发明内容
本发明提供一种路由器安全配置自动修复监测方法及系统,实现对路由器安全配置的自动修复监测,避免手动操作,保证了路由器的安全性,提高用户的体验满意度。
一种路由器安全配置自动修复监测方法,包括:
步骤1:采集路由器的安全配置信息;
步骤2:为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;
步骤3:根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;
步骤4:基于所述修复规则,对所述安全配置信息进行自动修复。
在一种可能实现的方式中,
步骤1中,采集路由器的安全配置信息包括:
获取所述路由器的设备信息,根据预设存储的设备信息和采集方法的对应关系,确定所述路由器的目标采集指令;
获取所述路由器的登录用户信息,确定所述登录用户的日志记录;
基于所述目标采集指令,从所述日志记录中采集得到安全配置信息。
在一种可能实现的方式中,
步骤2中,为所述安全配置信息配置核查规则包括:
根据路由器安全属性,确定对所述安全配置信息的核查要点,基于所述核查要点定义生成核查任务的配置文件,并根据所述配置文件调用配置参数来创建核查任务;
基于所述核查任务,并从任务逻辑库中获取与所述核查任务对应的核查规则。
在一种可能实现的方式中,
步骤2中,基于所述核查规则对所述安全配置信息进行核查包括:
根据所述核查规则将所述安全配置信息划分为多个待核查配置信息,并为待核查配置信息确定对应的核查子规则;
根据所述核查子规则确定对所述待核查配置信息的提取参数信息和参数比较信息;
基于所述参数比较信息,对所述提取参数信息进行分析,得到核查结果。
在一种可能实现的方式中,
根据所述核查子规则确定对所述待核查配置信息的提取参数信息和参数比较信息包括:
提取所述核查子规则中的第一关键词,基于所述关键词建立参数提取模型;
将所述待核查配置信息输入所述参数提取模型中,输出提取参数信息;
基于所述第一关键词,提取所述核查子规则中的第二关键词,并建立所述第一关键词和第二关键词的映射关系,基于所述映射关系,确定参数比较信息。
在一种可能实现的方式中,
基于所述参数比较信息,对所述提取参数信息进行分析,得到核查结果包括:
根据所述参数比较信息,确定参数阈值范围及其对应的参数核查等级;
基于所述参数阈值范围及其对应的参数核查等级建立核查数据表,基于所述核查数据表参数分类模型;
将所述提取参数信息输入所述参数分类模型中,确定所述提取参数信息的参数核查等级,作为核查结果。
在一种可能实现的方式中,
步骤3中,根据核查结果对所述安全配置信息进行安全风险评估包括:
根据所述核查结果,确定对所述安全配置信息中提取参数信息的实际参数核查等级;
根据所述提取参数信息的属性,从历史核查记录中确定对不同漏洞类型的漏洞指标,并确定目标参数核查等级对漏洞指标的重要程度;
以所述漏洞指标为基准、以参数核查等级为一维属性、以对漏洞指标重要程度为二维属性,建立漏洞评估矩阵;
将所述提取参数信息的实际参数核查等级及其对应的重要程度输入所述漏洞评估矩阵中,输出所述提取参数信息满足的目标漏洞指标;
基于所述目标漏洞指标,确定满足的漏洞类型集合;
获取所述漏洞类型集合中漏洞类型的个数,若所述个数为1,确定所述漏洞类型集合的漏洞类型为目标漏洞类型;
若所述个数大于1,获取所述漏洞类型集合中漏洞类型,并确定每个漏洞类型之间的等级关系,若所述等级关系中存在平行等级关系且平行等级最高,选取所述平行等级对应的漏洞类型为目标漏洞类型,此时所述目标漏洞类型至少为2个,否则,选取等级最高对应的漏洞类型作为目标漏洞类型,此时所述目标漏洞类型为1个;
从漏洞数据库中获取与所述目标漏洞类型匹配的第一漏洞,并确定对所述第一漏洞的检测规则;
基于所述检测规则对所述安全配置信息进行再次检测,根据检测结果判断是否存在满足检测规则的第二漏洞;
若是,确定所述安全配置信息存在已知安全漏洞,即第二漏洞;
否则,确定所述安全配置信息存在未知安全漏洞;
基于所述目标漏洞类型的属性和个数、所述第二漏洞是否为已知安全漏洞,对所述安全配置信息进行安全风险评估,得到风险评估结果。
在一种可能实现的方式中,
步骤3中,根据风险评估结果,得到修复规则包括:
根据所述风险评估结果,确定所述安全配置信息存在的不同安全漏洞的危险等级;
并将不同安全漏洞划分为已知安全漏洞和未知安全漏洞,从漏洞修复库中获取所述已知安全漏洞的修复方案及其对应的修复难度;
确定所述未知安全漏洞影响的对应安全配置信息,并获取与所述对应安全配置信息匹配的标准安全配置信息,基于所述对应安全配置信息与标准安全配置信息的差异,设置所述未知安全漏洞的修复方案,并确定所述修复方案的修复难度;
为所述不同安全漏洞的修复方案匹配所需的修复数据,对所述修复数据进行分析,确定不同修复方案对应的修复数据之间关联数据和排斥数据,并基于所述关联数据和排斥数据,确定不同修复方案之间的逻辑规则;
基于所述风险等级,确定对所述不同安全漏洞的第一修复顺序,基于所述修复难度,预测所述不同安全漏洞的修复时间;
基于所述风险等级对应的时间要求,利用所述修复时间,对所述第一修复顺序进行修正,得到第二修复顺序;
基于所述不同修复方案之间的逻辑规则,判断所述第二修复顺序是否满足不同修复方案的逻辑要求;
若是,确定所述第二修复顺序为目标修复顺序;
否则,提取不满足逻辑要求的错误修复顺序进行修正,将修正后的第二修复顺序作为目标修复顺序;
基于所述不同修复方案的目标修复顺序,建立修复规则。
在一种可能实现的方式中,
步骤4中,基于所述修复规则,对所述安全配置信息进行自动修复包括:
根据所述修复规则,生成对所述安全配置信息的安全漏洞修复的执行程序,并将所述执行程序划分为多个子程序,并为所述子程序匹配标识符;
基于所述标识符,执行所述多个子程序,并在子程序执行的过程中,对所述子程序进行监测,获取监测结果;
根据所述监测结果,确定对所述安全配置信息进行自动修复的修复结果,若所述修复结果与预设结果不匹配,及时对所述执行程序进行调整。
一种路由器安全配置自动修复监测系统,包括:
信息采集模块,用于采集路由器的安全配置信息;
信息核查模块,用于为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;
规则确定模块,用于根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;
自动修复模块,用于基于所述修复规则,对所述安全配置信息进行自动修复。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例1
本发明实施例提供一种路由器安全配置自动修复监测方法,如图1所示,包括:
步骤1:采集路由器的安全配置信息;
步骤2:为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;
步骤3:根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;
步骤4:基于所述修复规则,对所述安全配置信息进行自动修复。
在该实施例中,所述安全配置信息包括用户登录安全信息、运行信息、连接信息。
在该实施例中,所述核查规则为对所述安全配置信息的核查要点、核查顺序、核查标准等。
上述设计方案的有益效果是:通过每隔预设时间采集路由器的安全配置信息进行核查,并根据核查结果确定修复规则,对安全配置信息进行自动修复,实现对路由器安全配置的自动修复监测,避免手动操作,保证路由器的安全性,从而提高用户的体验满意度。
实施例2
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,步骤1中,采集路由器的安全配置信息包括:
获取所述路由器的设备信息,根据预设存储的设备信息和采集方法的对应关系,确定所述路由器的目标采集指令;
获取所述路由器的登录用户信息,确定所述登录用户的日志记录;
基于所述目标采集指令,从所述日志记录中采集得到安全配置信息。
在该实施例中,一个路由器对应一个设备信息,且所述设备信息唯一。
在该实施例中,所述日志记录包括用户操作信息、路由器运行信息、外部连接信息。
上述设计方案的有益效果是:通过根据路由器的设备信息和登录用户信息,对所述路由器的安全配置信息进行采集,保证信息采集的数据安全,并为路由器安全配置核查提供数据基础。
实施例3
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,步骤2中,为所述安全配置信息配置核查规则包括:
根据路由器安全属性,确定对所述安全配置信息的核查要点,基于所述核查要点定义生成核查任务的配置文件,并根据所述配置文件调用配置参数来创建核查任务;
基于所述核查任务,并从任务逻辑库中获取与所述核查任务对应的核查规则。
在该实施例中,所述核查要点包括运行数据、操作数据、连接数据等。
在该实施例中,所述配置文件为执行核查任务所需的环境资源。
在该实施例中,所述配置参数为执行核查任务所需的资源参数。
在该实施例中,所述任务逻辑库为根据路由器安全配置自动修复监测系统的配置预先设定。
在该实施例中,所述核查规则为对所述安全配置信息的核查顺序、核查标准等。
上述设计方案的有益效果是:通过根据路由器安全属性、路由器安全配置自动修复监测系统的配置来确定对安全配置信息的核查规则,保证核查规则对所述安全配置信息核查的准确性,和对路由器安全配置自动修复监测系统的适配性,保证核查的顺利执行。
实施例4
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,步骤2中,基于所述核查规则对所述安全配置信息进行核查包括:
根据所述核查规则将所述安全配置信息划分为多个待核查配置信息,并为待核查配置信息确定对应的核查子规则;
根据所述核查子规则确定对所述待核查配置信息的提取参数信息和参数比较信息;
基于所述参数比较信息,对所述提取参数信息进行分析,得到核查结果。
在该实施例中,将所述安全配置信息划分为多个待核查配置信息具体为将核查规则划分为多个核查子规则,根据所述安全配置信息匹配对应的核查子规则,将所述安全配置信息划分为多个待核查配置信息。
在该实施例中,所述提取参数信息为根据核查子规则确定的需要核查的待核查配置信息中的参数。
在该实施例中,所述参数比较信息为根据所述核查子规则确定的对参数的比较分析信息,例如若参数大于第一阈值,作为合规参数,否则,作为不合规参数。
上述设计方案的有益效果是:通过根据核查规则对所述安全配置信息进行划分,并从所述待核查配置信息中提取相关参数以及确定参数比较方法,分类对待核查配置信息进行核查,保证核查的精确性和准确性,为安全配置信息的自动修复提供基础。
实施例5
基于实施例4的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,根据所述核查子规则确定对所述待核查配置信息的提取参数信息和参数比较信息包括:
提取所述核查子规则中的第一关键词,基于所述关键词建立参数提取模型;
将所述待核查配置信息输入所述参数提取模型中,输出提取参数信息;
基于所述第一关键词,提取所述核查子规则中的第二关键词,并建立所述第一关键词和第二关键词的映射关系,基于所述映射关系,确定参数比较信息。
在该实施例中,所述第一关键词为参数名称,例如登录用户名称、连接用户名称、端口名称等。
在该实施例中,所诉和第二关键词为参数数据,例如登录用户名称、连接用户名称、端口名称对应的真实名称和参数值。
上述设计方案的有益效果是:通过根据核查子规则从待核查配置信息中提取关键的提取参数信息,并确定参数比较信息,来建立映射关系,明确了针对配置参数的比较规则,保证了配置信息核查的准确性。
实施例6
基于实施例4的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,基于所述参数比较信息,对所述提取参数信息进行分析,得到核查结果包括:
根据所述参数比较信息,确定参数阈值范围及其对应的参数核查等级;
基于所述参数阈值范围及其对应的参数核查等级建立核查数据表,基于所述核查数据表参数分类模型;
将所述提取参数信息输入所述参数分类模型中,确定所述提取参数信息的参数核查等级,作为核查结果。
在该实施例中,所述参数核查等级为根据与标准情况下参数阈值范围的差异确定,等级越低,表明差异越大,安全配置信息出现漏洞的可能性越大。
在该实施例中,所述参数分类模型根据参数阈值范围对应参数核查等级训练得到。
上述设计方案的有益效果是:通过根据参数比较信息,对提取参数信息进行分类,并确定参数核查等级,作为核查结果,通过等级划分,明确了提取参数信息的具体情况,为自动修复提供基础。
实施例7
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,步骤3中,根据核查结果对所述安全配置信息进行安全风险评估包括:
根据所述核查结果,确定对所述安全配置信息中提取参数信息的实际参数核查等级;
根据所述提取参数信息的属性,从历史核查记录中确定对不同漏洞类型的漏洞指标,并确定目标参数核查等级对漏洞指标的重要程度;
以所述漏洞指标为基准、以参数核查等级为一维属性、以对漏洞指标重要程度为二维属性,建立漏洞评估矩阵;
将所述提取参数信息的实际参数核查等级及其对应的重要程度输入所述漏洞评估矩阵中,输出所述提取参数信息满足的目标漏洞指标;
基于所述目标漏洞指标,确定满足的漏洞类型集合;
获取所述漏洞类型集合中漏洞类型的个数,若所述个数为1,确定所述漏洞类型集合的漏洞类型为目标漏洞类型;
若所述个数大于1,获取所述漏洞类型集合中漏洞类型,并确定每个漏洞类型之间的等级关系,若所述等级关系中存在平行等级关系且平行等级最高,选取所述平行等级对应的漏洞类型为目标漏洞类型,此时所述目标漏洞类型至少为2个,否则,选取等级最高对应的漏洞类型作为目标漏洞类型,此时所述目标漏洞类型为1个;
从漏洞数据库中获取与所述目标漏洞类型匹配的第一漏洞,并确定对所述第一漏洞的检测规则;
基于所述检测规则对所述安全配置信息进行再次检测,根据检测结果判断是否存在满足检测规则的第二漏洞;
若是,确定所述安全配置信息存在已知安全漏洞,即第二漏洞;
否则,确定所述安全配置信息存在未知安全漏洞;
基于所述目标漏洞类型的属性和个数、所述第二漏洞是否为已知安全漏洞,对所述安全配置信息进行安全风险评估,得到评估结果。
在该实施例中,所述提取参数信息的属性包括用户参数、运行参数、连接参数。
在该实施例中,所述漏洞指标为每个漏洞类型所对应的参数核查等级标准,及参数核查等级对应的提取参数信息对漏洞类型的重要程度,提取参数信息与漏洞类型的关联度越紧密,所述重要程度越大。
在该实施例中,所述漏洞评估矩阵用于根据提取参数信息的实际参数核查等级及其对应的重要程度确定漏洞类型。
在该实施例中,所述平行等级关系表示包含的漏洞类型之间相互平行,互不干扰。
在该实施例中,所述第一漏洞包括所述第二漏洞,第二漏洞由所述第一漏洞决定。
在该实施例中,所述已知安全漏洞为历史发生过的安全漏洞,所述未知安全漏洞为未发生过的安全漏洞。
在该实施例中,所述目标漏洞类型的个数越多,且为未知安全漏洞的情况下,风险越大。
在该实施例中,所述第二漏洞为一个或多个。
上述设计方案的有益效果是:通过根据核查结果,确定安全配置信息中存在的漏洞类型,并根据漏洞类型进行再次检测,得到安全配置信息中存在的安全漏洞,并根据漏洞类型的个数,从漏洞类型数量上对安全配置信息进行风险评估,根据安全漏洞的未知性,从漏洞质量上对安全配置信息进行风险评估,保证了风险评估的准确性,为确定修复规则提供基础。
实施例8
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,步骤3中,根据风险评估结果,得到修复规则包括:
根据所述风险评估结果,确定所述安全配置信息存在的不同安全漏洞的危险等级;
并将不同安全漏洞划分为已知安全漏洞和未知安全漏洞,从漏洞修复库中获取所述已知安全漏洞的修复方案及其对应的修复难度;
确定所述未知安全漏洞影响的对应安全配置信息,并获取与所述对应安全配置信息匹配的标准安全配置信息,基于所述对应安全配置信息与标准安全配置信息的差异,设置所述未知安全漏洞的修复方案,并确定所述修复方案的修复难度;
为所述不同安全漏洞的修复方案匹配所需的修复数据,对所述修复数据进行分析,确定不同修复方案对应的修复数据之间关联数据和排斥数据,并基于所述关联数据和排斥数据,确定不同修复方案之间的逻辑规则;
基于所述风险等级,确定对所述不同安全漏洞的第一修复顺序,基于所述修复难度,预测所述不同安全漏洞的修复时间;
基于所述风险等级对应的时间要求,利用所述修复时间,对所述第一修复顺序进行修正,得到第二修复顺序;
基于所述不同修复方案之间的逻辑规则,判断所述第二修复顺序是否满足不同修复方案的逻辑要求;
若是,确定所述第二修复顺序为目标修复顺序;
否则,提取不满足逻辑要求的错误修复顺序进行修正,将修正后的第二修复顺序作为目标修复顺序;
基于所述不同修复方案的目标修复顺序,建立修复规则。
在该实施例中,所述标准安全配置信息为保证路由器安全性的配置信息。
在该实施例中,所述关联数据为不同修复方案所需的修复数据之间存在关联性,例如所需的修复数据相同或前一个修复方案修复后数据为后一个修复方案所需的修复数据等。
在该实施例中,所述排斥数据为不同修复方案所需的修复数据之间存在排斥性,例如调用第一修复数据,将不能调用第二修复数据。
在该实施例中,所述逻辑规则规定了不同修复方案之间的必须遵守的逻辑,例如顺序。
在该实施例中,安全漏洞风险等级越高,对应的第一修复顺序越靠前。
在该实施例中,所述风险等级对应的时间要求例如第一风险等级对应5分钟,第二风险等级对应15分钟,第三风险等级对应10分钟;而第一风险等级对应的修复时间为1分钟,第二风险等级对应的修复时间为5分钟,第三风险等级对应的修复时间为7分钟,此时需要将第三风险等级与第二风险等级的修复顺序进行对换,保证风险等级对应的安全漏洞在规定时间内修复。
上述设计方案的有益效果是:通过根据风险评估结果,确定安全配置信息存在的不同安全漏洞的危险等级,并结合不同安全漏洞的修复难度、和修复过程中必须遵守的逻辑规则,确定对不同安全漏洞的修复顺序,保证了自动修复的顺利进行,并保证了自动修复的修复效率,从而保证路由器的安全性。
实施例9
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,如图2所示,步骤4中,基于所述修复规则,对所述安全配置信息进行自动修复包括:
步骤41:根据所述修复规则,生成对所述安全配置信息的安全漏洞修复的执行程序,并将所述执行程序划分为多个子程序,并为所述子程序匹配标识符;
步骤42:基于所述标识符,执行所述多个子程序,并在子程序执行的过程中,对所述子程序进行监测,获取监测结果;
步骤43:根据所述监测结果,确定对所述安全配置信息进行自动修复的修复结果,若所述修复结果与预设结果不匹配,及时对所述执行程序进行调整。
在该实施例中,每个安全漏洞对应一个子程序。
在该实施例中,每个子程序对应一个标识符,且所述标识符唯一。
在该实施例中,在子程序执行的过程中,对所述子程序进行监测,获取监测结果包括:
监测获取当前子程序执行完成的修复安全配置信息,并按照预设规则,将所述修复安全配置信息划分为多个子信息,并提取所述多个子信息的特征点的特征值,并确定每个子信息对应的子程序位置;
根据如下公式,确定所述修复安全配置信息与标准安全配置信息之间的误差;
其中,δ表示所述修复安全配置信息与标准安全配置信息之间的误差,n表示所述多个子信息的数量,mj表示第j个子信息的特征点的个数,e表示自然常数,取值为2.72,γj表示第j个子信息的程序匹配值,取值为(0.75,0.99),Dj表示第j个子信息对应子程序的实际位置特征值,Dpj表示第j个子信息对应子程序的标准位置特征值,Aji表示第j个子信息中第i个特征点的特征值,Bji表示第j个标准子信息中第i个特征点的特征值,σji表示第j个子信息中第i个特征点的可允许误差;
将所述修复安全配置信息与标准安全配置信息之间的误差作为监测结果。
对于例如可以是,n=3,mj=10,大致估算δ=0.30。
所述标准位置特征值根据子程序的标准位置预先设定。
所述特征点的特征值的取值范围为(0,1.00)。
在该实施例中,根据所述监测结果,确定对所述安全配置信息进行自动修复的修复结果,若所述修复结果与预设结果不匹配,及时对所述执行程序进行调整包括:
判断所述监测结果的误差是否小于预设误差;
若是,表明无需对所述执行程序进行调整;
否则,从所述修复安全配置信息中提取出大于预设平均误差的目标子信息,并锁定所述目标子信息对应的目标子程序位置,基于所述目标子程序位置,获取目标子程序位置的实际标识符;
根据如下公式,确定所述实际标识符与目标子程序匹配的目标标识符是否一致;
其中,VA1表示所述实际标识符的首位符号特征值,VB1表示所述目标标识符的首位符号特征值,VA2表示所述实际标识符的未位符号特征值,VB2表示所述目标标识符的未位符号特征值;
若所述P=1,表明所述实际标识符与目标子程序匹配的目标标识符一致,此时需要根据所述目标子信息,对所述目标子程序进行调整;
若所述P=0,表明所述实际标识符与目标子程序匹配的目标标识符不一致,表明所述目标子程序调用错误,基于所述目标标识符对所述目标子程序进行替换。
所述预设平均误差为预设误差与子信息个数的比值。
上述设计方案的有益效果是:通过根据执行程序确定的修复安全配置信息和标准安全配置信息之间的误差,确定所述执行程序是否出现异常,在出现异常后,根据所述执行程序的标识符识别结果,对所述执行程序进行调整或替换,保证了自动修复过程的顺利进行,保证路由器的安全性。
实施例10
一种路由器安全配置自动修复监测系统,如图3所示,包括:
信息采集模块,用于采集路由器的安全配置信息;
信息核查模块,用于为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;
规则确定模块,用于根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;
自动修复模块,用于基于所述修复规则,对所述安全配置信息进行自动修复。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。