CN111343188A - 一种漏洞查找方法、装置、设备和存储介质 - Google Patents
一种漏洞查找方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN111343188A CN111343188A CN202010147233.XA CN202010147233A CN111343188A CN 111343188 A CN111343188 A CN 111343188A CN 202010147233 A CN202010147233 A CN 202010147233A CN 111343188 A CN111343188 A CN 111343188A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- target protection
- test
- protection equipment
- response data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提出了一种漏洞查找方法、装置、网络安全设备和计算机存储介质,所述方法包括:向目标防护设备发送测试数据包;所述测试数据包用于触发所述目标防护设备回复响应数据;接收所述目标防护设备发送的所述测试数据包的响应数据,并将根据所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞,如此,可以确定目标防护设备是否存在与测试数据包对应的漏洞,有利于针对漏洞的防护策略的确定。
Description
技术领域
本发明涉及网络安全技术,尤其一种漏洞查找方法、装置、网络安全设备和存储介质。
背景技术
现有网络安全技术中,防火墙(Application Firewall,AF)安全防护策略是通过实时漏洞分析、漏洞攻击防护、WEB应用防护、内容安全防护等技术组合而成的网络安全防护策略,AF安全防护策略是用来阻止黑客发现或利用内网的目标防护设备所存在的勒索漏洞,只能依靠客户或者运维人员的认知,缺乏针对性地配置一些防护策略,只能被动地防护黑客攻击。
发明内容
本发明实施例提供了一种漏洞查找方法、装置、网络安全设备和计算机存储介质,通过主动扫描探测的方式,确定目标防护设备是否存在与测试数据包对应的漏洞,有利于防护策略的确定。
本发明实施例提供了一种漏洞查找方法,所述方法包括:
向目标防护设备发送测试数据包;所述测试数据包用于触发所述目标防护设备回复响应数据;
接收所述目标防护设备的响应数据,并将根据所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞。
可选地,所述将所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞,包括:
在所述响应数据的特征与预设的漏洞特征不匹配的情况下,确定所述目标防护设备不存在与所述数据测试包对应的漏洞;
在所述响应数据的特征与预设的漏洞特征匹配的情况下,确定所述目标防护设备存在与所述数据测试包对应的漏洞。
可选地,所述预设的漏洞特征是根据网络上出现的漏洞确定的。
可选地,所述方法还包括:展示所述目标防护设备中存在的漏洞的信息。
可选地,所述展示所述目标防护设备中存在的漏洞的信息,包括:
展示以下至少一项信息:所述目标防护设备的标识、所述漏洞的标识、针对所述漏洞的安全防护策略。
可选地,所述方法还包括:
针对目标防护设备中存在的漏洞,配置安全防护策略。
可选地,所述方法还包括:
获取验证性测试脚本库,所述验证性测试脚本库用于实现漏洞测试;
根据所述验证性测试脚本库,得到所述测试数据包。
可选地,所述方法还包括:
在获取到新的漏洞时,根据所述新的漏洞更新所述验证性脚本测试库。
本发明实施例还提供了一种漏洞查找装置,所述装置包括:发送模块和处理模块,其中,
所述发送模块,用于向目标防护设备发送测试数据包;所述测试数据包用于触发所述目标防护设备回复响应数据;
所述处理模块,用于接收所述目标防护设备的响应数据,并将所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞。
可选地,所述处理模块,具体用于在所述响应数据的特征与预设的漏洞特征不匹配的情况下,确定所述目标防护设备不存在与所述数据测试包对应的漏洞;在所述响应数据的特征与预设的漏洞特征匹配的情况下,确定所述目标防护设备存在与所述数据测试包对应的漏洞。
可选地,所述预设的漏洞特征是根据网络上出现的漏洞确定的。
可选地,所述处理模块还用于展示所述目标防护设备中存在的漏洞的信息。
可选地,所述处理模块,用于展示以下至少一项信息:所述目标防护设备的标识、所述漏洞的标识、针对所述漏洞的安全防护策略。
可选地,所述处理模块,还用于针对目标防护设备中存在的漏洞,配置安全防护策略。
可选地,所述发送模块,还用于获取验证性测试脚本库,所述验证性测试脚本库用于实现漏洞测试;根据所述验证性测试脚本库,得到所述测试数据包。
可选地,所述发送模块,还用于在获取到新的漏洞时,根据所述新的漏洞更新所述验证性脚本测试库。
本发明实施例还提供了一种网络安全设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,
所述处理器用于运行所述计算机程序时,执行上述任意一种漏洞查找方法。
本发明实施例还提供了一种计算机存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任意一种所述的漏洞查找方法。
本发明实施例提出的漏洞查找方法,向目标防护设备发送测试数据包;所述测试数据包用于触发所述目标防护设备回复响应数据;接收所述目标防护设备的响应数据,并将所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞,如此,可以通过主动测试方式,确定目标防护设备是否存在与测试数据包对应的漏洞,有利于防护策略的确定。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本发明的实施例,并与说明书一起用于说明本发明的技术方案。
图1为本发明实施例的一种漏洞查找方法的流程图;
图2为本发明实施例的针对目标防护设备的漏洞查找方法的原理示意图;
图3为本发明实施例的漏洞查找装置的组成结构示意图;
图4为本发明实施例的网络安全设备的结构示意图。
具体实施方式
以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所提供的实施例仅仅用以解释本发明,并不用于限定本发明。另外,以下所提供的实施例是用于实施本发明的部分实施例,而非提供实施本发明的全部实施例,在不冲突的情况下,本发明实施例记载的技术方案可以任意组合的方式实施。
需要说明的是,在本发明实施例中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素,而且还包括没有明确列出的其他要素,或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元,例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
例如,本发明实施例提供的漏洞查找方法包含了一系列的步骤,但是本发明实施例提供的漏洞查找方法不限于所记载的步骤,同样地,本发明实施例提供的漏洞查找装置包括了一系列模块,但是本发明实施例提供的装置不限于包括所明确记载的模块,还可以包括为获取相关信息、或基于信息进行处理时所需要设置的模块。
本发明实施例可以应用于网络安全设备中,用于实现对目标防护设备的保护,这里的网络安全设备是指用于进行网络安全防护的设备,例如,网络安全设备可以是安装有防火墙(Application Firewall,AF)的设备或其它提供网络安全防护的设备,目标防护设备可以是指需要为其提供网络防护的目标防护设备,即,需要保护的设备,例如,目标防护设备可以是终端或服务器,这里,终端可以是瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统,等等,服务器可以是服务器计算机系统小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
相关技术中,可以采用AF安全防护策略来对目标防护设备进行防护,这里的AF安全防护策略指AF通过实时漏洞分析、漏洞攻击防护、WEB应用防护、内容安全防护等技术组合而成的网络安全防护策略,在实际应用中,可以通过网络安全设备中的策略菜单来实现安全防护策略的设置,可选地,可以创建新增业务的防护策略,并对新增业务的防护策略的基础防御功能和增强功能两大部分进行设置,具体地,对于基础防御部分可以选择漏洞攻击防护和内容安全防护选项,对于增强功能部分可以选择WEB应用防护以及网站防篡改选项。
相关技术中,防护策略中存在的问题是防护比较被动,一般客户并不知道其内网中有多少台目标防护设备存在漏洞,也不知道这些设备存在哪些漏洞。这种情况下,客户有两种防护方式:方式1,根据客户/运维人员自己的认知,认为内网可能存在哪些漏洞,然后在防火墙上配置相应的策略,对出现的网络漏洞无能为力,十分被动;方式2,等到客户自己的内网被黑客攻击后才发现漏洞,这时候损失已经发生了才去配置针对性的策略,也十分被动,也就是说,现有的防护只能依靠客户或者运维人员的认知,缺乏针对性地配置一些防护策略,只能被动地防护黑客攻击。
针对上述技术问题,在本发明的一些实施例中,提出了一种漏洞查找方法。
图1为本发明实施例的一种漏洞查找方法的流程图,如图1所示,该流程可以包括:
步骤101:向目标防护设备发送测试数据包;所述测试数据包用于触发所述目标防护设备回复响应数据。
这里,测试数据包可以是用于对至少一种类型或至少一个名称标识的漏洞进行测试的数据包,例如,测试数据包可以是用于检测勒索漏洞或其它漏洞的数据包;具体地,测试数据包是根据漏洞的特征有意创建的,能够安全地触发目标防护设备中的漏洞,使目标防护设备将带有漏洞的特征的数据响应给网络安全设备,供安全网络设备进行特征识别。目标防护设备可以是指需要防护的电子设备。
在实际应用中,可以根据实际需求确定需要测试的漏洞类型或名称,然后,根据需要测试的漏洞的特征来生成测试数据包。
对于向目标防护设备发送测试数据包的实现方式,可以是在目标防护设备开通了网络服务的情况下,由网络安全设备向目标防护设备发送测试数据包。
步骤102:接收所述目标防护设备发送的所述测试数据包的响应数据,根据所述响应数据的特征,判断目标防护设备是否存在漏洞。
在一种实施方式中,网络安全设备可以向目标防护设备发送包含漏洞测试命令的测试数据包,目标防护设备接收包含漏洞测试命令的测试数据包,执行测试数据中包含的漏洞测试命令,得到响应数据并将响应数据发送至网络安全设备。在另一种实施方式中,网络安全设备可以向目标防护设备发送不包含任何命令的测试数据包,目标防护设备接收不包含任何命令的测试数据包(因此,目标防护设备不执行任何命令),目标防护设备按照自身默认的流程回复响应数据,网络安全设备(如AF)收到目标防护设备的响应数据后,根据数据的特征,识别出目标防护设备中的漏洞。
所述响应数据的特征,可以指目标防护设备执行数据测试包中包含的漏洞测试命令时,得到的执行结果的特征,具体地,响应数据的特征可以用于表示响应数据中是否包含测试数据包中探测性命令的预期执行结果。
网络安全设备在接收到测试数据包的响应数据后,可根据上述响应数据的特征,判断目标防护设备是否存在与测试数据包对应的漏洞。例如,Apache Struts是一款用于创建企业级Java Web应用的开源框架。在使用基于Jakarta插件的文件上传功能时,在存在远程命令执行的情况下,网络安全设备可以通过发送探测性的、无害的超文本传输协议(Hyper Text Transfer Protocol,HTTP)请求(测试数据包)来触发Apache Struts中的漏洞,具体地,可以是在上传文件时修改HTTP请求头中的Content-Type值来触发该漏洞,从而执行系统命令,并在执行系统命令成功后返回执行结果给网络安全设备,如果ApacheStruts执行结果(测试包的响应数据)中包含了测试数据包中探测性命令的预期漏洞特征,则证明Apache Struts存在与测试数据包对应的漏洞,如果Apache Struts响应的数据(测试包的响应数据)中没有包含测试数据包中探测性命令的预期漏洞特征,或者ApacheStruts不执行系统命令,则证明Apache Struts不存在与测试包对应的漏洞。
在实际应用中,步骤101至步骤102可以利用网络安全设备中的处理器实现,上述处理器可以为特定用途集成电路(Application Specific Integrated Circuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital SignalProcessing Device,DSPD)、可编程逻辑装置(Programmable Logic Device,PLD)、FPGA、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。
可以看出,本发明实施例提出的漏洞查找方法,向目标防护设备发送测试数据包;所述测试数据包用于触发所述目标防护设备回复响应数据;接收所述目标防护设备的响应数据,并将根据所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞,如此,可以确定目标防护设备是否存在与测试数据包对应的漏洞,有利于针对漏洞的防护策略的确定。
在一种实施方式中,所述将所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞,包括:
在所述响应数据的特征与预设的漏洞特征不匹配的情况下,确定所述目标防护设备不存在与所述测试数据包对应的漏洞;
在所述响应数据的特征与预设的漏洞特征匹配的情况下,确定所述目标防护设备存在与所述测试数据包对应的漏洞。
作为一种实施方式,预设的漏洞特征可以是从实际的网络漏洞中提取得到的。例如,若一台目标防护设备存在“struct 2远程执行”漏洞,那么它会执行黑客发出的特定类型远程命令“xxx”,而这类型命令“xxx”在正常情况下是不允许远程执行的,那么“执行远程命令xxx”就是漏洞的一个特征。当网络安全设备(如AF)接收到这些响应数据的时候发现远程命令“xxx”被执行了,符合了漏洞的特征,证明目标防护设备存在“struct 2远程执行”漏洞,即,提取出的执行远程命令“XXX”可以是“漏洞struct 2远程执行”的一个预设漏洞特征。再例如,网络上爆发某个新型漏洞“ABC”,这个漏洞会泄漏目标防护设备的特定机密数据(例如账号、密码等重要数据),黑客会利用这些机密数据损坏客户的利益。可以认为“泄漏机密数据”就是漏洞“ABC”的一个预设漏洞特征。
这里,对于在所述响应数据的特征与预设的特征不匹配的情况下,确定所述目标防护设备不存在与所述测试数据包对应的漏洞的实现方式,可以是指在响应数据中不包含与测试数据包中探测性命令的预期执行结果相一致的数据的情况下,确定目标防护设备不存在与测试数据包对应的漏洞;
对于在所述响应数据的特征与预设的特征匹配的情况下,确定所述目标防护设备存在与所述测试数据包对应的漏洞的实现方式,可以是指在响应数据中包含与测试数据包中探测性命令的预期执行结果相一致的数据的情况下,确定目标防护设备存在与测试数据包对应的漏洞。
在一种实施方式中,预设的漏洞特征是根据网络上出现的漏洞确定的。
作为一种实施方式,预设的漏洞特征是根据网络上出现的漏洞确定的,可以是指通过对网络上出现的漏洞进行特征提取来确定预设漏洞特征,例如,某一天互联网上爆发Apache Struts勒索漏洞,那么可以通过由研发人员组成的安全团队对该漏洞进行分析,确定该漏洞具有哪些特征,然后把这些特征记录在测试脚本库中。其中,确定的这些特征都具有确定性,即存在该漏洞的设备,响应的的数据包一定会存在这些特征;反过来说,如果目标防护设备响应的数据包里面有这些特征,那么就能证明该设备存在相应的漏洞。
在一种实施方式中,所述方法还包括:展示所述与所述测试数据包对应的漏洞的信息。
这里,展示所述与所述测试数据包对应的漏洞的信息,可以是指通过可视化界面显示与所述测试数据包对应的漏洞信息,或者,存在漏洞的目标防护设备的标识(如IP地址或者计算机名称),具体地,可以通过在网络安全设备中对所述测试数据包对应的漏洞信息或者存在漏洞的目标防护设备的标识进行首页展示,从而,可以实现对目标防护设备存在的漏洞风险进行可视化展示,更清楚、更直观。
作为一种实施方式,针对勒索漏洞的首页展示,可以是指通过包括勒索专项防护、安全运营中心、业务安全总览等等菜单项,来显示关于勒索漏洞的信息。具体地,可以针对勒索漏洞的勒索专项防护初始界面,在网络安全设备首次对漏洞信息进行展示时,用来给用户介绍勒索专项防护功能并引导用户配置使用。
在一种实施方式中,所述展示所述目标防护设备中存在的漏洞的信息,包括:展示以下至少一项信息:所述目标防护设备的标识、所述漏洞的标识、针对所述漏洞的安全防护策略。
作为一种实施方式,目标防护设备的标识可以是目标防护设备对应的网际互连协议(Internet Protocol,IP)地址、目标防护设备的名称或目标防护设备的其它标识,漏洞标识可以是指漏洞名称、用于根据漏洞的发生机制和特点等信息标识漏洞的字符等信息,针对漏洞的安全防护策略可以是指针对特定漏洞所采取的安全防护措施,示例性地,针对漏洞的安全防护策略可以是和漏洞标识对应的风险详情及处置建议。
作为一种实施方式,展示所述目标防护设备中存在的漏洞的信息的展示界面,可以是包含目标防护设备的标识为10.63.27.1,漏洞标识为Struct2的漏洞,其中,针对Struct2漏洞对应的风险详情可以是Struct2远程代码执行漏洞,处置建议可以是,查看主机对应漏洞,并推动业务部门修复漏洞以及确认该业务在安全防护策略中开通了“漏洞攻击防护”功能。
同时,在展示所述与所述测试数据包对应的漏洞的信息后,还可以提醒用户修复目标防护设备上的漏洞,这里不对提醒方式进行限定,可以是语音提醒、邮件提醒、短信提醒、对话框形式的提醒以及其它方式的提醒中的任意一种。
进一步地,在确定目标防护设备存在与所述测试数据包对应的漏洞的情况下,可以针对与数据测试包对应的漏洞,配置安全防护策略。
作为一种实施方式,针对与数据测试包对应的漏洞,配置安全防护策略,可以是网络安全设备根据所确定的漏洞自动配置安全防护策略,也可以是用户根据网络安全设备的指导进行安全防护策略的配置,当然,这里,也可以对自动配置好的安全防护策略进行有针对性的修改,本发明实施例不对配置安全防护策略的方式进行具体的限定。
通过上述对安全防护策略的配置,可以有针对性地实现对目标防护设备中存在的漏洞的安全防护策略的配置,由于所配置的安全防护策略是对确定的漏洞的有针对性配置,因此安全防护策略配置更有效。
在一个具体的示例中,针对勒索漏洞的安全防护配置,可以包括手动选择防护对象,这里手动选择防护对象可以是手动选择以下至少一项:目的网络对象、目的区域、源区域,其中,目的网络对象用于配置需要防护的目标防护设备的地址;目的区域用于配置目标防护设备所在的区域,如内网区域;源区域用于配置黑客可能出现的非信任区域,如外网区域;目的网络对象可以用字符串表示,例如,业务6,这里,业务6表示业务6所涉及的所有目标防护设备的IP地址,当业务6中包含100个目标防护设备时,业务6表示100个目标防护设备的IP地址阵列;区域表示连接到网络安全设备上的一个或者多个网络的集合,而这些网络通常是通过网络接口接入到网络安全设备上的。例如某公司内部有多个网络分别为销售部网络、研发部网络、HR网络和财务部网络,那么在网络安全设备(如防火墙)上可以用“内网区域”区域来表示这些内网的集合;在公司外部还有多个合作方的网络接入这台安全防护设备,比如供应商网络、代理商网络、项目合作方网络等,那么可以把这些网络配置到在网络安全设备上“外网区域”中。同一网络安全设备上可以配置多个区域,区域名称是可自定义的,如“内网区域”、“外网区域”、“L3_untrust_A”、“L2_untrust_A”等。
同时,还可以设置开启自动评估的菜单项,以启用周期性自动扫描功能。当然,如果不启用自动扫描,则可以进行手动扫描。
在一种实施方式中,可以对自动生成安全防护策略进行展示,例如,可以在对应的菜单下显示漏洞的优先级、名称、策略类型、源区域、目的区域、评估以及防御等等安全防护策略的信息。
在一种实施方式中,所述方法还包括:获取验证性测试脚本库,所述验证性测试脚本库用于实现漏洞测试;根据所述验证性测试脚本库,得到所述测试数据包。
这里,所述验证性测试脚本库,可以是观点验证(Proof of Concept,POC)脚本库,其中,POC可以是针对客户具体应用的验证性测试,在网络安全领域中,POC可泛指用于测试、验证目标防护设备是否存在某些特定的漏洞风险的一些应用技术。在一种实施方式中,可以通过网络安全设备的本地存储来获取验证性测试脚本库,也可以通过包含验证性测试脚本库的服务器来获取验证性测试脚本库。
验证性测试脚本库中包含一个或者多个验证性测试脚本。每一个验证性测试脚本,可以是任意类型的可执行应用程序,是专门针对网络上爆发出来的某一个或者多个相关的漏洞而开发出来的测试、验证性工具。也就是说,这里提到的验证性测试脚本可以测试、验证目标防护设备是否存在特定的漏洞。
在一种实施方式中,在网络上爆发新的漏洞时,根据所述新的漏洞更新、扩展所述验证性脚本测试库。
作为一种实施方式,在获取到新的漏洞时,根据所述新的漏洞更新所述验证性脚本测试库,可以是在本地查找到新的漏洞或是在网络上查找到新的漏洞时,通过对新的漏洞进行分析,获得新的漏洞的特征,并将获得新的漏洞的特征添加或更新到验证性脚本库的过程,这里,通过对验证性脚本测试库的更新,可以实现对验证性脚本测试库的扩展,例如,更新后的验证性脚本测试库可以是可扩展的POC脚本库,可扩展的POC脚本库中包含根据当前网络形势不断更新的各种POC脚本,这里,在漏洞是勒索漏洞,且发掘到新的勒索漏洞,或者网络上爆发新的勒索事件的情况下,会第一时间更新、扩展POC脚本库。
同时,网络安全设备可以通过升级最新的POC脚本库,实现对POC脚本库的脚本更新,即可获得检测最新的漏洞风险的能力,无需修改网络安全设备中的程序,以达到快速响应、快速部署的效果。这里,不对POC脚本库的扩展或升级的方式进行限定,POC脚本库的升级方式支持自动在线升级、手动在线升级、手动离线升级。具体地,可以在网络安全设备中设置离线升级菜单项以支持离线升级POC脚本库,也可以设置立即更新菜单项,以支持在线手动级POC脚本库。升级后的POC脚本库可以包含最新的版本的POC脚本。
图2为本发明实施例的针对目标防护设备的漏洞查找方法的原理示意图,如图2所示,在线脚本库服务器可以存放最新版本的POC脚本库。网络安全设备可以通过自动或者手动的方式从在线服务器上下载最新版本的POC脚本库,从而更新、扩展本地的漏洞扫描能力、安全防护能力。网络安全设备通过POC脚本库产生测试数据包(这里的测试数据包可以是测试Struct2等漏洞的数据包),并将测试数据包发送给目标防护设备1。如果目标防护设备1上的web服务器存在“Struct2远程执行漏洞”,那么目标防护设备1的web服务器会将携带漏洞特征的执行结果返回给网络安全设备,网络安全设备将执行结果所携带漏洞特征与预设的特征进行匹配,进而确定目标防护设备1在“Struct2远程执行漏洞”,并将设备信息、漏洞信息和修复建议等进行首页展示,同时确定安全防护策略。同理,可以用同样的流程扫描出其他目标防护设备上的“JBOSS反序列化漏洞”、“永恒之蓝勒索漏洞”等等。
图3为本发明实施例的漏洞查找装置的组成结构示意图,如图3所示,该装置可以包括:发送模块301和判断模块302;其中,
发送模块301,利用POC脚本库向目标防护设备发送测试数据包;所述测试数据包用于触发所述目标防护设备回复响应数据;
处理模块302,用于接收所述目标防护设备的响应数据,并将所述响应数据的特征与POC脚本库中预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞。
可选地,所述处理模块302,具体用于在所述响应数据的特征与预设的漏洞特征不匹配的情况下,确定所述目标防护设备不存在与所述数据测试包对应的漏洞;在所述响应数据的特征与预设的漏洞特征匹配的情况下,确定所述目标防护设备存在与所述数据测试包对应的漏洞。
可选地,所述预设的特征是根据网络中出现的漏洞确定的。
可选地,所述处理模块302还用于展示所述与所述数据测试包对应的漏洞的信息。
可选地,所述处理模块302,用于展示以下至少一项信息:所述目标防护设备的标识、所述漏洞的标识、针对所述漏洞的安全防护策略。
可选地,所述处理模块302,还用于针对目标防护设备中存在的漏洞,配置安全防护策略。
可选地,述发送模块301,还用于获取验证性测试脚本库,所述验证性测试脚本库用于实现漏洞测试;根据所述验证性测试脚本库,得到所述测试数据包。
可选地,所述发送模块301,还用于在获取到新的漏洞时,根据所述新的漏洞更新所述验证性脚本测试库。
实际应用中,发送模块301和处理模块302均可以利用网络安全设备中的处理器实现,上述处理器可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。
可以看出,本发明实施例提出的漏洞查找装置,通过发送模块向目标防护设备发送测试数据包;所述测试数据包用于触发所述目标防护设备回复响应数据;并通过处理模块接收所述目标防护设备的响应数据,根据所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞,如此,可以确定目标防护设备是否存在与测试数据包对应的漏洞,有利于防护策略的确定。
另外,在本实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时,可以存储在一个计算机可读取存储介质中,基于这样的理解,本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或processor(处理器)执行本实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
具体来讲,本实施例中的一种漏洞查找方法对应的计算机程序指令可以被存储在光盘,硬盘,U盘等存储介质上,当存储介质中的与一种漏洞查找法对应的计算机程序指令被一网络安全设备读取或被执行时,实现前述实施例的任意一种漏洞查找方法。
基于前述实施例相同的技术构思,参见图4,其示出了本发明实施例提供的一种网络安全设备,可以包括:存储器401和处理器402;其中,
所述存储器401,用于存储计算机程序和数据;
所述处理器402,用于执行所述存储器中存储的计算机程序,以实现前述实施例的任意一种漏洞查找方法。
在实际应用中,上述存储器401可以是易失性存储器(volatile memory),例如RAM;或者非易失性存储器(non-volatile memory),例如ROM,快闪存储器(flash memory),硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);或者上述种类的存储器的组合,并向处理器1002提供指令和数据。
上述处理器402可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的增强现实云平台,用于实现上述处理器功能的电子器件还可以为其它,本发明实施例不作具体限定。
在一些实施例中,本发明实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法,其具体实现可以参照上文方法实施例的描述,为了简洁,这里不再赘述
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述
本申请所提供的各方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (11)
1.一种漏洞查找方法,其特征在于,所述方法包括:
向目标防护设备发送测试数据包;所述测试数据包用于触发所述目标防护设备回复响应数据;
接收所述目标防护设备的响应数据,并将所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞。
2.根据权利要求1所述的方法,其特征在于,所述将所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞,包括:
在所述响应数据的特征与预设的漏洞特征不匹配的情况下,确定所述目标防护设备不存在与所述测试数据包对应的漏洞;
在所述响应数据的特征与预设的漏洞特征匹配的情况下,确定所述目标防护设备存在与所述测试数据包对应的漏洞。
3.根据权利要求2所述的方法,其特征在于,所述预设的漏洞特征是根据网络中出现的漏洞确定的。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
展示所述目标防护设备中存在的漏洞的信息。
5.根据权利要求4所述的方法,其特征在于,所述展示所述目标防护设备中存在的漏洞的信息,包括:
展示以下至少一项信息:所述目标防护设备的标识、所述漏洞的标识、针对所述漏洞的安全防护策略。
6.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
针对目标防护设备中存在的漏洞,配置安全防护策略。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取验证性测试脚本库,所述验证性测试脚本库用于实现漏洞测试;
根据所述验证性测试脚本库,得到所述测试数据包。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
在获取到新的漏洞时,根据所述新的漏洞更新所述验证性脚本测试库。
9.一种漏洞查找装置,其特征在于,所述装置包括:发送模块和处理模块,其中,
所述发送模块,用于向目标防护设备发送测试数据包;所述测试数据包用于触发所述目标防护设备回复响应数据;
所述处理模块,用于接收所述目标防护设备的响应数据,并将所述响应数据的特征与预设的漏洞特征进行匹配,根据匹配结果判断目标防护设备是否存在漏洞。
10.一种网络安全设备,其特征在于,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,
所述处理器用于运行所述计算机程序时,执行权利要求1-8任一项所述的漏洞查找方法。
11.一种计算机存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1-8任一项所述的漏洞查找方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010147233.XA CN111343188A (zh) | 2020-03-05 | 2020-03-05 | 一种漏洞查找方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010147233.XA CN111343188A (zh) | 2020-03-05 | 2020-03-05 | 一种漏洞查找方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111343188A true CN111343188A (zh) | 2020-06-26 |
Family
ID=71187261
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010147233.XA Pending CN111343188A (zh) | 2020-03-05 | 2020-03-05 | 一种漏洞查找方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111343188A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111770110A (zh) * | 2020-07-20 | 2020-10-13 | 杭州安恒信息技术股份有限公司 | 一种网络在线安全检测方法、系统、设备及可读存储介质 |
| CN112202763A (zh) * | 2020-09-28 | 2021-01-08 | 杭州安恒信息技术股份有限公司 | 一种ids策略生成方法、装置、设备及介质 |
| CN112491799A (zh) * | 2020-10-28 | 2021-03-12 | 深圳市广和通无线股份有限公司 | 通信模块远程修复方法、装置、计算机设备和存储介质 |
| CN112968887A (zh) * | 2021-02-02 | 2021-06-15 | 中国农业银行股份有限公司 | 数据处理方法、数据处理装置及相关设备 |
| CN113312631A (zh) * | 2021-06-11 | 2021-08-27 | 杭州安恒信息安全技术有限公司 | 一种漏洞检测方法及相关装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106874768A (zh) * | 2016-12-30 | 2017-06-20 | 北京瑞卓喜投科技发展有限公司 | 渗透测试的方法及装置 |
| CN107819758A (zh) * | 2017-11-03 | 2018-03-20 | 北京知道未来信息技术有限公司 | 一种网络摄像头漏洞远程检测方法及装置 |
| CN110460612A (zh) * | 2019-08-15 | 2019-11-15 | 中国平安财产保险股份有限公司 | 安全测试方法、设备、存储介质及装置 |
| CN110460571A (zh) * | 2019-07-05 | 2019-11-15 | 深圳壹账通智能科技有限公司 | 业务系统漏洞处理方法、装置、计算机设备和存储介质 |
| CN110704847A (zh) * | 2019-09-27 | 2020-01-17 | 重庆紫光华山智安科技有限公司 | 漏洞扫描方法及相关装置 |
-
2020
- 2020-03-05 CN CN202010147233.XA patent/CN111343188A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106874768A (zh) * | 2016-12-30 | 2017-06-20 | 北京瑞卓喜投科技发展有限公司 | 渗透测试的方法及装置 |
| CN107819758A (zh) * | 2017-11-03 | 2018-03-20 | 北京知道未来信息技术有限公司 | 一种网络摄像头漏洞远程检测方法及装置 |
| CN110460571A (zh) * | 2019-07-05 | 2019-11-15 | 深圳壹账通智能科技有限公司 | 业务系统漏洞处理方法、装置、计算机设备和存储介质 |
| CN110460612A (zh) * | 2019-08-15 | 2019-11-15 | 中国平安财产保险股份有限公司 | 安全测试方法、设备、存储介质及装置 |
| CN110704847A (zh) * | 2019-09-27 | 2020-01-17 | 重庆紫光华山智安科技有限公司 | 漏洞扫描方法及相关装置 |
Non-Patent Citations (1)
| Title |
|---|
| 周世杰: "《普通高等学校信息安全"十一五"规划教材 网络与系统防御技术》", 31 August 2007, 电子科技大学出版社 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111770110A (zh) * | 2020-07-20 | 2020-10-13 | 杭州安恒信息技术股份有限公司 | 一种网络在线安全检测方法、系统、设备及可读存储介质 |
| CN112202763A (zh) * | 2020-09-28 | 2021-01-08 | 杭州安恒信息技术股份有限公司 | 一种ids策略生成方法、装置、设备及介质 |
| CN112202763B (zh) * | 2020-09-28 | 2022-04-22 | 杭州安恒信息技术股份有限公司 | 一种ids策略生成方法、装置、设备及介质 |
| CN112491799A (zh) * | 2020-10-28 | 2021-03-12 | 深圳市广和通无线股份有限公司 | 通信模块远程修复方法、装置、计算机设备和存储介质 |
| CN112968887A (zh) * | 2021-02-02 | 2021-06-15 | 中国农业银行股份有限公司 | 数据处理方法、数据处理装置及相关设备 |
| CN112968887B (zh) * | 2021-02-02 | 2022-09-27 | 中国农业银行股份有限公司 | 数据处理方法、数据处理装置及相关设备 |
| CN113312631A (zh) * | 2021-06-11 | 2021-08-27 | 杭州安恒信息安全技术有限公司 | 一种漏洞检测方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111343188A (zh) | 一种漏洞查找方法、装置、设备和存储介质 | |
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US7647637B2 (en) | Computer security technique employing patch with detection and/or characterization mechanism for exploit of patched vulnerability | |
| US8627475B2 (en) | Early detection of potential malware | |
| JP5518865B2 (ja) | 感染したホストによる攻撃からの仮想ゲストマシンの保護 | |
| CN107196895B (zh) | 网络攻击溯源实现方法及装置 | |
| CN101588247B (zh) | 用于检测服务器的漏洞的系统和方法 | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| US8959624B2 (en) | Executable download tracking system | |
| JP2006518080A (ja) | ネットワーク監査及びポリシー保証システム | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| US20160373447A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| EP3707596A1 (en) | Vulnerability assessment of containerised installation | |
| US11019497B2 (en) | Apparatus and method for managing risk of malware behavior in mobile operating system and recording medium for perform the method | |
| KR101541244B1 (ko) | Pc 및 공유기 등의 dns 변조를 통한 파밍 공격 방지 방법 및 시스템 | |
| JP2014179025A (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| JP2006040196A (ja) | ソフトウェア監視システムおよび監視方法 | |
| CN110505246A (zh) | 客户端网络通讯检测方法、装置及存储介质 | |
| CN117544335A (zh) | 诱饵激活方法、装置、设备及存储介质 | |
| CN114070632B (zh) | 一种自动化渗透测试方法、装置及电子设备 | |
| CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| US20220164438A1 (en) | Incident scenario generation device and incident scenario generation system | |
| US11470083B2 (en) | Device integration for a network access control server based on device mappings and testing verification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200626 |