CN115314234B - 一种路由器安全配置自动修复监测方法及系统 - Google Patents

一种路由器安全配置自动修复监测方法及系统 Download PDF

Info

Publication number
CN115314234B
CN115314234B CN202210144260.0A CN202210144260A CN115314234B CN 115314234 B CN115314234 B CN 115314234B CN 202210144260 A CN202210144260 A CN 202210144260A CN 115314234 B CN115314234 B CN 115314234B
Authority
CN
China
Prior art keywords
repair
security
configuration information
checking
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210144260.0A
Other languages
English (en)
Other versions
CN115314234A (zh
Inventor
黄小莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Hi Tech Co ltd
Original Assignee
Shenzhen Hi Tech Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Hi Tech Co ltd filed Critical Shenzhen Hi Tech Co ltd
Priority to CN202210144260.0A priority Critical patent/CN115314234B/zh
Publication of CN115314234A publication Critical patent/CN115314234A/zh
Application granted granted Critical
Publication of CN115314234B publication Critical patent/CN115314234B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种路由器安全配置自动修复监测方法及系统,包括:采集路由器的安全配置信息;为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;基于所述修复规则,对所述安全配置信息进行自动修复;实现对路由器安全配置的自动修复监测,避免手动操作,保证了路由器的安全性,提高用户的体验满意度。

Description

一种路由器安全配置自动修复监测方法及系统
技术领域
本发明涉及路由器技术领域,特别涉及一种路由器安全配置自动修复监测方法及系统。
背景技术
路由器,是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。随着路由器技术的发展,路由器已成为网络架构中不可缺少的设备。
路由器是信息系统中最主要的信息资产之一,对路由器实施安全监测和管理是一种保护信息系统中信息资产安全的重要方法之一。然而,目前路由器出现安全问题需要通过手动方式进行重启或恢复出厂设置来解决问题,或对待检测的对象进行逐一检测,检测过程繁琐,造成用户的体验太差。
发明内容
本发明提供一种路由器安全配置自动修复监测方法及系统,实现对路由器安全配置的自动修复监测,避免手动操作,保证了路由器的安全性,提高用户的体验满意度。
一种路由器安全配置自动修复监测方法,包括:
步骤1:采集路由器的安全配置信息;
步骤2:为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;
步骤3:根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;
步骤4:基于所述修复规则,对所述安全配置信息进行自动修复。
在一种可能实现的方式中,
步骤1中,采集路由器的安全配置信息包括:
获取所述路由器的设备信息,根据预设存储的设备信息和采集方法的对应关系,确定所述路由器的目标采集指令;
获取所述路由器的登录用户信息,确定所述登录用户的日志记录;
基于所述目标采集指令,从所述日志记录中采集得到安全配置信息。
在一种可能实现的方式中,
步骤2中,为所述安全配置信息配置核查规则包括:
根据路由器安全属性,确定对所述安全配置信息的核查要点,基于所述核查要点定义生成核查任务的配置文件,并根据所述配置文件调用配置参数来创建核查任务;
基于所述核查任务,并从任务逻辑库中获取与所述核查任务对应的核查规则。
在一种可能实现的方式中,
步骤2中,基于所述核查规则对所述安全配置信息进行核查包括:
根据所述核查规则将所述安全配置信息划分为多个待核查配置信息,并为待核查配置信息确定对应的核查子规则;
根据所述核查子规则确定对所述待核查配置信息的提取参数信息和参数比较信息;
基于所述参数比较信息,对所述提取参数信息进行分析,得到核查结果。
在一种可能实现的方式中,
根据所述核查子规则确定对所述待核查配置信息的提取参数信息和参数比较信息包括:
提取所述核查子规则中的第一关键词,基于所述关键词建立参数提取模型;
将所述待核查配置信息输入所述参数提取模型中,输出提取参数信息;
基于所述第一关键词,提取所述核查子规则中的第二关键词,并建立所述第一关键词和第二关键词的映射关系,基于所述映射关系,确定参数比较信息。
在一种可能实现的方式中,
基于所述参数比较信息,对所述提取参数信息进行分析,得到核查结果包括:
根据所述参数比较信息,确定参数阈值范围及其对应的参数核查等级;
基于所述参数阈值范围及其对应的参数核查等级建立核查数据表,基于所述核查数据表参数分类模型;
将所述提取参数信息输入所述参数分类模型中,确定所述提取参数信息的参数核查等级,作为核查结果。
在一种可能实现的方式中,
步骤3中,根据核查结果对所述安全配置信息进行安全风险评估包括:
根据所述核查结果,确定对所述安全配置信息中提取参数信息的实际参数核查等级;
根据所述提取参数信息的属性,从历史核查记录中确定对不同漏洞类型的漏洞指标,并确定目标参数核查等级对漏洞指标的重要程度;
以所述漏洞指标为基准、以参数核查等级为一维属性、以对漏洞指标重要程度为二维属性,建立漏洞评估矩阵;
将所述提取参数信息的实际参数核查等级及其对应的重要程度输入所述漏洞评估矩阵中,输出所述提取参数信息满足的目标漏洞指标;
基于所述目标漏洞指标,确定满足的漏洞类型集合;
获取所述漏洞类型集合中漏洞类型的个数,若所述个数为1,确定所述漏洞类型集合的漏洞类型为目标漏洞类型;
若所述个数大于1,获取所述漏洞类型集合中漏洞类型,并确定每个漏洞类型之间的等级关系,若所述等级关系中存在平行等级关系且平行等级最高,选取所述平行等级对应的漏洞类型为目标漏洞类型,此时所述目标漏洞类型至少为2个,否则,选取等级最高对应的漏洞类型作为目标漏洞类型,此时所述目标漏洞类型为1个;
从漏洞数据库中获取与所述目标漏洞类型匹配的第一漏洞,并确定对所述第一漏洞的检测规则;
基于所述检测规则对所述安全配置信息进行再次检测,根据检测结果判断是否存在满足检测规则的第二漏洞;
若是,确定所述安全配置信息存在已知安全漏洞,即第二漏洞;
否则,确定所述安全配置信息存在未知安全漏洞;
基于所述目标漏洞类型的属性和个数、所述第二漏洞是否为已知安全漏洞,对所述安全配置信息进行安全风险评估,得到风险评估结果。
在一种可能实现的方式中,
步骤3中,根据风险评估结果,得到修复规则包括:
根据所述风险评估结果,确定所述安全配置信息存在的不同安全漏洞的危险等级;
并将不同安全漏洞划分为已知安全漏洞和未知安全漏洞,从漏洞修复库中获取所述已知安全漏洞的修复方案及其对应的修复难度;
确定所述未知安全漏洞影响的对应安全配置信息,并获取与所述对应安全配置信息匹配的标准安全配置信息,基于所述对应安全配置信息与标准安全配置信息的差异,设置所述未知安全漏洞的修复方案,并确定所述修复方案的修复难度;
为所述不同安全漏洞的修复方案匹配所需的修复数据,对所述修复数据进行分析,确定不同修复方案对应的修复数据之间关联数据和排斥数据,并基于所述关联数据和排斥数据,确定不同修复方案之间的逻辑规则;
基于所述风险等级,确定对所述不同安全漏洞的第一修复顺序,基于所述修复难度,预测所述不同安全漏洞的修复时间;
基于所述风险等级对应的时间要求,利用所述修复时间,对所述第一修复顺序进行修正,得到第二修复顺序;
基于所述不同修复方案之间的逻辑规则,判断所述第二修复顺序是否满足不同修复方案的逻辑要求;
若是,确定所述第二修复顺序为目标修复顺序;
否则,提取不满足逻辑要求的错误修复顺序进行修正,将修正后的第二修复顺序作为目标修复顺序;
基于所述不同修复方案的目标修复顺序,建立修复规则。
在一种可能实现的方式中,
步骤4中,基于所述修复规则,对所述安全配置信息进行自动修复包括:
根据所述修复规则,生成对所述安全配置信息的安全漏洞修复的执行程序,并将所述执行程序划分为多个子程序,并为所述子程序匹配标识符;
基于所述标识符,执行所述多个子程序,并在子程序执行的过程中,对所述子程序进行监测,获取监测结果;
根据所述监测结果,确定对所述安全配置信息进行自动修复的修复结果,若所述修复结果与预设结果不匹配,及时对所述执行程序进行调整。
一种路由器安全配置自动修复监测系统,包括:
信息采集模块,用于采集路由器的安全配置信息;
信息核查模块,用于为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;
规则确定模块,用于根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;
自动修复模块,用于基于所述修复规则,对所述安全配置信息进行自动修复。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中一种路由器安全配置自动修复监测方法的流程图;
图2为本发明实施例中一种路由器安全配置自动修复监测方法的另一流程图;
图3为本发明实施例中一种路由器安全配置自动修复监测系统的结构图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例1
本发明实施例提供一种路由器安全配置自动修复监测方法,如图1所示,包括:
步骤1:采集路由器的安全配置信息;
步骤2:为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;
步骤3:根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;
步骤4:基于所述修复规则,对所述安全配置信息进行自动修复。
在该实施例中,所述安全配置信息包括用户登录安全信息、运行信息、连接信息。
在该实施例中,所述核查规则为对所述安全配置信息的核查要点、核查顺序、核查标准等。
上述设计方案的有益效果是:通过每隔预设时间采集路由器的安全配置信息进行核查,并根据核查结果确定修复规则,对安全配置信息进行自动修复,实现对路由器安全配置的自动修复监测,避免手动操作,保证路由器的安全性,从而提高用户的体验满意度。
实施例2
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,步骤1中,采集路由器的安全配置信息包括:
获取所述路由器的设备信息,根据预设存储的设备信息和采集方法的对应关系,确定所述路由器的目标采集指令;
获取所述路由器的登录用户信息,确定所述登录用户的日志记录;
基于所述目标采集指令,从所述日志记录中采集得到安全配置信息。
在该实施例中,一个路由器对应一个设备信息,且所述设备信息唯一。
在该实施例中,所述日志记录包括用户操作信息、路由器运行信息、外部连接信息。
上述设计方案的有益效果是:通过根据路由器的设备信息和登录用户信息,对所述路由器的安全配置信息进行采集,保证信息采集的数据安全,并为路由器安全配置核查提供数据基础。
实施例3
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,步骤2中,为所述安全配置信息配置核查规则包括:
根据路由器安全属性,确定对所述安全配置信息的核查要点,基于所述核查要点定义生成核查任务的配置文件,并根据所述配置文件调用配置参数来创建核查任务;
基于所述核查任务,并从任务逻辑库中获取与所述核查任务对应的核查规则。
在该实施例中,所述核查要点包括运行数据、操作数据、连接数据等。
在该实施例中,所述配置文件为执行核查任务所需的环境资源。
在该实施例中,所述配置参数为执行核查任务所需的资源参数。
在该实施例中,所述任务逻辑库为根据路由器安全配置自动修复监测系统的配置预先设定。
在该实施例中,所述核查规则为对所述安全配置信息的核查顺序、核查标准等。
上述设计方案的有益效果是:通过根据路由器安全属性、路由器安全配置自动修复监测系统的配置来确定对安全配置信息的核查规则,保证核查规则对所述安全配置信息核查的准确性,和对路由器安全配置自动修复监测系统的适配性,保证核查的顺利执行。
实施例4
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,步骤2中,基于所述核查规则对所述安全配置信息进行核查包括:
根据所述核查规则将所述安全配置信息划分为多个待核查配置信息,并为待核查配置信息确定对应的核查子规则;
根据所述核查子规则确定对所述待核查配置信息的提取参数信息和参数比较信息;
基于所述参数比较信息,对所述提取参数信息进行分析,得到核查结果。
在该实施例中,将所述安全配置信息划分为多个待核查配置信息具体为将核查规则划分为多个核查子规则,根据所述安全配置信息匹配对应的核查子规则,将所述安全配置信息划分为多个待核查配置信息。
在该实施例中,所述提取参数信息为根据核查子规则确定的需要核查的待核查配置信息中的参数。
在该实施例中,所述参数比较信息为根据所述核查子规则确定的对参数的比较分析信息,例如若参数大于第一阈值,作为合规参数,否则,作为不合规参数。
上述设计方案的有益效果是:通过根据核查规则对所述安全配置信息进行划分,并从所述待核查配置信息中提取相关参数以及确定参数比较方法,分类对待核查配置信息进行核查,保证核查的精确性和准确性,为安全配置信息的自动修复提供基础。
实施例5
基于实施例4的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,根据所述核查子规则确定对所述待核查配置信息的提取参数信息和参数比较信息包括:
提取所述核查子规则中的第一关键词,基于所述关键词建立参数提取模型;
将所述待核查配置信息输入所述参数提取模型中,输出提取参数信息;
基于所述第一关键词,提取所述核查子规则中的第二关键词,并建立所述第一关键词和第二关键词的映射关系,基于所述映射关系,确定参数比较信息。
在该实施例中,所述第一关键词为参数名称,例如登录用户名称、连接用户名称、端口名称等。
在该实施例中,所诉和第二关键词为参数数据,例如登录用户名称、连接用户名称、端口名称对应的真实名称和参数值。
上述设计方案的有益效果是:通过根据核查子规则从待核查配置信息中提取关键的提取参数信息,并确定参数比较信息,来建立映射关系,明确了针对配置参数的比较规则,保证了配置信息核查的准确性。
实施例6
基于实施例4的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,基于所述参数比较信息,对所述提取参数信息进行分析,得到核查结果包括:
根据所述参数比较信息,确定参数阈值范围及其对应的参数核查等级;
基于所述参数阈值范围及其对应的参数核查等级建立核查数据表,基于所述核查数据表参数分类模型;
将所述提取参数信息输入所述参数分类模型中,确定所述提取参数信息的参数核查等级,作为核查结果。
在该实施例中,所述参数核查等级为根据与标准情况下参数阈值范围的差异确定,等级越低,表明差异越大,安全配置信息出现漏洞的可能性越大。
在该实施例中,所述参数分类模型根据参数阈值范围对应参数核查等级训练得到。
上述设计方案的有益效果是:通过根据参数比较信息,对提取参数信息进行分类,并确定参数核查等级,作为核查结果,通过等级划分,明确了提取参数信息的具体情况,为自动修复提供基础。
实施例7
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,步骤3中,根据核查结果对所述安全配置信息进行安全风险评估包括:
根据所述核查结果,确定对所述安全配置信息中提取参数信息的实际参数核查等级;
根据所述提取参数信息的属性,从历史核查记录中确定对不同漏洞类型的漏洞指标,并确定目标参数核查等级对漏洞指标的重要程度;
以所述漏洞指标为基准、以参数核查等级为一维属性、以对漏洞指标重要程度为二维属性,建立漏洞评估矩阵;
将所述提取参数信息的实际参数核查等级及其对应的重要程度输入所述漏洞评估矩阵中,输出所述提取参数信息满足的目标漏洞指标;
基于所述目标漏洞指标,确定满足的漏洞类型集合;
获取所述漏洞类型集合中漏洞类型的个数,若所述个数为1,确定所述漏洞类型集合的漏洞类型为目标漏洞类型;
若所述个数大于1,获取所述漏洞类型集合中漏洞类型,并确定每个漏洞类型之间的等级关系,若所述等级关系中存在平行等级关系且平行等级最高,选取所述平行等级对应的漏洞类型为目标漏洞类型,此时所述目标漏洞类型至少为2个,否则,选取等级最高对应的漏洞类型作为目标漏洞类型,此时所述目标漏洞类型为1个;
从漏洞数据库中获取与所述目标漏洞类型匹配的第一漏洞,并确定对所述第一漏洞的检测规则;
基于所述检测规则对所述安全配置信息进行再次检测,根据检测结果判断是否存在满足检测规则的第二漏洞;
若是,确定所述安全配置信息存在已知安全漏洞,即第二漏洞;
否则,确定所述安全配置信息存在未知安全漏洞;
基于所述目标漏洞类型的属性和个数、所述第二漏洞是否为已知安全漏洞,对所述安全配置信息进行安全风险评估,得到评估结果。
在该实施例中,所述提取参数信息的属性包括用户参数、运行参数、连接参数。
在该实施例中,所述漏洞指标为每个漏洞类型所对应的参数核查等级标准,及参数核查等级对应的提取参数信息对漏洞类型的重要程度,提取参数信息与漏洞类型的关联度越紧密,所述重要程度越大。
在该实施例中,所述漏洞评估矩阵用于根据提取参数信息的实际参数核查等级及其对应的重要程度确定漏洞类型。
在该实施例中,所述平行等级关系表示包含的漏洞类型之间相互平行,互不干扰。
在该实施例中,所述第一漏洞包括所述第二漏洞,第二漏洞由所述第一漏洞决定。
在该实施例中,所述已知安全漏洞为历史发生过的安全漏洞,所述未知安全漏洞为未发生过的安全漏洞。
在该实施例中,所述目标漏洞类型的个数越多,且为未知安全漏洞的情况下,风险越大。
在该实施例中,所述第二漏洞为一个或多个。
上述设计方案的有益效果是:通过根据核查结果,确定安全配置信息中存在的漏洞类型,并根据漏洞类型进行再次检测,得到安全配置信息中存在的安全漏洞,并根据漏洞类型的个数,从漏洞类型数量上对安全配置信息进行风险评估,根据安全漏洞的未知性,从漏洞质量上对安全配置信息进行风险评估,保证了风险评估的准确性,为确定修复规则提供基础。
实施例8
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,步骤3中,根据风险评估结果,得到修复规则包括:
根据所述风险评估结果,确定所述安全配置信息存在的不同安全漏洞的危险等级;
并将不同安全漏洞划分为已知安全漏洞和未知安全漏洞,从漏洞修复库中获取所述已知安全漏洞的修复方案及其对应的修复难度;
确定所述未知安全漏洞影响的对应安全配置信息,并获取与所述对应安全配置信息匹配的标准安全配置信息,基于所述对应安全配置信息与标准安全配置信息的差异,设置所述未知安全漏洞的修复方案,并确定所述修复方案的修复难度;
为所述不同安全漏洞的修复方案匹配所需的修复数据,对所述修复数据进行分析,确定不同修复方案对应的修复数据之间关联数据和排斥数据,并基于所述关联数据和排斥数据,确定不同修复方案之间的逻辑规则;
基于所述风险等级,确定对所述不同安全漏洞的第一修复顺序,基于所述修复难度,预测所述不同安全漏洞的修复时间;
基于所述风险等级对应的时间要求,利用所述修复时间,对所述第一修复顺序进行修正,得到第二修复顺序;
基于所述不同修复方案之间的逻辑规则,判断所述第二修复顺序是否满足不同修复方案的逻辑要求;
若是,确定所述第二修复顺序为目标修复顺序;
否则,提取不满足逻辑要求的错误修复顺序进行修正,将修正后的第二修复顺序作为目标修复顺序;
基于所述不同修复方案的目标修复顺序,建立修复规则。
在该实施例中,所述标准安全配置信息为保证路由器安全性的配置信息。
在该实施例中,所述关联数据为不同修复方案所需的修复数据之间存在关联性,例如所需的修复数据相同或前一个修复方案修复后数据为后一个修复方案所需的修复数据等。
在该实施例中,所述排斥数据为不同修复方案所需的修复数据之间存在排斥性,例如调用第一修复数据,将不能调用第二修复数据。
在该实施例中,所述逻辑规则规定了不同修复方案之间的必须遵守的逻辑,例如顺序。
在该实施例中,安全漏洞风险等级越高,对应的第一修复顺序越靠前。
在该实施例中,所述风险等级对应的时间要求例如第一风险等级对应5分钟,第二风险等级对应15分钟,第三风险等级对应10分钟;而第一风险等级对应的修复时间为1分钟,第二风险等级对应的修复时间为5分钟,第三风险等级对应的修复时间为7分钟,此时需要将第三风险等级与第二风险等级的修复顺序进行对换,保证风险等级对应的安全漏洞在规定时间内修复。
上述设计方案的有益效果是:通过根据风险评估结果,确定安全配置信息存在的不同安全漏洞的危险等级,并结合不同安全漏洞的修复难度、和修复过程中必须遵守的逻辑规则,确定对不同安全漏洞的修复顺序,保证了自动修复的顺利进行,并保证了自动修复的修复效率,从而保证路由器的安全性。
实施例9
基于实施例1的基础上,本发明实施例提供一种路由器安全配置自动修复监测方法,如图2所示,步骤4中,基于所述修复规则,对所述安全配置信息进行自动修复包括:
步骤41:根据所述修复规则,生成对所述安全配置信息的安全漏洞修复的执行程序,并将所述执行程序划分为多个子程序,并为所述子程序匹配标识符;
步骤42:基于所述标识符,执行所述多个子程序,并在子程序执行的过程中,对所述子程序进行监测,获取监测结果;
步骤43:根据所述监测结果,确定对所述安全配置信息进行自动修复的修复结果,若所述修复结果与预设结果不匹配,及时对所述执行程序进行调整。
在该实施例中,每个安全漏洞对应一个子程序。
在该实施例中,每个子程序对应一个标识符,且所述标识符唯一。
在该实施例中,在子程序执行的过程中,对所述子程序进行监测,获取监测结果包括:
监测获取当前子程序执行完成的修复安全配置信息,并按照预设规则,将所述修复安全配置信息划分为多个子信息,并提取所述多个子信息的特征点的特征值,并确定每个子信息对应的子程序位置;
根据如下公式,确定所述修复安全配置信息与标准安全配置信息之间的误差;
其中,δ表示所述修复安全配置信息与标准安全配置信息之间的误差,n表示所述多个子信息的数量,mj表示第j个子信息的特征点的个数,e表示自然常数,取值为2.72,γj表示第j个子信息的程序匹配值,取值为(0.75,0.99),Dj表示第j个子信息对应子程序的实际位置特征值,Dpj表示第j个子信息对应子程序的标准位置特征值,Aji表示第j个子信息中第i个特征点的特征值,Bji表示第j个标准子信息中第i个特征点的特征值,σji表示第j个子信息中第i个特征点的可允许误差;
将所述修复安全配置信息与标准安全配置信息之间的误差作为监测结果。
对于例如可以是,n=3,mj=10,大致估算δ=0.30。
所述标准位置特征值根据子程序的标准位置预先设定。
所述特征点的特征值的取值范围为(0,1.00)。
在该实施例中,根据所述监测结果,确定对所述安全配置信息进行自动修复的修复结果,若所述修复结果与预设结果不匹配,及时对所述执行程序进行调整包括:
判断所述监测结果的误差是否小于预设误差;
若是,表明无需对所述执行程序进行调整;
否则,从所述修复安全配置信息中提取出大于预设平均误差的目标子信息,并锁定所述目标子信息对应的目标子程序位置,基于所述目标子程序位置,获取目标子程序位置的实际标识符;
根据如下公式,确定所述实际标识符与目标子程序匹配的目标标识符是否一致;
其中,VA1表示所述实际标识符的首位符号特征值,VB1表示所述目标标识符的首位符号特征值,VA2表示所述实际标识符的未位符号特征值,VB2表示所述目标标识符的未位符号特征值;
若所述P=1,表明所述实际标识符与目标子程序匹配的目标标识符一致,此时需要根据所述目标子信息,对所述目标子程序进行调整;
若所述P=0,表明所述实际标识符与目标子程序匹配的目标标识符不一致,表明所述目标子程序调用错误,基于所述目标标识符对所述目标子程序进行替换。
所述预设平均误差为预设误差与子信息个数的比值。
上述设计方案的有益效果是:通过根据执行程序确定的修复安全配置信息和标准安全配置信息之间的误差,确定所述执行程序是否出现异常,在出现异常后,根据所述执行程序的标识符识别结果,对所述执行程序进行调整或替换,保证了自动修复过程的顺利进行,保证路由器的安全性。
实施例10
一种路由器安全配置自动修复监测系统,如图3所示,包括:
信息采集模块,用于采集路由器的安全配置信息;
信息核查模块,用于为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;
规则确定模块,用于根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;
自动修复模块,用于基于所述修复规则,对所述安全配置信息进行自动修复。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (9)

1.一种路由器安全配置自动修复监测方法,其特征在于,包括:
步骤1:采集路由器的安全配置信息;
步骤2:为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;
步骤3:根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;
步骤4:基于所述修复规则,对所述安全配置信息进行自动修复;
所述步骤3中,根据风险评估结果,得到修复规则包括:
根据所述风险评估结果,确定所述安全配置信息存在的不同安全漏洞的风险等级;
并将不同安全漏洞划分为已知安全漏洞和未知安全漏洞,从漏洞修复库中获取所述已知安全漏洞的修复方案及其对应的修复难度;
确定所述未知安全漏洞影响的对应安全配置信息,并获取与所述对应安全配置信息匹配的标准安全配置信息,基于所述对应安全配置信息与标准安全配置信息的差异,设置所述未知安全漏洞的修复方案,并确定所述修复方案的修复难度;
为所述不同安全漏洞的修复方案匹配所需的修复数据,对所述修复数据进行分析,确定不同修复方案对应的修复数据之间关联数据和排斥数据,并基于所述关联数据和排斥数据,确定不同修复方案之间的逻辑规则;
基于所述风险等级,确定对所述不同安全漏洞的第一修复顺序,基于所述修复难度,预测所述不同安全漏洞的修复时间;
基于所述风险等级对应的时间要求,利用所述修复时间,对所述第一修复顺序进行修正,得到第二修复顺序;
基于所述不同修复方案之间的逻辑规则,判断所述第二修复顺序是否满足不同修复方案的逻辑要求;
若是,确定所述第二修复顺序为目标修复顺序;
否则,提取不满足逻辑要求的错误修复顺序进行修正,将修正后的第二修复顺序作为目标修复顺序;
基于所述不同修复方案的目标修复顺序,建立修复规则。
2.根据权利要求1所述的一种路由器安全配置自动修复监测方法,其特征在于,步骤1中,采集路由器的安全配置信息包括:
获取所述路由器的设备信息,根据预设存储的设备信息和采集方法的对应关系,确定所述路由器的目标采集指令;
获取所述路由器的登录用户信息,确定所述登录用户的日志记录;
基于所述目标采集指令,从所述日志记录中采集得到安全配置信息。
3.根据权利要求1所述的一种路由器安全配置自动修复监测方法,其特征在于,步骤2中,为所述安全配置信息配置核查规则包括:
根据路由器安全属性,确定对所述安全配置信息的核查要点,基于所述核查要点定义生成核查任务的配置文件,并根据所述配置文件调用配置参数来创建核查任务;
基于所述核查任务,并从任务逻辑库中获取与所述核查任务对应的核查规则。
4.根据权利要求1所述的一种路由器安全配置自动修复监测方法,其特征在于,步骤2中,基于所述核查规则对所述安全配置信息进行核查包括:
根据所述核查规则将所述安全配置信息划分为多个待核查配置信息,并为待核查配置信息确定对应的核查子规则;
根据所述核查子规则确定对所述待核查配置信息的提取参数信息和参数比较信息;
基于所述参数比较信息,对所述提取参数信息进行分析,得到核查结果。
5.根据权利要求4所述的一种路由器安全配置自动修复监测方法,其特征在于,根据所述核查子规则确定对所述待核查配置信息的提取参数信息和参数比较信息包括:
提取所述核查子规则中的第一关键词,基于所述关键词建立参数提取模型;
将所述待核查配置信息输入所述参数提取模型中,输出提取参数信息;
基于所述第一关键词,提取所述核查子规则中的第二关键词,并建立所述第一关键词和第二关键词的映射关系,基于所述映射关系,确定参数比较信息。
6.根据权利要求4所述的一种路由器安全配置自动修复监测方法,其特征在于,基于所述参数比较信息,对所述提取参数信息进行分析,得到核查结果包括:
根据所述参数比较信息,确定参数阈值范围及其对应的参数核查等级;
基于所述参数阈值范围及其对应的参数核查等级建立核查数据表,基于所述核查数据表建立参数分类模型;
将所述提取参数信息输入所述参数分类模型中,确定所述提取参数信息的参数核查等级,作为核查结果。
7.根据权利要求1所述的一种路由器安全配置自动修复监测方法,其特征在于,步骤3中,根据核查结果对所述安全配置信息进行安全风险评估包括:
根据所述核查结果,确定对所述安全配置信息中提取参数信息的实际参数核查等级;
根据所述提取参数信息的属性,从历史核查记录中确定对不同漏洞类型的漏洞指标,并确定实际参数核查等级对漏洞指标的重要程度;
以所述漏洞指标为基准、以实际参数核查等级为一维属性、以对漏洞指标重要程度为二维属性,建立漏洞评估矩阵;
将所述提取参数信息的实际参数核查等级及其对应的重要程度输入所述漏洞评估矩阵中,输出所述提取参数信息满足的目标漏洞指标;
基于所述目标漏洞指标,确定满足的漏洞类型集合;
获取所述漏洞类型集合中漏洞类型的个数,若所述个数为1,确定所述漏洞类型集合的漏洞类型为目标漏洞类型;
若所述个数大于1,获取所述漏洞类型集合中漏洞类型,并确定每个漏洞类型之间的等级关系,若所述等级关系中存在平行等级关系且平行等级最高,选取所述平行等级对应的漏洞类型为目标漏洞类型,此时所述目标漏洞类型至少为2个,否则,选取等级最高对应的漏洞类型作为目标漏洞类型,此时所述目标漏洞类型为1个;
从漏洞数据库中获取与所述目标漏洞类型匹配的第一漏洞,并确定对所述第一漏洞的检测规则;
基于所述检测规则对所述安全配置信息进行再次检测,根据检测结果判断是否存在满足检测规则的第二漏洞;
若是,确定所述安全配置信息存在已知安全漏洞,即第二漏洞;
否则,确定所述安全配置信息存在未知安全漏洞;
基于所述目标漏洞类型的属性和个数、所述第二漏洞是否为已知安全漏洞,对所述安全配置信息进行安全风险评估,得到风险评估结果。
8.根据权利要求1所述的一种路由器安全配置自动修复监测方法,其特征在于,步骤4中,基于所述修复规则,对所述安全配置信息进行自动修复包括:
根据所述修复规则,生成对所述安全配置信息的安全漏洞修复的执行程序,并将所述执行程序划分为多个子程序,并为所述子程序匹配标识符;
基于所述标识符,执行所述多个子程序,并在子程序执行的过程中,对所述子程序进行监测,获取监测结果;
根据所述监测结果,确定对所述安全配置信息进行自动修复的修复结果,若所述修复结果与预设结果不匹配,及时对所述执行程序进行调整。
9.一种路由器安全配置自动修复监测系统,其特征在于,包括:
信息采集模块,用于采集路由器的安全配置信息;
信息核查模块,用于为所述安全配置信息配置核查规则,并基于所述核查规则对所述安全配置信息进行核查;
规则确定模块,用于根据核查结果对所述安全配置信息进行安全风险评估,并根据风险评估结果,得到修复规则;
自动修复模块,用于基于所述修复规则,对所述安全配置信息进行自动修复;
所述规则确定模块中根据风险评估结果,得到修复规则包括:
根据所述风险评估结果,确定所述安全配置信息存在的不同安全漏洞的风险等级;
并将不同安全漏洞划分为已知安全漏洞和未知安全漏洞,从漏洞修复库中获取所述已知安全漏洞的修复方案及其对应的修复难度;
确定所述未知安全漏洞影响的对应安全配置信息,并获取与所述对应安全配置信息匹配的标准安全配置信息,基于所述对应安全配置信息与标准安全配置信息的差异,设置所述未知安全漏洞的修复方案,并确定所述修复方案的修复难度;
为所述不同安全漏洞的修复方案匹配所需的修复数据,对所述修复数据进行分析,确定不同修复方案对应的修复数据之间关联数据和排斥数据,并基于所述关联数据和排斥数据,确定不同修复方案之间的逻辑规则;
基于所述风险等级,确定对所述不同安全漏洞的第一修复顺序,基于所述修复难度,预测所述不同安全漏洞的修复时间;
基于所述风险等级对应的时间要求,利用所述修复时间,对所述第一修复顺序进行修正,得到第二修复顺序;
基于所述不同修复方案之间的逻辑规则,判断所述第二修复顺序是否满足不同修复方案的逻辑要求;
若是,确定所述第二修复顺序为目标修复顺序;
否则,提取不满足逻辑要求的错误修复顺序进行修正,将修正后的第二修复顺序作为目标修复顺序;
基于所述不同修复方案的目标修复顺序,建立修复规则。
CN202210144260.0A 2022-02-17 2022-02-17 一种路由器安全配置自动修复监测方法及系统 Active CN115314234B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210144260.0A CN115314234B (zh) 2022-02-17 2022-02-17 一种路由器安全配置自动修复监测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210144260.0A CN115314234B (zh) 2022-02-17 2022-02-17 一种路由器安全配置自动修复监测方法及系统

Publications (2)

Publication Number Publication Date
CN115314234A CN115314234A (zh) 2022-11-08
CN115314234B true CN115314234B (zh) 2024-05-14

Family

ID=83855802

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210144260.0A Active CN115314234B (zh) 2022-02-17 2022-02-17 一种路由器安全配置自动修复监测方法及系统

Country Status (1)

Country Link
CN (1) CN115314234B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104270389A (zh) * 2014-10-23 2015-01-07 国网湖北省电力公司电力科学研究院 一种路由器/交换机安全配置漏洞自动修复方法及系统
CN107480533A (zh) * 2017-08-08 2017-12-15 深圳市腾讯计算机系统有限公司 一种漏洞修复的方法、装置及装置
CN111666573A (zh) * 2020-06-04 2020-09-15 杭州安恒信息技术股份有限公司 网站系统漏洞等级评估的方法、装置和计算机设备
WO2021003982A1 (zh) * 2019-07-05 2021-01-14 深圳壹账通智能科技有限公司 业务系统漏洞处理方法、装置、计算机设备和存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080201780A1 (en) * 2007-02-20 2008-08-21 Microsoft Corporation Risk-Based Vulnerability Assessment, Remediation and Network Access Protection
US8621637B2 (en) * 2011-01-10 2013-12-31 Saudi Arabian Oil Company Systems, program product and methods for performing a risk assessment workflow process for plant networks and systems
US9467465B2 (en) * 2013-02-25 2016-10-11 Beyondtrust Software, Inc. Systems and methods of risk based rules for application control
TWI719655B (zh) * 2019-09-27 2021-02-21 啟碁科技股份有限公司 自動設定路由器的方法和路由系統

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104270389A (zh) * 2014-10-23 2015-01-07 国网湖北省电力公司电力科学研究院 一种路由器/交换机安全配置漏洞自动修复方法及系统
CN107480533A (zh) * 2017-08-08 2017-12-15 深圳市腾讯计算机系统有限公司 一种漏洞修复的方法、装置及装置
WO2021003982A1 (zh) * 2019-07-05 2021-01-14 深圳壹账通智能科技有限公司 业务系统漏洞处理方法、装置、计算机设备和存储介质
CN111666573A (zh) * 2020-06-04 2020-09-15 杭州安恒信息技术股份有限公司 网站系统漏洞等级评估的方法、装置和计算机设备

Also Published As

Publication number Publication date
CN115314234A (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
De Leoni et al. Data-aware process mining: discovering decisions in processes using alignments
CN111881452B (zh) 一种面向工控设备的安全测试系统及其工作方法
CN113407517B (zh) 一种基于多维分析技术的数据质量健康度分析方法及系统
CN109272215B (zh) 项目开发质量监控方法、装置、计算机设备及存储介质
CN112069069A (zh) 缺陷自动定位分析方法、设备及可读存储介质
CN115952503B (zh) 融合黑白灰安全检测技术的应用安全测试方法及系统
CN116861446A (zh) 一种数据安全的评估方法及系统
CN113568900A (zh) 基于人工智能的大数据清洗方法及云服务器
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
CN114785710A (zh) 一种工业互联网标识解析二级节点服务能力的评估方法及系统
CN117376228B (zh) 一种网络安全测试工具确定方法及装置
CN113886373A (zh) 一种数据处理方法、装置及电子设备
CN115314234B (zh) 一种路由器安全配置自动修复监测方法及系统
Salako et al. Conservative confidence bounds in safety, from generalised claims of improvement & statistical evidence
CN116248393A (zh) 一种内网数据传输漏洞扫描装置及系统
Kersten et al. 'Give Me Structure': Synthesis and Evaluation of a (Network) Threat Analysis Process Supporting Tier 1 Investigations in a Security Operation Center
CN115473740A (zh) 一种基于异构流程的异常检测方法与系统
CN112733524A (zh) 标准编号自动校正及标准状态批量核查方法、系统、装置
CN110689144A (zh) 一种智能回收装置的管理方法及装置
CN117610018B (zh) 漏洞模拟方法及装置
CN116303375B (zh) 基于大数据的数据库维护分析方法、服务器及介质
US11895139B2 (en) Method for automatic retrieving and managing assets information in a network
Yüksel et al. Dynamic filtering and prioritization of static code analysis alerts
CN117527663A (zh) 网络安全等级保护自动化检测系统
CN118012775A (zh) 一种基于内核保护服务器数据的加固测试方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20240415

Address after: 518000, Building 308, Phase I, Tian'an Innovation Technology Plaza, No. 25 Tairan Fourth Road, Tian'an Community, Shatou Street, Futian District, Shenzhen, Guangdong Province

Applicant after: Shenzhen Hi-Tech Co.,Ltd.

Country or region after: China

Address before: 1113, building C, Huangdu Plaza, 3008 Yitian Road, Huanggang community, Futian street, Futian District, Shenzhen, Guangdong 518000

Applicant before: Shenzhen jielitong Information Technology Co.,Ltd.

Country or region before: China

GR01 Patent grant
GR01 Patent grant