CN113849820A - 一种漏洞检测方法及装置 - Google Patents

一种漏洞检测方法及装置 Download PDF

Info

Publication number
CN113849820A
CN113849820A CN202111138055.5A CN202111138055A CN113849820A CN 113849820 A CN113849820 A CN 113849820A CN 202111138055 A CN202111138055 A CN 202111138055A CN 113849820 A CN113849820 A CN 113849820A
Authority
CN
China
Prior art keywords
vulnerability
information
target host
vulnerability detection
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111138055.5A
Other languages
English (en)
Inventor
余进奎
袁旭
王振洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd, Hubei Topsec Network Security Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111138055.5A priority Critical patent/CN113849820A/zh
Publication of CN113849820A publication Critical patent/CN113849820A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种漏洞检测方法及装置,涉及网络安全技术领域,包括:先抓取目标主机的流量信息;然后采用基于网络协议规范的分析算法对流量信息进行解析处理,得到解析数据;再根据解析数据获取目标主机的网络资产信息;最后根据预设的漏洞规则库对网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果,不需要发送特定报文就能够实现目标主机的漏洞检测,检测效率高,准确率高,且有效避免检测失败的情况,不占用网络带宽,不影响目标主机的运行效率。

Description

一种漏洞检测方法及装置
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种漏洞检测方法及装置。
背景技术
随着计算机网络和通讯技术的高速发展,利用开放的网络环境进行全球通信已成为时代发展的趋势,但同时便捷的网络资源也带来了网络安全风险,黑客与病毒通常利用安全漏洞渗入目标主机和系统,因此需要发现并修复所有的安全漏洞。现有的漏洞检测方法,通常通过主动发包探测的方式,发送特定报文并利用系统漏洞指纹对回复报文信息进行对比分析,完成漏洞识别。然而,在实际使用中,特定报文可能被网络拓扑中的防火墙设备拦截,无法到达目标主机,从而导致检测失败的情况,同时发送特定报文会占用网络带宽,影响目标主机的运行效率。可见,现有的漏洞检测方法,检测效率低,准确率低,存在检测失败的情况,同时也占用网络带宽,影响目标主机的运行效率。
发明内容
本申请实施例的目的在于提供一种漏洞检测方法及装置,不需要发送特定报文就能够实现目标主机的漏洞检测,检测效率高,准确率高,且有效避免检测失败的情况,不占用网络带宽,不影响目标主机的运行效率。
本申请实施例第一方面提供了一种漏洞检测方法,包括:
抓取目标主机的流量信息;
采用基于网络协议规范的分析算法对所述流量信息进行解析处理,得到解析数据;
根据所述解析数据获取所述目标主机的网络资产信息;
根据预设的漏洞规则库对所述网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果。
在上述实现过程中,先抓取目标主机的流量信息;然后采用基于网络协议规范的分析算法对流量信息进行解析处理,得到解析数据;再根据解析数据获取目标主机的网络资产信息;最后根据预设的漏洞规则库对网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果,不需要发送特定报文就能够实现目标主机的漏洞检测,检测效率高,准确率高,且有效避免检测失败的情况,不占用网络带宽,不影响目标主机的运行效率。
进一步地,所述抓取目标主机的流量信息,包括:
在所述目标主机与上层路由器、交换机之间,预先部署镜像端口;
将所述目标主机对应的一个或多个源端口上的数据流量转发到所述镜像端口;
通过所述镜像端口抓取所述目标主机的流量信息。
在上述实施方式中,通过镜像端口获取用户流量的方式,对网络拓扑中真实传输的网络流量进行分析,不受到网络安全设备的影响,不存在检测所需报文被规则拦截的情况,能够消除网络安全设备对检测效果的影响。
进一步地,所述网络资产信息至少包括源IP地址信息、源端口信息、目的IP信息、目的端口信息、传输层协议信息、源IP主机操作系统、浏览器版本资产、源IP主机的banner信息和目的IP主机的banner信息中的一种或者多种。
进一步地,所述方法还包括:
定期获取漏洞原始数据;
对所述漏洞原始数据进行解析,得到表征网络资产信息与漏洞之间的关联关系;
根据所述关联关系构建漏洞规则库。
进一步地,所述表征网络资产信息与漏洞之间的关联关系至少包括多个漏洞的漏洞编号、每个所述漏洞的漏洞描述信息、受所述漏洞影响的资产信息、表征所述漏洞与资产关联关系的核心字段中的一种或者多种。
进一步地,所述根据预设的漏洞规则库对所述网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果,包括:
根据所述网络资产信息提取资产关键字段,并根据所述资产关键字段确定查找条件;
根据所述查找条件在预设的漏洞规则库中进行查找,得到目标漏洞信息;
根据所述目标漏洞信息生成漏洞检测结果。
本申请实施例第二方面提供了一种漏洞检测装置,所述漏洞检测装置包括:
流量抓取单元,用于抓取目标主机的流量信息;
解析单元,用于采用基于网络协议规范的分析算法对所述流量信息进行解析处理,得到解析数据;
获取单元,用于根据所述解析数据获取所述目标主机的网络资产信息;
漏洞检测单元,用于根据预设的漏洞规则库对所述网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果。
在上述实现过程中,流量抓取单元先抓取目标主机的流量信息;然后解析单元采用基于网络协议规范的分析算法对流量信息进行解析处理,得到解析数据;获取单元再根据解析数据获取目标主机的网络资产信息;最后漏洞检测单元根据预设的漏洞规则库对网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果,不需要发送特定报文就能够实现目标主机的漏洞检测,检测效率高,准确率高,且有效避免检测失败的情况,不占用网络带宽,不影响目标主机的运行效率。
进一步地,流量抓取单元包括:
部署子单元,用于在所述目标主机与上层路由器、交换机之间,预先部署镜像端口;
转发子单元,用于将所述目标主机对应的一个或多个源端口上的数据流量转发到所述镜像端口;
抓取子单元,用于通过所述镜像端口抓取所述目标主机的流量信息。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的漏洞检测方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的漏洞检测方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例一提供的一种漏洞检测方法的流程示意图;
图2为本申请实施例二提供的一种漏洞检测方法的流程示意图;
图3为本申请实施例三提供的一种漏洞检测装置的结构示意图;
图4为本申请实施例四提供的一种漏洞检测装置的结构示意图;
图5是本申请实施例一提供的一种基于HTTP协议分析的网络资产信息提取示意图;
图6是本申请实施例一提供的一种基于SSH协议分析的网络资产信息提取示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种漏洞检测方法的流程示意图。其中,该漏洞检测方法包括:
S101、抓取目标主机的流量信息。
本申请实施例中,抓取目标主机的流量信息,无需额外与目标主机建立连接,不存在数据包交互,因此对网络带宽、目标主机没有影响。
本申请实施例中,该方法的执行主体可以为漏洞检测装置,该漏洞检测装置可以运行于目标主机上,对此本申请实施例不作限定。
本申请实施例中,该目标主机具体可以为计算机、服务器等计算装置,对此本实施例中不作任何限定。
在本申请实施例中,该目标主机具体还可以为智能手机、平板电脑、可穿戴设备等智能设备,对此本实施例中不作任何限定。
本申请实施例中,无需构造、发送探测报文,无需与目标主机直接建立连接,不存在多任务并发等性能瓶颈,能够消除对网络带宽、目标主机的性能影响,不会对网络带宽带来额外负载,不占用目标主机的连接端口,对网络整体性能影响很小。
S102、采用基于网络协议规范的分析算法对流量信息进行解析处理,得到解析数据。
本申请实施例中,为了提取有用的资产信息,首先需要解析获取的流量信息。通过对流量数据进行预处理,采用基于网络协议规范的分析算法,可以解析各层的流量分布及协议数据包,得到解析数据。
S103、根据解析数据获取目标主机的网络资产信息。
本申请实施例中,可以根据解析数据获取到有价值的网络资产信息。通过解析应用层协议的五元组信息,可以得到网络资产信息,具体包括源IP地址、源端口,目的IP、目的端口、传输层协议信息等,对此本申请实施例不作限定。
作为一种可选的实施方式,再进一步的,还可以根据不同协议的报文格式对解析数据进行解析,可以得到所需的资产信息。请一并参阅图5和图6,图5是本申请实施例提供的一种基于HTTP协议分析的网络资产信息提取示意图,图6是本申请实施例提供的一种基于SSH协议分析的网络资产信息提取示意图。
如图5和图6所示,通过解析HTTP协议User-Agent字段,可以得到源IP主机操作系统、浏览器版本资产等信息;通过解析SSH协议版本协商报文中的Protocol字段,可以得到源IP主机的banner信息和目的IP主机的banner信息。
进一步地,经过流量解析,还可以将获取的端口信息、操作系统、应用程序等网络资产信息写入资产数据库中,采用资产编号标识入库的资产详情,相同资产仅维护一份数据,使用相同的资产编号。多个目标主机可能存在相同资产,根据资产编号即可获取资产详情。
S104、根据预设的漏洞规则库对网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果。
本申请实施例中,预设的漏洞规则库,具体为漏洞发现与评估系统中内置漏洞规则库,其数据来源于权威的信息安全漏洞库、厂商公告等,通过定期爬取、数据解析,提取到漏洞特征,从而生成漏洞规则库,并将其保存到本地数据库中。
本申请实施例中,漏洞规则库表征了网络资产信息与漏洞之间的关联关系,支持根据资产信息静态匹配漏洞规则,完成漏洞检测。
本申请实施例中,抓取目标主机的流量信息,实际是利用监听的网络数据包(即目标主机的流量信息)来识别目标主机的网络资产信息并进行漏洞识别,因此不存在被网络安全设备拦截的问题,对其检测效果没有影响。
本申请实施例中,实施本实施例提供的方法,能够基于被动流量,在运行期间持续性地监控目标主机的漏洞信息,通过监控并分析目标主机的流量信息,可以感知到资产变化情况,从而基于最新的资产情况分析其存在的漏洞,可以及时提醒网络管理员进行修复。
本申请实施例中,本方法支持以数据库静态查询方式进行漏洞指纹比对,可以在不占用网络带宽的情况下,以较小的系统负载查询到目标主机资产对应的漏洞信息,查询方式简单,结果准确。
可见,实施本实施例所描述的漏洞检测方法,不需要发送特定报文就能够实现目标主机的漏洞检测,检测效率高,准确率高,且有效避免检测失败的情况,不占用网络带宽,不影响目标主机的运行效率。
实施例2
请参看图2,图2为本申请实施例提供的一种漏洞检测方法的流程示意图。如图2所示,其中,该漏洞检测方法包括:
S201、在目标主机与上层路由器、交换机之间,预先部署镜像端口。
S202、将目标主机对应的一个或多个源端口上的数据流量转发到镜像端口。
本申请实施例中,采用基于被动流量的漏洞检测方法时,在网络拓扑中,通常部署在目标主机和上层路由器、交换机之间,采用端口镜像功能,将一个或多个源端口上的数据流量转发到系统直连的镜像端口,通过镜像端口对目标主机的用户流量进行监控分析,从而获取目标主机的报文数据。
S203、通过镜像端口抓取目标主机的流量信息。
本申请实施例中,还可以将系统支持将抓取的流量信息以pcap文件格式存储到硬盘用于静态分析,同时支持实时解析并提取资产字段用于在线分析。
本申请实施例中,通过镜像端口获取用户流量的方式,对网络拓扑中真实传输的网络流量进行分析,不受到网络安全设备的影响,不存在检测所需报文被规则拦截的情况,能够消除网络安全设备对检测效果的影响。
本申请实施例中,实施上述步骤S201~步骤S203,能够抓取目标主机的流量信息。
S204、采用基于网络协议规范的分析算法对流量信息进行解析处理,得到解析数据。
S205、根据解析数据获取目标主机的网络资产信息。
本申请实施例中,通过镜像端口方式获取用户流量数据包后,能够基于网络协议特征确定资产提取算法,以获取资产信息。
本申请实施例中,网络资产信息至少包括源IP地址信息、源端口信息、目的IP信息、目的端口信息、传输层协议信息、源IP主机操作系统、浏览器版本资产、源IP主机的banner信息和目的IP主机的banner信息等等中的一种或者多种,对此本申请实施例不作限定。
S206、定期获取漏洞原始数据。
本申请实施例中,可以从不同的数据来源获取到漏洞原始数据,具体地,可以定时触发漏洞发现任务,通过访问、爬取权威的信息安全漏洞库、厂商漏洞页面,或直接通过访问漏洞API方式下载,进而得到漏洞原始数据。
S207、对漏洞原始数据进行解析,得到表征网络资产信息与漏洞之间的关联关系。
本申请实施例中,从不同的数据来源中获取到漏洞原始数据后,根据其数据格式进行数据解析。例如,从信息安全漏洞库(CNNVD)中获取到的漏洞原始数据通常为json格式,通过解析“cve”字段,可以得到单个漏洞的描述信息,同时在解析漏洞描述信息时提取表征漏洞与资产关联关系的核心字段:提取“CVE_data_meta”中的“ID”信息,得到漏洞编号;提取“cpe_match”中的“cpe23Uri”信息,得到漏洞影响的资产信息。通过上述解析,获取得到表征网络资产信息与漏洞之间的关联关系。
本申请实施例中,表征网络资产信息与漏洞之间的关联关系,包括漏洞与具体应用、具体版本之间的关联关系。
本申请实施例中,表征网络资产信息与漏洞之间的关联关系至少包括多个漏洞的漏洞编号、每个漏洞的漏洞描述信息、受漏洞影响的资产信息、表征漏洞与资产关联关系的核心字段等等中的一种或者多种,对此本申请实施例不作限定。
S208、根据关联关系构建漏洞规则库。
本申请实施例中,系统依据数据解析得到的关联关系,构建漏洞规则库。具体地,以漏洞编号作为key值在数据库中创建全局唯一数据,其成员数据包括资产类型、资产详情等字段,其中,资产详情根据资产类型的区别可能存在微小差异,其主要包括厂商信息、产品信息、版本信息等。上述信息在漏洞数据解析完成后均可得到,且具备确定唯一的关联关系,因此可以直接将数据写入漏洞规则库,用于后续漏洞指纹比对。
本申请实施例中,漏洞规则库包括漏洞编号、与漏洞编号对应的资产类型、与漏洞编号对应的资产详情等,其中,资产详情包括厂商信息、产品信息、版本信息等,对此本申请实施例不作限定。
本申请实施例中,步骤S206~步骤S208在步骤S209之前执行,具体可以在步骤S201~步骤S205中任一个步骤之前执行,也可以在步骤S201~步骤S205中任一个步骤之后执行,对此本申请实施例不作限定。
S209、根据网络资产信息提取资产关键字段,并根据资产关键字段确定查找条件。
S210、根据查找条件在预设的漏洞规则库中进行查找,得到目标漏洞信息。
本申请实施例中,通过步骤S210,能够实现基于漏洞规则库的指纹比对,即根据漏洞发现与评估系统扫描得到的资产信息,提取资产类型、资产详情等字段,并以此作为查找条件进行漏洞规则库的静态查找,查询数据库中所有匹配的漏洞信息,得到漏洞编号。基于漏洞规则库的漏洞指纹比对,查询效率高,无需主动发包探测,结果准确,且易于维护和更新。
S211、根据目标漏洞信息生成漏洞检测结果。
本申请实施例中,实施上述步骤S209~步骤S211,能够根据预设的漏洞规则库对网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果。
本申请实施例中,本方法采用基于被动流量分析的方式,持续分析镜像端口上报的流量,根据配置分析策略可以分析指定主机、制定协议的报文数据,可以方便地获取所需资产信息,并进行可以持续全面地监控主机漏洞。
可见,实施本实施例所描述的漏洞检测方法,不需要发送特定报文就能够实现目标主机的漏洞检测,检测效率高,准确率高,且有效避免检测失败的情况,不占用网络带宽,不影响目标主机的运行效率。
实施例3
请参看图3,图3为本申请实施例提供的一种漏洞检测装置的结构示意图。如图3所示,该漏洞检测装置包括:
流量抓取单元310,用于抓取目标主机的流量信息;
解析单元320,用于采用基于网络协议规范的分析算法对流量信息进行解析处理,得到解析数据;
获取单元330,用于根据解析数据获取目标主机的网络资产信息;
漏洞检测单元340,用于根据预设的漏洞规则库对网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果。
本申请实施例中,对于漏洞检测装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的漏洞检测装置,不需要发送特定报文就能够实现目标主机的漏洞检测,检测效率高,准确率高,且有效避免检测失败的情况,不占用网络带宽,不影响目标主机的运行效率。
实施例4
请一并参阅图4,图4是本申请实施例提供的一种漏洞检测装置的结构示意图。其中,图4所示的漏洞检测装置是由图3所示的漏洞检测装置进行优化得到的。如图4所示,流量抓取单元310包括:
部署子单元311,用于在目标主机与上层路由器、交换机之间,预先部署镜像端口;
转发子单元312,用于将目标主机对应的一个或多个源端口上的数据流量转发到镜像端口;
抓取子单元313,用于通过镜像端口抓取目标主机的流量信息。
本申请实施例中,网络资产信息至少包括源IP地址信息、源端口信息、目的IP信息、目的端口信息、传输层协议信息、源IP主机操作系统、浏览器版本资产、源IP主机的banner信息和目的IP主机的banner信息中的一种或者多种,对此本申请实施例不作限定。
作为一种可选的实施方式,获取单元330,还用于定期获取漏洞原始数据;
解析单元320,还用于对漏洞原始数据进行解析,得到表征网络资产信息与漏洞之间的关联关系;
该漏洞检测装置还包括:
构建单元350,用于根据关联关系构建漏洞规则库。
本申请实施例中,表征网络资产信息与漏洞之间的关联关系至少包括多个漏洞的漏洞编号、每个漏洞的漏洞描述信息、受漏洞影响的资产信息、表征漏洞与资产关联关系的核心字段中的一种或者多种,对此本申请实施例不作限定。
作为一种可选的实施方式,漏洞检测单元340包括:
提取子单元341,用于根据网络资产信息提取资产关键字段,并根据资产关键字段确定查找条件;
查找子单元342,用于根据查找条件在预设的漏洞规则库中进行查找,得到目标漏洞信息;
生成子单元343,用于根据目标漏洞信息生成漏洞检测结果。
本申请实施例中,对于漏洞检测装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的漏洞检测装置,不需要发送特定报文就能够实现目标主机的漏洞检测,检测效率高,准确率高,且有效避免检测失败的情况,不占用网络带宽,不影响目标主机的运行效率。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1或实施例2中任一项漏洞检测方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1或实施例2中任一项漏洞检测方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种漏洞检测方法,其特征在于,包括:
抓取目标主机的流量信息;
采用基于网络协议规范的分析算法对所述流量信息进行解析处理,得到解析数据;
根据所述解析数据获取所述目标主机的网络资产信息;
根据预设的漏洞规则库对所述网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果。
2.根据权利要求1所述的漏洞检测方法,其特征在于,所述抓取目标主机的流量信息,包括:
在所述目标主机与上层路由器、交换机之间,预先部署镜像端口;
将所述目标主机对应的一个或多个源端口上的数据流量转发到所述镜像端口;
通过所述镜像端口抓取所述目标主机的流量信息。
3.根据权利要求1所述的漏洞检测方法,其特征在于,所述网络资产信息至少包括源IP地址信息、源端口信息、目的IP信息、目的端口信息、传输层协议信息、源IP主机操作系统、浏览器版本资产、源IP主机的banner信息和目的IP主机的banner信息中的一种或者多种。
4.根据权利要求1所述的漏洞检测方法,其特征在于,所述方法还包括:
定期获取漏洞原始数据;
对所述漏洞原始数据进行解析,得到表征网络资产信息与漏洞之间的关联关系;
根据所述关联关系构建漏洞规则库。
5.根据权利要求4所述的漏洞检测方法,其特征在于,所述表征网络资产信息与漏洞之间的关联关系至少包括多个漏洞的漏洞编号、每个所述漏洞的漏洞描述信息、受所述漏洞影响的资产信息、表征所述漏洞与资产关联关系的核心字段中的一种或者多种。
6.根据权利要求1所述的漏洞检测方法,其特征在于,所述根据预设的漏洞规则库对所述网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果,包括:
根据所述网络资产信息提取资产关键字段,并根据所述资产关键字段确定查找条件;
根据所述查找条件在预设的漏洞规则库中进行查找,得到目标漏洞信息;
根据所述目标漏洞信息生成漏洞检测结果。
7.一种漏洞检测装置,其特征在于,所述漏洞检测装置包括:
流量抓取单元,用于抓取目标主机的流量信息;
解析单元,用于采用基于网络协议规范的分析算法对所述流量信息进行解析处理,得到解析数据;
获取单元,用于根据所述解析数据获取所述目标主机的网络资产信息;
漏洞检测单元,用于根据预设的漏洞规则库对所述网络资产信息进行漏洞检测,得到目标主机的漏洞检测结果。
8.根据权利要求7所述的漏洞检测装置,其特征在于,所述流量抓取单元包括:
部署子单元,用于在所述目标主机与上层路由器、交换机之间,预先部署镜像端口;
转发子单元,用于将所述目标主机对应的一个或多个源端口上的数据流量转发到所述镜像端口;
抓取子单元,用于通过所述镜像端口抓取所述目标主机的流量信息。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至6中任一项所述的漏洞检测方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至6任一项所述的漏洞检测方法。
CN202111138055.5A 2021-09-27 2021-09-27 一种漏洞检测方法及装置 Pending CN113849820A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111138055.5A CN113849820A (zh) 2021-09-27 2021-09-27 一种漏洞检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111138055.5A CN113849820A (zh) 2021-09-27 2021-09-27 一种漏洞检测方法及装置

Publications (1)

Publication Number Publication Date
CN113849820A true CN113849820A (zh) 2021-12-28

Family

ID=78980596

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111138055.5A Pending CN113849820A (zh) 2021-09-27 2021-09-27 一种漏洞检测方法及装置

Country Status (1)

Country Link
CN (1) CN113849820A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115361240A (zh) * 2022-10-21 2022-11-18 北京星阑科技有限公司 一种漏洞确定方法、装置、计算机设备及存储介质
CN116611077A (zh) * 2023-07-20 2023-08-18 北京升鑫网络科技有限公司 基于主机网络包捕获和分析的虚拟补丁防护方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167799A (zh) * 2018-11-06 2019-01-08 北京华顺信安科技有限公司 一种用于智能网络信息系统的漏洞监控检测系统
CN111427336A (zh) * 2020-05-08 2020-07-17 杭州安恒信息技术股份有限公司 一种工业控制系统的漏洞扫描方法、装置及设备
CN112131577A (zh) * 2020-09-25 2020-12-25 杭州安恒信息技术股份有限公司 一种漏洞检测方法、装置、设备及计算机可读存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167799A (zh) * 2018-11-06 2019-01-08 北京华顺信安科技有限公司 一种用于智能网络信息系统的漏洞监控检测系统
CN111427336A (zh) * 2020-05-08 2020-07-17 杭州安恒信息技术股份有限公司 一种工业控制系统的漏洞扫描方法、装置及设备
CN112131577A (zh) * 2020-09-25 2020-12-25 杭州安恒信息技术股份有限公司 一种漏洞检测方法、装置、设备及计算机可读存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115361240A (zh) * 2022-10-21 2022-11-18 北京星阑科技有限公司 一种漏洞确定方法、装置、计算机设备及存储介质
CN115361240B (zh) * 2022-10-21 2022-12-27 北京星阑科技有限公司 一种漏洞确定方法、装置、计算机设备及存储介质
CN116611077A (zh) * 2023-07-20 2023-08-18 北京升鑫网络科技有限公司 基于主机网络包捕获和分析的虚拟补丁防护方法及系统

Similar Documents

Publication Publication Date Title
US11876821B1 (en) Combined real-time and batch threat detection
US11343268B2 (en) Detection of network anomalies based on relationship graphs
CN109992989B (zh) 使用抽象语法树的用于查询注入检测的系统
Perdisci et al. Alarm clustering for intrusion detection systems in computer networks
US9294486B1 (en) Malware detection and analysis
CN114679329B (zh) 用于基于赝象对恶意软件自动分组的系统
CN109951477B (zh) 一种基于威胁情报检测网络攻击的方法和装置
RU2634209C1 (ru) Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
CN110210213B (zh) 过滤恶意样本的方法及装置、存储介质、电子装置
US20140082634A1 (en) Determining Relationship Data Associated with Application Programs
CN112073437B (zh) 多维度的安全威胁事件分析方法、装置、设备及存储介质
CN113507461B (zh) 基于大数据的网络监控系统及网络监控方法
US20170289283A1 (en) Automated dpi process
CN113849820A (zh) 一种漏洞检测方法及装置
US20180375884A1 (en) Detecting user behavior activities of interest in a network
CN115039379A (zh) 使用分类器层级确定设备属性的系统和方法
KR102424014B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
CN113472580B (zh) 基于动态加载机制的告警系统及告警方法
CN110392032B (zh) 检测异常url的方法、装置及存储介质
CN112714118B (zh) 网络流量检测方法和装置
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
CN111224981B (zh) 一种数据处理方法、装置、电子设备及存储介质
CN114793204B (zh) 一种网络资产探测方法
US11163882B2 (en) Analysis apparatus, analysis method, and analysis program
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20211228

RJ01 Rejection of invention patent application after publication