CN112257070A - 一种基于资产场景属性的漏洞排查方法及系统 - Google Patents
一种基于资产场景属性的漏洞排查方法及系统 Download PDFInfo
- Publication number
- CN112257070A CN112257070A CN202011141562.XA CN202011141562A CN112257070A CN 112257070 A CN112257070 A CN 112257070A CN 202011141562 A CN202011141562 A CN 202011141562A CN 112257070 A CN112257070 A CN 112257070A
- Authority
- CN
- China
- Prior art keywords
- asset
- vulnerability
- target
- information
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000013024 troubleshooting Methods 0.000 title abstract description 10
- 238000012795 verification Methods 0.000 claims abstract description 35
- 238000001514 detection method Methods 0.000 claims abstract description 20
- 230000004083 survival effect Effects 0.000 claims abstract description 19
- 238000012216 screening Methods 0.000 claims abstract description 16
- 230000015654 memory Effects 0.000 claims description 39
- 230000004069 differentiation Effects 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 7
- 239000000284 extract Substances 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 238000012423 maintenance Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000007547 defect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000010924 continuous production Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001915 proofreading effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于资产场景属性的漏洞排查方法及系统,方法包括:获取待扫描的资产目标;通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标;提取资产表中存活资产目标的资产基础信息;根据存活资产目标的资产基础信息,加载对应漏洞库及与漏洞相关的漏洞匹配策略;根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞,对其漏洞验证策略进行加载,然后进行漏洞扫描及相应漏洞报文的服务指纹探测,输出扫描结果。本发明以资产表为基准,从中提取存活资产目标的资产基础信息,同时结合漏洞库及与漏洞相关的漏洞匹配策略、漏洞验证策略检测漏洞是否存在,通过漏洞检测的动态循环过程,提高扫描的时间效率、同时降低漏洞误报率。
Description
技术领域
本发明涉及网络安全自动化技术领域,具体涉及一种基于资产场景属性的漏洞排查方法及系统。
背景技术
随着信息技术的发展及海量数据的产生,造成网络架构、终端设备种类繁杂,包括主机服务器、网络设备、安全设备、及行业属性的软件应用也更加繁多,大量的应用服务不可避免的存在安全漏洞,漏洞被恶意攻击者利用,造成企业大量数据泄露、资金安全、业务不可持续性运营等风险。
传统的漏洞扫描方法通过资产指纹识别技术获取目标设备终端指纹信息,如获取操作系统类型、网络设备类型、端口开放情况、应用软件服务版本信息等,然后通过匹配漏洞库,从中获取设备终端版本已知的漏洞信息,传统基于终端设备版本匹配获取的漏洞,存在很多的误报情况,如针对某一漏洞打了漏洞补丁,但指纹信息没有改变,再一次扫描该设备时,依然会爆出漏洞。同时远程资产指纹识别的准确率也受到很多因素的影响,如网络的稳定性、被扫描资产的指纹获取方法、安防设备的影响等,通常会造成资产指纹识别的不准确,资产指纹识别的不准确进一步会导致匹配版本获取的漏洞存在严重的误报,如Windows系统中安装了FTP、SSH服务独立软件运行,现有根据要素点概率判定操作系统类型的方式,可能造成Windows系统识别成为Linux系统,从而整个扫描结果存在严重的误报。
目前漏洞库的加载主要包含两种方式,一种是全库加载的方式,即在漏洞扫描引擎启动时,将所有的漏洞库数据及检测策略加载到内存中,进而执行扫描任务。另一种方式是通过先获取扫描目标的指纹信息,然后根据该信息加载对应的漏洞库及检测策略,由于漏洞库及漏洞检测策略数量太多,如一条漏洞信息,通常会对应多条漏洞检测策略,且资产指纹识别存在一定的误报,因此这两种方式都存在扫描的时间效率低及漏洞误报率高的问题。
发明内容
因此,本发明提供的一种基于资产场景属性的漏洞排查方法及系统,克服了现有技术中扫描时间效率低及漏洞误报率高的缺陷。
为达到上述目的,本发明提供如下技术方案:
第一方面,本发明实施例提供一种基于资产场景属性的漏洞排查方法,包括:获取待扫描的资产目标;
通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标;
提取资产表中存活资产目标的资产基础信息;
根据存活资产目标的资产基础信息,加载对应的漏洞库及与漏洞相关的漏洞匹配策略;
根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞,对其漏洞验证策略进行加载,然后进行漏洞扫描及相应漏洞报文的服务指纹探测,输出扫描结果。
在一实施例中,还包括:当漏洞扫描时且同时未识别到非资产表中其它运行应用服务时,直接输出漏洞扫描报告。
在一实施例中,资产表中包括每个资产设备的指纹信息,指纹信息包括:资产IP、操作系统类型、网络设备厂商信息、数据库信息、应用软件版本信息、系统应用名称。
在一实施例中,还包括:当漏洞扫描时且同时识别到非资产表中运行服务时,识别到该服务的指纹信息并做规范化处理,输出漏洞扫描报告。
在一实施例中,当识别到的运行服务信息和资产表中的系统应用名称相同,但版本不同时,以资产表为基准进行校对,同时对校对的差异化做标识,输出扫描报告时需体现该差异化。
在一实施例中,当识别到运行服务信息与资产表中系统应用名称不同时,调取非资产表中存在漏洞库的漏洞匹配检测策略及对应漏洞验证策略,以资产表中为基准,对识别到的服务的存活资产目标的资产基础信息,进行规范化处理,更新资产表中的漏洞库及与漏洞相关的漏洞匹配策略,以及对应漏洞验证策略,输出漏洞扫描报告。
在一实施例中,通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标,包括:通过对比待扫描资产目标与资产表中资产IP,筛选出存活的资产目标。
第二方面,本发明实施例提供一种基于资产场景属性的漏洞排查系统,包括:
目标获取模块,用于获取待扫描的资产目标;
资产判活模块,用于通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标;
资产表解析模块,用于提取资产表中存活资产目标的资产基础信息;
漏洞库及漏洞匹配策略模块,用于根据存活资产目标的资产基础信息,加载对应的漏洞库及与漏洞相关的漏洞匹配策略;
结果输出模块,用于根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞,对其漏洞验证策略进行加载,然后进行漏洞扫描及相应漏洞报文的服务指纹探测,输出扫描结果。
第三方面,本发明实施例提供一种终端,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行本发明实施例第一方面所述的基于资产场景属性的漏洞排查方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行本发明实施例第一方面所述的基于资产场景属性的漏洞排查方法。
本发明技术方案,具有如下优点:
本发明公开了一种基于资产场景属性的漏洞排查方法及系统,方法包括:获取待扫描的资产目标;通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标;提取资产表中存活资产目标的资产基础信息;根据存活资产目标的资产基础信息,加载对应的漏洞库及与漏洞相关的漏洞匹配策略;根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞,对其漏洞验证策略进行加载,然后进行漏洞扫描及相应漏洞报文的服务指纹探测,输出扫描结果。本发明以资产表为基准,与待扫描的资产目标进行对比,从中提取存活资产目标的资产基础信息,同时结合漏洞库及与漏洞相关的漏洞匹配策略、漏洞验证策略检测漏洞是否存在,通过漏洞检测的动态循环过程,提高了扫描的时间效率、同时降低了漏洞误报率,方便运维安全管理人员的管控,定位问题核实资产情况。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于资产场景属性的漏洞排查方法的一个具体示例的流程图;
图2为本发明实施例提供的一种基于资产场景属性的漏洞排查方法的另一个具体示例的流程图;
图3为本发明实施例提供的一种基于资产场景属性的漏洞排查系统的模块组成图;
图4为本发明实施例提供的一种基于资产场景属性的漏洞排查终端一个具体示例的组成图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
实施例1
本发明实施例提供的一种基于资产场景属性的漏洞排查方法,如图1所示,包括如下步骤:
步骤S1:获取待扫描的资产目标。
在本发明实施例中,可以通过扫描资产设备的IP地址获取资产目标的信息,仅以此举例,不以此为限,在实际应用中根据实际需求获取相应的资产目标的信息。
步骤S2:通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标。
在本发明实施例中,资产表中包括每个资产设备的指纹信息,指纹信息包括:资产IP、操作系统类型、网络设备厂商信息、数据库信息、应用软件版本信息、系统应用名称;通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标,包括:通过对比待扫描资产目标与资产表中资产IP,筛选出存活的资产目标。根据用户使用便利性进行考虑,取其扫描目标IP,资产场景属性是作为一个基线值考虑,通过解析资产的每一个属性值,作为扫描引擎漏洞库及漏洞检测策略加载的依据;实际应用中,详细的还会包含服务器数据库或中间信息,如apache2、Weblogic 10.3.6、redis、Mysql、Oracle、达梦数据库等,这些资产基础信息都是运维人员和/或安全管理人员根据资产场景设备的安装及属性记录的资产表,仅以此举例,不以此为限,在实际应用中根据实际需求进行相应的记录,通过资产表可以知道每个资产设备的安装的基本信息。
步骤S3:提取资产表中存活资产目标的资产基础信息。
在本发明实施例中,根据筛选出存活的资产目标,提取资产表中存活资产目标的资产基础信息,例如,操作系统类型、网络设备厂商信息、数据库信息,应用软件版本信息等,仅以此举例,不以此为限,在实际应用中根据实际需求提取资产表中存活资产目标的资产基础信息。在此需要说明的是,这里需要有资产导入功能做支撑,如在扫描任务下发时,提供资产导入功能入口,该资产信息属于可以录入资产,以文件方式提供,如Excel表等,在实际应用中选择相应的文件进行录入。
步骤S4:根据存活资产目标的资产基础信息,加载对应的漏洞库及与漏洞相关的漏洞匹配策略。
在本发明实施例中,根据存活资产目标的资产基础信息,如操作系统类型、网络设备厂商信息、数据库信息,应用软件版本信息等,加载对应的漏洞库及漏洞匹配策略;漏洞库是资产表中设备终端及其应用软件等相关的漏洞信息,漏洞匹配策略是指远程指纹探测获取信息后,匹配漏洞库相关漏洞的策略。根据多种资产基础信息,解决了单一版本匹配方式检测漏洞及资产指纹数据获取的不准确,导致漏洞扫描结果存在严重误报的问题;同时根据存活资产目标的资产基础信息,可以调取对应的漏洞库及与漏洞相关的漏洞匹配策略,例如,存活资产目标的操作系统类型为Windows时,调取Windows对应的漏洞库及漏洞匹配策略,减少了漏洞匹配的时间,提高了漏洞检测效率。
步骤S5:根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞,对其漏洞验证策略进行加载,然后进行漏洞扫描及相应漏洞报文的服务指纹探测,输出扫描结果。
在本发明实施例中,服务指纹探测是通过发送特定报文,漏洞验证策略通过筛选当前漏洞库加载的漏洞中哪些存在相关的漏洞报文,然后进行加载,漏洞验证策略区别于漏洞匹配策略的不同在于,漏洞验证策略是通过发送触发对应漏洞的相关报文,验证漏洞是否存在,该报文是真实存在一段验证代码,通过发送漏洞报文验证漏洞是准确的。例如,设备终端或应用软件等根据报文触发响应信息,通过响应信息,获取到证明该设备终端的操作系统类型(如Windows系统还是Linux系统,或嵌入式操作系统等)、网络设备厂商类型(如Ftp或Telnet登录时banner信息还会提供终端设备操作系统版本信息等)、应用软件(如数据库或SSH尝试连接时也会泄露厂商等信息)、存在Web管理服务的还可以根据Response中Server字段获取系统的指纹信息,综合利用各种获取目标指纹技术手段获取其信息。
在本发明实施例中,还包括:当漏洞扫描时且同时未识别到非资产表中其它运行应用服务时,直接输出漏洞扫描报告,进一步方便了运维安全管理人员管控资产的精细化,如场景化资产信息与实际环境运行系统的差异,方便定位问题排查风险。
在本发明实施例中,当漏洞扫描时且同时识别到非资产表中运行服务时,识别到该服务的指纹信息并做规范化处理,输出漏洞扫描报告。其中,当识别到的运行服务信息和资产表中的系统应用名称相同,但版本不同时,以资产表为基准进行校对,同时对校对的差异化做标识,输出扫描报告时需体现该差异化;当识别到运行服务信息与资产表中系统应用名称不同时,调取非资产表中存在漏洞库的漏洞匹配检测策略及对应漏洞验证策略,以资产表中为基准,对识别到的服务的存活资产目标的资产基础信息,进行规范化处理,更新资产表中的漏洞库及与漏洞相关的漏洞匹配策略,以及对应漏洞验证策略,输出漏洞扫描报告,此过程是一个动态、持续的过程,根据被扫描数据与资产数据的信息拟合,针对扫描引擎的漏洞库和对应的漏洞检测策略加载,进行动态调整,提高扫描任务的效率,进一步方便了运维安全管理人员管控资产的精细化,如场景化资产信息与实际环境运行系统的差异,方便定位问题排查风险。
在一具体实施例中,漏洞检测输出扫描报告,如图2所示,当扫描任务下发时,添加扫描目标,导入已知资产设备表,通过资产设备表与待扫描的扫描任务的对比结果,筛选出存活的资产目标,从中提取资产表中存活资产目标的资产基础信息,根据存活资产目标的资产基础信息,加载对应的漏洞库及与漏洞相关的漏洞匹配策略;根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞,对其漏洞验证策略进行加载,然后进行漏洞扫描及相应漏洞报文的服务指纹探测,输出扫描结果,其中,当漏洞扫描时且同时未识别到非资产表中其它运行应用服务时,直接输出漏洞扫描报告;当漏洞扫描时且同时识别到非资产表中运行服务时,识别到该服务的指纹信息并做规范化处理,加载非资产表中存在的应用软件等漏洞库和检测策略,更新资产表中的漏洞库及与漏洞相关的漏洞匹配策略,以及对应漏洞验证策略,输出漏洞扫描报告,此过程是一个动态、持续的过程,根据被扫描数据与资产数据的信息拟合,针对扫描引擎的漏洞库和对应的漏洞检测策略加载,进行动态调整,提高扫描任务的效率,进一步方便了运维安全管理人员管控资产的精细化
在本实施例中,以电力场景为例,下表为电力相关场景化资产表:
资产场景的属性定义:包括资产IP(即设备终端的运行使用IP),当前资产的系统类型(如Linux操作系统、Windows操作系统、嵌入式操作系统Vxworks);精确到内核版本(如Centos7 kernel-3.10.0-514.21.1.el7);中间件类型(如Weblogic、Tomcat、Apache)等;精确到具体版本(如Weblogic10.3.6),数据库类型(Oracle、达梦、Mysql、Oracle Database10g);其它系统软件(如SSH、NTP服务器上的Ntp系统软件、Ntp 4.3.99),这些基础资源都是准确的。
其中,资产属性的提取方式是根据Excel文件具体的内容模板,提取方式上略有不同,扫描引擎后台先打开整个Excel文件,然后读取文件并遍历每一行的内容;取到表格的数据之后,针对这些数据进行格式化,如<key,value>键值提取出我们所需有用的数据;将这些数据交给漏洞库与漏洞匹配策略加载模块,完成漏洞库和漏洞相应漏洞匹配策略的加载;根据当前漏洞匹配策略及对应漏洞验证策略,验证漏洞是否存在,优化现有扫描器的不足,提高了扫描的时间效率、降低了漏洞误报率。
本发明实施例中提供的基于资产场景属性的漏洞排查方法,以资产表为基准,与待扫描的资产目标进行对比,从中提取存活资产目标的资产基础信息,同时结合漏洞库及与漏洞相关的漏洞匹配策略、漏洞验证策略检测漏洞是否存在,其中,当未识别到非资产表中运行的服务,可直接输出扫描结果;当识别到其它运行应用服务时,再次进行该应用服务对应漏洞库及漏洞检测策略的加载,进行漏洞扫描,整体是一个动态循环的过程,通过漏洞检测的动态循环过程,提高了扫描的时间效率、同时降低了漏洞误报率,方便运维安全管理人员的管控,定位问题核实资产情况。
实施例2
本发明实施例提供一种基于资产场景属性的漏洞排查系统,如图3所示,包括:
目标获取模块1,用于获取待扫描的资产目标;此模块执行实施例1中的步骤S1所描述的方法,在此不再赘述。
资产判活模块2,用于通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标;此模块执行实施例1中的步骤S2所描述的方法,在此不再赘述。
资产表解析模块3,用于提取资产表中存活资产目标的资产基础信息;此模块执行实施例1中的步骤S3所描述的方法,在此不再赘述。
漏洞库及漏洞匹配策略模块4,用于根据存活资产目标的资产基础信息,加载对应的漏洞库及与漏洞相关的漏洞匹配策略;此模块执行实施例1中的步骤S4所描述的方法,在此不再赘述。
结果输出模块5,用于根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞,对其漏洞验证策略进行加载,然后进行漏洞扫描及相应漏洞报文的服务指纹探测,输出扫描结果;此模块执行实施例1中的步骤S5所描述的方法,在此不再赘述。
本发明实施例提供一种基于资产场景属性的漏洞排查系统,以资产表为基准,与待扫描的资产目标进行对比,从中提取存活资产目标的资产基础信息,同时结合漏洞库及与漏洞相关的漏洞匹配策略、漏洞验证策略检测漏洞是否存在,其中,当未识别到非资产表中运行的服务,可直接输出扫描结果;当识别到其它运行应用服务时,再次进行该应用服务对应漏洞库及漏洞检测策略的加载,进行漏洞扫描,整体是一个动态循环的过程,通过漏洞检测的动态循环过程,提高了扫描的时间效率、同时降低了漏洞误报率,方便运维安全管理人员的管控,定位问题核实资产情况。
实施例3
本发明实施例提供一种终端,如图4所示,包括:至少一个处理器401,例如CPU(Central Processing Unit,中央处理器),至少一个通信接口403,存储器404,至少一个通信总线402。其中,通信总线402用于实现这些组件之间的连接通信。其中,通信接口403可以包括显示屏(Display)、键盘(Keyboard),可选通信接口403还可以包括标准的有线接口、无线接口。存储器404可以是高速RAM存储器(Random Access Memory,易挥发性随机存取存储器),也可以是非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。存储器404可选的还可以是至少一个位于远离前述处理器401的存储装置。其中处理器401可以执行实施例1中的基于资产场景属性的漏洞排查方法。存储器404中存储一组程序代码,且处理器401调用存储器404中存储的程序代码,以用于执行实施例1中的基于资产场景属性的漏洞排查方法。其中,通信总线402可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。
通信总线402可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条线表示,但并不表示仅有一根总线或一种类型的总线。其中,存储器404可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固降硬盘(英文:solid-state drive,缩写:SSD);存储器404还可以包括上述种类的存储器的组合。其中,处理器401可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
其中,存储器404可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard diskdrive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器404还可以包括上述种类的存储器的组合。
其中,处理器401可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
其中,处理器401还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic arraylogic,缩写:GAL)或其任意组合。
可选地,存储器404还用于存储程序指令。处理器401可以调用程序指令,实现如本申请执行实施例1中的基于资产场景属性的漏洞排查方法。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机可执行指令,该计算机可执行指令可执行实施例1中的基于资产场景属性的漏洞排查方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard DiskDrive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (10)
1.一种基于资产场景属性的漏洞排查方法,其特征在于,包括:
获取待扫描的资产目标;
通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标;
提取资产表中存活资产目标的资产基础信息;
根据存活资产目标的资产基础信息,加载对应的漏洞库及与漏洞相关的漏洞匹配策略;
根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞,对其漏洞验证策略进行加载,然后进行漏洞扫描及相应漏洞报文的服务指纹探测,输出扫描结果。
2.根据权利要求1所述的基于资产场景属性的漏洞排查方法,其特征在于,还包括:当漏洞扫描时且同时未识别到非资产表中其它运行应用服务时,直接输出漏洞扫描报告。
3.根据权利要求1所述的基于资产场景属性的漏洞排查方法,其特征在于,资产表中包括每个资产设备的指纹信息,指纹信息包括:资产IP、操作系统类型、网络设备厂商信息、数据库信息、应用软件版本信息、系统应用名称。
4.根据权利要求3所述的基于资产场景属性的漏洞排查方法,其特征在于,还包括:当漏洞扫描时且同时识别到非资产表中运行服务时,识别到该服务的指纹信息并做规范化处理,输出漏洞扫描报告。
5.根据权利要求4所述的基于资产场景属性的漏洞排查方法,其特征在于,当识别到的运行服务信息和资产表中的系统应用名称相同,但版本不同时,以资产表为基准进行校对,同时对校对的差异化做标识,输出扫描报告时需体现该差异化。
6.根据权利要求4所述的基于资产场景属性的漏洞排查方法,其特征在于,当识别到运行服务信息与资产表中系统应用名称不同时,调取非资产表中存在漏洞库的漏洞匹配检测策略及对应漏洞验证策略,以资产表中为基准,对识别到的服务的存活资产目标的资产基础信息,进行规范化处理,更新资产表中的漏洞库及与漏洞相关的漏洞匹配策略,以及对应漏洞验证策略,输出漏洞扫描报告。
7.根据权利要求3所述的基于资产场景属性的漏洞排查方法,其特征在于,通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标,包括:通过对比待扫描资产目标与资产表中资产IP,筛选出存活的资产目标。
8.一种基于资产场景属性的漏洞排查系统,其特征在于,包括:
目标获取模块,用于获取待扫描的资产目标;
资产判活模块,用于通过资产表与待扫描的资产目标的对比结果,筛选出存活的资产目标;
资产表解析模块,用于提取资产表中存活资产目标的资产基础信息;
漏洞库及漏洞匹配策略模块,用于根据存活资产目标的资产基础信息,加载对应的漏洞库及与漏洞相关的漏洞匹配策略;
结果输出模块,用于根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞,对其漏洞验证策略进行加载,然后进行漏洞扫描及相应漏洞报文的服务指纹探测,输出扫描结果。
9.一种终端,其特征在于,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行权利要求1-7任一所述的基于资产场景属性的漏洞排查方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1-7任一所述的基于资产场景属性的漏洞排查方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011141562.XA CN112257070A (zh) | 2020-10-22 | 2020-10-22 | 一种基于资产场景属性的漏洞排查方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011141562.XA CN112257070A (zh) | 2020-10-22 | 2020-10-22 | 一种基于资产场景属性的漏洞排查方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112257070A true CN112257070A (zh) | 2021-01-22 |
Family
ID=74263347
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011141562.XA Pending CN112257070A (zh) | 2020-10-22 | 2020-10-22 | 一种基于资产场景属性的漏洞排查方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112257070A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112800432A (zh) * | 2021-02-05 | 2021-05-14 | 绿盟科技集团股份有限公司 | 一种漏洞描述与资产匹配方法、装置、设备及介质 |
| CN113392406A (zh) * | 2021-07-13 | 2021-09-14 | 北京长亭科技有限公司 | 漏洞检测方法、漏洞检测模型和漏洞检测装置 |
| CN113422759A (zh) * | 2021-06-10 | 2021-09-21 | 杭州安恒信息技术股份有限公司 | 漏洞扫描方法、电子装置和存储介质 |
| CN113672934A (zh) * | 2021-08-09 | 2021-11-19 | 中汽创智科技有限公司 | 一种安全漏洞扫描系统及方法、终端、存储介质 |
| CN113688398A (zh) * | 2021-08-24 | 2021-11-23 | 杭州迪普科技股份有限公司 | 漏洞扫描结果的评估方法、装置及系统 |
| CN113918954A (zh) * | 2021-09-14 | 2022-01-11 | 国网新疆电力有限公司信息通信公司 | 自动化漏洞扫描集成方法、装置、设备及存储介质 |
| CN113946826A (zh) * | 2021-09-10 | 2022-01-18 | 国网山东省电力公司信息通信公司 | 一种漏洞指纹静默分析监测的方法、系统、设备和介质 |
| CN113961942A (zh) * | 2021-12-23 | 2022-01-21 | 北京华顺信安科技有限公司 | 基于指纹识别的漏洞验证方法和装置 |
| CN114095218A (zh) * | 2021-11-05 | 2022-02-25 | 武汉思普崚技术有限公司 | 一种资产漏洞管理方法及装置 |
| CN114448721A (zh) * | 2022-03-11 | 2022-05-06 | 全球能源互联网研究院有限公司南京分公司 | 一种漏洞无感缓解装置及方法 |
| CN114827043A (zh) * | 2022-03-31 | 2022-07-29 | 中国电子科技集团公司第三十研究所 | 基于指纹动态更新及关键报文识别的流量特征匹配方法 |
| CN117318988A (zh) * | 2023-08-24 | 2023-12-29 | 智感无限(深圳)科技有限公司 | 一种基于大数据的网络安全漏洞自动化扫描预警管理系统 |
| CN118118253A (zh) * | 2024-03-27 | 2024-05-31 | 中金金融认证中心有限公司 | 加密流量漏洞扫描检测方法、装置、电子设备及存储介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103065095A (zh) * | 2013-01-29 | 2013-04-24 | 四川大学 | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 |
| CN105450442A (zh) * | 2015-11-06 | 2016-03-30 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查方法及其系统 |
| CN106407836A (zh) * | 2016-08-29 | 2017-02-15 | 北京农业信息技术研究中心 | 一种数据非法修改行为自动检测的方法及装置 |
| CN107480531A (zh) * | 2017-07-18 | 2017-12-15 | 北京计算机技术及应用研究所 | 基于漏洞库的自动化软件漏洞验证系统及方法 |
| US20180219899A1 (en) * | 2017-01-27 | 2018-08-02 | Oracle International Corporation | Method and system for placing a workload on one of a plurality of hosts |
| CN108769064A (zh) * | 2018-06-26 | 2018-11-06 | 广东电网有限责任公司信息中心 | 实现漏洞治理的分布式资产识别及变更感知方法与系统 |
| US20180332069A1 (en) * | 2017-05-11 | 2018-11-15 | Tenable, Inc. | Elastic asset-based licensing model for use in a vulnerability management system |
| CN109413104A (zh) * | 2018-12-11 | 2019-03-01 | 中国电子科技网络信息安全有限公司 | 一种无状态tcp网络扫描方法 |
| CN110321708A (zh) * | 2019-03-21 | 2019-10-11 | 北京天防安全科技有限公司 | 一种基于资产类别的快速漏洞扫描方法及系统 |
| CN110324310A (zh) * | 2019-05-21 | 2019-10-11 | 国家工业信息安全发展研究中心 | 网络资产指纹识别方法、系统及设备 |
| CN110543767A (zh) * | 2019-08-10 | 2019-12-06 | 苏州浪潮智能科技有限公司 | 一种针对开源组件漏洞自动化监控方法及系统 |
| CN110661808A (zh) * | 2019-09-29 | 2020-01-07 | 国家计算机网络与信息安全管理中心 | 一种基于资产探测的主机漏洞快速扫描方法和装置 |
| CN110719300A (zh) * | 2019-11-18 | 2020-01-21 | 支付宝(杭州)信息技术有限公司 | 一种自动化漏洞验证的方法和系统 |
| CN111240994A (zh) * | 2020-01-20 | 2020-06-05 | 北京国舜科技股份有限公司 | 漏洞处理方法、装置、电子设备及可读存储介质 |
-
2020
- 2020-10-22 CN CN202011141562.XA patent/CN112257070A/zh active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103065095A (zh) * | 2013-01-29 | 2013-04-24 | 四川大学 | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 |
| CN105450442A (zh) * | 2015-11-06 | 2016-03-30 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查方法及其系统 |
| CN106407836A (zh) * | 2016-08-29 | 2017-02-15 | 北京农业信息技术研究中心 | 一种数据非法修改行为自动检测的方法及装置 |
| US20180219899A1 (en) * | 2017-01-27 | 2018-08-02 | Oracle International Corporation | Method and system for placing a workload on one of a plurality of hosts |
| US20180332069A1 (en) * | 2017-05-11 | 2018-11-15 | Tenable, Inc. | Elastic asset-based licensing model for use in a vulnerability management system |
| CN107480531A (zh) * | 2017-07-18 | 2017-12-15 | 北京计算机技术及应用研究所 | 基于漏洞库的自动化软件漏洞验证系统及方法 |
| CN108769064A (zh) * | 2018-06-26 | 2018-11-06 | 广东电网有限责任公司信息中心 | 实现漏洞治理的分布式资产识别及变更感知方法与系统 |
| CN109413104A (zh) * | 2018-12-11 | 2019-03-01 | 中国电子科技网络信息安全有限公司 | 一种无状态tcp网络扫描方法 |
| CN110321708A (zh) * | 2019-03-21 | 2019-10-11 | 北京天防安全科技有限公司 | 一种基于资产类别的快速漏洞扫描方法及系统 |
| CN110324310A (zh) * | 2019-05-21 | 2019-10-11 | 国家工业信息安全发展研究中心 | 网络资产指纹识别方法、系统及设备 |
| CN110543767A (zh) * | 2019-08-10 | 2019-12-06 | 苏州浪潮智能科技有限公司 | 一种针对开源组件漏洞自动化监控方法及系统 |
| CN110661808A (zh) * | 2019-09-29 | 2020-01-07 | 国家计算机网络与信息安全管理中心 | 一种基于资产探测的主机漏洞快速扫描方法和装置 |
| CN110719300A (zh) * | 2019-11-18 | 2020-01-21 | 支付宝(杭州)信息技术有限公司 | 一种自动化漏洞验证的方法和系统 |
| CN111240994A (zh) * | 2020-01-20 | 2020-06-05 | 北京国舜科技股份有限公司 | 漏洞处理方法、装置、电子设备及可读存储介质 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112800432A (zh) * | 2021-02-05 | 2021-05-14 | 绿盟科技集团股份有限公司 | 一种漏洞描述与资产匹配方法、装置、设备及介质 |
| CN113422759A (zh) * | 2021-06-10 | 2021-09-21 | 杭州安恒信息技术股份有限公司 | 漏洞扫描方法、电子装置和存储介质 |
| CN113392406A (zh) * | 2021-07-13 | 2021-09-14 | 北京长亭科技有限公司 | 漏洞检测方法、漏洞检测模型和漏洞检测装置 |
| CN113672934A (zh) * | 2021-08-09 | 2021-11-19 | 中汽创智科技有限公司 | 一种安全漏洞扫描系统及方法、终端、存储介质 |
| CN113688398A (zh) * | 2021-08-24 | 2021-11-23 | 杭州迪普科技股份有限公司 | 漏洞扫描结果的评估方法、装置及系统 |
| CN113688398B (zh) * | 2021-08-24 | 2024-04-26 | 杭州迪普科技股份有限公司 | 漏洞扫描结果的评估方法、装置及系统 |
| CN113946826A (zh) * | 2021-09-10 | 2022-01-18 | 国网山东省电力公司信息通信公司 | 一种漏洞指纹静默分析监测的方法、系统、设备和介质 |
| CN113918954A (zh) * | 2021-09-14 | 2022-01-11 | 国网新疆电力有限公司信息通信公司 | 自动化漏洞扫描集成方法、装置、设备及存储介质 |
| CN114095218A (zh) * | 2021-11-05 | 2022-02-25 | 武汉思普崚技术有限公司 | 一种资产漏洞管理方法及装置 |
| CN113961942A (zh) * | 2021-12-23 | 2022-01-21 | 北京华顺信安科技有限公司 | 基于指纹识别的漏洞验证方法和装置 |
| CN114448721A (zh) * | 2022-03-11 | 2022-05-06 | 全球能源互联网研究院有限公司南京分公司 | 一种漏洞无感缓解装置及方法 |
| CN114448721B (zh) * | 2022-03-11 | 2023-06-13 | 全球能源互联网研究院有限公司南京分公司 | 一种漏洞无感缓解装置及方法 |
| CN114827043A (zh) * | 2022-03-31 | 2022-07-29 | 中国电子科技集团公司第三十研究所 | 基于指纹动态更新及关键报文识别的流量特征匹配方法 |
| CN114827043B (zh) * | 2022-03-31 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 基于指纹动态更新及关键报文识别的流量特征匹配方法 |
| CN117318988A (zh) * | 2023-08-24 | 2023-12-29 | 智感无限(深圳)科技有限公司 | 一种基于大数据的网络安全漏洞自动化扫描预警管理系统 |
| CN118118253A (zh) * | 2024-03-27 | 2024-05-31 | 中金金融认证中心有限公司 | 加密流量漏洞扫描检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112257070A (zh) | 一种基于资产场景属性的漏洞排查方法及系统 | |
| CN108322446B (zh) | 内网资产漏洞检测方法、装置、计算机设备和存储介质 | |
| CN112184091B (zh) | 工控系统安全威胁评估方法、装置和系统 | |
| CN109800258B (zh) | 数据文件部署方法、装置、计算机设备及存储介质 | |
| CN110929264B (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
| CN110535727B (zh) | 资产识别方法和装置 | |
| CN110708315A (zh) | 资产漏洞的识别方法、装置和系统 | |
| CN111756697B (zh) | Api安全检测方法、装置、存储介质及计算机设备 | |
| CN112100048B (zh) | 一种服务器自适应巡检方法及装置 | |
| CN111131221A (zh) | 接口校验的装置、方法及存储介质 | |
| CN112087462A (zh) | 一种工控系统的漏洞检测方法和装置 | |
| CN112738094B (zh) | 可扩展的网络安全漏洞监测方法、系统、终端及存储介质 | |
| CN117009208A (zh) | 依赖关系信息的处理方法、装置、设备及存储介质 | |
| CN113535823B (zh) | 异常访问行为检测方法、装置及电子设备 | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| CN109635567B (zh) | 针对应用客户端的校验方法、装置及服务器平台 | |
| CN111797005A (zh) | 网关接口解析方法、装置、计算机设备和存储介质 | |
| CN116560960A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
| CN116340941A (zh) | 一种静态代码扫描方法、装置、设备及介质 | |
| CN116010940A (zh) | 监控系统安全的方法、装置、设备及存储介质 | |
| CN115935356A (zh) | 一种软件安全性测试方法、系统及应用 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN114417349A (zh) | 攻击结果判定方法、装置、电子设备及存储介质 | |
| CN113835954A (zh) | 一种动态网络安全监测方法、装置及设备 | |
| CN113238971A (zh) | 基于状态机的自动化渗透测试系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |