CN113127885A - 权限漏洞检测方法及装置 - Google Patents
权限漏洞检测方法及装置 Download PDFInfo
- Publication number
- CN113127885A CN113127885A CN202110538316.6A CN202110538316A CN113127885A CN 113127885 A CN113127885 A CN 113127885A CN 202110538316 A CN202110538316 A CN 202110538316A CN 113127885 A CN113127885 A CN 113127885A
- Authority
- CN
- China
- Prior art keywords
- flow data
- vulnerability
- permission
- uniform resource
- functional module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 83
- 238000000034 method Methods 0.000 claims abstract description 46
- 238000012937 correction Methods 0.000 claims abstract description 40
- 238000012545 processing Methods 0.000 claims abstract description 31
- 238000010606 normalization Methods 0.000 claims abstract description 26
- 238000005070 sampling Methods 0.000 claims abstract description 23
- 230000006870 function Effects 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 14
- 238000001914 filtration Methods 0.000 claims description 12
- 238000004140 cleaning Methods 0.000 claims description 11
- 238000012546 transfer Methods 0.000 claims description 11
- 230000008030 elimination Effects 0.000 claims description 10
- 238000003379 elimination reaction Methods 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 9
- 238000012216 screening Methods 0.000 claims description 6
- 238000012360 testing method Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 16
- 230000009471 action Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003252 repetitive effect Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011076 safety test Methods 0.000 description 1
- 238000009781 safety test method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9027—Trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/9035—Filtering based on additional data, e.g. user or group profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种权限漏洞检测方法及装置,该方法包括:根据预先配置的权限参数,对全部流量数据进行同类统一资源定位符合并的归一化处理,采样得到去重后的流量数据;利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据;根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果;接收漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果。通过将重复的流量数据去除,提高检测效率;利用漏洞校正指令进一步校正,无需开发人员与安全测试团队长时间的沟通,提高了检测效率,且提高了检测的准确性。本发明用于网络安全领域。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种权限漏洞检测方法及装置。
背景技术
目前,在安全漏洞检测中,权限问题是检测的重中之重,因为权限一旦出现问题,很可能导致大规模的敏感信息泄漏,后果要比一两个跨站脚本攻击(XSS,Cross SiteScript)要严重的多。由于权限漏洞是和业务相关性很强的一种漏洞,而安全测试人员不参与生产任务开发,业务理解上主要依赖开发人员与安全测试团队人工沟通进行,导致开发人员与安全测试人员之间需要进行多轮次沟通,投入的时间成本高但检测效率低;且各个系统权限关联性强,安全测试人员对业务不熟悉,导致检测过程中出现场景遗漏或者误报,导致检测准确性不高。
发明内容
本发明实施例提供一种权限漏洞检测方法,用以提高检测效率和检测准确性,该方法包括:
获取待检测系统的全部流量数据;
根据预先配置的权限参数,对所述全部流量数据进行同类统一资源定位符合并的归一化处理,对归一化后的流量数据进行采样得到去重后的流量数据;
利用提升树模型按照功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据;
根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果;
接收漏洞校正指令,根据漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果;所述漏洞校正指令是根据权限漏洞的扫描结果进行分析得到的,用于对权限漏洞的扫描结果进行误报剔除或遗漏场景增加。
具体实施例中,根据预先配置的权限参数,对所述全部流量数据进行同类统一资源定位符合并的归一化处理,包括:
根据预先配置的权限参数,确定无需权限的统一资源定位符,根据无需权限的统一资源定位符,对所述全部流量数据进行流量清洗,得到清洗后的流量数据;
根据清洗后的流量数据,将对应的统一资源定位符进行分类,将统一资源定位符属于同一分类的流量数据进行合并,得到归一化后的流量数据。
进一步地,对归一化后的流量数据进行采样得到去重后的流量数据,包括:
在每个统一资源定位符分类对应的流量数据中,进行采样,得到每个统一资源定位符分类对应的采样后的流量数据;
整理每个统一资源定位符分类对应的采样后的流量数据,得到去重后的流量数据。
具体实施例中的权限漏洞检测方法,利用提升树模型按照归属的功能模块对去重后的流量数据进行分类前,还包括:
对去重后的流量数据进行敏感信息筛查,将不包含敏感信息的流量数据从去重后的流量数据中过滤,得到过滤后的流量数据;
相应地,利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,包括:
利用提升树模型按照归属的功能模块对过滤后的流量数据进行分类。
具体实施时,根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果,包括:
根据不同功能模块类型下的接口数据,确定每一功能模块类型下的每个接口的统一资源标识符;
利用Java的超文件传输协定接口,重新逐一访问每一功能模块类型下的每个接口的统一资源标识符,接收超文件传输协定接口的响应;
根据所述响应是否获取到敏感信息,确定每一功能模块类型下的每个接口是否存在权限漏洞,确定权限漏洞的扫描结果。
本发明实施例还提供一种权限漏洞检测装置,用以提高检测效率和检测准确性,该装置包括:
全流量数据获取模块,用于获取待检测系统的全部流量数据;
归一化处理模块,用于根据预先配置的权限参数,对所述全部流量数据进行同类统一资源定位符合并的归一化处理,对归一化后的流量数据进行采样得到去重后的流量数据;
分类模块,用于利用提升树模型按照功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据;
漏洞扫描模块,用于根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果;
扫描结果校正模块,用于接收漏洞校正指令,根据漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果;所述漏洞校正指令是根据权限漏洞的扫描结果进行分析得到的,用于对权限漏洞的扫描结果进行误报剔除或遗漏场景增加。
具体实施例中,所述归一化处理模块,具体用于:
根据预先配置的权限参数,确定无需权限的统一资源定位符,根据无需权限的统一资源定位符,对所述全部流量数据进行流量清洗,得到清洗后的流量数据;
根据清洗后的流量数据,将对应的统一资源定位符进行分类,将统一资源定位符属于同一分类的流量数据进行合并,得到归一化后的流量数据。
进一步地,所述归一化处理模块,具体用于:
在每个统一资源定位符分类对应的流量数据中,进行采样,得到每个统一资源定位符分类对应的采样后的流量数据;
整理每个统一资源定位符分类对应的采样后的流量数据,得到去重后的流量数据。
本发明具体实施例中的权限漏洞检测装置,还包括:过滤模块,用于:
利用提升树模型按照归属的功能模块对去重后的流量数据进行分类前,对去重后的流量数据进行敏感信息筛查,将不包含敏感信息的流量数据从去重后的流量数据中过滤,得到过滤后的流量数据;
相应地,所述分类模块,具体用于:
利用提升树模型按照归属的功能模块对过滤后的流量数据进行分类。
具体实施时,所述漏洞扫描模块,具体用于:
根据不同功能模块类型下的接口数据,确定每一功能模块类型下的每个接口的统一资源标识符;
利用Java的超文件传输协定接口,重新逐一访问每一功能模块类型下的每个接口的统一资源标识符,接收超文件传输协定接口的响应;
根据所述响应是否获取到敏感信息,确定每一功能模块类型下的每个接口是否存在权限漏洞,确定权限漏洞的扫描结果。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述权限漏洞检测方法。
本发明实施例也提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述权限漏洞检测方法的计算机程序。
本发明实施例中,通过获取待检测系统的全部流量数据;根据预先配置的权限参数,对全部流量数据进行同类统一资源定位符合并的归一化处理,对归一化后的流量数据进行采样得到去重后的流量数据;利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据;根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果;接收漏洞校正指令,根据漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果;其中,漏洞校正指令是根据权限漏洞的扫描结果进行分析得到的,用于对权限漏洞的扫描结果进行误报剔除或遗漏场景增加。通过对全部流量数据进行归一化处理和采样,将重复的流量数据去除,从而减少重复的检测工作,提高检测效率;利用漏洞校正指令对权限漏洞的扫描结果进一步校正,相较于现有技术,无需开发人员与安全测试团队长时间的沟通,提高了检测效率,且能够对权限漏洞的扫描结果进行误报剔除或遗漏场景增加,进而提高了检测的准确性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中权限漏洞检测方法的示意图。
图2为本发明具体实施例中步骤102的一具体实现方法示意图。
图3为本发明实施例中具体实施例中步骤102的另一具体实现方法示意图。
图4为本发明具体实施例中权限漏洞检测方法的示意图。
图5为本发明具体实施例中步骤104的实现方法示意图。
图6为本发明应用实施权限漏洞检测系统的工作逻辑示意图。
图7为本发明实施例中权限漏洞检测装置的示意图。
图8为本发明具体实施例中权限漏洞检测装置的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种权限漏洞检测方法,用以提高检测效率和检测准确性,如图1所示,该方法包括:
步骤101:获取待检测系统的全部流量数据;
步骤102:根据预先配置的权限参数,对全部流量数据进行同类统一资源定位符URL合并的归一化处理,对归一化后的流量数据进行采样得到去重后的流量数据;
步骤103:利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据;
步骤104:根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果;
步骤105:接收漏洞校正指令,根据漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果。
其中,漏洞校正指令是根据权限漏洞的扫描结果进行分析得到的,用于对权限漏洞的扫描结果进行误报剔除或遗漏场景增加。
由图1所示流程可以得知,本发明实施例中,通过获取待检测系统的全部流量数据;根据预先配置的权限参数,对全部流量数据进行同类统一资源定位符合并的归一化处理,对归一化后的流量数据进行采样得到去重后的流量数据;利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据;根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果;接收漏洞校正指令,根据漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果;其中,漏洞校正指令是根据权限漏洞的扫描结果进行分析得到的,用于对权限漏洞的扫描结果进行误报剔除或遗漏场景增加。通过对全部流量数据进行归一化处理和采样,将重复的流量数据去除,从而减少重复的检测工作,提高检测效率;利用漏洞校正指令对权限漏洞的扫描结果进一步校正,相较于现有技术,无需开发人员与安全测试团队长时间的沟通,提高了检测效率,且能够对权限漏洞的扫描结果进行误报剔除或遗漏场景增加,进而提高了检测的准确性。
具体实施时,首先获取待检测系统的全部流量数据,其中,全部流量数据是指待检测系统在使用过程中的全部访问数据,例如访问时的接口调用,或者网页访问数据等。
获取待检测系统的全部流量数据后,根据预先配置的权限参数,对全部流量数据进行同类统一资源定位符URL合并的归一化处理,具体过程,如图2所示,包括:
步骤201:根据预先配置的权限参数,确定无需权限的URL,根据无需权限的URL,对全部流量数据进行流量清洗,得到清洗后的流量数据;
步骤202:根据清洗后的流量数据,将对应的URL进行分类,将URL属于同一分类的流量数据进行合并,得到归一化后的流量数据。
由于在进行安全漏洞检测时,检测人员对业务处理过程不熟悉,因而,提前配置权限参数对URL的权限进行标记,以供检测人员在检测过程中使用,由于一部分的URL无需登录,即没有任何权限要求即可调用,因此,这部分的URL可以无需进行权限漏洞检测,利用流量清洗的方式从待检测的流量数据中去除即可。
清洗接收后的流量数据中仍然存在大量的同类别的URL对应的流量数据,为了避免重复检测工作,将URL属于同一分类的流量数据进行合并,得到归一化后的流量数据后,对归一化后的流量数据进行采样得到去重后的流量数据。具体实现过程,如图3所示,包括:
步骤301:在每个URL分类对应的流量数据中,进行采样,得到每个URL分类对应的采样后的流量数据;
步骤302:整理每个URL分类对应的采样后的流量数据,得到去重后的流量数据。
通过在每个URL分类对应的流量数据中进行采样,将其余重复的流量数据去除,从而减少重复的检测工作,提高检测效率。
得到去重后的流量数据,利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据。其中,归属的功能模块一般是指URL属于哪种功能模块,例如聊天模块、交互模块或者后台业务处理模块等。
具体实施例中,如图4所示的权限漏洞检测方法,利用提升树模型按照归属的功能模块对去重后的流量数据进行分类前,还包括:
步骤401:对去重后的流量数据进行敏感信息筛查,将不包含敏感信息的流量数据从去重后的流量数据中过滤,得到过滤后的流量数据。
相应地,步骤103变成步骤402:利用提升树模型按照归属的功能模块对过滤后的流量数据进行分类,得到不同功能模块类型下的接口数据。
如果流量数据中不包含敏感信息,则无需进行权限漏洞检测,因此,可进一步将需要检测的流量数据缩小范围,从而进一步减少检测工作量。
得到不同功能模块类型下的接口数据后,根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果。具体实施时,如图5所示,包括:
步骤501:根据不同功能模块类型下的接口数据,确定每一功能模块类型下的每个接口的统一资源标识符URI;
步骤502:利用Java的超文件传输协定http接口,重新逐一访问每一功能模块类型下的每个接口的URI,接收http接口的响应response;
步骤503:根据上述response是否获取到敏感信息,确定每一功能模块类型下的每个接口是否存在权限漏洞,确定权限漏洞的扫描结果。
步骤503具体实施时,若上述response获取到敏感信息,则认为对应的接口存在权限漏洞。
由于利用上述步骤501-步骤503进行扫描时,可能存在漏报或者误报,具体实施例中,确定权限漏洞的扫描结果后,将权限漏洞的扫描结果发送给安全运营人员,即对业务比较熟悉的开发人员,安全运营人员逐个查看权限漏洞的扫描结果中的URI,确定是否有误报,剔除误报后,根据正确的权限漏洞,反推整个系统是否还有其他接口存在此类漏洞,得到漏报的权限漏洞,将整个分析结果生成漏洞校正指令,发送给安全检测。
接收上述漏洞校正指令,根据漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果。其中,漏洞校正指令是根据权限漏洞的扫描结果进行分析得到的,用于对权限漏洞的扫描结果进行误报剔除或遗漏场景增加。
下面给出一具体实例说明本发明实施例如何进行权限漏洞检测。本例为应用上述权限漏洞检测方法所建立的权限漏洞检测系统,具体工作逻辑如图6所示,该权限漏洞检测系统,包括:
收集流量模块,用于获取待检测的业务系统的全部流量数据。
权限动态配置模块,用于预先配置业务系统中各个接口处的权限参数。维护系统的权限与URL的关系,为安全扫描提供权限配置依据。
归一化并采样模块:由于全部流量数据非常大,每日几百亿的URL并且绝大部分都是重复的,没必要做重复的扫描和检测。归一化的目的是为了合并同类URL做更好的采样收录,进行采样去重等处理,减少了重复工作,做到精准定位,缩小检测范围。
基于提升树的分类模型模块:对应图6中的模型层,用于过滤归一化并采样模块无法通过规则简单过滤的干扰流量,即进行敏感数据的检查,得到过滤后的流量数据。利用提升树模型按照归属的功能模块对去重后的流量数据进行分类时,采用加法模型的方式,不断减小训练过程产生的残差来达到将数据分类或者回归的算法,通过模型评估对流量数据进行过滤,尽量控制误报同时降低漏报。
漏洞扫描模块:对应图6中的扫描层,用于对模型层输出的流量数据对应的URI逐个进行扫描,并且检测是否存在漏洞。
基于模型输出的API去主动扫描和发现该API是否存在漏洞的情况,这是一个主动发现的过程,和传统的漏洞感知的差别在于,这种扫描方法在不被攻击的情况下,也能发现基础漏洞的存在。对于权限的扫描主要是通过Java的http接口重新访问该URL,类似某些公司的回音墙,然后根据response来校验是否获取到了敏感信息,来确定是否有漏洞存在。
安全运营模块,用于对扫描结果进行复核,逐个查看扫描器输出的有可能存在的漏洞URI,并且根据上述有可能存在的漏洞URI,可以去反推整个业务系统中是否还有其他接口存在此类漏洞,用于反哺扫描器,即扩充扫描器对于漏洞扫描的判定规则。还可以通过安全运营去除一些扫描器的误报,并且通过分析进一步发现该接口的一些其他问题,或者进一步被利用的可能。
具体实施时,权限漏洞检测系统的工作过程,包括:
开发人员需要统一开发框架,统一编码规范,并开发环境准备与启动应用程序;
利用系统动态权限配置模块,预先配置业务系统中各个接口处的权限参数;
流量收集与清洗:收集数据流量,对数据流量进行清洗和归一化处理;
流量过滤与评估:过滤开放的数据,对敏感数据进行检测,尽量控制误报同时降低漏报;具体地,评估接口调用的频次,对于调用高频的接口,列为重点扫描对象。
流量的权限扫描:扫描是否每个接口存在越权,主要包括:扫描查询类和修改接口是否越权;
安全运营与分析:安全运营去除一些扫描器的误报,对存在的漏洞进行关联性横向分析,得到扫描器遗漏场景。
结果展示:最后将漏洞测试结果展示给用户。
该系统通过流量采集与清洗,缩小测试范围,再根据模型层进一步的过滤,最后形成精准的测试范围,最后进行安全扫描与分析以校正测试结果。该系统不仅自动、高效完成权限漏洞检测,还能够降低检测成本,提升安全测试覆盖率。
上述具体应用的实施仅为举例,其余实施方式不再一一赘述。
基于同一发明构思,本发明实施例还提供一种权限漏洞检测装置,由于权限漏洞检测装置所解决问题的原理与权限漏洞检测方法相似,因此权限漏洞检测装置的实施可以参见权限漏洞检测方法的实施,重复之处不再赘述,具体结构如图7所示:
全流量数据获取模块701,用于获取待检测系统的全部流量数据;
归一化处理模块702,用于根据预先配置的权限参数,对全部流量数据进行同类统一资源定位符合并的归一化处理,对归一化后的流量数据进行采样得到去重后的流量数据;
分类模块703,用于利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据;
漏洞扫描模块704,用于根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果;
扫描结果校正模块705,用于接收漏洞校正指令,根据漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果;其中,漏洞校正指令是根据权限漏洞的扫描结果进行分析得到的,用于对权限漏洞的扫描结果进行误报剔除或遗漏场景增加。
具体实施例中,归一化处理模块702,具体用于:
根据预先配置的权限参数,确定无需权限的统一资源定位符,根据无需权限的统一资源定位符,对全部流量数据进行流量清洗,得到清洗后的流量数据;
根据清洗后的流量数据,将对应的统一资源定位符进行分类,将统一资源定位符属于同一分类的流量数据进行合并,得到归一化后的流量数据。
具体实施时,归一化处理模块702,具体用于:
在每个统一资源定位符分类对应的流量数据中,进行采样,得到每个统一资源定位符分类对应的采样后的流量数据;
整理每个统一资源定位符分类对应的采样后的流量数据,得到去重后的流量数据。
具体实施例中还提供一种权限漏洞检测装置,如图8所示,在图7的基础上,还包括:过滤模块801,用于:
利用提升树模型按照归属的功能模块对去重后的流量数据进行分类前,对去重后的流量数据进行敏感信息筛查,将不包含敏感信息的流量数据从去重后的流量数据中过滤,得到过滤后的流量数据;
相应地,分类模块703,具体用于:
利用提升树模型按照归属的功能模块对过滤后的流量数据进行分类。
具体实施例中,漏洞扫描模块704,具体用于:
根据不同功能模块类型下的接口数据,确定每一功能模块类型下的每个接口的统一资源标识符;
利用Java的超文件传输协定接口,重新逐一访问每一功能模块类型下的每个接口的统一资源标识符,接收超文件传输协定接口的响应;
根据上述响应是否获取到敏感信息,确定每一功能模块类型下的每个接口是否存在权限漏洞,确定权限漏洞的扫描结果。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述权限漏洞检测方法。
本发明实施例也提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述权限漏洞检测方法的计算机程序。
综上所述,本发明实施例提供的权限漏洞检测方法及装置具有如下优点:
通过获取待检测系统的全部流量数据;根据预先配置的权限参数,对全部流量数据进行同类统一资源定位符合并的归一化处理,对归一化后的流量数据进行采样得到去重后的流量数据;利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据;根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果;接收漏洞校正指令,根据漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果;其中,漏洞校正指令是根据权限漏洞的扫描结果进行分析得到的,用于对权限漏洞的扫描结果进行误报剔除或遗漏场景增加。通过对全部流量数据进行归一化处理和采样,将重复的流量数据去除,从而减少重复的检测工作,提高检测效率;利用漏洞校正指令对权限漏洞的扫描结果进一步校正,相较于现有技术,无需开发人员与安全测试团队长时间的沟通,提高了检测效率,且能够对权限漏洞的扫描结果进行误报剔除或遗漏场景增加,进而提高了检测的准确性。
虽然本发明提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
本领域技术人员应明白,本说明书的实施例可提供为方法、装置(系统)或计算机程序产品。因此,本说明书实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (12)
1.一种权限漏洞检测方法,其特征在于,包括:
获取待检测系统的全部流量数据;
根据预先配置的权限参数,对所述全部流量数据进行同类统一资源定位符合并的归一化处理,对归一化后的流量数据进行采样得到去重后的流量数据;
利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据;
根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果;
接收漏洞校正指令,根据漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果;所述漏洞校正指令是根据权限漏洞的扫描结果进行分析得到的,用于对权限漏洞的扫描结果进行误报剔除或遗漏场景增加。
2.如权利要求1所述的权限漏洞检测方法,其特征在于,根据预先配置的权限参数,对所述全部流量数据进行同类统一资源定位符合并的归一化处理,包括:
根据预先配置的权限参数,确定无需权限的统一资源定位符,根据无需权限的统一资源定位符,对所述全部流量数据进行流量清洗,得到清洗后的流量数据;
根据清洗后的流量数据,将对应的统一资源定位符进行分类,将统一资源定位符属于同一分类的流量数据进行合并,得到归一化后的流量数据。
3.如权利要求2所述的权限漏洞检测方法,其特征在于,对归一化后的流量数据进行采样得到去重后的流量数据,包括:
在每个统一资源定位符分类对应的流量数据中,进行采样,得到每个统一资源定位符分类对应的采样后的流量数据;
整理每个统一资源定位符分类对应的采样后的流量数据,得到去重后的流量数据。
4.如权利要求1所述的权限漏洞检测方法,其特征在于,利用提升树模型按照归属的功能模块对去重后的流量数据进行分类前,还包括:
对去重后的流量数据进行敏感信息筛查,将不包含敏感信息的流量数据从去重后的流量数据中过滤,得到过滤后的流量数据;
利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,包括:
利用提升树模型按照归属的功能模块对过滤后的流量数据进行分类。
5.如权利要求1所述的权限漏洞检测方法,其特征在于,根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果,包括:
根据不同功能模块类型下的接口数据,确定每一功能模块类型下的每个接口的统一资源标识符;
利用Java的超文件传输协定接口,重新逐一访问每一功能模块类型下的每个接口的统一资源标识符,接收超文件传输协定接口的响应;
根据所述响应是否获取到敏感信息,确定每一功能模块类型下的每个接口是否存在权限漏洞,确定权限漏洞的扫描结果。
6.一种权限漏洞检测装置,其特征在于,包括:
全流量数据获取模块,用于获取待检测系统的全部流量数据;
归一化处理模块,用于根据预先配置的权限参数,对所述全部流量数据进行同类统一资源定位符合并的归一化处理,对归一化后的流量数据进行采样得到去重后的流量数据;
分类模块,用于利用提升树模型按照归属的功能模块对去重后的流量数据进行分类,得到不同功能模块类型下的接口数据;
漏洞扫描模块,用于根据不同功能模块类型下的接口数据,对每一功能模块类型下的接口逐个进行扫描,确定权限漏洞的扫描结果;
扫描结果校正模块,用于接收漏洞校正指令,根据漏洞校正指令,对权限漏洞的扫描结果进行校正,得到权限漏洞检测结果;所述漏洞校正指令是根据权限漏洞的扫描结果进行分析得到的,用于对权限漏洞的扫描结果进行误报剔除或遗漏场景增加。
7.如权利要求6所述的权限漏洞检测装置,其特征在于,所述归一化处理模块,具体用于:
根据预先配置的权限参数,确定无需权限的统一资源定位符,根据无需权限的统一资源定位符,对所述全部流量数据进行流量清洗,得到清洗后的流量数据;
根据清洗后的流量数据,将对应的统一资源定位符进行分类,将统一资源定位符属于同一分类的流量数据进行合并,得到归一化后的流量数据。
8.如权利要求7所述的权限漏洞检测装置,其特征在于,所述归一化处理模块,具体用于:
在每个统一资源定位符分类对应的流量数据中,进行采样,得到每个统一资源定位符分类对应的采样后的流量数据;
整理每个统一资源定位符分类对应的采样后的流量数据,得到去重后的流量数据。
9.如权利要求6所述的权限漏洞检测装置,其特征在于,还包括:过滤模块,用于:
利用提升树模型按照归属的功能模块对去重后的流量数据进行分类前,对去重后的流量数据进行敏感信息筛查,将不包含敏感信息的流量数据从去重后的流量数据中过滤,得到过滤后的流量数据;
所述分类模块,具体用于:
利用提升树模型按照归属的功能模块对过滤后的流量数据进行分类。
10.如权利要求6所述的权限漏洞检测装置,其特征在于,所述漏洞扫描模块,具体用于:
根据不同功能模块类型下的接口数据,确定每一功能模块类型下的每个接口的统一资源标识符;
利用Java的超文件传输协定接口,重新逐一访问每一功能模块类型下的每个接口的统一资源标识符,接收超文件传输协定接口的响应;
根据所述响应是否获取到敏感信息,确定每一功能模块类型下的每个接口是否存在权限漏洞,确定权限漏洞的扫描结果。
11.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一所述方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至5任一所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110538316.6A CN113127885B (zh) | 2021-05-18 | 2021-05-18 | 权限漏洞检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110538316.6A CN113127885B (zh) | 2021-05-18 | 2021-05-18 | 权限漏洞检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113127885A true CN113127885A (zh) | 2021-07-16 |
| CN113127885B CN113127885B (zh) | 2024-02-23 |
Family
ID=76782136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110538316.6A Active CN113127885B (zh) | 2021-05-18 | 2021-05-18 | 权限漏洞检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113127885B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114138661A (zh) * | 2021-12-08 | 2022-03-04 | 国家工业信息安全发展研究中心 | 一种对测试目标的动态安全检测方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
| CN110324311A (zh) * | 2019-05-21 | 2019-10-11 | 平安科技(深圳)有限公司 | 漏洞检测的方法、装置、计算机设备和存储介质 |
| US20200120126A1 (en) * | 2018-10-15 | 2020-04-16 | International Business Machines Corporation | Prioritizing vulnerability scan results |
| CN112118259A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 一种基于提升树的分类模型的越权漏洞检测方法 |
| CN112311780A (zh) * | 2020-10-23 | 2021-02-02 | 国网吉林省电力有限公司电力科学研究院 | 一种基于多维度攻击路径与攻击图的生成方法 |
-
2021
- 2021-05-18 CN CN202110538316.6A patent/CN113127885B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
| US20200120126A1 (en) * | 2018-10-15 | 2020-04-16 | International Business Machines Corporation | Prioritizing vulnerability scan results |
| CN110324311A (zh) * | 2019-05-21 | 2019-10-11 | 平安科技(深圳)有限公司 | 漏洞检测的方法、装置、计算机设备和存储介质 |
| CN112118259A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 一种基于提升树的分类模型的越权漏洞检测方法 |
| CN112311780A (zh) * | 2020-10-23 | 2021-02-02 | 国网吉林省电力有限公司电力科学研究院 | 一种基于多维度攻击路径与攻击图的生成方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114138661A (zh) * | 2021-12-08 | 2022-03-04 | 国家工业信息安全发展研究中心 | 一种对测试目标的动态安全检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113127885B (zh) | 2024-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8707427B2 (en) | Automated malware detection and remediation | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN106572117B (zh) | 一种WebShell文件的检测方法和装置 | |
| US8028336B2 (en) | Intrusion detection using dynamic tracing | |
| CN110719300B (zh) | 一种自动化漏洞验证的方法和系统 | |
| CN108989296A (zh) | 一种物联网系统安全综合评估系统及方法 | |
| CN109063486B (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与系统 | |
| CN111478889B (zh) | 一种告警方法及装置 | |
| CN105825129A (zh) | 一种融合通信中恶意软件鉴别方法和系统 | |
| KR20110042485A (ko) | 원격 보안취약성 진단장치 및 그 방법 | |
| CN113127885B (zh) | 权限漏洞检测方法及装置 | |
| CN115618353A (zh) | 一种工业生产安全的识别系统及方法 | |
| CN111625837A (zh) | 识别系统漏洞的方法、装置和服务器 | |
| CN105429996A (zh) | 一种智能发现和定位地址转换设备的方法 | |
| CN103368970B (zh) | 一种针对网络目标的自动化安全检测方法 | |
| CN112615848B (zh) | 漏洞修复状态检测方法及系统 | |
| Herrerías et al. | Log analysis towards an automated forensic diagnosis system | |
| CN107463493A (zh) | 一种面向主机防病毒产品的测试系统和测试方法 | |
| Mustapha et al. | Limitation of honeypot/honeynet databases to enhance alert correlation | |
| CN113704763B (zh) | 流水线式设备扫描探测方法 | |
| CN114629711A (zh) | 一种针对Windows平台特种木马检测的方法及系统 | |
| CN113254334A (zh) | 一种基于工作流的信息侦查和渗透测试方法 | |
| CN112541183B (zh) | 数据处理方法及装置、边缘计算设备、存储介质 | |
| CN106790280B (zh) | 网络攻击的应急排查方法及装置 | |
| CN110955594A (zh) | 基于IAST检测Web应用请求覆盖度的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |