CN115529146A - 网络安全漏洞处理系统及方法 - Google Patents
网络安全漏洞处理系统及方法 Download PDFInfo
- Publication number
- CN115529146A CN115529146A CN202110714440.3A CN202110714440A CN115529146A CN 115529146 A CN115529146 A CN 115529146A CN 202110714440 A CN202110714440 A CN 202110714440A CN 115529146 A CN115529146 A CN 115529146A
- Authority
- CN
- China
- Prior art keywords
- scanning
- node
- target
- security
- monitoring node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 74
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000012544 monitoring process Methods 0.000 claims abstract description 344
- 238000012423 maintenance Methods 0.000 claims abstract description 108
- 230000004044 response Effects 0.000 claims description 35
- 230000008859 change Effects 0.000 claims description 10
- 238000003672 processing method Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 20
- 238000007726 management method Methods 0.000 description 34
- 230000000977 initiatory effect Effects 0.000 description 24
- 239000003999 initiator Substances 0.000 description 22
- 230000007246 mechanism Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 239000004973 liquid crystal related substance Substances 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000001816 cooling Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及网络安全技术领域,公开了一种网络安全漏洞处理系统及方法。该方法包括:目标安全监控节点监测到扫描触发事件之后,通过所述区块链基础服务向目标扫描服务节点发送设备扫描请求;所述目标扫描服务节点根据所述设备扫描请求对目标被监管设备进行安全漏洞扫描,并生成扫描结果;所述目标扫描服务节点通过所述区块链基础服务将所述扫描结果发送给所述目标安全监控节点;所述目标安全监控节点通过所述区块链基础服务将所述扫描结果发送给目标运维节点;所述目标运维节点根据所述扫描结果对所述目标被监管设备进行安全漏洞处理。通过上述方式,本发明实施例实现了漏洞扫描及修复过程的可追溯。
Description
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种网络安全漏洞处理系统及方法。
背景技术
目前,在企业的网络设备上,网络安全漏洞的数量以及由此导致的网络安全事件正在持续不断的增长。为了及时了解网络设备上存在的网络安全漏洞,需要对网络安全设备进行网络安全扫描。
相关技术中,企业内部的安全管理人员收集企业的网络设备上可能存在的网络安全漏洞,并根据收集的网络安全漏洞对企业的网络设备进行网络安全扫描。当安全管理人员发现网络设备上的网络安全漏洞后,将漏洞信息发送给企业内部的漏洞处理人员,由漏洞处理人员对相关的网络安全漏洞进行分析处理。然而,在实现本发明实施例的过程中,发明人发现:由于相关技术中漏洞扫描及修复的过程不可追溯,使得漏洞扫描及修复过程难以满足企业需要。
发明内容
鉴于上述问题,本发明实施例提供了一种安全网络漏洞处理系统及方法,用于解决现有技术中存在的漏洞扫描及修复过程不可追溯的问题。
根据本发明实施例的一个方面,提供了一种网络安全漏洞处理系统,所述系统包括运维节点、被监管设备、安全监控节点、扫描服务节点以及区块链基础服务,所述运维节点、所述被监管设备、所述安全监控节点以及所述扫描服务节点均接入所述区块链基础服务;
所述安全监控节点,用于监测到扫描触发事件之后,通过所述区块链基础服务向所述扫描服务节点发送设备扫描请求;
所述扫描服务节点,用于根据所述设备扫描请求对所述被监管设备进行安全漏洞扫描,并生成扫描结果;
所述扫描服务节点,还用于通过所述区块链基础服务将所述扫描结果发送给所述安全监控节点;
所述安全监控节点,还用于通过所述区块链基础服务将所述扫描结果发送给所述运维节点;
所述运维节点,用于根据所述扫描结果对所述被监管设备进行安全漏洞处理。
根据本发明实施例的另一方面,提供了一种网络安全漏洞处理方法,应用于安全漏洞处理系统,所述系统包括运维节点、被监管设备、安全监控节点、扫描服务节点以及区块链基础服务,所述运维节点、所述被监管设备、所述安全监控节点以及所述扫描服务节点均接入所述区块链基础服务;所述方法包括:
目标安全监控节点监测到扫描触发事件之后,通过所述区块链基础服务向目标扫描服务节点发送设备扫描请求;
所述目标扫描服务节点根据所述设备扫描请求对目标被监管设备进行安全漏洞扫描,并生成扫描结果;
所述目标扫描服务节点通过所述区块链基础服务将所述扫描结果发送给所述目标安全监控节点;
所述目标安全监控节点通过所述区块链基础服务将所述扫描结果发送给目标运维节点;
所述目标运维节点根据所述扫描结果对所述目标被监管设备进行安全漏洞处理。
在一种可选的方式中,所述被监管设备上安装有安全代理软件,所述系统还包括网络安全管理节点;
所述目标安全监控节点监测到扫描触发事件包括:
所述目标安全监控节点通过所述区块链基础服务监测到自身管辖范围内的安全代理软件上线和/或状态改变;以及,
所述目标安全监控节点通过所述区块链基础服务监测到所述网络安全管理节点的批量扫描请求。
在一种可选的方式中,所述安全监控节点以及所述安全代理软件均在虚拟的哈希地址环上具有环地址;
所述方法还包括:
所述区块链基础服务确定所述目标安全监控节点的环地址;
若所述目标安全监控节点不为所有安全监控节点中环地址最大的安全监控节点,则所述区块链基础服务将环地址不小于并且最接近所述目标安全监控节点的环地址的安全代理软件确定为所述目标安全监控节点的管辖范围内的安全代理软件;
若所述目标安全监控节点为所有安全监控节点中环地址最大的安全监控节点,则所述区块链基础服务将环地址不小于并且最接近所述目标安全监控节点的环地址的安全代理软件,以及环地址小于所有安全监控节点中环地址的最小值的安全代理软件确定为所述目标安全监控节点的管辖范围内的安全代理软件。
在一种可选的方式中,所述目标安全监控节点监测到扫描触发事件之后,通过所述区块链基础服务向目标扫描服务节点发送设备扫描请求包括:
目标安全监控节点监测到扫描触发事件之后,确定需要进行安全漏洞扫描的多个被监管设备;
所述目标安全监控节点分别计算所述多个被监管设备中每一被监管设备的扫描排队分值,按照所述扫描排队分值从大到小将所述多个被监管设备进行排序;
所述目标安全监控节点依次将排序靠前的第一预设数量的被监管设备确定为待扫描设备;
所述目标安全监控节点根据所述待扫描设备生成设备扫描请求并将所述设备扫描请求发送给目标扫描服务节点。
在一种可选的方式中,所述方法还包括:
所述区块链基础服务根据多个扫描服务节点对所述设备扫描请求的抢应时间,确定抢应时间靠前的第二预设数量的扫描服务节点;
所述区块链基础服务在所述第二预设数量的扫描服务节点中,将待扫描设备队列最短的扫描服务节点确定为目标扫描服务节点。
在一种可选的方式中,所述目标安全监控节点通过所述区块链基础服务将所述扫描结果发送给目标运维节点包括:
所述目标安全监控节点根据所述扫描结果判断扫描失败,所述目标安全监控节点将加入扫描失败标志的扫描结果发送给目标运维节点;或者,
所述目标安全监控节点根据所述扫描结果判断扫描成功且未扫描出漏洞,所述目标安全监控节点将加入扫描成功且未扫描出漏洞标志的扫描结果发送给目标运维节点;或者,
所述目标安全监控节点根据所述扫描结果判断扫描成功且扫描出漏洞,所述目标安全监控节点针对每个漏洞,分别将加入扫描成功且扫描出漏洞标志的扫描结果发送给目标运维节点。
在一种可选的方式中,所述方法还包括:
所述目标安全监控节点通过所述区块链基础服务向所述目标被监管设备发送心跳询问请求,所述心跳询问请求包括所述目标被监管设备的第一设备信息;
所述目标被监管设备收到所述心跳询问请求后,回应根据本地存储的第二设备信息;
若所述区块链基础服务判断所述第一设备信息与所述第二设备信息一致,则确定心跳询问成功;
若所述区块链基础服务判断所述第一设备信息与所述第二设备信息不一致,则确定心跳询问失败。
在一种可选的方式中,所述方法还包括:
所述目标安全监控节点确定需要进行心跳询问的多个被监管设备;
所述目标安全监控节点分别计算所述多个被监管设备中每一被监管设备的询问排队分值,按照所述询问排队分值从大到小将所述多个被监管设备进行排序;
所述目标安全监控节点依次将排序靠前的第三预设数量的被监管设备确定为待询问设备;
所述目标安全监控节点根据所述待询问设备生成心跳询问请求并将所述心跳询问请求发送给所述待询问设备。
在一种可选的方式中,所述方法还包括:
所述目标安全监控节点获取所述目标运维节点对所述目标被监管设备进行安全漏洞处理的处理结果;
所述目标安全监控节点根据所述处理结果确定存在漏洞误报的被监管设备以及对应的误报漏洞类型;
若所述目标安全监控节点在预设时间范围内再次获取到所述存在漏洞误报的被监管设备的重复扫描结果,通过所述区块链基础服务将排除所述误报漏洞类型的重复扫描结果发送给所述目标运维节点。
本发明实施例的目标安全监控节点监测到扫描触发事件之后,可以向目标扫描服务节点发送设备扫描请求,目标扫描服务节点可以将根据目标被监管设备进行安全漏洞扫描所生成的扫描结果发送给目标安全监控节点,目标安全监控节点可以将扫描结果发送给目标运维节点,由目标运维节点根据扫描结果对目标被监管设备进行安全漏洞处理。在上述的设备扫描以及安全漏洞处理过程中,运维节点、被监管设备、安全监控节点以及扫描服务节点之间均通过区块链基础服务进行信息交互,使得设备扫描以及安全漏洞处理过程可追溯。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
附图仅用于示出实施方式,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的网络安全漏洞处理系统的结构示意图;
图2示出了本发明实施例提供的网络安全漏洞处理系统的另一结构示意图;
图3示出了本发明实施例提供的网络安全漏洞处理方法的流程示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。
本发明实施例提供的网络安全漏洞处理系统一般应用于大型企业,用于对大型企业内部的网络设备进行网络安全漏洞扫描以及漏洞修复。下面以大型的电信企业为例对网络安全漏洞处理系统的结构进行说明。
图1示出了本发明实施例提供的网络安全漏洞处理系统的结构示意图。如图1所示,该网络安全漏洞处理系统包括网络安全管理节点、运维节点、被监管设备、安全监控节点、扫描服务节点。
其中,运维节点一般为企业的分支机构所在的节点。大型企业一般包括多个分支机构,每个分支机构分布在不同的地理位置,每个分支机构负责对本分支结构下属的网络设备进行维护,例如分支机构可以对下属的网络设备进行管理和监控。被监管设备一般为运维节点的运维对象,即运维节点对被监管设备进行运维。网络安全漏洞处理系统中一般有大量被监管设备,每个运维节点一般负责对多个被监管设备进行运维。例如,分支机构A所在的运维节点负责对被监管设备1、2、3进行运维,分支机构B所在的运维节点负责对被监管设备4、5、6进行运维。安全监控节点负责对被监管设备的网络安全进行监控,不同的安全监控节点可以负责监控不同的被监管设备。扫描服务节点可以对被监管设备进行安全漏洞扫描,并生成扫描结果。
其中,网络安全管理节点一般为企业的网络安全管理总部所在的节点。网络安全漏洞处理系统有且仅有一个网络安全管理节点,该网络安全管理节点负责对网络安全漏洞处理系统内部的网络环境的安全状态进行监控,维持网络安全漏洞处理系统的正常运行状态,以及根据网络安全漏洞处理系统的运行数据对不同分支机构所在的运维节点进行工作统计及工作考核。网络安全管理节点可以根据工作统计及工作考核,判断各个分支结构所在的运维节点的安全运维工作是否有效,修复安全漏洞是否及时。网络安全管理节点还可以对扫描服务节点进行工作统计及工作考核,对企业内网络设备的安全漏洞趋势进行分析。
其中,安全监控节点可以进行动态的添加和删除。安全监控节点主要功能为接收其他节点以及安全代理软件的上下线信息和状态改变信息,并作出回应;分段管理其他节点以及安全代理软件的运行状态(例如心跳状态)。当接收安全代理软件上线或监控状态改变信息后,向扫描节点发起安全扫描请求,并接收其反馈的扫描报告。将扫描报告进行设备和漏洞细分,并以智能合约方式通知运维节点,并根据智能合约的完成情况,监控分支机构对下辖被监控设备的漏洞修补情况。接收网络安全管理节点发起的批量扫描或定时扫描请求,并处理转发到扫描服务节点。安全监控节点可以对区块链中的相关信道和相关合约信息进行读写。被监管设备(和安全代理软件)和安全监控节点的关系为被管辖和管辖者关系。一个安全监控节点可以管辖多个被监管设备和安全代理软件。
其中,扫描服务节点可以进行动态的添加和删除,扫描服务节点可以为第三方扫描服务。扫描服务节点可以抢应智能合约的方式接收安全监控节点的扫描请求,并调度本地的扫描设备执行安全扫描,并在扫描完成后提供扫描报告给安全监控节点。扫描服务节点可以对区块链中的相关信道和相关合约信息进行读写。每个运维节点均对应有运维人员,运维人员是运维节点的使用者。运维人员可以通过运维节点提供的界面或接口发送被监管设备的上线或下线命令,上线会下线命令以智能合约方式通知安全监控节点。
其中,区块链基础服务以去中心化方式完成信息的收发、发送者身份检验、信息排序、区块生成和传播等功能,可以提供链上信息的可信性、时序性、防篡改等基本保障。以及支持以区块链方式完成智能合约的生成、传输和校验等基本功能。
本发明所描述系统构建于区块链基础服务之上,理论上任何满足上述要求的区块链基础服务均可支撑本发明所描述系统的各项功能。本发明并未对区块链基础服务做出进一步改进。
图2示出了本发明实施例提供的网络安全漏洞处理系统的另一结构示意图。如图2所示,网络安全管理节点、运维节点、被监管设备、安全监控节点以及扫描服务节点均通过智能合约接入区块链基础服务。区块链基础服务采用联盟链或私有链方式构建,采用实用拜占庭容错共识机制等基于消息的共识机制,无需采用代币即可完成记账等功能。区块链基础服务支持以频道方式区分不同消息,以提高区块链信息的传播和查询效率。网络安全管理节点可以对网络安全漏洞处理系统的正常运行进行监控,对不同分支机构的运维工作进行统计和考核。
区块链的智能合约是用于进行事务处理的脚本程序,能够根据预设条件自动处理各项事务,具有自动、透明和可信的特点。在本发明实施例的网络安全漏洞处理系统中,区块链基础服务的智能合约用于各个节点之间的信息交互、验证与存证,区块链基础服务可以完成智能合约的发布、传播、存储、判定和查询。网络安全漏洞处理系统中的各个节点均可以调用区块链基础服务的智能合约。下面对区块链基础服务的智能合约的组成进行说明。
区块链基础服务的智能合约包括合约基本信息和合约应答信息。合约基本信息包括合约编号、合约发起时间戳、合约类型、合约子类型、合约超时时间、合约发起者环地址、合约发起者类型、合约发起数据域以及合约发起签名信息。合约编号是用于对智能合约进行标识的唯一序号;合约发起时间戳是用于记录智能合约的发起时间的时间戳;合约类型用于标识智能合约的基本类型,即标识智能合约属于第一智能合约、第二智能合约、第三智能合约、第四智能合约、第五智能合约、第六智能合约、第七智能合约和第八智能合约中哪一种智能合约;合约子类型用于标识智能合约的子类型;合约超时时间用于标识区块链基础服务将没有正常完成的智能合约判定为失效的时间;发起者的环地址用于标识智能合约的发起者在虚拟的哈希地址环上的环地址;合约发起者类型用于标识智能合约的发起者属于网络安全管理节点、运维节点、安全监控节点、扫描服务节点以及安全代理软件中哪一种类型;合约发起数据域用于记录智能合约发起者的附加信息,包括操作系统的类型和版本,以及安装应用列表的信息;合约发起签名信息为智能合约发起者使用私钥对智能合约的合约编号、合约时间戳、合约类型、合约子类型、合约超时时间、合约发起者环地址、合约发起者类型、合约发起数据域以及合约隐藏数据域进行摘要计算和签名的信息,用于区块链基础服务判定智能合约的有效性。
合约响应信息包括合约响应者环地址、合约响应时间戳、合约响应者类型、合约应答数据域以及合约响应签名信息。合约响应者环地址用于标识智能合约的响应者在虚拟的哈希地址环的环地址;合约响应时间戳是用于记录智能合约的响应时间的时间戳;合约响应者类型用于标识智能合约的响应者属于网络安全管理节点、运维节点、安全监控节点、扫描服务节点以及安全代理软件中哪一种类型;合约应答数据域用于记录智能合约响应者的附加信息,若智能合约响应者未添加附加信息,则合约应答数据域为空;合约响应签名信息为智能合约的响应者使用私钥对合约发起数据域以及合约应答数据域进行摘要计算和签名的信息。
下面对区块链基础服务的智能合约的执行过程进行说明。在智能合约的发起者通过区块链基础服务发起智能合约之后,可能存在多个节点对智能合约进行回应,区块链基础服务需要确定智能合约的响应者为哪个节点,并且将智能合约的响应者的附加信息添加到智能合约的合约应答数据域中,并记录于区块链中。区块链基础服务根据根据一个或多个判断方法确定智能合约的响应者。判断方法至少包括第一判断方法、第二判断方法、第三判断方法和第四判断方法。第一判断方法包括根据合约发起者的摘要计算和签名的信息、合约响应者的摘要计算和签名的信息、合约响应者类型以及合约超时时间进行判断,第一判断方法适用于所有智能合约;第二判断方法包括根据环地址范围进行判断,即将环地址小于并最接近于智能合约的发起者的环地址的节点判定为智能合约的响应者;第三判断方法包括根据环地址进行判断,即将满足要求的唯一节点判定为智能合约的响应者;第四判断方法包括根据抢应时间进行判断,即将最早抢应智能合约的节点判定为智能合约的响应者。
下面对区块链基础服务的八种基本合约类型进行说明。合约发起类型以及合约响应者类型对应相同的智能合约一般被归为同一类智能合约。区块链基础服务的智能合约包括第一智能合约、第二智能合约、第三智能合约、第四智能合约、第五智能合约、第六智能合约、第七智能合约和第八智能合约。第一智能合约主要用于宣告设备上线或下线,第一智能合约的合约发起者为运维节点或安全监控节点,第一智能合约的合约响应者为安全监控节点。区块链基础服务一般可以根据第一判断方法和第二判断方法确定第一智能合约的合约响应者。第二智能合约主要用于安全代理软件向安全监控节点汇报自身监控条件发生改变,第二智能合约的合约发起者为安装于被监管设备上的安全代理软件,第二智能合约的合约响应者为安全监控节点。区块链基础服务一般可以根据第一判断方法和第二判断方法确定第二智能合约的合约响应者。第三智能合约主要用于安全监控节点向管辖范围内的安全代理软件发送心跳询问请求,第三智能合约的发起者为安全监控节点,第三智能合约的合约响应者为安全代理软件。区块链基础服务一般可以根据第一判断方法和第三判断方法确定第三智能合约的合约响应者。第四智能合约主要用于安全监控节点向扫描服务节点发送设备扫描请求,第四智能合约的合约发起者为安全监控节点,第四智能合约的合约执行者为扫描服务节点。区块链基础服务一般根据第一判断方法和第四判断方法确定第四智能合约的合约响应者。第五智能合约主要用于扫描服务节点向安全监控节点发送扫描结果,第五智能合约的合约发起者为扫描服务节点,第五智能合约的合约响应者为安全监控节点。区块链基础服务一般根据第一判断方法和第三判断方法确定第五智能合约的合约响应者。第六智能合约主要用于安全监控节点向运维节点发送扫描结果,第六智能合约的合约发起者为安全监控节点,第六智能合约的合约响应者为运维节点。区块链基础服务一般根据根据第一判断方法和第三判断方法确定第六智能合约的合约响应者。第七智能合约主要用于运维节点向网络安全管理节点发送发送漏洞误报请求或特殊处理请求。第七智能合约的合约发起者为运维节点,第七智能合约的合约响应者为网络安全管理节点。区块链基础服务一般可以根据第一判断条件确定第七智能合约的合约响应者。第八智能合约主要用于网络安全管理节点向安全监控节点发送指令或查询请求。第八智能合约的合约发起者为网络安全管理节点,第八智能合约的合约响应者为安全监控节点。区块链基础服务一般根据第一判断方法确定第八智能合约的合约响应者,第八智能合约一般可以包括多个合约响应者。
其中,智能合约是本发明实施例网络安全漏洞处理系统中安全扫描和追踪功能实现的重点,通过使用不同类型的智能合约实现了对安全设备的自动化监控,对安全漏洞的及时扫描和修复,对安全漏洞的自动冷却;将智能合约放在区块链上使其具有了很高的可靠性和透明度;企业总部和各地分支机构作为区块链的维护方,均有权上传和读取区块链上的智能合约等数据,这实现了企业总部对各地分支机构进行有效的监督和调度,并且可以对所有的安全事件和安全漏洞进行追溯、分析、预测、审计与结算。本系统中所有智能合约都是由设备安全代理或者运维系统自动生成和发布,安全管理人员仅对合约作出响应和动作,有效的避免了人工干预,可以自动触发扫描、审核、重扫和冷却,自动化程度高,及时性和透明性好;安全管理人员的响应时间和响应动作都会自动记录到区块链上,实现了对安全管理人员的有效监督;智能合约一旦生成,就会被发布到区块链的不同频道上,能够基于负载均衡机制使用多方的计算资源、存储资源和扫描资源处理智能合约,这使得安全监控和安全扫描更加自动化和高效,并且不存在单点失效或单点瓶颈问题,可靠性好。
其中,安全监控节点用于监测到扫描触发事件之后,通过区块链基础服务向扫描服务节点发送设备扫描请求;扫描服务节点用于根据设备扫描请求对被监管设备进行安全漏洞扫描,并生成扫描结果;扫描服务节点还用于通过区块链基础服务将扫描结果发送给安全监控节点;安全监控节点还用于通过区块链基础服务将扫描结果发送给运维节点;运维节点用于根据扫描结果对被监管设备进行安全漏洞处理。
本发明实施例的目标安全监控节点监测到扫描触发事件之后,可以向目标扫描服务节点发送设备扫描请求,目标扫描服务节点可以将根据目标被监管设备进行安全漏洞扫描所生成的扫描结果发送给目标安全监控节点,目标安全监控节点可以将扫描结果发送给目标运维节点,由目标运维节点根据扫描结果对目标被监管设备进行安全漏洞处理。在上述的设备扫描以及安全漏洞处理过程中,运维节点、被监管设备、安全监控节点以及扫描服务节点之间均通过区块链基础服务进行信息交互,使得设备扫描以及安全漏洞处理过程可追溯。
图3示出了本发明实施例网络安全漏洞处理方法的流程图,该方法应用于上述的网络安全漏洞处理系统。
如图3所示,该方法包括以下步骤:
步骤110:目标安全监控节点监测到扫描触发事件之后,通过所述区块链基础服务向目标扫描服务节点发送设备扫描请求。
其中,目标安全监控节点为任一安全监控节点,可以通过区块链基础服务监测扫描触发事件。当目标安全监控节点监测到扫描触发事件之后,可以通区块链基础服务向目标扫描服务节点发送针对被监管设备的设备扫描请求。
其中,被监管设备上安装有安全代理软件。运维人员可以将安全代理软件安装在被监管设备上,并且对安全代理软件进行基本的配置。安全代理软件可以对被监管设备进行监控。例如,安全代理软件可以对被监管设备的系统程序所在位置、应用程序所在位置的目录或文件进行监控。当安全代理软件的监控范围或监控内容发生变化时,安全代理软件会通过区块链基础服务的第二智能合约通知目标安全监控节点。在安全代理软件上线或下线时,安全代理软件也会通过区块链基础服务的第一智能合约通知目标安全监控节点。
在一种可选的方式中,目标安全监控节点监测到扫描触发事件包括目标安全监控节点通过区块链基础服务监测到自身管辖范围内的安全代理软件上线和/或状态改变;以及,目标安全监控节点通过区块链基础服务监测到网络安全管理节点的批量扫描请求。
其中,安全监控节点以及安全代理软件均在虚拟的哈希地址环上具有环地址。区块链基础服务可以根据哈希地址环上的安全监控节点以及安全代理软件的环地址确定每一个安全监控节点所管辖范围内的安全代理软件。当区块链基础服务确定目标安全监控节点的管辖范围时,区块链基础服务首先确定目标安全监控节点的环地址,若区块链基础服务判断目标安全监控节点不为所有安全监控节点中环地址最大的安全监控节点,则区块链基础服务将环地址不小于并且最接近目标安全监控节点的环地址的安全代理软件确定为目标安全监控节点的管辖范围内的安全代理软件;若区块链基础服务判断目标安全监控节点为所有安全监控节点中环地址最大的安全监控节点,则区块链基础服务将环地址不小于并且最接近目标安全监控节点的环地址的安全代理软件,以及环地址小于所有安全监控节点中环地址的最小值的安全代理软件确定为目标安全监控节点的管辖范围内的安全代理软件。
需要说明的是,本发明实施例的网络安全漏洞处理系统中的网络安全管理节点、运维节点、安全代理软件、安全监控节点以及扫描服务节点均在虚拟的哈希地址环中对应有环地址。该虚拟的哈希地址环是一个基于DHT(Distributed Hash Table,分布式哈希表)算法构建的虚拟环形空间,环地址在0至2m-1之间,可以最大容纳的节点数量为2m,m为自定义的常量。网络安全管理节点、运维节点、被监管设备、安全监控节点以及扫描服务节点在接入区块链基础服务之前,均需要从PKI/CA(Public Key Infrastructure/CertificateAuthority,公钥基础设施/认证中心)系统进行身份验证并申请数字证书。PKI/CA系统可以使接入区块链基础服务的网络安全管理节点、运维节点、被监管设备、安全监控节点以及扫描服务节点受信任。哈希地址环可以指示安全监控节点对安全代理软件的管辖关系,与区块链基础服务的去中心化结构没有关系,是叠加在区块链基础服务之上的虚拟结构。
例如,若网络安全漏洞处理系统中存在3个安全监控节点,3个安全监控节点的环地址从小到大依次为vID1、vID2、vID3。网络安全漏洞处理系统中的节点可以被划分为3组,每一组分别被vID1、vID2和vID3处的安全监控节点所管辖。环地址在[vID1,vID2)区间内的节点被vID1处的安全监控节点管辖,环地址在[vID2,vID3)区间内的节点被vID2处的安全监控节点管辖,环地址在[vID3,2m-1)区间内的节点以及环地址在[0,vID1)区间内的节点被vID3处的安全监控节点管辖。vID1处的安全监控节点可以视为vID2处的安全监控节点的前序节点,vID2处的安全监控节点可以视为vID1处的安全监控节点的后序节点;同理,vID2处的安全监控节点可以视为vID3处的安全监控节点的前序节点,vID3处的安全监控节点可以视为vID2处的安全监控节点的后序节点。
下面对网络安全漏洞处理系统中新的安全监控节点上线的过程进行说明。网络安全漏洞处理系统中新的安全监控节点即网络安全漏洞处理系统中新增的安全监控节点或从故障中恢复的安全监控节点。当新的安全监控节点接入区块链基础服务后,区块链基础服务会为新的安全监控节点分配一个环地址,并且通过第一智能合约将新的安全监控节点的环地址发布在区块链上。网络安全漏洞处理系统中的其它安全监控节点会响应第一智能合约。若新的安全监控节点的环地址小于其它安全监控节点的环地址中的最小值,区块链基础服务将其它安全监控节点中环地址最大的安全监控节点确定为第一智能合约的响应者;若新的安全监控节点的环地址不小于其它安全监控节点的环地址中的最小值,区块链基础服务将环地址小于并且最接近新的安全监控节点的环地址的安全监控节点,确定为第一智能合约的响应者。可以理解的,在哈希地址环上,以新的安全监控节点为起点,逆时针方向第一个出现在哈希地址环上的其它安全监控节点即为第一智能合约的响应者。
区块链基础服务会为新的安全监控节点分配管辖范围,同时调整第一合约的执行者的管辖范围。例如,若第一智能合约的响应者的环地址为vID4,管辖范围为[vID4,vID6),新的安全监控节点的环地址为vID5,并且vID4<vID5<vID6,第一智能合约的响应者在第一智能合约的合约应答数据域中添加的附加信息包括响应者的环地址vID4、响应者后序节点的环地址vID6以及响应者所管辖的[vID5,vID6)环地址范围内的被监管设备列表。区块链基础服务会将响应者的管辖范围调整为[vID4,vID5),将新的安全监控节点的管辖范围调整为[vID5,vID6),并且将[vID5,vID6)环地址范围内的被监管设备列表提供给新的安全监控节点进行缓存。在该过程中,除响应者以及新的安全监控节点以外的安全监控节点的管辖范围不做调整。
在本发明实施例的网络安全漏洞处理系统中,各个安全监控节点之间存在心跳监控与容错机制。下面对网络安全漏洞处理系统中各个安全监控节点的心跳监控与容错机制进行说明。网络安全漏洞处理系统中存在多个安全监控节点,每个安全监控节点会通过区块链基础服务的第三智能合约向后序安全监控节点发送心跳询问请求,收到第三智能合约的后序安全监控节点会往第三智能合约的合约应答数据域中添加自身的环地址、自身前序节点的环地址以及自身后续节点的环地址。例如,发起心跳询问请求的安全监控节点的环地址为vID7,收到第三智能合约的后序安全监控节点的环地址为vID10。该后序安全监控节点在合约应答数据域中添加自身的环地址vID10,自身前序节点的环地址vID7,自身后序节点的环地址vID11。此时,发起心跳询问请求的安全监控节点判断,合约应答数据域中后续安全监控节点的前序节点vID7与自己的环地址vID7相同,则发起心跳询问请求的安全监控节点会缓存后续安全监控节点的后序节点的环地址vID11。
在另一种情况下,收到第三智能合约的后序安全监控节点在合约应答数据域中添加自身的环地址vID10,自身前序节点的环地址vID8,自身后序节点的环地址vID11,即收到第三智能合约的后序安全监控节点的前序节点的环地址为vID8,而不是vID7。此时,发起心跳询问请求的安全监控节点判断,合约应答数据域中后续安全监控节点的前序节点vID8与自己的环地址vID7不相同,则发起心跳询问请求的安全监控节点会将自己的后序节点修改为vID8,并且将自己的管辖范围调整为[vID7,vID8),缓存收到第三智能合约的后序安全监控节点的环地址vID10。然后,环地址vID7处的安全监控节点会通过区块链基础服务的第三智能合约向vID8处的安全监控节点发送心跳询问请求,以重复执行上述步骤。
若安全监控节点通过区块链基础服务的第三智能合约向后序安全监控节点发送心跳询问请求之后,在预设的时间范围内没有收到第三智能合约的响应信息,则发起心跳询问请求的安全监控节点认为自己的后序安全监控节点出现异常,将其缓存的环地址设置为自己后序节点的环地址。例如,发起心跳询问请求的安全监控节点的环地址为vID12,缓存的环地址为vID14;若发起心跳询问请求的安全监控节点在预设的时间范围内没有收到第三智能合约的响应信息,则发起心跳询问请求的安全监控节点区块链上搜索并缓存[vID12,vID14)范围内节点的上线信息和心跳信息,获取[vID12,vID14)范围内节点的管辖权。
在本发明实施例的网络安全漏洞处理系统中,运维节点完成对被监管设备的维护之后,可以通过运维节点提供的接口或界面向区块链基础服务发出第一智能合约,以启动被监管设备上线,即被监管设备上安全代理软件上线。下面对网络安全漏洞处理系统中安全代理软件上线的过程进行说明。企业分支机构的运维人员可以在维护范围内的被监管设备上安装安全代理软件,并且在为被监管设备上的安全代理软件申请数字证书、配置监控范围之后,运行被监管设备上的安全代理软件。被监管设备上安装好安全代理软件之后,安全代理软件随着被监管设备的启动而自动启动。运维人员可以通过运维节点提供的界面或接口发布特定被监管设备的上线信息,进一步的,运维人员可以通过第一智能合约将特定被监管设备的上线信息发布到区块链基础服务上,并且在第一智能合约的合约发起数据域中添加特定被监管设备所安装的安全代理软件的环地址、特定被监管设备所属运维节点的环地址、特定被监管设备所安装的安全代理软件的监控范围以及特定被监管设备的设备IP地址。
当特定被监管设备上安装的安全代理软件的环地址小于所有安全监控节点的环地址中的最小值时,环地址最大的安全监控节点会成为第一智能合约的响应者;当特定被监管设备上安装的安全代理软件的环地址不小于所有安全监控节点的环地址中的最小值时,环地址小于并且最接近于上述的特定被监管设备上安装的安全代理软件的环地址的安全监控节点会成为第一智能合约的响应者。第一智能合约的响应者会缓存特定被监管设备上安装的安全代理软件的环地址、特定被监管设备所属运维节点的环地址、特定被监管设备上安装的安全代理软件的监控范围、第一智能合约的合约发起时间戳、特定被监管设备的上线信息以及特定被监管设备的设备IP地址,并根据缓存的上述信息对特定被监管设备进行心跳监控。安全代理软件不会记录安全监控节点的信息,安全监控节点所属管辖范围内的安全代理软件上线后,安全代理软件会对所属管辖范围内的被监管设备进行安全漏洞扫描。需要说明的是,在本说明书中,如无特别说明,被监管设备上线与安全代理软件上线用于表达同样的含义,即被监管设备启动后,被监管设备上的安全代理软件自动启动并接入区块链基础服务;被监管设备下线与安全代理软件下线用于表达同样的含义,即被监管设备上的安全代理软件关闭,不再接入区块链基础服务。
下面对网络安全漏洞处理系统中安全代理软件状态改变的过程进行说明。当安全代理软件判断自己的监控范围或监控内容发生改变时,安全代理软件会通过区块链基础服务的第二智能合约向具有管辖权的安全监控节点发送状态改变消息。安全代理软件会在第二智能合约的合约发起数据域中添加与监控范围或监控内容发生改变相关的信息。当具有管辖权的安全监控节点收到第二智能合约后,会对安全代理软件所在的安全监控节点进行安全漏洞扫描。
下面对网络安全漏洞处理系统中安全代理软件下线的过程进行说明。企业分支机构的运维人员可以对被监管设备进行设备维护,在进行设备维护之前,需要通过运维节点提供的界面或接口发布特定被监管设备的下线信息,进一步的,运维人员可以通过第一智能合约将特定被监管设备的下线信息发布到区块链基础服务上。具有管辖权的安全监控节点通过第一智能合约获取到特定被监管设备的下线信息之后,会将缓存的对应安全代理软件的登录状态由上线状态改为下线状态。在将缓存的对应安全代理软件的登录状态由上线状态改为下线状态之后,具有管辖权的安全监控节点将不会对对应的安全代理软件进行安全漏洞扫描。当对应的安全代理软件重新上线之后,具有管辖权的安全监控节点会重新开始对对应的安全代理软件进行安全漏洞扫描。通过将安全代理软件下线,可以使得运维人员对被监管设备进行维护或修复被监管设备的漏洞时,不会触发安全监控节点开启对对应的安全代理软件进行安全漏洞扫描的流程。网络安全管理节点会定期获取与被监管设备上线、被监管设备下线相关的智能合约,定期获取执行失败的第二智能合约,从而进行安全合规性检查和安全审计。需要说明的是,当运维人员通过第一智能合约完成被监管设备的下线之后,运维人员可以关闭被监管设备上的安全代理软件,若运维人员不关闭被监管设备上的安全代理软件,则被监管设备上的安全代理软件仍然会通过区块链基础服务的第二智能合约向具有管辖权的安全监控节点发送状态改变消息。
在本发明实施例的网络安全漏洞处理系统中,安全监控节点可以通过心跳监控机制定期向管辖范围内的安全代理软件进行监控。在一种可选的方式中,目标安全监控节点通过区块链基础服务向目标被监管设备发送心跳询问请求,心跳询问请求包括目标被监管设备的第一设备信息;目标被监管设备收到所述心跳询问请求后,回应根据本地存储的第二设备信息;若区块链基础服务判断第一设备信息与第二设备信息一致,则确定心跳询问成功;若区块链基础服务判断第一设备信息与第二设备信息不一致,则确定心跳询问失败。
进一步的,安全监控节点可以通过区块链基础服务的第三智能合约向所属管辖范围内的被监管设备发送心跳询问请求。第三智能合约中包含安全代理软件的环地址、安全代理软件所属运维节点的环地址、安全代理软件的监控范围、发起时间戳、安全代理软件的登录状态以及安全代理软件所在的被监管设备。在被监管设备通过区块链基础服务的第三智能合约监听到安全监控节点发起的第三智能合约后,需要回应自身缓存的安全代理软件的环地址、安全代理软件所属运维节点的环地址、安全代理软件的监控范围、应答时间戳、安全代理软件的登录状态、安全代理软件所在的被监管设备的IP地址。安全监控节点会对比被监管设备回应的信息,如果出现信息不匹配,或应答时间戳和和真实时间存在差异时,则判定被监管设备出现异常。同样的,如果在规定应答时间内,被监管设备无回应,则判定被监管设备异常。对于判定异常的被监管设备,后续仍将持续进行心跳监控,但不会触发对被监管设备进行扫描,因为此时已经能够明确判定被监管设备异常,不需要再通过扫描判定。需要说明的是,第三智能合约既可以用于监控安全代理软件的心跳和状态,又可以监控安全监控节点的心跳和状态,两者的区别在于第三智能合约的应答域的回应信息不同,以及合约发起者收到第三智能合约的应答域的回应信息之后的处理方式不同。
其中,网络安全漏洞处理系统中存在大量被监管设备,同一安全监控节点的管辖范围内一般包括多个安全代理软件。对于管辖范围内的多组安全代理软件,安全监控节点按照预设时间间隔分别向每一组组安全代理软件发送心跳询问请求,预设时间间隔为固定时间间隔与动态时间间隔之和,以防止短期内出现大量心跳监控请求,导致网络拥塞和系统性能下降。进一步的,若固定时间间隔内新增的心跳监控请求数量小于预设请求数量,则动态时间间隔为0;若固定时间间隔内新增的心跳监控请求数量大于预设请求数量,则动态时间间隔与新增的心跳监控请求数量成线性反比关系。预设时间间隔的计算公式为:
其中,Δt表示预设时间间隔,Num表示固定时间间隔内新增的心跳监控请求数量,Nummax表示预设请求数量,k为预设常数;k可以由安全主管或运维人员根据经验进行手动配置,默认值为0.1。管辖范围内的被监管设备进行排队分批心跳监控,每次监控一批设备而非全部设备。
在一种可选的方式中,目标安全监控节点确定需要进行心跳询问的多个被监管设备,目标安全监控节点分别计算多个被监管设备中每一被监管设备的询问排队分值,按照所述询问排队分值从大到小将所述多个被监管设备进行排序;目标安全监控节点依次将排序靠前的第三预设数量的被监管设备确定为待询问设备,目标安全监控节点根据待询问设备生成心跳询问请求并将心跳询问请求发送给待询问设备。
需要说明的是,安全监控节点通过区块链基础服务向扫描服务节点发送的设备扫描请求一般对应于大量被监管设备。安全监控节点需要对被监管设备进行排序以分别生成多个设备扫描请求,不同设备扫描请求用于对不同的被监管设备进行设备扫描。
在一种可选的方式中,当安全监控节点监测到扫描触发事件之后,确定需要进行安全漏洞扫描的多个被监管设备;然后,安全监控节点分别计算多个被监管设备中每一被监管设备的扫描排队分值,按照扫描排队分值从大到小将多个被监管设备进行排序;安全监控节点依次将排序靠前的第一预设数量的被监管设备确定为待扫描设备;安全监控节点根据待扫描设备生成设备扫描请求并依次将多个设备扫描请求发送给目标扫描服务节点。
步骤120:所述目标扫描服务节点根据所述设备扫描请求对目标被监管设备进行安全漏洞扫描,并生成扫描结果。
其中,目标扫描服务节点可以是企业外部的第三方机构。目标扫描服务节点可以根据设备扫描请求对目标被监管设备进行安全漏洞扫描,并生成扫描结果。扫描服务节点一般为多个,每一个扫描服务节点均会抢应目标安全监控节点的设备扫描请求。如果扫描服务节点发现设备扫描请求所对应的被监管设备曾在过去一段时间内被自身标记为扫描失败,则不会响应该合约。区块链基础服务需要从多个抢应设备扫描请求的扫描服务节点中确定出目标扫描服务节点,使目标扫描服务节点执行目标安全监控节点的设备扫描请求。当目标扫描服务节点发现自己是第四智能合约的执行者之后,会将第四智能合约的合约编号与待扫描的被监管设备的六元组信息、扫描失败尝试次数缓存到待扫描队列里,直到扫描完成。在本发明实施例中,被监管设备的六元组信息包括被监管设备上安装的安全代理软件的环地址、特定被监管设备所属运维节点的环地址、特定被监管设备上安装的安全代理软件的监控范围、时间戳、特定被监管设备的上线信息以及特定被监管设备的设备IP地址。
在一种可选的方式中,区块链基础服务根据多个扫描服务节点对设备扫描请求的抢应时间,确定抢应时间靠前的第二预设数量的扫描服务节点;区块链基础服务在第二预设数量的扫描服务节点中,将待扫描设备队列最短的扫描服务节点确定为目标扫描服务节点。
其中,若目标安全监控节点监测到扫描触发事件之后,判断需要进行安全漏洞扫描的被监管设备上的安全代理软件下线,或者需要进行安全漏洞扫描的被监管设备存在既未处理也未到期的第六智能合约,则目标安全监控节点放弃对相应的安全代理软件进行安全漏洞扫描,不会通过区块链基础服务向目标扫描服务节点发送设备扫描请求。
其中,设备扫描请求的合约数据域包含目标被监管设备的六元组信息、扫描原因标志和附加信息。扫描原因标志分为上线扫描、状态改变扫描、批量扫描和重新扫描。当扫描原因标志为上线扫描时,合约数据域还包括上线扫描所对应的原始第一智能合约的合约编号;当扫描原因标志为状态改变扫描时,合约数据域还包括状态改变扫描所对应的第二智能合约的合约编号;当扫描原因标志为批量扫描时,合约数据域还包括批量扫描所对应的第八智能合约的合约编号;当扫描原因标志为重新扫描时,合约数据域还包括与之前历次扫描相关的智能合约的合约编号、原始扫描原因标志,当前扫描失败尝试次数。
步骤130:所述目标扫描服务节点通过所述区块链基础服务将所述扫描结果发送给所述目标安全监控节点。
其中,当目标扫描服务节点完成扫描之后,会发起第五智能合约,并指定第五智能合约的执行者为先前发起第四智能合约的目标安全监控节点。第五智能合约的发起数据域中包含原始第四智能合约的合约编号和扫描原因标志、目标被监管设备六元组信息以及扫描原因标志位和扫描结果列表。扫描结果列表包括扫描成功且未发现漏洞、扫描成功且发现漏洞(附带漏洞列表)、扫描失败次数(上次扫描尝试次数+1)。当扫描失败次数小于最大允许失败次数时,目标安全监控节点会再次通过区块链基础服务向扫描服务节点发送设备扫描请求。
步骤140:所述目标安全监控节点通过所述区块链基础服务将所述扫描结果发送给目标运维节点。
其中,当扫描成功,或者扫描次数超过最大允许失败次数时,目标安全监控节点可以通过第六智能合约将扫描结果发送给目标运维节点。若扫描次数超过最大允许失败次数,则该第六智能合约中包含扫描失败信息,网络安全管理节点会在区块链上检查包含扫描失败信息的第六智能合约,对始终无法扫描的设备进行监控。
进一步的,目标安全监控节点根据所述扫描结果判断扫描失败,所述目标安全监控节点将加入扫描失败标志的扫描结果发送给目标运维节点;或者,
所述目标安全监控节点根据所述扫描结果判断扫描成功且未扫描出漏洞,所述目标安全监控节点将加入扫描成功且未扫描出漏洞标志的扫描结果发送给目标运维节点;或者,
所述目标安全监控节点根据所述扫描结果判断扫描成功且扫描出漏洞,所述目标安全监控节点针对每个漏洞,分别将加入扫描成功且扫描出漏洞标志的扫描结果发送给目标运维节点。
步骤150:所述目标运维节点根据所述扫描结果对所述目标被监管设备进行安全漏洞处理。
其中,目标运维节点可以根据扫描结果对目标被监管设备进行安全漏洞处理,并回应第六智能合约。当目标扫描服务节点对被监管设备的扫描结果存在错误时,或者目标运维节点的运维人员需要对被监管设备的漏洞进行特殊处理时,需要向网络安全管理节点发送第七智能合约,以请求网络安全管理节点对存在误报的漏洞进行确认,对目标运维节点的特殊处理申请进行审核。网络安全管理节点可以对第七智能合约进行回应,安全监控节点可以对网络安全管理节点的回应信息进行缓存。
在一种可选的方式中,目标安全监控节点获取目标运维节点对目标被监管设备进行安全漏洞处理的处理结果,然后目标安全监控节点根据处理结果确定存在漏洞误报的被监管设备以及对应的误报漏洞类型,若目标安全监控节点在预设时间范围内再次获取到存在漏洞误报的被监管设备的重复扫描结果,忽略所述重复扫描结果中的误报漏洞类型后,通过区块链基础服务将重复扫描结果发送给目标运维节点。
其中,网络安全管理节点还可以通过区块链基础服务的第八智能合约向被监管设备发起批量扫描请求、定时扫描请求或全面扫描请求,并在第八智能合约的发起数据域里说明请求类型。批量扫描请求可以针对符合特定条件的被监管设备,特定条件可以包括特定操作系统类型条件、特定操作系统版本条件以及特定安装应用条件等。第八智能合约的执行者为多个,即所有安全监控节点均有可能回应合约,响应合约的安全监控节点都会被区块链基础服务判定是否为合约的执行者。对于网络安全管理节点发起的扫描请求,安全监控节点会从自身缓存的管辖范围内节点列表中,根据六元组信息检索出符合要求的被监管设备,并逐个发出第四智能合约,向扫描服务节点进行扫描请求。该第四智能合约中附带原始第八智能合约的合约编号,扫描服务节点回应的第五智能合约中,也附带原始第八智能合约的合约编号,方便网络安全管理节点进行检索。当需要扫描的被监管设备过多时,安全监控节点会按照上述实施例中所描述的方式对被监管设备进行分批扫描。
本发明实施例的目标安全监控节点监测到扫描触发事件之后,可以向目标扫描服务节点发送设备扫描请求,目标扫描服务节点可以将根据目标被监管设备进行安全漏洞扫描所生成的扫描结果发送给目标安全监控节点,目标安全监控节点可以将扫描结果发送给目标运维节点,由目标运维节点根据扫描结果对目标被监管设备进行安全漏洞处理。在上述的设备扫描以及安全漏洞处理过程中,运维节点、被监管设备、安全监控节点以及扫描服务节点之间均通过区块链基础服务进行信息交互,使得设备扫描以及安全漏洞处理过程可追溯。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (10)
1.一种网络安全漏洞处理系统,其特征在于,所述系统包括运维节点、被监管设备、安全监控节点、扫描服务节点以及区块链基础服务,所述运维节点、所述被监管设备、所述安全监控节点以及所述扫描服务节点均接入所述区块链基础服务;
所述安全监控节点,用于监测到扫描触发事件之后,通过所述区块链基础服务向所述扫描服务节点发送设备扫描请求;
所述扫描服务节点,用于根据所述设备扫描请求对所述被监管设备进行安全漏洞扫描,并生成扫描结果;
所述扫描服务节点,还用于通过所述区块链基础服务将所述扫描结果发送给所述安全监控节点;
所述安全监控节点,还用于通过所述区块链基础服务将所述扫描结果发送给所述运维节点;
所述运维节点,用于根据所述扫描结果对所述被监管设备进行安全漏洞处理。
2.一种网络安全漏洞处理方法,其特征在于,应用于网络安全漏洞处理系统,所述系统包括运维节点、被监管设备、安全监控节点、扫描服务节点以及区块链基础服务,所述运维节点、所述被监管设备、所述安全监控节点以及所述扫描服务节点均接入所述区块链基础服务;所述方法包括:
目标安全监控节点监测到扫描触发事件之后,通过所述区块链基础服务向目标扫描服务节点发送设备扫描请求;
所述目标扫描服务节点根据所述设备扫描请求对目标被监管设备进行安全漏洞扫描,并生成扫描结果;
所述目标扫描服务节点通过所述区块链基础服务将所述扫描结果发送给所述目标安全监控节点;
所述目标安全监控节点通过所述区块链基础服务将所述扫描结果发送给目标运维节点;
所述目标运维节点根据所述扫描结果对所述目标被监管设备进行安全漏洞处理。
3.根据权利要求2所述的方法,其特征在于,所述被监管设备上安装有安全代理软件,所述系统还包括网络安全管理节点;
所述目标安全监控节点监测到扫描触发事件包括:
所述目标安全监控节点通过所述区块链基础服务监测到自身管辖范围内的安全代理软件上线和/或状态改变;以及,
所述目标安全监控节点通过所述区块链基础服务监测到所述网络安全管理节点的批量扫描请求。
4.根据权利要求3所述的方法,其特征在于,所述安全监控节点以及所述安全代理软件均在虚拟的哈希地址环上具有环地址;
所述方法还包括:
所述区块链基础服务确定所述目标安全监控节点的环地址;
若所述目标安全监控节点不为所有安全监控节点中环地址最大的安全监控节点,则所述区块链基础服务将环地址不小于并且最接近所述目标安全监控节点的环地址的安全代理软件确定为所述目标安全监控节点的管辖范围内的安全代理软件;
若所述目标安全监控节点为所有安全监控节点中环地址最大的安全监控节点,则所述区块链基础服务将环地址不小于并且最接近所述目标安全监控节点的环地址的安全代理软件,以及环地址小于所有安全监控节点中环地址的最小值的安全代理软件确定为所述目标安全监控节点的管辖范围内的安全代理软件。
5.根据权利要求2所述的方法,其特征在于,所述目标安全监控节点监测到扫描触发事件之后,通过所述区块链基础服务向目标扫描服务节点发送设备扫描请求包括:
目标安全监控节点监测到扫描触发事件之后,确定需要进行安全漏洞扫描的多个被监管设备;
所述目标安全监控节点分别计算所述多个被监管设备中每一被监管设备的扫描排队分值,按照所述扫描排队分值从大到小将所述多个被监管设备进行排序;
所述目标安全监控节点依次将排序靠前的第一预设数量的被监管设备确定为待扫描设备;
所述目标安全监控节点根据所述待扫描设备生成设备扫描请求并将所述设备扫描请求发送给目标扫描服务节点。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述区块链基础服务根据多个扫描服务节点对所述设备扫描请求的抢应时间,确定抢应时间靠前的第二预设数量的扫描服务节点;
所述区块链基础服务在所述第二预设数量的扫描服务节点中,将待扫描设备队列最短的扫描服务节点确定为目标扫描服务节点。
7.根据权利要求2所述的方法,其特征在于,所述目标安全监控节点通过所述区块链基础服务将所述扫描结果发送给目标运维节点包括:
所述目标安全监控节点根据所述扫描结果判断扫描失败,所述目标安全监控节点将加入扫描失败标志的扫描结果发送给目标运维节点;或者,
所述目标安全监控节点根据所述扫描结果判断扫描成功且未扫描出漏洞,所述目标安全监控节点将加入扫描成功且未扫描出漏洞标志的扫描结果发送给目标运维节点;或者,
所述目标安全监控节点根据所述扫描结果判断扫描成功且扫描出漏洞,所述目标安全监控节点针对每个漏洞,分别将加入扫描成功且扫描出漏洞标志的扫描结果发送给目标运维节点。
8.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述目标安全监控节点通过所述区块链基础服务向所述目标被监管设备发送心跳询问请求,所述心跳询问请求包括所述目标被监管设备的第一设备信息;
所述目标被监管设备收到所述心跳询问请求后,回应本地存储的第二设备信息;
若所述区块链基础服务判断所述第一设备信息与所述第二设备信息一致,则确定心跳询问成功;
若所述区块链基础服务判断所述第一设备信息与所述第二设备信息不一致,则确定心跳询问失败。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述目标安全监控节点确定需要进行心跳询问的多个被监管设备;
所述目标安全监控节点分别计算所述多个被监管设备中每一被监管设备的询问排队分值,按照所述询问排队分值从大到小将所述多个被监管设备进行排序;
所述目标安全监控节点依次将排序靠前的第三预设数量的被监管设备确定为待询问设备;
所述目标安全监控节点根据所述待询问设备生成心跳询问请求并将所述心跳询问请求发送给所述待询问设备。
10.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述目标安全监控节点获取所述目标运维节点对所述目标被监管设备进行安全漏洞处理的处理结果;
所述目标安全监控节点根据所述处理结果确定存在漏洞误报的被监管设备以及对应的误报漏洞类型;
若所述目标安全监控节点在预设时间范围内再次获取到所述存在漏洞误报的被监管设备的重复扫描结果,通过所述区块链基础服务将排除所述误报漏洞类型的重复扫描结果发送给所述目标运维节点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110714440.3A CN115529146A (zh) | 2021-06-25 | 2021-06-25 | 网络安全漏洞处理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110714440.3A CN115529146A (zh) | 2021-06-25 | 2021-06-25 | 网络安全漏洞处理系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115529146A true CN115529146A (zh) | 2022-12-27 |
Family
ID=84694785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110714440.3A Pending CN115529146A (zh) | 2021-06-25 | 2021-06-25 | 网络安全漏洞处理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115529146A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110138469A1 (en) * | 2009-12-03 | 2011-06-09 | Recursion Software, Inc. | System and method for resolving vulnerabilities in a computer network |
CN103929429A (zh) * | 2014-04-24 | 2014-07-16 | 北京邮电大学 | 基于RESTful Web服务的网络漏洞扫描系统及方法 |
CN108712396A (zh) * | 2018-04-27 | 2018-10-26 | 广东省信息安全测评中心 | 网络资产管理与漏洞治理系统 |
CN108769064A (zh) * | 2018-06-26 | 2018-11-06 | 广东电网有限责任公司信息中心 | 实现漏洞治理的分布式资产识别及变更感知方法与系统 |
CN110086806A (zh) * | 2019-04-26 | 2019-08-02 | 中国南方电网有限责任公司 | 一种厂站设备系统漏洞的扫描系统 |
CN111164948A (zh) * | 2019-06-27 | 2020-05-15 | 阿里巴巴集团控股有限公司 | 使用区块链网络管理网络安全漏洞 |
CN112153031A (zh) * | 2020-09-15 | 2020-12-29 | 深圳供电局有限公司 | 一种电力监控系统的网络安全风险监控系统及方法 |
CN112926061A (zh) * | 2021-05-11 | 2021-06-08 | 腾讯科技(深圳)有限公司 | 插件处理方法及装置 |
-
2021
- 2021-06-25 CN CN202110714440.3A patent/CN115529146A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110138469A1 (en) * | 2009-12-03 | 2011-06-09 | Recursion Software, Inc. | System and method for resolving vulnerabilities in a computer network |
CN103929429A (zh) * | 2014-04-24 | 2014-07-16 | 北京邮电大学 | 基于RESTful Web服务的网络漏洞扫描系统及方法 |
CN108712396A (zh) * | 2018-04-27 | 2018-10-26 | 广东省信息安全测评中心 | 网络资产管理与漏洞治理系统 |
CN108769064A (zh) * | 2018-06-26 | 2018-11-06 | 广东电网有限责任公司信息中心 | 实现漏洞治理的分布式资产识别及变更感知方法与系统 |
CN110086806A (zh) * | 2019-04-26 | 2019-08-02 | 中国南方电网有限责任公司 | 一种厂站设备系统漏洞的扫描系统 |
CN111164948A (zh) * | 2019-06-27 | 2020-05-15 | 阿里巴巴集团控股有限公司 | 使用区块链网络管理网络安全漏洞 |
CN112153031A (zh) * | 2020-09-15 | 2020-12-29 | 深圳供电局有限公司 | 一种电力监控系统的网络安全风险监控系统及方法 |
CN112926061A (zh) * | 2021-05-11 | 2021-06-08 | 腾讯科技(深圳)有限公司 | 插件处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220006830A1 (en) | Modeling Simulated Cybersecurity Attack Difficulty | |
US8516586B1 (en) | Classification of unknown computer network traffic | |
EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
US8219663B2 (en) | Method of and apparatus for notification of state changes in a monitored system | |
US7663479B1 (en) | Security infrastructure | |
JP4753997B2 (ja) | イベントログをレビューするためのシステム及び方法 | |
US9338187B1 (en) | Modeling user working time using authentication events within an enterprise network | |
US20080307525A1 (en) | System and method for evaluating security events in the context of an organizational structure | |
CN106888106A (zh) | 智能电网中的it资产大规模侦测系统 | |
JPH11143738A (ja) | 計算機システムの監視方法 | |
Miloslavskaya | Security operations centers for information security incident management | |
Tang et al. | An integrated framework for optimizing automatic monitoring systems in large IT infrastructures | |
CN110049028B (zh) | 监控域控管理员的方法、装置、计算机设备及存储介质 | |
CN114780214B (zh) | 任务处理方法、装置、系统及设备 | |
CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
CN112291264B (zh) | 一种安全控制的方法、装置、服务器和存储介质 | |
CN112291266B (zh) | 一种数据处理的方法、装置、服务器和存储介质 | |
Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
Killer et al. | Threat management dashboard for a blockchain collaborative defense | |
CN115529146A (zh) | 网络安全漏洞处理系统及方法 | |
CN112364342A (zh) | 一种基于云平台的安全防护系统 | |
US11973779B2 (en) | Detecting data exfiltration and compromised user accounts in a computing network | |
JP2006114044A (ja) | コンピュータ・ネットワークへの不正アクセスを検出するためのシステムおよび方法 | |
CN112291263A (zh) | 一种数据阻断的方法和装置 | |
Yoon et al. | Implementation of the automated network vulnerability assessment framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |