CN117040805A - 漏洞捕获方法、装置、计算机可读存储介质及电子设备 - Google Patents

Abstract

本发明公开了一种漏洞捕获方法、装置、计算机可读存储介质及电子设备。其中，该方法包括：获取请求样本，其中，请求样本中携带有指纹信息；确定指纹信息对应的内容管理系统，以及内容管理系统的漏洞配置信息；基于漏洞配置信息，得到内容管理系统的漏洞捕获结果。本发明解决了相关技术中存在的漏洞捕获效率不理想的技术问题。

Description

漏洞捕获方法、装置、计算机可读存储介质及电子设备

技术领域

本发明涉及漏洞捕获技术领域，具体而言，涉及一种漏洞捕获方法、装置、计算机可读存储介质及电子设备。

背景技术

目前，预设云上消息汇集器从预设平台中获取目标流量，针对收集到的所有目标流量进行统一处理，未将流量区分对应至对应web(网络)服务。在应对所有流量的情况下采用统一处理方式处理流量，如果在大数据请求流量的情境下，对漏洞检测的性能和处理效率较低。并且在相关技术中对于请求信息的可信度分析，需要采用漏洞披露信息、危害等级信息等第三方信息，此类第三方信息需求较大需要花较多时间收集，且第三方数据给出的分值判定不统一，无法给出统一值，进而导致对漏洞的判定标准不一，进一步造成对漏洞捕获效率不理想。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种漏洞捕获方法、装置、计算机可读存储介质及电子设备，以至少解决相关技术中存在的漏洞捕获效率不理想的技术问题。

根据本发明实施例的一个方面，提供了一种漏洞捕获方法，包括：获取请求样本，其中，所述请求样本中携带有指纹信息；确定所述指纹信息对应的内容管理系统，以及所述内容管理系统的漏洞配置信息；基于所述漏洞配置信息，得到所述内容管理系统的漏洞捕获结果。

可选的，所述基于所述漏洞配置信息，得到所述内容管理系统的漏洞捕获结果，包括：在所述漏洞配置信息中包括第一类漏洞证明，预定妥协指标，以及漏洞特征的情况下，基于所述第一类漏洞证明，所述预定妥协指标，确定所述请求样本与所述第一类漏洞证明的相似度得分，其中，所述第一类漏洞证明为未打补丁的已知漏洞的信息，所述预定妥协指标为所述内容管理系统的存在网络攻击风险的数据、地址或文件；基于所述相似度得分，所述预定妥协指标，以及所述漏洞特征，确定所述请求样本对应的样本可信度评分；基于所述样本可信度评分，得到对所述内容管理系统的漏洞捕获结果。

可选的，所述基于所述第一类漏洞证明，所述预定妥协指标，确定所述请求样本与所述第一类漏洞证明的相似度得分，包括：将所述请求样本与所述第一类漏洞证明进行匹配，得到第一匹配结果；在所述第一匹配结果为匹配的情况下，将所述请求样本与所述预定妥协指标进行匹配，得到第二匹配结果；在所述第二匹配结果为匹配的情况下，对所述预定妥协指标对应的指标权重进行更新，得到更新后的指标权重；基于所述预定妥协指标，和更新后的指标权重，得到所述相似度得分。

可选的，所述方法还包括：在所述第一匹配结果为不匹配的情况下，将所述请求样本与所述漏洞特征进行匹配，得到第三匹配结果；在所述第三匹配结果为匹配的情况下，确定所述请求样本携带的第一妥协指标；采用所述第一妥协指标，对所述预定妥协指标进行更新，得到更新后的预定妥协指标。

可选的，在基于所述请求样本与所述漏洞配置信息，得到对所述内容管理系统的漏洞捕获结果之前，所述方法还包括：确定所述请求样本的数据长度；在所述数据长度超过预定长度阈值的情况下，检测所述请求样本是否为编码数据，以及检测所述请求样本的内容是否为预定内容类型；在所述请求样本为编码数据，并且所述请求样本的内容为预定内容类型的情况下，去除所述请求样本。

可选的，所述内容管理系统设置有用于接收到所述请求样本的响应页面，所述响应页面设置有版本指纹位置，所述版本指纹位置响应于配置的版本信息。

可选的，所述基于所述漏洞配置信息，得到所述内容管理系统的漏洞捕获结果，包括：确定所述请求样本对应的样本可信度评分；在所述请求样本为多个的情况下，确定多个请求样本的请求次数；在所述版本信息为第一类版本号，所述多个请求样本中确定样本可信度评分大于预定评分阈值，并且请求次数大于预定第一次数阈值的第一样本；采用所述第一样本，对所述内容管理系统的第一类漏洞证明进行更新，得到所述第一类漏洞证明对应的第一捕获结果；在所述版本信息为第二类版本号，所述多个请求样本中确定样本可信度评分大于所述预定评分阈值，并且请求次数小于预定第二次数阈值的第二样本；采用所述第二样本，对所述内容管理系统的第二类漏洞证明进行更新，得到所述第二类漏洞证明对应的第二捕获结果，其中，所述第二类漏洞为未存在修复方式的漏洞的信息，所述第一类版本后的发布时间早于所述第二类版本号。

根据本发明实施例的另一方面，提供了一种漏洞捕获装置，包括：获取模块，用于获取请求样本，其中，所述请求样本中携带有指纹信息；确定模块，用于确定所述指纹信息对应的内容管理系统，以及所述内容管理系统的漏洞配置信息；捕获模块，用于基于所述漏洞配置信息，得到所述内容管理系统的漏洞捕获结果。

根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的漏洞捕获方法。

根据本发明实施例的另一方面，提供了一种电子设备，包括：一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现任意一项所述的漏洞捕获方法。

在本发明实施例中，通过获取请求样本，其中，所述请求样本中携带有指纹信息；确定所述指纹信息对应的内容管理系统，以及所述内容管理系统的漏洞配置信息；基于所述漏洞配置信息，得到所述内容管理系统的漏洞捕获结果。达到了利用请求样本中携带的对应的指纹特征，采用匹配的漏洞配置信息进行检测的目的，实现了提高对漏洞的捕获效率的技术效果，进而解决了相关技术中存在的漏洞捕获效率不理想的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例提供的一种可选的漏洞捕获方法的流程图；

图2是根据本发明实施例提供的一种可选的漏洞捕获方法的流程示意图；

图3是根据本发明实施例提供的一种可选的漏洞捕获方法的样本清洗示意图；

图4是根据本发明实施例提供的一种可选的漏洞捕获方法的样本相似度流程图；

图5是根据本发明实施例提供的一种可选的漏洞捕获装置的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为了便于描述，以下对本申请实施例涉及的部分名词或术语进行说明：

Docker，是一个用于开发，交付和运行应用程序的开放平台。Docker能够将应用程序与基础架构分开，从而可以快速交付软件。借助Docker，可以与管理应用程序相同的方式来管理基础架构。

CMS，(Content Management System，内容管理系统)，用来管理网站后台，编辑网站前台。CMS用来有效解决用户网站建设与信息发布中常见的问题和需求。对网站内容管理是该软件的最大优势，流程完善、功能丰富，可把稿件分门别类并授权给合法用户编辑管理。

0day漏洞，通常指还没有补丁的安全漏洞，也就是已经被少数人发现的，但还没被传播开来，官方还未修复的漏洞。

Nday漏洞，通常指修复漏洞的补丁已发布，但由于各种原因还没打补丁。

POC(Proof of Concept)，通过一段描述或一个样例来证明漏洞确实存在。意为概念证明或漏洞证明。通常是一个漏洞利用代码或脚本，用于验证某个系统、应用程序或网站中存在的安全漏洞。

IOC(Indicator of Compromise)，指的是在网络或设备上发现的可疑数据物件，例如不属于系统目录的文件、可疑IP地址、恶意软件等。这些数据物件可以作为系统遭受入侵或攻击的证据，在进行安全分析和调查时起到重要作用。通过收集并分析IOC，可以帮助企业提升对威胁情报和安全事件响应能力。

蜜罐技术，本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机。

实施例1

根据本发明实施例，提供了一种漏洞捕获的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种可选的漏洞捕获方法的流程图，如图1所示，该方法包括如下步骤：

步骤S102，获取请求样本，其中，上述请求样本中携带有指纹信息；

可以理解，获取到的请求样本中是携带有指纹信息的，通过指纹技术，使得接收到的请求样本包含对上述请求样本进行接收的内容管理系统的指纹信息。

可选的，上述指纹信息可以为多种，例如：HTTP(Hyper Text Transfer Protocol，超文本传输协议)响应头、HTML(Hyper Text Markup Language，超文本标记语言)代码中的元素名、class(组别)和id(标识)属性，以及对JavaScript库或插件文件等资源的引用。JavaScript库是指包括被封装好的JavaScript函数，其特点是可以直接在程序中进行调用。

步骤S104，确定上述指纹信息对应的内容管理系统，以及上述内容管理系统的漏洞配置信息；

可以理解，确定指纹信息可以指示出对应的内容管理系统，进而确定出上述内容管理系统的漏洞配置信息。

在一种可选的实施例中，上述内容管理系统设置有用于接收到上述请求样本的响应页面，上述响应页面设置有版本指纹位置，上述版本指纹位置响应于配置的版本信息。

可以理解，上述响应页面可以用于获取请求样本，使得请求样本上可以携带有指纹信息，上述响应页面中可以在不同位置设置版本指纹，作为版本指纹位置。通过配置版本信息使得版本指纹位置可以进行对应响应。

可选的，上述响应页面为web页面，上述版本指纹位置可以为web页面上的header、body和tag。header(页头)，位于HTML文档的顶部，在标签内，通常包含网站标题、关键字、描述等信息。body(正文)，位于HTML文档的中间，在标签内，是网站主要内容所在地。tag(标签)，用来定义HTML元素或属性。例如：表示链接元素，表示图片元素，class和id等属性则可以为CSS(Cascading Style Sheets，层叠样式表)样式提供选择器。

需要说明的是，当进行内容管理系统指纹识别时，需要检查页面响应的header、body和tag是否包含了与特定内容管理系统对应的独有标记或特征。这些特征可能包括使用该内容管理系统系统默认生成的文件名、注释语句以及特定版本号等信息。通过检查这些位置是否存在相应特征可以帮助确定目标网站正在使用哪种内容管理系统。

可选的，上述内容管理系统设置了指纹信息的情况下，基于Docker部署对应CMS端口的蜜罐服务，上述蜜罐服务是指通过配置CMS的指纹信息，吸引攻击者发送对该CMS端口发送恶意请求。

步骤S106，基于上述漏洞配置信息，得到上述内容管理系统的漏洞捕获结果；

可以理解，基于漏洞配置信息对请求样本进行匹配和检测，可以获取到内容管理系统的漏洞捕获结果。上述漏洞配置信息是根据指纹信息确定对应得到的，可以实现与漏洞配置信息的高效匹配，提高漏洞的捕获能力。

在一种可选的实施例中，上述基于上述漏洞配置信息，得到上述内容管理系统的漏洞捕获结果，包括：在上述漏洞配置信息中包括第一类漏洞证明，预定妥协指标，以及漏洞特征的情况下，基于上述第一类漏洞证明，上述预定妥协指标，确定上述请求样本与上述第一类漏洞证明的相似度得分，其中，上述第一类漏洞证明为未打补丁的已知漏洞的信息，上述预定妥协指标为上述内容管理系统的存在网络攻击风险的数据、地址或文件；基于上述相似度得分，上述预定妥协指标，以及上述漏洞特征，确定上述请求样本对应的样本可信度评分；基于上述样本可信度评分，得到对上述内容管理系统的漏洞捕获结果。

可以理解，内容管理系统对应有本身的漏洞配置信息，其中包括了第一类漏洞证明，预定妥协指标，以及漏洞特征。上述第一类漏洞证明为未打补丁的已知漏洞的信息，预定妥协指标为上述内容管理系统的存在网络攻击风险的数据、地址或文件。通过第一类漏洞证明和预定妥协指标，可以确定出请求样本与第一类漏洞正本的相似度得分。根据相似度得分，预定妥协指标和漏洞特征，可以确定出上述请求样本对应的样本可信度评分。进而基于样本可信度评分确定出内容管理系统的漏洞捕获结果。通过上述处理，可以具体地对应于接收该请求样本的内容管理系统所设置的漏洞配置信息，可以针对地确定出样本可信度评分，进而提高漏洞捕获结果的获取效率。

可选的，上述第一类漏洞证明为Nday漏洞的POC，上述预定妥协指标为对应内容管理系统预先配置好的对应IOC，上述漏洞特征为记录注入符、敏感函数、恶意api(Application Programming Interface，应用程序接口)和第三方库。

可选的，基于相似度得分，预定妥协指标(IOC)，以及漏洞特征(包括注入符，敏感函数)，采用以下方式，确定上述请求样本对应的样本可信度评分：

可信分值＝注入符*出现次数*第一系数+有效ioc数目*第二系数*(ioc有效年份-当前年份)+敏感函数*出现次数*第三系数+相似度得分*(样本曝光年份–当前年份)

其中，上述第一系数、第二系数、第三系数为按照需求进行设定的预定值，优选地，上述第一系数为0.05，第二系数为0.6，第三系数为0.3。

在一种可选的实施例中，上述基于上述第一类漏洞证明，上述预定妥协指标，确定上述请求样本与上述第一类漏洞证明的相似度得分，包括：将上述请求样本与上述第一类漏洞证明进行匹配，得到第一匹配结果；在上述第一匹配结果为匹配的情况下，将上述请求样本与上述预定妥协指标进行匹配，得到第二匹配结果；在上述第二匹配结果为匹配的情况下，对上述预定妥协指标对应的指标权重进行更新，得到更新后的指标权重；基于上述预定妥协指标，和更新后的指标权重，得到上述相似度得分。

可以理解，将请求样本与对应内容管理系统的第一类漏洞证明进行匹配，可以得到请求样本的第一匹配结果。在第一匹配结果为匹配的情况下，视为匹配到请求样本中包括了对应的第一类漏洞证明的相关信息，需要进一步将请求样本与预定妥协指标进行匹配，得到对请求样本的第二匹配结果。在第二匹配结果为匹配的情况下，视为检测请求样本记录有预定妥协指标的相关信息，对预定妥协指标对应的指标权重进行更新，提升该预定妥协指标的权重，得到更新后的指标权重。基于预定妥协指标和对其更新后的指标权重，得到相似度得分。

可选的，在Docker中部署有CMS(即内容管理系统)端口，在存在多个请求样本的情况下，根据多个请求样本分别携带的指纹信息，确定出对应的CMS端口，将多个请求样本中与CMS端口不对应的作为无效样本(不计入后续评分)，将与CMS端口匹配的请求样本作为有效样本。

可选的，上述请求样本中有IP(Internet Protocol，网际互连协议)地址，和/或域信息的情况下，将上述请求样本中携带的IP地址，域信息与预定妥协指标进行匹配，得到第二匹配结果。在上述第二匹配结果为不匹配的情况下，采用上述请求样本，对预定妥协指标进行更新，得到更新后的预定妥协指标。需要说明的是，在第二匹配结果为不匹配的情况下，上述请求样本不进行后续计分。

在一种可选的实施例中，上述方法还包括：在上述第一匹配结果为不匹配的情况下，将上述请求样本与上述漏洞特征进行匹配，得到第三匹配结果；在上述第三匹配结果为匹配的情况下，确定上述请求样本携带的第一妥协指标；采用上述第一妥协指标，对上述预定妥协指标进行更新，得到更新后的预定妥协指标。

可以理解，在第一匹配结果为不匹配的情况下，将请求样本与漏洞特征匹配，得到第三匹配结果。在上述第三匹配结果为匹配的情况下，将上述请求样本携带的第一妥协指标(即请求样本对应的IOC)。采用第一妥协指标，对该CMS对应的预定妥协指标进行更新，得到更新后的预定妥协指标。通过上述处理，可以使得对应内容管理系统CMS的预定妥协指标(IOC)进行丰富，可以不断更新漏洞配置信息。

需要说明的是，上述第三匹配结果为匹配的情况下，对于请求样本不进行后续计分。

在一种可选的实施例中，在基于上述请求样本与上述漏洞配置信息，得到对上述内容管理系统的漏洞捕获结果之前，上述方法还包括：确定上述请求样本的数据长度；在上述数据长度超过预定长度阈值的情况下，检测上述请求样本是否为编码数据，以及检测上述请求样本的内容是否为预定内容类型；在上述请求样本为编码数据，并且上述请求样本的内容为预定内容类型的情况下，去除上述请求样本。

可以理解，需要对接收到的请求样本进行样本清晰处理，可以使得对样本处理更加高效，过筛无效的脏数据请求。基于请求样本的数据长度与预定长度阈值进行比较，在数据长度超过预定长度阈值的情况下，需要进一步才能确定是否是有效样本。对请求样本进行脏数据检测的方式是，检测请求样本是否为编码数据，在请求样本为编码数据的情况下，即可确定请求样本为有效样本。而在请求样本不为编码数据的情况下，需要检测请求样本的内容是否为预定内容类型。在请求样本为编码数据，并且请求样本的内容为预定内容类型的情况下，视为确定了请求样本为无效样本，去除该请求样本。

可选的，在请求样本为编码数据，并且请求样本的内容为不预定内容类型的情况下，视为确定请求样本为有效样本。

可选的，上述预定内容类型可以设置为多种，例如：单数字、单字母、单符号。

在一种可选的实施例中，上述基于上述漏洞配置信息，得到上述内容管理系统的漏洞捕获结果，包括：确定上述请求样本对应的样本可信度评分和请求次数；在上述版本信息为第一类版本号，上述样本可信度评分大于预定评分阈值，并且上述请求次数大于预定第一次数阈值的情况下，采用上述请求样本，对上述内容管理系统的第一类漏洞证明进行更新，得到上述第一类漏洞证明对应的第一捕获结果；在上述版本信息为第二类版本号，上述样本可信度评分大于上述预定评分阈值，并且上述请求次数小于预定第二次数阈值的情况下，采用上述请求样本，对上述内容管理系统的第二类漏洞证明进行更新，得到上述第二类漏洞证明对应的第二捕获结果，其中，上述第二类漏洞为未存在修复方式的漏洞的信息，上述第一类版本后的发布时间早于上述第二类版本号。

可以理解，内容管理系统设置的响应页面，上面设置有版本指纹位置，上述版本指纹位置响应于配置的版本信息。在得到请求样本对应的样本可信度评分和请求次数之后，在版本信息为第一类版本号，样本可信度评分大于预定评分阈值，请求次数大于预定第一次数阈值的情况下，视为统计得到样本可信度评分高且请求次数多的请求样本，对第一类漏洞证明进行更新，得到内容管理系统对于第一类漏洞证明的第一捕获结果。在版本信息为第二类版本号，样本可信度评分大于预定评分阈值，并且请求次数小于预定第二次数阈值的情况下，视为统计得到样本可信度评分高且请求次数少的请求样本，对第二类漏洞证明进行更新，得到内容管理系统对于第二类漏洞证明的第二捕获结果。上述版本信息中，第一类版本号早于第二类版本号发布，第一类版本号可以视为是低版本，第二类版本号可以视为是高版本。通过上述处理，可以实现不同类别的检测模式对应的漏洞捕获结果，包括第一类漏洞证明对应的第一捕获结果，第二类漏洞证明对应的第二捕获结果。

可选的，上述第二类漏洞证明可以为0day漏洞的POC。

通过上述步骤S102至步骤S106，可以实现利用请求样本中携带的对应的指纹特征，采用匹配的漏洞配置信息进行检测的目的，实现了提高对漏洞的捕获效率的技术效果，进而解决了相关技术中存在的漏洞捕获效率不理想的技术问题。

基于上述实施例和可选实施例，本发明提出一种可选实施方式，图2是根据本发明实施例提供的一种可选的漏洞捕获方法的流程示意图，如图2所示，应用于Docker中设置有多个CMS端口，上述多个CMS端口分别配置有对应的指纹信息，在多个CMS端口分别设置有响应页面，保证响应页面的版本指纹位置header、body、tag都包含CMS对应的指纹信息，对于多个CMS端口分别对应有历史版本的版本号，版本指纹位置会响应于历史版本的版本号。多个CMS端口分别设置有漏洞配置信息，上述对应的漏洞配置信息包括了对应CMS端口的Nday漏洞POC(第一类漏洞证明)，0day漏洞POC(第二类漏洞证明)，IOC(预定妥协指标)。通过多个CMS端口接收到请求样本，对其进行样本清洗，将确定出的有效样本，筛选掉无效样本。

图3是根据本发明实施例提供的一种可选的漏洞捕获方法的样本清洗示意图，如图3所示，在接收请求样本之后，对请求样本进行样本清洗的方式使得对样本处理更加高效，过筛无效的脏数据请求。基于请求样本的数据长度与预定长度阈值进行比较，在数据长度超过预定长度阈值的情况下，需要进一步才能确定是否是有效样本。对请求样本进行脏数据检测的方式是，检测请求样本是否为编码数据，在请求样本为编码数据的情况下，即可确定请求样本为有效样本。而在请求样本不为编码数据的情况下，需要检测请求样本的内容是否为单数字、单字母或单符号。在请求样本为编码数据，并且请求样本的内容为单数字、单字母或单符号的情况下，视为确定了请求样本为无效样本，去除该请求样本。

进一步地进行与对应CMS端口对应的漏洞配置信息匹配，得到请求样本与Nday漏洞POC的相似度得分。图4是根据本发明实施例提供的一种可选的漏洞捕获方法的样本相似度流程图，如图4所示，将请求样本与对应CMS端口的Nday漏洞POC进行匹配，可以得到请求样本的第一匹配结果。在第一匹配结果为匹配的情况下，视为匹配到请求样本中包括了对应的Nday漏洞POC的相关信息，需要进一步将请求样本与IOC进行匹配，得到对请求样本的第二匹配结果。而在第一匹配结果为不匹配的情况下，将请求样本与漏洞特征匹配，得到第三匹配结果。在上述第三匹配结果为匹配的情况下，将上述请求样本携带的对应的IOC，对该CMS端口对应的IOC进行更新，得到更新后的IOC。通过上述处理，可以使得对应内容管理系统CMS端口的IOC进行丰富，可以不断更新漏洞配置信息。

而在第二匹配结果为不匹配的情况下，采用上述请求样本，对CMS端口对应的IOC进行更新，得到更新后的IOC。需要说明的是，在第二匹配结果为不匹配的情况下，上述请求样本不进行后续计分。在第二匹配结果为匹配的情况下，视为检测请求样本记录有IOC的相关信息，对IOC对应的指标权重进行更新，提升该IOC的权重，得到更新后的指标权重。基于IOC和对其更新后的指标权重，得到请求样本的相似度得分。

在得到请求样本对应的样本可信度评分和请求次数之后，在版本信息为第一类版本号的情况下，统计得到样本可信度评分高且请求次数多的请求样本，对Nday漏洞POC进行更新，得到CMS端口对于Nday漏洞POC的第一捕获结果。在版本信息为第二类版本号的情况下，视为统计得到样本可信度评分高且请求次数少的请求样本，对0day漏洞POC进行更新，得到CMS端口对于0day漏洞POC的第二捕获结果。第一类版本号早于第二类版本号发布，第一类版本号可以视为是低版本，第二类版本号可以视为是高版本。采用不同类别的检测模式获取对应的漏洞捕获结果，包括Nday漏洞POC进行关联分析，得到对应的第一捕获结果，0day漏洞POC进行关联分析，得到对应的第二捕获结果。基于漏洞特征和相似度得分，确定出请求样本对应的样本可信度评分，进而确定出CMS端口的漏洞捕获结果。

由上述可选实施方式至少实现以下效果：在漏洞捕获方面设置0day漏洞和Nday漏洞捕获模式，通过样本清洗过筛无效数据、样本相似度和有效性分析计算可信分值，结合请求次数关联分析筛选有效漏洞，可以实现0day漏洞的POC做出应急响应，同时捕获Nday漏洞的POC，实现增强漏洞捕获能力。

需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

实施例2

在本实施例中还提供了一种漏洞捕获装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”“装置”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

根据本发明实施例，还提供了一种用于实施漏洞捕获方法的装置实施例，图5是根据本发明实施例的一种漏洞捕获装置的示意图，如图5所示，上述漏洞捕获装置，包括获取模块502，确定模块504，捕获模块506，下面对该装置进行说明。

获取模块502，用于获取请求样本，其中，上述请求样本中携带有指纹信息；

可以理解，获取模块502获取到的请求样本中是携带有指纹信息的，通过指纹技术，使得接收到的请求样本包含对上述请求样本进行接收的内容管理系统的指纹信息。

可选的，上述指纹信息可以为多种，例如：HTTP(Hyper Text Transfer Protocol，超文本传输协议)响应头、HTML(Hyper Text Markup Language，超文本标记语言)代码中的元素名、class(组别)和id(标识)属性，以及对JavaScript库或插件文件等资源的引用。JavaScript库是指包括被封装好的Javascript函数，其特点是可以直接在程序中进行调用。

确定模块504，与获取模块502连接，用于确定上述指纹信息对应的内容管理系统，以及上述内容管理系统的漏洞配置信息；

可以理解，确定模块504确定指纹信息可以指示出对应的内容管理系统，进而确定出上述内容管理系统的漏洞配置信息。

在一种可选的实施例中，上述内容管理系统设置有用于接收到上述请求样本的响应页面，上述响应页面设置有版本指纹位置，上述版本指纹位置响应于配置的版本信息。

可以理解，上述响应页面可以用于获取请求样本，使得请求样本上可以携带有指纹信息，上述响应页面中可以在不同位置设置版本指纹，作为版本指纹位置。通过配置版本信息使得版本指纹位置可以进行对应响应。

可选的，上述响应页面为web页面，上述版本指纹位置可以为web页面上的header、body和tag。header(页头)，位于HTML文档的顶部，在标签内，通常包含网站标题、关键字、描述等信息。body(正文)，位于HTML文档的中间，在标签内，是网站主要内容所在地。tag(标签)，用来定义HTML元素或属性。例如：表示链接元素，表示图片元素，class和id等属性则可以为CSS(Cascading Style Sheets，层叠样式表)样式提供选择器。

需要说明的是，当进行内容管理系统指纹识别时，需要检查页面响应的header、body和tag是否包含了与特定内容管理系统对应的独有标记或特征。这些特征可能包括使用该内容管理系统系统默认生成的文件名、注释语句以及特定版本号等信息。通过检查这些位置是否存在相应特征可以帮助确定目标网站正在使用哪种内容管理系统。

可选的，上述内容管理系统设置了指纹信息的情况下，基于Docker部署对应CMS端口的蜜罐服务，上述蜜罐服务是指通过配置CMS的指纹信息，吸引攻击者发送恶意请求。

捕获模块506，与确定模块504连接，用于基于上述漏洞配置信息，得到上述内容管理系统的漏洞捕获结果。

可以理解，捕获模块506基于漏洞配置信息对请求样本进行匹配和检测，可以获取到内容管理系统的漏洞捕获结果。上述漏洞配置信息是根据指纹信息确定对应得到的，可以实现与漏洞配置信息的高效匹配，提高漏洞的捕获能力。

在一种可选的实施例中，上述基于上述漏洞配置信息，得到上述内容管理系统的漏洞捕获结果，包括：在上述漏洞配置信息中包括第一类漏洞证明，预定妥协指标，以及漏洞特征的情况下，基于上述第一类漏洞证明，上述预定妥协指标，确定上述请求样本与上述第一类漏洞证明的相似度得分，其中，上述第一类漏洞证明为未打补丁的已知漏洞的信息，上述预定妥协指标为上述内容管理系统的存在网络攻击风险的数据、地址或文件；基于上述相似度得分，上述预定妥协指标，以及上述漏洞特征，确定上述请求样本对应的样本可信度评分；基于上述样本可信度评分，得到对上述内容管理系统的漏洞捕获结果。

可以理解，内容管理系统对应有本身的漏洞配置信息，其中包括了第一类漏洞证明，预定妥协指标，以及漏洞特征。上述第一类漏洞证明为未打补丁的已知漏洞的信息，预定妥协指标为上述内容管理系统的存在网络攻击风险的数据、地址或文件。通过第一类漏洞证明和预定妥协指标，可以确定出请求样本与第一类漏洞正本的相似度得分。根据相似度得分，预定妥协指标和漏洞特征，可以确定出上述请求样本对应的样本可信度评分。进而基于样本可信度评分确定出内容管理系统的漏洞捕获结果。通过上述处理，可以具体地对应于接收该请求样本的内容管理系统所设置的漏洞配置信息，可以针对地确定出样本可信度评分，进而提高漏洞捕获结果的获取效率。

可选的，上述第一类漏洞证明为Nday漏洞的POC，上述预定妥协指标为对应内容管理系统预先配置好的对应IOC，上述漏洞特征为记录注入符、敏感函数、恶意api(Application Programming Interface，应用程序接口)和第三方库。

可选的，基于相似度得分，预定妥协指标(IOC)，以及漏洞特征(包括注入符，敏感函数)，采用以下方式，确定上述请求样本对应的样本可信度评分：

可信分值＝注入符*出现次数*第一系数+有效ioc数目*第二系数*(ioc有效年份-当前年份)+敏感函数*出现次数*第三系数+相似度得分*(样本曝光年份–当前年份)

其中，上述第一系数、第二系数、第三系数为按照需求进行设定的预定值，优选地，上述第一系数为0.05，第二系数为0.6，第三系数为0.3。

在一种可选的实施例中，上述基于上述第一类漏洞证明，上述预定妥协指标，确定上述请求样本与上述第一类漏洞证明的相似度得分，包括：将上述请求样本与上述第一类漏洞证明进行匹配，得到第一匹配结果；在上述第一匹配结果为匹配的情况下，将上述请求样本与上述预定妥协指标进行匹配，得到第二匹配结果；在上述第二匹配结果为匹配的情况下，对上述预定妥协指标对应的指标权重进行更新，得到更新后的指标权重；基于上述预定妥协指标，和更新后的指标权重，得到上述相似度得分。

可以理解，将请求样本与对应内容管理系统的第一类漏洞证明进行匹配，可以得到请求样本的第一匹配结果。在第一匹配结果为匹配的情况下，视为匹配到请求样本中包括了对应的第一类漏洞证明的相关信息，需要进一步将请求样本与预定妥协指标进行匹配，得到对请求样本的第二匹配结果。在第二匹配结果为匹配的情况下，视为检测请求样本记录有预定妥协指标的相关信息，对预定妥协指标对应的指标权重进行更新，提升该预定妥协指标的权重，得到更新后的指标权重。基于预定妥协指标和对其更新后的指标权重，得到相似度得分。

可选的，在Docker中部署有CMS(即内容管理系统)端口，在存在多个请求样本的情况下，根据多个请求样本分别携带的指纹信息，确定出对应的CMS端口，将多个请求样本中与CMS端口不对应的作为无效样本(不计入后续评分)，将与CMS端口匹配的请求样本作为有效样本。

可选的，上述请求样本中有IP(Internet Protocol，网际互连协议)地址，和/或域信息的情况下，将上述请求样本中携带的IP地址，域信息与预定妥协指标进行匹配，得到第二匹配结果。在上述第二匹配结果为不匹配的情况下，采用上述请求样本，对预定妥协指标进行更新，得到更新后的预定妥协指标。需要说明的是，在第二匹配结果为不匹配的情况下，上述请求样本不进行后续计分。

在一种可选的实施例中，上述方法还包括：在上述第一匹配结果为不匹配的情况下，将上述请求样本与上述漏洞特征进行匹配，得到第三匹配结果；在上述第三匹配结果为匹配的情况下，确定上述请求样本携带的第一妥协指标；采用上述第一妥协指标，对上述预定妥协指标进行更新，得到更新后的预定妥协指标。

可以理解，在第一匹配结果为不匹配的情况下，将请求样本与漏洞特征匹配，得到第三匹配结果。在上述第三匹配结果为匹配的情况下，将上述请求样本携带的第一妥协指标(即请求样本对应的IOC)。采用第一妥协指标，对该CMS对应的预定妥协指标进行更新，得到更新后的预定妥协指标。通过上述处理，可以使得对应内容管理系统CMS的预定妥协指标(IOC)进行丰富，可以不断更新漏洞配置信息。

需要说明的是，上述第三匹配结果为匹配的情况下，对于请求样本不进行后续计分。

在一种可选的实施例中，在基于上述请求样本与上述漏洞配置信息，得到对上述内容管理系统的漏洞捕获结果之前，上述方法还包括：确定上述请求样本的数据长度；在上述数据长度超过预定长度阈值的情况下，检测上述请求样本是否为编码数据，以及检测上述请求样本的内容是否为预定内容类型；在上述请求样本为编码数据，并且上述请求样本的内容为预定内容类型的情况下，去除上述请求样本。

可以理解，需要对接收到的请求样本进行样本清晰处理，可以使得对样本处理更加高效，过筛无效的脏数据请求。基于请求样本的数据长度与预定长度阈值进行比较，在数据长度超过预定长度阈值的情况下，需要进一步才能确定是否是有效样本。对请求样本进行脏数据检测的方式是，检测请求样本是否为编码数据，在请求样本为编码数据的情况下，即可确定请求样本为有效样本。而在请求样本不为编码数据的情况下，需要检测请求样本的内容是否为预定内容类型。在请求样本为编码数据，并且请求样本的内容为预定内容类型的情况下，视为确定了请求样本为无效样本，去除该请求样本。

可选的，在请求样本为编码数据，并且请求样本的内容为不预定内容类型的情况下，视为确定请求样本为有效样本。

可选的，上述预定内容类型可以设置为多种，例如：单数字、单字母、单符号。

在一种可选的实施例中，上述基于上述漏洞配置信息，得到上述内容管理系统的漏洞捕获结果，包括：确定上述请求样本对应的样本可信度评分和请求次数；在上述版本信息为第一类版本号，上述样本可信度评分大于预定评分阈值，并且上述请求次数大于预定第一次数阈值的情况下，采用上述请求样本，对上述内容管理系统的第一类漏洞证明进行更新，得到上述第一类漏洞证明对应的第一捕获结果；在上述版本信息为第二类版本号，上述样本可信度评分大于上述预定评分阈值，并且上述请求次数小于预定第二次数阈值的情况下，采用上述请求样本，对上述内容管理系统的第二类漏洞证明进行更新，得到上述第二类漏洞证明对应的第二捕获结果，其中，上述第二类漏洞为未存在修复方式的漏洞的信息，上述第一类版本后的发布时间早于上述第二类版本号。

可以理解，内容管理系统设置的响应页面，上面设置有版本指纹位置，上述版本指纹位置响应于配置的版本信息。在得到请求样本对应的样本可信度评分和请求次数之后，在版本信息为第一类版本号，样本可信度评分大于预定评分阈值，请求次数大于预定第一次数阈值的情况下，视为统计得到样本可信度评分高且请求次数多的请求样本，对第一类漏洞证明进行更新，得到内容管理系统对于第一类漏洞证明的第一捕获结果。在版本信息为第二类版本号，样本可信度评分大于预定评分阈值，并且请求次数小于预定第二次数阈值的情况下，视为统计得到样本可信度评分高且请求次数少的请求样本，对第二类漏洞证明进行更新，得到内容管理系统对于第二类漏洞证明的第二捕获结果。上述版本信息中，第一类版本号早于第二类版本号发布，第一类版本号可以视为是低版本，第二类版本号可以视为是高版本。通过上述处理，可以实现不同类别的检测模式对应的漏洞捕获结果，包括第一类漏洞证明对应的第一捕获结果，第二类漏洞证明对应的第二捕获结果。

可选的，上述第二类漏洞证明可以为0day漏洞的POC。

本发明实施例提供的一种漏洞捕获装置中，通过获取模块502，用于获取请求样本，其中，上述请求样本中携带有指纹信息；确定模块504，与获取模块502连接，用于确定上述指纹信息对应的内容管理系统，以及上述内容管理系统的漏洞配置信息；捕获模块506，与确定模块504连接，用于基于上述漏洞配置信息，得到上述内容管理系统的漏洞捕获结果。达到了利用请求样本中携带的对应的指纹特征，采用匹配的漏洞配置信息进行检测的目的，实现了提高对漏洞的捕获效率的技术效果，进而解决了相关技术中存在的漏洞捕获效率不理想的技术问题。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，例如，对于后者，可以通过以下方式实现：上述各个模块可以位于同一处理器中；或者，上述各个模块以任意组合的方式位于不同的处理器中。

此处需要说明的是，上述获取模块502，确定模块504，捕获模块506，对应于实施例中的步骤S102至步骤S106，上述模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在计算机终端中。

需要说明的是，本实施例的可选或优选实施方式可以参见实施例中的相关描述，此处不再赘述。

上述漏洞捕获装置还可以包括处理器和存储器，获取模块502，确定模块504，捕获模块506，等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上。存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

实施例3

根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的漏洞捕获方法。

实施例4

本发明实施例提供了一种电子设备，该电子设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：获取请求样本，其中，上述请求样本中携带有指纹信息；确定上述指纹信息对应的内容管理系统，以及上述内容管理系统的漏洞配置信息；基于上述漏洞配置信息，得到上述内容管理系统的漏洞捕获结果。本文中的设备可以是服务器、PC等。

实施例5

本发明还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：获取请求样本，其中，上述请求样本中携带有指纹信息；确定上述指纹信息对应的内容管理系统，以及上述内容管理系统的漏洞配置信息；基于上述漏洞配置信息，得到上述内容管理系统的漏洞捕获结果。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本发明的实施例可提供为方法、系统或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本发明的实施例而已，并不用于限制本发明。对于本领域技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的权利要求范围之内。

Claims (10)

1.一种漏洞捕获方法，其特征在于，包括：

获取请求样本，其中，所述请求样本中携带有指纹信息；

确定所述指纹信息对应的内容管理系统，以及所述内容管理系统的漏洞配置信息；

基于所述漏洞配置信息，得到所述内容管理系统的漏洞捕获结果。

2.根据权利要求1所述的方法，其特征在于，所述基于所述漏洞配置信息，得到所述内容管理系统的漏洞捕获结果，包括：

在所述漏洞配置信息中包括第一类漏洞证明，预定妥协指标，以及漏洞特征的情况下，基于所述第一类漏洞证明，所述预定妥协指标，确定所述请求样本与所述第一类漏洞证明的相似度得分，其中，所述第一类漏洞证明为未打补丁的已知漏洞的信息，所述预定妥协指标为所述内容管理系统的存在网络攻击风险的数据、地址或文件；

基于所述相似度得分，所述预定妥协指标，以及所述漏洞特征，确定所述请求样本对应的样本可信度评分；

基于所述样本可信度评分，得到对所述内容管理系统的漏洞捕获结果。

3.根据权利要求2所述的方法，其特征在于，所述基于所述第一类漏洞证明，所述预定妥协指标，确定所述请求样本与所述第一类漏洞证明的相似度得分，包括：

将所述请求样本与所述第一类漏洞证明进行匹配，得到第一匹配结果；

在所述第一匹配结果为匹配的情况下，将所述请求样本与所述预定妥协指标进行匹配，得到第二匹配结果；

在所述第二匹配结果为匹配的情况下，对所述预定妥协指标对应的指标权重进行更新，得到更新后的指标权重；

基于所述预定妥协指标，和更新后的指标权重，得到所述相似度得分。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

在所述第一匹配结果为不匹配的情况下，将所述请求样本与所述漏洞特征进行匹配，得到第三匹配结果；

在所述第三匹配结果为匹配的情况下，确定所述请求样本携带的第一妥协指标；

采用所述第一妥协指标，对所述预定妥协指标进行更新，得到更新后的预定妥协指标。

5.根据权利要求1至4中任意一项所述的方法，其特征在于，在基于所述请求样本与所述漏洞配置信息，得到对所述内容管理系统的漏洞捕获结果之前，所述方法还包括：

确定所述请求样本的数据长度；

在所述数据长度超过预定长度阈值的情况下，检测所述请求样本是否为编码数据，以及检测所述请求样本的内容是否为预定内容类型；

在所述请求样本为编码数据，并且所述请求样本的内容为预定内容类型的情况下，去除所述请求样本。

6.根据权利要求1至4中任意一项所述的方法，其特征在于，所述内容管理系统设置有用于接收到所述请求样本的响应页面，所述响应页面设置有版本指纹位置，所述版本指纹位置响应于配置的版本信息。

7.根据权利要求6所述的方法，其特征在于，所述基于所述漏洞配置信息，得到所述内容管理系统的漏洞捕获结果，包括：

确定所述请求样本对应的样本可信度评分和请求次数；

在所述版本信息为第一类版本号，所述样本可信度评分大于预定评分阈值，并且上述请求次数大于预定第一次数阈值的情况下，采用所述请求样本，对所述内容管理系统的第一类漏洞证明进行更新，得到所述第一类漏洞证明对应的第一捕获结果；

在所述版本信息为第二类版本号，所述样本可信度评分大于所述预定评分阈值，并且所述请求次数小于预定第二次数阈值的情况下，采用所述请求样本，对所述内容管理系统的第二类漏洞证明进行更新，得到所述第二类漏洞证明对应的第二捕获结果，其中，所述第二类漏洞为未存在修复方式的漏洞的信息，所述第一类版本后的发布时间早于所述第二类版本号。

8.一种漏洞捕获装置，其特征在于，包括：

获取模块，用于获取请求样本，其中，所述请求样本中携带有指纹信息；

确定模块，用于确定所述指纹信息对应的内容管理系统，以及所述内容管理系统的漏洞配置信息；

捕获模块，用于基于所述漏洞配置信息，得到所述内容管理系统的漏洞捕获结果。

9.一种计算机可读存储介质，其特征在于，计算机可读存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述权利要求1至7任一项中所述的漏洞捕获方法。

10.一种电子设备，其特征在于，包括：一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至7中任意一项所述的漏洞捕获方法。