速又可靠的Public DNS查询(在其他实施例中,可修改配置文件添加DNS服务器),同时根据自动去重规则去重泛解析的域名。本实施例中采用的自动去重规则为:超过2个域名指向同一IP,则此后发现的其他指向该IP的域名将被丢弃。
网络扫描单元1082用于对IP信息进行处理,本实施例中网络扫描单元1082采用Nmap来扫描网上电脑开放的网络连接端口,并获取各个端口所运行的服务以及操作系统,该Nmap在搜集目标的网络设定时还能够尽可能不影响目标系统的日常操作。
各个漏洞检测单元1083为不同的功能模块在插件化后形成的检测插件,从而便于安全检测控制单元1084根据具体情况调用各个检测插件完成相应的检测任务。本实施例中,漏洞检测单元1083分为针对域名的awvs扫描插件以及针对IP的nessus扫描插件。
本实施例中,子域名爆破单元1081以及网络扫描单元1082扫描到的子域名信息以及各个端口会缓存在一个“分发调度器”中,一旦缓存到一定数量,安全检测控制单元1084就会控制漏洞检测单元1083针对相应的域名或是IP进行安全检测。
针对域名服务,安全检测控制单元1084控制awvs扫描插件先发出一条普通的http请求,得到服务器返回的header和body,针对header和body进行正则匹配和关键词分析,可以从中得到一些服务器信息,插件化的意义在于,每个插件都可以得到这个域名的header和body用作分析,并返回对应结果。然后,会对域名进行一些敏感文件的扫描搜集,例如.git、.svn等敏感文件,一些敏感目录,后台目录等等。最后通过指纹分析得到该域名使用的cms系统名称,通过该名称调用与之相对应的攻击插件。由于这些攻击插件的时效性问题,一个新漏洞爆发,一个攻击利用链会被迅速利用,所对应的poc(即Proof of Concept,概念验证)。
针对IP服务,会先启用masscan扫描工具过滤出开放的ip端口,再调用nmap服务识别每个端口所对应的服务类型,如果发现开放的端口中有http服务,会加入到针对域名服务的域名扫描队列中运行,如果有其他的服务,例如redis,mysql等等,会调用相对应的nessus扫描插件进行密码爆破,漏洞攻击等服务,从而完成安全检测。
另外,由于随着各种漏洞的爆发,poc等扫描插件的更新也非常频繁,因此本实施例中,各个插件会另行存储(例如存储在云端),并通过一个端口使得安全检测控制单元1084能够通过该端口调用及加载这些插件,从而既能保证更新速度,也方便维护和使用。
通过运行上述单元,探测结果获取部108即可获取到与待探测地址信息对应的相关地址信息以及对应的安全检测结果。进一步,地址比对设定部109就会根据资产信息存储部101中已登记的地址资产信息与各个相关地址信息进行一一比对从而将未登记的相关地址信息(即比对后不匹配的相关地址信息)设定为违规资产信息并由违规资产存储部102进行存储或是更新。
一旦地址资产存储部101完成更新,探测控制部104就资产安全判定部110根据与地址资产信息相对应的安全检测结果判定各个地址资产信息是否安全。
若判定地址资产信息不安全,探测控制部就控制装置侧通信部根据用户信息发送资产安全提醒给相应的用户终端从而通知用户。
本实施例中,若资产安全判定部110判定地址资产信息安全,则不会进行额外通知,但当用户通过用户终端2查询地址资产信息时,仍然能够查询到历史的安全检测结果从而确定其地址资产的状态。
另外,本实施例中,通过Dockerfile构建镜像,使得资产探测装置1运行在一个或多个docker中,从而使得本实施例所运行的各个部件能够隔离真实环境,提高了效率与安全。各个docker之间的网络是可以互通的,且一些配置的传递如IP、用户信息等信息可以用环境变量的方式读取并传递。
图4是本发明实施例中用户终端的结构框图。
如图4所示,用户终端2包括画面存储部201、输入显示部202、用户侧通信部203以及控制上述各部的用户侧控制部204。
其中,用户侧通信部203用于进行用户终端2的各个构成部件之间以及用户终端2与其他系统或是终端之间的数据通信。用户侧控制部204存储有用于对用户终端2的各个构成部件的工作进行控制的计算机程序。
画面存储部201存储有操作选择画面、资产查询画面、资产清单查询画面、探测任务创建画面、
操作选择画面用于在用户启动终端时显示从而让用户选择需要进行的操作。
资产查询画面用于在用户选择查询操作时显示并在该画面中让用户输入需要查询的域名或是IP信息,一旦用户确认输入,用户侧通信部203就会将输入的信息作为资产查询信息发送给资产探测装置1。
另外,在其他实施例中,用户还可以通过登记处理将违规资产信息纳入正常的地址资产信息中,但是,当违规资产信息的安全检测结果表示为存在安全问题时,需要用户先整改之后才能纳入资产清单。
资产清单列表画面用于在接收到资产探测装置1返回的资产列表信息时显示该资产列表信息从而让用户查看。
本实施例中,如图5及图6所示,资产清单查询画面分别显示有用户的地址资产信息以及违规资产信息,具体显示有资产名称、域名、IP、资产登记的时间以及描述等信息。
探测任务创建画面用于在用户选择探测操作时显示并在该画面中让用户输入待探测的域名或是IP信息从而发送给资产探测装置1进行探测。
本实施例中,如图6所示,用户可以选择性地输入域名或是IP信息,并输入其他相关信息,在确认后,用户侧通信部203就会将这些信息作为地址信息发送给资产探测装置1。
输入显示部202为用户终端2的输入显示设备,用于显示上述画面,从而让用户通过这些画面完成相应的人机交互。
本实施例中,用户终端2以及资产扫描装置1进行数据通信时,中间通过restfulapi进行沟通。本实施例所设计的API模块主要两个接口,一个用于接收域名信息,一个用于接收ip信息,使用POST方式提交,内容为json格式。考虑到api的安全性,使用一个验证头(header)来校验。
另外,由于SaaS模式本身存在的安全问题,如数据安全、应用安全、应用管理安全等问题,本实施例中,资产扫描装置1与用户终端2之间以及资产扫描装置1的各个构成部件之间调用平台已定义的https接口方法进行数据交换,在接入接口时,调用API时都必须遵循以下表1所示的规则:
表1
通过上述表1中的规则,解决了本实施例的网站安全监控系统100所采用的SaaS模式中常见的安全问题。
实施例作用与效果
根据本实施例提供的SaaS化的网站安全监控系统,由于通过探测控制部定期控制任务队列生成部生成任务队列以及任务去重部生成任务队列,实现了探测任务的自动运行,进一步通过控制探测结果获取部依次对探测任务中的待探测地址信息进行探测以及安全检测,从而使得资产探测装置能够获取与地址资产相关联的相关地址信息以及各个地址所对应的安全检测结果,实现了自动化的资产探测以及相应的安全监测,进一步通过验证用户登记的资产,从而能够判定出网络上未经过用户允许而私自建立的违规地址,保证了用户的地址资产安全。同时,在进行探测时,由于通过子域名爆破单元进行域名爆破以及通过网络扫描单元对IP信息进行端口扫描,尽可能地保证了对于相关地址信息的探测完整性,还通过漏洞检测单元分别针对各个域名以及端口进行针对性地安全检测,从而准确地检测出各个网站中所存在的具体安全问题,使得用户能够根据这些问题针对性地进行整改。
另外,本实施例中,由于用户可以通过用户终端显示的探测任务创建画面输入待探测的地址信息,从而使得资产探测装置能够根据该地址信息执行探测任务,从而使得用户能够自主启动探测任务并获知是否存在违规资产以及各个网站是否存在安全问题。
另外,实施例中,由于通过资产安全判定部根据安全检测结果判定各个地址资产信息是否安全并在判定为不安全时根据相应的用户信息发送一个提醒信息给用户,从而在自动检测的同时进一步自动提醒用户的网站中的安全问题,进一步提高网站的安全监控效果。
上述实施例仅用于举例说明本发明的具体实施方式,而本发明不限于上述实施例的描述范围。
例如,本实施例中,资产探测装置为一个提供扫描服务的服务器。然而,在其他实施例中,资产探测装置还可以分为client扫描端以及WEB端,用户可以用户终端2访问WEB端从而进行查询或是获取相应数据。在获取用户的检查请求后,WEB端将扫描的目标加入到redis数据库中,client扫描端在从对应的redis数据库中读取内容并启动探测,在扫描完并取得相应结果后再向WEB端的restful接口发送数据,之后WEB端再将数据存入到elasticsearch数据库中。
Claims (6)
1.一种SaaS化的网站安全监控系统,用于对用户在网络上的地址资产进行自动化的违规地址探查以及安全监控,其特征在于,包括:
资产探测装置,包括地址资产存储部、探测控制部、任务队列生成部、任务去重部、探测结果获取部、地址比对设定部以及违规资产存储部,
其中,所述地址资产存储部存储有对应各个所述用户的已登记的地址资产信息以及相应的安全检测结果,所述地址资产信息包含域名信息以及IP信息,
所述探测控制部定期控制所述任务队列生成部根据所述地址资产存储部中存储的所有所述地址资产信息生成任务队列,并控制所述任务去重部去除所述任务队列中重复的所述地址资产信息从而得到待探测任务队列,
所述探测控制部依次从所述待探测任务队列中获取所述地址资产信息作为待探测地址信息,并控制所述探测结果获取部对所述待探测地址信息进行探测从而获取与所述待探测地址信息相关的相关地址信息以及对应的安全检测结果,控制所述地址比对设定部根据所述地址资产信息对所述相关地址信息进行比对并将不匹配的所述相关地址信息设定为违规资产信息,进一步控制所述地址资产存储部根据所述安全检测结果进行更新以及控制所述违规资产存储部将所述违规资产信息以及所述安全检测结果进行对应存储从而完成资产探测处理,
所述探测结果获取部包括子域名爆破单元、网络扫描单元、多个分别针对不同漏洞的漏洞检测单元以及安全检测控制单元,
所述安全检测控制单元将所述待探测地址信息中的域名信息以及IP信息分别作为待探测域名信息以及待探测IP信息,
所述子域名爆破单元用于对所述待探测域名信息进行域名爆破从而得到相关联的子域名信息并作为所述相关地址信息,
所述安全检测控制单元在所述子域名爆破单元获取所述子域名信息后控制所述漏洞检测单元分别对各个所述子域名信息中的header、body以及敏感文件进行安全检测并得到对应的所述安全检测结果,
所述网络扫描单元用于对所述待探测IP信息进行Nmap扫描得到开放的端口并将该端口的IP信息作为所述相关地址信息,
若所述端口中含有http服务则所述安全检测控制单元将该端口的IP信息作为待探测IP信息并控制所述网络扫描单元进行扫描,
若所述端口中含有非http服务则所述安全检测控制单元控制所述漏洞检测单元对该端口进行安全检测并得到对应的所述安全检测结果。
2.根据权利要求1所述的SaaS化的网站安全监控系统,其特征在于,还包括:
至少一个用户终端,与所述资产探测装置相通信连接,
其中,所述用户终端包括画面存储部、输入显示部以及用户侧通信部,
所述资产探测装置还包括地址信息处理部,
所述画面存储部存储有探测任务创建画面,
所述输入显示部显示所述探测任务创建画面从而让所述用户输入待探测的地址信息并通过所述用户侧通信部将该地址信息发送给所述资产探测装置,所述地址信息为域名信息或IP信息,
所述地址信息处理部用于通过域名反向查询技术或正向域名技术将所述地址信息处理为待探测域名信息以及待探测IP信息并作为待探测地址信息,
一旦所述地址信息处理部将所述地址信息处理完毕,所述探测控制部就根据所述待探测地址信息完成所述资产探测处理。
3.根据权利要求2所述的SaaS化的网站安全监控系统,其特征在于:
其中,所述资产探测装置还包括资产列表检索获取部,
所述画面存储部还存储有资产查询画面以及资产清单列表画面,
所述输入显示部显示所述资产查询画面从而让所述用户输入待查询的关键词作为资产查询信息,
所述资产列表检索获取部根据所述资产查询信息分别对所述地址资产存储部以及所述违规资产存储部进行检索并获取所有相关的所述地址资产信息、所述违规资产信息以及对应的安全检测结果作为资产列表信息,
所述输入显示部显示所述资产清单列表画面并在该画面中显示所述资产列表信息让所述用户查看。
4.根据权利要求1所述的SaaS化的网站安全监控系统,其特征在于,还包括:
至少一个用户终端,分别由具有不同用户信息的用户持有,与所述资产探测装置相通信连接,
其中,所述资产探测装置还包括资产安全判定部以及装置侧通信部,
所述地址资产存储部还存储有与所述地址资产信息相对应的所述用户信息,
一旦所述地址资产存储部完成更新,所述资产安全判定部就根据与所述地址资产信息相对应所述安全检测结果判定各个所述地址资产信息是否安全,
若判定所述地址资产信息不安全,所述探测控制部就控制所述装置侧通信部根据所述用户信息发送资产安全提醒给相应的所述用户终端从而通知所述用户。
5.根据权利要求1所述的SaaS化的网站安全监控系统,其特征在于:
其中,所述子域名爆破单元通过小字典递归探测所述待探测域名信息的多级域名信息,并根据自动去重规则将所述多级域名信息进行去重并作为所述子域名信息。
6.根据权利要求5所述的SaaS化的网站安全监控系统,其特征在于:
其中,所述自动去重规则为:
在超过2个域名信息指向同一IP信息时,则此后发现的其他指向该IP信息的域名信息将被丢弃。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911393174.8A CN111010405B (zh) | 2019-12-30 | 2019-12-30 | 一种SaaS化的网站安全监控系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911393174.8A CN111010405B (zh) | 2019-12-30 | 2019-12-30 | 一种SaaS化的网站安全监控系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111010405A true CN111010405A (zh) | 2020-04-14 |
CN111010405B CN111010405B (zh) | 2021-10-22 |
Family
ID=70119402
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911393174.8A Active CN111010405B (zh) | 2019-12-30 | 2019-12-30 | 一种SaaS化的网站安全监控系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111010405B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112118152A (zh) * | 2020-09-02 | 2020-12-22 | 紫光云(南京)数字技术有限公司 | 一种实现网络资产快速扫描的分布式架构 |
CN112507344A (zh) * | 2020-12-11 | 2021-03-16 | 北京知道未来信息技术有限公司 | 漏洞检测方法、装置、电子设备和计算机可读存储介质 |
CN113949536A (zh) * | 2021-09-26 | 2022-01-18 | 南通大学 | 一种基于开源项目的半自动化渗透方法 |
CN115794780A (zh) * | 2023-02-15 | 2023-03-14 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络空间资产的采集方法、装置、电子设备及存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103823856A (zh) * | 2014-02-19 | 2014-05-28 | 曙光云计算技术有限公司 | 一种在PaaS平台服务环境中的SaaS迁移方法 |
US20150040229A1 (en) * | 2013-08-05 | 2015-02-05 | Netflix, Inc. | Dynamic security testing |
CN105978894A (zh) * | 2016-06-27 | 2016-09-28 | 上海柯力士信息安全技术有限公司 | 基于安犬漏洞扫描云平台的网络安全监测管理系统 |
CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理系统 |
CN108449345A (zh) * | 2018-03-22 | 2018-08-24 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、系统、设备及存储介质 |
CN108769064A (zh) * | 2018-06-26 | 2018-11-06 | 广东电网有限责任公司信息中心 | 实现漏洞治理的分布式资产识别及变更感知方法与系统 |
CN109525427A (zh) * | 2018-11-12 | 2019-03-26 | 广东省信息安全测评中心 | 分布式资产信息探测方法与系统 |
CN109714449A (zh) * | 2019-01-17 | 2019-05-03 | 平安科技(深圳)有限公司 | 服务域名的动态配置方法、装置、设备及存储介质 |
CN109905276A (zh) * | 2019-01-31 | 2019-06-18 | 山东省电子信息产品检验院 | 一种云服务质量监测方法及系统 |
CN110019282A (zh) * | 2018-08-20 | 2019-07-16 | 郑州向心力通信技术股份有限公司 | 一种信息资产探查系统及方法 |
-
2019
- 2019-12-30 CN CN201911393174.8A patent/CN111010405B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150040229A1 (en) * | 2013-08-05 | 2015-02-05 | Netflix, Inc. | Dynamic security testing |
CN103823856A (zh) * | 2014-02-19 | 2014-05-28 | 曙光云计算技术有限公司 | 一种在PaaS平台服务环境中的SaaS迁移方法 |
CN105978894A (zh) * | 2016-06-27 | 2016-09-28 | 上海柯力士信息安全技术有限公司 | 基于安犬漏洞扫描云平台的网络安全监测管理系统 |
CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理系统 |
CN108449345A (zh) * | 2018-03-22 | 2018-08-24 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、系统、设备及存储介质 |
CN108769064A (zh) * | 2018-06-26 | 2018-11-06 | 广东电网有限责任公司信息中心 | 实现漏洞治理的分布式资产识别及变更感知方法与系统 |
CN110019282A (zh) * | 2018-08-20 | 2019-07-16 | 郑州向心力通信技术股份有限公司 | 一种信息资产探查系统及方法 |
CN109525427A (zh) * | 2018-11-12 | 2019-03-26 | 广东省信息安全测评中心 | 分布式资产信息探测方法与系统 |
CN109714449A (zh) * | 2019-01-17 | 2019-05-03 | 平安科技(深圳)有限公司 | 服务域名的动态配置方法、装置、设备及存储介质 |
CN109905276A (zh) * | 2019-01-31 | 2019-06-18 | 山东省电子信息产品检验院 | 一种云服务质量监测方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112118152A (zh) * | 2020-09-02 | 2020-12-22 | 紫光云(南京)数字技术有限公司 | 一种实现网络资产快速扫描的分布式架构 |
CN112507344A (zh) * | 2020-12-11 | 2021-03-16 | 北京知道未来信息技术有限公司 | 漏洞检测方法、装置、电子设备和计算机可读存储介质 |
CN113949536A (zh) * | 2021-09-26 | 2022-01-18 | 南通大学 | 一种基于开源项目的半自动化渗透方法 |
CN115794780A (zh) * | 2023-02-15 | 2023-03-14 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络空间资产的采集方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111010405B (zh) | 2021-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111010405B (zh) | 一种SaaS化的网站安全监控系统 | |
US8996669B2 (en) | Internet improvement platform with learning module | |
CN112261172B (zh) | 服务寻址访问方法、装置、系统、设备及介质 | |
CN108293181B (zh) | 一种通信标识绑定的处理方法及终端 | |
CN108574742B (zh) | 域名信息收集方法及域名信息收集装置 | |
WO2012113272A1 (zh) | 一种提高终端上网安全性的方法、系统和装置 | |
WO2017084290A1 (zh) | 公众账号二维码生成方法和服务器、公众账号关注方法、服务器和终端 | |
CN111600856A (zh) | 数据中心运维的安全系统 | |
EP3961448A1 (en) | Method and system for detecting an infrastructure of malware or a cybercriminal | |
CN111400762A (zh) | 一种针对oracle数据库的动态脱敏方法 | |
CN102833262A (zh) | 基于whois信息的钓鱼网站收集、鉴定方法和系统 | |
CN106790085B (zh) | 漏洞扫描方法、装置及系统 | |
CN111510463B (zh) | 异常行为识别系统 | |
CN107360198B (zh) | 可疑域名检测方法及系统 | |
US11178160B2 (en) | Detecting and mitigating leaked cloud authorization keys | |
RU2701040C1 (ru) | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах | |
CN109660567A (zh) | 一种通信连接方法、服务器、终端设备及系统 | |
CN107580002B (zh) | 双因子认证安全管理机登录系统及方法 | |
CN115189897A (zh) | 零信任网络的访问处理方法、装置、电子设备及存储介质 | |
CN112118238A (zh) | 认证登录的方法、装置、系统、设备及存储介质 | |
CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
CN114915500B (zh) | 基于pc桌面客户端的自媒体账号管理方法及装置 | |
CN115794780A (zh) | 网络空间资产的采集方法、装置、电子设备及存储介质 | |
US9742641B2 (en) | System and method for identifying real users behind application servers | |
US20220400103A1 (en) | User authentication via telephonic communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20200908 Address after: 201411, Shanghai, Fengxian District hung highway 3098 Applicant after: SHANGHAI TECHNICAL INSTITUTE OF ELECTRONICS & INFORMATION Address before: 201411, Shanghai, Fengxian District hung highway 3098 Applicant before: SHANGHAI TECHNICAL INSTITUTE OF ELECTRONICS & INFORMATION Applicant before: Shanghai pea Information Technology Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |