CN111147491B - 一种漏洞修复方法、装置、设备及存储介质 - Google Patents
一种漏洞修复方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111147491B CN111147491B CN201911368461.3A CN201911368461A CN111147491B CN 111147491 B CN111147491 B CN 111147491B CN 201911368461 A CN201911368461 A CN 201911368461A CN 111147491 B CN111147491 B CN 111147491B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- repaired
- actual
- target
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种漏洞修复方法、装置、设备及存储介质,该方法的步骤包括:接收访问流量;通过入侵防御进程判定访问流量中的异常流量;将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞;调高目标漏洞的修复优先级,并根据修复优先级修复待修复漏洞。本方法优先修复受异常流量的利用程度较高的待修复漏洞,相对有效的阻止异常流量对待修复漏洞的入侵,进而确保了漏洞修复的整体可靠性。此外,本申请还提供一种漏洞修复装置、设备及存储介质,有益效果同上所述。
Description
技术领域
本申请涉及网络安全领域,特别是涉及一种漏洞修复方法、装置、设备及存储介质。
背景技术
漏洞指的是在软硬件系统协议的具体实现或系统安全策略上存在的缺陷,攻击者能够基于漏洞在未授权的情况下访问或破坏软硬件系统。
在网络安全攻防中,对系统漏洞的利用是最直接和最核心的进攻方式,同时针对防守方而言,及时发现系统漏洞并有效防护也是核心安全工作之一。在漏洞防护工作上,最典型的方式就是使用漏洞扫描技术和入侵防御技术,前者用于主动发现系统中存在的漏洞并进行修复,后者用于被动防护黑客对漏洞的利用。由于系统漏洞的数量相对庞大,并且对系统漏洞的修复工作在一定程度上会影响正常业务的稳定性,进而在实际场景下仅能够选择性的对系统漏洞进行修复,但是当前难以确定对系统稳定性影响较大的漏洞,进而难以确保漏洞修复的整体可靠性。
由此可见,提供一种漏洞修复方法,以相对确保漏洞修复过程的整体可靠性,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种漏洞修复方法、装置、设备及存储介质,以相对确保漏洞修复过程的整体可靠性。
为解决上述技术问题,本申请提供一种漏洞修复方法,包括:
接收访问流量;
通过入侵防御进程判定访问流量中的异常流量;
将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞;
调高目标漏洞的修复优先级,并根据修复优先级修复待修复漏洞。
优选地,将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,包括:
对异常流量执行静态特征提取操作得到实际字符特征,并根据预设的第一对应表获取与实际字符特征对应的实际漏洞标识,第一对应表中记录有每个字符特征与每个漏洞标识之间的对应关系;
将与实际漏洞标识对应的待修复漏洞标记为目标漏洞。
优选地,将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,包括:
对异常流量执行动态行为特征提取操作得到实际动态行为特征,并根据预设的第二对应表获取与实际动态行为特征对应的实际漏洞标识,第二对应表中记录有每个动态行为特征与每个漏洞标识之间的对应关系;
将与实际漏洞标识对应的待修复漏洞标记为目标漏洞。
优选地,第二对应表中记录有每个漏洞标识与基于同一源IP地址的连续访问次数之间的对应关系,和/或每个漏洞标识与预设数量的源IP地址的访问次数总量之间的对应关系。
优选地,将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,包括:
对异常流量执行静态特征提取操作得到实际字符特征;
判断预设的第一对应表中是否存在与实际字符特征对应的实际漏洞标识,第一对应表中记录有每个字符特征与每个漏洞标识之间的对应关系;
若存在与实际字符特征对应的实际漏洞标识,则根据第一对应表获取与实际字符特征对应的实际漏洞标识,并将与实际漏洞标识对应的待修复漏洞标记为目标漏洞;
若不存在与实际字符特征对应的实际漏洞标识,对异常流量执行动态行为特征提取操作得到实际动态行为特征;
判断预设的第二对应表中是否存在与实际动态行为特征对应的实际漏洞标识,第二对应表中记录有每个动态行为特征与每个漏洞标识之间的对应关系;
若存在与实际动态行为特征对应的实际漏洞标识,则根据第二对应表获取与实际动态行为特征对应的实际漏洞标识,并将与实际漏洞标识对应的待修复漏洞标记为目标漏洞。
优选地,在将与实际漏洞标识对应的待修复漏洞标记为目标漏洞之后,方法还包括:
将异常流量中的源IP地址加入黑名单,以停止响应由源IP地址发起的访问流量。
优选地,将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,包括:
获取与异常流量对应的请求响应包;
判断是否存在与响应请求包中的返回内容对应的待修复漏洞;
若存在与返回内容对应的待修复漏洞,则将与返回内容对应的待修复漏洞标记为目标漏洞。
优选地,在将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞之前,方法还包括:
通过漏洞扫描引擎扫描得到待修复漏洞;
在调高目标漏洞的修复优先级,并根据修复优先级修复待修复漏洞之后,方法还包括:
对应展示待修复漏洞的漏洞信息以及修复优先级。
此外,本申请还提供一种漏洞修复装置,包括:
流量获取模块,用于接收访问流量;
异常判定模块,用于通过入侵防御进程判定访问流量中的异常流量;
漏洞标记模块,用于将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞;
优先级修复模块,用于调高目标漏洞的修复优先级,并根据修复优先级修复待修复漏洞。
此外,本申请还提供一种漏洞修复设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的漏洞修复方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的漏洞修复方法的步骤。
本申请所提供的漏洞修复方法,首先接收访问流量,并通过入侵防御进程判定访问流量中的异常流量,进而将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,并调高目标漏洞的修复优先级,最终根据修复优先级修复待修复漏洞。由于本方法在获取到待修复漏洞以及实际场景下访问流量中的异常流量后,根据待修复漏洞中受到异常流量攻击的漏洞作为调高修复优先级的目标漏洞,以此优先修复受异常流量的利用程度较高的待修复漏洞,相对有效的阻止异常流量对待修复漏洞的入侵,进而确保了漏洞修复的整体可靠性。此外,本申请还提供一种漏洞修复装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种漏洞修复方法的流程图;
图2为本申请实施例公开的一种具体的漏洞修复方法的流程图;
图3为本申请实施例公开的一种具体的漏洞修复方法的流程图;
图4为本申请实施例公开的一种具体的漏洞修复方法的流程图;
图5为本申请实施例公开的一种具体的漏洞修复方法的流程图;
图6为本申请场景实施例公开的一种漏洞管理系统的结构示意图;
图7为本申请实施例公开的一种漏洞修复装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
在网络安全攻防中,对系统漏洞的利用是最直接和最核心的进攻方式,同时针对防守方而言,及时发现系统漏洞并有效防护也是核心安全工作之一。在漏洞防护工作上,最典型的方式就是使用漏洞扫描技术和入侵防御技术,前者用于主动发现系统中存在的漏洞并进行修复,后者用于被动防护黑客对漏洞的利用。由于系统漏洞的数量相对庞大,并且对系统漏洞的修复工作在一定程度上会影响正常业务的稳定性,进而在实际场景下仅能够选择性的对系统漏洞进行修复,但是当前缺少确定漏洞修复优先级的相关手段,进而难以确保漏洞修复的整体可靠性。
为此,本申请的核心是提供一种漏洞修复方法,以相对确保漏洞修复过程的整体可靠性。
请参见图1所示,本申请实施例公开了一种漏洞修复方法,包括:
步骤S10:接收访问流量。
本步骤的访问流量指的是用户向服务器设备发起访问时的流量,访问流量中包含携带有服务器访问地址以及相关访问参数的访问请求。
步骤S11:通过入侵防御进程判定访问流量中的异常流量。
在接收到访问流量后,进一步通过入侵防御进程对访问流量中的异常流量进行判定,即在访问流量中获取到异常流量。本步骤中的入侵防御进程指的是由入侵防御组件启动的监控进程,用于对访问流量中的异常流量进行拦截,本实施例中的异常流量指的是访问请求满足异常标准的流量,也就是说,入侵防御进程能够基于其自身的安全策略判定访问流量的具体内容是否存在恶意的异常流量,由于通过入侵防御进程进行异常流量的判定是本领域技术人员熟知,并且安全策略应是根据实际的场景需求而定的,故在此不做具体赘述。
入侵防御进程可以是由包括但不限于IPS、WAF等防御组件启动的进程。
IPS(Intrusion Prevention System,入侵防御系统)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter,Application Gateway)的解释。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或具有伤害性的访问流量的传输行为。WAF(Web Application Firewall,Web应用防护系统)是通过执行一系列针对HTTP/HTTPS的安全策略为Web应用提供保护的一款产品。
步骤S12:将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞。
在获取到异常流量后,本步骤进一步将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,此处所指的与异常流量对应的漏洞,是由异常流量发起访问时所针对的漏洞,也就是说,本步骤是将所有待修复漏洞中正在被异常流量访问的漏洞作为目标漏洞,目标漏洞表示的是所有待修复漏洞中正在受到异常流量利用的漏洞,因此目标漏洞对于服务器系统的稳定性造成了实际的威胁。
步骤S13:调高目标漏洞的修复优先级,并根据修复优先级修复待修复漏洞。
当在待修复漏洞中获取到正在受到异常流量利用的目标漏洞后,调高目标漏洞的修复优先级,最终根据各个待修复漏洞的优先级顺序实现对待修复漏洞的修复,以此达到有优先对当前受到异常流量利用程度高的漏洞进行修复。
本申请所提供的漏洞修复方法,首先接收访问流量,并通过入侵防御进程判定访问流量中的异常流量,进而将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,并调高目标漏洞的修复优先级,最终根据修复优先级修复待修复漏洞。由于本方法在获取到待修复漏洞以及实际场景下访问流量中的异常流量后,根据待修复漏洞中受到异常流量攻击的漏洞作为调高修复优先级的目标漏洞,以此优先修复受异常流量的利用程度较高的待修复漏洞,相对有效的阻止异常流量对待修复漏洞的入侵,进而确保了漏洞修复的整体可靠性。
在上述实施例的基础上,作为一种优选的实施方式,将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,包括:
获取与异常流量对应的请求响应包;
判断是否存在与响应请求包中的返回内容对应的待修复漏洞;
若存在与返回内容对应的待修复漏洞,则将与返回内容对应的待修复漏洞标记为目标漏洞。
若不存在与返回内容对应的待修复漏洞,则不做处理。
需要说明的是,本实施方式将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞的方式是通过获取与异常流量对应的请求响应包,并将与请求响应包中返回内容对应的待修复漏洞标记为目标漏洞,由于请求响应包中的返回内容往往记录有待修复漏洞的相关信息,因此根据请求相应包能够获悉与该请求响应包对应的异常流量是针对哪一个待修复漏洞发起了访问,进而将该待修复漏洞设置为目标漏洞。本实施方式能够进一步确保漏洞修复的整体可靠性。
参见图2所示,本申请实施例公开了一种漏洞修复方法,包括:
步骤S20:接收访问流量。
步骤S21:通过入侵防御进程判定访问流量中的异常流量。
步骤S22:对异常流量执行静态特征提取操作得到实际字符特征,并根据预设的第一对应表获取与实际字符特征对应的实际漏洞标识。
第一对应表中记录有每个字符特征与每个漏洞标识之间的对应关系。
步骤S23:将与实际漏洞标识对应的待修复漏洞标记为目标漏洞。
步骤S24:调高目标漏洞的修复优先级,并根据修复优先级修复待修复漏洞。
需要说明的是,本实施例的重点是根据异常流量的字符特征,即实际字符特征在待修复漏洞中匹配相应的目标漏洞,实际字符特征可以具体是异常流量中的某一特定字段下的字符串,也可以是异常流量整体的字符串,在第一对应表中记录有字符特征与待修复漏洞的漏洞标识之间的对应关系,通过第一对应表提供的对应关系能够获悉的是,异常流量对各个漏洞标识的待修复漏洞进行利用时所分别具有的字符特征。进而本实施例基于异常流量具有的实际字符特征在第一对应表中获取与实际字符特征对应的漏洞标识,进而将与漏洞标识对应的待修复漏洞标记为目标漏洞,以此判定出当前所有待修复漏洞中受到异常流量利用的漏洞。由于漏洞标识能够唯一确定待修复漏洞的身份,因此本实施例中第一对应表本质上记录的是与待修复漏洞对应的字符特征,可以理解为是当前入侵防御进程的特征库中已知的在发起利用待修复漏洞的流量访问时可能携带的字符特征,因此能够相对准确获取与异常流量对应的待修复漏洞,进一步确保漏洞修复的整体可靠性。
参见图3所示,本申请实施例公开了一种漏洞修复方法,包括:
步骤S30:接收访问流量。
步骤S31:通过入侵防御进程判定访问流量中的异常流量。
步骤S32:对异常流量执行动态行为特征提取操作得到实际动态行为特征,并根据预设的第二对应表获取与实际动态行为特征对应的实际漏洞标识。
第二对应表中记录有每个动态行为特征与每个漏洞标识之间的对应关系。
步骤S33:将与实际漏洞标识对应的待修复漏洞标记为目标漏洞。
步骤S34:调高目标漏洞的修复优先级,并根据修复优先级修复待修复漏洞。
需要说明的是,本实施例的重点是对异常流量执行动态行为特征提取操作,以此获取到异常流量的实际动态行为特征,实际动态行为特征指的是异常流量作用到服务器的行为操作的特征。在获取到异常流量的实际行为特征后,在记录有待修复漏洞的漏洞标识与动态行为特征之间对应关系的第二对应表中获取与实际动态行为特征对应的目标漏洞标识,并将与该目标漏洞标识对应的待修复漏洞作为当前异常流量正在利用的目标漏洞。本实施例中第二对应表中记录的与待修复漏洞的漏洞标识对应的动态行为特征,可以理解为是当前入侵防御进程的特征库中已知的在发起利用待修复漏洞的流量访问时可能采取的相应操作行为,因此能够相对准确获取与异常流量对应的待修复漏洞,进一步确保漏洞修复的整体可靠性。
在上述实施例的基础上,作为一种优选的实施方式,第二对应表中记录有每个漏洞标识与基于同一源IP地址的连续访问次数之间的对应关系,和/或每个漏洞标识与预设数量的源IP地址的访问次数总量之间的对应关系。
在本实施方式中,第二对应表中可以记录有每个漏洞标识与同一源IP地址的针对于该漏洞连续攻击的次数之间的对应关系,也就是说,第二对应表中记录的是漏洞标识对应的待修复漏洞与动态行为特征之间的对应关系包括:漏洞标识对应的待修复漏洞受到利用时的动态行为特征是,同一攻击源IP地址对该漏洞标识对应的待修复漏洞连续进行N次攻击尝试;另外,第二对应表中还可以记录有每个漏洞标识与预设数量的源IP地址的访问次数总量之间的对应关系,也就是说,第二对应表中记录的漏洞标识与动态行为特征之间的对应关系包括:漏洞标识对应的待修复漏洞受到利用时的动态行为特征是,超过N个不同源IP地址对与该待修复漏洞超过M次攻击尝试。本实施方式通过进一步根据与漏洞标识对应的待修复漏洞被访问的次数判定漏洞标识之间的优先级,相对提高了漏洞修复的整体准确性。
参见图4所示,本申请实施例公开了一种漏洞修复方法,包括:
步骤S40:接收访问流量。
步骤S41:通过入侵防御进程判定访问流量中的异常流量。
步骤S42:对异常流量执行静态特征提取操作得到实际字符特征。
步骤S43:判断预设的第一对应表中是否存在与实际字符特征对应的实际漏洞标识,如果是,则执行步骤S44,否则,执行步骤S45至步骤S46。
其中,第一对应表中记录有每个字符特征与每个漏洞标识之间的对应关系。
步骤S44:根据第一对应表获取与实际字符特征对应的实际漏洞标识,并将与实际漏洞标识对应的待修复漏洞标记为目标漏洞。
步骤S45:对异常流量执行动态行为特征提取操作得到实际动态行为特征。
步骤S46:判断预设的第二对应表中是否存在与实际动态行为特征对应的实际漏洞标识,如果是,则步骤S47至步骤S48,否则,执行步骤S49。
其中,第二对应表中记录有每个动态行为特征与每个漏洞标识之间的对应关系。
步骤S47:根据第二对应表获取与实际动态行为特征对应的实际漏洞标识,并将与实际漏洞标识对应的待修复漏洞标记为目标漏洞。
步骤S48:调高目标漏洞的修复优先级,并根据修复优先级修复待修复漏洞。
步骤S49:不做处理。
需要说明的是,本实施例的重点是在获取到异常流量后,首先对异常流量进行静态特征提取操作,并根据得到的实际字符特征在第一对应表的对应关系中判定待修复漏洞中受到异常流量利用的目标漏洞,如果通过第一对应表并未得到目标漏洞,则进一步对异常流量进行动态行为特征提取操作,并根据得到的实际动态行为特征在第二对应表的对应关系中判定待修复漏洞中受到异常流量利用的目标漏洞。本实施例基于静态的字符特征与动态的行为特征共同判定待修复漏洞中受到异常流量利用的目标漏洞,能够进一步确保对与异常流量对应的待修复漏洞的准确获取,进一步确保漏洞修复的整体可靠性。
在上述实施例的基础上,作为一种优选的实施方式,在将与实际漏洞标识对应的待修复漏洞标记为目标漏洞之后,方法还包括:
将异常流量中的源IP地址加入黑名单,以停止响应由源IP地址发起的访问流量。
由于异常流量中的字符特征能够作为判定该异常流量是否利用待修复漏洞发起异常访问操作的充分条件,因此在根据第一对应表将与实际字符特征对应的待修复漏洞标记为目标漏洞之后,能够认为目标漏洞必然为受到该异常流量利用的漏洞,故在此情况下,将发起异常流量的源IP地址加入黑名单,以停止响应由源IP地址发起的访问流量,进一步确保了系统的整体稳定性。
参见图5所示,本申请实施例公开了一种漏洞修复方法,包括:
步骤S50:接收访问流量。
步骤S51:通过入侵防御进程判定访问流量中的异常流量。
步骤S52:通过漏洞扫描引擎扫描得到待修复漏洞。
步骤S53:将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞。
步骤S54:调高目标漏洞的修复优先级,并根据修复优先级修复待修复漏洞。
步骤S55:对应展示待修复漏洞的漏洞信息以及修复优先级。
需要说明的是,本实施例的重点是基于漏洞扫描引擎主动扫描得到服务器设备的待修复漏洞,并由入侵防御进程判定访问流量中的异常流量,进而根据被动拦截的异常流量与主动扫描的待修复漏洞共同判定待修复漏洞之间的修复优先级,通过漏洞扫描引擎对服务器进行扫描的方式得到服务器设备的待修复漏洞,能够相对确保对待修复漏洞的准确获取,从而进一步确保漏洞修复的整体可靠性。
为了加深对于本申请技术方案的理解,下面提供一种具体场景下的场景实施例进行进一步说明。
请参考如图6所示的漏洞管理系统的结构示意图,本申请的场景实施例中的漏洞管理系统主要组成模块包括:
1、漏洞发现模块:该模块包含漏洞扫描和未知漏洞分析两大引擎
(1)漏洞扫描引擎即为传统漏洞扫描引擎;
(2)未知漏洞分析引擎通过分析与入侵防御模块对应的入侵防御进程产生的攻击日志,根据攻击日志所反映的行为特征发现潜在未知的系统漏洞,攻击日志内容包括但不仅限于:源IP、目的IP、端口、被攻击页面URL,攻击数据包,服务器响应数据包等信息;
2、入侵防御模块:该模块主要用于拦截漏洞攻击,可采用传统IPS、WAF等防御组件;
3、运营展示模块:展示网络中系统漏洞运营情况,以及配置安全策略。
在上述漏洞管理系统的组成模块的基础上,系统运行流程如下:
1、漏洞扫描引擎对指定的业务服务器发起漏洞扫描任务,发现已知的业务系统漏洞,该部分和传统漏扫工具无差异,不作详细论述。
2、漏洞扫描引擎将扫描到的已知漏洞输出到运营展示模块,并将漏洞ID同步至入侵防御模块,这里的漏洞ID可以采用业界标准的CVE、CNVD等编号,如需要自定义漏洞信息,则需要保证漏洞扫描引擎和入侵防御模块中对同一漏洞具备映射关系,保证映射关系的目的是为了后续能够将漏洞和攻击行为有效关联起来。
3、当黑客对业务系统发起攻击行为时,流量经过入侵防御模块,该模块将:
1)记录此次攻击日志并根据安全策略进行拦截阻断,此处攻击检测方法与传统方法无太大差异,不作详细论述;
2)判断此次攻击是否利用已存在的业务系统漏洞发起,如果是,将根据安全策略执行对此次攻击源IP地址的严格安全策略,如将IP加入永久黑名单;
3)将攻击日志同步至未知漏洞分析引擎;
4、未知漏洞分析引擎通过攻击行为特征、服务器响应包信息发现疑似的漏洞利用点并输出到运营展示模块。
行为特征包括但不仅限于:
1)同一攻击源IP,尝试对同一URL、同一漏洞类型连续进行N次攻击尝试,则此URL页面疑似存在该漏洞;
2)超过N个不同源IP,对同一URL页面、同一漏洞类型超过M次攻击尝试,则此URL页面疑似存在该漏洞;
基于服务器响应包信息的内容分析包括但不仅限于:
1)通过响应数据包进行分析,例如目录遍历漏洞,成功利用时服务器将返回服务器目录信息;
5、运营模块展示业务系统全部漏洞列表,包含漏洞名称、所属业务、描述、危害等级、被利用次数、发现时间等信息,并提供多种维度的优先级排序,如被利用次数最多、危害等级最高等。
请参见图7所示,本申请实施例公开了一种漏洞修复装置,包括:
流量获取模块10,用于接收访问流量;
异常判定模块11,用于通过入侵防御进程判定访问流量中的异常流量;
漏洞标记模块12,用于将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞;
优先级修复模块13,用于调高目标漏洞的修复优先级,并根据修复优先级修复待修复漏洞。
本申请所提供的漏洞修复装置,首先接收访问流量,并通过入侵防御进程判定访问流量中的异常流量,进而将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,并调高目标漏洞的修复优先级,最终根据修复优先级修复待修复漏洞。由于本装置在获取到待修复漏洞以及实际场景下访问流量中的异常流量后,根据待修复漏洞中受到异常流量攻击的漏洞作为调高修复优先级的目标漏洞,以此优先修复受异常流量的利用程度较高的待修复漏洞,相对有效的阻止异常流量对待修复漏洞的入侵,进而确保了漏洞修复的整体可靠性。
在前述实施例的基础上,本申请实施例对漏洞修复装置进行进一步的说明和优化,具体的:
在一种具体实施方式中,漏洞标记模块12,包括:
静态提取模块,用于对异常流量执行静态特征提取操作得到实际字符特征,并根据预设的第一对应表获取与实际字符特征对应的实际漏洞标识;
第一对应表中记录有每个字符特征与每个漏洞标识之间的对应关系;
静态判定模块,用于将与实际漏洞标识对应的待修复漏洞标记为目标漏洞。
在一种具体实施方式中,漏洞标记模块12,包括:
动态提取模块,用于对异常流量执行动态行为特征提取操作得到实际动态行为特征,并根据预设的第二对应表获取与实际动态行为特征对应的实际漏洞标识;
第二对应表中记录有每个动态行为特征与每个漏洞标识之间的对应关系;
动态判定模块,用于将与实际漏洞标识对应的待修复漏洞标记为目标漏洞。
在一种具体实施方式中,第二对应表中记录有每个漏洞标识与基于同一源IP地址的连续访问次数之间的对应关系,和/或每个漏洞标识与预设数量的源IP地址的访问次数总量之间的对应关系。
在一种优选的实施方式中,漏洞标记模块12,包括:
静态提取模块,用于对异常流量执行静态特征提取操作得到实际字符特征;
静态判断模块,用于判断预设的第一对应表中是否存在与实际字符特征对应的实际漏洞标识,如果是,则调用静态标记模块,否则,依次调用动态提取模块以及动态判断模块;其中,第一对应表中记录有每个字符特征与每个漏洞标识之间的对应关系;
静态标记模块,用于根据第一对应表获取与实际字符特征对应的实际漏洞标识,并将与实际漏洞标识对应的待修复漏洞标记为目标漏洞;
动态提取模块,用于对异常流量执行动态行为特征提取操作得到实际动态行为特征;
动态判断模块,用于判断预设的第二对应表中是否存在与实际动态行为特征对应的实际漏洞标识;其中,第二对应表中记录有每个动态行为特征与每个漏洞标识之间的对应关系;
动态标记模块,用于若存在与实际动态行为特征对应的实际漏洞标识,则根据第二对应表获取与实际动态行为特征对应的实际漏洞标识,并将与实际漏洞标识对应的待修复漏洞标记为目标漏洞。
在一种优选的实施方式中,装置还包括:
黑名单添加模块,用于将异常流量中的源IP地址加入黑名单,以停止响应由源IP地址发起的访问流量。
在一种优选的实施方式中,漏洞标记模块12,包括:
响应包获取模块,用于获取与异常流量对应的请求响应包;
响应包判断模块,用于判断是否存在与响应请求包中的返回内容对应的待修复漏洞,若是,则调用响应包标记模块;
响应包标记模块,用于将与返回内容对应的待修复漏洞标记为目标漏洞。
在一种优选的实施方式中,装置还包括:
引擎扫描模块,用于通过漏洞扫描引擎扫描得到待修复漏洞;
展示模块,用于对应展示待修复漏洞的漏洞信息以及修复优先级。
此外,本实施例还公开了一种漏洞修复设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的漏洞修复方法的步骤。
本申请所提供的漏洞修复设备,首先接收访问流量,并通过入侵防御进程判定访问流量中的异常流量,进而将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,并调高目标漏洞的修复优先级,最终根据修复优先级修复待修复漏洞。由于本设备在获取到待修复漏洞以及实际场景下访问流量中的异常流量后,根据待修复漏洞中受到异常流量攻击的漏洞作为调高修复优先级的目标漏洞,以此优先修复受异常流量的利用程度较高的待修复漏洞,相对有效的阻止异常流量对待修复漏洞的入侵,进而确保了漏洞修复的整体可靠性。
进一步的,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的漏洞修复方法的步骤。
本申请所提供的计算机可读存储介质,首先接收访问流量,并通过入侵防御进程判定访问流量中的异常流量,进而将所有待修复漏洞中与异常流量对应的漏洞标记为目标漏洞,并调高目标漏洞的修复优先级,最终根据修复优先级修复待修复漏洞。由于本计算机可读存储介质在获取到待修复漏洞以及实际场景下访问流量中的异常流量后,根据待修复漏洞中受到异常流量攻击的漏洞作为调高修复优先级的目标漏洞,以此优先修复受异常流量的利用程度较高的待修复漏洞,相对有效的阻止异常流量对待修复漏洞的入侵,进而确保了漏洞修复的整体可靠性。
以上对本申请所提供的一种漏洞修复装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (11)
1.一种漏洞修复方法,其特征在于,包括:
接收访问流量;
通过入侵防御进程判定所述访问流量中的异常流量;
将所有待修复漏洞中与所述异常流量对应的漏洞标记为目标漏洞;
调高所述目标漏洞的修复优先级,并根据所述修复优先级修复所述待修复漏洞。
2.根据权利要求1所述的漏洞修复方法,其特征在于,所述将所有待修复漏洞中与所述异常流量对应的漏洞标记为目标漏洞,包括:
对所述异常流量执行静态特征提取操作得到实际字符特征,并根据预设的第一对应表获取与所述实际字符特征对应的实际漏洞标识,所述第一对应表中记录有每个字符特征与每个漏洞标识之间的对应关系;
将与所述实际漏洞标识对应的待修复漏洞标记为所述目标漏洞。
3.根据权利要求1所述的漏洞修复方法,其特征在于,所述将所有待修复漏洞中与所述异常流量对应的漏洞标记为目标漏洞,包括:
对所述异常流量执行动态行为特征提取操作得到实际动态行为特征,并根据预设的第二对应表获取与所述实际动态行为特征对应的实际漏洞标识,所述第二对应表中记录有每个动态行为特征与每个漏洞标识之间的对应关系;
将与所述实际漏洞标识对应的待修复漏洞标记为所述目标漏洞。
4.根据权利要求3所述的漏洞修复方法,其特征在于,所述第二对应表中记录有每个所述漏洞标识与基于同一源IP地址的连续访问次数之间的对应关系,和/或每个所述漏洞标识与预设数量的源IP地址的访问次数总量之间的对应关系。
5.根据权利要求1所述的漏洞修复方法,其特征在于,所述将所有待修复漏洞中与所述异常流量对应的漏洞标记为目标漏洞,包括:
对所述异常流量执行静态特征提取操作得到实际字符特征;
判断预设的第一对应表中是否存在与所述实际字符特征对应的实际漏洞标识,所述第一对应表中记录有每个字符特征与每个漏洞标识之间的对应关系;
若存在与所述实际字符特征对应的实际漏洞标识,则根据所述第一对应表获取与所述实际字符特征对应的实际漏洞标识,并将与所述实际漏洞标识对应的待修复漏洞标记为所述目标漏洞;
若不存在与所述实际字符特征对应的实际漏洞标识,对所述异常流量执行动态行为特征提取操作得到实际动态行为特征;
判断预设的第二对应表中是否存在与所述实际动态行为特征对应的实际漏洞标识,所述第二对应表中记录有每个动态行为特征与每个漏洞标识之间的对应关系;
若存在与所述实际动态行为特征对应的实际漏洞标识,则根据所述第二对应表获取与所述实际动态行为特征对应的实际漏洞标识,并将与所述实际漏洞标识对应的待修复漏洞标记为所述目标漏洞。
6.根据权利要求5所述的漏洞修复方法,其特征在于,在所述将与所述实际漏洞标识对应的待修复漏洞标记为所述目标漏洞之后,所述方法还包括:
将所述异常流量中的源IP地址加入黑名单,以停止响应由所述源IP地址发起的所述访问流量。
7.根据权利要求1所述的漏洞修复方法,其特征在于,所述将所有待修复漏洞中与所述异常流量对应的漏洞标记为目标漏洞,包括:
获取与所述异常流量对应的请求响应包;
判断是否存在与所述响应请求包中的返回内容对应的所述待修复漏洞;
若存在与所述返回内容对应的所述待修复漏洞,则将与所述返回内容对应的所述待修复漏洞标记为所述目标漏洞。
8.根据权利要求1至7任意一项所述的漏洞修复方法,其特征在于,在所述将所有待修复漏洞中与所述异常流量对应的漏洞标记为目标漏洞之前,所述方法还包括:
通过漏洞扫描引擎扫描得到所述待修复漏洞;
在所述调高所述目标漏洞的修复优先级,并根据所述修复优先级修复所述待修复漏洞之后,所述方法还包括:
对应展示所述待修复漏洞的漏洞信息以及所述修复优先级。
9.一种漏洞修复装置,其特征在于,包括:
流量获取模块,用于接收访问流量;
异常判定模块,用于通过入侵防御进程判定所述访问流量中的异常流量;
漏洞标记模块,用于将所有待修复漏洞中与所述异常流量对应的漏洞标记为目标漏洞;
优先级修复模块,用于调高所述目标漏洞的修复优先级,并根据所述修复优先级修复所述待修复漏洞。
10.一种漏洞修复设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至8任一项所述的漏洞修复方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的漏洞修复方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911368461.3A CN111147491B (zh) | 2019-12-26 | 2019-12-26 | 一种漏洞修复方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911368461.3A CN111147491B (zh) | 2019-12-26 | 2019-12-26 | 一种漏洞修复方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111147491A CN111147491A (zh) | 2020-05-12 |
CN111147491B true CN111147491B (zh) | 2022-11-22 |
Family
ID=70520513
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911368461.3A Active CN111147491B (zh) | 2019-12-26 | 2019-12-26 | 一种漏洞修复方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111147491B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112069503A (zh) * | 2020-08-05 | 2020-12-11 | 长沙市到家悠享网络科技有限公司 | 任务管理方法、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9692778B1 (en) * | 2014-11-11 | 2017-06-27 | Symantec Corporation | Method and system to prioritize vulnerabilities based on contextual correlation |
WO2019047346A1 (zh) * | 2017-09-11 | 2019-03-14 | 平安科技(深圳)有限公司 | 网站漏洞扫描方法、装置、计算机设备及存储介质 |
CN109977673A (zh) * | 2017-12-27 | 2019-07-05 | 航天信息股份有限公司 | 一种基于web网站系统安全的漏洞修复方法及系统 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150033350A1 (en) * | 2003-07-01 | 2015-01-29 | Securityprofiling, Llc | System, method, and computer program product with vulnerability and intrusion detection components |
CN101950338A (zh) * | 2010-09-14 | 2011-01-19 | 中国科学院研究生院 | 一种基于层次化漏洞威胁评估的漏洞修复方法 |
CN106656941B (zh) * | 2015-11-03 | 2020-02-07 | 北京神州泰岳软件股份有限公司 | 一种设备安全漏洞的处理方法和装置 |
US10372915B2 (en) * | 2016-07-29 | 2019-08-06 | Jpmorgan Chase Bank, N.A. | Cybersecurity vulnerability management systems and method |
CN106611126A (zh) * | 2016-12-22 | 2017-05-03 | 西北大学 | 一种漏洞严重性评估及修补方法 |
CN107196955A (zh) * | 2017-06-15 | 2017-09-22 | 北京理工大学 | 基于漏洞关联性分析的网络系统主动防御方法 |
CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
CN109586282B (zh) * | 2018-11-29 | 2021-03-09 | 安徽继远软件有限公司 | 一种电网未知威胁检测系统及方法 |
CN110069929B (zh) * | 2019-04-18 | 2021-06-18 | 绿盟科技集团股份有限公司 | 漏洞处置分析方法及其分析模型的构建方法和装置 |
CN110443046B (zh) * | 2019-08-14 | 2021-10-29 | 中国电子信息产业集团有限公司第六研究所 | 一种漏洞修复的方法及装置 |
CN110545280B (zh) * | 2019-09-09 | 2021-12-24 | 北京华赛在线科技有限公司 | 一种基于威胁检测准确度的量化评估方法 |
CN111935170B (zh) * | 2020-08-20 | 2022-06-07 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
-
2019
- 2019-12-26 CN CN201911368461.3A patent/CN111147491B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9692778B1 (en) * | 2014-11-11 | 2017-06-27 | Symantec Corporation | Method and system to prioritize vulnerabilities based on contextual correlation |
WO2019047346A1 (zh) * | 2017-09-11 | 2019-03-14 | 平安科技(深圳)有限公司 | 网站漏洞扫描方法、装置、计算机设备及存储介质 |
CN109977673A (zh) * | 2017-12-27 | 2019-07-05 | 航天信息股份有限公司 | 一种基于web网站系统安全的漏洞修复方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111147491A (zh) | 2020-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11489855B2 (en) | System and method of adding tags for use in detecting computer attacks | |
JP6894003B2 (ja) | Apt攻撃に対する防御 | |
US11057422B2 (en) | System and method for strategic anti-malware monitoring | |
US20210152520A1 (en) | Network Firewall for Mitigating Against Persistent Low Volume Attacks | |
US9306964B2 (en) | Using trust profiles for network breach detection | |
EP4027604A1 (en) | Security vulnerability defense method and device | |
US9654494B2 (en) | Detecting and marking client devices | |
US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
US8789171B2 (en) | Mining user behavior data for IP address space intelligence | |
CN111460445B (zh) | 样本程序恶意程度自动识别方法及装置 | |
RU2661533C1 (ru) | Система и способ обнаружения признаков компьютерной атаки | |
CN112583845A (zh) | 一种访问检测方法、装置、电子设备和计算机存储介质 | |
CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
CN111147491B (zh) | 一种漏洞修复方法、装置、设备及存储介质 | |
KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
Hatada et al. | Finding new varieties of malware with the classification of network behavior | |
CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
KR20050095147A (ko) | 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법 | |
CN114301689B (zh) | 校园网络安全防护方法、装置、计算设备及存储介质 | |
CN117278288A (zh) | 一种网络攻击防护方法、装置、电子设备及存储介质 | |
US20050262565A1 (en) | Method and systems for computer security | |
CN116566654A (zh) | 一种区块链管理服务器用的防护系统 | |
CN115622754A (zh) | 一种检测并防止mqtt漏洞的方法、系统和装置 | |
Narayanaguru | Analysis of Cloud Network Intrusion Issue and a Feasible Detection Methodology | |
Rathore | TOWARDS IDENTIFICATION OF VULNERABILITIES AND THEIR EXPLOITS USING PENETRATION TESTING TOOLS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |