CN117150453B - 网络应用检测方法、装置、设备、存储介质及程序产品 - Google Patents

网络应用检测方法、装置、设备、存储介质及程序产品 Download PDF

Info

Publication number
CN117150453B
CN117150453B CN202311433808.4A CN202311433808A CN117150453B CN 117150453 B CN117150453 B CN 117150453B CN 202311433808 A CN202311433808 A CN 202311433808A CN 117150453 B CN117150453 B CN 117150453B
Authority
CN
China
Prior art keywords
file
scanning
network
network application
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311433808.4A
Other languages
English (en)
Other versions
CN117150453A (zh
Inventor
刘健
张同虎
杨艳光
杨朴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CCB Finetech Co Ltd
Original Assignee
CCB Finetech Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CCB Finetech Co Ltd filed Critical CCB Finetech Co Ltd
Priority to CN202311433808.4A priority Critical patent/CN117150453B/zh
Publication of CN117150453A publication Critical patent/CN117150453A/zh
Application granted granted Critical
Publication of CN117150453B publication Critical patent/CN117150453B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/128Restricting unauthorised execution of programs involving web programs, i.e. using technology especially used in internet, generally interacting with a web browser, e.g. hypertext markup language [HTML], applets, java
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种网络应用检测方法、装置、设备、存储介质及程序产品。涉及移动互联网技术领域。方法包括:获取网络应用的待检测文件,基于提前定义的扫描策略扫描待检测文件中是否存在预定义特征,预定义特征为提前定义的用于指示待检测文件存在异常的多种类型特征;当检测到存在目标特征,则获取网络应用的配置信息,基于目标特征的类型、属性、配置信息生成扫描结果;将扫描结果进行可视化显示,以供用户基于扫描结果从多个处置策略中选择对应的目标处置策略;接收目标处置策略,进而生成控制指令,基于控制指令对网络应用进行处理。本申请的方法,最大化的利用了多种类型的扫描检测技术,提高了未授权网络应用检测的准确性。

Description

网络应用检测方法、装置、设备、存储介质及程序产品
技术领域
本申请涉及移动互联网技术领域,尤其涉及一种网络应用检测方法、装置、设备、存储介质及程序产品。
背景技术
随着移动互联网的发展,移动应用软件的安装数量呈现快速增长趋势,但是随之而来的也有非法安装的应用,非法安装的应用的出现使得企业的用户数据受到严重威胁,造成用户经济上的损失或者隐私信息的泄露,因此,针对企业,进行有效的监测和管理内部网络上非法安装的应用,可以及时停止对公司侵权。
现有技术中,可以通过网络安全设备收集网络应用在网络传输时的大量网络流量数据,进一步的,利用内网网络流量嗅探技术对网络流量数据进行实时监测和分析,以检测和识别网络应用存在的各种安全威胁和攻击行为。
但是,存在同样行为的应用软件,并不一定都是非法安装的应用,如读取通讯录向指定地址发送的行为,不一定是窃取用户信息,也有可能是数据备份软件进行的操作,然而,上述方法在检测上述同样行为的应用软件时,存在误报率,导致检测的准确性降低。
发明内容
本申请提供一种网络应用检测方法、装置、设备、存储介质及程序产品,用以解决现有在检测同样行为的应用软件时,存在误报率,导致检测的准确性降低的问题。
第一方面,本申请提供一种网络应用检测方法,所述方法包括:
获取网络应用的待检测文件,并基于提前定义的扫描策略扫描所述待检测文件中是否存在预定义特征;所述预定义特征为提前定义的用于指示待检测文件存在异常的多种类型特征;
当检测到所述待检测文件中存在目标特征,则获取所述网络应用的配置信息,并基于所述目标特征的类型、所述目标特征的属性和所述配置信息生成扫描结果;所述扫描结果用于指示存在未授权网络应用;
将所述扫描结果进行可视化显示,以供用户基于所述扫描结果从多个处置策略中选择对应的目标处置策略;所述多个处置策略为提前配置好的用于处理未授权网络应用的业务策略;
接收所述目标处置策略,并基于所述目标处置策略生成控制指令,并基于所述控制指令对所述网络应用进行处理。
在一种可能的设计中,所述待检测文件包括安装文件和/或镜像文件;所述预定义特征包括关键值特征和/或镜像特征;基于提前定义的扫描策略扫描所述待检测文件中是否存在预定义特征,包括:
基于提前定义的扫描策略扫描所述安装文件中是否存在关键值特征,所述关键值特征包括网络特征、进程特征和文件特征;所述网络特征为提前定义的用于指示网络流量异常的特征;所述进程特征为提前定义的用于指示服务器进程异常的特征;所述文件特征为提前定义的用于指示文件目录异常的特征;
和/或,基于提前定义的扫描策略扫描所述镜像文件中是否存在镜像特征;所述镜像特征为提前定义的用于指示镜像清单异常的特征。
在一种可能的设计中,获取网络应用的待检测文件,包括:
获取网络应用所在服务器的账户信息,并基于所述账户信息进行权限验证;
当身份验证通过后,检测所述网络应用是否部署在应用容器引擎Docker;
若是,则获取网络应用的安装文件和/或镜像文件;
若否,则获取网络应用的安装文件。
在一种可能的设计中,所述扫描策略包括网络嗅探策略、进程扫描策略和文件扫描策略;所述文件扫描策略包括快速特征扫描策略、全面特征扫描策略和镜像文件扫描策略;基于提前定义的扫描策略扫描所述待检测文件中是否存在预定义特征,包括:
基于网络嗅探策略,利用嗅探装置扫描所述安装文件中是否存在网络特征;所述网络特征包括以下至少一项:统一资源定位系统URL地址和超文本传输协议HTTP请求头;
基于预定义的扫描范围,利用进程扫描策略扫描所述安装文件中是否存在进程特征;所述进程特征包括以下至少一项:进程路径和进程参数;
当确定所述安装文件中存在网络特征或进程特征,则基于快速特征扫描策略扫描所述安装文件中是否存在第一文件特征,和/或基于镜像文件扫描策略扫描所述镜像文件中是否存在镜像特征;所述第一文件特征为文件目录;所述镜像特征包括以下至少一项:镜像标识号ID、摘要版本值、镜像名称和开放分类标签;
当确定所述安装文件中不存在网络特征或进程特征,则基于全面特征扫描策略扫描所述安装文件中是否存在第二文件特征,和/或基于镜像文件扫描策略扫描所述镜像文件中是否存在镜像特征;所述第二文件特征包括多个组件特征。
在一种可能的设计中,基于全面特征扫描策略扫描所述安装文件中是否存在第二文件特征,包括:
获取所述网络应用的安装场景,基于所述安装场景确定所需扫描的组件特征的类型,并基于所述所需扫描的组件特征的类型确定第二文件特征;
基于全面特征扫描策略遍历所述安装文件,并确定所述安装文件中是否存在所述第二文件特征。
在一种可能的设计中,所述目标特征包括目标关键值特征和目标镜像特征;当检测到所述待检测文件中存在目标特征之后,所述方法还包括:
针对所述镜像文件中与所述镜像特征相匹配的每个目标镜像特征,查询是否存在对应运行的容器;
当确定存在对应运行的容器,记录所述容器的标识号ID,并开放所述网络应用的端口,以供控制指令的接入。
在一种可能的设计中,将所述扫描结果进行可视化显示,包括:
获取网络应用的基础信息,所述基础信息包括商业名称、内部管控代码和主程序名称;
基于所述基础信息和所述扫描结果生成结果报告,并将所述结果报告以报表的形式进行可视化显示。
在一种可能的设计中,基于所述控制指令对所述网络应用进行处理,包括:
当所述目标处置策略为网络封锁策略,则基于所述控制指令控制所述网络应用的进程处于运行状态下,限制所述网络应用对网络流量的访问;
当所述目标处置策略为进程终止策略,则基于所述控制指令控制所述网络应用的进程处于终止状态;
当所述目标处置策略为文件删除和/或备份策略,则基于所述控制指令控制所述网络应用的文件目录进行清除和/或归档操作。
第二方面,本申请提供一种网络应用检测装置,所述装置包括:
扫描模块,用于获取网络应用的待检测文件,并基于提前定义的扫描策略扫描所述待检测文件中是否存在预定义特征;所述预定义特征为提前定义的用于指示待检测文件存在异常的多种类型特征;
生成模块,用于当检测到所述待检测文件中存在目标特征,则获取所述网络应用的配置信息,并基于所述目标特征的类型、所述目标特征的属性和所述配置信息生成扫描结果;所述扫描结果用于指示存在未授权网络应用;
可视化显示模块,用于将所述扫描结果进行可视化显示,以供用户基于所述扫描结果从多个处置策略中选择对应的目标处置策略;所述多个处置策略为提前配置好的用于处理未授权网络应用的业务策略;
处理模块,用于接收所述目标处置策略,并基于所述目标处置策略生成控制指令,并基于所述控制指令对所述网络应用进行处理。
第三方面,本申请实施例提供一种电子设备,包括:至少一个处理器和存储器;所述存储器存储计算机执行指令;所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一方面以及第一方面各种可能的设计所述的网络应用检测方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一方面以及第一方面各种可能的设计所述的网络应用检测方法。
第五方面,本申请实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上第一方面以及第一方面各种可能的设计所述的网络应用检测方法。
综上所述,本申请提供一种网络应用检测方法、装置、设备、存储介质及程序产品,通过提前定义的多种类型的扫描策略,在相应的扫描范围内,对网络应用的待检测文件进行扫描,以确定待检测文件中是否存在提前配置的指示网络应用异常的特征;其中,该异常的特征可以有多种类型,针对上述扫描中发现了一种相匹配的特征类型后,可以快速根据其他扫描策略进行特征类型的全面综合确定,以确定网络应用是否为未授权网络应用;进一步的,当确定网络应用为未授权网络应用后,可以生成扫描结果报告并进行可视化显示,以使用户选择用于处理该未授权网络应用的提前配置的业务策略,进一步的,接收该业务策略,并根据该业务策略,对已发现的未授权网络应用,向服务器发起整改通知;这样,通过利用提前配置的多种扫描策略对网络应用的待检测文件进行全面扫描,提高确定未授权网络应用的准确性,且本申请还可以利用提前配置好业务策略对未授权网络应用进行处理,保证企业系统运行的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为适用于本申请实施例的网络应用检测方法的应用场景图;
图2为本申请实施例提供的网络应用检测方法的流程示意图;
图3为本申请实施例提供的一种基于扫描策略扫描预定义特征的流程示意图;
图4为本申请实施例提供的具体的网络应用检测方法的流程示意图;
图5为本申请实施例提供的网络应用检测装置的结构示意图;
图6为本申请实施例提供的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。例如,第一设备和第二设备仅仅是为了区分不同的设备,并不对其先后顺序进行限定。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
需要说明的是,本申请的技术方案中,所涉及的金融数据或用户数据等信息的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
在当下,各个企业对知识产权的重视程度已经到了一个空前的高度,因此作为一家大型企业,有效的监测和管理内部网络上非法安装的应用,及时停止公司侵权已经是公司治理领域的一个非常有用的辅助工具。
一种可能的实现方式中,可以通过网络安全设备收集网络应用在网络传输时的大量网络流量数据,进一步的,利用内网网络流量嗅探技术对网络流量数据进行实时监测和分析,以检测和识别网络应用存在的各种安全威胁和攻击行为。
但是,存在同样行为的应用软件,并不一定都是非法安装的应用,如读取通讯录向指定地址发送的行为,不一定是窃取用户信息,也有可能是数据备份软件进行的操作,然而,上述方法在检测上述同样行为的应用软件时,存在误报率,导致检测的准确性降低。
可以理解的是,传统的外部厂商基于其自身中立的特点,无法针对企业内部的实际需求,定制专门的、完全符合具体企业需要的专门化产品。
针对上述问题,本申请提供一种网络应用检测方法,适用于大型企业的环境运维团队,进行企业内网的非法网络应用的监控管理;具体的,通过提前定义的多种类型的扫描策略,在相应的扫描范围内,对网络应用的待检测文件进行扫描,以确定待检测文件中是否存在提前配置的指示网络应用异常的特征;其中,该异常的特征可以有多种类型,针对上述扫描发现了一种相匹配的特征类型后,可以快速根据其他扫描策略进行特征类型的全面综合确定,以确定网络应用是否为未授权网络应用;进一步的,当确定网络应用为未授权网络应用后,可以生成扫描结果报告并进行可视化显示,以使用户选择用于处理该未授权网络应用的提前配置的业务策略,进一步的,接收该业务策略,并根据该业务策略,对已发现的未授权网络应用,向服务器发起整改通知。
这样,通过利用提前配置的多种扫描策略对网络应用的待检测文件进行全面扫描,提高确定未授权网络应用的准确性,且本申请还可以利用提前配置好业务策略对未授权网络应用进行处理,保证企业系统运行的安全性。
需要说明的是,本申请提供的网络应用检测方法的实现需要依托于企业内网的网络构建环境、配置管理数据库(Configuration Management Database,CMDB)等资源管理数据体系,利用网络监控装置,扫描服务器,进程控制装置等工具,通过定制化的配置策略,在企业内网发现、报告、限制、终止及删除非法应用。
需要说明的是,所述CMDB为一套网络应用及数据库装置组织,用于记录内网环境的设备信息及用户授权信息等,用于为嗅探数据和具体的服务器访问控制基础基本的数据支持。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图1为适用于本申请实施例的网络应用检测方法的应用场景图。如图1所示,该应用场景包括:用户的第一终端设备101、用户的第二终端设备102、企业自研管控系统103和运维人员的终端设备104;所述企业自研管控系统103包括CMDB、自动化运维工具集、策略定义装置、进程及文件扫描装置、应用控制装置和Docker管理工具。
具体的,当用户的第一终端设备101和用户的第二终端设备102安装某个网络应用时,企业自研管控系统103可以从CMDB中获取该网络应用的待检测文件;进一步的,利用策略定义装置中提供的多种扫描策略,对待检测文件进行交叉补偿扫描,得到扫描结果;进一步的,将扫描结果发送到运维人员的终端设备104进行可视化显示,以供运维人员选择合适的处置策略对该网络应用进行处置;所述处置策略为用户定义在策略定义装置输入对扫描结果的处理策略。
相应的,企业自研管控系统103接收终端设备104发送的处置策略,并利用自动化运维工具集进行远程控制操作和指令下发,以基于应用控制装置对该网络应用进行处置。
其中,所述交叉补偿扫描可以指的是网络流量扫描、服务器进程扫描、文件扫描和镜像文件扫描这四种方式交叉进行,即针对上述扫描中的一种发现了应用典型特征后,可以快速根据其他三种方式进行网络应用的全面综合确定,同时确定网络应用的网络特征,进程特征和文件特征,或镜像特征,本申请实施例对交叉补偿扫描对应的扫描的特征的类型和数量不作具体限定。
需要说明的是,在进行文件扫描或镜像文件扫描后,确定存在文件特征或镜像特征后,才可以精准的确定网络应用为未授权网络应用,即非法的网络应用;若只确定存在匹配的网络特征和/或进程特征,不足以说明网络应用为未授权网络应用。
可以理解的是,也可以将扫描结果发送到用户的第一终端设备101或用户的第二终端设备102进行可视化显示,以供用户选择合适的处置策略对该网络应用进行处置,本申请实施例对此不作具体限定。
可选的,上述终端设备可以是具有显示屏并且支持网页浏览的各种电子设备,终端设备也可以被称为终端(terminal)、用户设备(User Equipment,UE)、移动台(MobileStation,MS)、移动终端(Mobile Terminal,MT)等。终端设备可以是手机(mobile phone)、智能电视、穿戴式设备、智能音箱、智能安防设备、智能网关、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(Virtual Reality,VR)终端设备、增强现实(Augmented Reality,AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。上述终端设备包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等。
基于图1所示的应用场景,本申请实施例还提供一种网络应用检测方法,应用于企业自研管控系统,也可以理解为服务器。图2为本申请实施例提供的网络应用检测方法的流程示意图。如图2所示,该网络应用检测方法包括:
S201、获取网络应用的待检测文件,并基于提前定义的扫描策略扫描所述待检测文件中是否存在预定义特征;所述预定义特征为提前定义的用于指示待检测文件存在异常的多种类型特征。
本申请实施例中,所述提前定义的扫描策略包括定义网络应用的网络特征、进程特征、文件特征以及镜像特征,所述提前定义的扫描策略还包括定义扫描工具、扫描方法、扫描流程、扫描范围以及扫描时间等,均为用户在策略定义装置输入的信息;如所述扫描工具可以包括路由器嗅探装置或网络流量嗅探装置等;所述扫描方法可以为特征匹配法;所述扫描流程可以为不同扫描类型的特征依次扫描或交叉补偿扫描等;所述扫描范围可以为某网段或某机房等;所述扫描时间可以为每天预定的时间点;本申请实施例对提前定义的扫描策略对应的具体内容不作限定。
其中,所述待检测文件包括安装文件和/或镜像文件;所述预定义特征包括关键值特征和/或镜像特征;所述关键值特征包括网络特征、进程特征和文件特征;本申请实施例对网络特征、进程特征、文件特征以及镜像特征对应的具体内容不作限定。
可以理解的是,上述定义的网络特征、进程特征、文件特征以及镜像特征为进行安装文件和/或镜像文件扫描时,所需进行匹配的关键特征,为了便于管理,可以将上述网络特征、进程特征、文件特征以及镜像特征分类别存储于数据库的表中,在使用时可以直接调用。
在本步骤中,目标服务器可以获取网络应用的安装文件和/或镜像文件;进一步的,基于提前定义的扫描工具,利用扫描方法,并按照扫描流程,在定义的扫描时间内对安装文件和/或镜像文件的相应的扫描范围进行扫描,以确定是否存在定义网络应用的网络特征、进程特征、文件特征以及镜像特征等特征。
S202、当检测到所述安装文件中存在目标特征,则获取所述网络应用的配置信息,并基于所述目标特征的类型、所述目标特征的属性和所述配置信息生成扫描结果;所述扫描结果用于指示存在未授权网络应用。
本申请实施例中,所述目标特征包括目标关键值特征和目标镜像特征;所述目标关键值特征包括目标网络特征、目标进程特征和目标文件特征;所述目标网络特征为与提前定义的网络特征中的至少一个特征相匹配的特征;所述目标进程特征为与提前定义的进程特征中的至少一个特征相匹配的特征;所述目标文件特征为与提前定义的文件特征中的至少一个特征相匹配的特征;所述目标镜像特征为与提前定义的镜像特征中的至少一个特征相匹配的特征;本申请实施例对目标网络特征、目标进程特征、目标文件特征和目标镜像特征对应的特征数量不作具体限定。
所述目标关键值特征的类型可以指的是扫描类型,即网络特征、进程特征和文件特征扫描中的任意一种类型;所述目标关键值特征的属性可以指的是特征属性,不同的关键值特征对应不同的特征属性,如文件特征对应的文件属性有文件哈希值、文件目录等,本申请实施例对关键值特征对应的特征属性的内容不作具体限定,其可以基于网络应用进行设定。
在本步骤中,网络扫描依赖于核心路由器嗅探装置,即依据策略定义装置配置的网络嗅探策略,在发现匹配目标网络特征时,向后台数据服务推送相关嗅探结果;相应的,进程扫描装置依据策略定义装置配置的进程扫描策略,及扫描资源范围,进行关键进程特征扫描,并将进程扫描结果归档;类似的,文件扫描和镜像文件扫描进行类似的上述操作,得到文件扫描结果和镜像文件扫描结果;进一步的,系统根据网络应用的配置信息,CMDB数据和扫描阶段所得出的网络扫描结果,进程扫描结果,文件扫描结果和/或镜像文件的扫描结果,集中向系统反馈扫描整体结果,进一步的,系统得后台数据服务基于统计策略生成监控报告,即扫描结果。
S203、将所述扫描结果进行可视化显示,以供用户基于所述扫描结果从多个处置策略中选择对应的目标处置策略;所述多个处置策略为提前配置好的用于处理未授权网络应用的业务策略。
本申请实施例中,所述多个处置策略可以包括提前定义的网络封锁策略,进程终止策略,文件删除策略和数据备份策略等;所述网络封锁策略即网络端口访问拒绝的策略;所述进程终止策略即对特定进程进行终止的策略;所述文件删除策略即对指定网络应用的文件目录进行删除的策略;所述数据备份策略即对指定网络应用的文件目录进行备份或归档的策略;本申请实施例对所述多个处置策略对应的处置策略的数量和类型不作具体限定,以上仅是示例说明,所述多个处置策略可以基于未授权网络应用进行设定。
在本步骤中,在将扫描结果可视化显示在操作人员如运维人员的终端设备上,由运维人员选择全部或特定的处置策略如安装实例,用于对未授权网络应用进行处置。
可以理解的是,在将扫描结果可视化显示后,终端设备还可以从数据库中调用提前存储的多个处置策略,以供用户进行选择;其中,可以基于扫描类型选择目标处置策略,也可以人为自主选择目标处置策略,本申请实施例对此不作具体限定。
S204、接收所述目标处置策略,并基于所述目标处置策略生成控制指令,并基于所述控制指令对所述网络应用进行处理。
本申请实施例中,基于控制指令对网络应用进行处理前,还需获取企业内网多种设备的高级访问权限,如防火墙,进程控制,文件操作权限,邮件通知权限等,以对网络应用进行限制,终止及删除等操作。
示例性的,以Ansible为例,在系统接收处置策略后,基于Ansible,在企业内网,对某个具体服务器下发控制指令,如利用超级管理员权限和镜像命令,执行终止在运行容器实例,删除镜像等操作;所述控制指令可以包括远程控制操作和指令,本申请实施例对此不作具体限定。
因此,本申请实施例提供一种网络应用检测方法,通过将网络应用对应的扫描处理过程进行归纳提升,以应用关键值特征和/或镜像特征为发现契机,最大化的利用了企业的各项监控和管理设施,从而及时发现未授权网络应用,提高未授权网络应用检测的准确性,并利用提前制定好的处置策略对网络应用进行限制,终止及删除等操作,极大地提高的企业内网的安全性。
在一种可能的设计中,所述待检测文件包括安装文件和/或镜像文件;所述预定义特征包括关键值特征和/或镜像特征;基于提前定义的扫描策略扫描所述待检测文件中是否存在预定义特征,包括:
基于提前定义的扫描策略扫描所述安装文件中是否存在关键值特征,所述关键值特征包括网络特征、进程特征和文件特征;所述网络特征为提前定义的用于指示网络流量异常的特征;所述进程特征为提前定义的用于指示服务器进程异常的特征;所述文件特征为提前定义的用于指示文件目录异常的特征;
和/或,基于提前定义的扫描策略扫描所述镜像文件中是否存在镜像特征;所述镜像特征为提前定义的用于指示镜像清单异常的特征。
本申请实施例中,所述网络特征可以为网络特征码,如统一资源定位系统(Uniform Resource Locator,URL)地址和超文本传输协议(Hypertext TransferProtocol,HTTP)请求头等;所述进程特征可以为进程特征码,如进程路径和典型进程特征参数等;所述文件特征可以为文件/目录特征码,如典型文件名称、文件目录、固定目录组合关系和文件哈希值等;所述镜像特征可以包括镜像标识号(Identity Document,ID),即IMAGE-ID,摘要(V2)版本值,以及镜像名称,开放分类(tag)标签等参考信息。
在本步骤中,当目标服务器设备执行网络扫描、进程扫描和文件扫描时,可以基于网络流量嗅探装置,依据策略定义装置配置的网络嗅探策略,将网络应用的安装文件与提前定义的网络特征进行匹配,以确定是否存在目标网络特征;相应的,还可以基于进程及文件扫描装置,依据提前制定的扫描策略将网络应用的安装文件与提前定义的进程特征和文件特征进行匹配,以确定是否存在目标进程特征和目标文件特征。
进一步的,在进行本地扫描时,还可以获取网络应用的镜像文件,基于Docker管理工具进行非法镜像的扫描工作,即基于提前制定的扫描策略将镜像文件与提前定义的镜像特征进行匹配,以确定是否存在目标镜像特征。
需要说明的是,对Docker镜像扫描配置时,对应提前输入的待扫描的镜像特征,如果存在多个版本的镜像文件,则需要逐一输入镜像文件对应的镜像特征。
因此,本申请实施例可以对网络应用的安装文件进行扫描,以确定安装文件中是否存在提前配置的指示网络流量异常、服务器进程异常、文件目录异常的特征;本申请还可以采用提前定义的扫描策略扫描网络应用的镜像文件中是否存在镜像特征,以确定镜像清单是否异常,提高了对网络应用扫描的全面性。
在一种可能的设计中,获取网络应用的待检测文件,包括:
获取网络应用所在服务器的账户信息,并基于所述账户信息进行权限验证;
当身份验证通过后,检测所述网络应用是否部署在应用容器引擎Docker;
若是,则获取网络应用的安装文件和/或镜像文件;
若否,则获取网络应用的安装文件。
本申请实施例中,所述账户信息可以指的是用户授权信息;如所述账户信息可以为某个服务器的账号登录信息,包括登录账号和登录密码;本申请实施例对账户信息对应的具体内容不作限定,其用于验证用户的身份信息,以确定是否具有相应的权限进行扫描、监测、拦截、终止网络应用;不同用户的账户信息对应不同的权限级别。
在本步骤中,扫描装置可以使用超级管理员账户登录待扫描服务器,以检测网络应用是否存在Docker部署,如果存在,则可以使用“docker image-digests”命令,查询本地部署镜像清单,并遍历结果文本,因此,可以获取网络应用的安装文件和/或镜像文件进行扫描;如果不存在,则获取网络应用的安装文件进行扫描。
因此,本申请实施例基于账户信息验证是否具有获取镜像文件进行扫描的权限,提高了扫描网络应用的安全性。
在一种可能的设计中,所述扫描策略包括网络嗅探策略、进程扫描策略和文件扫描策略;所述文件扫描策略包括快速特征扫描策略、全面特征扫描策略和镜像文件扫描策略;因此,S201中基于提前定义的扫描策略扫描所述待检测文件中是否存在预定义特征对应多个步骤,所述预定义特征包括关键值特征和/或镜像特征;具体的,图3为本申请实施例提供的一种基于扫描策略扫描预定义特征的流程示意图,如图3所示,S201具体包括如下步骤:
S301、获取网络应用的待检测文件;所述待检测文件包括安装文件和/或镜像文件。
S302、基于网络嗅探策略,利用嗅探装置扫描所述安装文件中是否存在网络特征;所述网络特征包括以下至少一项:统一资源定位系统URL地址和超文本传输协议HTTP请求头。
S303、基于预定义的扫描范围,利用进程扫描策略扫描所述安装文件中是否存在进程特征;所述进程特征以下至少一项:包括进程路径和进程参数。
S304、当确定所述安装文件中存在网络特征或进程特征,则基于快速特征扫描策略扫描所述安装文件中是否存在第一文件特征,和/或基于镜像文件扫描策略扫描所述镜像文件中是否存在镜像特征;所述第一文件特征为文件目录;所述镜像特征包括以下至少一项:镜像标识号ID、摘要版本值、镜像名称和开放分类标签。
S305、当确定所述安装文件中不存在网络特征或进程特征,则基于全面特征扫描策略扫描所述安装文件中是否存在第二文件特征,和/或基于镜像文件扫描策略扫描所述镜像文件中是否存在镜像特征;所述第二文件特征包括多个组件特征。
本申请实施中,所述嗅探装置由探针和后台数据服务构成,所述探针部署于内网核心交换机等网络设备,具体的,所述嗅探装置基于网络嗅探策略嗅探内网流量中的典型特征编码(网络特征)并上报,数据服务接收嗅探装置的上报的数据并基于特定条件形成结果报告;所述特定条件用于指示目标关键值特征的类型、目标关键值特征的属性以及网络应用的配置信息等。
所述预定义的扫描范围可以指的是提前定义的扫描安装文件的范围,如扫描范围为服务器的地址;所述扫描范围基于关键值特征的属性确定,本申请实施例对此不作具体限定,如进程特征对应的属性包括但不限于有进程路径和进程参数等类别。
所述组件特征可以指的是多个文件特征的排列组合,如文件目录、文件的哈希值和文件名称等文件特征可以相互组合,所述组件特征可以基于网络应用的安装场景确定,本申请实施例对此不作具体限定,如安装场景1对应的组件特征为文件目录和文件的哈希值;安装场景2对应的组件特征为文件目录和文件名称;所述文件的哈希值为利用哈希算法计算得到的所述安装文件的哈希值。
示例性的,针对某个开源项目管理软件,可以依据策略定义装置配置的网络嗅探策略,利用嗅探装置对网络流量进行网络特征的匹配,针对开源项目管理软件的默认安装实例,可以扫描是否存在为特征的启动进程,针对开源项目管理软件的默认安装目录,可以扫描是否存在/opt/zbox对应的文件目录,这样可以快速发现典型特征路径和安装实例。
进一步的,当上述扫描中快速发现网络特征或进程特征后,可以快速根据其他三种扫描方式进行网络应用的全面综合扫描;即当基于网络嗅探策略扫描安装文件中存在网络特征后,则可以利用进程扫描策略扫描安装文件中是否存在进程特征以及基于快速特征扫描策略扫描安装文件中是否存在第一文件特征,可选的,还可以基于镜像文件扫描策略扫描镜像文件中是否存在镜像特征;当基于进程扫描策略扫描安装文件中存在进程特征后,则可以利用网络嗅探策略扫描安装文件中是否存在网络特征以及基于快速特征扫描策略扫描安装文件中是否存在第一文件特征,可选的,还可以基于镜像文件扫描策略扫描镜像文件中是否存在镜像特征。
可以理解的是,当确定安装文件中不存在网络特征或进程特征,则可以基于全面特征扫描策略扫描安装文件中是否存在第二文件特征,或基于镜像文件扫描策略扫描镜像文件中是否存在镜像特征,也还可以基于全面特征扫描策略扫描安装文件中是否存在第二文件特征,并基于镜像文件扫描策略扫描镜像文件中是否存在镜像特征。
需要说明的是,由于网络应用的网络流量扫描以及服务器进程扫描确定存在匹配的网络特征和进程特征,以确定网络应用为非法应用的扫描速度快,但准确性较低,还可能存在误报率,因此,需要对安装文件进行文件特征的扫描,若基于文件扫描策略确定存在文件特征,则可以准确的判断网络应用为非法应用;相应的,基于镜像文件扫描策略确定存在镜像特征,与基于文件扫描策略确定存在文件特征的作用是对等的,则在确定安装文件中存在网络特征和进程特征,可以基于文件扫描策略确定是否存在文件特征,也可以基于镜像文件扫描策略确定是否存在镜像特征,还可以基于文件扫描策略和镜像文件扫描策略同时使用确定,本申请实施例对此不作具体限定。
还需说明的是,在确定存在匹配的网络特征或进程特征后,利用文件扫描策略确定是否存在文件特征时,所使用的文件扫描策不同。
示例性的,如针对快速特征扫描策略,可以对具有典型特征的文件目录进行摸排,如开源项目管理软件的默认安装目录,可以快速扫描是否存在/opt/zbox对应的文件目录。
因此,本申请实施例基于网络嗅探策略、进程扫描策略和文件扫描策略对安装文件和镜像文件进行交叉补偿扫描,以确定是否存在匹配的特征,极大地提高了扫描检测的准确性。
在一种可能的设计中,基于全面特征扫描策略扫描所述安装文件中是否存在第二文件特征,包括:
获取所述网络应用的安装场景,基于所述安装场景确定所需扫描的组件特征的类型,并基于所述所需扫描的组件特征的类型确定第二文件特征;
基于全面特征扫描策略遍历所述安装文件,并确定所述安装文件中是否存在所述第二文件特征。
本申请实施例中,所述全面特征扫描策略用于对安装文件中的组件特征进行全面扫描,针对不同的安装场景,对应的所需扫描的组件特征的类型不同,如某个安装场景,只需对安装文件中文件目录和文件哈希值对应的特征进行扫描,其他文件特征不需要进行确定,且针对某些特殊安装场景,还需要基于多个组件特征进行确定,本申请实施例对此不作具体限定。
在本步骤中,全面特征扫描策略主要用于针对定制化安装,默认安装下的典型特征消失的场景,可以通过深入的文件目录遍历,以更多的组件特征来锁定目标实例。
因此,本申请实施例还可以基于全面特征扫描策略进行文件特征匹配,以确定网络应用是否为未授权网络应用,提高了安装场景进行扫描的灵活性。
在一种可能的设计中,所述目标特征包括目标关键值特征和目标镜像特征;当检测到所述待检测文件中存在目标特征之后,所述方法还包括:
针对所述镜像文件中与所述镜像特征相匹配的每个目标镜像特征,查询是否存在对应运行的容器;
当确定存在对应运行的容器,记录所述容器的标识号ID,并开放所述网络应用的端口,以供控制指令的接入。
在本步骤中,如果确定存在于配置匹配的摘要(V2)版本值或IMAGE-ID,以及镜像名称,tag标签等信息时,可以记录匹配该信息的镜像文件,并执行docker ps命令,即针对每个已匹配的镜像特征,查询是否存在实际运行的容器,如果存在,则可以记录容器命令ID“CONTAINER ID”,并开放端口“PORTS”等相关属性,供后续处置应用,如供控制指令的接入,以终止容器进程。
因此,本申请实施例可以基于Docker管理工具,在进行本地扫描的过程中,在对非法镜像进行扫描工作后,可以开放端口以进行容器进程终止和镜像文件的处置,可以确保网络应用和镜像文件被分开隔离处理,且不影响其他容器中运行的进程,提高企业内网的安全性。
在一种可能的设计中,将所述扫描结果进行可视化显示,包括:
获取网络应用的基础信息,所述基础信息包括商业名称、内部管控代码和主程序名称;
基于所述基础信息和所述扫描结果生成结果报告,并将所述结果报告以报表的形式进行可视化显示。
本申请实施例中,所述基础信息为用户在策略定义装置提前输入的网络应用的各项基础信息,可以包括应用商业名称,内部管控代码,主程序名称等信息,用于在生成结果报告时,反馈未授权网络应用的基础信息,以便用户精准定位和了解。
在本步骤中,企业自研管控系统可以根据网络应用的配置信息,基础信息,CMDB数据和扫描阶段所得出的网络特征,进程特征,文件特征的扫描结果生成集中的结果报告,并向系统反馈该结果报告,进一步的,系统将该结果报告以报表的形式进行可视化显示,以供操作人员进行分析,进而基于终端设备选择全部或特定的安装实例以处置策略进行处置;所述操作人员可以为运维人员,也可以为安装网络应用的用户,本申请实施例对此不作具体限定。
需要说明的是,系统也可以将结果报告其他的形式进行可视化显示,如图表或文字的形式,本申请实施例对结果报告的显示形式不作具体限定。
因此,本申请实施例可以生成网络应用的扫描报告,以供用户对网络应用进行充分地了解,进而确定适合该网络应用的处置策略,方便用户更快速地做出决策。
在一种可能的设计中,基于所述控制指令对所述网络应用进行处理,包括:
当所述目标处置策略为网络封锁策略,则基于所述控制指令控制所述网络应用的进程处于运行状态下,限制所述网络应用对网络流量的访问;
当所述目标处置策略为进程终止策略,则基于所述控制指令控制所述网络应用的进程处于终止状态;
当所述目标处置策略为文件删除和/或备份策略,则基于所述控制指令控制所述网络应用的文件目录进行清除和/或归档操作。
本申请实施例中,基于应用控制装置执行所述控制指令,以对网络应用进行处理;所述应用控制装置包括网络控制子装置、进程控制子装置、文件管理子装置等。
在本步骤中,执行人员可根据结果报告及业务策略,对已发现的非法安装文件,依据CMDB数据,基于终端设备向服务器发送控制指令;进一步的,当服务器接收该控制指令,可以通过网络控制子装置,在保证进程不停止的前提下,限制网络应用对网络流量的访问;也可以直接利用超级管理员权限和进程控制子装置,对指定进程进行终止操作;还可以直接利用超级管理员权限和文件管理子装置,对指定应用的文件目录进行归档和/或清除操作;或者,也还可以直接利用超级管理员权限和镜像命令,执行终止在运行容器实例,删除镜像等操作。
需要说明的是,服务器执行的具体操作与接收控制指令对应的处置策略有关,不同的 处置策略对应不同的控制指令,使得服务器对网络应用执行不同的处理操作,本申请实施例还可以对应有其他种类的处置策略,在此不进行具体限定。
因此,本申请实施例针对不同的处置策略,可以执行对网络应用的不同处理操作,可以处理多种网络应用,提高了处置的灵活性。
结合上述实施例,图4为本申请实施例提供的具体的网络应用检测方法的流程示意图,如图4所示,所述网络应用检测方法的整体流程分为配置阶段,扫描阶段,报告阶段和处置阶段,具体包括如下步骤:
步骤A:配置阶段,用户基于策略定义装置定义目标应用(网络应用)的各项基础信息、扫描类型、每个类型的特征值(关键值特征)以及处置策略、扫描范围或者扫描时间等内容,并将上述内容进行存储,在对网络应用进行检测时,可以直接调用。
步骤B:扫描阶段,基于网络流量嗅探装置和扫描装置对网络进行嗅探扫描,对服务器进程进行扫描,对文件系统进行扫描,得到初步扫描结果报告,所述初步扫描结果报告包括发现网络特征、进程特征、文件特征或镜像特征中任意一项对应的扫描结果;进而基于初步扫描结果报告进行交叉扫描。
步骤C:报告阶段,基于上述交叉扫描得到综合扫描结果报告。
步骤D:处置阶段,基于结果报告进行问题通知提醒,以提醒用户选择相应的处置策略,进而系统执行该处置策略,进行网络禁止、进程终止、文件删除/备份等操作。
可以理解的是,在高度重视应用版权的时代,在大型企业内部,如何有效治理非法应用侵权已经是合规部和网络运维部门的一个重点难题,由于历史原因或管理层面的不严格等现实情况,往往在某些场景下,非预期的非法安装可能发生在企业内网,但由于一些安全软件通用性的特点,很难达到定制的一站式专注解决内网非法安装的全部问题。
因此,本申请提供一种网络应用检测方法,以团队在排查企业内网的非法应用为契机,将整个处理过程进行归纳提升,研发了通用的一体化非法应用跟踪及终止装置,以应用典型特征为发现契机,最大化的利用了企业的各项监控和管理设施,从而一站式的为企业内服非法应用的侵权问题,提供了有效的解决方案。
需要说明的是,本申请增加了基于Docker镜像本地部署的配置,检测,记录、报告和处置操作,增加了对特定部署形式非法软件的排查能力。
在前述实施例中,对本申请实施例提供的网络应用检测方法进行了介绍,而为了实现上述本申请实施例提供的方法中的各功能,作为执行主体的电子设备可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
例如,图5为本申请实施例提供的网络应用检测装置的结构示意图,如图5所示,该装置包括:扫描模块501,生成模块502,可视化显示模块503和处理模块504;所述扫描模块501,用于获取网络应用的待检测文件,并基于提前定义的扫描策略扫描所述待检测文件中是否存在预定义特征;所述预定义特征为提前定义的用于指示待检测文件存在异常的多种类型特征;
所述生成模块502,用于当检测到所述待检测文件中存在目标特征,则获取所述网络应用的配置信息,并基于所述目标特征的类型、所述目标特征的属性和所述配置信息生成扫描结果;所述扫描结果用于指示存在未授权网络应用;
所述可视化显示模块503,用于将所述扫描结果进行可视化显示,以供用户基于所述扫描结果从多个处置策略中选择对应的目标处置策略;所述多个处置策略为提前配置好的用于处理未授权网络应用的业务策略;
所述处理模块504,用于接收所述目标处置策略,并基于所述目标处置策略生成控制指令,并基于所述控制指令对所述网络应用进行处理。
在一种可能的设计中,所述待检测文件包括安装文件和/或镜像文件;所述预定义特征包括关键值特征和/或镜像特征;所述扫描模块501包括获取单元和扫描单元;所述扫描单元,用于:
基于提前定义的扫描策略扫描所述安装文件中是否存在关键值特征,所述关键值特征包括网络特征、进程特征和文件特征;所述网络特征为提前定义的用于指示网络流量异常的特征;所述进程特征为提前定义的用于指示服务器进程异常的特征;所述文件特征为提前定义的用于指示文件目录异常的特征;
和/或,基于提前定义的扫描策略扫描所述镜像文件中是否存在镜像特征;所述镜像特征为提前定义的用于指示镜像清单异常的特征。
在一种可能的设计中,所述获取单元,用于:
获取网络应用所在服务器的账户信息,并基于所述账户信息进行权限验证;
当身份验证通过后,检测所述网络应用是否部署在应用容器引擎Docker;
若是,则获取网络应用的安装文件和/或镜像文件;
若否,则获取网络应用的安装文件。
在一种可能的设计中,所述扫描策略包括网络嗅探策略、进程扫描策略和文件扫描策略;所述文件扫描策略包括快速特征扫描策略、全面特征扫描策略和镜像文件扫描策略;所述扫描单元包括第一扫描单元、第二扫描单元、第三扫描单元和第四扫描单元;
具体的,所述第一扫描单元,用于基于网络嗅探策略,利用嗅探装置扫描所述安装文件中是否存在网络特征;所述网络特征包括以下至少一项:统一资源定位系统URL地址和超文本传输协议HTTP请求头;
所述第二扫描单元,用于基于预定义的扫描范围,利用进程扫描策略扫描所述安装文件中是否存在进程特征;所述进程特征包括以下至少一项:进程路径和进程参数;
所述第三扫描单元,用于当确定所述安装文件中存在网络特征或进程特征,则基于快速特征扫描策略扫描所述安装文件中是否存在第一文件特征,和/或基于镜像文件扫描策略扫描所述镜像文件中是否存在镜像特征;所述第一文件特征为文件目录;所述镜像特征包括以下至少一项:镜像标识号ID、摘要版本值、镜像名称和开放分类标签;
所述第四扫描单元,用于当确定所述安装文件中不存在网络特征或进程特征,则基于全面特征扫描策略扫描所述安装文件中是否存在第二文件特征,和/或基于镜像文件扫描策略扫描所述镜像文件中是否存在镜像特征;所述第二文件特征包括多个组件特征。
在一种可能的设计中,所述第四扫描单元,具体用于:
获取所述网络应用的安装场景,基于所述安装场景确定所需扫描的组件特征的类型,并基于所述所需扫描的组件特征的类型确定第二文件特征;
基于全面特征扫描策略遍历所述安装文件,并确定所述安装文件中是否存在所述第二文件特征。
在一种可能的设计中,所述目标特征包括目标关键值特征和目标镜像特征;所述装置还包括开放模块;所述开放模块,用于:
当检测到所述待检测文件中存在目标特征之后,针对所述镜像文件中与所述镜像特征相匹配的每个目标镜像特征,查询是否存在对应运行的容器;
当确定存在对应运行的容器,记录所述容器的标识号ID,并开放所述网络应用的端口,以供控制指令的接入。
在一种可能的设计中,所述可视化显示模块503,具体用于:
获取网络应用的基础信息,所述基础信息包括商业名称、内部管控代码和主程序名称;
基于所述基础信息和所述扫描结果生成结果报告,并将所述结果报告以报表的形式进行可视化显示。
在一种可能的设计中,所述处理模块504,具体用于:
当所述目标处置策略为网络封锁策略,则基于所述控制指令控制所述网络应用的进程处于运行状态下,限制所述网络应用对网络流量的访问;
当所述目标处置策略为进程终止策略,则基于所述控制指令控制所述网络应用的进程处于终止状态;
当所述目标处置策略为文件删除和/或备份策略,则基于所述控制指令控制所述网络应用的文件目录进行清除和/或归档操作。
本申请实施例提供的网络应用检测装置的具体实现原理和效果可以参见上述实施例对应的相关描述和效果,此处不做过多赘述。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。各模块可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上各模块的功能。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
图6为本申请实施例提供的电子设备的结构示意图。如图6所示,该电子设备可以包括:收发器601、处理器602、存储器603。
处理器602执行存储器存储的计算机执行指令,使得处理器602执行上述实施例中的方案。处理器602可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
存储器603通过系统总线与处理器602连接并完成相互间的通信,存储器603用于存储计算机程序指令。
收发器601可以用于接收网络应用的待检测文件以及处置策略。
系统总线可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,EISA)总线等。系统总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。收发器用于实现数据库访问装置与其他计算机(例如客户端、读写库和只读库)之间的通信。存储器可能包含随机存取存储器(RandomAccess Memory,RAM),也可能还包括非易失性存储器(Non-Volatile Memory,NVM)。
本申请实施例提供的电子设备,可以是上述实施例的企业自研管控系统。
本申请实施例还提供一种运行指令的芯片,该芯片用于执行上述实施例中网络应用检测方法的技术方案。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,当该计算机执行指令在计算机上运行时,使得计算机执行上述实施例中网络应用检测方法的技术方案。
本申请实施例还提供一种计算机程序产品,该计算机程序产品包括计算机程序,其存储在计算机可读存储介质中,至少一个处理器可以从计算机可读存储介质读取计算机程序,至少一个处理器执行计算机程序时可实现上述实施例中网络应用检测方法的技术方案。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述模块成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本申请各个实施例方法的部分步骤。
应理解,上述处理器可以是中央处理单元(Central Processing Unit,简称CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
总线可以是工业标准体系结构(Industry Standard Architecture,简称ISA)总线、外部设备互连(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
上述存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random-Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-OnlyMemory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific Integrated Circuits,简称ASIC)中。当然,处理器和存储介质也可以作为分立组件存在于电控单元或主控设备中。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (11)

1.一种网络应用检测方法,其特征在于,所述方法包括:
获取网络应用的待检测文件,所述待检测文件包括安装文件和或镜像文件;基于网络嗅探策略,利用嗅探装置扫描所述安装文件中是否存在网络特征,以及基于预定义的扫描范围,利用进程扫描策略扫描所述安装文件中是否存在进程特征;
当确定所述安装文件中存在网络特征或进程特征,则基于快速特征扫描策略扫描所述安装文件中是否存在第一文件特征,和/或基于镜像文件扫描策略扫描所述镜像文件中是否存在镜像特征;若是,则获取所述网络应用的配置信息和目标特征,基于所述目标特征的类型、所述目标特征的属性和所述配置信息生成扫描结果;所述第一文件特征为文件目录;
当确定所述安装文件中不存在网络特征或进程特征,则基于全面特征扫描策略扫描所述安装文件中是否存在第二文件特征,和/或基于镜像文件扫描策略扫描所述镜像文件中是否存在镜像特征;若是,则获取所述网络应用的配置信息和目标特征,基于所述目标特征的类型、所述目标特征的属性和所述配置信息生成扫描结果;所述第二文件特征包括多个组件特征;所述扫描结果用于指示存在未授权网络应用;
其中,所述网络特征为提前定义的用于指示网络流量异常的特征,所述进程特征为提前定义的用于指示服务器进程异常的特征,所述镜像特征为提前定义的用于指示镜像清单异常的特征,所述目标特征为与提前定义的特征相匹配的特征,所述目标特征包括目标关键值特征和目标镜像特征,所述目标关键值特征包括目标网络特征、目标进程特征和目标文件特征。
2.根据权利要求1所述的方法,其特征在于,文件特征包括第一文件特征和第二文件特征;所述文件特征为提前定义的用于指示文件目录异常的特征;所述网络特征包括以下至少一项:统一资源定位系统URL地址和超文本传输协议HTTP请求头;所述进程特征包括以下至少一项:进程路径和进程参数;所述镜像特征包括以下至少一项:镜像标识号ID、摘要版本值、镜像名称和开放分类标签。
3.根据权利要求1所述的方法,其特征在于,获取网络应用的待检测文件,包括:
获取网络应用所在服务器的账户信息,并基于所述账户信息进行权限验证;
当身份验证通过后,检测所述网络应用是否部署在应用容器引擎Docker;
若是,则获取网络应用的安装文件和/或镜像文件;
若否,则获取网络应用的安装文件。
4.根据权利要求1所述的方法,其特征在于,基于全面特征扫描策略扫描所述安装文件中是否存在第二文件特征,包括:
获取所述网络应用的安装场景,基于所述安装场景确定所需扫描的组件特征的类型,并基于所述所需扫描的组件特征的类型确定第二文件特征;
基于全面特征扫描策略遍历所述安装文件,并确定所述安装文件中是否存在所述第二文件特征。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
针对所述镜像文件中与所述镜像特征相匹配的每个目标镜像特征,查询是否存在对应运行的容器;
当确定存在对应运行的容器,记录所述容器的标识号ID,并开放所述网络应用的端口,以供控制指令的接入。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
将所述扫描结果进行可视化显示,以供用户基于所述扫描结果从多个处置策略中选择对应的目标处置策略;所述多个处置策略为提前配置好的用于处理未授权网络应用的业务策略;
接收所述目标处置策略,基于所述目标处置策略生成控制指令,并基于所述控制指令对所述网络应用进行处理。
7.根据权利要求6所述的方法,其特征在于,将所述扫描结果进行可视化显示,包括:
获取网络应用的基础信息,所述基础信息包括商业名称、内部管控代码和主程序名称;
基于所述基础信息和所述扫描结果生成结果报告,并将所述结果报告以报表的形式进行可视化显示。
8.根据权利要求6所述的方法,其特征在于,基于所述控制指令对所述网络应用进行处理,包括:
当所述目标处置策略为网络封锁策略,则基于所述控制指令控制所述网络应用的进程处于运行状态下,限制所述网络应用对网络流量的访问;
当所述目标处置策略为进程终止策略,则基于所述控制指令控制所述网络应用的进程处于终止状态;
当所述目标处置策略为文件删除和/或备份策略,则基于所述控制指令控制所述网络应用的文件目录进行清除和/或归档操作。
9.一种网络应用检测装置,其特征在于,所述装置包括:
扫描模块,用于获取网络应用的待检测文件,所述待检测文件包括安装文件和或镜像文件;基于网络嗅探策略,利用嗅探装置扫描所述安装文件中是否存在网络特征,以及基于预定义的扫描范围,利用进程扫描策略扫描所述安装文件中是否存在进程特征;
生成模块,用于当确定所述安装文件中存在网络特征或进程特征,则基于快速特征扫描策略扫描所述安装文件中是否存在第一文件特征,和/或基于镜像文件扫描策略扫描所述镜像文件中是否存在镜像特征;若是,则获取所述网络应用的配置信息和目标特征,基于所述目标特征的类型、所述目标特征的属性和所述配置信息生成扫描结果;所述第一文件特征为文件目录;
所述生成模块,还用于当确定所述安装文件中不存在网络特征或进程特征,则基于全面特征扫描策略扫描所述安装文件中是否存在第二文件特征,和/或基于镜像文件扫描策略扫描所述镜像文件中是否存在镜像特征;若是,则获取所述网络应用的配置信息和目标特征,基于所述目标特征的类型、所述目标特征的属性和所述配置信息生成扫描结果;所述第二文件特征包括多个组件特征;所述扫描结果用于指示存在未授权网络应用;
其中,所述网络特征为提前定义的用于指示网络流量异常的特征,所述进程特征为提前定义的用于指示服务器进程异常的特征,所述镜像特征为提前定义的用于指示镜像清单异常的特征,所述目标特征为与提前定义的特征相匹配的特征,所述目标特征包括目标关键值特征和目标镜像特征,所述目标关键值特征包括目标网络特征、目标进程特征和目标文件特征。
10.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-8中任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-8中任一项所述的方法。
CN202311433808.4A 2023-11-01 2023-11-01 网络应用检测方法、装置、设备、存储介质及程序产品 Active CN117150453B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311433808.4A CN117150453B (zh) 2023-11-01 2023-11-01 网络应用检测方法、装置、设备、存储介质及程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311433808.4A CN117150453B (zh) 2023-11-01 2023-11-01 网络应用检测方法、装置、设备、存储介质及程序产品

Publications (2)

Publication Number Publication Date
CN117150453A CN117150453A (zh) 2023-12-01
CN117150453B true CN117150453B (zh) 2024-02-02

Family

ID=88901241

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311433808.4A Active CN117150453B (zh) 2023-11-01 2023-11-01 网络应用检测方法、装置、设备、存储介质及程序产品

Country Status (1)

Country Link
CN (1) CN117150453B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110114382A (ko) * 2010-04-13 2011-10-19 계영티앤아이 (주) 비인가 소프트웨어 관리장치, 이에 의해 제어되는 사용자 단말 및 이의 관리방법
CN102272771A (zh) * 2008-12-31 2011-12-07 微软公司 恶意软件数据的共享储存库
CN104023034A (zh) * 2014-06-25 2014-09-03 武汉大学 一种基于软件定义网络的安全防御系统及防御方法
CN104462970A (zh) * 2014-12-17 2015-03-25 中国科学院软件研究所 一种基于进程通信的Android应用程序权限滥用检测方法
CN106254337A (zh) * 2016-07-29 2016-12-21 北京北信源软件股份有限公司 一种网络扫描方法及网络扫描系统
CN109981344A (zh) * 2019-02-19 2019-07-05 新华三技术有限公司 扫描方法、装置及网络转发设备
CN112738068A (zh) * 2020-12-25 2021-04-30 北京天融信网络安全技术有限公司 一种网络脆弱性扫描方法及装置
CN113746781A (zh) * 2020-05-28 2021-12-03 深信服科技股份有限公司 一种网络安全检测方法、装置、设备及可读存储介质
CN114629711A (zh) * 2022-03-21 2022-06-14 广东云智安信科技有限公司 一种针对Windows平台特种木马检测的方法及系统
CN115455414A (zh) * 2022-08-22 2022-12-09 浙江极氪智能科技有限公司 一种安全检测方法和装置
CN116204876A (zh) * 2022-09-10 2023-06-02 杭州华橙软件技术有限公司 异常检测方法、设备以及存储介质

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102272771A (zh) * 2008-12-31 2011-12-07 微软公司 恶意软件数据的共享储存库
KR20110114382A (ko) * 2010-04-13 2011-10-19 계영티앤아이 (주) 비인가 소프트웨어 관리장치, 이에 의해 제어되는 사용자 단말 및 이의 관리방법
CN104023034A (zh) * 2014-06-25 2014-09-03 武汉大学 一种基于软件定义网络的安全防御系统及防御方法
CN104462970A (zh) * 2014-12-17 2015-03-25 中国科学院软件研究所 一种基于进程通信的Android应用程序权限滥用检测方法
CN106254337A (zh) * 2016-07-29 2016-12-21 北京北信源软件股份有限公司 一种网络扫描方法及网络扫描系统
CN109981344A (zh) * 2019-02-19 2019-07-05 新华三技术有限公司 扫描方法、装置及网络转发设备
CN113746781A (zh) * 2020-05-28 2021-12-03 深信服科技股份有限公司 一种网络安全检测方法、装置、设备及可读存储介质
CN112738068A (zh) * 2020-12-25 2021-04-30 北京天融信网络安全技术有限公司 一种网络脆弱性扫描方法及装置
CN114629711A (zh) * 2022-03-21 2022-06-14 广东云智安信科技有限公司 一种针对Windows平台特种木马检测的方法及系统
CN115455414A (zh) * 2022-08-22 2022-12-09 浙江极氪智能科技有限公司 一种安全检测方法和装置
CN116204876A (zh) * 2022-09-10 2023-06-02 杭州华橙软件技术有限公司 异常检测方法、设备以及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
大数据环境下的微信息蜜罐监测;孙彬等;《湖南科技大学学报》;全文 *

Also Published As

Publication number Publication date
CN117150453A (zh) 2023-12-01

Similar Documents

Publication Publication Date Title
US11895125B2 (en) Method and system for forensic data tracking
US10154066B1 (en) Context-aware compromise assessment
US7752671B2 (en) Method and device for questioning a plurality of computerized devices
CN110889130B (zh) 基于数据库的细粒度数据加密方法、系统及装置
US20080183603A1 (en) Policy enforcement over heterogeneous assets
CN112800397A (zh) 一种数据资产保护方法、系统、电子设备及存储介质
CN112711770A (zh) 敏感行为阻断方法、装置、终端及存储介质
US11658996B2 (en) Historic data breach detection
CN117150453B (zh) 网络应用检测方法、装置、设备、存储介质及程序产品
US11611570B2 (en) Attack signature generation
US11582248B2 (en) Data breach protection
CN116578994B (zh) 数据安全的操作方法、计算机设备及计算机存储介质
KR101278317B1 (ko) 내용 기반 검색을 통한 파일 관리 장치 및 방법
WO2023160010A1 (zh) 安全检测方法、装置、电子设备和存储介质
WO2023249577A1 (en) Systems and methods for detection of advanced persistent threats in an information network
CN116305250A (zh) 基于数据防泄漏的打印管控方法、装置、电子设备和介质
CN118364489A (zh) 一种权限验证方法、装置、设备及存储介质
KR20240039505A (ko) 금융 환경에서 단말의 비정상 행위를 탐지하기 위한 보안분석방법 및 그 장치
CN118709177A (zh) 应用数据处理方法、装置、设备及存储介质
CN117951682A (zh) 应用进程检测处理方法、系统、装置和计算机设备
GB2569553A (en) Historic data breach detection
KR20190102937A (ko) 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant