CN112565221A - 漏洞检测方法、装置、系统及平台 - Google Patents
漏洞检测方法、装置、系统及平台 Download PDFInfo
- Publication number
- CN112565221A CN112565221A CN202011352579.XA CN202011352579A CN112565221A CN 112565221 A CN112565221 A CN 112565221A CN 202011352579 A CN202011352579 A CN 202011352579A CN 112565221 A CN112565221 A CN 112565221A
- Authority
- CN
- China
- Prior art keywords
- information
- detected
- early warning
- jar file
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供了一种漏洞检测方法、装置、系统及平台,其中,方法包括:在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息;遍历情报库中的情报信息,判断情报信息中是否存在目标情报信息,在情报信息中存在目标情报信息的情况下,将待检测资产信息与目标情报信息指示的漏洞进行关联。由于只要检测到预设情报信息库中存在情报信息,就判断待检测资产信息是否存在漏洞,可以解决现有技术中漏洞检测滞后性的问题。由于本申请中的待检测资产信息是从企业内网,获取的当前运行web应用程序的执行jar文件列表中的各个jar文件名调用的组件信息,因此,本申请的待检测资产信息中的组件信息是比较全面。
Description
技术领域
本申请涉及网络安全领域,尤其涉及漏洞检测方法、装置、系统及平台。
背景技术
企业网络安全对企业来说,至关重要。其中,漏洞的检测对于企业网络安全具有重要影响。
目前,传统的企业网络安全漏洞的发现工作,依赖于人工。具体的,人工在企业网络的外网,通过向内网进行漏洞攻击,基于攻击结果,确定企业内网的漏洞。
但是,具有漏洞发现滞后性和漏洞挖掘不全面性。
发明内容
本申请提供了漏洞检测方法、装置、系统及平台,目的在于解决漏洞发现滞后性和漏洞挖掘不全面性的问题。
为了实现上述目的,本申请提供了以下技术方案:
本申请提供了一种漏洞检测方法,应用于漏洞检测系统中的处理器,所述方法包括:
在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息;所述待检测资产信息是对内网中待检测服务器上运行的目标进程的信息,进行处理得到;所述目标进程指:分配给用于运行web应用程序的Java工程的进程;任一条所述待检测资产信息包括:一个jar文件名对应的三元组和所述jar文件名调用的组件信息;所述jar文件名指:所述目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名;所述jar文件名的三元组包括:所述jar文件名、所述jar文件名所在服务器的IP地址和所述jar文件名的物理路径;
遍历所述情报库中的情报信息,判断所述情报信息中是否存在目标情报信息;所述目标情报信息指:预警类型为“漏洞预警”的情报信息中组件信息与所述待检测资产信息中的组件信息一致的情报信息;
在所述情报信息中存在所述目标情报信息的情况下,将所述待检测资产信息与所述目标情报信息指示的漏洞进行关联。
可选的,所述漏洞检测系统还包括:部署于所述待检测服务器中的探针,以及探针管理器;所述任一条所述待检测资产信息还包括:jar文件名对应的业务信息;
其中,所述待检测资产信息的生成过程,包括:
获取探针监测所述待检测服务上运行的所述目标进程的信息;
依据所述目标进程的信息,获取目标进程运行的web应用程序的执行jar文件列表;所述执行jar文件列表包括jar文件;
通过解析所述jar文件列表,获取所述jar文件列表中各个jar文件调用的组件信息;
将每个jar文件名对应的三元组和组件信息,发送给探针管理器;
接收所述探针管理器发送的每个三元组对应的业务信息;
将一个三元组、该三元组对应的组件信息和该三元组对应的业务信息,作为一条待检测资产信息,进行画像和存储。
可选的,所述漏洞检测系统还包括用于采集外界采集源采集到的安全事件的采集器;
所述情报信息的生成过程,包括:
在所述外界采集源采集到安全事件的情况下,获取所述安全事件的内容;
从所述安全事件的内容中提取预设的多个主题的内容,得到所述安全事件的主题内容;
将所述安全事件的主题内容输入预设的模型,得到由所述安全事件的各个主题内容分别所属的预警类型构成的预警类型集合,以及所述预警类型集合中各个预警类型的概率;
依据所述预警类型集合以及所述预警类型集合中各个预警类型的概率,确定所述安全事件的预警类型;
按照与所述安全事件的预警类型对应的提取规则,从所述安全事件的内容中提取关键信息;所述关键信息包括:组件信息;
将所述安全事件对应的关键信息、预警类型和主题内容,作为一条情报信息,存储在所述情报信息库。
可选的,所述依据所述预警类型集合以及所述预警类型集合中各个预警类型的概率,确定所述安全事件的预警类型,包括:
对所述预警类型集合中的各个预警类型,分别计算加权和;其中,对任一预警类型计算加权和的过程包括:将该预警类型在各个主题内容下的概率值,以相同的权重进行加权和;
将所述预警类型集合中各个预警类型的加权和最大的预警类型,作为所述安全事件的预警类型。
可选的,所述关键信息还包括:威胁级别信息和威胁来源信息;
在所述将所述安全事件对应的关键信息、预警类型和主题内容,作为一条情报信息,存储在所述情报信息库之后,还包括:
将所述情报信息库中相同的情报信息进行融合,得到融合后的情报信息。
本申请还提供了一种漏洞检测装置,应用于漏洞检测系统中的处理器,所述装置包括:
获取模块,用于在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息;所述待检测资产信息是对内网中待检测服务器上运行的目标进程的信息,进行处理得到;所述目标进程指:分配给用于运行web应用程序的Java工程的进程;任一条所述待检测资产信息包括:一个jar文件名对应的三元组和所述jar文件名调用的组件信息;所述jar文件名指:所述目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名;所述jar文件名的三元组包括:所述jar文件名、所述jar文件名所在服务器的IP地址和所述jar文件名的物理路径;
判断模块,用于遍历所述情报库中的情报信息,判断所述情报信息中是否存在目标情报信息;所述目标情报信息指:预警类型为“漏洞预警”的情报信息中组件信息与所述待检测资产信息中的组件信息一致的情报信息;
关联模块,用于在所述判断模块判断出情报信息中存在所述目标情报信息的情况下,将所述待检测资产信息与所述目标情报信息指示的漏洞进行关联。
本申请还提供了一种漏洞检测系统,包括:部署于内网中待检测服务中的探针、采集器和处理器;
所述探针,用于监测所述待检测服务器上运行的目标进程的信息;所述目标进程指:分配给用于运行web应用程序的Java工程的进程;
所述处理器,用于依据所述目标进程的信息,生成所述待检测资产信息;任一条所述待检测资产信息包括:一个jar文件名对应的三元组和所述jar文件名调用的组件信息;所述jar文件名指:所述目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名;所述jar文件名的三元组包括:所述jar文件名、所述jar文件名所在服务器的IP地址和所述jar文件名的物理路径;
所述采集器,用于采集外界采集源采集的安全事件;
所述处理器,还用于在所述外界采集源采集到安全事件的情况下,生成情报信息;
所述处理器,还用于在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息;遍历所述情报库中的情报信息,判断所述情报信息中是否存在目标情报信息;所述目标情报信息指:预警类型为“漏洞预警”的情报信息中组件信息与所述待检测资产信息中的组件信息一致的情报信息;在所述情报信息中存在所述目标情报信息的情况下,将所述待检测资产信息与所述目标情报信息指示的漏洞进行关联。
可选的,所述系统还包括:探针管理器;所述任一条所述待检测资产信息还包括:jar文件名对应的业务信息;
所述处理器,用于依据所述目标进程的信息,生成所述待检测资产信息,包括:
所述处理器,具体获取探针监测所述待检测服务上运行的所述目标进程的信息;依据所述目标进程的信息,获取目标进程运行的web应用程序的执行jar文件列表;所述执行jar文件列表包括jar文件;通过解析所述jar文件列表,获取所述jar文件列表中各个jar文件调用的组件信息;将每个jar文件名对应的三元组和组件信息,发送给探针管理器;接收所述探针管理器发送的每个三元组对应的业务信息;将一个三元组、该三元组对应的组件信息和该三元组对应的业务信息,作为一条待检测资产信息,进行画像和存储。
可选的,所述处理器,还用于在所述外界采集源采集到安全事件的情况下,生成情报信息,包括:
所述处理器,具体用于在所述外界采集源采集到安全事件的情况下,获取所述安全事件的内容;
从所述安全事件的内容中提取预设的多个主题的内容,得到所述安全事件的主题内容;
将所述安全事件的主题内容输入预设的模型,得到由所述安全事件的各个主题内容分别所属的预警类型构成的预警类型集合,以及所述预警类型集合中各个预警类型的概率;
依据所述预警类型集合以及所述预警类型集合中各个预警类型的概率,确定所述安全事件的预警类型;
按照与预警类型对应的提取规则,从所述安全事件的内容中提取关键信息;所述关键信息包括:组件信息;
将所述安全事件对应的关键信息、预警类型和主题内容,作为一条情报信息,存储在所述情报信息库。
本申请还提供了一种漏洞处理平台,包括:漏洞提交系统、漏洞检测系统和漏洞审核系统;
所述漏洞提交系统,用于接收安全人员提交的漏洞,响应安全运营人员对所述安全人员提交的漏洞的审核指令,以及将审核通过的漏洞信息发送给所述漏洞审核系统;
所述漏洞检测系统,用于检测已生成的资产信息中的漏洞,在检测到任一资产信息存在漏洞的情况下,将检测出的漏洞信息发送给所述漏洞审核系统;所述漏洞检测系统检测已生成的资产信息中的漏洞的过程如权利要求7;
所述漏洞审核系统,用于漏洞信息审阅、漏洞信息订正、漏洞信息确认以及漏洞整改通知下发。
本申请所述的漏洞检测方法、装置、系统及平台,在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息,遍历情报库中的情报信息,判断情报信息中是否存在目标情报信息,在情报信息中存在目标情报信息的情况下,将待检测资产信息与目标情报信息指示的漏洞进行关联。
其中,待检测资产信息是对内网中待检测服务器上运行的目标进程的信息,进行处理得到,目标进程指:分配给用于运行web应用程序的Java工程的进程。并且,任一条待检测资产信息包括:一个jar文件名对应的三元组和jar文件名调用的组件信息,其中,jar文件名指:目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名。即本申请针对目标进程当前运行web应用程序的执行jar文件列表中的各个jar文件名,将jar文件名对应的三元组和组件信息,与情报信息中的组件信息进行匹配,来检测漏洞。
一方面,由于本申请中只要检测到预设情报信息库中存在情报信息,就判断待检测资产信息是否存在漏洞,因此,可以解决现有技术中漏洞检测滞后性的问题。另一方面,由于本申请中的待检测资产信息是从企业内网,获取的当前运行web应用程序的执行jar文件列表中的各个jar文件名调用的组件信息,因此,相较于现有技术中人工从外网试探性的攻击内网来确定内网的漏洞,本申请的待检测资产信息中的组件信息是比较全面的,因此,通过本申请的方案,检测出的漏洞更全面。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种漏洞检测平台的结构示意图;
图2为本申请实施例公开的一种漏洞提交系统的功能示意图;
图3为本申请实施例公开的一种漏洞检测系统的结构图;
图4为本申请实施例公开的一种漏洞检测方法的流程图;
图5为本申请实施例公开的一种漏洞检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例提供的一种漏洞检测平台,包括:漏洞提交系统、漏洞检测系统和漏洞审核系统。其中,漏洞提交系统,用于接收安全人员提交的漏洞,响应安全运营人员对安全人员提交的漏洞的审核指令,以及将审核通过的漏洞信息发送给漏洞审核系统。
在本实施例中,漏洞提交系统用于企业对漏洞进行收集、管理、响应、处置一系列操作。一般包括安全运营方管理漏洞检测任务、漏洞审核和安全人员的任务领取和漏洞提交功能,提供安全人员可自主对现有安全任务进行查阅领取的功能,安全运营人员也可以线上对安全人员提交的漏洞进行审阅管理,有利于自有资产的线上漏洞收集和管理。为了直观展示该过程,给出了图2所示的示意图。具体流程可以包括:
1、安全运营人员使用运营人员账户向漏洞提交平台创建安全检测任务,标明任务范围及任务内容详情。
2、安全人员使用安全人员账户从漏洞提交平台查看任务列表并领取检测任务。
3、安全人员在漏洞提交平台提交漏洞。
4、安全运营人员在漏洞提交平台审阅提交的漏洞。
5、安全运营人员在平台上对安全人员提交的漏洞进行审核判定。
6、漏洞提交平台将通过审核的漏洞记录进行入库存储。
在本实施例中,漏洞提交系统,还具备一键下发整改邮件的功能,具体流程可以包括:
1、安全运营人员使用运营人员账户向漏洞提交系统创建安全检测任务,标明任务范围及任务内容详情。
2、安全人员使用安全人员账户从漏洞提交系统查看任务列表并领取检测任务。
3、安全人员在漏洞提交系统提交漏洞。
4、安全运营人员在漏洞提交系统审阅提交的漏洞。
5、安全运营人员在平台上对安全人员提交的漏洞进行审核判定。
6、判断审核通过的漏洞所属的目标,漏洞检测平台是否记录其负责人联系方式,若是则跳至7,否则跳至8。
7、漏洞检测平台自动加载负责人联系方式,安全运营人员点击“发送“按钮发送整改邮件或者短信。跳至9。
8、运营人员手动填写负责人联系方式,点击“发送“按钮发送整改邮件或者短信。
9、漏洞提交系统将通过审核的漏洞记录进行入库存储。
漏洞检测系统用于检测已生成的资产信息中的漏洞,在检测到任一资产信息存在漏洞的情况下,将检测出的漏洞信息发送给漏洞审核系统。
其中,漏洞检测系统对已生成的资产信息进行漏洞检测的过程,在图3对应的实施例进行介绍,这里不再赘述。
其中,漏洞审核系统,用于向安全运营人员提供对漏洞信息进行真实度确认的人工审核系统。具体可以用于漏洞信息审阅、漏洞信息订正、漏洞信息确认以及漏洞整改通知下发。
图3为本申请实施例提供的一种漏洞检测系统,包括:部署于内网的待检测服务中的探针、探测管理器、采集器和处理器。其中,漏洞检测系统实现漏洞检测的过程可以包括:
S301、探针监测待检测服务器上运行的目标进程的信息。
在本实施例中,目标进程指:分配给用于运行web应用程序的Java工程的进程。
S302、处理器依据目标进程的信息,生成待检测资产信息。
在本实施例中,任一条待检测资产信息可以包括:一个jar文件名对应的三元组和该jar文件名调用的组件信息。其中,jar文件名指:目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名。
并且,jar文件名的三元组包括:jar文件名、jia文件名所在服务器的IP地址和jar文件名的物理路径。
可选的,任一条待检测资产信息还可以包括:jar文件名对应的业务信息。其中,处理器依据目标进程的信息,生成待检测资产信息的过程可以包括以下步骤A1~步骤A5:
A1、获取探针监测待检测服务上运行的目标进程的信息。
A2、依据目标进程的信息,获取目标进程运行的web应用程序的执行jar文件列表。
在本步骤中,执行jar文件列表包括jar文件。
A3、通过解析jar文件列表,获取jar文件列表中各个jar文件调用的组件信息。
A4、将每个jar文件名对应的三元组和组件信息,发送给探针管理器。
在本实施例中,探针管理器在针对任一三元组,存储有该三元组对应的业务信息的情况下,将该三元组、该三元组对应的业务信息以及该三元组对应的组件信息,作为一条资产信息发送给处理器。其中,业务信息可以包括:项目名称、所属部门、负责联系人。
在针对任一三元组,未存储有该三元组对应的业务信息的情况下,向处理器发送指令,其中,该指令用于指示相关运营人员补充该三元组对应的业务信息;接收该三元组对应的补充业务信息;将该三元组、该三元组对应的补充业务信息和该三元组对应的组件信息作为一条资产信息,发送给处理器。
A5、将一个三元组、该三元组对应的组件信息和该三元组对应的业务信息,作为一条待检测资产信息,进行画像和存储。
在本实施例中,对每条待检测资产信息进行画像的含义相同,为了描述方便,以对任意一条待检测资产信息为例进行介绍。其中,对该条待检测资产信息进行画像的含义包括:将同一个web应用程序的业务所属部门、所属网站名、项目负责人、代码更新记录、安全通报记录等业务信息,与该web应用程序所在服务器ip地址、程序的jar包名称、jar包的物理路径和使用的三方组件信息进行联动,综合对一个web应用程序进行描述。
S303、采集器采集外界采集源采集的安全事件。
在本本步骤中,外界采集源采集的采集对象可以包括:安全论坛,情报平台,安全网站,个人博客等。
在本实施例中,将外界采集源采集的事件信息,称为安全事件。其中,外界采集源采集的一条事件信息,是一个安全事件,并且,一条事件信息的内容为对应的安全事件的内容。
S304、处理器在外界采集源采集到安全事件的情况下,生成情报信息。
可选的,在本实施例中,处理器在外界采集源采集到安全事件的情况下,生成情报信息,其中,针对一个安全事件,生成一条情报信息。具体可以包括以下步骤B1~步骤B6:
B1、在外界采集源采集到安全事件的情况下,获取安全事件的内容。
在本实施例中,如果存在多个安全事件,则可以按照安全事件的先后顺序,依次生成情报信息。其中,对于不同的安全事件,生成情报信息的过程相同,为了描述方便,本实施例以任一安全事件为例进行介绍,具体可以包括以下步骤B2~步骤B7。
B2、从安全事件的内容中提取预设的多个主题的内容,得到安全事件的主题内容。
在本实施例中,可以预先设定一些主题,作为示例,预设的主题可以包括:信息标题、信息内容主体、采集源、采发布时间和信息摘要。
在本步骤中,从安全事件的内容中分别提取信息标题、信息内容主体、采集源、采发布时间和信息摘要分别对应的内容,得到安全事件对应的主题内容。
B3、将安全事件的主题内容输入预设的模型,得到由安全事件的各个主题内容分别所属的预警类型构成的预警类型集合,以及预警类型集合中各个预警类型的概率。
在本实施例中,预设的模型可以为依赖贝叶斯算法的智能信息分类模型。
在本实施例中,模型根据各个主题内容分别进行预警类型的权值计算。
假设该模型输出,针对信息标题,确定该安全事件为漏洞预警的概率为70%,病毒预警的概率为30%。针对信息内容主体,确定该安全事件为漏洞预警的概率为100%。针对采集源,确定该安全事件为漏洞预警的概率为100%。针对采发布时间,确定该安全事件为病毒预警的概率为100%。
在本步骤中,还计算预警类型集合中各个预警类型的加权和。其中,针对每个预警类型计算加权和的过程相同,为了描述方便,以任意一个预警类型为例进行介绍。其中,计算该预警类型的具体过程可以包括:将该预警类型在各个主题内容下的概率值,以相同的权重进行加权和。
还以该模型输出,针对信息标题,确定该安全事件为漏洞预警的概率为70%,病毒预警的概率为30%。针对信息内容主体,确定该安全事件为漏洞预警的概率为100%。针对采集源,确定该安全事件为漏洞预警的概率为100%。针对采发布时间,确定该安全事件为病毒预警的概率为100%为例,在本步骤中,确定的预警类型集合是由漏洞预警和病毒预警组成的集合。其中,假设权值为20%,则计算漏洞预警的加权和的方式包括:将信息标题对应的概率值70%、信息内容主体对应的概率值100%、采集源对应的概率值100%,分别乘以20%,并进行相加,得到的结果为漏洞预警的加权和。其中,对于病毒预警的加权和的计算原理相同,这里不再赘述。
B4、依据预警类型集合以及预警类型集合中各个预警类型的概率,确定安全事件的预警类型。
在本实施例中,可以将预警类型集合中各个预警类型的加权和最大的预警类型,作为安全事件的预警类型。
可选的,在本实施例中,还将预警类型集合中各个预警类型的加权和按照从大到小的顺序进行排序,并将排序后的从大到小的前三个预警类型与该安全事件进行绑定。并且,在前三个预警类型中存在加权和大于预设阈值的预警类型的情况下,发送预设指令,用于指示专业人员判定该安全事件的预警类型。
B5、按照与预警类型对应的提取规则,从安全事件的内容中提取关键信息。
在确定出安全事件的预警类型的情况下,执行本步骤的操作。
在本步骤中,关键信息可以包括:组件信息。可选的,在本实施例中,关键信息还可以包括:威胁级别信息和威胁来源信息。
B6、将安全事件对应的关键信息、预警类型和主题内容,作为一条情报信息,存储在情报信息库。
本步骤中,存储的具体实现方式为现有技术,这里不再赘述。
B7、将情报信息库中相同的情报信息进行融合,得到融合后的待检测情报信息。
S305、处理器在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息。
S306、处理器遍历情报库中的情报信息,判断情报信息中是否存在目标情报信息,如果是,则执行S307,如果否,则执行S305。
在本实施例中,目标情报信息指:预警类型为“漏洞预警”的情报信息中组件信息与待检测资产信息中的组件信息一致的情报信息。
需要说明的是,在本实施例中,本步骤是可选步骤。
S307、处理器将待检测资产信息与目标情报信息指示的漏洞进行关联。
在情报信息中存在目标情报信息的情况下,执行本步骤的操作。
图4为本申请实施例提供的一种漏洞检测方法,应用于漏洞检测系统中的处理器,可以包括以下步骤:
S401、在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息。
在本实施例中,待检测资产信息是对内网中待检测服务器上运行的目标进程的信息,进行处理得到。
其中,目标进程指:分配给用于运行web应用程序的Java工程的进程。并且,任一条待检测资产信息包括:一个jar文件名对应的三元组和jar文件名调用的组件信息。其中,jar文件名指:目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名;jar文件名的三元组包括:jar文件名、jar文件名所在服务器的IP地址和jar文件名的物理路径。
S402、遍历情报库中的情报信息,判断情报信息中是否存在目标情报信息,如果是,则执行S403,如果否,则执行S401。
在本实施例中,目标情报信息指:预警类型为“漏洞预警”的情报信息中组件信息与待检测资产信息中的组件信息一致的情报信息。
S403、将待检测资产信息与目标情报信息指示的漏洞进行关联。
在情报信息中存在目标情报信息的情况下,执行本步骤。
图5为本申请实施例提供的一种漏洞检测装置,可以包括:获取模块501、判断模块502和关联模块503,其中,
获取模块501,用于在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息。待检测资产信息是对内网中待检测服务器上运行的目标进程的信息,进行处理得到;目标进程指:分配给用于运行web应用程序的Java工程的进程;任一条待检测资产信息包括:一个jar文件名对应的三元组和jar文件名调用的组件信息;jar文件名指:目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名;jar文件名的三元组包括:jar文件名、jar文件名所在服务器的IP地址和jar文件名的物理路径。
判断模块502,用于遍历情报库中的情报信息,判断情报信息中是否存在目标情报信息;目标情报信息指:预警类型为“漏洞预警”的情报信息中组件信息与待检测资产信息中的组件信息一致的情报信息。
关联模块503,用于在判断模块502判断出情报信息中存在目标情报信息的情况下,将待检测资产信息与目标情报信息指示的漏洞进行关联。
可选的,任一条所述待检测资产信息还包括:jar文件名对应的业务信息;该装置还可以包括:第一生成模块,用于生成所述待检测资产信息。
其中,第一生成模块,具体用于获取探针监测待检测服务上运行的目标进程的信息;依据目标进程的信息,获取目标进程运行的web应用程序的执行jar文件列表;执行jar文件列表包括jar文件;通过解析jar文件列表,获取jar文件列表中各个jar文件调用的组件信息;将每个jar文件名对应的三元组和组件信息,发送给探针管理器;接收探针管理器发送的每个三元组对应的业务信息;将一个三元组、该三元组对应的组件信息和该三元组对应的业务信息,作为一条待检测资产信息,进行画像和存储。
可选的,该装置还可以包括:第二生成模块,用于生成情报信息。
第二生成模块,具体用于在外界采集源采集到安全事件的情况下,获取安全事件的内容;从安全事件的内容中提取预设的多个主题的内容,得到安全事件的主题内容;将安全事件的主题内容输入预设的模型,得到由安全事件的各个主题内容分别所属的预警类型构成的预警类型集合,以及预警类型集合中各个预警类型的概率;依据预警类型集合以及预警类型集合中各个预警类型的概率,确定安全事件的预警类型;按照与安全事件的预警类型对应的提取规则,从安全事件的内容中提取关键信息;关键信息可以包括:组件信息;将安全事件对应的关键信息、预警类型和主题内容,作为一条情报信息,存储在情报信息库。
可选的,第二生成模块,用于依据预警类型集合以及预警类型集合中各个预警类型的概率,确定安全事件的预警类型,包括:
第二生成模块,具体用于对预警类型集合中的各个预警类型,分别计算加权和;其中,对任一预警类型计算加权和的过程包括:将该预警类型在各个主题内容下的概率值,以相同的权重进行加权和;将预警类型集合中各个预警类型的加权和最大的预警类型,作为安全事件的预警类型。
可选的,关键信息还包括:威胁级别信息和威胁来源信息。
该装置还可以包括:融合模块,用于在第二生成模块将安全事件对应的关键信息、预警类型和主题内容,作为一条情报信息,存储在情报信息库之后,将情报信息库中相同的情报信息进行融合,得到融合后的情报信息。
本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,本说明书中各实施例中记载的特征可以相互替换或者组合,使本领域专业技术人员能够实现或使用本申请。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种漏洞检测方法,其特征在于,应用于漏洞检测系统中的处理器,所述方法包括:
在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息;所述待检测资产信息是对内网中待检测服务器上运行的目标进程的信息,进行处理得到;所述目标进程指:分配给用于运行web应用程序的Java工程的进程;任一条所述待检测资产信息包括:一个jar文件名对应的三元组和所述jar文件名调用的组件信息;所述jar文件名指:所述目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名;所述jar文件名的三元组包括:所述jar文件名、所述jar文件名所在服务器的IP地址和所述jar文件名的物理路径;
遍历所述情报库中的情报信息,判断所述情报信息中是否存在目标情报信息;所述目标情报信息指:预警类型为“漏洞预警”的情报信息中组件信息与所述待检测资产信息中的组件信息一致的情报信息;
在所述情报信息中存在所述目标情报信息的情况下,将所述待检测资产信息与所述目标情报信息指示的漏洞进行关联。
2.根据权利要求1所述的方法,其特征在于,所述漏洞检测系统还包括:部署于所述待检测服务器中的探针,以及探针管理器;所述任一条所述待检测资产信息还包括:jar文件名对应的业务信息;
其中,所述待检测资产信息的生成过程,包括:
获取探针监测所述待检测服务上运行的所述目标进程的信息;
依据所述目标进程的信息,获取目标进程运行的web应用程序的执行jar文件列表;所述执行jar文件列表包括jar文件;
通过解析所述jar文件列表,获取所述jar文件列表中各个jar文件调用的组件信息;
将每个jar文件名对应的三元组和组件信息,发送给探针管理器;
接收所述探针管理器发送的每个三元组对应的业务信息;
将一个三元组、该三元组对应的组件信息和该三元组对应的业务信息,作为一条待检测资产信息,进行画像和存储。
3.根据权利要求1所述的方法,其特征在于,所述漏洞检测系统还包括用于采集外界采集源采集到的安全事件的采集器;
所述情报信息的生成过程,包括:
在所述外界采集源采集到安全事件的情况下,获取所述安全事件的内容;
从所述安全事件的内容中提取预设的多个主题的内容,得到所述安全事件的主题内容;
将所述安全事件的主题内容输入预设的模型,得到由所述安全事件的各个主题内容分别所属的预警类型构成的预警类型集合,以及所述预警类型集合中各个预警类型的概率;
依据所述预警类型集合以及所述预警类型集合中各个预警类型的概率,确定所述安全事件的预警类型;
按照与所述安全事件的预警类型对应的提取规则,从所述安全事件的内容中提取关键信息;所述关键信息包括:组件信息;
将所述安全事件对应的关键信息、预警类型和主题内容,作为一条情报信息,存储在所述情报信息库。
4.根据权利要求3所述的方法,其特征在于,所述依据所述预警类型集合以及所述预警类型集合中各个预警类型的概率,确定所述安全事件的预警类型,包括:
对所述预警类型集合中的各个预警类型,分别计算加权和;其中,对任一预警类型计算加权和的过程包括:将该预警类型在各个主题内容下的概率值,以相同的权重进行加权和;
将所述预警类型集合中各个预警类型的加权和最大的预警类型,作为所述安全事件的预警类型。
5.根据权利要求3所述的方法,其特征在于,所述关键信息还包括:威胁级别信息和威胁来源信息;
在所述将所述安全事件对应的关键信息、预警类型和主题内容,作为一条情报信息,存储在所述情报信息库之后,还包括:
将所述情报信息库中相同的情报信息进行融合,得到融合后的情报信息。
6.一种漏洞检测装置,其特征在于,应用于漏洞检测系统中的处理器,所述装置包括:
获取模块,用于在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息;所述待检测资产信息是对内网中待检测服务器上运行的目标进程的信息,进行处理得到;所述目标进程指:分配给用于运行web应用程序的Java工程的进程;任一条所述待检测资产信息包括:一个jar文件名对应的三元组和所述jar文件名调用的组件信息;所述jar文件名指:所述目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名;所述jar文件名的三元组包括:所述jar文件名、所述jar文件名所在服务器的IP地址和所述jar文件名的物理路径;
判断模块,用于遍历所述情报库中的情报信息,判断所述情报信息中是否存在目标情报信息;所述目标情报信息指:预警类型为“漏洞预警”的情报信息中组件信息与所述待检测资产信息中的组件信息一致的情报信息;
关联模块,用于在所述判断模块判断出情报信息中存在所述目标情报信息的情况下,将所述待检测资产信息与所述目标情报信息指示的漏洞进行关联。
7.一种漏洞检测系统,其特征在于,包括:部署于内网中待检测服务中的探针、采集器和处理器;
所述探针,用于监测所述待检测服务器上运行的目标进程的信息;所述目标进程指:分配给用于运行web应用程序的Java工程的进程;
所述处理器,用于依据所述目标进程的信息,生成所述待检测资产信息;任一条所述待检测资产信息包括:一个jar文件名对应的三元组和所述jar文件名调用的组件信息;所述jar文件名指:所述目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名;所述jar文件名的三元组包括:所述jar文件名、所述jar文件名所在服务器的IP地址和所述jar文件名的物理路径;
所述采集器,用于采集外界采集源采集的安全事件;
所述处理器,还用于在所述外界采集源采集到安全事件的情况下,生成情报信息;
所述处理器,还用于在检测到预设的情报库中存储有情报信息的情况下,获取已生成的待检测资产信息;遍历所述情报库中的情报信息,判断所述情报信息中是否存在目标情报信息;所述目标情报信息指:预警类型为“漏洞预警”的情报信息中组件信息与所述待检测资产信息中的组件信息一致的情报信息;在所述情报信息中存在所述目标情报信息的情况下,将所述待检测资产信息与所述目标情报信息指示的漏洞进行关联。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:探针管理器;所述任一条所述待检测资产信息还包括:jar文件名对应的业务信息;
所述处理器,用于依据所述目标进程的信息,生成所述待检测资产信息,包括:
所述处理器,具体获取探针监测所述待检测服务上运行的所述目标进程的信息;依据所述目标进程的信息,获取目标进程运行的web应用程序的执行jar文件列表;所述执行jar文件列表包括jar文件;通过解析所述jar文件列表,获取所述jar文件列表中各个jar文件调用的组件信息;将每个jar文件名对应的三元组和组件信息,发送给探针管理器;接收所述探针管理器发送的每个三元组对应的业务信息;将一个三元组、该三元组对应的组件信息和该三元组对应的业务信息,作为一条待检测资产信息,进行画像和存储。
9.根据权利要求7所述的系统,其特征在于,所述处理器,还用于在所述外界采集源采集到安全事件的情况下,生成情报信息,包括:
所述处理器,具体用于在所述外界采集源采集到安全事件的情况下,获取所述安全事件的内容;
从所述安全事件的内容中提取预设的多个主题的内容,得到所述安全事件的主题内容;
将所述安全事件的主题内容输入预设的模型,得到由所述安全事件的各个主题内容分别所属的预警类型构成的预警类型集合,以及所述预警类型集合中各个预警类型的概率;
依据所述预警类型集合以及所述预警类型集合中各个预警类型的概率,确定所述安全事件的预警类型;
按照与预警类型对应的提取规则,从所述安全事件的内容中提取关键信息;所述关键信息包括:组件信息;
将所述安全事件对应的关键信息、预警类型和主题内容,作为一条情报信息,存储在所述情报信息库。
10.一种漏洞处理平台,其特征在于,包括:漏洞提交系统、漏洞检测系统和漏洞审核系统;
所述漏洞提交系统,用于接收安全人员提交的漏洞,响应安全运营人员对所述安全人员提交的漏洞的审核指令,以及将审核通过的漏洞信息发送给所述漏洞审核系统;
所述漏洞检测系统,用于检测已生成的资产信息中的漏洞,在检测到任一资产信息存在漏洞的情况下,将检测出的漏洞信息发送给所述漏洞审核系统;所述漏洞检测系统检测已生成的资产信息中的漏洞的过程如权利要求7;
所述漏洞审核系统,用于向安全运营人员提供对漏洞信息进行真实度确认。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011352579.XA CN112565221B (zh) | 2020-11-26 | 2020-11-26 | 漏洞检测方法、装置、系统及平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011352579.XA CN112565221B (zh) | 2020-11-26 | 2020-11-26 | 漏洞检测方法、装置、系统及平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112565221A true CN112565221A (zh) | 2021-03-26 |
| CN112565221B CN112565221B (zh) | 2022-12-16 |
Family
ID=75045966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011352579.XA Active CN112565221B (zh) | 2020-11-26 | 2020-11-26 | 漏洞检测方法、装置、系统及平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565221B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8984643B1 (en) * | 2014-02-14 | 2015-03-17 | Risk I/O, Inc. | Ordered computer vulnerability remediation reporting |
| CN106126417A (zh) * | 2016-06-17 | 2016-11-16 | 深圳开源互联网安全技术有限公司 | 交互式应用程序安全测试方法及其系统 |
| CN109948334A (zh) * | 2019-03-26 | 2019-06-28 | 深信服科技股份有限公司 | 一种漏洞检测方法、系统及电子设备和存储介质 |
| CN111723380A (zh) * | 2020-06-22 | 2020-09-29 | 深圳前海微众银行股份有限公司 | 一种检测组件漏洞的方法及装置 |
-
2020
- 2020-11-26 CN CN202011352579.XA patent/CN112565221B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8984643B1 (en) * | 2014-02-14 | 2015-03-17 | Risk I/O, Inc. | Ordered computer vulnerability remediation reporting |
| CN106126417A (zh) * | 2016-06-17 | 2016-11-16 | 深圳开源互联网安全技术有限公司 | 交互式应用程序安全测试方法及其系统 |
| CN109948334A (zh) * | 2019-03-26 | 2019-06-28 | 深信服科技股份有限公司 | 一种漏洞检测方法、系统及电子设备和存储介质 |
| CN111723380A (zh) * | 2020-06-22 | 2020-09-29 | 深圳前海微众银行股份有限公司 | 一种检测组件漏洞的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112565221B (zh) | 2022-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN113515433A (zh) | 告警日志处理方法、装置、设备及存储介质 | |
| US20090293121A1 (en) | Deviation detection of usage patterns of computer resources | |
| US20090292743A1 (en) | Modeling user access to computer resources | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN108881265A (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
| CN109088773B (zh) | 故障自愈方法、装置、服务器及存储介质 | |
| CN102594783A (zh) | 一种网络安全应急响应方法 | |
| JP2008192091A (ja) | ログ分析プログラム、ログ分析装置及びログ分析方法 | |
| CN113704772B (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
| CN113051573B (zh) | 一种基于大数据的主机安全实时监控警报系统 | |
| US11777982B1 (en) | Multidimensional security situation real-time representation method and system and applicable to network security | |
| CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN114445217A (zh) | 信贷风险防控方法、装置、系统与计算机可读存储介质 | |
| CN112565221B (zh) | 漏洞检测方法、装置、系统及平台 | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN116185785A (zh) | 文件异常变更的预警方法及装置 | |
| CN115022152A (zh) | 一种用于判定事件威胁度的方法、装置及电子设备 | |
| CN112199573B (zh) | 一种非法交易主动探测方法及系统 | |
| CN113238888A (zh) | 数据处理方法、系统及装置 | |
| WO2021131146A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100032 room 8018, 8 / F, building 7, Guangyi street, Xicheng District, Beijing Applicant after: State Grid Digital Technology Holdings Co.,Ltd. Applicant after: State Grid E-Commerce Technology Co.,Ltd. Address before: 311 guanganmennei street, Xicheng District, Beijing 100053 Applicant before: STATE GRID ELECTRONIC COMMERCE Co.,Ltd. Applicant before: State Grid E-Commerce Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |