CN111767549A - 检测方法和装置 - Google Patents
检测方法和装置 Download PDFInfo
- Publication number
- CN111767549A CN111767549A CN202010659619.9A CN202010659619A CN111767549A CN 111767549 A CN111767549 A CN 111767549A CN 202010659619 A CN202010659619 A CN 202010659619A CN 111767549 A CN111767549 A CN 111767549A
- Authority
- CN
- China
- Prior art keywords
- detection
- index
- configuration information
- target
- target detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开提供了一种电子设备执行的检测方法。该方法包括获取检测请求;根据检测请求,确定至少一个目标检测对象以及各目标检测对象的检测指标;获取各检测指标的配置信息;根据配置信息和预设条件,确定针对各检测指标的检测结果;以及在检测结果指示检测指标异常的情况下,对异常检测指标针对的目标检测对象进行优化处理。本公开还提供了一种检测装置、一种电子设备以及一种计算机可读存储介质。
Description
技术领域
本公开涉及安全技术领域,尤其涉及一种检测方法和装置。
背景技术
随着互联网技术的迅速发展,各类应用与服务器的数量日益增加。应用与服务器的中间件、操作系统、数据库等开放平台需要根据一定的标准指标进行配置。为保证各类应用与服务器的安全稳定运行,需要定期对其进行安全基线检测。
在实现本发明构思过程中,发明人发现,相关技术中在对各类应用与服务器进行安全基线检测时,运维人员定期采集各类应用与服务器的配置信息,并根据采集到的配置信息,判断各类应用与服务器的当前配置是否合理,以实现对各类应用与服务器的安全基线检测。因此,相关技术存在检测工作量大,检测效率低、检测成本高的问题。
发明内容
本公开的一个方面提供了一种电子设备执行的检测方法。该方法包括:获取检测请求;根据上述检测请求,确定至少一个目标检测对象以及各上述目标检测对象的检测指标;获取各上述检测指标的配置信息;根据上述配置信息和预设条件,确定针对各上述检测指标的检测结果;以及在上述检测结果指示检测指标异常的情况下,对异常检测指标针对的目标检测对象进行优化处理。
可选地,上述检测请求指示至少一个目标检测对象。上述根据上述检测请求,确定至少一个目标检测对象以及各上述目标检测对象的检测指标,包括根据上述检测请求,确定上述检测请求指示的至少一个目标检测对象;根据各上述目标检测对象的类型,确定与各上述目标检测对象关联的预设目标检测模板;以及根据各上述预设目标检测模板,确定各上述目标检测对象的检测指标。
可选地,上述检测请求指示至少一个检测指标。上述根据上述检测请求,确定至少一个目标检测对象以及各上述目标检测对象的检测指标,包括根据上述检测请求,确定上述检测请求指示的至少一个检测指标;根据上述至少一个检测指标,确定包含上述至少一个检测指标中的一个或者多个检测指标的目标检测模板;以及根据检测模板与检测对象之间的预设关联关系,确定与上述目标检测模板关联的检测对象,以得到上述至少一个目标检测对象。
可选地,上述获取各上述检测指标的配置信息,包括建立与各上述目标检测对象间的远程连接;根据各上述检测指标,生成采集指令;根据上述采集指令,生成用于获取上述配置信息的至少一个检测脚本;以及将至少一个上述检测脚本发送给已建立远程连接的各上述目标检测对象,以供各上述目标检测对象通过运行上述检测脚本获得上述配置信息,并将上述配置信息返回给上述电子设备。
可选地,在建立与各上述目标检测对象间的远程连接之后,还包括建立与各上述远程连接关联的线程,上述线程具有有效标识符,上述有效标识符具有预设的有效时长;以及在上述有效标识符的有效时长内,显示上述线程的状态信息。
可选地,上述根据上述配置信息和预设条件,确定针对各上述检测指标的检测结果,包括针对任一检测指标,根据上述配置信息和针对上述检测指标的预设标准配置信息,确定上述配置信息与上述预设标准配置信息间的拟合度;以及在上述拟合度低于预设阈值的情况下,确定上述检测指标异常。
可选地,上述对异常检测指标针对的目标检测对象进行优化处理,包括将上述目标检测对象的异常检测指标的配置信息更改为上述预设标准配置信息。
本公开的另一个方面提供了一种检测装置。本装置包括第一获取模块,用于获取检测请求;第一确定模块,用于根据上述检测请求,确定至少一个目标检测对象以及各上述目标检测对象的检测指标;第二获取模块,用于获取各上述检测指标的配置信息;第二确定模块,用于根据上述配置信息和预设条件,确定针对各上述检测指标的检测结果;以及优化模块,用于在上述检测结果指示检测指标异常的情况下,对异常检测指标针对的目标检测对象进行优化处理。
可选地,上述检测请求指示至少一个目标检测对象。第一确定模块包括第一确定子模块,用于根据上述检测请求,确定上述检测请求指示的至少一个目标检测对象;第二确定子模块,用于根据各上述目标检测对象的类型,确定与各上述目标检测对象关联的预设目标检测模板;以及第三确定子模块,用于根据各上述预设目标检测模板,确定各上述目标检测对象的检测指标。
可选地,上述检测请求指示至少一个检测指标。第一确定模块包括第四确定子模块,用于根据上述检测请求,确定上述检测请求指示的至少一个检测指标;第五确定子模块,用于根据上述至少一个检测指标,确定包含上述至少一个检测指标中的一个或者多个检测指标的目标检测模板;以及第六确定子模块,用于根据检测模板与检测对象之间的预设关联关系,确定与上述目标检测模板关联的检测对象,以得到上述至少一个目标检测对象。
可选地,第二获取模块包括第一处理子模块,用于建立与各上述目标检测对象间的远程连接;第二处理子模块,用于根据各上述检测指标,生成采集指令;第三处理子模块,用于根据上述采集指令,生成用于获取上述配置信息的至少一个检测脚本;以及第四处理子模块,用于将至少一个上述检测脚本发送给已建立远程连接的各上述目标检测对象,以供各上述目标检测对象通过运行上述检测脚本获得上述配置信息,并将上述配置信息返回给上述电子设备。
可选地,第二获取模块还包括第五处理子模块,用于建立与各上述远程连接关联的线程,上述线程具有有效标识符,上述有效标识符具有预设的有效时长;以及在上述有效标识符的有效时长内,显示上述线程的状态信息。
可选地,第二确定模块包括第七确定子模块,用于针对任一检测指标,根据上述配置信息和针对上述检测指标的预设标准配置信息,确定上述配置信息与上述预设标准配置信息间的拟合度;第八确定子模块,用于在上述拟合度低于预设阈值的情况下,确定上述检测指标异常。
可选地,优化模块包括第六处理子模块,用于将上述目标检测对象的异常检测指标的配置信息更改为上述预设标准配置信息。
本公开的另一方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现本公开实施例的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现本公开实施例的方法。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中,
图1示意性示出了根据本公开实施例的检测方法和装置的系统架构;
图2示意性示出了根据本公开实施例的检测方法的流程图;
图3A示意性示出了根据本公开另一实施例的检测方法的流程图;
图3B示意性示出了根据本公开实施例的安全基线管理示意图;
图4示意性示出了根据本公开实施例的检测装置的框图;以及
图5示意性示出了根据本公开实施例的电子设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性地,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、操作、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、操作、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据检测装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
本公开的实施例提供了一种电子设备执行的检测方法以及能够用于执行该检测方法的检测装置,该检测方法例如可以包括如下操作。响应于获取的用户的检测请求,根据检测请求,确定至少一个目标检测对象以及各目标检测对象的检测指标;然后获取各检测指标的配置信息;进而根据配置信息和预设条件,确定针对各检测指标的检测结果;以及在检测结果指示检测指标异常的情况下,对异常检测指标针对的目标检测对象进行优化处理。
图1示意性示出了根据本公开实施例的用于基线检测的处理方法和装置的系统架构。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,该系统架构包括至少一个检测对象(图中示出了多个,如检测对象101、102、103)和电子设备104(具体可以是电子设备的处理器、服务器等,也可以是电子设备集群,图中未示出)。在该系统架构100中,电子设备104响应于获取的用户的检测请求,在至少一个检测对象(如检测对象101、102、103)中确定至少一个目标检测对象及各目标检测对象的检测指标。然后,电子设备104获取各目标检测对象的检测指标的配置信息,并根据各目标检测对象的检测指标的配置信息和预设条件,确定各目标检测对象的安全基线检测结果。
在实现本公开发明构思的过程中,发明人发现,在现有的安全基线检测方法中,运维人员需要定期采集各类应用与服务器的配置信息,根据采集到的配置信息,判断各类应用与服务器的当前配置是否合理。然而,通过运维人员定期采集各类应用与服务器的配置信息,以实现对各类应用与服务器的安全基线检测,存在检测工作量大,检测效率低、检测成本高的问题。
以下将结合附图和具体实施例详细阐述本公开。
图2示意性示出了根据本公开实施例的电子设备执行的检测方法的流程图。
如图2所示,该方法可以包括操作S210~S250。
在操作S210,获取检测请求。
在本公开实施例中,具体地,电子设备中存储有用户信息数据,用户信息数据例如可以包括用户姓名、用户所属部门、用户ID(用户ID为用户登录检测系统的唯一认证号码)、用户密码(用户密码为用户登录检测系统的登录密码)等信息。电子设备中还存储有用户权限数据,用户权限数据指示用户针对不同检测功能的使用权限。
此外,电子设备中还存储有用于安全基线检测的检测数据。安全基线描述了实现应用和服务器安全运行的参考配置信息,是应用和服务器安全运行的最低标准。检测数据例如可以包括检测对象数据、检测指标数据、检测模板数据等。检测对象数据包括可进行安全基线检测的检测对象的信息数据,检测对象例如可以包括各类应用与服务器,具体地,检测对象可以包括各类应用与服务器的中间件、操作系统、数据库等。检测对象的信息数据例如可以包括检测对象的字段名、分组ID、服务器IP、服务器名称、数据库实例ID、数据库实例名称、UCM标识等。检测对象的信息数据用于标识检测对象的身份信息,获取的用户的检测请求中可能包括检测对象的信息数据,例如包括服务器IP信息,因此可利用检测对象的信息数据,确定检测请求指示的目标检测对象。检测指标数据包括可进行安全基线检测的检测指标的信息数据。检测模板数据包括可用于安全基线检测的参考模板,参考模板具有关联的检测对象及检测对象的检测指标。
用户选择需要进行安全基线检测的目标检测对象,或选择需要进行安全基线检测的检测指标,生成检测请求。检测请求中包括请求触发的安全基线检测任务的任务名称、任务下发时间、任务类型、任务单号等信息。可选地,在用户请求触发安全基线检测任务时,通过对该用户的用户信息和用户权限进行判断,确定符合用户检测权限的目标检测对象和目标检测指标,生成符合用户检测权限的检测请求。
然后,在操作S220,根据检测请求,确定至少一个目标检测对象以及各目标检测对象的检测指标。
在本公开实施例中,具体地,响应于获取的用户的检测请求,根据检测请求,确定至少一个目标检测对象以及各目标检测对象的检测指标。作为一种可选的实施例,检测请求指示至少一个目标检测对象。确定检测请求指示的至少一个目标检测对象以及各目标检测对象的检测指标的操作可以先根据检测请求,确定检测请求指示的至少一个目标检测对象。然后根据各目标检测对象的类型,确定与各目标检测对象关联的预设目标检测模板。最后根据与各目标检测对象关联的预设目标检测模板,确定各目标检测对象的检测指标。
检测请求中指示有至少一个需要进行安全基线检测的目标检测对象,此时需要确定各目标检测对象的检测指标。云端数据库或本地数据库中存有大量预设的用于安全基线检测的检测模板,检测模板与检测对象的类型及检测指标之间具有预设关联关系。因此,可以根据检测模板与检测对象的类型之间的预设关联关系,确定与各目标检测对象关联的目标检测模板。目标检测模板中指示的各目标检测对象的检测指标,即为检测请求指示的各目标检测对象的检测指标。
示例性地,目标检测对象的类型可以按主机系统不同进行划分,例如可以包括AIX(Advanced Interactive eXecutive,一种类UNIX操作系统)、SUSE(一种Linux操作系统)、HP-UX(一种惠普9000系列服务器的操作系统)。再示例性地,目标检测对象的类型也可以按检测位置不同划分,例如可以包括中间件、数据库、操作系统等。不同类型的目标检测对象对应不同的检测模板,也对应不同的检测指标。
作为另一种可选的实施例,检测请求指示至少一个检测指标。确定检测请求指示的至少一个目标检测对象以及各目标检测对象的检测指标的操作可以先根据检测请求,确定检测请求指示的至少一个检测指标。然后根据检测请求指示的至少一个检测指标,确定包含至少一个检测指标中的一个或者多个检测指标的目标检测模板。最后根据检测模板与检测对象之间的的预设关联关系,确定与目标检测模板关联的检测对象,以得到至少一个目标检测对象。
检测请求中指示有至少一个需要进行基线检测的检测指标,此时需要确定与各检测指标关联的至少一个目标检测对象。由于检测模板与检测对象类型及检测指标之间具有预设关联关系,根据检测请求指示的至少一个检测指标,确定包含前述至少一个检测指标中的一个或者多个检测指标的检测模板。然后,根据检测模板与检测对象类型之间的预设关联关系,确定与各检测模板关联的检测对象,以得到至少一个目标检测对象。
目标检测对象不同,检测指标可能不同,安全基线检测中的检测指标具有多样性。示例性地,检测指标可以包括应用和服务器的配置项、操作系统组件的配置项、访问认证规则、应用黑白名单、漏洞管理规则、账号授权规则、资产明细等。其中,操作系统组件配置例如可以包括IIS(Internet信息服务)自带的所有样本文件须从计算机上删除,管理规则例如可以包括计算机上的管理员密码每30天更换一次。
当获取的检测请求中指示有至少一个目标检测对象,也指示有至少一个目标检测对象中的各目标检测对象的检测指标时,可直接根据检测请求,确定至少一个目标检测对象及各目标检测对象的检测指标。
接下来,在操作S230,获取各检测指标的配置信息。
在本公开实施例中,具体地,检测请求中可以包括任务下发时间。可选地,在检测请求指示的任务下发时间批量下发基线检测任务,然后利用电子设备中的任务执行装置执行各基线检测任务。安全基线检测的目的在于确定各类应用与服务器的配置信息是否满足预设的标准配置信息,因此需要获取各检测指标的配置信息。通过获取各检测指标的配置信息,确定目标检测对象的配置是否合理,以此实现远程管理及维护各类众多的应用及服务器。
具体地,建立电子设备与各目标检测对象间的远程连接,生成用于对各目标检测对象进行配置信息采集的检测脚本。作为一种可选的方式,将各检测脚本发送给针对的目标检测对象,以供目标检测对象运行检测脚本,进行配置信息的自动采集,并将采集的配置信息返回给电子设备。作为另一种可选的方式,利用电子设备的仿真程序运行检测脚本,以实现获取各目标检测对象的检测指标的配置信息。
接下来,在操作S240,根据配置信息和预设条件,确定针对各检测指标的检测结果。
在本公开实施例中,操作S240中针对任一检测指标,可以根据获取的该检测指标的配置信息,以及根据该检测指标的预设标准配置信息,将配置信息与预设标准配置信息进行比对。当配置信息与预设标准配置信息不一致时,确定该检测指标异常,进而判断异常检测指标针对的目标检测对象可能存在操作风险,并判断需要对该目标检测对象的配置信息进行整改。
作为一种可选的实施例,针对任一检测指标的配置信息,根据配置信息和针对该检测指标的预设标准配置信息,确定配置信息与预设标准配置信息间的拟合度;在拟合度低于预设阈值的情况下,确定该检测指标异常。可选地,为防止配置信息与预设标准配置信息间的过拟合,为各检测指标设置关联的正则化公式,利用与各检测指标关联的正则化公式,确定配置信息与预设标准配置信息间的拟合度。正则化公式能够对拟合过程中的拟合参数进行调节,防止拟合参数过大造成拟合过度。示例性地,正则化公式采用双曲线激活函数y=tanh(x),x表示拟合参数,正则化公式能够对拟合参数的大小进行调节,保证正则化参数不会过大,以防止配置信息与预设标准配置信息间的过拟合。
再接下来,在操作S250,在检测结果指示检测指标异常的情况下,对异常检测指标针对的目标检测对象进行优化处理。
在本公开实施例中,具体地,当目标检测对象的检测指标的配置信息与预设标准配置信息不一致时,为保证目标检测对象的安全运行,提高针对目标检测对象的运维效率,对目标检测对象的异常检测指标的配置信息进行自动整改处理。具体地,将目标检测对象的异常检测指标的配置信息更改为预设标准配置信息。
通过对各检测指标进行编号,将各检测指标的编号与预设标准配置信息进行关联存储,生成各检测指标的安全基线配置文件。检测指标的安全基线配置文件包括强类型和一般类型。强类型的安全基线配置文件具有int(整型变量)数据,在强类型的安全基线配置文件中,当目标检测对象的配置信息与安全基线配置文件中的配置信息不一致时,检测结果指示目标检测对象的检测指标异常,并要求对不满足安全基线配置文件的配置信息进行更改。在一般类型的安全基线配置文件中,当目标检测对象的配置信息与安全基线配置文件中的配置信息不一致时,检测结果指示目标检测对象的检测指标不合规,要求对目标检测对象的不合规检测指标进行近一步的观察和检测。
可选地,将针对各检测指标的标准整改操作进行封装。在检测结果指示目标检测对象的检测指标异常时,利用封装好的标准整改操作,对目标检测对象的异常检测指标进行一键式整改。这一方面能够有效降低人为误操作所造成的安全隐患,另一方面有利于减少对异常检测指标的配置信息进行优化时的重复工作量,有利于提高安全基线检测的检测效率和操作规范性。
通过本实施例,响应于获取的检测请求,根据检测请求,确定至少一个目标检测对象以及各目标检测对象的检测指标,然后获取各检测指标的配置信息,进而根据配置信息和预设条件,确定针对各检测指标的检测结果,以及在检测结果指示检测指标异常的情况下,对异常检测指标针对的目标检测对象进行优化处理。本公开实施例有利于实现在服务器系统与各类应用集中化的背景下,对各类应用与服务器的配置信息进行有效监控,有利于实现针对各类应用与服务器的安全基线的自动化检测;能够较好地实现同时对多个目标检测对象以及多个检测指标进行检测,检测效率高,检测效果显著。对检测结果指示异常的目标检测对象的配置信息自动进行优化,有利于提高目标检测对象的运维效率,有利于保证各类应用与服务器的安全运行。
图3A示意性示出了根据本公开另一实施例的检测方法的流程图。
如图3A所示,针对操作S230,操作S230可以包括操作S310~S340。
在操作S310,建立与各目标检测对象间的远程连接。
在本公开实施例中,具体地,通过建立与各目标检测对象间的稳定通信连接,可以为各种远程交互提供渠道。本公开实施例支持多种远程登录协议,示例性地,本公开实施例支持的远程登录协议包括Telnet、SSH、Raw等,其中,Telnet协议是TCP/IP协议中的一类,是Internet远程登录服务的标准协议和主要方式;SSH(Secure Shell,安全外壳协议)是一种建立在应用层和传输层上的安全协议,主要包括传输层协议内容、用户认证协议层、连接协议层;Raw是大多数打印设备的默认协议。
作为一种可选的实施例,在建立与各目标检测对象间的远程连接之后,针对电子设备与各目标检测对象间的远程连接,建立与各远程连接关联的线程,线程具有有效标识符,有效标识符具有预设的有效时长。在有效标识符的有效时长内,显示各线程的状态信息。
针对与各目标检测对象间的远程连接,为每个目标检测对象的远程连接开启一个线程,一个线程对应一个目标检测对象的远程连接,不同线程间互不干扰。每个线程具有唯一的有效标识符,有效标识符被存放于对象中。有效标识符具有预设的有效时长,具体地,在线程的生命活动周期内有效标识符有效,因此有效标识符不消耗额外性能。在有效标识符的有效时长内,显示各线程的状态信息,具体可以包括以标签的形式将各线程的状态信息嵌在主窗口界面中,以实现对线程资源的集中管理。
接下来,在操作S320,根据各检测指标,生成针对各目标检测对象的采集指令。
在本公开实施例中,具体地,安全基线检测的目的在于自动检测各类应用与服务器上的系统、中间件、数据库、账号配置等检测对象存在的风险点。具体地,通过判断上述检测对象的配置信息是否符合预设的风险特征,或者判断上述检测对象的配置信息是否满足预设的标准配置信息,以实现针对检测对象的风险点的识别与提示。
在安全基线的自动化检测中,目标检测对象的类型不同,检测指标可能存在差异。示例性地,当目标检测对象为系统时,检测指标可以包括检测是否存在账号弱口令,检测是否存在非root特权账号,检测是否允许SSH空口令登录,检测是否存在PHP可执行高危函数。当目标检测对象为数据库时,检测Redis是否设置密码验证,检测MySQL是否高权限运行,检测Mongodb是否启用验证。当目标检测对象为Web时,检测是否存在Web-CMS漏洞。
根据各检测指标,生成针对各目标检测对象的采集指令,生成采集指令的方法可采用现有技术实现,本申请在此不做赘述。可选地,也可根据各目标检测对象的检测指标,从预设的数据库中,获取用于对各检测指标的配置信息进行采集的采集指令。
接下来,在操作S330,根据采集指令,生成用于获取配置信息的至少一个检测脚本。
在本公开实施例中,具体地,根据针对各目标检测对象的采集指令,生成用于获取配置信息的检测脚本。检测脚本例如可以包括线性脚本、结构化脚本、共享脚本、关键字驱动脚本等。示例性地,检测脚本为VBS(Visual Basic ScriptEdition,可视化Basic语言脚本)脚本。生成检测脚本的方法可采用现有技术实现,本申请在此不做赘述。
接下来,在操作S340,将至少一个检测脚本发送给已建立远程连接的各目标检测对象,以供各目标检测对象通过运行检测脚本获得配置信息,并将配置信息返回给电子设备。
在本公开实施例中,具体地,将各检测脚本发送给对应的已建立远程连接的目标检测对象,以供目标检测对象通过运行检测脚本,采集用户请求检测的检测指标的配置信息。目标检测对象将采集到的配置信息拼接成预设的固定格式文件,然后将固定格式文件返回给发起安全基线检测任务的电子设备。
可选地,在执行安全基线检测任务时,监控各目标检测对象的运行效率,当存在目标检测对象的运行效率低于预设阈值时,确定安全基线检测任务已对该目标检测对象的运行效率造成影响。为保证目标检测对象的正常操作和稳定运行,在创建的安全基线检测任务中获取当前任务的目标检测对象信息,以在创建的安全基线检测任务中确定需要应急处理的目标检测对象清单,和确定目标检测对象清单中的各目标检测对象的检测指标。向需要应急处理的目标检测对象发送停止脚本,以供目标检测对象运行接收到的停止脚本,结束配置信息采集任务。
图3B示意性示出了根据本公开实施例的安全基线管理示意图,如图3B所示,安全基线管理可以包括以下操作。
在操作S410,建立安全基线。通过确定各检测对象的检测指标的标准配置信息,实现安全基线的建立。安全基线描述了各类应用与服务器安全运行的基础配置信息,是保证各类应用与服务器安全运行的最低安全要求。
在操作S420,安全基线监控。应用本公开实施例的检测方法,即实现对各目标检测对象的安全基线的监控。
在操作S430,安全加固。对安全基线检测结果指示异常的目标检测对象进行安全加固。具体地,将目标检测对象的异常检测指标的配置信息,更改为安全基线所指示的配置信息。
在操作S440,安全基线更新。在对检测对象进行安全加固的过程中,由于检测对象的版本信息、运行环境、任务要求等可能发生变化,因此需要不断对检测对象的标准配置信息进行更新,即需要对安全基线进行更新。在更新安全基线后,返回操作S410,重新建立新的安全基线,更新后的安全基线成为保证各类应用与服务器安全运行的新的标准条件。
通过本公开实施例,在获取各目标检测对象的检测指标的配置信息时,在建立与各目标检测对象间的远程连接后,根据各目标检测对象的检测指标,生成针对各目标检测对象的采集指令。然后根据针对各目标检测对象的采集指令,生成用于获取各目标检测对象的配置信息的至少一个检测脚本。进而将各检测脚本发送给针对的目标检测对象,以供目标检测对象通过运行检测脚本,采集配置信息,并将配置信息返回给电子设备。通过本公开实施例有利于实现针对目标检测对象的配置信息的自动化采集,一方面有利于实现针对目标检测对象的自动化安全基线检测,检测效率高,检测效果显著,同时检测成本也得以有效控制,另一方面能够有效降低人为因素导致操作隐患的风险,有利于保障各类应用与服务器的安全稳定运行。
图4示意性示出了根据本公开实施例的检测装置的框图。
如图4所示,该检测装置400包括第一获取模块401、第一确定模块402、第二获取模块403、第二确定模块404以及优化模块405。该检测装置可以执行上面参考方法实施例部分描述的方法,在此不再赘述。
具体地,第一获取模块401,用于获取检测请求;第一确定模块402,用于根据检测请求,确定至少一个目标检测对象以及各上述目标检测对象的检测指标;第二获取模块403,用于获取各检测指标的配置信息;第二确定模块404,用于根据配置信息和预设条件,确定各检测指标的检测结果;以及优化模块405,用于对异常检测指标针对的目标检测对象进行优化处理。
通过本实施例,响应于获取的检测请求,根据检测请求,确定至少一个目标检测对象以及各目标检测对象的检测指标,然后获取各检测指标的配置信息,进而根据配置信息和预设条件,确定针对各检测指标的检测结果,以及在检测结果指示检测指标异常的情况下,对异常检测指标针对的目标检测对象进行优化处理。本公开实施例有利于实现在服务器系统与各类应用集中化的背景下,对各类应用与服务器的配置信息进行有效监控,有利于实现针对各类应用与服务器的安全基线的自动化检测;能够较好地实现同时对多个目标检测对象以及多个检测指标进行检测,检测效率高,检测效果显著。对检测结果指示异常的目标检测对象的配置信息自动进行优化,有利于提高目标检测对象的运维效率,有利于保证各类应用与服务器的安全运行。
作为一种可选的实施例,检测请求指示至少一个目标检测对象。第一确定模块包括第一确定子模块,用于根据检测请求,确定检测请求指示的至少一个目标检测对象;第二确定子模块,用于根据各目标检测对象的类型,确定与各目标检测对象关联的预设目标检测模板;以及第三确定子模块,用于根据各预设目标检测模板,确定各目标检测对象的检测指标。
作为一种可选的实施例,检测请求指示至少一个检测指标。第一确定模块包括第四确定子模块,用于根据检测请求,确定检测请求指示的至少一个检测指标;第五确定子模块,用于根据至少一个检测指标,确定包含至少一个检测指标中的一个或者多个检测指标的目标检测模板;以及第六确定子模块,用于根据检测模板与检测对象之间的预设关联关系,确定与目标检测模板关联的检测对象,以得到至少一个目标检测对象。
作为一种可选的实施例,第二获取模块包括第一处理子模块,用于建立与各目标检测对象间的远程连接;第二处理子模块,用于根据各检测指标,生成采集指令;第三处理子模块,用于根据采集指令,生成用于获取配置信息的至少一个检测脚本;以及第四处理子模块,用于将至少一个检测脚本发送给已建立远程连接的各目标检测对象,以供各目标检测对象通过运行检测脚本获得配置信息,并将配置信息返回给电子设备。
作为一种可选的实施例,第二获取模块还包括第五处理子模块,用于建立与各远程连接关联的线程,线程具有有效标识符,有效标识符具有预设的有效时长;以及在有效标识符的有效时长内,显示线程的状态信息。
作为一种可选的实施例,第二确定模块包括第七确定子模块,用于针对任一检测指标,根据配置信息和针对检测指标的预设标准配置信息,确定配置信息与预设标准配置信息间的拟合度;第八确定子模块,用于在拟合度低于预设阈值的情况下,确定检测指标异常。
作为一种可选的实施例,优化模块包括第六处理子模块,用于将目标检测对象的异常检测指标的配置信息更改为预设标准配置信息。
通过本公开实施例,在获取各检测指标的配置信息时,在建立与各目标检测对象间的远程连接后,根据各目标检测对象的检测指标,生成针对各目标检测对象的采集指令。然后根据针对各目标检测对象的采集指令,生成用于获取各目标检测对象的配置信息的至少一个检测脚本。最后将各检测脚本发送给针对的目标检测对象,以供目标检测对象通过运行检测脚本,采集配置信息,并将配置信息返回给电子设备。通过本公开实施例有利于实现针对目标检测对象的配置信息的自动化采集,一方面有利于实现针对目标检测对象的自动化安全基线检测,检测效率高,检测效果显著,同时检测成本也得以有效控制,另一方面能够有效降低人为因素导致操作隐患的风险,有利于保障各类应用与服务器的安全稳定运行。
根据本公开的实施例的模块中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者根据本公开实施例的模块中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块401、第一确定模块402、第二获取模块403、第二确定模块404以及优化模块405中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块401、第一确定模块402、第二获取模块403、第二确定模块404以及优化模块405中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块401、第一确定模块402、第二获取模块403、第二确定模块404以及优化模块405中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图5示意性示出了根据本公开实施例的电子设备的框图。图5示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图5所示,电子设备500包括处理器510、计算机可读存储介质520。该电子设备500可以执行根据本公开实施例的方法。
具体地,处理器510例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器510还可以包括用于缓存用途的板载存储器。处理器510可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理模块或者是多个处理模块。
计算机可读存储介质520,例如可以是非易失性的计算机可读存储介质,具体示例包括但不限于:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;等等。
计算机可读存储介质520可以包括计算机程序521,该计算机程序521可以包括代码/计算机可执行指令,其在由处理器510执行时使得处理器510执行根据本公开实施例的方法或其任何变形。
计算机程序521可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序521中的代码可以包括一个或多个程序模块,例如包括521A、模块521B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器510执行时,使得处理器510可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,第一获取模块401、第一确定模块402、第二获取模块403、第二确定模块404以及优化模块405中的至少一个可以实现为参考图5描述的计算机程序模块,其在被处理器510执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (10)
1.一种电子设备执行的检测方法,包括:
获取检测请求;
根据所述检测请求,确定至少一个目标检测对象以及各所述目标检测对象的检测指标;
获取各所述检测指标的配置信息;
根据所述配置信息和预设条件,确定针对各所述检测指标的检测结果;以及
在所述检测结果指示检测指标异常的情况下,对异常检测指标针对的目标检测对象进行优化处理。
2.根据权利要求1所述的方法,其中,
所述检测请求指示至少一个目标检测对象;
所述根据所述检测请求,确定至少一个目标检测对象以及各所述目标检测对象的检测指标,包括:
根据所述检测请求,确定所述检测请求指示的至少一个目标检测对象;
根据各所述目标检测对象的类型,确定与各所述目标检测对象关联的预设目标检测模板;以及
根据各所述预设目标检测模板,确定各所述目标检测对象的检测指标。
3.根据权利要求1所述的方法,其中,
所述检测请求指示至少一个检测指标;
所述根据所述检测请求,确定至少一个目标检测对象以及各所述目标检测对象的检测指标,包括:
根据所述检测请求,确定所述检测请求指示的至少一个检测指标;
根据所述至少一个检测指标,确定包含所述至少一个检测指标中的一个或者多个检测指标的目标检测模板;以及
根据检测模板与检测对象之间的预设关联关系,确定与所述目标检测模板关联的检测对象,以得到所述至少一个目标检测对象。
4.根据权利要求1至3中任一项所述的方法,其中,所述获取各所述检测指标的配置信息,包括:
建立与各所述目标检测对象间的远程连接;
根据各所述检测指标,生成采集指令;
根据所述采集指令,生成用于获取所述配置信息的至少一个检测脚本;以及
将至少一个所述检测脚本发送给已建立远程连接的各所述目标检测对象,以供各所述目标检测对象通过运行所述检测脚本获得所述配置信息,并将所述配置信息返回给所述电子设备。
5.根据权利要求4所述的方法,其中,在建立与各所述目标检测对象间的远程连接之后,还包括:
建立与各所述远程连接关联的线程,所述线程具有有效标识符,所述有效标识符具有预设的有效时长;以及
在所述有效标识符的有效时长内,显示所述线程的状态信息。
6.根据权利要求1至3中任一项所述的方法,其中,所述根据所述配置信息和预设条件,确定针对各所述检测指标的检测结果,包括:针对任一检测指标,
根据所述配置信息和针对所述检测指标的预设标准配置信息,确定所述配置信息与所述预设标准配置信息间的拟合度;以及
在所述拟合度低于预设阈值的情况下,确定所述检测指标异常。
7.根据权利要求6所述的方法,其中,所述对异常检测指标针对的目标检测对象进行优化处理,包括:
将所述目标检测对象的异常检测指标的配置信息更改为所述预设标准配置信息。
8.一种检测装置,包括:
第一获取模块,用于获取检测请求;
第一确定模块,用于根据所述检测请求,确定至少一个目标检测对象以及各所述目标检测对象的检测指标;
第二获取模块,用于获取各所述检测指标的配置信息;
第二确定模块,用于根据所述配置信息和预设条件,确定针对各所述检测指标的检测结果;以及
优化模块,用于在所述检测结果指示检测指标异常的情况下,对异常检测指标针对的目标检测对象进行优化处理。
9.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现权利要求1至7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010659619.9A CN111767549B (zh) | 2020-07-09 | 2020-07-09 | 检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010659619.9A CN111767549B (zh) | 2020-07-09 | 2020-07-09 | 检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111767549A true CN111767549A (zh) | 2020-10-13 |
CN111767549B CN111767549B (zh) | 2023-09-05 |
Family
ID=72726648
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010659619.9A Active CN111767549B (zh) | 2020-07-09 | 2020-07-09 | 检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111767549B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115834426A (zh) * | 2022-11-07 | 2023-03-21 | 江苏安几科技有限公司 | 终端可信度动态检测方法、计算机设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106559249A (zh) * | 2015-09-30 | 2017-04-05 | 中国联合网络通信集团有限公司 | 检查安全基线的方法及装置 |
CN107566350A (zh) * | 2017-08-15 | 2018-01-09 | 深信服科技股份有限公司 | 安全配置漏洞监控方法、装置以及计算机可读存储介质 |
CN110855652A (zh) * | 2019-11-05 | 2020-02-28 | 南方电网数字电网研究院有限公司 | 安全基线配置合规检测方法、装置、计算机设备及介质 |
-
2020
- 2020-07-09 CN CN202010659619.9A patent/CN111767549B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106559249A (zh) * | 2015-09-30 | 2017-04-05 | 中国联合网络通信集团有限公司 | 检查安全基线的方法及装置 |
CN107566350A (zh) * | 2017-08-15 | 2018-01-09 | 深信服科技股份有限公司 | 安全配置漏洞监控方法、装置以及计算机可读存储介质 |
CN110855652A (zh) * | 2019-11-05 | 2020-02-28 | 南方电网数字电网研究院有限公司 | 安全基线配置合规检测方法、装置、计算机设备及介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115834426A (zh) * | 2022-11-07 | 2023-03-21 | 江苏安几科技有限公司 | 终端可信度动态检测方法、计算机设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111767549B (zh) | 2023-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106462702B (zh) | 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 | |
CN105631026B (zh) | 一种安全数据分析系统 | |
US10343630B2 (en) | Monitoring method and apparatus | |
US8489941B2 (en) | Automatic documentation of ticket execution | |
CN110888783A (zh) | 微服务系统的监测方法、装置以及电子设备 | |
US11126494B2 (en) | Automated, adaptive, and auto-remediating system for production environment | |
CN111191226B (zh) | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 | |
US20140143776A1 (en) | Method and system for identifying virtualized operating system threats in a cloud computing environment | |
CN112015663B (zh) | 测试数据录制方法、装置、设备及介质 | |
US11971994B2 (en) | End-point visibility | |
CN112559831A (zh) | 链路监控方法、装置、计算机设备及介质 | |
CN111767549B (zh) | 检测方法和装置 | |
CN116010156B (zh) | 异常处理系统 | |
US10931693B2 (en) | Computation apparatus and method for identifying attacks on a technical system on the basis of events of an event sequence | |
CN111752819B (zh) | 一种异常监控方法、装置、系统、设备和存储介质 | |
CN112650557B (zh) | 一种命令执行方法以及装置 | |
CN112631551B (zh) | 随机数生成方法、装置、电子设备及存储介质 | |
US11811803B2 (en) | Method of threat detection | |
EP2819053A1 (en) | Diagnosing a device in an automation and control system | |
CN115037531A (zh) | 一种未授权访问漏洞检测方法、设备、系统 | |
JP2020004127A (ja) | コンピュータ資産管理システムおよびコンピュータ資産管理方法 | |
CN111522717B (zh) | 资源巡检方法、系统及计算机可读存储介质 | |
CN115934453A (zh) | 一种故障排查方法、装置及存储介质 | |
RU2464628C1 (ru) | Способ контроля функционирования программного обеспечения | |
CN111125728A (zh) | 一种治理数据库安全问题的方法、装置及治理设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |