CN114491555A - 设备安全检测方法、装置、计算机设备和存储介质 - Google Patents

设备安全检测方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN114491555A
CN114491555A CN202210048043.1A CN202210048043A CN114491555A CN 114491555 A CN114491555 A CN 114491555A CN 202210048043 A CN202210048043 A CN 202210048043A CN 114491555 A CN114491555 A CN 114491555A
Authority
CN
China
Prior art keywords
tool
target
information
detection
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210048043.1A
Other languages
English (en)
Inventor
张�林
吕启深
田治仁
王浩宇
伍炜卫
张繁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Power Supply Co ltd
Original Assignee
Shenzhen Power Supply Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Power Supply Co ltd filed Critical Shenzhen Power Supply Co ltd
Priority to CN202210048043.1A priority Critical patent/CN114491555A/zh
Publication of CN114491555A publication Critical patent/CN114491555A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • G06F9/4451User profiles; Roaming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及一种设备安全检测方法、装置、计算机设备、存储介质和计算机程序产品。该方法包括获取目标设备的目标设备探测信息;根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息;基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,不同的目标工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查;基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。采用本方法能够基于工具全自动地对设备进行安全检测,提高安全检测的自动化程度。

Description

设备安全检测方法、装置、计算机设备和存储介质
技术领域
本申请涉及信息安全技术领域,特别是涉及一种设备安全检测方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
随着信息安全技术的发展,对工业控制系统内各种设备进行安全检测极为必要。目前的设备安全检测方法中,一般由了解设备的配置信息的专业安全人员手动地输入相关设备的配置信息,然后基于设备的配置信息去匹配已有的检测工具或者为设备重新配置新的检测工具,基于检测工具对设备进行安全检测,得到安全检测结果。
然而,不论是调用已有的检测工具还是重新配置新的检测工具,都需要专业安全人员对设备的配置信息和检测工具的使用情况有一定的了解,对专业安全人员的安全知识专业度要求较高,而且需要专业安全人员手动地输入相关设备的配置信息,因此目前的设备安全检测方法存在自动化程度不高的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够基于工具全自动化地对工业控制系统中的设备进行安全检测的设备安全检测方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种设备安全检测方法。该方法包括:
获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种;
根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;
基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;
基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。
在其中一个实施例中,获取目标设备的目标设备探测信息包括:向目标设备发送探测数据包,根据返回的响应数据包中携带的协议类型,从返回的响应数据包中提取目标设备指纹信息;基于目标设备指纹信息,查询指纹库,将目标设备指纹信息与指纹库中存储的指纹信息进行比对,以确定目标设备的目标设备探测信息。
在其中一个实施例中,获取目标设备的目标设备探测信息之前,该方法还包括:获取支持不同业务类型的多个工具的工具配置信息;基于支持不同业务类型的多个工具建立工具资产库,将每个工具的工具配置信息与该工具支持的业务类型之间的对应关系存储到工具资产库中;对于支持每种业务类型的多个工具,调用多个工具中的当前工具,将不同设备的历史设备探测信息与当前工具的工具配置信息进行匹配,将历史设备探测信息中与当前工具的工具配置信息匹配的部分作为关联设备探测信息,并将关联设备探测信息与当前工具的工具配置信息之间的对应关系存储到工具资产库中。
在其中一个实施例中,基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,包括:对于每个目标工具,均通过以下步骤对目标设备进行检测,直至得到每个工具分别对应的安全检测结果为止:将目标工具和目标设备探测信息组装成数据,放入消息队列中;根据目标工具,从工具接口库中获取与目标工具对应的目标工具调用接口需要的目标工具接口参数,目标工具接口参数包括账户名、与账户名对应的账户密码和目标工具地址;根据目标设备探测信息,设置目标设备的设备地址;通过目标工具调用接口,基于目标工具接口参数,连接到目标工具,获取目标工具的控制权限;基于目标工具的控制权限和目标设备的设备地址,通过任务配置接口,下发目标工具调用任务至目标设备,以使得目标工具对目标设备进行安全检测,得到安全检测结果。
本申请还提供了一种设备安全检测方法。该方法包括:
获取预先创建的工具链式模板,工具链式模板包括有调用顺序固定的多个链式工具,每个链式工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;
获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种;
对于工具链式模板中的当前链式工具,根据工具链式模板存储的关联设备探测信息和工具配置信息之间的对应关系,对目标设备探测信息进行筛选;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;
若目标设备探测信息中存在与当前链式工具的工具配置信息对应的关联设备探测信息,则基于工具链式模板中调用顺序在当前链式工具之前的在前链式工具所对应的安全检测结果,调用当前链式工具对目标设备进行安全检测得到对应的安全检测结果,当前链式工具对应的安全检测结果用于供工具链式模板中调用顺序在当前链式工具之后的在后链式工具调用时使用;
获取工具链式模板中各链式工具分别对应的安全检测结果,并对各链式工具分别对应的安全检测结果进行验证。
在其中一个实施例中,获取目标设备的目标设备探测信息包括:向目标设备发送探测数据包,根据返回的响应数据包中携带的协议类型,从返回的响应数据包中提取目标设备指纹信息;基于目标设备指纹信息,查询指纹库,将目标设备指纹信息与指纹库中存储的指纹信息进行比对,以确定目标设备的目标设备探测信息。
在其中一个实施例中,创建工具链式模板包括:获取支持不同业务类型的多个工具的工具配置信息;基于支持不同业务类型的多个工具建立工具资产库,将每个工具的工具配置信息与该工具支持的业务类型之间的对应关系存储到工具资产库中;对于支持每种业务类型的多个工具,调用多个工具中的当前工具,将不同设备的历史设备探测信息与当前工具的工具配置信息进行匹配,将历史设备探测信息中与当前工具的工具配置信息匹配的部分作为关联设备探测信息,并将关联设备探测信息与当前工具的工具配置信息之间的对应关系存储到工具资产库中;按照工具链式规则,对支持不同业务类型的工具进行组合,创建工具链式模板,工具链式规则包括信息收集规则、口令扫描规则、口令验证规则、漏洞扫描规则、漏洞验证规则、安全配置扫描规则和安全配置验证规则。
在其中一个实施例中,基于工具链式模板中调用顺序在当前链式工具之前的在前链式工具所对应的安全检测结果,调用当前链式工具对目标设备进行安全检测得到对应的安全检测结果,包括:将工具链式模板中调用顺序在当前链式工具之前的在前链式工具所对应的安全检测结果、当前链式工具和目标设备探测信息组装成数据,放入消息队列中;根据当前链式工具,从链式工具的接口库中获取与当前链式目标工具对应的链式工具调用接口需要的链式工具接口参数,链式工具接口参数包括账户名、与账户名对应的账户密码和链式工具地址;根据目标设备探测信息,设置目标设备的设备地址;通过链式工具调用接口,基于链式工具接口参数,连接到当前链式工具,获取当前链式工具的控制权限;基于工具链式模板中调用顺序在当前链式工具之前的在前链式工具所对应的安全检测结果、当前链式工具的控制权限和目标设备的设备地址,通过任务配置接口,下发当前链式工具调用任务至目标设备,以使得当前链式工具对目标设备进行安全检测,得到安全检测结果。
第二方面,本申请还提供了一种设备安全检测装置。该装置包括:
获取模块,用于获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种;
确定模块,用于根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;
调用模块,用于基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;
检测模块,用于基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。
第三方面,本申请还提供了一种计算机设备。该计算机设备包括存储器和处理器,该存储器存储有计算机程序,该处理器执行该计算机程序时实现以下步骤:
获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种;
根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;
基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;
基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。
第四方面,本申请还提供了一种计算机可读存储介质。该计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种;
根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;
基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;
基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。
第五方面,本申请还提供了一种计算机程序产品。该计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种;
根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;
基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;
基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。
上述设备安全检测方法、装置、计算机设备、存储介质和计算机程序产品,通过获取目标设备的目标设备探测信息,根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息,基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,不同的目标工具分别支持不同的业务类型,基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。由于能够自动地获取目标设备的目标设备探测信息,基于目标设备探测信息确定至少一个目标工具,并基于至少一个目标工具对目标设备进行安全检测,无需专业安全人员提前了解目标设备的配置信息和用于安全检测的目标工具的使用情况、也无需专业安全人员手动地输入目标设备的配置信息即可全自动化地完成对目标设备的安全检测,从而提高了对设备进行安全检测的自动化程度。并且,目标工具支持的业务类型包括弱口令检测、漏洞扫描和安全配置检查,从而实现了对工业控制系统内各种设备的安全性的全面检测。
附图说明
图1为一个实施例中设备安全检测方法的应用环境图;
图2为一个实施例中设备安全检测方法的流程示意图;
图3为另一个实施例中设备安全检测方法的流程示意图;
图4为又一个实施例中设备安全检测方法的流程示意图;
图5为一个实施例中设备安全检测装置的结构框图;
图6为另一个实施例中设备安全检测装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的一种设备安全检测方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。终端102可单独执行本申请实施例提供的设备安全检测方法,终端102和服务器104也可协同执行本申请实施例提供的设备安全检测方法。
当终端102单独执行设备安全检测方法时,终端102获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种;根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。
当终端102和服务器104协同执行设备安全检测方法时,终端102获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种,并将目标设备探测信息发送至服务器104。服务器104根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。
其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
应当理解的是,本申请实施例中使用的“第一”、“第二”、“第三”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。除非上下文另外清楚地指出,否则单数形式的“一个”、“一”或者“该”等类似词语也不表示数量限制,而是表示存在至少一个。
在一个实施例中,如图2所示,提供了一种设备安全检测方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
步骤202,获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种。
其中,目标设备是工业控制系统中需要进行安全检测的设备。目标设备探测信息指的是与目标设备对应的设备探测信息,可以为目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种。
目标设备类型指的是与目标设备对应的设备类型,包括服务器、打印机、交换机、工控PLC(Programmable Logic Controller,可编程序控制器)、路由器和防火墙等与工业控制系统相关的设备。目标控制协议指的是与目标设备对应的控制协议,包括FTP(FileTransfer Protocol)协议、Telnet协议、SSH(Secure Shell)协议、Rlogin协议、RDP(RemoteDisplay Protocol)协议、RFB(Remote Frame Buffer)协议、SMB(Server Message Block)协议。目标开放端口指的是与目标设备对应的开放端口,设备的端口分为开放、关闭和被过滤三种状态,仅当设备的端口为开放状态时,端口能够响应探测数据包。目标操作系统指的是与目标设备对应的操作系统,具体地包括操作系统类型、操作系统版本号和操作系统提供商等,操作系统类型包括Windows、Linux和Unix等;目标服务应用指的是与目标设备对应的服务应用,具体地包括服务应用类型、服务应用版本号、服务应用描述、服务应用状态和服务应用提供商等,服务应用类型包括FTP服务、NFS服务、SSH服务、Telnet服务以及DNS服务等。
具体地,终端通过向目标设备发送探测数据包,获取目标设备的目标设备探测信息。或者,终端也可以通过调用开源的或第三方厂家的信息收集工具,获取目标设备的目标设备探测信息。
步骤204,根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个。
其中,工具资产库用于集成多个工具,并存储关联设备探测信息和工具配置信息之间的对应关系。关联设备探测信息指的是用于与工具配置信息匹配的目标设备探测信息。目标工具配置信息指的是与目标设备探测信息对应的目标工具的工具配置信息。
具体地,终端获取到目标设备探测信息后,对目标设备探测信息进行筛选,得到关联设备探测信息,根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中找到与关联设备探测信息对应的目标工具配置信息。
步骤206,基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种。
其中,目标工具指的是工具资产库中与目标设备探测信息对应的工具。由于工具资产库中集成有支持不同业务类型的多个工具,因此在工具资产库中,一个工具配置信息对应于多个支持不同业务类型的工具,对于支持每种业务类型的工具,支持每种业务类型的工具可以为一个也可以为多个。
业务类型指的是与安全检测相关的检测业务,可以为弱口令检测、漏洞扫描和安全配置检查。弱口令检测工具通过弱口令扫描工具中预置的多组账户名和账户密码尝试登录设备,检测到设备中的至少一个账户名对应的账户密码,以获得设备的控制权限。漏洞扫描是判断目标设备是否存在脆弱性风险的主要依据。漏洞扫描工具根据漏洞库中存储的漏洞规则对目标设备进行检测,发现目标设备的操作系统、服务应用中存在的漏洞,将漏洞的影响和危害性按照风险等级进行统计分析以得到漏洞的修复方案和建议,从而提高目标设备的安全性。安全配置检查工具针对目标设备探测信息,按照规范要求对目标设备进行检查,确定目标设备的配置是否符合规范要求,规范要求包括网络安全法、等级保护条例、关键基础设施安全保护条例和行业规范等,并列出目标设备存在的问题以及修复方案和建议。
具体地,终端基于工具资产库集成的多个工具,从工具资产库中依次调用与目标工具配置信息对应的第一目标工具、第二目标工具和第三目标工具。其中,第一目标工具支持的业务类型、第二目标工具支持的业务类型和第三目标工具支持的业务类型均不同,第一目标工具支持的业务类型为弱口令检测,第二目标工具支持的业务类型为漏洞扫描,第三目标工具支持的业务类型为安全配置检查。
步骤208,基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。
其中,安全检测结果指的是与目标工具支持的业务类型对应的安全检测结果,当目标工具支持的业务类型为弱口令检测时,安全检测结果可以为目标设备的账户名和与账户名对应的账户密码;当目标工具支持的业务类型为漏洞扫描时,安全检测结果可以为目标设备的操作系统漏洞和服务漏洞;当目标工具支持的业务类型为安全配置检查时,安全检测结果可以为目标设备的安全评分。最终安全检测结果指的是目标设备的安全检测报告,报告的内容包括目标设备探测信息、至少一种安全检测结果、以及对目标设备采取的建议安全防护措施。
具体地,终端在从工具资产库中依次调用与目标工具配置信息对应的第一目标工具、第二目标工具和第三目标工具后,分别使用第一目标工具、第二目标工具和第三目标工具对目标设备进行检测,得到对应的第一安全检测结果、第二安全检测结果和第三安全检测结果。其中,第一安全检测结果为目标设备的账户名和与账户名对应的账户密码,第二安全检测结果为目标设备的操作系统漏洞和服务漏洞,第三安全检测结果为目标设备的安全评分。终端基于目标设备探测信息、第一安全检测结果、第二安全检测结果和第三安全检测结果确定最终安全检测结果,完成对目标设备的安全检测。
上述设备安全检测方法中,由于能够自动地获取目标设备的目标设备探测信息,基于目标设备探测信息确定至少一个目标工具,并基于至少一个目标工具对目标设备进行安全检测,无需专业安全人员提前了解目标设备的配置信息和用于安全检测的目标工具的使用情况、也无需专业安全人员手动地输入目标设备的配置信息即可全自动化地完成对目标设备的安全检测,从而提高了对设备进行安全检测的自动化程度。并且,目标工具支持的业务类型包括弱口令检测、漏洞扫描和安全配置检查,从而实现了对工业控制系统内各种设备全面的安全检测。
在一个实施例中,获取目标设备的目标设备探测信息包括:向目标设备发送探测数据包,根据返回的响应数据包中携带的协议类型,从返回的响应数据包中提取目标设备指纹信息。基于目标设备指纹信息,查询指纹库,将目标设备指纹信息与指纹库中存储的指纹信息进行比对,以确定目标设备的目标设备探测信息。
其中,探测数据包是用于对目标设备的目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用进行探测的数据包。响应数据包是目标设备在接收到探测数据包后返回的数据包,其中携带有目标设备类型、目标控制协议、目标开放端口。目标设备指纹信息是与目标设备对应的设备指纹信息,设备指纹信息用于唯一地标识一个设备。
指纹库用于存储设备指纹信息、操作系统指纹信息和服务应用指纹信息,操作系统指纹信息用于唯一地标识一个操作系统,服务应用指纹信息用于唯一地标识一个应用服务。指纹库还用于存储设备指纹信息和操作系统指纹信息的对应关系、设备指纹信息和服务应用指纹信息的对应关系,其中,一个设备指纹信息对应于一个操作系统指纹信息,一个设备指纹信息对应于多个应用服务。
具体地,终端首先向目标设备发送探测数据包;若终端接收到响应数据包,则根据终端预先存储的控制协议和设备指纹信息之间的对应关系,确定与响应数据包中携带的目标控制协议对应的目标设备指纹信息。
在终端获取到目标设备指纹信息之后,终端查询指纹库,将目标设备指纹信息与指纹库中存储的设备指纹信息进行比对,若查找到与目标设备指纹信息一致的设备指纹信息,则将指纹库中与目标设备指纹信息对应的操作系统指纹信息作为目标操作系统,与目标设备指纹信息对应的服务应用指纹信息作为目标服务应用。从而,终端基于获取到的目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用,确定目标设备的目标设备探测信息。
本实施例中,通过向目标设备发送探测数据包,根据返回的响应数据包中携带的协议类型,从返回的响应数据包中提取目标设备指纹信息;并基于目标设备指纹信息,确定目标设备的目标操作系统和目标服务应用。相对于由专业安全人员手动地输入目标设备的配置信息,能够达到自动地获取目标设备的目标设备探测信息的目的,避免了人为失误,提高了目标设备探测的准确性。
在一个实施例中,获取目标设备的目标设备探测信息之前,该设备安全检测方法还包括:获取支持不同业务类型的多个工具的工具配置信息;基于支持不同业务类型的多个工具建立工具资产库,将每个工具的工具配置信息与该工具支持的业务类型之间的对应关系存储到工具资产库中;对于支持每种业务类型的多个工具,调用多个工具中的当前工具,将不同设备的历史设备探测信息与当前工具的工具配置信息进行匹配,将历史设备探测信息中与当前工具的工具配置信息匹配的部分作为关联设备探测信息,并将关联设备探测信息与当前工具的工具配置信息之间的对应关系存储到工具资产库中。
其中,历史设备探测信息指的是在获取目标设备的目标设备探测信息之前,对不同设备进行探测得到的多个设备探测信息。
具体地,终端建立一个工具资产库,工具资产库中集成有支持不同业务类型的多个工具。工具资产库用于存储支持不同业务类型的多个工具的工具配置信息,并存储每个工具的工具配置信息与该工具支持的业务类型之间的对应关系。终端获取支持不同业务类型的多个工具的工具配置信息;对于支持每种业务类型的多个工具,调用多个工具中的当前工具,将不同设备的历史设备探测信息与当前工具的工具配置信息进行匹配,将历史设备探测信息中与当前工具的工具配置信息匹配的部分作为关联设备探测信息,并将关联设备探测信息与当前工具的工具配置信息之间的对应关系存储到工具资产库中。
本实施例中,通过在获取目标设备的目标设备探测信息之前,对不同设备进行探测得到历史设备探测信息,并建立工具资产库,将历史设备探测信息与工具配置信息进行匹配,得到关联设备探测信息和工具配置信息之间的对应关系,能够达到将关联设备探测信息和工具配置信息之间的对应关系存储到工具资产库的目的。
在一个实施例中,基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,包括:对于每个目标工具,均通过以下步骤对目标设备进行检测,直至得到每个工具分别对应的安全检测结果为止:将目标工具和目标设备探测信息组装成数据,放入消息队列中;根据目标工具,从工具接口库中获取与目标工具对应的目标工具调用接口需要的目标工具接口参数,目标工具接口参数包括账户名、与账户名对应的账户密码和目标工具地址;根据目标设备探测信息,设置目标设备的设备地址;通过目标工具调用接口,基于目标工具接口参数,连接到目标工具,获取目标工具的控制权限;基于目标工具的控制权限和目标设备的设备地址,通过任务配置接口,下发目标工具调用任务至目标设备,以使得目标工具对目标设备进行安全检测,得到安全检测结果。
其中,消息队列指的是在消息的传输过程中保存消息的容器。通过将目标工具和目标设备探测信息组装成数据,放入消息队列,可以独立调用目标工具和已获取的目标设备探测信息,而无需先调用目标设备探测信息,再调用与目标设备探测信息对应的目标工具,从而可以实现调用目标工具和调用已获取的目标设备探测信息的解耦、异步。
工具接口库中集成有多个工具调用接口,用于存储工具对应的工具调用接口需要的工具接口参数。目标工具接口参数指的是用于将目标工具调用接口连接到目标工具并登录目标工具的参数,包括账户名、与账户名对应的账户密码和目标工具地址;其中,目标工具地址用于将目标工具调用接口连接到目标工具,账户名和与账户名对应的账户密码用于登录目标工具以获取目标工具的控制权限。
具体地,当目标工具为多个目标工具时,对于每个目标工具,终端均通过以下步骤对目标设备进行检测,直到得到每个工具分别对应的安全检测结果:终端将目标工具和目标设备探测信息组装成数据,放入消息队列;根据目标工具,从工具接口库中获取与目标工具对应的目标工具调用接口需要的目标工具接口参数,包括目标工具地址、账户名和与账户名对应的账户密码,以实现对目标工具的工具调用接口的配置;再将获取到的目标工具接口参数发送给任务配置接口,以使得任务配置接口在接收到目标工具接口参数之后,对目标工具调用任务进行配置和将目标工具调用任务下发至目标设备。具体地,终端根据目标设备探测信息设置目标设备的设备地址;根据目标工具地址,将目标工具调用接口连接到目标工具;并在当目标工具调用接口已连接到目标工具时,根据账户名和与账户名对应的账户密码登录目标工具,以使得任务配置接口获取到目标工具的控制权限;基于获取到的目标工具的控制权限和目标设备的设备地址,通过任务配置接口,下发目标工具调用任务至目标设备,以使得目标工具对目标设备进行安全检测,得到安全检测结果。
本实施例中,通过将目标工具和目标设备探测信息组装成数据,放入消息队列中,对目标工具的工具调用接口进行配置、对目标工具调用任务进行配置和将目标工具调用任务下发至目标设备,能够达到基于目标工具对目标设备进行安全检测、得到安全检测结果的目的。
在另一个实施例中,如图3所示,提供了一种设备安全检测方法,该方法是针对有特定安全检测需求的场景设计的,需要根据特定安全检测需求提前创建一个工具链式模板,然后基于工具链式模板对目标设备进行安全检测。以该方法应用于图1中的终端为例进行说明,包括以下步骤:
步骤302,获取预先创建的工具链式模板,工具链式模板包括有调用顺序固定的多个链式工具,每个链式工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种。
其中,工具链式模板包括有调用顺序固定的多个链式工具,多个链式工具存储于工具资产库中,每个链式工具分别支持不同的业务类型,并且基于当前链式工具得到的安全检测结果能够供工具链式模板中调用顺序在当前链式工具之后的在后链式工具调用时使用。例如,工具链式模板可以为先执行用于探测设备信息的工具,再执行用于弱口令检测的工具,最后执行用于漏洞扫描的工具;工具链式模板也可以为先执行用于探测设备信息的工具,再执行用于弱口令检测的工具,最后执行用于安全配置检查的工具。
具体地,终端获取预先创建的工具链式模板,工具链式模板包括有调用顺序固定的第一链式工具、第二链式工具和第三链式工具,第一链式工具、第二链式工具和第三链式工具支持的业务类型均不同,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的一种。
步骤304,获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种。
具体地,终端获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种。
步骤306,对于工具链式模板中的当前链式工具,根据工具链式模板存储的关联设备探测信息和工具配置信息之间的对应关系,对目标设备探测信息进行筛选;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个。
其中,当前链式工具指的是工具链式模板中的用于执行一种业务类型的链式工具,其数量可以为一个或多个,在当前链式工具的数量为多个时,表示工具链式模板中存在用于执行同一业务类型的多个链式工具。例如,工具链式模板可以包括一个用于执行探测设备信息的工具,两个用于执行弱口令检测的工具,一个用于执行漏洞扫描的工具,其中这两个用于执行弱口令检测的工具的执行顺序是先后关系,如果在先的工具能够对目标设备进行弱口令检测,则在后的工具不需要执行,直接进入下一步执行用于漏洞扫描的工具;如果在先的工具不能对目标设备进行弱口令检测,则启用在后的工具执行;如果这两个工具都不能对目标设备进行弱口令检测,则返回弱口令检测失败信息。
具体地,在终端获取到目标设备的目标设备探测信息后,终端通过工具链式模板中的第一链式工具,根据工具链式模板存储的关联设备探测信息和工具配置信息之间的对应关系,对目标设备探测信息进行筛选。
步骤308,若目标设备探测信息中存在与当前链式工具的工具配置信息对应的关联设备探测信息,则基于工具链式模板中调用顺序在当前链式工具之前的在前链式工具所对应的安全检测结果,调用当前链式工具对目标设备进行安全检测得到对应的安全检测结果,当前链式工具对应的安全检测结果用于供工具链式模板中调用顺序在当前链式工具之后的在后链式工具调用时使用。
其中,在后链式工具指的是工具链式模板中调用顺序在当前链式工具的至少下一个的链式工具,在后链式工具和当前链式工具支持的业务类型不同。例如,在后链式工具可以是当前链式工具的下一个链式工具,也可以是当前链式工具的下两个链式工具。
由于工具链式模板是预先创建的,其中每个链式工具的调用顺序是固定的,并且调用当前链式工具的在后链式工具对目标设备进行安全检测,取决于调用当前链式工具进行安全检测得到的安全检测结果。因此,只有当目标设备探测信息中存在与当前链式工具的工具配置信息对应的关联设备探测信息时,终端才能基于工具链式模板中调用顺序在当前链式工具之前的在前链式工具所对应的安全检测结果,调用当前链式工具对目标设备进行安全检测得到对应的安全检测结果,并且能够调用当前链式工具的在后链式工具,以对目标设备进行与在后链式工具对应的业务类型的安全检测;如果目标设备探测信息中不存在与当前链式工具的工具配置信息对应的关联设备探测信息,则终端直接返回安全检测失败信息,提醒用户该工具链式模板无法对目标设备进行安全检测。
具体地,若目标设备探测信息中存在与第一链式工具的工具配置信息对应的关联设备探测信息,则调用第一链式工具对目标设备进行安全检测得到与第一链式工具对应的安全检测结果;然后,终端通过第二链式工具,根据工具链式模板存储的关联设备探测信息和工具配置信息之间的对应关系,对目标设备探测信息进行筛选,若目标设备探测信息中存在与第二链式工具的工具配置信息对应的关联设备探测信息,则基于与第一链式工具对应的安全检测结果,调用第二链式工具对目标设备进行安全检测得到与第二链式工具对应的安全检测结果;终端再通过第三链式工具,根据工具链式模板存储的关联设备探测信息和工具配置信息之间的对应关系,对目标设备探测信息进行筛选,若目标设备探测信息中存在与第三链式工具的工具配置信息对应的关联设备探测信息,则基于与第二链式工具对应的安全检测结果,调用第三链式工具对目标设备进行安全检测得到与第三链式工具对应的安全检测结果。
步骤310,获取工具链式模板中各链式工具分别对应的安全检测结果,并对各链式工具分别对应的安全检测结果进行验证。
其中,由于在对设备进行安全检测时,存在信息误报的情况,为了降低信息误报率,在得到安全检测结果后需要对其进一步地验证,以提高安全检测结果的准确性。
具体的,终端分别对与第一链式工具对应的安全检测结果、与第二链式工具对应的安全检测结果和与第三链式工具对应的安全检测结果进行验证。验证方法可以为终端调用开源的或者第三方厂家的验证工具进行验证,也可以为终端通过向目标设备发送验证脚本进行验证,还可以为人工辅助进行验证。例如,对与漏洞扫描工具对应的安全检测结果进行验证,是确定漏洞是否存在的依据,包括验证工具进行验证和人工辅助验证:首先调用验证工具进行验证,如果验证通过,则返回验证已通过信息;如果验证未通过,则需要进行人工审核,判断该验证未通过的漏洞是否是误报漏洞。
本实施例中,通过创建工具链式模板,工具链式模板中的多个链式工具按照固定的调用顺序调用,以进行安全检测,能够达到满足特定安全检测需求的目的。
在一个实施例中,创建工具链式模板包括:获取支持不同业务类型的多个工具的工具配置信息;基于支持不同业务类型的多个工具建立工具资产库,将每个工具的工具配置信息与工具支持的业务类型之间的对应关系存储到工具资产库中;对于支持每种业务类型的多个工具,调用多个工具中的当前工具,将不同设备的历史设备探测信息与当前工具的工具配置信息进行匹配,将历史设备探测信息中与当前工具的工具配置信息匹配的部分作为关联设备探测信息,并将关联设备探测信息与当前工具的工具配置信息之间的对应关系存储到工具资产库中;按照工具链式规则,对支持不同业务类型的工具进行组合,创建工具链式模板,工具链式规则包括信息收集规则、口令扫描规则、口令验证规则、漏洞扫描规则、漏洞验证规则、安全配置扫描规则和安全配置验证规则。
其中,工具链式规则中规定了工具的调用前置条件和调用后置条件,调用前置条件指的是调用该工具的前提条件,调用后置条件指的是调用该工具得到的安全检测结果。例如,漏洞检测工具的调用前置条件是能够获取到目标设备的账户名和与账户名对应的账户密码,漏洞检测工具的调用后置条件是漏洞检测结果。
具体地,工具链式模板的创建是在建立工具资产库的基础上进行的,终端获取多个工具链式规则,基于每个工具链式规则中规定的对应工具的调用前置条件和调用后置条件,将工具资产库中的支持不同业务类型的多个工具进行组合,得到具有固定的调用顺序的工具链式模板。
本实施例中,通过工具资产库和工具链式规则,能够达到创建工具链式模板的目的。
在又一个实施例中,如图4所示,提供了一种设备安全检测方法,该方法根据工具链式规则拖拽工具创建工具链式模板,工具链式规则为信息收集、口令扫描、口令验证规则;信息收集、漏扫扫描、漏洞验证规则;信息收集、漏洞匹配、漏洞利用规则等。在使用工具链式模板对目标设备进行安全检测时,链式中的前一个工具为后一个工具提供数据来源。检测具体步骤如下:
第一步:对目标设备开放的端口、服务、操作系统、系统版本、服务版本、厂商等信息进行收集,其中包括但不限于人工输入、端口扫描、服务扫描等手段。收集的信息经过过滤、去重、筛选等处理存入数据库中。
第二步:通过扫描目标设备获取信息收集的数据,根据工具链式模板中的检测工具对信息进行匹配,匹配方式按照工具配置信息和支持的业务类型等进行筛选处理,获取到工具检测需要的信息(如目标设备的类型、启动的服务等),通过平台工具引擎服务,调用工具接口下发扫描任务对目标设备进行检测。检测结果经过处理存储到数据库中。
第三步:通过目标设备和检测工具获取到第二步的检测结果,根据工具链式模板中的结果验证工具对检测结果进行验证。验证方式包括:工具验证、脚本验证、专家验证等。验证后的结果存到数据库中。
第四步:根据目标设备和工具链式模板获取第一步、第二步、第三步的结果形式安全分析报告,报告数据包括:目标设备的信息收集、工具检测、工具或脚本验证、专家验证等数据。
例如:对目标设备进行漏洞扫描的工具链式模板是通过信息收集、弱口令扫描、人工输入、端口服务扫描等方式获取信息作为数据来源,利用收集的信息为漏洞扫描环节提供数据,调用漏洞扫描工具对目标设备进行漏洞扫描,扫描的漏洞结果为漏洞验证环节提供数据来源进行漏洞的验证。其中在每个环节中可以对数据进行人工修改和确认,确保数据和结果的准确性。
本实施例的设备安全检测方法实现了工具链式模板检测,无需对工具进行过多的配置和了解即可完成对目标设备的安全检测,具备从信息收集、口令扫描、漏洞扫描、漏洞验证等多种环节进行检测,在检测过程中可对结果进行确认和修改更能保证检测结果的准确性。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的设备安全检测方法的设备安全检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个设备安全检测装置实施例中的具体限定可以参见上文中对于设备安全检测方法的限定,在此不再赘述。
在一个实施例中,如图5所示,提供了一种设备安全检测装置500,包括:获取模块502、确定模块504、调用模块506和检测模块508,其中:
获取模块502,用于获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种。
确定模块504,用于根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与目标设备探测信息对应的目标工具配置信息;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个。
调用模块506,用于基于工具资产库集成的多个工具,调用与目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种。
检测模块508,用于基于至少一个目标工具依次对目标设备进行检测,得到至少一种安全检测结果,基于至少一种安全检测结果确定最终安全检测结果。
在一个实施例中,获取模块502还用于向目标设备发送探测数据包,根据返回的响应数据包中携带的协议类型,从返回的响应数据包中提取目标设备指纹信息;基于目标设备指纹信息,查询指纹库,将目标设备指纹信息与指纹库中存储的指纹信息进行比对,以确定目标设备的目标设备探测信息。
在一个实施例中,设备安全检测装置500还包括存储模块,该存储模块用于获取支持不同业务类型的多个工具的工具配置信息;基于支持不同业务类型的多个工具建立工具资产库,将每个工具的工具配置信息与该工具支持的业务类型之间的对应关系存储到工具资产库中;对于支持每种业务类型的多个工具,调用多个工具中的当前工具,将不同设备的历史设备探测信息与当前工具的工具配置信息进行匹配,将历史设备探测信息中与当前工具的工具配置信息匹配的部分作为关联设备探测信息,并将关联设备探测信息与当前工具的工具配置信息之间的对应关系存储到工具资产库中。
在一个实施例中,检测模块508还用于对于每个目标工具,均通过以下步骤对目标设备进行检测,直至得到每个工具分别对应的安全检测结果为止:将目标工具和目标设备探测信息组装成数据,放入消息队列中;根据目标工具,从工具接口库中获取与目标工具对应的目标工具调用接口需要的目标工具接口参数,目标工具接口参数包括账户名、与账户名对应的账户密码和目标工具地址;根据目标设备探测信息,设置目标设备的设备地址;通过目标工具调用接口,基于目标工具接口参数,连接到目标工具,获取目标工具的控制权限;基于目标工具的控制权限和目标设备的设备地址,通过任务配置接口,下发目标工具调用任务至目标设备,以使得目标工具对目标设备进行安全检测,得到安全检测结果。
在另一个实施例中,如图6所示,提供了一种设备安全检测装置600,包括:获取模块602、筛选模块604、检测模块606和验证模块608,其中:
获取模块602,用于获取预先创建的工具链式模板,工具链式模板包括有调用顺序固定的多个链式工具,每个链式工具分别支持不同的业务类型,业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种。
获取模块602,还用于获取目标设备的目标设备探测信息,目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种。
筛选模块604,用于对于工具链式模板中的当前链式工具,根据工具链式模板存储的关联设备探测信息和工具配置信息之间的对应关系,对目标设备探测信息进行筛选;其中,工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个。
检测模块606,用于若目标设备探测信息中存在与当前链式工具的工具配置信息对应的关联设备探测信息,则基于工具链式模板中调用顺序在当前链式工具之前的在前链式工具所对应的安全检测结果,调用当前链式工具对目标设备进行安全检测得到对应的安全检测结果,当前链式工具对应的安全检测结果用于供工具链式模板中调用顺序在当前链式工具之后的在后链式工具调用时使用。
验证模块608,用于获取工具链式模板中各链式工具分别对应的安全检测结果,并对各链式工具分别对应的安全检测结果进行验证。
在一个实施例中,获取模块602还用于向目标设备发送探测数据包,根据返回的响应数据包中携带的协议类型,从返回的响应数据包中提取目标设备指纹信息;基于目标设备指纹信息,查询指纹库,将目标设备指纹信息与指纹库中存储的指纹信息进行比对,以确定目标设备的目标设备探测信息。
在一个实施例中,获取模块602还用于获取支持不同业务类型的多个工具的工具配置信息;基于支持不同业务类型的多个工具建立工具资产库,将每个工具的工具配置信息与该工具支持的业务类型之间的对应关系存储到工具资产库中;对于支持每种业务类型的多个工具,调用多个工具中的当前工具,将不同设备的历史设备探测信息与当前工具的工具配置信息进行匹配,将历史设备探测信息中与当前工具的工具配置信息匹配的部分作为关联设备探测信息,并将关联设备探测信息与当前工具的工具配置信息之间的对应关系存储到工具资产库中;按照工具链式规则,对支持不同业务类型的工具进行组合,创建工具链式模板,工具链式规则包括信息收集规则、口令扫描规则、口令验证规则、漏洞扫描规则、漏洞验证规则、安全配置扫描规则和安全配置验证规则。
在一个实施例中,检测模块606还用于将工具链式模板中调用顺序在当前链式工具之前的在前链式工具所对应的安全检测结果、当前链式工具和目标设备探测信息组装成数据,放入消息队列中;根据当前链式工具,从链式工具的接口库中获取与当前链式目标工具对应的链式工具调用接口需要的链式工具接口参数,链式工具接口参数包括账户名、与账户名对应的账户密码和链式工具地址;根据目标设备探测信息,设置目标设备的设备地址;通过链式工具调用接口,基于链式工具接口参数,连接到当前链式工具,获取当前链式工具的控制权限;基于工具链式模板中调用顺序在当前链式工具之前的在前链式工具所对应的安全检测结果、当前链式工具的控制权限和目标设备的设备地址,通过任务配置接口,下发当前链式工具调用任务至目标设备,以使得当前链式工具对目标设备进行安全检测,得到安全检测结果。
上述设备安全检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种设备安全检测方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种设备安全检测方法,其特征在于,所述方法包括:
获取目标设备的目标设备探测信息,所述目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种;
根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与所述目标设备探测信息对应的目标工具配置信息;其中,所述工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;
基于工具资产库集成的多个工具,调用与所述目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,所述业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;
基于所述至少一个目标工具依次对所述目标设备进行检测,得到至少一种安全检测结果,基于所述至少一种安全检测结果确定最终安全检测结果。
2.根据权利要求1所述的方法,其特征在于,所述获取目标设备的目标设备探测信息包括:
向目标设备发送探测数据包,根据返回的响应数据包中携带的协议类型,从返回的响应数据包中提取目标设备指纹信息;
基于所述目标设备指纹信息,查询指纹库,将所述目标设备指纹信息与所述指纹库中存储的指纹信息进行比对,以确定所述目标设备的目标设备探测信息。
3.根据权利要求1所述的方法,其特征在于,获取目标设备的目标设备探测信息之前,所述方法还包括:
获取支持不同业务类型的多个工具的工具配置信息;
基于支持不同业务类型的多个工具建立工具资产库,将每个工具的工具配置信息与所述工具支持的业务类型之间的对应关系存储到工具资产库中;
对于支持每种业务类型的多个工具,调用多个工具中的当前工具,将不同设备的历史设备探测信息与所述当前工具的工具配置信息进行匹配,将所述历史设备探测信息中与所述当前工具的工具配置信息匹配的部分作为关联设备探测信息,并将关联设备探测信息与所述当前工具的工具配置信息之间的对应关系存储到工具资产库中。
4.根据权利要求1所述的方法,其特征在于,所述基于所述至少一个目标工具依次对所述目标设备进行检测,得到至少一种安全检测结果,包括:
对于每个目标工具,均通过以下步骤对目标设备进行检测,直至得到每个工具分别对应的安全检测结果为止:
将所述目标工具和所述目标设备探测信息组装成数据,放入消息队列中;
根据所述目标工具,从工具接口库中获取与所述目标工具对应的目标工具调用接口需要的目标工具接口参数,所述目标工具接口参数包括账户名、与账户名对应的账户密码和目标工具地址;
根据所述目标设备探测信息,设置所述目标设备的设备地址;
通过所述目标工具调用接口,基于所述目标工具接口参数,连接到所述目标工具,获取所述目标工具的控制权限;
基于所述目标工具的控制权限和所述目标设备的设备地址,通过任务配置接口,下发目标工具调用任务至所述目标设备,以使得所述目标工具对所述目标设备进行安全检测,得到安全检测结果。
5.一种设备安全检测方法,其特征在于,所述方法包括:
获取预先创建的工具链式模板,所述工具链式模板包括有调用顺序固定的多个链式工具,每个链式工具分别支持不同的业务类型,所述业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;
获取目标设备的目标设备探测信息,所述目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种;
对于所述工具链式模板中的当前链式工具,根据所述工具链式模板存储的关联设备探测信息和工具配置信息之间的对应关系,对所述目标设备探测信息进行筛选;其中,所述工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;
若所述目标设备探测信息中存在与当前链式工具的工具配置信息对应的关联设备探测信息,则基于所述工具链式模板中调用顺序在所述当前链式工具之前的在前链式工具所对应的安全检测结果,调用当前链式工具对所述目标设备进行安全检测得到对应的安全检测结果,所述当前链式工具对应的安全检测结果用于供所述工具链式模板中调用顺序在所述当前链式工具之后的在后链式工具调用时使用;
获取所述工具链式模板中各链式工具分别对应的安全检测结果,并对各链式工具分别对应的安全检测结果进行验证。
6.根据权利要求5所述的方法,其特征在于,所述创建工具链式模板包括:
获取支持不同业务类型的多个工具的工具配置信息;
基于支持不同业务类型的多个工具建立工具资产库,将每个工具的工具配置信息与所述工具支持的业务类型之间的对应关系存储到工具资产库中;
对于支持每种业务类型的多个工具,调用多个工具中的当前工具,将不同设备的历史设备探测信息与所述当前工具的工具配置信息进行匹配,将所述历史设备探测信息中与所述当前工具的工具配置信息匹配的部分作为关联设备探测信息,并将关联设备探测信息与所述当前工具的工具配置信息之间的对应关系存储到工具资产库中;
按照工具链式规则,对支持不同业务类型的工具进行组合,创建工具链式模板,所述工具链式规则包括信息收集规则、口令扫描规则、口令验证规则、漏洞扫描规则、漏洞验证规则、安全配置扫描规则和安全配置验证规则。
7.一种设备安全检测装置,其特征在于,所述装置包括:
获取模块,用于获取目标设备的目标设备探测信息,所述目标设备探测信息包括目标设备类型、目标控制协议、目标开放端口、目标操作系统和目标服务应用中的至少一种;
确定模块,用于根据工具资产库存储的关联设备探测信息和工具配置信息之间的对应关系,从工具资产库中确定与所述目标设备探测信息对应的目标工具配置信息;其中,所述工具配置信息包括工具支持的设备类型、控制协议、操作系统和服务应用中的至少一个;
调用模块,用于基于工具资产库集成的多个工具,调用与所述目标工具配置信息对应的至少一个目标工具,其中,不同的目标工具分别支持不同的业务类型,所述业务类型包括弱口令检测、漏洞扫描和安全配置检查中的至少一种;
检测模块,用于基于所述至少一个目标工具依次对所述目标设备进行检测,得到至少一种安全检测结果,基于所述至少一种安全检测结果确定最终安全检测结果。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202210048043.1A 2022-01-17 2022-01-17 设备安全检测方法、装置、计算机设备和存储介质 Pending CN114491555A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210048043.1A CN114491555A (zh) 2022-01-17 2022-01-17 设备安全检测方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210048043.1A CN114491555A (zh) 2022-01-17 2022-01-17 设备安全检测方法、装置、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN114491555A true CN114491555A (zh) 2022-05-13

Family

ID=81512452

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210048043.1A Pending CN114491555A (zh) 2022-01-17 2022-01-17 设备安全检测方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN114491555A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115484081A (zh) * 2022-08-31 2022-12-16 中汽创智科技有限公司 一种主机入侵检测方法、装置、设备及存储介质
CN116016241A (zh) * 2022-12-27 2023-04-25 安天科技集团股份有限公司 一种设备指纹信息识别方法、装置、存储介质及电子设备
CN116401714A (zh) * 2023-05-26 2023-07-07 北京天融信网络安全技术有限公司 安全信息获取方法、装置、设备及介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115484081A (zh) * 2022-08-31 2022-12-16 中汽创智科技有限公司 一种主机入侵检测方法、装置、设备及存储介质
CN116016241A (zh) * 2022-12-27 2023-04-25 安天科技集团股份有限公司 一种设备指纹信息识别方法、装置、存储介质及电子设备
CN116016241B (zh) * 2022-12-27 2024-05-31 安天科技集团股份有限公司 一种设备指纹信息识别方法、装置、存储介质及电子设备
CN116401714A (zh) * 2023-05-26 2023-07-07 北京天融信网络安全技术有限公司 安全信息获取方法、装置、设备及介质
CN116401714B (zh) * 2023-05-26 2023-09-26 北京天融信网络安全技术有限公司 安全信息获取方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
US9742794B2 (en) Method and apparatus for automating threat model generation and pattern identification
US20220078210A1 (en) System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces
RU2677378C2 (ru) Системы и способы анализа сети и обеспечения отчетов
US11799732B2 (en) Internet of things device discovery and configuration
CN114491555A (zh) 设备安全检测方法、装置、计算机设备和存储介质
CN108418787B (zh) 企业资源计划数据的采集方法、终端设备及介质
CN105787364B (zh) 任务的自动化测试方法、装置及系统
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
CN111460404A (zh) 双录数据处理方法、装置、计算机设备及存储介质
CN113489713A (zh) 网络攻击的检测方法、装置、设备及存储介质
US20200092165A1 (en) Honeypot asset cloning
CN112738138B (zh) 云安全托管方法、装置、设备及存储介质
WO2021174870A1 (zh) 网络安全风险检测方法、系统、计算机设备和存储介质
CN107004092A (zh) 针对网络和脆弱性扫描仪的控制设备和方法
CN107070931A (zh) 云应用数据上传/访问方法、系统及云代理服务器
CN112579453A (zh) 任务测试方法、装置、设备及存储介质
CN114499974A (zh) 设备探测方法、装置、计算机设备和存储介质
CN109818972A (zh) 一种工业控制系统信息安全管理方法、装置及电子设备
CN112015715A (zh) 工业互联网数据管理服务测试方法及系统
CN108768916A (zh) 一种获取安全配置信息的方法及装置
CN114785677A (zh) 日志管理方法、装置、计算机设备、存储介质和程序产品
CN109933990B (zh) 基于多模式匹配的安全漏洞发现方法、装置及电子设备
US20210097589A1 (en) System and Method for Authenticating Network Transaction
CN107018005A (zh) 事件触发方法、事件管理系统及系统
US20140201839A1 (en) Identification and alerting of network devices requiring special handling maintenance procedures

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination