CN114357456A - 一种安全防护能力检测系统、方法、装置、设备及介质 - Google Patents
一种安全防护能力检测系统、方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114357456A CN114357456A CN202111574056.4A CN202111574056A CN114357456A CN 114357456 A CN114357456 A CN 114357456A CN 202111574056 A CN202111574056 A CN 202111574056A CN 114357456 A CN114357456 A CN 114357456A
- Authority
- CN
- China
- Prior art keywords
- escape
- vulnerability
- scanning
- safety protection
- scanned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全防护能力检测系统、方法、装置、设备及介质,漏洞扫描模块,用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;所述逃逸调度模块,用于根据所述待扫描的漏洞标识信息,获取与所述待扫描的漏洞对应的逃逸技术接口,将所述逃逸技术接口发送至所述漏洞扫描模块;所述漏洞扫描模块,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;并接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。从而实现了一种能够检测安全防护设备的安全防护能力的技术方案。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种安全防护能力检测系统、方法、装置、设备及介质。
背景技术
漏洞扫描是指基于漏洞数据库,通过扫描等手段对目标资产的安全脆弱性进行检测,目标资产例如是指定的远程或者本地计算机系统,漏洞扫描是发现可利用漏洞的一种安全检测行为,或称为渗透攻击行为。
传统的漏洞扫描用于评估目标资产的脆弱性,通过检测目标的漏洞实例,给出其量化风险评估和相关报表,作为资产外在风险合规的凭据。在当前网络环境中,为了防护价值资产,大多部署有各类安全防护设备,例如防火墙、网站应用级入侵防御系统WAF、IDPS等,资产是部署在这些安全设备背后,这些安全设备的防护效果能够改变外部风险合规的结果,是漏洞修复的一种规避方法,对于资产的脆弱性合规来说是至关重要的。
现有的漏洞扫描技术方案是针对资产直接扫描,上报漏洞,扫描过程中的目标是最终资产,任务配置里只有漏洞列表或模板。现有技术存在的问题是无法测试安全防护的效果,目前亟需一种能够检测安全防护设备的安全防护能力的技术方案。
发明内容
本发明实施例提供了一种安全防护能力检测系统、方法、装置、设备及介质,用以提供一种能够检测安全防护设备的安全防护能力的技术方案。
本发明实施例提供了一种安全防护能力检测系统,所述系统包括:扫描源设备、安全防护设备和目标侧设备;所述扫描源设备包括漏洞扫描模块和逃逸调度模块;
漏洞扫描模块,用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;
所述逃逸调度模块,用于根据所述待扫描的漏洞标识信息,获取与所述待扫描的漏洞对应的逃逸技术接口,将所述逃逸技术接口发送至所述漏洞扫描模块;
所述漏洞扫描模块,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;并接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
进一步地,所述扫描源设备还包括逃逸技术接口库;
所述逃逸调度模块,具体用于根据所述待扫描的漏洞标识信息,从所述逃逸技术接口库中获取与所述待扫描的漏洞对应的逃逸技术接口。
进一步地,所述扫描源设备还包括策略服务器;
所述逃逸调度模块,还用于若判断所述待扫描的漏洞不支持逃逸技术自协商,向所述策略服务器发送逃逸策略协商指令;
所述策略服务器,用于根据所述逃逸策略协商指令对所述目标侧设备进行逃逸策略的配置,并在配置完成后向漏洞扫描模块响应配置完毕指令;
所述漏洞扫描模块,还用于当接收到所述配置完毕指令,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备。
进一步地,所述目标侧设备包括逃逸策略客户端和资产目标;
所述策略服务器,具体用于将所述逃逸策略协商指令发送至所述逃逸策略客户端;
所述逃逸策略客户端,用于根据所述逃逸策略协商指令对所述资产目标进行逃逸策略的配置。
进一步地,所述目标侧设备包括资产靶标库;
所述漏洞扫描模块,还用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带所述资产靶标库中的待扫描的漏洞的标识信息;
所述逃逸调度模块,用于根据所述待扫描的漏洞标识信息,获取与所述待扫描的漏洞对应的逃逸技术接口,将所述逃逸技术接口发送至所述漏洞扫描模块;
所述漏洞扫描模块,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至所述目标侧设备中的资产靶标库;并接收所述资产靶标库响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
另一方面,本发明实施例提供了一种安全防护能力检测方法,所述方法包括:
向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;
接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;
接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
进一步地,所述向逃逸调度模块发送漏洞扫描任务之后,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备之前,所述方法还包括:
当接收到配置完毕指令后,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;其中,所述配置完毕指令是所述逃逸调度模块判断所述待扫描的漏洞不支持逃逸技术自协商,向策略服务器发送逃逸策略协商指令;策略服务器根据所述逃逸策略协商指令对所述目标侧设备进行逃逸策略的配置,并在配置完成后向漏洞扫描模块响应的。
进一步地,具体包括:
向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带所述资产靶标库中的待扫描的漏洞的标识信息;
接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至所述目标侧设备中的资产靶标库;并接收所述资产靶标库响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
再一方面,本发明实施例提供了一种安全防护能力检测装置,所述装置包括:
发送单元,用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;
接收单元,用于接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
处理单元,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;
检测单元,用于接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
处理单元,还用于当接收到配置完毕指令后,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;其中,所述配置完毕指令是所述逃逸调度模块判断所述待扫描的漏洞不支持逃逸技术自协商,向策略服务器发送逃逸策略协商指令;策略服务器根据所述逃逸策略协商指令对所述目标侧设备进行逃逸策略的配置,并在配置完成后向漏洞扫描模块响应的。
发送单元,具体用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带所述资产靶标库中的待扫描的漏洞的标识信息;
接收单元,具体用于接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
处理单元,具体用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至所述目标侧设备中的资产靶标库;
检测单元,具体用于接收所述资产靶标库响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
再一方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一项所述的方法步骤。
再一方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法步骤。
本发明实施例提供了一种安全防护能力检测系统、方法、装置、设备及介质,所述系统包括:扫描源设备、安全防护设备和目标侧设备;所述扫描源设备包括漏洞扫描模块和逃逸调度模块;漏洞扫描模块,用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;所述逃逸调度模块,用于根据所述待扫描的漏洞标识信息,获取与所述待扫描的漏洞对应的逃逸技术接口,将所述逃逸技术接口发送至所述漏洞扫描模块;所述漏洞扫描模块,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;并接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
上述的技术方案具有如下优点或有益效果:
由于在本发明实施例中,漏洞扫描模块向逃逸调度模块发送漏洞扫描任务,漏洞扫描任务中携带待扫描的漏洞标识信息,逃逸调度模块获取与待扫描的漏洞对应的逃逸技术接口,将逃逸技术接口发送至所述漏洞扫描模块。漏洞扫描模块采用逃逸技术接口对待扫描的漏洞对应的扫描报文进行传输处理,传输处理后的扫描报文经过安全防护设备发送至目标侧设备;最后接收并根据目标侧设备响应的反馈结果确定安全防护设备的安全防护能力。从而实现了一种能够检测安全防护设备的安全防护能力的技术方案。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的安全防护能力检测系统结构示意图;
图2为本发明实施例1提供的另一安全防护能力检测系统结构示意图;
图3为本发明实施例2提供的安全防护能力检测系统结构示意图;
图4为本发明实施例2提供的另一安全防护能力检测系统结构示意图;
图5为本发明实施例3提供的安全防护能力检测系统结构示意图;
图6为本发明实施例3提供的安全防护能力检测系统框架图;
图7为本发明实施例4提供的安全防护能力检测过程示意图;
图8为本发明实施例4提供的一种安全防护能力检测时序图;
图9为本发明实施例4提供的另一种安全防护能力检测时序图;
图10为本发明实施例4提供的另一种安全防护能力检测时序图;
图11为本发明实施例5提供的安全防护能力检测装置结构示意图;
图12为本发明实施例6提供的电子设备结构示意图。
具体实施方式
下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的安全防护能力检测系统结构示意图,所述系统包括:扫描源设备11、安全防护设备12和目标侧设备13;所述扫描源设备11包括漏洞扫描模块111和逃逸调度模块112;
漏洞扫描模块111,用于向逃逸调度模块112发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;
所述逃逸调度模块112,用于根据所述待扫描的漏洞标识信息,获取与所述待扫描的漏洞对应的逃逸技术接口,将所述逃逸技术接口发送至所述漏洞扫描模块111;
所述漏洞扫描模块111,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备12发送至目标侧设备13;并接收所述目标侧设备13响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
本发明实施例中,漏洞扫描模块向逃逸调度模块发送携带待扫描的漏洞标识信息的漏洞扫描任务,逃逸调度模块接收到漏洞扫描任务后,根据漏洞扫描任务中携带的待扫描的漏洞标识信息,获取与待扫描的漏洞对应的逃逸技术接口。
具体的,如图2所示,扫描源设备还包括逃逸技术接口库113;逃逸调度模块112具体用于根据待扫描的漏洞标识信息,从逃逸技术接口库113中获取与待扫描的漏洞对应的逃逸技术接口。逃逸调度模块获取与待扫描的漏洞对应的逃逸技术接口之后,将逃逸技术接口发送至漏洞扫描模块。
漏洞扫描模块采用逃逸技术接口对待扫描的漏洞对应的扫描报文进行传输处理,然后将传输处理后的扫描报文经过安全防护设备发送至目标侧设备。
目标侧设备接收到传输处理后的扫描报文之后,会向漏洞扫描模块发送响应报文,响应报文中携带目标侧设备的反馈结果。漏洞扫描模块根据反馈结果确定所述安全防护设备的安全防护能力。具体的,目标侧设备的反馈结果包括待扫描的漏洞利用成功或待扫描的漏洞利用失败。若目标侧设备的反馈结果为利用成功,则说明安全防护设备并未成功防护,防护能力较差,若目标侧设备的反馈结果为利用失败,则说明安全防护设备成功防护,防护能力较好。
需要说明的是,安全防护能力检测系统可以检测安全防护设备对不同漏洞的安全防护能力,针对不同的待扫描的漏洞,采用上述方式得到目标侧设备响应的反馈结果,进而根据反馈结果确定安全防护设备对不同的漏洞的安全防护能力,并生成相应的检测报表,从而直观的查看安全防护设备对于哪些漏洞防护成功,对于哪些漏洞防护失败。
由于在本发明实施例中,漏洞扫描模块向逃逸调度模块发送漏洞扫描任务,漏洞扫描任务中携带待扫描的漏洞标识信息,逃逸调度模块获取与待扫描的漏洞对应的逃逸技术接口,将逃逸技术接口发送至所述漏洞扫描模块。漏洞扫描模块采用逃逸技术接口对待扫描的漏洞对应的扫描报文进行传输处理,传输处理后的扫描报文经过安全防护设备发送至目标侧设备;最后接收并根据目标侧设备响应的反馈结果确定安全防护设备的安全防护能力。从而实现了一种能够检测安全防护设备的安全防护能力的技术方案。
实施例2:
在检测安全防护设备的安全防护能力时,若待扫描的漏洞支持逃逸技术自协商,则可以采用上述实施例的方案检测安全防护设备的安全防护能力。但是对于不支持逃逸技术自协商的漏洞,则需要进行逃逸策略协商,协商完毕之后才能够进行安全防护设备的安全防护能力的检测。因此,对于不支持逃逸技术自协商的漏洞,为了实现对安全防护设备的安全防护能力的检测,在上述实施例的基础上,在本发明实施例中,如图3所示,所述扫描源设备还包括策略服务器114;
所述逃逸调度模块112,还用于若判断所述待扫描的漏洞不支持逃逸技术自协商,向所述策略服务器114发送逃逸策略协商指令;
所述策略服务器114,用于根据所述逃逸策略协商指令对所述目标侧设备13进行逃逸策略的配置,并在配置完成后向漏洞扫描模块111响应配置完毕指令;
所述漏洞扫描模块111,还用于当接收到所述配置完毕指令,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备13。
对于部分逃逸技术,如待扫描的漏洞不支持自协商的,可以在任务下发之前通过策略服务器与目标侧设备在控制面自行协商完成对目标侧设备的逃逸配置,例如传输压缩、加密等,以便于绕过安全防护设备完成逃逸扫描。
具体的,如图4所示,所述目标侧设备13包括逃逸策略客户端131和资产目标132;
所述策略服务器114,具体用于将所述逃逸策略协商指令发送至所述逃逸策略客户端131;
所述逃逸策略客户端131,用于根据所述逃逸策略协商指令对所述资产目标132进行逃逸策略的配置。
本发明实施例中,对于部分逃逸技术,如待扫描的漏洞不支持自协商的,可以在任务下发之前通过策略服务器与预置在目标侧设备上的逃逸策略客户端在控制面自行协商完成对资产目标的逃逸配置,例如传输压缩、加密等,以便于绕过安全防护设备完成逃逸扫描。
实施例3:
为了更直接地测量安全防护设备的防护效果,在上述各实施例的基础上,在本发明实施例中,如图5所示,所述目标侧设备13包括资产靶标库133;
所述漏洞扫描模块111,还用于向逃逸调度模块112发送漏洞扫描任务,所述漏洞扫描任务中携带所述资产靶标库133中的待扫描的漏洞的标识信息;
所述逃逸调度模块112,用于根据所述待扫描的漏洞标识信息,获取与所述待扫描的漏洞对应的逃逸技术接口,将所述逃逸技术接口发送至所述漏洞扫描模块111;
所述漏洞扫描模块111,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备12发送至所述目标侧设备13中的资产靶标库133;并接收所述资产靶标库133响应的反馈结果,根据所述反馈结果确定所述安全防护设备12的安全防护能力。
本发明实施例中,为了更直接地测量安全防护设备的防护效果,在目标侧设备中内置资产靶标库,资产靶标库中的漏洞为支持逃逸技术自协商的漏洞,将安全防护设备串联在扫描源设备与资产靶标库之间,通过资产靶标库来模拟和代替原来的扫描资产目标,下发带有攻击逃逸技术的漏洞扫描任务,实现对于安全设备防护效果的测量。
下面结合附图对本发明实施例提供的安全防护能力检测过程进行详细说明。逃逸接口扫描是指结合目标资产/漏洞的类型,对现有漏洞扫描的底层流量传输附加攻击逃逸处理,以便绕开安全防护设备。交互式逃逸策略扫描是指在逃逸接口扫描的基础上,除数据面外,扫描前通过控制面指令资产目标侧预置的客户端修改资产环境策略,以便于攻击逃逸技术的实施。靶标辅助防护效果检测是指在安全防护设备背后预置资产靶标库,提供多种资产漏洞和相关攻击逃逸技术支持,扫描目标从资产目标变更为靶标库。
图6为本发明实施例提供的安全防护能力检测系统框架图,如图6所示,系统包括:扫描源设备11、安全防护设备12和目标侧设备13。扫描源设备与安全防护设备通过外部网络连接,安全防护设备与目标侧设备通过外部网络连接。扫描源设备11包括漏洞扫描模块111、逃逸调度模块112、逃逸技术接口库113和策略服务器114。目标侧设备13包括逃逸策略客户端131、资产目标132和资产靶标库133。
逃逸调度模块用于针对传统的漏洞扫描,对于所选漏洞(范围),分析依赖的攻击逃逸技术接口,作为扫描任务参数配合调度下发。攻击逃逸技术包括不限于分片、编码、变形、请求头欺骗、压缩、加密、反弹shell等。
逃逸技术接口库用于针对原有的漏洞扫描报文,在底层传输时附加各类攻击逃逸处理,按照接口来索引使用。示例类似于:
int TY_INF(dst,//检测目标,IP4地址端口或URL;
PROTO,//漏扫POC原本使用的协议类型;
POC_PARAM,//POC原本协议的相关参数配置;
TY_IDX,//技术类型,例如0~7,0为不逃逸;
TY_PARAM//逃逸实例的参数集,提供默认值;
)//返回:错误码或者发送报文字节数;
该函数首先在内部完成与对端系统的协商,封装各类攻击逃逸技术发包接口。具体接口类型包括不限于如下表所示:
策略服务器用于对于部分逃逸技术,如扫描资产或漏洞不支持自协商的,可以在任务下发之前通过逃逸策略配置服务器与预置在扫描目标上的客户端在控制面自行协商完成对目标的逃逸配置,例如传输压缩、加密等,以便于绕过安全设备完成逃逸扫描。
需要对端策略配合:策略协商类型;
除以上TY_INF外,多一个如下接口:
Bool TY_NEG(dst,//检测目标,IP4地址端口或URL;
TY_IDX,//技术类型,例如0~7;
TY_PARAM//逃逸实例的参数集,提供默认值;
)//返回协商结果,成功后可调用TY_INF;
该函数通过逃逸策略服务器,指令对端系统通过客户端执行对应的配置插件、反弹shell插件,或者hook插件,完成协商或者具体逃逸接口。
资产靶标库用于为了更直接地测量安全设备的防护效果,系统还支持内置各类支持逃逸的资产靶标库,将安全设备串联在扫描源端与靶标库之间,通过靶标库来模拟和代替原来的扫描目标资产,下发带有攻击逃逸技术的漏洞扫描任务,实现对于安全设备防护效果的测量。
实施例4:
图7为本发明实施例提供的安全防护能力检测过程示意图,该过程包括以下步骤:
S101:向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息。
S102:接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口。
S103:采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备。
S104:接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
本发明实施例提供的安全防护能力检测方法应用于扫描源设备中的漏洞扫描模块。
所述向逃逸调度模块发送漏洞扫描任务之后,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备之前,所述方法还包括:
当接收到配置完毕指令后,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;其中,所述配置完毕指令是所述逃逸调度模块判断所述待扫描的漏洞不支持逃逸技术自协商,向策略服务器发送逃逸策略协商指令;策略服务器根据所述逃逸策略协商指令对所述目标侧设备进行逃逸策略的配置,并在配置完成后向漏洞扫描模块响应的。
具体包括:
向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带所述资产靶标库中的待扫描的漏洞的标识信息;
接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至所述目标侧设备中的资产靶标库;并接收所述资产靶标库响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
图8为本发明实施例提供的安全防护能力检测时序图,该时序图该流程对应于远程扫描目标能够自协商逃逸技术,例如扫描的漏洞范围包括了能够自协商的漏洞。如图8所示,首先任务在标准漏扫前端下发,增加如下环节:
1、任务依赖关系查询:哪些漏洞能够自协商,需要本地哪些逃逸技术准备。
2、逃逸调度模块返回:本地查询后返回。
3、逃逸接口准备:启动相关逃逸接口实例。
4、逃逸接口就绪:相关逃逸接口实例就绪。
5、逃逸状态就绪:端到端逃逸方式准备就绪。
6、数据面扫描流量发送,到逃逸接口库补充逃逸技术的传输处理(含自协商),流量经过安全设备执行防护处理后达到被扫描资产目标。
7、资产目标返回扫描应答数据流量,扫描器给出相关的任务结论报表。
图9为本发明实施例提供的安全防护能力检测时序图,该时序图该流程对应于远程扫描目标不能够自协商逃逸技术,需要本地的策略配置配合。例如扫描的漏洞范围包括不能够自协商的漏洞。首先任务在标准漏扫前端下发,增加如下环节:
1、任务依赖关系查询:哪些漏洞能够自协商,需要本地哪些逃逸技术准备。
2、逃逸调度模块返回:本地查询后返回。
3、逃逸策略协商指令:从调度模块,通过策略配置服务器发送到预置的客户端。
4、策略配置:客户端在资产目标本地预配置逃逸策略,例如会话支持压缩、加密等。
5、策略协商结果:客户端通过服务器,向调度模块返回协商结果。
6、逃逸接口准备:启动相关逃逸接口实例。
7、逃逸接口就绪:相关逃逸接口实例就绪。
8、逃逸状态就绪:端到端逃逸方式准备就绪。
9、数据面扫描流量发送,到逃逸接口库补充逃逸技术的传输处理(含自协商),流量经过安全设备执行防护处理后达到被扫描资产目标。
10、资产目标返回扫描应答数据流量,扫描器给出相关的任务报表。
图10为本发明实施例提供的安全防护能力检测时序图,该时序图该流程对应于直接使用内置靶标,可提供自协商逃逸技术,扫描的漏洞范围包括了靶标相关的漏洞。首先任务在标准漏扫前端下发,增加如下环节:
1、任务依赖关系查询:哪些漏洞能够自协商,需要本地哪些逃逸技术准备。
2、逃逸调度模块返回:本地查询后返回。
3、逃逸接口准备:启动相关逃逸接口实例。
4、启动对应靶标:调度模块启动扫描目标,包括配置逃逸策略。
5、对应靶标就绪:靶标就绪后指示状态。
6、逃逸接口就绪:相关逃逸接口实例就绪。
7、逃逸状态就绪:端到端逃逸方式准备就绪。
8、数据面扫描流量发送,到逃逸接口库补充逃逸技术的传输处理(含自协商),流量经过安全设备执行防护处理后达到被扫描资产目标。
9、资产目标返回扫描应答数据流量,扫描器给出相关的任务结论,即安全设备的防护能力规格。
本发明实施例给出了一种用于检测安全设备防护效果的漏洞扫描使用方法流程。相对于现有技术的纯漏洞扫描,本发明能够结合漏洞利用,传输协议特性等,提供攻击逃逸方法,支持绕过安全防护设备(规则),从而实现对安全设备防护能力的量化检测。本发明实施例提供了多个模块,支持组合覆盖各种攻击逃逸场景,提供对安全设备防护能力绕过,可支持检测出更多的漏洞。本发明实施例将扫描目标从单纯资产,切换为防护设备和资产的组合体,并可(通过靶标)转换为单纯的防护设备,提供框架集成各类攻击逃逸技术接口,支持检测更多的漏洞,支持通过不同漏洞和逃逸技术组合规格指标来量化安全设备的防护水平。
实施例5:
图11为本发明实施例提供的安全防护能力检测装置结构示意图,装置包括:
发送单元01,用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;
接收单元02,用于接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
处理单元03,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;
检测单元04,用于接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
处理单元03,还用于当接收到配置完毕指令后,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;其中,所述配置完毕指令是所述逃逸调度模块判断所述待扫描的漏洞不支持逃逸技术自协商,向策略服务器发送逃逸策略协商指令;策略服务器根据所述逃逸策略协商指令对所述目标侧设备进行逃逸策略的配置,并在配置完成后向漏洞扫描模块响应的。
发送单元01,具体用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带所述资产靶标库中的待扫描的漏洞的标识信息;
接收单元02,具体用于接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
处理单元03,具体用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至所述目标侧设备中的资产靶标库;
检测单元04,具体用于接收所述资产靶标库响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
实施例6:
在上述各实施例的基础上,本发明实施例中还提供了一种电子设备,如图12所示,包括:处理器301、通信接口302、存储器303和通信总线304,其中,处理器301,通信接口302,存储器303通过通信总线304完成相互间的通信;
所述存储器303中存储有计算机程序,当所述程序被所述处理器301执行时,使得所述处理器301执行如下步骤:
向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;
接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;
接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
基于同一发明构思,本发明实施例中还提供了一种电子设备,由于上述电子设备解决问题的原理与安全防护能力检测方法相似,因此上述电子设备的实施可以参见方法的实施,重复之处不再赘述。
本发明实施例提供的电子设备提到的通信总线可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(ExtendedIndustry Standard Architecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口302用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
实施例7:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;
接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;
接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
基于同一发明构思,本发明实施例中还提供了一种计算机可读存储介质,由于处理器在执行上述计算机可读存储介质上存储的计算机程序时解决问题的原理与安全防护能力检测方法相似,因此处理器在执行上述计算机可读存储介质存储的计算机程序的实施可以参见方法的实施,重复之处不再赘述。
上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD)等。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种安全防护能力检测系统,其特征在于,所述系统包括:扫描源设备、安全防护设备和目标侧设备;所述扫描源设备包括漏洞扫描模块和逃逸调度模块;
漏洞扫描模块,用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;
所述逃逸调度模块,用于根据所述待扫描的漏洞标识信息,获取与所述待扫描的漏洞对应的逃逸技术接口,将所述逃逸技术接口发送至所述漏洞扫描模块;
所述漏洞扫描模块,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;并接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
2.如权利要求1所述的系统,其特征在于,所述扫描源设备还包括逃逸技术接口库;
所述逃逸调度模块,具体用于根据所述待扫描的漏洞标识信息,从所述逃逸技术接口库中获取与所述待扫描的漏洞对应的逃逸技术接口。
3.如权利要求1所述的系统,其特征在于,所述扫描源设备还包括策略服务器;
所述逃逸调度模块,还用于若判断所述待扫描的漏洞不支持逃逸技术自协商,向所述策略服务器发送逃逸策略协商指令;
所述策略服务器,用于根据所述逃逸策略协商指令对所述目标侧设备进行逃逸策略的配置,并在配置完成后向漏洞扫描模块响应配置完毕指令;
所述漏洞扫描模块,还用于当接收到所述配置完毕指令,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备。
4.如权利要求3所述的系统,其特征在于,所述目标侧设备包括逃逸策略客户端和资产目标;
所述策略服务器,具体用于将所述逃逸策略协商指令发送至所述逃逸策略客户端;
所述逃逸策略客户端,用于根据所述逃逸策略协商指令对所述资产目标进行逃逸策略的配置。
5.如权利要求1所述的系统,其特征在于,所述目标侧设备包括资产靶标库;
所述漏洞扫描模块,还用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带所述资产靶标库中的待扫描的漏洞的标识信息;
所述逃逸调度模块,用于根据所述待扫描的漏洞标识信息,获取与所述待扫描的漏洞对应的逃逸技术接口,将所述逃逸技术接口发送至所述漏洞扫描模块;
所述漏洞扫描模块,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至所述目标侧设备中的资产靶标库;并接收所述资产靶标库响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
6.一种安全防护能力检测方法,其特征在于,所述方法包括:
向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;
接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;
接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
7.如权利要求6所述的方法,其特征在于,所述向逃逸调度模块发送漏洞扫描任务之后,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备之前,所述方法还包括:
当接收到配置完毕指令后,采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;其中,所述配置完毕指令是所述逃逸调度模块判断所述待扫描的漏洞不支持逃逸技术自协商,向策略服务器发送逃逸策略协商指令;策略服务器根据所述逃逸策略协商指令对所述目标侧设备进行逃逸策略的配置,并在配置完成后向漏洞扫描模块响应的。
8.如权利要求6所述的方法,其特征在于,具体包括:
向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带所述资产靶标库中的待扫描的漏洞的标识信息;
接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至所述目标侧设备中的资产靶标库;并接收所述资产靶标库响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
9.一种安全防护能力检测装置,其特征在于,所述装置包括:
发送单元,用于向逃逸调度模块发送漏洞扫描任务,所述漏洞扫描任务中携带待扫描的漏洞标识信息;
接收单元,用于接收所述逃逸调度模块发送的与所述待扫描的漏洞对应的逃逸技术接口;
处理单元,用于采用所述逃逸技术接口对所述待扫描的漏洞对应的扫描报文进行传输处理,将传输处理后的扫描报文经过安全防护设备发送至目标侧设备;
检测单元,用于接收所述目标侧设备响应的反馈结果,根据所述反馈结果确定所述安全防护设备的安全防护能力。
10.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求6-8任一项所述的方法步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求6-8任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111574056.4A CN114357456A (zh) | 2021-12-21 | 2021-12-21 | 一种安全防护能力检测系统、方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111574056.4A CN114357456A (zh) | 2021-12-21 | 2021-12-21 | 一种安全防护能力检测系统、方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114357456A true CN114357456A (zh) | 2022-04-15 |
Family
ID=81100753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111574056.4A Pending CN114357456A (zh) | 2021-12-21 | 2021-12-21 | 一种安全防护能力检测系统、方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114357456A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115361240A (zh) * | 2022-10-21 | 2022-11-18 | 北京星阑科技有限公司 | 一种漏洞确定方法、装置、计算机设备及存储介质 |
-
2021
- 2021-12-21 CN CN202111574056.4A patent/CN114357456A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115361240A (zh) * | 2022-10-21 | 2022-11-18 | 北京星阑科技有限公司 | 一种漏洞确定方法、装置、计算机设备及存储介质 |
| CN115361240B (zh) * | 2022-10-21 | 2022-12-27 | 北京星阑科技有限公司 | 一种漏洞确定方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| EP3013086B1 (en) | Method, apparatus and electronic device for connection management | |
| CN111294345B (zh) | 一种漏洞检测方法、装置及设备 | |
| US8850211B2 (en) | Method and apparatus for improving code and data signing | |
| CN110764807B (zh) | 一种升级方法、系统、服务器及终端设备 | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| KR20170121242A (ko) | 신원 인증 방법, 장치 및 시스템 | |
| CN111756761A (zh) | 基于流量转发的网络防御系统、方法和计算机设备 | |
| CN114826663B (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
| CN111182537A (zh) | 移动应用的网络接入方法、装置及系统 | |
| CN112685745B (zh) | 一种固件检测方法、装置、设备及存储介质 | |
| CN116599747A (zh) | 一种网络与信息安全服务系统 | |
| CN114357456A (zh) | 一种安全防护能力检测系统、方法、装置、设备及介质 | |
| CN111901147A (zh) | 一种网络访问的控制方法和装置 | |
| CN110912898A (zh) | 伪装设备资产的方法、装置、电子设备及存储介质 | |
| CN116827551A (zh) | 一种防止全局越权的方法及装置 | |
| CN110769010B (zh) | 一种数据管理权限处理方法、装置及计算机设备 | |
| CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
| CN112804102A (zh) | 设备绑定方法、装置和终端 | |
| CN111064675A (zh) | 访问流量控制方法、装置、网络设备及存储介质 | |
| CN115225342B (zh) | 漏洞扫描方法、装置、系统、电子装置和存储介质 | |
| CN114024712B (zh) | 一种认证方法、装置、计算机设备以及存储介质 | |
| WO2022213840A1 (zh) | 一种应用处理的方法以及相关装置 | |
| CN112492274B (zh) | 一种基于普通网络摄像机的国密加密传输设备 | |
| CN107196905B (zh) | 一种Windows平台可信网络接入客户端及接入方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |