CN112787985B - 一种漏洞的处理方法、管理设备以及网关设备 - Google Patents
一种漏洞的处理方法、管理设备以及网关设备 Download PDFInfo
- Publication number
- CN112787985B CN112787985B CN201911095412.7A CN201911095412A CN112787985B CN 112787985 B CN112787985 B CN 112787985B CN 201911095412 A CN201911095412 A CN 201911095412A CN 112787985 B CN112787985 B CN 112787985B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- equipment
- message
- target session
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例公开了一种漏洞的处理方法,用于通信领域。该方法包括:管理设备首先根据第一设备相关的漏洞信息向网关设备下发有针对性的抓包规则,并接收网关设备对应返回的根据抓包规则抓取的第一设备传输的目标会话的报文。管理设备根据第一设备传输的目标会话的报文,确定是否向该网关设备发送阻断策略,在第一漏洞不具备实际威胁性的时候不发送阻断策略,避免因阻断策略影响第一设备上的正常业务;在第一漏洞具备实际威胁性的时候发送阻断策略,及时降低第一漏洞的危害,减少安全事故发生的概率。
Description
技术领域
本申请实施例涉及通信领域,尤其涉及一种漏洞的处理方法。
背景技术
漏洞,也被称为脆弱性(Vulnerability)是指在计算机系统安全方面的缺陷,使得计算机系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。上述缺陷包括计算机硬件、软件、以及计算机在通信协议的具体实现或安全策略方面上存在的缺陷。漏洞扫描工具是一类重要的网络安全技术。通过应用漏洞扫描工具对网络中的各个设备进行漏洞扫描,网络管理员能了解网络中各设备的安全设置和运行的应用服务,及时发现网络设备中的安全漏洞,客观评估网络风险等级。如果说防火墙是被动的防御手段,那么漏洞扫描工具就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。补丁是指软件厂商或者第三方补丁提供商针对计算机在使用过程中暴露的问题而发布的用于解决问题的小程序。为了提升网络安全性,许多公司、或组织的内部网络中部署有补丁管理工具。网络中的补丁管理工具用于收集补丁,并将补丁下发给终端从而修补漏洞。
现有安全软件厂商将上述漏洞扫描工具和补丁管理工具集成于同一个管理设备中。管理设备使用漏洞扫描工具对网络中的设备进行扫描之后,如果设备上所安装的软件存在发现漏洞,则漏洞扫描工具向补丁管理工具上报发现的漏洞信息。补丁管理工具根据发现的漏洞信息查找到与漏洞相对应的补丁,该补丁可以弥补漏洞所带来的缺陷。此外管理设备获得到漏洞信息之后,还会阻断该出现漏洞的软件的会话。
然而,漏洞扫描工具往往会向管理设备上报大量漏洞的漏洞信息。该管理设备无法对漏洞的威胁性进行准确的评价,会导致网络安全事故或者网络设备业务受影响。例如因漏洞修补不及时而造成的安全事故,或者因过高估计漏洞威胁而阻断设备上软件的相关会话而影响设备的正常通信。
发明内容
本申请实施例提供了一种漏洞的处理方法、管理设备以及网关设备,能够使设备正常通信。
本申请实施例第一方面提供了一种漏洞的处理方法,该方法包括:管理设备获取第一设备的漏洞信息,该第一设备的漏洞信息常用于指示第一软件中存在第一漏洞。然后管理设备根据获取到的第一设备的漏洞信息获取对应的抓包规则。管理设备所获取到的抓包规则可以用于识别具有所述第一漏洞的风险的报文。在管理设备获取到抓包规则之后,将会向网关设备发送该抓包规则。管理设备接收到网关设备发送的第一设备传输的目标会话的报文,该报文中具有第一漏洞的风险,因此管理设备可以根据该第一设备传输的目标会话的报文确定第一漏洞的威胁性,根据第一漏洞的威胁性来确定是否向所述网关设备发送阻断策略。
该第一方面中,管理设备管理内网设备,当内网设备与外网设备之间建立通信连接时,网关设备转发内网设备与外网设备之间通信传输的数据。如果内网设备上安装的一个或者多个软件具有漏洞时,其中一个漏洞被称为第一漏洞。具有第一漏洞的软件被称为第一软件,安装第一软件的内网设备被称为第一设备,第一软件用网络协议与其他设备进行通信,第一设备受到管理设备的管理。
本申请实施例中,管理设备首先根据第一设备相关的漏洞信息向网关设备下发有针对性的抓包规则,并接收网关设备对应返回的根据抓包规则抓取的第一设备传输的目标会话的报文。管理设备根据第一设备传输的目标会话的报文确定第一漏洞的威胁性,进而根据该威胁性,确定是否向该网关设备发送阻断策略,在第一漏洞不具备威胁性的时候不发送阻断策略,避免因阻断策略影响第一设备上的正常业务。在第一漏洞具备威胁性的时候发送阻断策略,及时降低第一漏洞的危害,减少安全事故发生的概率。
在第一方面的一种可能的实现方式中,上述步骤:所述具有所述第一漏洞的风险的报文包括具有指定端口号和协议类型的报文。管理设备根据第一设备传输的所述目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略,包括:所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文;如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送所述阻断策略;如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备向所述网关设备发送所述阻断策略。
该种可能的实现方式中,如果管理设备接收到的具有第一漏洞的风险的报文中包括具有指定端口号和协议类型的报文,则管理设备调用第一漏洞库,根据第一漏洞库中的对应关系,管理设备确定第一设备传输的目标会话的报文中是否包括顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文。如果管理设备确定第一设备传输的目标会话的报文中不存在顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文时,那么证明第一漏洞不具备威胁性。因此,管理设备无需向网关设备发送阻断策略。如果管理设备确定第一设备传输的目标会话的报文中存在顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文时,则证明第一漏洞具备威胁性。因此,管理设备向网关设备发送阻断策略,该网关设备阻断第一设备传输的目标会话。该种可能的实现方式提升了确定漏洞威胁性的准确性。
在第一方面的一种可能的实现方式中,上述步骤:所述具有所述第一漏洞的风险的报文包括指定端口号和协议类型,所述管理设备根据第一设备传输的所述目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略,包括:所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文;如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送阻断策略;如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备确定所述第一设备传输的目标会话的报文中是否包括异常数据;如果所述第一设备传输的目标会话的报文中还包括所述异常数据,所述管理设备向所述网关设备发送阻断策略。
该种可能的实现方式中,如果管理设备接收到的具有第一漏洞的风险的报文中包括具有指定端口号和协议类型的报文,则管理设备可以调用第一漏洞库,第一漏洞库中包括第一漏洞对应的漏洞利用请求报文与第一漏洞对应的漏洞利用应答报文之间的对应关系。管理设备根据该对应关系可以确定,如果第一设备传输的目标会话的报文中存在顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文,此时,管理设备再继续判断第一设备传输的目标会话中是否包括异常数据。如果第一设备传输的目标会话中包括异常数据,那么管理设备认为第一漏洞已经被攻击设备利用,则管理设备向网关设备发送阻断策略,该种可能的实现方式提供了一种更为精准的确定威胁性的方式。
在第一方面的一种可能的实现方式中,上述步骤:所述具有第一漏洞的风险的报文包括第一漏洞对应的漏洞利用请求报文,所述管理设备根据第一设备传输的所述目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略,包括:所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否还包含所述第一漏洞对应的漏洞利用应答报文;如果所述第一设备传输的目标会话的报文中不存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送阻断策略;如果所述第一设备传输的目标会话的报文中存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备向所述网关设备发送阻断策略。
该种可能的实现方式中,如果具有第一漏洞的风险的报文中包括第一漏洞对应的漏洞利用请求报文,则管理设备可以调用第一漏洞库,管理设备根据第一漏洞库可以确定第一设备传输的目标会话的报文中是否还包括第一漏洞对应的漏洞利用应答报文。如果管理设备确定存在该第一漏洞对应的漏洞利用应答报文,则管理设备可以认为第一漏洞存在被利用的风险,那么管理设备可以向网关设备发送阻断策略,该阻断策略用以阻断第一设备传输的目标会话,该种可能的实现方式提供了一种更为精准的确定威胁性的方式。
在第一方面的一种可能的实现方式中,上述步骤:所述具有第一漏洞的风险的报文包括第一漏洞对应的漏洞利用请求报文,所述管理设备根据第一设备传输的所述目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略,包括:所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否还包含所述第一漏洞对应的漏洞利用应答报文;如果所述第一设备传输的目标会话的报文中不存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送阻断策略;如果所述第一设备传输的目标会话的报文中存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备确定所述第一设备传输的目标会话的报文中是否包括所述异常数据;如果所述第一设备传输的目标会话的报文中还包括所述异常数据,所述管理设备向所述网关设备发送阻断策略。
该种可能的实现方式中,如果具有第一漏洞的风险的报文中包括第一漏洞对应的漏洞利用请求报文,则管理设备可以调用第一漏洞库,管理设备根据第一漏洞库可以确定第一设备传输的目标会话的报文中是否还包括第一漏洞对应的漏洞利用应答报文。如果管理设备确定存在该第一漏洞对应的漏洞利用应答报文,则管理设备可以认为第一漏洞存在被利用的风险,此时,管理设备还可以确认第一设备传输的目标会话的报文中是否包括异常数据,如果该目标会话的报文中包括异常数据,则证明第一漏洞已经被利用,第一漏洞具有危险性。那么管理设备向网关设备发送阻断策略,以便于网关设备及时根据阻断策略阻断第一设备传输的目标会话。如果管理设备确认第一设备传输的目标会话的报文中不包括异常数据,则证明第一漏洞虽然存在被利用的风险,但是攻击设备目前并没有利用该第一漏洞,此时,管理设备可以不向网关设备发送阻断策略,避免影响第一设备上的正常业务。
在第一方面的一种可能的实现方式中,在所述第一设备的漏洞信息包括所述第一漏洞的标识信息的情况下,所述管理设备根据所述第一设备的漏洞信息获取抓包规则的步骤,包括:所述管理设备根据所述第一漏洞的标识信息从本地规则库获取所述第一漏洞对应的抓包规则,所述本地规则库包括所述第一漏洞的标识信息与对应的所述抓包规则。
该种可能的实现方式中,管理设备上的本地规则库中可以包括第一漏洞的标识信息以及对应的抓包规则。管理设备可以根据漏洞的标识信息,从本地的抓包规则库中获取抓包规则,不必再从其他设备获取抓包规则,该种可能的实现方式减少了处理漏洞的延迟。
在第一方面的一种可能的实现方式中,在所述第一设备的漏洞信息包括所述第一漏洞的标识信息的情况下,所述管理设备根据所述第一设备的漏洞信息获取抓包规则的步骤,包括:所述管理设备向第一云设备发送所述第一漏洞的标识信息,所述第一漏洞的标识信息用于所述第一云设备从云端规则库中获取所述第一漏洞对应的抓包规则,所述云端规则库包括所述第一漏洞的标识信息与对应的所述抓包规则;所述管理设备接收所述第一云设备发送的所述第一漏洞对应的抓包规则。
该种可能的实现方式中,第一云设备上可以包括云端规则库,云端规则库中可以包括第一漏洞的标识信息以及对应的抓包规则。因此,管理设备可以从第一云设备获取抓包规则,不必再从本地获取抓包规则,该种可能的实现方式节省了管理设备的存储空间。
在第一方面的一种可能的实现方式中,上述步骤:所述管理设备获取第一设备的漏洞信息包括:所述管理设备向所述第一设备发送探测报文;所述管理设备获取所述第一设备针对所述探测报文返回的应答报文,所述应答报文包括所述第一漏洞的风险;所述管理设备根据所述应答报文从第二漏洞库中获取所述应答报文对应的漏洞信息,从而确定所述第一设备的漏洞信息,所述第二漏洞库中包括所述应答报文与漏洞信息的对应关系。
该种可能的实现方式中,管理设备中可以包括漏洞扫描工具。管理设备中的漏洞扫描工具可以向第一设备发送探测报文,然后接收第一设备发送的与探测报文相对应的应答报文,通过将应答报文中所报含的第一漏洞的相关标识与第二漏洞库中的漏洞信息进行匹配,从而管理设备可以确定第一设备的漏洞信息。管理设备通过漏洞扫描的方式获取第一设备的漏洞信息,该种可能的实现方式提升了方案的可实现性。
在第一方面的一种可能的实现方式中,上述步骤:所述管理设备向网络管理系统发送第一软件信息获取指令,所述第一软件信息获取指令用于指示所述网络管理系统获取所述第一设备上已安装软件的软件信息;所述管理设备接收所述网络管理系统根据所述第一软件信息获取指令返回的所述软件信息;所述管理设备向第二云设备发送所述软件信息,使得所述第二云设备根据所述软件信息以及第三漏洞库获取关联的漏洞信息,所述第三漏洞库中包括所述软件信息与漏洞信息的关联关系;所述管理设备接收所述第二云设备发送的关联的漏洞信息,从而确定所述第一设备的漏洞信息。
该种可能的实现方式中,管理设备通过向网络管理系统发送第一软件信息获取指令,然后管理设备接收网络管理系统发送的软件信息,管理设备向第二云设备发送软件信息,从而第二云设备可以将软件信息与第三漏洞库匹配,获取到软件信息对应的漏洞信息,管理设备接收第二云设备发送的关联的漏洞信息,管理设备根据第二云设备发送的关联的漏洞信息确认第一设备的漏洞信息。管理设备上无须再安装漏洞扫描工具,该种可能的实现方式节约了管理设备的存储空间。
在第一方面的一种可能的实现方式中,上述步骤:所述管理设备获取第一设备的漏洞信息包括:所述管理设备向所述第一设备发送第二软件信息获取指令,所述第二软件信息获取指令用于指示所述第一设备获取所述第一设备上已安装软件的软件信息;所述管理设备接收所述第一设备根据所述第二软件信息获取指令返回的所述软件信息;所述管理设备向第二云设备发送所述软件信息,使得所述第二云设备根据所述软件信息以及第三漏洞库获取关联的漏洞信息,所述第三漏洞库中包括所述第一软件信息与漏洞信息的关联关系;所述管理设备接收所述第二云设备发送的关联的漏洞信息,从而确定所述第一设备的漏洞信息。
该种可能的实现方式中,管理设备通过向第一设备发送第二软件信息获取指令,因为第一设备上装有客户端(agent),从而管理设备可以接收第一设备发送的软件信息。管理设备向第二云设备发送软件信息,从而第二云设备可以将软件信息与第三漏洞库匹配,获取到软件信息关联的漏洞信息,管理设备接收第二云设备发送的关联的漏洞信息,管理设备根据第二云设备发送的关联的漏洞信息确认第一设备的漏洞信息。因为管理设备上无须再安装漏洞扫描工具,故该种可能的实现方式节约了管理设备的存储空间。
在第一方面的一种可能的实现方式中,上述步骤:所述阻断策略为访问控制列表,则所述管理设备向所述网关设备下发阻断策略前还可以包括:所述管理设备根据所述第一设备传输的目标会话的报文获取所述目标会话的五元组信息,所述五元组信息包括攻击设备的网络之间互连的协议(internet protocol,IP)地址、攻击设备的端口号、攻击设备与第一设备间的传输协议类型、所述第一设备的IP地址以及所述第一设备的端口号;所述管理设备生成包含所述五元组信息的表项,并将生成的表项加入访问控制列表,所述访问控制列表用于阻断所述访问控制列表中包含的表项所指示的流量。
该种可能的实现方式中,管理设备根据第一设备传输的目标会话的报文获取目标会话的五元组信息,然后管理设备根据该五元组信息生成访问控制列表,该访问控制列表便是阻断策略。该种可能的实现方式提升了方案的可实现性。
在第一方面的一种可能的实现方式中,上述步骤:所述管理设备将所述第一漏洞评定为一级漏洞;所述管理设备调用第一漏洞库;若所述管理设备根据第一漏洞库确定所述第一设备传输的目标会话的报文中有攻击设备发起的顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则将所述第一漏洞评定为二级漏洞,所述二级漏洞的处置优先级高于所述一级漏洞;所述终端根据所述二级漏洞向所述第一设备发送所述第一漏洞的第一预警提示信息。若所述管理设备根据所述第一漏洞库确定所述第一设备传输的目标会话的报文中包括顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,且所述管理设备确定所述第一设备传输的目标会话的报文中包括异常数据,则将所述第一漏洞平定位三级漏洞,所述三级漏洞的处置优先级高于所述二级漏洞;所述终端根据所述三级漏洞向所述第一设备发送所述第一漏洞的第二预警提示信息,所述第二预警提示信息的处置优先级高于所述第一预警提示信息。
该种可能的实现方式中,管理设备首先将第一漏洞评定为一级漏洞,一级漏洞代表漏洞的威胁性较低。当管理设备根据第一漏洞库确定第二漏洞库中包括顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文时,管理设备将第一漏洞评定为二级漏洞,并且向第一设备发送第一预警提示信息。第一预警提示信息用于表示二级漏洞的威胁性较高。在第一设备传输的目标会话的报文中包括顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文之后,如果管理设备确定目标会话中存在异常数据,并且管理设备向第一设备发送第二预警提示信息,第二预警提示信息可以用于表示攻击设备已经成功利用第一漏洞。该种可能的实现方式中对第一漏洞进行评级,能够提升管理设备处理第一漏洞的准确性。
在第一方面的一种可能的实现方式中,上述步骤:所述管理设备获取第一设备的漏洞信息包括:所述管理设备向网络管理系统发送资产信息获取指令,所述资产信息获取指令用于指示所述网络管理系统获取所述第一设备上已安装资产的资产信息;所述管理设备接收所述网络管理系统根据所述资产信息获取指令返回的所述资产信息;所述管理设备向第二云设备发送所述资产信息,使得所述第二云设备根据所述资产信息以及第三漏洞库获取关联的漏洞信息,所述第三漏洞库中包括所述资产信息与漏洞信息的关联关系;所述管理设备接收所述第二云设备发送的关联的漏洞信息,从而确定所述第一设备的漏洞信息。
该种可能的实现方式中,资产用于表示网络中的硬件、软件以及所提供的服务,而资产信息用于表示第一设备的资产的型号以及版本。管理设备通过向网络管理系统发送资产信息获取指令,然后管理设备接收网络管理系统发送的资产信息。管理设备向第二云设备发送资产信息,第三漏洞库中包括资产信息与漏洞信息的关联关系,从而第二云设备可以将资产信息与第三漏洞库匹配,获取到资产信息对应的漏洞信息。管理设备接收第二云设备发送的关联的漏洞信息,管理设备根据第二云设备发送的关联的漏洞信息确定第一设备的漏洞信息。管理设备上无须再安装漏洞扫描工具,该种可能的实现方式节约了管理设备的存储空间。
在第一方面的一种可能的实现方式中,上述步骤:所述管理设备获取第一设备的漏洞信息包括:所述管理设备向第一设备发送资产信息获取指令,所述资产信息获取指令用于指示所述第一设备获取所述第一设备上已安装资产的资产信息;所述管理设备接收所第一设备根据所述资产信息获取指令返回的所述资产信息;所述管理设备向第二云设备发送所述资产信息,使得所述第二云设备根据所述资产信息以及第三漏洞库获取关联的漏洞信息,所述第三漏洞库中包括所述资产信息与漏洞信息的关联关系;所述管理设备接收所述第二云设备发送的关联的漏洞信息,从而确定所述第一设备的漏洞信息。
该种可能的实现方式中,资产用于表示网络中的硬件、软件以及所提供的服务,而资产信息用于表示资产的型号以及版本。管理设备通过向第一设备发送资产信息获取指令,因为第一设备上装有客户端(agent),从而管理设备可以接收第一设备发送的资产信息。管理设备向第二云设备发送资产信息,第三漏洞库中包括资产信息与漏洞信息的关联关系,从而第二云设备可以将资产信息与第三漏洞库匹配,获取到资产信息关联的漏洞信息。管理设备接收第二云设备发送的关联的漏洞信息,管理设备根据第二云设备发送的关联的漏洞信息确定第一设备的漏洞信息。管理设备上无须再安装漏洞扫描工具,该种可能的实现方式节约了管理设备的存储空间。
本申请实施例第二方面提供一种漏洞的处理方法,该方法包括:网关设备接收管理设备发送的抓包规则,所述网关设备用于传输第一设备的报文,所述第一设备上第一软件中存在第一漏洞,所述第一软件使用第一协议进行网络通信;所述网关设备根据所述抓包规则截取第一设备传输的目标会话的报文,所述目标会话中包含所述第一漏洞的风险的报文;所述网关设备向所述管理设备发送所述第一设备传输的目标会话的报文,所述第一设备传输的目标会话的报文用于所述管理设备确定所述第一漏洞的威胁性,所述威胁性用于指示所述管理设备是否发送阻断策略。
本申请实施例中,网关设备接收管理设备发送的抓包规则,网关设备根据该抓包规则截取第一设备传输的目标会话的报文,网关设备向管理设备发送截取到的该第一设备传输的目标会话的报文,以使得管理设备在第一漏洞不具备威胁性的时候不发送阻断策略,避免因阻断策略影响第一设备上的正常业务。在第一漏洞具备威胁性的时候发送阻断策略,及时降低第一漏洞的危害,减少安全事故发生的概率。
在第二方面的一种可能的实现方式中,上述步骤:所述具有所述第一漏洞的风险的报文包括具有指定端口号和协议类型的报文,或者包括所述第一漏洞对应的漏洞利用请求报文,所述第一漏洞对应的漏洞利用请求报文通过指定字符串来识别。
该种可能的实现方式中,抓包规则中包括目标会话的传输协议类型、目的网络之间互连的协议IP以及第一设备的端口号;所述网关设备根据所述传输协议类型、第一设备的IP地址以及第一设备的端口号,网关设备可以根据上述参数截取第一设备传输的目标会话的报文,第一设备传输的目标会话的报文便是第一设备的第一软件上所采用的第一协议所传输的双向流量报文。如果网关设备通过指定字符串来识别第一漏洞对应的漏洞利用请求报文,从而网关设备可以根据指定字符串抓取具有第一漏洞的负载特征的报文,该种可能的实现方式提升了截取报文的精确性。
在第二方面的一种可能的实现方式中,上述步骤:所述网关设备向所述管理设备发送所述第一设备传输的目标会话的报文之后,还包括:所述网关设备接收所述管理设备发送的阻断策略;所述网关设备根据所述阻断策略阻断所述第一设备的目标会话。
该种可能的实现方式中,网关设备接收到管理设备发送的阻断策略,网关设备根据阻断策略阻断第一设备的目标会话,可以防止第一设备被攻击设备持续攻击。
在第二方面的一种可能的实现方式中,上述步骤:所述阻断策略为访问控制列表,所述网关设备根据所述阻断策略阻断所述第一设备的目标会话包括:所述网关设备根据所述访问控制列表获取包括五元组信息的表项,所述五元组信息包括攻击设备的IP地址、攻击设备的端口号、攻击设备与第一设备间的传输协议类型、所述第一设备的IP地址以及所述第一设备的端口号;所述网关设备阻断所述表项所指示的流量。
该种可能的实现方式中,访问控制列表中包括五元组信息表项,因此网关设备可以根据访问控制列表中的五元组信息表项阻断表项所指示的流量,该种可能的实现方式提升了方案的可实现性。
本申请第三方面提供一种管理设备,用于执行上述第一方面或第一方面的任意可能的实现方式中的方法。具体地,该装置包括用于执行上述第一方面或第一方面的任意可能的实现方式中的方法的模块或单元。
本申请第四方面提供一种网关设备,用于执行上述第二方面或第二方面的任意可能的实现方式中的方法。具体地,该装置包括用于执行上述第二方面或第二方面的任意可能的实现方式中的方法的模块或单元。
本申请第五方面提供一种管理设备,该管理设备包括至少一个处理器、存储器和通信接口。处理器与存储器和通信接口耦合。存储器用于存储指令,处理器用于执行该指令,通信接口用于在处理器的控制下与其他网元进行通信。该指令在被处理器执行时,使处理器执行第一方面或第一方面的任意可能的实现方式中的方法。
本申请第六方面提供一种网关设备,该网关设备包括至少一个处理器、存储器和通信接口。处理器与存储器和通信接口耦合。存储器用于存储指令,处理器用于执行该指令,通信接口用于在处理器的控制下与其他网元进行通信。该指令在被处理器执行时,使处理器执行第二方面或第二方面的任意可能的实现方式中的方法。
本申请第七方面提供了一种计算机可读存储介质,该计算机可读存储介质存储有程序,该程序使得管理设备执行上述第一方面或第一方面的任意可能的实现方式中的方法。
本申请第八方面提供了一种计算机可读存储介质,该计算机可读存储介质存储有程序,该程序使得网关设备执行上述第二方面或第二方面的任意可能的实现方式中的方法。
本申请第九面提供一种漏洞的处理系统,包括管理设备、网关设备和至少一个内网设备以及至少一个外网设备,该管理设备为实现上述第一方面或第一方面任意一种可能的实现方式中所述方法的管理设备,所述网关设备为实现上述第二方面或第二方面任意一种可能的实现方式所述方法的网关设备。
其中,第三、第五、第七、方面或者其中任一种可能实现方式所带来的技术效果可参见第一方面或第一方面不同可能实现方式所带来的技术效果,此处不再赘述。
其中,第四、第六、第八、方面或者其中任一种可能实现方式所带来的技术效果可参见第二方面或第二方面不同可能实现方式所带来的技术效果,此处不再赘述。
附图说明
图1是本申请实施例提供的漏洞的处理系统的应用场景示意图;
图2是本申请实施例提供的漏洞的处理方法的一实施例示意图;
图3是本申请实施例提供的漏洞的处理方法的另一实施例示意图;
图4是本申请实施例提供的漏洞的处理方法的另一实施例示意图;
图5a是本申请实施例提供的漏洞的处理方法的另一实施例示意图;
图5b是本申请实施例提供的漏洞的处理方法的另一实施例示意图;
图5c是本申请实施例提供的漏洞的处理方法的另一实施例示意图;
图5d是本申请实施例提供的漏洞的处理方法的另一实施例示意图;
图6是本申请实施例提供的漏洞的处理系统的另一实施例示意图;
图7是本申请实施例提供的管理设备的一实施例示意图;
图8是本申请实施例提供的网关设备的一实施例示意图;
图9是本申请实施例提供的管理设备的另一实施例示意图;
图10是本申请实施例提供的网关设备的另一实施例示意图。
具体实施方式
下面结合附图,对本申请的实施例进行描述,本领域普通技术人员可知,随着技术的发展和新场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。
本申请实施例提供了一种漏洞的处理方法、管理设备以及网关设备,能够使设备正常通信。
图1是本申请实施例提供的漏洞的处理系统的应用场景示意图。
请参阅图1,本申请实施例提供的漏洞处理系统包括:内网设备101、102以及103,接入网设备104、106、108和112,管理设备105,网关设备107、外网设备109、110以及111。
其中,内网设备101、102以及103通过接入网设备104与管理设备105相连接,内网设备101、102以及103通过接入网设备106与网关设备107相连接,网关设备107通过接入网设备108与外网设备109、110以及111相连接,管理设备105可以通过接入网设备112与网关设备107相连接。
本申请实施例中,仅以三个内网设备101、102以及103和四个接入网设备104、106、108以及112和一个管理设备105和一个网关设备107和三个外网设备109、110以及111为例进行说明。
可选的,在实际应用中,本申请实施例的应用场景可以有更多或者比该场景示例出少的内网设备、接入网设备管理设备、网关设备以及外网设备。
各内网设备既可以是终端也可以是服务器,各外网设备也既可以是终端也可以是服务器,内网设备与外网设备建立通信连接。
接入网设备104、106、108以及112与内网设备、网关设备、外网设备以及管理设备之间一般通过无线网络连接,当然也可以通过有线网络连接。如果是通过无线网络连接,具体的连接形式可以为蜂窝状无线网络,或者是WiFi网络,或者是其他类型的无线网络。
接入网设备104、106、108以及112与内网设备、网关设备、外网设备以及管理设备之间一般通过无线网络连接,也可以通过有线网络连接。如果是通过有线网络连接,一般的连接形式为光纤网络。
网关设备107是内网设备的数据转发设备,内网设备与外网设备建立通信连接之后,内网设备与外网设备之间相互发送数据报文,网关设备用于转发该数据报文,以协助内网设备与外网设备通信。
管理设备可以对网络进行规划、控制和监视。管理设备管理内网设备,管理设备发现内网设备中软件的漏洞并且处理该漏洞,以确保网络的正常运行。
基于图1所描述的漏洞的处理系统,对本申请实施例提供的漏洞的处理方法进行描述:
请参阅图2,本申请实施例中漏洞处理的方法一个实施例包括:
201、管理设备获取第一设备的漏洞信息。
在本申请实施例中,可选的,漏洞信息可以包括漏洞身份证标识号(identity,ID)等与漏洞相关的参数,具体此处不做限定。第一设备的漏洞信息用于指示第一设备上的第一软件中存在第一漏洞。内网设备是管理设备所管理的网络设备。内网设备上安装的一个或者多个软件具有漏洞时,其中的一个漏洞被称为第一漏洞,该内网设备被称为第一设备,具有第一漏洞的软件被称为第一软件,第一软件用网络协议与其他设备进行通信,第一设备受到管理设备的管理。
202、管理设备根据第一设备的漏洞信息获取抓包规则。
本申请实施例中,抓包规则可以用于识别具有第一漏洞风险的报文。
可选的,具有第一漏洞风险的报文可以包括第一漏洞对应的漏洞利用请求报文,具有第一漏洞的风险的报文也可以包括具有指定端口号和协议类型的报文。可以理解的是,还可以包括其他类型的报文,例如,第一漏洞对应的漏洞利用应答报文以及异常数据,具体此处不做限定。
203、管理设备向网关设备发送抓包规则,并指示所述抓包规则的实施对象为第一设备。
本申请实施例中,网关设备是第一设备的数据转发设备,可以用于转发第一设备传输的报文,管理设备向网关设备下发获取到的具有针对性的抓包规则。
可选地,管理设备指示所述抓包规则的实施对象为第一设备的方式有多种。例如管理设备将第一设备的互联网协议(Internet Protocol,IP)地址和抓包规则一并发送给网关设备,这样网关设备即可确定所述抓包规则的实施对象为第一设备。
或者,管理设备根据第一设备的IP地址添加到抓包规则中,即在抓包规则中增加一个抓包条件,增加的抓包条件为报文的源IP地址和/或目的IP地址为第一设备的IP地址。管理设备向网关设备发送添加了第一设备的IP地址的抓包规则,这样网关设备也可以确定所述抓包规则的实施对象为第一设备。
204、网关设备根据抓包规则截取第一设备传输的目标会话的报文。
本申请实施例中,网关设备可以根据接受到的具有针对性的抓包规则截取第一设备传输的目标会话的报文,该第一设备传输的目标会话的报文中包括具有第一漏洞风险的报文。
205、网关设备向管理设备发送第一设备传输的目标会话的报文。
206、管理设备根据第一设备传输的目标会话的报文,确定第一漏洞的威胁性,根据所述威胁性,确定是否向网关设备发送阻断策略。
本实施例中,管理设备首先根据第一设备相关的漏洞信息向网关设备下发有针对性的抓包规则,并接收网关设备对应返回的根据抓包规则抓取的第一设备传输的目标会话的报文。管理设备根据第一设备传输的目标会话的报文确定第一漏洞的威胁性,进而根据该威胁性,确定是否向该网关设备发送阻断策略,在第一漏洞不具备威胁性的时候不发送阻断策略,避免因阻断策略影响第一设备上的正常业务。在第一漏洞具备威胁性的时候发送阻断策略,及时降低第一漏洞的危害,减少安全事故发生的概率。
本申请实施例中步骤201、202提及的管理设备获取第一设备的漏洞信息的方式,以及管理设备根据第一设备的漏洞信息获取抓包规则的方式不单只有一种,而是具有多种获取方式,具体的获取方式将会在下面的实施例中进行详细的阐释。步骤206中,管理设备根据第一设备传输的目标会话的报文,确定第一漏洞的威胁性,然后根据该威胁性,确定是否向网关设备发送阻断策略也分为多种情况,不同的情况也将会在下面的实施例中进行详细的说明。
上述步骤201中,管理设备从不同的设备以及系统中获取第一设备的漏洞信息,可以采取以下几种方式,下面分别进行描述:
1、管理设备通过漏洞扫描的方式获取第一设备的漏洞信息。
管理设备向第一设备发送探测报文。
管理设备获取第一设备针对探测报文返回的应答报文。
管理设备向第一设备发送探测报文后,管理设备将记录第一设备发送的应答报文,从而远程检测第一设备指定端口的服务。该应答报文是具有第一漏洞的风险的报文,该应答报文包括第一设备的指定端口号和第一软件的网络访问服务的相关信息。
可选的,该指定端口号可以是传输控制协议/网际协议(transmission controlprotocol/internet protocol,TCP/IP)端口的端口号,也可以是其他端口的端口号,具体此处不做限定。
可选的,该网络访问服务的相关信息可以是第一软件是否能用匿名登录、是否有可写的文件传输协议(file transfer protocol,FTP)目录以及是否能用Telnet,可以想到的是,该应答报文中包括的第一设备的相关信息还可以是其他的信息,例如,httpd是否是用root在运行等,具体此处不做限定。
管理设备根据所述应答报文从第二漏洞库中获取所述应答报文对应的漏洞信息,从而确定所述第一设备的漏洞信息。
管理设备在获得第一设备的应答报文之后,将应答报文与第二漏洞库中的漏洞信息进行匹配,第二漏洞库中包括应答报文与漏洞信息的对应关系。通过将应答报文中所报含的
第一漏洞的相关标识与第二漏洞库中的漏洞信息进行匹配,获取所述应答报文对应的漏洞信息。
第二漏洞库由管理设备中的漏洞扫描工具所提供。第二漏洞库是安全专家根据网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验以及其他的内容,具体此处不做限定,综合形成的一个系统漏洞库。然后在第二漏洞库的基础之上构成相应的匹配规则。
在匹配原理上,管理设备采用的是基于规则的匹配技术,该规则是由专家经验事先定义的规则。示例性的,在对TCP80端口的扫描中,如果发现/cgi-bin/phf/cgi-bin/Count.cgi,根据专家经验以及CGI程序的共享性和标准化,可以推知该WWW服务存在两个CGI漏洞,可以理解的是此处仅仅是举例,还可以有其他的匹配方式,具体此处不做限定。
2、管理设备通过第一软件信息与第一设备的漏洞信息匹配的方式从网络管理系统获取第一设备的漏洞信息。
该种获取第一设备的漏洞信息的过程可以参阅图3进行理解,如图3所示,本申请实施例提供的管理设备通过软件与漏洞匹配的方式通过网络管理系统获取第一设备的漏洞信息的过程包括:
2001、管理设备向网络管理系统发送第一软件信息获取指令。
第一软件信息获取指令用于指示网络管理系统获取软件信息,第一软件信息获取指令用于指示网络管理系统获取第一设备上已安装软件的软件信息。
2002、管理设备接收所述网络管理系统根据所述第一软件信息获取指令返回的所述软件信息。
管理设备接收网络管理系统发送的软件信息。该软件信息包括第一软件的ID、软件的型号以及软件的版本号等其他与软件相关的参数,具体此处不做限定。
2003、管理设备向第二云设备发送所述软件信息。
管理设备向第二云设备发送第一软件信息。该第二云设备中包含有第三漏洞库,第三漏洞库包括软件信息与漏洞信息的关联关系。第二云设备根据第一软件信息以及第一软件信息与第一设备的漏洞信息的关联关系,从而获取第三漏洞库中包含的漏洞信息。
第二云设备根据软件信息中包括的软件的ID、软件的型号以及软件的版本号等其他软件的相关参数来获取软件和漏洞信息的关联关系。
示例性的,如果第一软件为谷歌浏览器,且第一软件的版本号是8.0.11。第三漏洞库中包括“A”漏洞与版本号为8.0.11的谷歌浏览器的关联关系列表,以及“A”漏洞的ID,该关联关系列表指示版本号为8.0.11的谷歌浏览器与“A”漏洞相对应。
管理设备向第二云设备发送软件信息,软件信息中包括版本号为8.0.11的谷歌浏览器。第二云设备接收软件信息后,将软件信息与第三漏洞库进行匹配,获取到第三漏洞库中与版本号为8.0.11的谷歌浏览器相对应的“A”漏洞的ID,该“A”漏洞的ID为漏洞信息。
可以理解的是,此处仅用于举例说明,实际应用中,可选的,软件信息可以包括软件的ID、软件的型号以及软件的版本号,软件信息还可以包括其他软件的相关参数,具体此处不做限定。可选的,第三漏洞库中不仅可以包括软件信息与漏洞信息的关联关系,第三漏洞库中还可以包括其他信息,具体此处不做限定。
2004、管理设备接收所述第二云设备发送的关联的漏洞信息。
2005、确定所述第一设备的漏洞信息。
管理设备接收第二云设备发送的关联的漏洞信息后,将第二云设备发送的关联的漏洞信息与第一设备的相关信息组合形成第一设备的漏洞信息。可选的,第一设备的相关信息可以是第一设备的IP地址,也可以是证明第一设备身份信息的标识,也可以是其他与第一设备相关的信息,具体此处不做限定。
3、管理设备通过第一软件信息与第一设备的漏洞信息匹配的方式从第一设备获取第一设备的漏洞信息。
该种获取漏洞信息的过程可以参阅图4进行理解,如图4所示,本申请实施例提供的管理设备通过软件与漏洞匹配的方式通过第一设备获取第一设备的漏洞信息的过程包括:
管理设备向所述第一设备发送第二软件信息获取指令。
管理设备接收所述第一设备根据所述第二软件信息获取指令返回的所述软件信息。
管理设备向第一设备发送第二软件信息获取指令之后,第一设备上安装有客户端(agent),agent从第一设备获取软件信息,可以理解的是,本实施例中该软件信息与步骤2002中的软件信息类似,具体此处不做赘述。
管理设备向第二云设备发送所述软件信息。
本实施例中本步骤和前述图3所示实施例2003相类似,具体此处不再赘述。
管理设备接收所述第二云设备发送的关联的漏洞信息。
本实施例中本步骤和前述图3所示实施例2004相类似,具体此处不再赘述。
确定所述第一设备的漏洞信息。
本实施例中本步骤和前述图3所示实施例2005相类似,具体此处不再赘述。
上述实施例中,获取第一设备的漏洞信息的方式有多种,可以通过漏洞扫描的方式获取第一设备的漏洞信息,可以通过第一软件信息与第一设备的漏洞信息匹配的通过网络管理系统获取第一设备的漏洞信息,还可以通过第一软件信息与第一设备的漏洞信息匹配的方式通过第一设备获取第一设备的漏洞信息。可以理解的是,还有其他获取第一设备的漏洞信息的方式,具体此处不做限定。
本申请实施例中,步骤202中,管理设备根据第一设备的漏洞信息获取抓包规则,可以采取以下几种方式,下面分别进行描述:
1、管理设备根据第一漏洞的标识信息从本地规则库获取第一漏洞对应的抓包规则。
本实施例中,管理设备可以根据第一漏洞的标识信息从本地规则库获取第一漏洞对应的抓包规则。第一漏洞的标识信息中可以包括第一漏洞的ID以及用于表示第一漏洞身份的其他标识,具体此处不做限定。本地规则库是第一漏洞的标识信息与抓包规则的一个对应库。
2、管理设备根据第一漏洞的标识信息从云端规则库获取第一漏洞对应的抓包规则。
本实施例中,可选的,管理设备还可以采用其他的方式获取抓包规则。
管理设备向第一云设备发送第一漏洞的标识信息,可选的,第一漏洞的标识信息中可以包括第一漏洞的ID和第一漏洞的标签以及用于表示第一漏洞的身份的其他标识,具体此处不做限定。第一漏洞的标识信息用于指示第一云设备从云端规则库中获取第一漏洞的标识信息对应的抓包规则,云端规则库是第一漏洞的标识信息与抓包规则的一个对应库,其中包括第一漏洞的标识信息与对应的抓包规则。
管理设备接收所述第一云设备从云端规则库中获取到的第一漏洞对应的抓包规则。
除上述实施例中所提及的抓包规则获取方式之外,可选的,管理设备还可以采用其他不同的方式获取抓包规则,具体此处不做限定。
本实施例中,步骤204中,网关设备根据抓包规则截取第一设备传输的目标会话的报文,可选的,第一设备传输的目标会话的报文包括具有指定端口号和协议类型的报文,或者,包括所述第一漏洞对应的漏洞利用请求报文。网关设备可以根据不同的抓包规则以不同的方式来截取第一设备传输的目标会话的报文,可以分为以下几种情况,下面分别进行描述:
1、具有所述第一漏洞的风险的报文包括具有指定端口号和协议类型的报文。
网关设备获取抓包规则中目标会话的协议类型以及指定端口号。
网关设备根据所述抓包规则中目标会话的协议类型、以及指定端口号抓取第一设备所传输的目标会话的报文中与抓包规则对应的报文。
本实施例中,第一设备上具有第一漏洞的第一软件采用网络协议与其他设备进行通信,可选的,第一漏洞可以是针对该网络协议的。
示例性的,如果ID为X的第一漏洞是针对某个网络协议的漏洞。因此,管理设备可以获取五元组抓包规则:五元组抓包规则中的源IP地址与源端口号设置为所有(any),将所有到第一设备的IP地址和第一设备的端口号的该协议类型的双向流量都进行抓包。五元组抓包规则中的目的IP地址是第一设备的漏洞信息中包括的第一设备的IP地址,以及五元组抓包规则中的目的端口号是第一设备中出现漏洞的网络协议的端口号。管理设备将抓包规则发送至网关设备,网关设备根据抓包规则将所有到第一设备的IP地址和第一设备的端口号的该传输协议类型的双向流量都进行抓包。
2、具有所述第一漏洞的风险的报文包括包括所述第一漏洞对应的漏洞利用请求报文,所述第一漏洞对应的漏洞利用请求报文通过指定字符串来识别。
网关设备获取抓包规则中第一漏洞对应的指定字符串。
如果第一漏洞的利用程序必须发送第一漏洞对应的漏洞利用请求报文才能进行攻击,而第一漏洞对应的漏洞利用请求报文包括某种指定字符串,则可以进行特征抓包。特征抓包规则中包括指定字符串,且该指定字符串与第一漏洞对应的漏洞利用请求报文相对应。网关设备会获取抓包规则中的指定字符串。
网关设备根据指定字符串截取所有具有指定字符串的报文。
本实施例中,网关设备获取抓包规则中的指定字符串之后,网关设备就可以根据指定字符串截取第一设备所传输的目标会话的报文。
可选的,该指定字符串可以是某种普通字符串或者是某种函数变量,也可以是其他类型的指定字符串,具体此处不做限定。
如果第一漏洞对应的漏洞利用请求报文中包括指定字符串“ABC”时,攻击设备与第一设备进行通信的报文中包括具有指定字符串“ABC”的漏洞利用请求报文,攻击设备才能攻击第一设备。可选的,此处指定字符串“ABC”仅用于举例说明,还可以是指定字符串“ABD”,还可以是其他指定字符串,具体此处不做限定。
网关设备监控所有到第一设备IP地址和第一设备端口号的指定协议的报文,如果网关设备监控到的报文中具有抓包规则中包括的指定字符串,即具有指定字符串“ABC”,那么网关设备会截取该具有指定字符串“ABC”的报文。
如果第一漏洞对应的漏洞利用请求报文中包括的指定字符串是某个函数变量时,攻击设备与第一设备进行通信的目标会话的报文中具有该函数变量,攻击设备才能攻击第一设备。此时,与第一漏洞对应的漏洞利用请求报文相对应的抓包规则中包括正则表达式,该正则表达式与该函数变量相对应。网关设备监控所有到第一设备的IP地址和第一设备端口号的指定协议的报文,如果网关设备监控到的报文中具有与抓包规则中包括的正则表达式对应的函数变量,那么网关设备会截取该具有函数变量的报文。
本申请实施例中,步骤206中所提到的管理设备根据第一设备传输的目标会话的报文,确定第一漏洞的威胁性,根据该威胁性,确定是否向网关设备发送阻断策略。其中,网关设备根据五元组抓包规则进行抓包,网关设备截取到的报文是具有第一漏洞的风险的报文,该具有第一漏洞风险的报文可以包括具有指定端口号和协议类型的报文,或者,具有第一漏洞的风险的报文可以包括第一漏洞对应的漏洞利用请求报文。根据抓包归则的不同,该步骤206具体又可以分为以下几种情况,下面分别进行描述。
一、网关设备根据五元组抓包规则进行抓包,网关设备截取到的报文是具有第一漏洞的风险的报文,该具有第一漏洞的风险的报文可以包括具有指定端口号和协议类型的报文。
管理设备可以根据不同的条件,确定是否向网关设备发送阻断策略,下面分别进行详细描述:
1、如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送阻断策略。
管理设备调用第一漏洞库,该第一漏洞库中包括第一漏洞对应的漏洞利用请求报文与第一漏洞对应的漏洞利用应答报文的对应关系。管理设备根据对应关系来确定第一设备传输的目标会话的报文中是否包含顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文。如果第一设备传输的目标会话的报文中不存在顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文,那么管理设备不向网关设备发送阻断策略。如果第一设备传输的目标会话的报文中存在顺序出现的第一漏洞对应的漏洞利用请求报文以及第一漏洞对应的漏洞利用应答报文,则管理设备向网关设备发送阻断策略,具体可以参阅图5a的过程进行理解,如图5a所示,上述步骤206的过程包括:
3001、管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文。
本实施例中,第一漏洞库是预设的一个漏洞库。第一漏洞库中可以包括第一漏洞对应的漏洞利用请求报文与第一漏洞对应的漏洞利用应答报文的对应关系。可选的,第一漏洞库中也可以包括第一漏洞相关的其他内容,具体此处不做限定。
例如,第一软件如果是浏览器,以浏览器为例,浏览器上存在的第一漏洞对应的漏洞利用请求报文中可以包括字符串“ABC”,字符串“ABC”可以用于表示攻击设备的漏洞利用请求,第一漏洞对应的第一漏洞对应的漏洞利用应答报文可以包括字符串“DEF”,字符串“DEF”存在则表示第一漏洞确实存在并且可以被利用。字符串“ABC”与字符串“DEF”之间具有唯一的对应关系。第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文与第一漏洞对应的漏洞利用应答报文之间的对应关系便是字符串“ABC”与字符串“DEF”之间的对应关系。
管理设备根据对应关系确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文。
第一漏洞库中可以包括第一漏洞对应的漏洞利用请求报文与第一漏洞对应的漏洞利用应答报文的对应关系,管理设备根据该第一漏洞库能够确定出第一设备传输的目标会话的报文中是否存在第一漏洞对应的漏洞利用请求报文。
如果目标会话中包括第一漏洞对应的漏洞利用请求报文,且第一漏洞对应的漏洞利用请求报文中包括字符串“ABC”。如果目标会话的应答报文包括的不是字符串“DEF”而是字符串“EFG”,具有字符串“EFG”的第一漏洞对应的漏洞应答报文与具有字符串“ABC”的第一漏洞对应的漏洞利用请求报文并不对应,则证明目标会话的应答报文中不存在第一漏洞对应的漏洞利用应答报文,第一漏洞威胁性较低。如果目标会话的应答报文中存在字符串“DEF”,则认为目标会话中存在第一漏洞对应的漏洞利用应答报文,那么第一设备传输的目标会话中包括顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文。
可选的,此处字符串“ABC”、“DEF”以及“EFG”仅用于举例说明,还可以是特征字符串“ABDM”以及“EFKN”,还可以是其他类型的字符串,具体此处不做限定。
如果确定第一设备传输的目标会话的报文中存在第一漏洞对应的漏洞利用请求报文,则管理设备可以将该第一漏洞评定为一级漏洞。一级漏洞代表着漏洞存在一定的风险。如果第一设备传输的目标会话的报文中不存在第一漏洞对应的漏洞利用请求报文,则不对该第一漏洞进行评级,不对该第一漏洞进行处理。
可选的,管理设备可以对第一漏洞进行评级,也可以不对第一漏洞进行评级,管理设备不对第一漏洞进行评级不影响其他步骤的执行。
本实施例中,管理设备将第一漏洞评定为一级漏洞之后,管理设备还可以向第一设备发送一级漏洞提示消息,一级漏洞提示消息用于提醒用户该第一漏洞具有一定的风险。
可以理解的是,管理设备可以向第一设备发送提示消息,也可以不向第一设备发送提示消息,如果管理设备不向第一设备发送提示消息不影响其他步骤的执行。
3002、如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送所述阻断策略。
管理设备根据第一漏洞库判断目标会话的报文中是否存在第一漏洞对应的漏洞利用请求报文以及与之相对应的第一漏洞对应的漏洞利用应答报文。如果管理设备判断目标会话中不存在第一漏洞对应的漏洞利用请求报文时,或者管理设备判断目标会话中只存在第一漏洞对应的漏洞利用请求报文,而不存在第一漏洞对应的漏洞利用应答报文时,管理设备不向网关设备发送阻断策略。
3003、如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,管理设备根据所述第一设备传输的目标会话的报文获取所述目标会话的五元组信息。
管理设备根据第一漏洞库判断第一设备传输的目标会话的报文中是否存在与第一漏洞对应的漏洞利用请求报文以及与之相对应的第一漏洞对应的漏洞利用应答报文。如果管理设备判断目标会话中存在顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文时,管理设备认为第一漏洞具有威胁性。管理设备可以向网关设备发送阻断策略。
如果目标会话中包含顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文,则可以将第一漏洞评定为二级漏洞,二级漏洞的处置优先级高于一级漏洞。
可选的,管理设备可以对第一漏洞进行评级,也可以不对第一漏洞进行评级,管理设备不对第一漏洞进行评级不影响其他步骤的执行。
管理设备将第一漏洞评定为二级漏洞之后,管理设备还可以向第一设备发送二级漏洞提示消息,二级漏洞提示消息用于提醒用户该二级漏洞具有较为严重的风险。
可选的,管理设备可以向第一设备发送提示消息,也可以不向第一设备发送提示消息,如果管理设备不向第一设备发送提示消息不影响其他步骤的执行。
管理设备根据所述第一设备传输的目标会话的报文获取所述目标会话的五元组信息
五元组信息包括攻击设备的IP地址、攻击设备的端口号、攻击设备与第一设备间的传输协议类型、所述第一设备的IP地址以及所述第一设备的端口号。
3004、管理设备生成包含所述五元组信息的表项,并将生成的表项加入访问控制列表。
本实施例中,可选的,管理设备生成的阻断策略既可以是访问控制列表,也可以是其他的方式,具体此处不做限定。管理设备生成的访问控制列表用于阻断访问控制列表中包含的表项所指示的流量。
3005、管理设备向所述网关设备发送阻断策略。
管理设备向网关设备发送阻断策略,可选的,该阻断策略可以是访问控制列表,也可以是其他类型的能够阻断第一设备所传输的目标会话的策略,具体此处不做赘述。
上述实施例中,如果第一设备传输的目标会话的报文中不存在顺序出现的第一漏洞对应的漏洞利用请求报文和或第一漏洞对应的漏洞利用应答报文,那么管理设备不向网关设备发送阻断策略。在实际应用中,当然也可以是另外一种情况,如果目标会话中不存在异常数据,那么管理设备不向网关设备发送阻断策略,下面进行详细描述:
2.如果目标会话中不存在异常数据,那么管理设备不向网关设备发送阻断策略:
该种实施方式的过程可以参阅图5b进行理解,如图5b所示,本申请实施例提供的一种实现方式包括:
4001、管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文。
本实施例中本步骤与前述实施例步骤3001类似,具体此处不再赘述。
4002、如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送所述阻断策略。
本实施例中本步骤与前述实施例步骤3002类似,具体此处不再赘述。
4003、如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备确定所述第一设备传输的目标会话的报文中是否包括异常数据。
第一漏洞对应的漏洞利用请求报文中包括字符串“ABC”,管理设备根据第一漏洞库对第一设备传输的目标会话的报文进行分析,如果目标会话的请求报文中包括该字符串“ABC”,那么就认为该存在字符串“ABC”的报文为第一漏洞对应的漏洞利用请求报文。那么第一设备传输的目标会话的报文中就包括了第一漏洞对应的漏洞利用请求报文。相似的,如果第一漏洞对应的漏洞利用应答报文中包括字符串“DEF”,第一设备传输的目标会话的报文中包括该字符串“DEF”,那么就认为该存在字符串“DEF”的应答报文为第一漏洞对应的漏洞利用应答报文。那么第一设备传输的目标会话的报文中就包括了第一漏洞对应的漏洞利用应答报文。此时则可以认为,第一设备传输的目标会话的报文中存在顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文。
可选的,此处特征字符串“ABC”以及“DEF”仅用于举例说明,还可以是特征字符串“ABDG”以及“EFKO”,还可以是其他类型的特征字符串,具体此处不做限定。
管理设备根据第一漏洞库判断第一设备传输的目标会话的报文中存在顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文之后,管理设备可以确定所述第一设备传输的目标会话的报文中是否包括异常数据。
管理设备通过多个异常判定来判断第一设备传输的目标会话的报文是否存在异常数据。例如,可选的,异常判定可以是管理设备确认第一设备传输的目标会话的报文中是否包括上传脚本的字符串,还可以是管理设备确认第一设备传输的目标会话的报文中是否包括上传可执行程序的字符串。还可以是其他的异常判定的方式,具体此处不做限定。管理设备如果确定目标会话中包括异常数据,那么管理设备确定第一漏洞已经被攻击设备利用成功。
示例性的,如果第一软件是第一设备上的浏览器,当管理设备确定第一设备传输的目标会话的报文中存在顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文时,管理设备通过异常判定来判断第一设备传输的目标会话的报文中是否包括字符串“XYZ”,字符串“XYZ”可以表示某种上传程序,如果存在字符串“XYZ”则可以证明第一设备传输的目标会话中包括异常数据。第一设备传输的目标会话中包括异常数据表明了第一漏洞已经被利用,且第一漏洞的危险性极高。
可选的,此处特征字符串“XYZ”仅用于举例说明,还可以是特征字符串“ABCD”以及“EF”,还可以是其他特征字符串,具体此处不做限定。
如果目标会话中包含顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文,则可以将第一漏洞评定为二级漏洞,二级漏洞的处置优先级高于一级漏洞,若目标会话的应答报文中不存在第一漏洞对应的漏洞利用应答报文,则将第一漏洞按一级漏洞处理。
可以理解的是,管理设备可以对第一漏洞进行评级,也可以不对第一漏洞进行评级,管理设备不对第一漏洞进行评级不影响其他步骤的执行。
本实施例中,如果管理设备确定第一设备传输的目标会话中包括异常数据,则管理设备可以将该第一漏洞评定为三级级漏洞,三级漏洞代表着第一漏洞被攻击设备利用成功,第一漏洞危险性极高。
可选的,管理设备确定目标会话中包括异常数据时,可以对第一漏洞进行评级,也可以不对第一漏洞进行评级,具体此处不做限定。如果不对第一漏洞进行评级并不影响其他步骤的实施。
本实施例中,管理设备将第一漏洞评定为三级漏洞之后,管理设备还可以向第一设备发送三级漏洞提示消息。三级漏洞提示消息用于提醒用户该第一漏洞已经被利用,第一漏洞具有极高的风险。
可选的,管理设备可以向第一设备发送提示消息,也可以不向第一设备发送提示消息,具体此处不做限定。管理设备不向第一设备发送提示消息不影响其他步骤的执行。
4004、如果管理设备确定所述第一设备传输的目标会话的报文中不包括异常数据,则管理设备不向所述网关设备发送阻断策略。
4005、如果管理设备确定所述第一设备传输的目标会话的报文中包括异常数据,则管理设备根据所述第一设备传输的目标会话的报文获取所述目标会话的五元组信息。
本实施例中管理设备获取第一设备传输的目标会话的五元组信息的方式与前述实施例步骤3003类似,具体此处不再赘述。
4006、管理设备生成包含所述五元组信息的表项,并将生成的表项加入访问控制列表。
本实施例中本步骤与前述实施例步骤3004类似,具体此处不再赘述。
4007、管理设备向所述网关设备发送所述阻断策略。
本实施例中本步骤与前述实施例步骤3005类似,具体此处不再赘述。
一、网关设备根据特征抓包规则进行抓包,网关设备截取到的报文是具有第一漏洞的风险的报文,所述具有第一漏洞的风险的报文包括第一漏洞对应的漏洞利用请求报文。
管理设备可以根据不同的条件,确定是否向网关设备发送阻断策略,下面分别进行详细描述:
1、如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送阻断策略。
该种实施方式的过程可以参阅图5c进行理解,如图5c所示,本申请实施例提供的一种实现方式包括:
5001、管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否还包含所述第一漏洞对应的漏洞利用应答报文。
本实施例中,该步骤中的第一漏洞库与上述步骤3001类似,具体此处不做赘述。
具有第一漏洞的风险的报文中包括第一漏洞对应的漏洞利用请求报文,因此,管理设备根据第一漏洞库确定第一设备传输的目标会话的报文中是否包括第一漏洞对应的漏洞利用应答报文,即可以确定第一漏洞是否存在被利用的风险。若不存在第一漏洞对应的漏洞利用应答报文,则证明第一漏洞并没有被利用的风险。反之,如果存在第一漏洞对应的漏洞利用应答报文,则证明攻击设备可以攻击第一漏洞,第一漏洞有被利用的风险。
示例性的,第一软件如果是浏览器,以浏览器为例。浏览器上存在的第一漏洞对应的漏洞利用请求报文中可以包含字符串“ABC”,字符串“ABC”可以用于表示攻击设备的漏洞利用请求,第一漏洞对应的第一漏洞对应的漏洞利用应答报文中可以包括字符串“DEF”,字符串“DEF”可以用于表示第一漏洞确实存在并且可以被利用,第一设备传输的目标会话中已经包括了第一漏洞对应的漏洞利用请求报文。字符串“ABC”与字符串“DEF”之间具有唯一的对应关系,第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文与第一漏洞对应的漏洞利用应答报文之间的对应关系便是字符串“ABC”与字符串“DEF”之间的对应关系。因此管理设备可以根据此对应关系判断第一设备传输的目标会话中是否包括具有字符串“DEF”的报文,具有字符串“DEF”的报文便是第一漏洞对应的漏洞利用应答报文。
如果第一设备传输的目标会话的报文包括的不是字符串“DEF”而是字符串“EFG”,具有字符串“EFG”的应答报文与具有字符串“ABC”的第一漏洞对应的漏洞利用请求报文并不对应,则证明目标会话的应答报文中不存在第一漏洞对应的漏洞利用应答报文,第一漏洞威胁性较低。如果目标会话的应答报文中存在字符串“DEF”,则认为目标会话中存在第一漏洞对应的漏洞利用应答报文,那么第一设备传输的目标会话中包括顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文。
此处特征字符串“ABC”、“DEF”以及“EFG”仅用于举例说明。可选的,还可以是特征字符串“ABDM”、“EFKN”以及“DEFK”,还可以是其他类型的特征字符串,具体此处不做限定。
5002、如果所述第一设备传输的目标会话的报文中不存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送阻断策略。
若管理设备确认第一设备传输的目标会话的报文中不存在第一漏洞对应的漏洞利用应答报文,那么管理设备可以认为第一漏洞并没有被利用的风险,因此管理设备可以不向网关设备发送阻断策略,第一设备上的第一软件可以正常进行通信。
5003、如果所述第一设备传输的目标会话的报文中存在所述第一漏洞对应的漏洞利用应答报文,管理设备根据所述第一设备传输的目标会话的报文获取所述目标会话的五元组信息。
若存在第一漏洞对应的漏洞利用应答报文,那么管理设备可以认为第一漏洞有被利用的风险,因此管理设备可以向网关设备发送阻断策略。
如果确定第一设备传输的目标会话的报文中存在第一漏洞对应的漏洞利用应答报文,则管理设备可以将该第一漏洞评定为一级漏洞。一级漏洞代表着第一漏洞有被攻击设备利用的风险,如果第一设备传输的目标会话的报文中不存在第一漏洞对应的漏洞利用应答报文,则不对该第一漏洞进行评级,不对该第一漏洞进行处理。
可选的,管理设备可以对第一漏洞进行评级,也可以不对第一漏洞进行评级,管理设备不对第一漏洞进行评级不影响其他步骤的执行。
本实施例中,管理设备将第一漏洞评定为一级漏洞之后,管理设备还可以向第一设备发送一级漏洞提示消息,一级漏洞提示消息用于提醒用户该第一漏洞具有风险。
可选的,管理设备可以向第一设备发送提示消息,也可以不向第一设备发送提示消息,如果管理设备不向第一设备发送提示消息不影响其他步骤的执行。
管理设备根据所述报文获取所述目标会话的五元组信息。
本实施例中,该步骤中管理设备根据所述网关设备截取的报文获取所述目标会话的五元组信息与上述步骤3003类似,具体此处不做赘述。
5004、管理设备生成包含所述五元组信息的表项,并将生成的表项加入访问控制列表。
本实施例中本步骤与前述实施例步骤3004类似,具体此处不再赘述。
5005、管理设备向所述网关设备发送阻断策略。
本实施例中本步骤与前述实施例步骤3005类似,具体此处不再赘述。
2、如果目标会话中不存在异常数据,那么管理设备不向网关设备发送阻断策略:
该种实施方式的过程可以参阅图5d进行理解,如图5d所示,本申请实施例提供的一种实现方式包括:
6001、管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否包含所述第一漏洞对应的漏洞利用应答报文。
本实施例中,该步骤中的第一漏洞库与上述步骤5001类似,具体此处不做赘述。
6002、如果所述第一设备传输的目标会话的报文中不存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送阻断策略。
本实施例中,该步骤中的第一漏洞库与上述步骤5002类似,具体此处不做赘述。
6003、如果所述第一设备传输的目标会话的报文中存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备确定所述第一设备传输的目标会话的报文中是否包括所述异常数据。
管理设备根据第一漏洞库判断第一设备传输的目标会话的报文中存在第一漏洞对应的漏洞利用应答报文。此时,管理设备可以确定第一设备传输的目标会话的报文中是否包括异常数据。
管理设备判断异常数据是否存在的方式,与上述步骤4003类似,具体此处不做赘述。
6004、如果管理设备确定第一设备传输的目标会话中不包括异常数据,则管理设备不向网关设备发送阻断策略。
如果管理设备确定第一设备传输的目标会话存在漏洞利用应答报文,但是第一设备传输的目标会话中不包括异常数据,则管理设备认为攻击设备虽然可以攻击第一漏洞,但是第一漏洞并未被利用,因此管理设备不向网关设备发送阻断策略。
6005、如果管理设备确定第一设备传输的目标会话中包括异常数据,管理设备根据所述第一设备传输的目标会话的报文获取所述目标会话的五元组信息。
管理设备判断第一设备传输的目标会话中是否包括异常数据,如果存在异常数据则认为攻击设备成功利用了第一漏洞,管理设备可以向网关设备发送阻断策略。如果不存在异常数据则认为攻击设备没有利用第一漏洞,管理设备可以不向网关设备发送阻断策略。
如果目标会话中包含顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文,则可以将第一漏洞评定为一级漏洞,若目标会话的应答报文中不存在第一漏洞对应的漏洞利用应答报文,则不对漏洞进行处理。
可选的,管理设备可以对第一漏洞进行评级,也可以不对第一漏洞进行评级,管理设备不对第一漏洞进行评级不影响其他步骤的执行。
本实施例中,如果管理设备确定第一设备传输的目标会话中存在异常数据,则管理设备认为第一漏洞被攻击设备利用成功。那么管理设备可以将该第一漏洞评定为二级级漏洞,二级漏洞的处置优先级高于一级漏洞。二级漏洞代表着第一漏洞已经被攻击设备利用成功,第一漏洞危险性极高。
可选的,管理设备确定目标会话中包括异常数据时,可以对第一漏洞进行评级,也可以不对第一漏洞进行评级,具体此处不做限定。如果不对第一漏洞进行评级并不影响其他步骤的实施。
本实施例中,管理设备将第一漏洞评定为二级漏洞之后,管理设备还可以向第一设备发送二级漏洞提示消息,二级漏洞提示消息用于提醒用户该第一漏洞已经被攻击设备利用成功,第一漏洞具有极高的风险。
可选的,管理设备可以向第一设备发送提示消息,也可以不向第一设备发送提示消息,具体此处不做限定,管理设备不向第一设备发送提示消息不影响其他步骤的执行。
管理设备根据所述报文获取所述目标会话的五元组信息。
本实施例中,管理设备根据所述报文获取所述目标会话的五元组信息的这一步骤与前述实施例步骤3003类似,具体此处不再赘述。
6005、管理设备生成包含所述五元组信息的表项,并将生成的表项加入访问控制列表。
本实施例中本步骤与前述实施例步骤3004类似,具体此处不再赘述。
6006、管理设备向所述网关设备发送阻断策略。
本实施例中本步骤与前述实施例步骤3005类似,具体此处不再赘述。
如图6所示,本申请实施例提供的漏洞的管理系统的一实施例中,漏洞的管理系统包括:管理设备、网关设备、第一设备以及第一云设备。
其中,管理设备集成有漏洞扫描模块、监控模块、分析模块、连接模块以及控制响应模块。
漏洞扫描获模块取第一设备的漏洞信息,第一设备的漏洞信息可以指示第一软件中存在第一漏洞,第一软件使用网络协议与其他设备进行通信,第一设备为管理设备所管理的网络设备。
分析模块根据所述第一设备的漏洞信息指示连接模块从第一云设备获取抓包规则,抓包规则用于识别具有第一漏洞的风险的报文。
分析模块指示监控模块向第一设备相关的网关设备发送抓包规则,网关设备用于转发第一设备传输的报文,抓包规则用于网关设备截取第一设备传输的目标会话的报文,目标会话中包含具有第一漏洞的风险的报文;
监控模块接收网关设备发送的第一设备传输的目标会话的报文;
分析模块根据第一设备传输的目标会话的报文,确定第一漏洞的威胁性,根据威胁性,确定是否向网关设备发送阻断策略。
如图7所示,本申请实施例提供的管理设备30的一实施例包括:
处理单元301用于:
获取第一设备的漏洞信息,所述第一设备的漏洞信息用于指示第一软件中存在第一漏洞,所述第一软件使用网络协议与其他设备进行通信,所述第一设备为所述管理设备所管理的网络设备;
根据所述第一设备的漏洞信息获取抓包规则,所述抓包规则用于识别具有所述第一漏洞的风险的报文;
发送单元302,用于向所述第一设备相关的网关设备发送所述抓包规则,并指示所述抓包规则的实施对象为第一设备,所述网关设备用于转发所述第一设备传输的报文,所述抓包规则用于所述网关设备截取目标会话的报文,所述目标会话中包含具有所述第一漏洞的风险的报文;
接收单元303,用于接收所述网关设备发送的所述第一设备传输的目标会话的报文;
所述处理单元,还用于根据所述第一设备传输的目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略。
本申请实施例提供的方案,处理单元301首先根据第一设备相关的漏洞信息向网关设备下发有针对性的抓包规则,接收单元303接收网关设备对应返回的根据抓包规则抓取的第一设备传输的目标会话的报文。处理单元根据第一设备传输的目标会话的报文确定第一漏洞的威胁性,进而根据该威胁性,确定是否向该网关设备发送阻断策略,在第一漏洞不具备威胁性的时候不发送阻断策略,避免因阻断策略影响第一设备上的正常业务;在第一漏洞具备威胁性的时候发送阻断策略,及时降低第一漏洞的危害,减少安全事故发生的概率。
一种可能的实施例中,所述具有所述第一漏洞的风险的报文包括指定端口号和协议类型,处理单元301用于,
根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述发送单元302不向所述网关设备发送所述阻断策略;
如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述发送单元向302所述网关设备发送所述阻断策略。
一种可能的实施例中,所述具有所述第一漏洞的风险的报文包括指定端口号和协议类型,处理单元301用于,
根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述发送单元302不向所述网关设备发送阻断策略;
如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述发送单元302确定所述第一设备传输的目标会话的报文中是否包括异常数据;
如果所述第一设备传输的目标会话的报文中还包括所述异常数据,所述发送单元向所述网关设备发送阻断策略。
一种可能的实施例中,所述具有第一漏洞的风险的报文包括第一漏洞对应的漏洞利用请求报文,处理单元301用于,
根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否还包含所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在所述第一漏洞对应的漏洞利用应答报文,则所述发送单元302不向所述网关设备发送阻断策略;
如果所述第一设备传输的目标会话的报文中存在所述第一漏洞对应的漏洞利用应答报文,则所述发送单元302向所述网关设备发送阻断策略。
一种可能的实施例中,所述具有第一漏洞的风险的报文包括第一漏洞对应的漏洞利用请求报文,所述处理单元用于,
根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否还包含所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在所述第一漏洞对应的漏洞利用应答报文,则所述发送单元302不向所述网关设备发送阻断策略;
如果所述第一设备传输的目标会话的报文中存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备确定所述第一设备传输的目标会话的报文中是否包括所述异常数据;
如果所述第一设备传输的目标会话的报文中还包括所述异常数据,所述发送单元302向所述网关设备发送阻断策略。
一种可能的实施例中,所述第一设备的漏洞信息包括所述第一漏洞的标识信息,所述处理单元301用于,根据所述第一漏洞的标识信息从本地规则库获取所述第一漏洞对应的抓包规则,所述本地规则库包括所述第一漏洞的标识信息与对应的所述抓包规则。
一种可能的实施例中,所述第一设备的漏洞信息包括所述第一漏洞的标识信息,所述发送单元302用于向第一云设备发送所述第一漏洞的标识信息,所述第一漏洞的标识信息用于所述第一云设备从云端规则库中获取所述第一漏洞对应的抓包规则,所述云端规则库包括所述第一漏洞的标识信息与对应的所述抓包规则;
所述接收单元303用于接收所述第一云设备发送的所述第一漏洞对应的抓包规则。
一种可能的实施例中,所述发送单元302用于向所述第一设备发送探测报文;
所述接收单元303用于获取所述第一设备针对所述探测报文返回的应答报文,所述应答报文包括所述第一漏洞的风险;
所述处理单元301根据所述应答报文从第二漏洞库中获取所述应答报文对应的漏洞信息,从而确定所述第一设备的漏洞信息,所述第二漏洞库中包括所述应答报文与漏洞信息的对应关系。
一种可能的实施例中,所述发送单元302用于向网络管理系统发送第一软件信息获取指令,所述第一软件信息获取指令用于指示所述网络管理系统获取所述第一设备上已安装软件的软件信息;
所述接收单元303用于接收所述网络管理系统根据所述第一软件信息获取指令返回的所述软件信息;
所述发送单元302用于向第二云设备发送所述软件信息,使得所述第二云设备根据所述软件信息以及第三漏洞库获取关联的漏洞信息,所述第三漏洞库中包括所述软件信息与漏洞信息的关联关系;
所述接收单元303用于接收所述第二云设备发送的关联的漏洞信息,从而使得所述处理单元301确定所述第一设备的漏洞信息。
一种可能的实施例中,所述发送单元302用于向所述第一设备发送第二软件信息获取指令,所述第二软件信息获取指令用于指示所述第一设备获取所述第一设备上已安装软件的软件信息;
所述接收单元303用于接收所述第一设备根据所述第二软件信息获取指令返回的所述软件信息;
所述发送单元302用于向第二云设备发送所述软件信息,使得所述第二云设备根据所述软件信息以及第三漏洞库获取关联的漏洞信息,所述第三漏洞库中包括所述第一软件信息与漏洞信息的关联关系;
所述接收单元303用于接收所述第二云设备发送的关联的漏洞信息,从而使得所述处理单元301确定所述第一设备的漏洞信息。
一种可能的实施例中,所述处理单元301还用于,
根据所述第一设备传输的目标会话的报文获取所述目标会话的五元组信息,所述五元组信息包括攻击设备的IP地址、攻击设备的端口号、攻击设备与第一设备间的传输协议类型、所述第一设备的IP地址以及所述第一设备的端口号;
生成包含所述五元组信息的表项,并将生成的表项加入访问控制列表,所述访问控制列表用于阻断所述访问控制列表中包含的表项所指示的流量。
需要说明的是,上述管理设备30的各模块之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其带来的技术效果与本发明方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
如图8所示,本申请实施例提供的网关设备40的一实施例包括:
接收单元401,用于接收管理设备发送的抓包规则和所述抓包规则的实施对象为第一设备的指示,所述发送单元403用于转发所述第一设备传输的报文,所述抓包规则用于所述处理单元402截取目标会话的报文,所述目标会话中包含具有第一漏洞的风险的报文,所述第一漏洞存在于所述第一设备上的第一软件中,所述第一软件使用第一协议进行网络通信;
处理单元402,用于根据所述抓包规则和指示,截取第一设备传输的所述目标会话的报文,所述目标会话中包含所述第一漏洞的风险的报文;
发送单元403,用于向所述管理设备发送所述第一设备传输的目标会话的报文,所述第一设备传输的目标会话的报文用于所述管理设备确定是否发送阻断策略。
本申请实施例中,接收单元401接收管理设备发送的抓包规则,处理单元402根据该抓包规则截取第一设备传输的目标会话的报文,发送单元403向管理设备发送截取到的该第一设备传输的目标会话的报文,以使得管理设备在第一漏洞不具备威胁性的时候不发送阻断策略,避免因阻断策略影响第一设备上的正常业务。在第一漏洞具备威胁性的时候发送阻断策略,及时降低第一漏洞的危害,减少安全事故发生的概率。
一种可能的实施例中,所述具有所述第一漏洞的风险的报文包括具有指定端口号和协议类型的报文,或者包括所述第一漏洞对应的漏洞利用请求报文,所述第一漏洞对应的漏洞利用请求报文通过指定字符串来识别。
一种可能的实施例中,所述接收单元401还用于接收所述管理设备发送的阻断策略;
处理单元,还用于根据所述阻断策略阻断所述第一设备的目标会话。
根据所述访问控制列表获取包括五元组信息的表项,所述五元组信息包括攻击设备的IP地址、攻击设备的端口号、攻击设备与第一设备间的传输协议类型、所述第一设备的IP地址以及所述第一设备的端口号;
阻断所述表项所指示的流量。
需要说明的是,上述网关设备40的各模块之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其带来的技术效果与本发明方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
如图9所示,为本申请实施例的又一种设备的结构示意图,该设备为管理设备。
图9是本申请实施例提供的一种管理设备结构示意图,该管理设备500可以包括一个或一个以上处理器(central processing units,CPU)501和存储器502,该存储器502中存储有一个或一个以上的操作系统和/或程序代码。
其中,存储器502可以是易失性存储或持久存储。存储在存储器502的程序可以包括一个或一个以上模块,每个模块可以包括对管理设备中的一系列指令操作。更进一步地,处理器501可以设置为与存储器502通信,在管理设备500上执行存储器502中的一系列指令操作。
管理设备500还可以包括一个或一个以上电源,一个或一个以上有线或无线网络接口503,一个或一个以上输入输出接口504,输入输出接口504与以显示器505为例的输出设备连接,一个或一个以上操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
该处理器501可以执行前述图7所示实施例中管理设备所执行的操作,具体此处不再赘述。
在一些实施例中,管理设备的处理器501可以执行图7中处理单元301执行的动作,管理设备中的网络接口503可以执行图7中发送单元302以及接收单元303执行的动作,其实现原理和技术效果类似,在此不再赘述。
如图10所示,为本申请实施例的又一种设备的结构示意图,该设备为网关设备。该网关设备600可以包括一个或一个以上中央处理器(central processing units,CPU)601和存储器605,该存储器605中存储有一个或一个以上的应用程序或数据。
其中,存储器605可以是易失性存储或持久存储。存储在存储器605的程序可以包括一个或一个以上模块,每个模块可以包括对网关设备中的一系列指令操作。更进一步地,中央处理器601可以设置为与存储器605通信,在网关设备600上执行存储器605中的一系列指令操作。
网关设备600还可以包括一个或一个以上电源602,一个或一个以上有线或无线网络接口603,一个或一个以上输入输出接口604,和/或,一个或一个以上操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
在一些实施例中,网关设备的中央处理器601可以执行图8中处理单元402执行的动作,网关设备中的有线或无线网络接口603或者输入输出接口604可以执行图8中接收单元401以及发送单元403执行的动作,其实现原理和技术效果类似,在此不再赘述。
本申请还提供了一种漏洞的处理系统,该漏洞的处理系统包括处理器,用于支持上述管理设备实现其所涉及的功能,例如,例如接收或处理上述方法实施例中所涉及的数据。在一种可能的设计中,所述漏洞的处理系统还包括存储器,所述存储器,用于保存管理设备必要的程序指令和数据。该漏洞的处理系统,可以包含芯片和其他分立器件。
在本申请的另一实施例中,还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当设备的至少一个处理器执行该计算机执行指令时,设备执行上述图2至图5d部分实施例所描述的方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请实施例各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请实施例各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请实施例的具体实施方式,但本申请实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请实施例的保护范围之内。因此,本申请实施例的保护范围应以所述权利要求的保护范围为准。
Claims (32)
1.一种漏洞的处理方法,其特征在于,包括:
管理设备获取第一设备的漏洞信息,所述漏洞信息用于指示第一软件中存在第一漏洞,所述第一软件使用网络协议与其他设备进行通信,所述第一设备为所述管理设备所管理的网络设备;
所述管理设备根据所述第一设备的漏洞信息获取抓包规则,所述抓包规则用于识别具有所述第一漏洞的风险的报文;
所述管理设备向所述第一设备相关的网关设备发送所述抓包规则,并指示所述抓包规则的实施对象为第一设备,所述第一设备为内网设备,所述网关设备用于转发所述第一设备与外网设备之间传输的报文,所述抓包规则用于所述网关设备从所述第一设备与外网设备之间传输的报文中截取目标会话的报文,所述目标会话中包含具有所述第一漏洞的风险的报文;
所述管理设备接收所述网关设备发送的所述第一设备传输的目标会话的报文;
所述管理设备根据所述第一设备传输的目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略。
2.根据权利要求1所述的漏洞的处理方法,其特征在于,所述具有所述第一漏洞的风险的报文包括具有指定端口号和协议类型的报文,所述管理设备根据第一设备传输的所述目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略,包括:
所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送所述阻断策略;
如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备向所述网关设备发送所述阻断策略。
3.根据权利要求1所述的漏洞的处理方法,其特征在于,所述具有所述第一漏洞的风险的报文包括指定端口号和协议类型,所述管理设备根据第一设备传输的所述目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略,包括:
所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送阻断策略;
如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述管理设备确定所述第一设备传输的目标会话的报文中是否包括异常数据;
如果所述第一设备传输的目标会话的报文中还包括所述异常数据,所述管理设备向所述网关设备发送阻断策略。
4.根据权利要求1所述的漏洞的处理方法,其特征在于,所述具有第一漏洞的风险的报文包括第一漏洞对应的漏洞利用请求报文,所述管理设备根据第一设备传输的所述目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略,包括:
所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否还包含所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送阻断策略;
如果所述第一设备传输的目标会话的报文中存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备向所述网关设备发送阻断策略。
5.根据权利要求1所述的漏洞的处理方法,其特征在于,所述具有第一漏洞的风险的报文包括第一漏洞对应的漏洞利用请求报文,所述管理设备根据第一设备传输的所述目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略,包括:
所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否还包含所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备不向所述网关设备发送阻断策略;
如果所述第一设备传输的目标会话的报文中存在所述第一漏洞对应的漏洞利用应答报文,则所述管理设备确定所述第一设备传输的目标会话的报文中是否包括异常数据;
如果所述第一设备传输的目标会话的报文中还包括所述异常数据,所述管理设备向所述网关设备发送阻断策略。
6.根据权利要求1至5中任一项所述的漏洞的处理方法,其特征在于,所述第一设备的漏洞信息包括所述第一漏洞的标识信息,所述管理设备根据所述第一设备的漏洞信息获取抓包规则,包括:
所述管理设备根据所述第一漏洞的标识信息从本地规则库获取所述第一漏洞对应的抓包规则,所述本地规则库包括所述第一漏洞的标识信息与对应的所述抓包规则。
7.根据权利要求1至5中任一项所述的漏洞的处理方法,其特征在于,所述第一设备的漏洞信息包括所述第一漏洞的标识信息,所述管理设备根据所述第一设备的漏洞信息获取抓包规则,包括:
所述管理设备向第一云设备发送所述第一漏洞的标识信息,所述第一漏洞的标识信息用于所述第一云设备从云端规则库中获取所述第一漏洞对应的抓包规则,所述云端规则库包括所述第一漏洞的标识信息与对应的所述抓包规则;
所述管理设备接收所述第一云设备发送的所述第一漏洞对应的抓包规则。
8.根据权利要求1至5任意一项所述的漏洞的处理方法,其特征在于,所述管理设备获取第一设备的漏洞信息包括:
所述管理设备向所述第一设备发送探测报文;
所述管理设备获取所述第一设备针对所述探测报文返回的应答报文,所述应答报文包括所述第一漏洞的风险;
所述管理设备根据所述应答报文从第二漏洞库中获取所述应答报文对应的漏洞信息,从而确定所述第一设备的漏洞信息,所述第二漏洞库中包括所述应答报文与漏洞信息的对应关系。
9.根据权利要求1至5中任意一项所述的漏洞的处理方法,其特征在于,管理设备获取第一设备的漏洞信息包括:
所述管理设备向网络管理系统发送第一软件信息获取指令,所述第一软件信息获取指令用于指示所述网络管理系统获取所述第一设备上已安装软件的软件信息;
所述管理设备接收所述网络管理系统根据所述第一软件信息获取指令返回的所述软件信息;
所述管理设备向第二云设备发送所述软件信息,使得所述第二云设备根据所述软件信息以及第三漏洞库获取关联的漏洞信息,所述第三漏洞库中包括所述软件信息与漏洞信息的关联关系;
所述管理设备接收所述第二云设备发送的关联的漏洞信息,从而确定所述第一设备的漏洞信息。
10.根据权利要求1至5中任意一项所述的漏洞的处理方法,其特征在于,所述管理设备获取第一设备的漏洞信息包括:
所述管理设备向所述第一设备发送第二软件信息获取指令,所述第二软件信息获取指令用于指示所述第一设备获取所述第一设备上已安装软件的软件信息;
所述管理设备接收所述第一设备根据所述第二软件信息获取指令返回的所述软件信息;
所述管理设备向第二云设备发送所述软件信息,使得所述第二云设备根据所述软件信息以及第三漏洞库获取关联的漏洞信息,所述第三漏洞库中包括所述第一软件信息与漏洞信息的关联关系;
所述管理设备接收所述第二云设备发送的关联的漏洞信息,从而确定所述第一设备的漏洞信息。
11.根据权利要求1至5中任一项所述的漏洞的处理方法,其特征在于,所述阻断策略为访问控制列表,则所述管理设备向所述网关设备下发阻断策略前还包括:
所述管理设备根据所述第一设备传输的目标会话的报文获取所述目标会话的五元组信息,所述五元组信息包括攻击设备的网络之间互连的协议IP地址、攻击设备的端口号、攻击设备与第一设备间的传输协议类型、所述第一设备的IP地址以及所述第一设备的端口号;
所述管理设备生成包含所述五元组信息的表项,并将生成的表项加入访问控制列表,所述访问控制列表用于阻断所述访问控制列表中包含的表项所指示的流量。
12.一种漏洞的处理方法,其特征在于,包括:
网关设备接收管理设备发送的抓包规则和所述抓包规则的实施对象为第一设备的指示,所述第一设备为内网设备,所述网关设备用于转发所述第一设备与外网设备之间传输的报文,所述抓包规则用于所述网关设备从所述第一设备与外网设备之间传输的报文中截取目标会话的报文,所述目标会话中包含具有第一漏洞的风险的报文,所述第一漏洞存在于所述第一设备上的第一软件中,所述第一软件使用第一协议进行网络通信;
所述网关设备根据所述抓包规则和指示,从所述第一设备与外网设备之间传输的报文中截取第一设备传输的所述目标会话的报文,所述目标会话中包含所述第一漏洞的风险的报文;
所述网关设备向所述管理设备发送所述第一设备传输的目标会话的报文,所述第一设备传输的目标会话的报文用于所述管理设备确定是否发送阻断策略。
13.根据权利要求12所述的漏洞的处理方法,其特征在于,所述具有所述第一漏洞的风险的报文包括具有指定端口号和协议类型的报文,或者包括所述第一漏洞对应的漏洞利用请求报文,所述第一漏洞对应的漏洞利用请求报文通过指定字符串来识别。
14.根据权利要求12至13中的任意一项所述的漏洞的处理方法,其特征在于,所述网关设备向所述管理设备发送所述第一设备传输的目标会话的报文之后,还包括:
所述网关设备接收所述管理设备发送的阻断策略;
所述网关设备根据所述阻断策略阻断所述第一设备的目标会话。
15.根据权利要求14所述的漏洞的处理方法,其特征在于,所述阻断策略为访问控制列表,所述网关设备根据所述阻断策略阻断所述第一设备的目标会话包括:
所述网关设备根据所述访问控制列表获取包括五元组信息的表项,所述五元组信息包括攻击设备的IP地址、攻击设备的端口号、攻击设备与第一设备间的传输协议类型、所述第一设备的IP地址以及所述第一设备的端口号;
所述网关设备阻断所述表项所指示的流量。
16.一种管理设备,其特征在于,包括:
处理单元,用于获取第一设备的漏洞信息,所述漏洞信息用于指示第一软件中存在第一漏洞,所述第一软件使用网络协议与其他设备进行通信,所述第一设备为所述管理设备所管理的网络设备;根据所述第一设备的漏洞信息获取抓包规则,所述抓包规则用于识别具有所述第一漏洞的风险的报文;
发送单元,用于向所述第一设备相关的网关设备发送所述抓包规则,并指示所述抓包规则的实施对象为第一设备,所述第一设备为内网设备,所述网关设备用于转发所述第一设备与外网设备之间传输的报文,所述抓包规则用于所述网关设备从所述第一设备与外网设备之间传输的报文中截取目标会话的报文,所述目标会话中包含具有所述第一漏洞的风险的报文;
接收单元,用于接收所述网关设备发送的所述第一设备传输的目标会话的报文;
所述处理单元,还用于根据所述第一设备传输的目标会话的报文,确定所述第一漏洞的威胁性,根据所述威胁性,确定是否向所述网关设备发送阻断策略。
17.根据权利要求16所述的管理设备,其特征在于,所述具有所述第一漏洞的风险的报文包括指定端口号和协议类型,
所述处理单元用于,根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文;如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则指示所述发送单元不向所述网关设备发送所述阻断策略;
如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则指示所述发送单元向所述网关设备发送所述阻断策略。
18.根据权利要求16所述的管理设备,其特征在于,所述具有所述第一漏洞的风险的报文包括指定端口号和协议类型,
所述处理单元用于,根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则指示所述发送单元不向所述网关设备发送阻断策略;
如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文,则所述处理单元确定所述第一设备传输的目标会话的报文中是否包括异常数据;如果所述第一设备传输的目标会话的报文中还包括所述异常数据,则指示所述发送单元向所述网关设备发送阻断策略。
19.根据权利要求16所述的管理设备,其特征在于,所述具有第一漏洞的风险的报文包括第一漏洞对应的漏洞利用请求报文,
所述处理单元用于,根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否还包含所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在所述第一漏洞对应的漏洞利用应答报文,则指示所述发送单元不向所述网关设备发送阻断策略;
如果所述第一设备传输的目标会话的报文中存在所述第一漏洞对应的漏洞利用应答报文,则指示所述发送单元向所述网关设备发送阻断策略。
20.根据权利要求16所述的管理设备,其特征在于,所述具有第一漏洞的风险的报文包括第一漏洞对应的漏洞利用请求报文,
所述处理单元用于,根所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系,确定所述第一设备传输的目标会话的报文中是否还包含所述第一漏洞对应的漏洞利用应答报文;
如果所述第一设备传输的目标会话的报文中不存在所述第一漏洞对应的漏洞利用应答报文,则指示所述发送单元不向所述网关设备发送阻断策略;
如果所述第一设备传输的目标会话的报文中存在所述第一漏洞对应的漏洞利用应答报文,则指示所述处理单元确定所述第一设备传输的目标会话的报文中是否包括异常数据;
如果所述第一设备传输的目标会话的报文中还包括所述异常数据,则指示所述发送单元向所述网关设备发送阻断策略。
21.根据权利要求16至20中任一项所述的管理设备,其特征在于,所述第一设备的漏洞信息包括所述第一漏洞的标识信息,所述处理单元用于根据所述第一漏洞的标识信息从本地规则库获取所述第一漏洞对应的抓包规则,所述本地规则库包括所述第一漏洞的标识信息与对应的所述抓包规则。
22.根据权利要求16至20中任一项所述的管理设备,其特征在于,所述第一设备的漏洞信息包括所述第一漏洞的标识信息,所述发送单元用于向第一云设备发送所述第一漏洞的标识信息,所述第一漏洞的标识信息用于所述第一云设备从云端规则库中获取所述第一漏洞对应的抓包规则,所述云端规则库包括所述第一漏洞的标识信息与对应的所述抓包规则;
所述接收单元用于接收所述第一云设备发送的所述第一漏洞对应的抓包规则。
23.根据权利要求16至20中任一项所述的管理设备,其特征在于,所述处理单元还用于,
根据所述第一设备传输的目标会话的报文获取所述目标会话的五元组信息,所述五元组信息包括攻击设备的IP地址、攻击设备的端口号、攻击设备与第一设备间的传输协议类型、所述第一设备的IP地址以及所述第一设备的端口号;
生成包含所述五元组信息的表项,并将生成的表项加入访问控制列表,所述访问控制列表用于阻断所述访问控制列表中包含的表项所指示的流量。
24.一种网关设备,其特征在于,包括:
接收单元,用于接收管理设备发送的抓包规则和所述抓包规则的实施对象为第一设备的指示,所述第一设备为内网设备,所述网关设备用于转发所述第一设备与外网设备之间传输的报文,所述抓包规则用于所述网关设备从所述第一设备与外网设备之间传输的报文中截取目标会话的报文,所述目标会话中包含具有第一漏洞的风险的报文,所述第一漏洞存在于所述第一设备上的第一软件中,所述第一软件使用第一协议进行网络通信;
处理单元,用于根据所述抓包规则和指示,从所述第一设备与外网设备之间传输的报文中截取第一设备传输的所述目标会话的报文,所述目标会话中包含所述第一漏洞的风险的报文;
发送单元,用于向所述管理设备发送所述第一设备传输的目标会话的报文,所述第一设备传输的目标会话的报文用于所述管理设备确定是否发送阻断策略。
25.根据权利要求24所述的网关设备,其特征在于,所述具有所述第一漏洞的风险的报文包括具有指定端口号和协议类型的报文,或者包括所述第一漏洞对应的漏洞利用请求报文,所述第一漏洞对应的漏洞利用请求报文通过指定字符串来识别。
26.根据权利要求24至25中的任意一项所述的网关设备,其特征在于,所述接收单元还用于接收所述管理设备发送的阻断策略;
处理单元,还用于根据所述阻断策略阻断所述第一设备的目标会话。
27.根据权利要求26所述的网关设备,其特征在于,所述阻断策略为访问控制列表,所述处理单元用于,
根据所述访问控制列表获取包括五元组信息的表项,所述五元组信息包括攻击设备的IP地址、攻击设备的端口号、攻击设备与第一设备间的传输协议类型、所述第一设备的IP地址以及所述第一设备的端口号;
阻断所述表项所指示的流量。
28.一种管理设备,其特征在于,包括:
处理器、存储器、总线、输入输出接口;
所述处理器与所述存储器、输入输出接口相连;
所述总线分别连接所述处理器、存储器以及输入输出接口相连;
所述处理器执行如权利要求1至11中任一项所述的方法。
29.一种网关设备,其特征在于,包括:
处理器、存储器、总线、输入输出接口;
所述处理器与所述存储器、输入输出接口相连;
所述总线分别连接所述处理器、存储器以及输入输出接口相连;
所述处理器执行如权利要求12至15中任一项所述的方法。
30.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有指令,所述指令在计算机上执行时,使得所述计算机执行如权利要求1至11中任一项所述的方法。
31.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有指令,所述指令在计算机上执行时,使得所述计算机执行如权利要求12至15中任一项所述的方法。
32.一种漏洞的处理系统,其特征在于,包括:管理设备、网关设备和至少一个内网设备以及至少一个外网设备,所述管理设备为上述权利要求16至23中任一项所述的管理设备,所述网关设备为上述权利要求24至27中任一项所述的网关设备。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211072505.XA CN115643041A (zh) | 2019-11-11 | 2019-11-11 | 一种漏洞的处理方法、管理设备以及网关设备 |
| CN201911095412.7A CN112787985B (zh) | 2019-11-11 | 2019-11-11 | 一种漏洞的处理方法、管理设备以及网关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911095412.7A CN112787985B (zh) | 2019-11-11 | 2019-11-11 | 一种漏洞的处理方法、管理设备以及网关设备 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211072505.XA Division CN115643041A (zh) | 2019-11-11 | 2019-11-11 | 一种漏洞的处理方法、管理设备以及网关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112787985A CN112787985A (zh) | 2021-05-11 |
| CN112787985B true CN112787985B (zh) | 2022-09-16 |
Family
ID=75749053
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211072505.XA Pending CN115643041A (zh) | 2019-11-11 | 2019-11-11 | 一种漏洞的处理方法、管理设备以及网关设备 |
| CN201911095412.7A Active CN112787985B (zh) | 2019-11-11 | 2019-11-11 | 一种漏洞的处理方法、管理设备以及网关设备 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211072505.XA Pending CN115643041A (zh) | 2019-11-11 | 2019-11-11 | 一种漏洞的处理方法、管理设备以及网关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN115643041A (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113709132A (zh) * | 2021-08-23 | 2021-11-26 | 深圳市托奇科技有限公司 | 一种降低云端计算要求的安全检测方法及系统 |
| CN114124568A (zh) * | 2021-12-07 | 2022-03-01 | 中国建设银行股份有限公司 | 一种连接控制方法及系统 |
| CN114866355B (zh) * | 2022-07-06 | 2023-04-28 | 浙江国利网安科技有限公司 | 一种报文流转发方法、装置、计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104376264A (zh) * | 2014-07-11 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 一种软件漏洞处理方法、装置和系统 |
| CN104618177A (zh) * | 2014-12-29 | 2015-05-13 | 北京奇虎科技有限公司 | 网站漏洞审核方法及装置 |
| CN107395593A (zh) * | 2017-07-19 | 2017-11-24 | 深信服科技股份有限公司 | 一种漏洞自动化防护方法、防火墙及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8726376B2 (en) * | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
| GB201602412D0 (en) * | 2016-02-10 | 2016-03-23 | Cortex Insight Ltd | Security system |
-
2019
- 2019-11-11 CN CN202211072505.XA patent/CN115643041A/zh active Pending
- 2019-11-11 CN CN201911095412.7A patent/CN112787985B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104376264A (zh) * | 2014-07-11 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 一种软件漏洞处理方法、装置和系统 |
| CN104618177A (zh) * | 2014-12-29 | 2015-05-13 | 北京奇虎科技有限公司 | 网站漏洞审核方法及装置 |
| CN107395593A (zh) * | 2017-07-19 | 2017-11-24 | 深信服科技股份有限公司 | 一种漏洞自动化防护方法、防火墙及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112787985A (zh) | 2021-05-11 |
| CN115643041A (zh) | 2023-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109711171B (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
| US10601844B2 (en) | Non-rule based security risk detection | |
| US8997231B2 (en) | Preventive intrusion device and method for mobile devices | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| US9594912B1 (en) | Return-oriented programming detection | |
| WO2021077987A1 (zh) | 一种安全漏洞的防御方法和设备 | |
| CN112787985B (zh) | 一种漏洞的处理方法、管理设备以及网关设备 | |
| CA2899909A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
| CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
| EP3374870B1 (en) | Threat risk scoring of security threats | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN116827675A (zh) | 一种网络信息安全分析系统 | |
| CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
| RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
| Zeinali | Analysis of security information and event management (SIEM) evasion and detection methods | |
| CN116319028A (zh) | 一种反弹shell攻击拦截方法和装置 | |
| KR20200011702A (ko) | 보안관제체계 진단장치 및 보안관제체계 진단방법 | |
| CN109218315B (zh) | 一种安全管理方法和安全管理装置 | |
| Sourour et al. | Ensuring security in depth based on heterogeneous network security technologies | |
| CN113986843A (zh) | 数据风险预警处理方法、装置及电子设备 | |
| CN112329021A (zh) | 一种排查应用漏洞的方法、装置、电子装置和存储介质 | |
| Fanfara et al. | Autonomous hybrid honeypot as the future of distributed computer systems security | |
| Singh et al. | Intrusion detection using network monitoring tools | |
| KR102616603B1 (ko) | 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치 | |
| Pell et al. | Multi-Stage Threat Modeling and Security Monitoring in 5GCN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |