CN116248397A - 漏洞检测方法、装置、电子设备及可读存储介质 - Google Patents
漏洞检测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN116248397A CN116248397A CN202310239158.3A CN202310239158A CN116248397A CN 116248397 A CN116248397 A CN 116248397A CN 202310239158 A CN202310239158 A CN 202310239158A CN 116248397 A CN116248397 A CN 116248397A
- Authority
- CN
- China
- Prior art keywords
- target
- port information
- vulnerability
- piece
- target rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请的实施例提供了一种漏洞检测方法、装置、电子设备及可读存储介质,涉及计算机技术领域。该方法包括:获得目标设备的多个端口各自对应的端口信息;根据目标规则表,从多个端口各自对应的端口信息确定出目标端口信息,目标规则表中的规则用于漏洞匹配;根据各条目标端口信息,进行漏洞验证。如此,可通过过滤减少要进行验证的目标,从而提高漏洞扫描效率。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种漏洞检测方法、装置、电子设备及可读存储介质。
背景技术
现有的漏洞扫描过程为:对每个IP资产的所有端口依次进行漏洞扫描,以获得主机的TCP/IP端口和其对应的网络访问服务的相关信息,然后将扫描得到的信息与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。现有的漏洞扫描方式需要对每个IP资产的所有端口依次进行扫描,然后针对各端口,根据该端口通过漏洞扫描得到的信息进行验证,会导致效率较低,进而在出现新漏洞时即使企业在漏洞库中更新了此漏洞,但也无法在短时间内完成资产漏洞排查和加固。
发明内容
本申请实施例提供了一种漏洞检测方法、装置、电子设备及可读存储介质,其能够通过过滤减少要进行验证的目标,从而提高漏洞扫描效率。
本申请的实施例可以这样实现:
第一方面,本申请实施例提供一种漏洞检测方法,所述方法包括:
获得目标设备的多个端口各自对应的端口信息;
根据目标规则表,从所述多个端口各自对应的端口信息确定出目标端口信息,其中,所述目标规则表中的规则用于漏洞匹配;
根据各条所述目标端口信息,进行漏洞验证。
第二方面,本申请实施例提供一种漏洞检测装置,所述装置包括:
信息获得模块,用于获得目标设备的多个端口各自对应的端口信息;
筛选模块,用于根据目标规则表,从所述多个端口各自对应的端口信息确定出目标端口信息,其中,所述目标规则表中的规则用于漏洞匹配;
检测模块,用于根据各条所述目标端口信息,进行漏洞验证。
第三方面,本申请实施例提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现前述实施方式所述的漏洞检测方法。
第四方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述实施方式所述的漏洞检测方法。
本申请实施例提供一种漏洞检测方法、装置、电子设备及可读存储介质,在获得目标设备的多个端口各自的端口信息的情况下,根据包括用于漏洞匹配的规则的目标规则表,从该多个端口各自对应的端口信息中确定出目标端口信息,然后跟各条目标端口信息进行漏洞验证。如此,通过过滤,减少了要进行验证的目标,从而可提高漏洞扫描效率,进而便于有效、快速地收集企业内各个网络的资产脆弱点和风险点,也便于企业在新型漏洞爆发后能够快速完成对自己网络资产的加固,提高对敏感、关键信息的安全保护。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的电子设备的方框示意图;
图2为本申请实施例提供的漏洞检测方法的流程示意图之一;
图3为本申请实施例提供的漏洞检测方法的流程示意图之二;
图4为图2中步骤S120包括的子步骤的流程示意图之一;
图5为图4中子步骤S121包括的子步骤的流程示意图之;
图6为图2中步骤S120包括的子步骤的流程示意图之二;
图7为本申请实施例提供的漏洞检测装置的方框示意图之一;
图8为本申请实施例提供的漏洞检测装置的方框示意图之二。
图标:100-电子设备;110-存储器;120-处理器;130-通信单元;200-漏洞检测装置;201-确定模块;210-信息获得模块;220-筛选模块;230-检测模块。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图1,图1为本申请实施例提供的电子设备100的方框示意图。所述电子设备100可以是,但不限于,电脑、服务器等。所述电子设备100可以包括存储器110、处理器120及通信单元130。所述存储器110、处理器120以及通信单元130各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,存储器110用于存储程序或者数据。所述存储器110可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory,EEPROM)等。
处理器120用于读/写存储器110中存储的数据或程序,并执行相应地功能。比如,存储器110中存储有漏洞检测装置200,所述漏洞检测装置200包括至少一个可以软件或固件(firmware)的形式存储于所述存储器110中的软件功能模块。所述处理器120通过运行存储在存储器110内的软件程序以及模块,如本申请实施例中的漏洞检测装置200,从而执行各种功能应用以及数据处理,即实现本申请实施例中的漏洞检测方法。
通信单元130用于通过网络建立所述电子设备100与其它通信终端之间的通信连接,并用于通过所述网络收发数据。
应当理解的是,图1所示的结构仅为电子设备100的结构示意图,所述电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
请参照图2,图2为本申请实施例提供的漏洞检测方法的流程示意图之一。所述方法可应用于上述电子设备100。下面对漏洞检测方法的具体流程进行详细阐述。在本实施例中,所述方法可以包括步骤S110~步骤S130。
步骤S110,获得目标设备的多个端口各自对应的端口信息。
在本实施例中,所述目标设备为需要进行漏洞检查的设备,所述目标设备可以是计算机(或通讯)网络中使用的各种设备,例如,主机、网络设备(路由器、交换机等)和安全设备(防火墙等)等,具体可以结合实际需求确定。漏洞为在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,这种缺陷可以时攻击者能够在未授权的情况下访问或破坏系统。其中,所述多个端口可以为所述目标设备上的所有端口,也可以为所述目标设备的部分端口,具体可以结合实际情况确定。在所述多个端口为所述目标设备的部分端口时,该多个端口可以是由用户手动指定的,也可以是电子设备自行结合其他情况指定的,还可以是其他设备指定的,在此不进行具体限定。
在需要进行漏洞检测时,所述电子设备可通过资产扫描、漏洞扫描或其他方式(比如,接收其他设备发送的资产扫描结果)获得各端口的端口信息。其中,所述端口信息中的具体内容可以结合实际需求设置,在此不进行具体限定。
步骤S120,根据目标规则表,从所述多个端口各自对应的端口信息确定出目标端口信息。
在本实施例中,所述电子设备中还可以包括目标规则表,所述目标规则表中包括至少一条规则,所述目标规则表中的规则用于漏洞匹配。在获得所述多个端口各自对应的端口信息之后,可以将各条端口信息与所述目标规则表中的规则进行匹配,并将与所述目标规则表中的规则匹配上的端口信息作为目标端口信息。也即,根据基于漏洞制定的规则,从获得的多条端口信息中筛选出可能对应了漏洞的目标端口信息。
步骤S130,根据各条所述目标端口信息,进行漏洞验证。
在确定出目标端口信息的情况下,则针对各条目标端口信息分别进行漏洞验证,以判断该条目标端口信息对应的端口是否存在漏洞,还可以在确定存在漏洞的情况下识别出具体的漏洞种类,以便于后续加固等。其中,可以根据预先设置的漏洞库,针对每条目标端口信息进行匹配验证。漏洞验证时采用的手段具体可以结合实际需求,在此不进行具体限定。
在本实施例中,通过过滤,减少了要进行验证的端口信息,相当于把确认范围由为1栋楼精确到了某一层,从而可提高漏洞扫描效率,进而便于有效、快速地收集企业内各个网络的资产脆弱点和风险点,也便于企业在新型漏洞爆发后能够快速完成对自己网络资产的加固,提高对敏感、关键信息的安全保护。
可选地,作为一种可能的实现方式,所述电子设备中预先存储了所述目标规则表,在进行漏洞检测时,直接根据该目标规则表进行过滤。也即,每次进行漏洞检测时,使用的均是相同的目标规则表。如此,便于在需要进行漏洞检测时可直接进行漏洞检测,无法执行其他操作以获得所述目标规则表。
可选地,作为另一种可能的实现方式,可通过图3中步骤S101获得每次检测时使用的目标规则表。请参照图3,图3为本申请实施例提供的漏洞检测方法的流程示意图之二。在本实施例中,在步骤S120之前,所述方法还可以包括步骤S101。
步骤S101,根据原始规则表及接收到的规则选择操作,确定出所述目标规则表。
在本实施例中,所述原始规则表中可以包括预先根据各种漏洞设置的规则。所述电子设备可以接收规则选择操作,然后根据该规则选择操作从所述原始规则表中选出与该规则选择操作对应的规则,并将选出的规则作为所述目标规则表中的目标规则。其中,可以将所述目标规则表中的规则称为目标规则,所述目标规则表中的目标规则为所述原始规则表中的至少部分规则。
例如,可以显示出所述原始规则表对应的漏洞名称,在用户勾选了部分漏洞名称的情况下,可以将所述原始规则表与被勾选的漏洞名称对应的规则,作为所述目标规则表中的目标规则,从而得到所述目标规则。也可以是在用户未勾选任意一个漏洞名称的情况下,将原始规则表作为所述目标规则表。
如此,便于针对性地进行漏洞匹配过滤,并且,可以提高过滤速度。
随着科技的发展,网络空间“情报”的特性逐渐变得越发重要。有了情报,才可以明确攻击目标、实现攻击价值。IP资产本身就具备一定价值,而资产上运行的业务系统更是高价值目标。通过对IP资产的多维度测绘(即资产扫描),可拿到其设备类型、开放端口、对应的组件和服务、地理位置等信息。雷达就是做此类信息发现的设备。其中,指IP资产主要是计算机(或通讯)网络中使用的各种设备,主要包括主机、网络设备(路由器、交换机等)和安全设备(防火墙等)等。
本申请发明人经研究发现,目前的资产扫描和漏洞扫描是分开进行的,一般是先进行资产扫描,在完成资产扫描之后再针对IP资产的所有端口依次进行漏洞扫描及验证。然而,资产扫描与漏洞扫描得到的很多信息都是重复的,将资产扫描与漏洞扫描单独分开,费时费力。
为提高效率,在本实施例中,所述电子设备获得预先通过资产探测得到的所述目标设备的IP情报信息。比如,所述电子设备预先对所述目标设备进行资产探测,从而得到所述目标设备的IP情报信息,并在漏洞检测时使用。或者,其他设备之前对所述目标设备进行了资产探测,得到了该目标设备的IP情报信息,电子设备从该其他设备处获得该目标设备的IP情报信息以用于漏洞检测。其中,所述IP情报信息中包括所述多个端口各自对应的端口信息。也即,将通过资产探测得到的端口信息作为漏洞验证时针对的信息,无需依次先后执行资产探测及漏洞扫描。如此,可以通过合理利用已有的资料,提高漏洞扫描的效率。
其中,可以通过Zoomeye引擎进行资产探测。Zoomeye引擎中包括由404实验室收集并累计的各类资产信息,能保证识别信息的准确性、全面性,从而支撑起来漏洞信息中的一些特定信息服务,能保证在提高效率的同时保障最高的准确性。
作为一种可能的实现方式,所述目标规则表包括第一目标规则表,可通过图4所示方式确定出目标端口信息。请参照图4,图4为图2中步骤S120包括的子步骤的流程示意图之一。在本实施例中,步骤S120可以包括子步骤S121~子步骤S122。
子步骤S121,针对每条端口信息,将该条端口信息与所述第一目标规则表中的所述第一目标规则进行匹配。
子步骤S122,在一条端口信息与一条所述第一目标规则匹配上的情况下,确定该条端口信息为一条所述目标端口信息。
在本实施例中,每条所述端口信息中可以包括端口标识、漏洞特征、端口对应的服务相关信息中的至少一项。其中,所述端口标识可以为端口号或者其他可用于标识该端口的标识符。所述漏洞特征可以采用Dork表示,Dork是个特征字段,用于进行关键匹配;将一漏洞中的攻击代码和一些关键词进行提炼,再通过正则表达式转换,即可获得Dork。所述服务相关信息可以包括Product和/或服务信息(即Service信息),其中,所述Product表示产品名称,即服务所在的产品,例如,谷歌、百度等;所述服务信息用于描述服务器的各种信息,比如,服务的版本号等。
在本实施例中,将所述第一目标规则表中的规则称为第一目标规则。所述第一目标规则表中包括至少一条第一目标规则。对应地,每条所述第一目标规则中包括漏洞对应的目标端口标识、目标漏洞特征、第一目标服务相关信息中的至少一项。即,所述第一目标规则是基于漏洞设置的规则,用于匹配漏洞。可以理解的是,所述端口信息中包括的信息种类与所述第一目标规则中包括的信息种类相同,如此便于进行规则匹配。另外,若某端口未被检测出规则匹配时需要的某种信息,则可以将该种信息的字段值设置为空,比如,若某端口未检测出漏洞特征,则该端口的端口信息中的漏洞特征可为空。
在获得端口信息的情况下,可以针对每一条端口信息,将该条端口信息与所述第一目标规则表中的第一目标规则进行匹配,以判断该条端口信息是否与一条第一目标规则匹配上。若一条端口信息与一条所述第一目标规则匹配上,则可以将该条端口信息作为一条所述目标端口信息。
其中,可选地,可以直接将该条端口信息与所述第一目标规则表中的每条第一目标规则依次进行匹配,直到匹配完所有的第一目标规则,然后根据得到的匹配结果确定该条端口信息是否与一条第一目标规则匹配上。还可以在基于第一目标规则表匹配的过程中,每匹配完一条第一目标规则后,即可判断是否停止匹配;若确定出了该条端口信息与一条第一目标规则匹配上,则可以停止。
可选地,一条端口信息与一条第一目标规则的匹配方式具体可以结合实际需求设置,在此不进行具体限定。比如,可以无需划分端口信息中各种信息的优先级,直接将端口信息中的所有信息与一条第一目标规则中的所有信息进行分析。
作为一种可能的实现方式,所述端口信息中包括漏洞特征及其他特征,所述其他特征包括端口标识和/或服务相关信息。对应地,所述第一目标规则中包括目标漏洞特征及目标其他特征,所述目标其他特征包括目标端口标识和/或第一目标服务相关信息。在本实施例中,可通过图5所示方式完成与所述第一目标规则的匹配。请参照图5,图5为图4中子步骤S121包括的子步骤的流程示意图之。在本实施例中,子步骤S121可以包括子步骤S1211~子步骤S1213。
子步骤S1211,将该条端口信息中的漏洞特征与所述第一目标规则中的目标漏洞特征进行匹配。
子步骤S1212,在存在第三目标规则的情况下,将该条端口信息中的所述其他特征和所述第三目标规则中除目标漏洞特征之外的特征进行匹配。
其中,所述第三目标规则为目标漏洞特征与该条端口信息中的漏洞特征匹配上的第一目标规则。
子步骤S1213,在该条端口信息的所述其他特征和一条所述第三目标规则中除目标漏洞特征之外的特征匹配上的情况下,确定该条端口信息与一条所述第一目标规则匹配。
在本实施例中,可以针对一条端口信息及一条第一目标规则,首先,将该条端口信息中的漏洞特征与第一目标规则中的目标漏洞特征进行匹配;在漏洞特征与目标漏洞特征匹配上的情况下,再将该条端口信息中的其他特征与该条第一目标规则中的目标其他特征(即除目标漏洞特征之外的特征)进行匹配;若其他特征与目标其他特征匹配上,则可以确定该条端口信息与该条第一目标规则匹配上。如此,便于快速匹配漏洞。其中,特征是否匹配上的具体确定方式可以结合实际需求确定。
比如,在特征为端口标识的情况下,可以在端口信息中的端口标识与所述第一目标规则中的目标端口标识相同的情况下,确定端口标识这一特征匹配上。再比如,在特征为漏洞特征的情况下,可以将该条端口信息的漏洞特征的各关键字与该条目标漏洞特征中的各关键词进行比对,然后可计算出相同关键词所占的比例,若该比例大于预设值,则确定漏洞特征这一特征匹配上。可以理解的是,上述仅为举例说明,本实施例并不对特征是否匹配上的具体确定方式进行限定。
在本实施例中,在该条端口信息中的漏洞特征与各所述第一目标规则中的目标漏洞特征均不匹配的情况下,以及,在该条端口信息的所述其他特征和各条所述第三目标规则中除目标漏洞特征之外的特征均不匹配的情况下,则可以确定该条端口信息与各条第一目标规则均不匹配。
基于第一目标规则表进行漏洞匹配会存在遗漏,为避免减少遗漏,在本实施例中,所述端口信息包括漏洞特征及端口对应的服务相关信息,所述目标规则表中还可以包括第二目标规则表,所述第二目标规则表中包括至少一条第二目标规则,所述第二目标规则中包括漏洞对应的第二目标服务相关信息及验证手段,可基于所述第二目标规则表进行图6中子步骤S123~子步骤S125所示的二次筛选。请参照图6,图6为图2中步骤S120包括的子步骤的流程示意图之二。在本实施例中,在子步骤S122之后,步骤S120还可以包括子步骤S123~子步骤S125。
子步骤S123,针对未与任意一条所述第一目标规则匹配上的各条端口信息,根据该条端口信息中的服务相关信息,从所述第二目标规则表中确定出待使用的第二目标规则。
子步骤S124,根据待使用的第二目标规则中的验证手段进行验证,以判断该条端口信息是否与一条待使用的第二目标规则匹配。
子步骤S125,在该条端口信息与一条待使用的第二目标规则匹配的情况下,确定该条端口信息为一条所述目标端口信息。
在本实施例中,所述第二目标规则中的验证手段可以基于漏洞常用攻击方式设置的。可以针对未与所述第一目标规则表匹配上的每一条端口信息,根据该条端口信息中的服务相关信息,从所述第二目标规则表中找出第二目标服务相关信息与该服务相关信息相同的第二目标规则,并将找出的第二目标规则作为待使用的第二目标规则。接着,根据该条端口信息,利用待使用的第二目标规则中的验证手段进行验证,以判断该条端口信息是否与一条待使用的第二目标规则匹配。若该条端口信息与一条待使用的第二目标规则匹配上,则可以将该条端口信息作为一条所述目标端口信息。若该条端口信息与各条待使用的第二目标规则均未匹配上,则可以不将该条端口信息作为一条所述目标端口信息。
其中,可选地,所述验证手段中可以包括验证方式及期望的结果,若基于该验证方式进行验证后,得到的实际验证情况与期望的结果匹配,则可以确定该条端口信息与一条待使用的第二目标规则匹配上。
可选地,可以在每确定一条端口信息与所述第一目标规则表不匹配的情况下,就针对该条端口信息基于第二目标规则报表进行匹配。也可以在完成所有端口信息与第一目标规则表的匹配后,针对与所述第一目标规则表不匹配的端口信息,进行基于第二目标规则表的匹配。在基于第二目标规则表进行匹配的过程中,可以针对一条端口信息,先获得该条端口信息对应的所有待使用的第二目标规则,然后依次基于各条待使用的第二目标规则进行验证;也可以在确定出该条端口信息对应的一条待使用的第二目标规则后,就基于该条待使用的第二目标规则进行验证,若不匹配的情况下则再从第二目标规则表中找出下一条待使用的第二目标规则以用于下一次匹配。具体执行顺序可以结合实际需求确定,在此不进行具体限定。
在确定出所述目标端口信息之后,则可以针对每条目标端口信息分别进行漏洞验证,以确定是否存在漏洞等。
本申请实施例通过资产探测获得各端口的包括端口标识、漏洞特征、端口对应的服务相关信息中的至少一项的端口信息,进而结合第一目标规则表及第二目标规则表对端口信息进行过滤,确定出待进行漏洞验证的目标端口信息,最后进行漏洞验证。如此,利用已知的目标情报信息,大大减少漏洞扫描的时长,从而把确认范围为1栋楼,精确到了某一层。通过本申请实施例提供的漏洞探测方法,可以有效、快速的收集企业内各个网络中的资产脆弱点和风险点;并且,在新型漏洞爆发后,企业可以以最短的时间,排查完网络资产中的漏洞弱点,并完成修复,从而完成对自己网络资产的加固,提高对敏感、关键信息的安全保护。
下面对上述漏洞检测方法进行举例说明。
首先,部署雷达。
雷达作为一种资产发现设备,能明确我方有多少资产处于风险暴露面,这些资产都开放了哪些高危端口,这些端口上又运行着哪些高危组件等,实现“知己”后形成及时防御,以减少安全风险。
可以将雷达部署到需要扫描的网络环境中,以便可以和扫描的目标达到通信,从而获得IP情报信息。在部署完成后要确定扫描的目标网络与雷达双向通行。其中,IP情报信息包括各端口的端口信息,端口信息包括端口好、Product、Service信息、dork等。
针对雷达,更新替换资产脆弱性工作流,即对原有的漏洞扫描判断流程进行更换,以完成雷达部署。
采用漏洞扫描工作流脚本代码和特定规则文件,替换掉系统中原有的资产脆弱性工作流。
其中,漏洞扫描工作流脚本代码内其实是修改后的新的API接口,用于对接和联动资产引擎。
特定规则文件包括两部分。第一部分,用于和资产引擎联动时快速匹配漏洞,也就是进行dork特征匹配时用到的规则表,这部分规则表中,提炼了漏洞所需的特殊端口、Product、Service信息,并和dork封装成一条条不同的规则。该部分规则表中在使用时,先进行dork匹配,然后进行其余信息的匹配。
基于上一部分肯定会存在遗漏,为了避免这个情况,就有了这个第二部分的漏洞映射表,用于二次的筛选,此表中的内容也是不同的一条条规则(该规则中可以包括验证手段),但是这些规则会比第一个dork匹配时所用的规则表范围值大一点,具体的就是可以理解为dork的特征范围扩大了。如第一部分规则表中的特征是“log4j”,到了第二部分规则表中会是“Apache”、“log4j”、“Apache Solr”,增加匹配面积,同时Product、Service信息将会提高优先级,在dork前面进行匹配,避免遗漏。但总体这个漏洞映射表文件很小就几百mb,对于计算机来说处理速度很快。
第二部分规则表用于对未与第一部分规则表匹配上的端口信息匹配使用。第二部分规则表在使用时,是先基于待匹配的端口信息中的Product、Service信息在第二部分规则表确定出要使用的规则,然后基于选出的规则进行匹配。
接着,雷达对目标进行探测。
雷达可使用资产引擎对目标进行资产探测,获得目标的IP情报信息。在完成后,用户可在雷达上进行漏洞名称勾选,以从雷达内置的上述第一部分规则表及第二部分规则中,确定出本次漏洞检测的筛选过程中要使用的第一目标规则表及第二目标规则表。
最后,进行漏洞识别。
在雷达发起漏洞扫描时,内部的漏洞引擎会优先去提取已经获取到的目标banner&服务端口信息(即前述目标的IP情报信息),针对这些信息进行基于第一目标规则表的匹配。
当IP情报信息中的至少一条端口信息与第一目标规则表中的一条规则匹配上的情况下,漏洞引擎将会拿着匹配出来的端口信息(此时也可称为漏洞信息)去进行验证,并返回结果。
如果第一轮没有匹配上,则可以针对之前全部过滤掉的端口信息,进行基于第二目标规则表的匹配。即,即有端口信息与第一目标规则表中的各条规则均不匹配,针对这部分端口信息,将其与第二目标规则表进行匹配。在第二轮的匹配上,先根据端口信息中的Product、Service信息在第二目标规则表中进行检索,并根据检索到的规则中验证手段针对端口信息进行验证,以确定端口信息是否与检索到的规则匹配。最后,漏洞引擎针对与第二目标规则表中的规则匹配上的端口信息(此时也可称为漏洞信息),完成最后的验证工作。
现有的漏洞设备则是在完成资产扫描后,根据漏洞规则对每个端口进行请求,当请求成功并匹配上的时候,才会调用漏洞的攻击代码进行模拟攻击,最后验证漏洞的真实性。而本方案则不会做这样繁琐而费时的操作,直接跳到了现有漏扫设备的漏洞识别步骤,进行精准的匹配和漏洞模拟的验证。
为了执行上述实施例及各个可能的方式中的相应步骤,下面给出一种漏洞检测装置200的实现方式,可选地,该漏洞检测装置200可以采用上述图1所示的电子设备100的器件结构。进一步地,请参照图7,图7为本申请实施例提供的漏洞监测装置的方框示意图之一。需要说明的是,本实施例所提供的漏洞检测装置200,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及之处,可参考上述的实施例中相应内容。所述漏洞检测装置200可以包括:信息获得模块210、筛选模块220及检测模块230。
所述信息获得模块210,用于获得目标设备的多个端口各自对应的端口信息。
所述筛选模块220,用于根据目标规则表,从所述多个端口各自对应的端口信息确定出目标端口信息。其中,所述目标规则表中的规则用于漏洞匹配。
所述检测模块230,用于根据各条所述目标端口信息,进行漏洞验证。
在本实施例中,所述信息获得模块210具体用于:对所述目标设备进行资产探测,获得所述目标设备的IP情报信息。其中,所述IP情报信息中包括所述多个端口对应的端口信息。
请参照图8,图8为本申请实施例提供的漏洞检测装置200的方框示意图之二。在本实施例中,所述漏洞检测装置200还可以包括确定模块201。
所述确定模块201,用于根据原始规则表及接收到的规则选择操作,确定出所述目标规则表。其中,所述目标规则表中的目标规则为所述原始规则表中的至少部分规则。
可选地,上述模块可以软件或固件(Firmware)的形式存储于图1所示的存储器110中或固化于电子设备100的操作系统(Operating System,OS)中,并可由图1中的处理器120执行。同时,执行上述模块所需的数据、程序的代码等可以存储在存储器110中。
本申请实施例还提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的漏洞检测方法。
综上所述,本申请实施例提供的漏洞检测方法、装置、电子设备及可读存储介质,在获得目标设备的多个端口各自的端口信息的情况下,根据包括用于漏洞匹配的规则的目标规则表,从该多个端口各自对应的端口信息中确定出目标端口信息,然后跟各条目标端口信息进行漏洞验证。如此,通过过滤,减少了要进行验证的目标,从而可提高漏洞扫描效率,进而便于有效、快速地收集企业内各个网络的资产脆弱点和风险点,也便于企业在新型漏洞爆发后能够快速完成对自己网络资产的加固,提高对敏感、关键信息的安全保护。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的可选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种漏洞检测方法,其特征在于,所述方法包括:
获得目标设备的多个端口各自对应的端口信息;
根据目标规则表,从所述多个端口各自对应的端口信息确定出目标端口信息,其中,所述目标规则表中的规则用于漏洞匹配;
根据各条所述目标端口信息,进行漏洞验证。
2.根据权利要求1所述的方法,其特征在于,所述端口信息包括端口标识、漏洞特征、端口对应的服务相关信息中的至少一项,所述目标规则表包括第一目标规则表,所述第一目标规则表中包括至少一条第一目标规则,所述第一目标规则中包括漏洞对应的目标端口标识、目标漏洞特征、第一目标服务相关信息中的至少一项,所述根据目标规则表,从所述多个端口各自对应的端口信息确定出目标端口信息,包括:
针对每条端口信息,将该条端口信息与所述第一目标规则表中的所述第一目标规则进行匹配;
在一条端口信息与一条所述第一目标规则匹配上的情况下,确定该条端口信息为一条所述目标端口信息。
3.根据权利要求2所述的方法,其特征在于,所述端口信息包括漏洞特征及其他特征,所述其他特征包括端口标识和/或服务相关信息,所述将该条端口信息与所述第一目标规则表中的所述第一目标规则进行匹配,包括:
将该条端口信息中的漏洞特征与所述第一目标规则中的目标漏洞特征进行匹配;
在存在第三目标规则的情况下,将该条端口信息中的所述其他特征和所述第三目标规则中除目标漏洞特征之外的特征进行匹配,其中,所述第三目标规则为目标漏洞特征与该条端口信息中的漏洞特征匹配上的第一目标规则;
在该条端口信息的所述其他特征和一条所述第三目标规则中除目标漏洞特征之外的特征匹配上的情况下,确定该条端口信息与一条所述第一目标规则匹配。
4.根据权利要求2所述的方法,其特征在于,所述端口信息包括漏洞特征及端口对应的服务相关信息,所述目标规则表还包括第二目标规则表,所述第二目标规则表中包括至少一条第二目标规则,所述第二目标规则中包括漏洞对应的第二目标服务相关信息及验证手段,所述根据目标规则表,从所述多个端口各自对应的端口信息确定出目标端口信息,还包括:
针对未与任意一条所述第一目标规则匹配上的各条端口信息,根据该条端口信息中的服务相关信息,从所述第二目标规则表中确定出待使用的第二目标规则;
根据待使用的第二目标规则中的验证手段进行验证,以判断该条端口信息是否与一条待使用的第二目标规则匹配;
在该条端口信息与一条待使用的第二目标规则匹配的情况下,确定该条端口信息为一条所述目标端口信息。
5.根据权利要求1-4中任意一项所述的方法,其特征在于,所述获得目标设备的多个端口各自对应的端口信息,包括:
获得预先通过资产探测得到的所述目标设备的IP情报信息,其中,所述IP情报信息中包括所述多个端口各自对应的端口信息。
6.根据权利要求1-4中任意一项所述的方法,其特征在于,在所述根据目标规则表,从所述多个端口各自对应的端口信息确定出目标端口信息之前,所述方法还包括:
根据原始规则表及接收到的规则选择操作,确定出所述目标规则表,其中,所述目标规则表中的目标规则为所述原始规则表中的至少部分规则。
7.一种漏洞检测装置,其特征在于,所述装置包括:
信息获得模块,用于获得目标设备的多个端口各自对应的端口信息;
筛选模块,用于根据目标规则表,从所述多个端口各自对应的端口信息确定出目标端口信息,其中,所述目标规则表中的规则用于漏洞匹配;
检测模块,用于根据各条所述目标端口信息,进行漏洞验证。
8.根据权利要求7所述的装置,其特征在于,所述信息获得模块具体用于:
对所述目标设备进行资产探测,获得所述目标设备的IP情报信息,其中,所述IP情报信息中包括所述多个端口对应的端口信息。
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现权利要求1-6中任意一项所述的漏洞检测方法。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任意一项所述的漏洞检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310239158.3A CN116248397A (zh) | 2023-03-13 | 2023-03-13 | 漏洞检测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310239158.3A CN116248397A (zh) | 2023-03-13 | 2023-03-13 | 漏洞检测方法、装置、电子设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116248397A true CN116248397A (zh) | 2023-06-09 |
Family
ID=86625953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310239158.3A Pending CN116248397A (zh) | 2023-03-13 | 2023-03-13 | 漏洞检测方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116248397A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116776338A (zh) * | 2023-07-28 | 2023-09-19 | 上海螣龙科技有限公司 | 一种多层过滤高精度漏洞检测方法、装置、设备及介质 |
-
2023
- 2023-03-13 CN CN202310239158.3A patent/CN116248397A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116776338A (zh) * | 2023-07-28 | 2023-09-19 | 上海螣龙科技有限公司 | 一种多层过滤高精度漏洞检测方法、装置、设备及介质 |
| CN116776338B (zh) * | 2023-07-28 | 2024-05-10 | 上海螣龙科技有限公司 | 一种多层过滤高精度漏洞检测方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108696473B (zh) | 攻击路径还原方法及装置 | |
| CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
| US8701192B1 (en) | Behavior based signatures | |
| CN111259204B (zh) | 基于图算法的apt检测关联分析方法 | |
| CN111988339B (zh) | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 | |
| US8171550B2 (en) | System and method for defining and detecting pestware with function parameters | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| CN112134897B (zh) | 网络攻击数据的处理方法和装置 | |
| CN111221625B (zh) | 文件检测方法、装置及设备 | |
| CN114598504B (zh) | 一种风险评估方法、装置、电子设备及可读存储介质 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| US8392998B1 (en) | Uniquely identifying attacked assets | |
| CN112115183B (zh) | 一种基于图的蜜罐系统威胁情报分析方法 | |
| CN113496033A (zh) | 访问行为识别方法和装置及存储介质 | |
| EP2880579A1 (en) | Conjoint vulnerability identifiers | |
| CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
| CN115065545B (zh) | 基于大数据威胁感知的安全防护构建方法及ai防护系统 | |
| CN116248397A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
| CN106878240B (zh) | 僵尸主机识别方法及装置 | |
| CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
| CN114285639A (zh) | 一种网站安全防护方法及装置 | |
| CN117319001A (zh) | 网络安全评估方法、装置、存储介质和计算机设备 | |
| CN115314271B (zh) | 一种访问请求的检测方法、系统及计算机存储介质 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |