JP2018503900A - 脆弱性走査方法及び装置 - Google Patents

脆弱性走査方法及び装置 Download PDF

Info

Publication number
JP2018503900A
JP2018503900A JP2017532916A JP2017532916A JP2018503900A JP 2018503900 A JP2018503900 A JP 2018503900A JP 2017532916 A JP2017532916 A JP 2017532916A JP 2017532916 A JP2017532916 A JP 2017532916A JP 2018503900 A JP2018503900 A JP 2018503900A
Authority
JP
Japan
Prior art keywords
network
vulnerability
client
message
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017532916A
Other languages
English (en)
Other versions
JP6411661B2 (ja
Inventor
瀛 李
瀛 李
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSFOCUS Information Technology Co Ltd
Nsfocus Technologies Inc
Original Assignee
NSFOCUS Information Technology Co Ltd
Nsfocus Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Nsfocus Technologies Inc filed Critical NSFOCUS Information Technology Co Ltd
Publication of JP2018503900A publication Critical patent/JP2018503900A/ja
Application granted granted Critical
Publication of JP6411661B2 publication Critical patent/JP6411661B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本発明の実施例は、脆弱性走査方法及び装置を提供する。当該方法は、逆方向走査プロキシモジュールにより、クライアントのメッセージを取得することと、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、又は、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送ることと、逆方向走査プロキシモジュールは、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新することとを備える。本発明の実施例においては、逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析してクライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティをテストすることができる。【選択図】図1

Description

本発明の実施例は、ネットワークセキュリティ分野に関し、特に脆弱性走査方法及び装置に関するものである。
コンピュータネットワークの進化に伴い、ネットワークセキュリティ技術も進化しつつある。サーバには、重大な脆弱性が存在すれば、ハッカーは、当該脆弱性によりサーバ又はクライアントの重要な情報を窃取するという恐ろしい結果を招いてしまうので、ネットワークセキュリティの重要性が益々顕著になっている。
従来技術では、主に脆弱性スキャナーでサーバの脆弱性を遠隔テストすることにより、ネットワークセキュリティを維持する。具体的には、脆弱性スキャナーは、クライアントとしてサーバに接続要求メッセージを送信し、サーバは、当該接続要求メッセージに応答し、応答メッセージを脆弱性スキャナーに送信し、脆弱性スキャナーは、当該応答メッセージに基づいてサーバに脆弱性が存在するか否かを分析する。
ネットワーク環境全体は、サーバを含む他に、サーバに接続するクライアントも含むが、従来技術では、サーバのセキュリティ問題だけを遠隔テストするので、ネットワーク環境全体のセキュリティをテストすることができない。
本発明の実施例は、ネットワーク環境全体のセキュリティをテストすることが可能な脆弱性走査方法及び装置を提供する。
本発明の実施例の第一の局面は、逆方向走査プロキシモジュールにより、クライアントのメッセージを取得することと、
前記逆方向走査プロキシモジュールは、前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、又は、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送ることと、
前記逆方向走査プロキシモジュールは、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新することとを備える脆弱性走査方法を提供する。
本発明の実施例のもう1つの局面は、クライアントのメッセージを取得するためのメッセージ取得モジュールと、
前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するための送信モジュール、又は、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送るためのメッセージ識別及び送信モジュールと、
前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するための受信制御モジュールとを備える逆方向走査プロキシモジュールを提供する。
本発明の実施例のもう1つの局面は、逆方向走査プロキシモジュールから送られたクライアントのメッセージを受信し、又は、逆方向走査プロキシモジュールから送られたクライアントの脆弱性を受信するための受信モジュールと、
前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するためのメッセージ識別モジュールと、
前記逆方向走査プロキシモジュールに制御コマンドを送ることにより、前記逆方向走査プロキシモジュールは、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するためのコマンド送信モジュールとを備える脆弱性スキャナーを提供する。
本発明の実施例のもう1つの局面は、前記逆方向走査プロキシモジュール及び前記脆弱性スキャナーを備える脆弱性走査システムを提供する。
本発明の実施例による脆弱性走査方法及び装置では、逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析してクライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティをテストすることができる。
本発明の実施例による脆弱性走査方法のフロー図である。 本発明の実施例によるネットワークトポロジー図である。 本発明の実施例による、ネットワーク欠陥情報を取得する方法のフロー図である。 本発明の実施例による逆方向走査プロキシモジュールの構成図である。 本発明のもう1つの実施例による逆方向走査プロキシモジュールの構成図である。 本発明のもう1つの実施例による逆方向走査プロキシモジュールの構成図である。 本発明の実施例による脆弱性スキャナーの構成図である。 本発明のもう1つの実施例による脆弱性スキャナーの構成図である。 本発明の実施例による脆弱性走査システムの構成図である。
図1は、本発明の実施例による脆弱性走査方法のフロー図である。図2は、本発明の実施例によるネットワークトポロジー図である。本発明の実施例による脆弱性走査方法の具体的なステップは、次の通りである。
ステップS101においては、逆方向走査プロキシモジュールによりクライアントのメッセージを取得する。
前記逆方向走査プロキシモジュールは、サーバにインストールされている。前記逆方向走査プロキシモジュールによりクライアントのメッセージを取得することは、前記逆方向走査プロキシモジュールにより、前記クライアントと前記サーバの対話のプロセスにおいて前記クライアントから送られた業務要求メッセージ及び応答メッセージを取得すること、又は、前記逆方向走査プロキシモジュールは、前記クライアントに仮想テストメッセージを送り、前記仮想テストメッセージに対する前記クライアントの返答メッセージを取得することを含む。
図2に示すように、サーバ管理側の同意があれば、サーバ22において逆方向走査プロキシモジュール23をインストールする。なお、逆方向走査プロキシモジュール23の動作方式は、ロスレス方式及び逆方向走査方式を含み、ロスレス方式とは、サーバ22とクライアント24の対話のプロセスにおいて、逆方向走査プロキシモジュール23によりクライアント24から送られた業務要求メッセージ及び応答メッセージを取得することを意味し、逆方向走査方式とは、逆方向走査プロキシモジュール23により仮想テストメッセージを作り、クライアント24に当該仮想テストメッセージを送り、当該仮想テストメッセージに対するクライアント24の返答メッセージを取得することを意味する。
ステップS102においては、前記逆方向走査プロキシモジュールにより前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、又は、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送る。
サーバ22における逆方向走査プロキシモジュール23は、プロキシモード及び常駐モードとの2つの動作モードを更に有する。プロキシモードとは、逆方向走査プロキシモジュール23によって、取得したクライアント24からのメッセージを直接に脆弱性スキャナー21に送り、脆弱性スキャナー21によりクライアント24からのメッセージを分析することを意味し、常駐モードとは、逆方向走査プロキシモジュール23によって、取得したクライアント24からのメッセージを分析して中間処理結果を取得し、当該中間処理結果を脆弱性スキャナー21に送ることを意味する。
ステップS103においては、前記逆方向走査プロキシモジュールは、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新する。
脆弱性スキャナー21は、逆方向走査プロキシモジュール23に制御コマンドを送ることにより、逆方向走査プロキシモジュール23に対する制御を実現する。具体的には、逆方向走査プロキシモジュール23は、制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新する。
本発明の実施例では、逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析することにより、クライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティをテストすることができる。
上述した実施例をもとに、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別することは、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別することを含む。
本発明の実施例においては、前記逆方向走査プロキシモジュール23の何れか1つの動作方式と何れか1つの動作モードとの合わせによりクライアント24から送られたメッセージを取得し、当該メッセージに対して分析処理を行う。前記クライアントから送られたメッセージに基づいて前記クライアントの脆弱性を識別する実行主体は、サーバ22又は脆弱性スキャナー21であっても良い。具体的な識別方法は、次のことを含む:1)前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別する、2)前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別する。
方法1)の場合、クライアント24から送られた業務要求メッセージのUser−Agentフィールドの内容は、Mozilla/5.0 (X11; Ubuntu; Linux(登録商標)x86_64; rv:24.0) Gecko/20100101 Firefox/24.0であり、又は、Mozilla/5.0 (Windows NT 6.0; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0であり、又は、Opera/9.80 (Windows NT 6.1; U; es−ES) Presto/2.9.181 Version/12.00である場合、当該フィールドによりクライアント24に用いられるブラウザのバージョン、ブラウザの規格、クライアント24のオペレーションシステムの種類等の情報を分析することができ、業界の周知の脆弱性データベースの中の脆弱性特性情報と、当該User−Agentフィールドから分析して得られた対応情報とをマッチングすることにより、当該クライアント24に脆弱性が存在している否かを判定する。
従来の脆弱性データベースにおいては、異なる情報に関連する脆弱性の密接程度、脆弱性の数を優先順位として、データを検索し、例えば、まずは、ブラウザのバージョンを検索することにより、クライアント24に次のような脆弱性が存在しうると判定する:
Mozilla Firefox/Thunderbird/SeaMonkeyブラウザエンジン内部メモリ安全上脆弱性(CVE−2013−5609)、
Mozilla Firefox/Thunderbird/SeaMonkeyブラウザエンジン内部メモリ安全上脆弱性(CVE−2013−5610)。
更に、OSバージョンを検索することにより、クライアントに次のような脆弱性が存在しうると判定する:
Windowsカーネル情報開示脆弱性(MS13−048)、Microsoft windows LPC及びLPCポートサービス拒否脆弱性。
また、本発明の実施例においては、User−Agentフィールドを検出することに限られるわけではなく、クライアント24から送られたメッセージのうちの他のフィールドを検出しても良い。
方法2)の場合、既存の脆弱性の種類については、特定要求時の代表的なメッセージフォーマット及び対話シーケンスを予め記憶し、例えば、Opera Webブラウザの複数の不正なHTMLの分析サービス拒否脆弱性に対しては、逆方向走査プロキシモジュールは、予め当該脆弱性の代表的なメッセージ又はシーケンスを記憶し、具体的には、不正な要求メッセージであり、得られたクライアントのメッセージを、当該不正な要求メッセージとマッチングしても良く、逆方向走査プロキシモジュールは、逆方向走査方式でクライアントに仮想テストメッセージを送り、クライアントから当該不正な要求メッセージを戻すか否かを検出する。正確率を保証するために、複数回でマッチングした後に、クライアントのブラウザにこのような脆弱性が存在していると判定しても良い。異なる脆弱性の代表的なメッセージ又はシーケンス特性に関しては、具体的に定義しても良い。
本発明の実施例は、クライアントの脆弱性を識別するための2つの方法を提供する。
図3は、本発明の実施例による、ネットワーク欠陥情報を取得する方法のフロー図である。上述した実施例をもとに、前記逆方向走査プロキシモジュール又は前記脆弱性スキャナーは、前記サーバの脆弱性を取得すること、及び、前記逆方向走査プロキシモジュール又は前記脆弱性スキャナーは、前記サーバの脆弱性と前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得することを更に含む。
前記ネットワーク欠陥情報は、ネットワーク欠陥密度及びネットワークセキュリティレベルを含む。前記サーバの脆弱性と前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得することは、次のステップを備える。
ステップS301においては、少なくとも1種類の第一の分類ルールに基づいて前記サーバの脆弱性と前記クライアントの脆弱性に対して分類してネットワーク欠陥タイプ集合を取得する。なお、前記ネットワーク欠陥タイプ集合は、少なくとも1種類のネットワーク欠陥を含む。
上述した少なくとも1種類の第一の分類ルールに基づいて前記サーバの脆弱性と前記クライアントの脆弱性に対して分類してネットワーク欠陥タイプ集合を取得することは、次のことを含む:上述した少なくとも1種類の第一の分類ルールのうちのm種類目の第一の分類ルールに基づいて前記サーバの脆弱性及び前記クライアントの脆弱性を、n種類のネットワーク欠陥からなる第一の集合

(m≧1,n≧1)に分類し、

は、m種類目の第一の分類ルールに基づいて前記脆弱性を分類した後に得られた

種類目のネットワーク欠陥を示し、


に関して、
を満たす。前記第一の分類ルールのうち、前記脆弱性をネットワーク欠陥としてN種類以下に分類する第一の目標分類ルールを特定し、前記第一の目標分類ルールにより前記脆弱性を分類して得られた第一の集合は、前記ネットワーク欠陥タイプ集合

を構成し、なお、

は、nのマップ関数であり、前記脆弱性をn≦N類のネットワーク欠陥に分類する第一の目標分類ルールを示し、

は、前記脆弱性をn≦N類のネットワーク欠陥に分類する集合を示す。
当該ステップにおける前記脆弱性は、サーバ22とクライアント24の脆弱性の集合を指す。前記脆弱性に対して分類する際には、基づいた分類ルールは、第一の分類ルールであり、且つ第一の分類ルールは複数あり、当該第一の分類ルールのうち、m種類目の第一の分類ルールに基づいて前記脆弱性をn類のネットワーク欠陥からなる第一の集合

(m≧1,n≧1)に分類する場合、

は、前記m種類目の第一の分類ルールに基づいて前記脆弱性を分類して得られた

類目のネットワーク欠陥を示し、

且つ

については、
を満たす。各種類の第一の分類ルールに基づいて前記脆弱性を分類した後に、n類のネットワーク欠陥が得られるとは限らず、nは、1つのランダム値であり、m種類目の第一の分類ルール以外の第一の分類ルールに基づいて前記脆弱性を分類した後に得られたネットワーク欠陥は、nより大きい可能性もあり、nより小さい可能性もあり、nに等しい可能性もある。Nをネットワーク欠陥タイプ数の閾値とし、当該第一の分類ルールのうち、前記脆弱性をN種類以下のネットワーク欠陥に分類する第一の目標分類ルールを選出し、前記第一の目標分類ルールにより前記脆弱性を分類して得られた第一の集合は、前記ネットワーク欠陥タイプの集合

を構成し、なお、

は、nのマップ関数であり、前記脆弱性をn≦N類のネットワーク欠陥に分類する第一の目標分類ルールを示し、

は、前記脆弱性をn≦N類のネットワーク欠陥に分類する集合を示す。
ステップS302においては、少なくとも1種類の第二の分類ルールに基づいて前記サーバ及び前記クライアントからなるネットワーク領域に対して分類してネットワークサブ領域集合を取得し、前記ネットワークサブ領域集合は、少なくとも1つのネットワークサブ領域を含む。
少なくとも1種類の第二の分類ルールに基づいて前記サーバ及び前記クライアントからなるネットワーク領域に対して分類してネットワークサブ領域集合を取得することは、次のことを含む:前記少なくとも1種類の第二の分類ルールのうち、t種類目の第二の分類ルールに基づいて前記ネットワーク領域を第二の集合

に分類し、t≧1、S≧1、

は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られたs+1番目のネットワークサブ領域を示し、

、且つ

については、
を満たす。
T個の第二の分類ルールのそれぞれを用いて前記ネットワーク領域を分類した後に得られた第二の集合は、前記ネットワークサブ集合

を構成し、

は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られた前記ネットワークサブ領域の数を示す。
当該ステップのネットワーク領域は、サーバ及びクライアントからなるネットワーク領域を指し、第二の分類ルールに基づいてネットワーク領域を分類し、第二の分類ルールのうち、t種類目の第二の分類ルールに基づいて前記ネットワーク領域を第二の集合

に分類し、t≧1、S≧1、

は、t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られたs+1番目のネットワークサブ領域を示し、

且つ

については、
を満たす。仮にt種類目の第二の分類ルールは、クライアントのブラウザ種類であれば、

は、クライアントのブラウザ種類がIEブラウザであるネットワークサブ領域を示し、
は、クライアントのブラウザ種類がFire Foxであるネットワークサブ領域を示し、
は、クライアントのブラウザ種類がOperaであるネットワークサブ領域を示し、


は、クライアントのブラウザ種類がSougo browserであるネットワークサブ領域を示し、異なる第二の分類ルールに基づいてネットワーク領域を分類した後に得られた第二の集合が違う。本発明の実施例においては、それぞれの第二の分類ルールに基づいてネットワーク領域を分類した後に得られた第二の集合は、前記ネットワークサブ領域集合

を構成し、

は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られた前記ネットワークサブ領域の数を示す。
ステップS303においては、前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得する。前記ネットワーク欠陥密度は、ネットワークサブ領域内のネットワーク欠陥密度及びネットワークサブ領域内の設備欠陥密度を含む。ネットワークサブ領域内のネットワーク欠陥密度は、特定ネットワークサブ領域内のある1種類のネットワーク欠陥の密度を示し、ネットワークサブ領域内の設備欠陥密度は、特定ネットワークサブ領域においてある1種類のネットワーク欠陥が存在するクライアントの数を示し、即ち、ネットワークサブ領域内のネットワーク欠陥密度及びネットワークサブ領域内の設備欠陥密度は、2つの角度からネットワーク欠陥密度を評価する量である。
前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得することは、次のことを含む:前記ネットワーク欠陥タイプ集合

及びネットワークサブ領域集合

に基づいて前記ネットワークサブ領域内のネットワーク欠陥密度

を取得し、なお、



は、

範囲内に

を選び出すのに用いられ、

は、

の数を算出するのに用いられる。
前記ネットワーク欠陥タイプ集合

及び前記ネットワークサブ領域集合

に基づいて前記ネットワークサブ領域内の設備欠陥密度

を取得し、なお、



は、

範囲内に

を選び出すのに用いられ、

は、

の数を算出するのに用いられる。
ステップS304においては、前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得する。前記ネットワークセキュリティレベルは、第一のネットワークセキュリティレベル及び第二のネットワークセキュリティレベルを含む。
ネットワーク欠陥密度が大きければ、大きいほど、当該ネットワークサブ領域のネットワークセキュリティレベルが低くなるが、ネットワーク欠陥密度が小さければ、小さいほど、当該ネットワークサブ領域のネットワークセキュリティレベルが高くなる。ステップS303は、ネットワーク欠陥密度を評価する2つの方式を含むので、対応するネットワークセキュリティレベルも第一のネットワークセキュリティレベル及び第二のネットワークセキュリティレベルとの2つの方式を有する。具体的に、第一のネットワークセキュリティレベルは、ネットワークサブ領域内のネットワーク欠陥密度に対応し、第二のネットワークセキュリティレベルは、ネットワークサブ領域内の設備欠陥密度に対応し、第一のネットワークセキュリティレベル及び第二のネットワークセキュリティレベルも2つの角度からネットワークセキュリティレベルを評価する量である。
前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得することは、次のことを含む:前記ネットワークサブ領域内のネットワーク欠陥密度

に基づいて前記第一のネットワークセキュリティレベル

を取得し、なお、


は、

の単調減少関数である。
前記ネットワークサブ領域内の設備欠陥密度

に基づいて前記第二のネットワークセキュリティレベル

を取得し、なお、


は、

の単調減少関数である。
本発明の実施例においては、異なる第一の分類ルールに基づいてサーバ及びクライアントの脆弱性を分類してネットワーク欠陥タイプ集合を取得し、異なる第二の分類ルールに基づいてサーバ及びクライアントからなるネットワーク領域を分類してネットワークサブ領域集合を取得し、前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得し、前記ネットワーク欠陥密度に基づいてネットワークセキュリティ密度を取得し、ネットワークセキュリティレベルについて定量的表現を実現した。
上述した実施例をもとに、前記

は、

であり、前記

は、

であり、なお、

は、定数である。
ネットワーク欠陥密度が大きければ、大きいほど、ネットワークサブ領域のネットワークセキュリティレベルが低くなるが、ネットワーク欠陥密度が小さければ、小さいほど、ネットワークサブ領域のネットワークセキュリティレベルが高くなり、即ち、ネットワークセキュリティレベルとネットワーク欠陥密度が逆比例である。上述した実施例においては、単調減少関数
及び
は、ネットワークセキュリティレベルとネットワーク欠陥密度の関係を示しているが、本発明の実施例においては、

及び

を用いて単調減少関数
及び

を示すことが好ましく、なお、

は定数である。
前記ネットワーク欠陥情報は、ネットワーク欠陥密度分布及びネットワークセキュリティレベル分布を更に含み、ネットワーク欠陥密度分布は、前記ネットワークサブ領域内のネットワーク欠陥密度の分布関数及び前記ネットワークサブ領域内の設備欠陥密度の分布関数を含み、前記ネットワークセキュリティレベル分布は、前記第一のネットワークセキュリティレベルの分布及び前記第二のネットワークセキュリティレベルの分布を含む。なお、前記ネットワークサブ領域内のネットワーク欠陥密度の分布関数は、

であり、前記ネットワークサブ領域内の設備欠陥密度の分布関数は、

であり、前記第一のネットワークセキュリティレベルの分布は、

であり、前記第二のネットワークセキュリティレベルの分布は、

である。
上述した実施例においては、第一のネットワークセキュリティレベル及び第二のネットワークセキュリティレベルによりネットワークのセキュリティを示しているが、本発明の実施例においては、第一のネットワークセキュリティレベルの分布及び第二のネットワークセキュリティレベルの分布によりネットワークのセキュリティを示す。
本発明の実施例においては、ネットワークセキュリティレベルとネットワーク欠陥密度の関係を具体的に示していると同時に、ネットワークセキュリティレベルの分布でネットワークセキュリティを判定する方式を加えた。
図4は、本発明の実施例による逆方向走査プロキシモジュールの構成図である。図5は、本発明のもう1つの実施例による逆方向走査プロキシモジュールの構成図である。図6は、本発明のもう1つの実施例による逆方向走査プロキシモジュールの構成図である。本発明の実施例による逆方向走査プロキシモジュールは、脆弱性走査方法の実施例による処理の流れを行うことができる。図4、図5に示すように、逆方向走査プロキシモジュール23は、メッセージ取得モジュール231と、送信モジュール232又はメッセージ識別及び送信モジュール233と、受信制御モジュール235とを備える。なお、メッセージ取得モジュール231は、クライアントのメッセージを取得するために用いられ、送信モジュール232は、前記脆弱性スキャナーが前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するように、前記クライアントのメッセージを脆弱性スキャナーに送るために用いられ、メッセージ識別及び送信モジュール233は、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送るために用いられ、受信制御モジュール235は、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するために用いられる。
前記逆方向走査プロキシモジュール23は、サーバにインストールされ、前記メッセージ取得モジュール231は、前記クライアントと前記サーバの対話のプロセスにおいて前記クライアントから送られた業務要求メッセージ及び応答メッセージを取得し、又は、前記送信モジュール232は、前記クライアントに仮想テストメッセージを送るために用いられ、前記メッセージ取得モジュール231は、具体的には、前記仮想テストメッセージに対する前記クライアントの返答メッセージを取得するために用いられる。
前記メッセージ識別及び送信モジュール233は、具体的には、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別する。
前記メッセージ取得モジュール231は、前記サーバの脆弱性を取得するためにも用いられる。図6に示すように、前記逆方向走査プロキシモジュール23は、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得するための第一のネットワーク欠陥分析モジュール234を更に備える。
本発明の実施例においては、逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析してクライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティテストを実現することができる。
図7は、本発明の実施例による脆弱性スキャナーの構成図である。図8は、本発明のもう1つの実施例による脆弱性スキャナーの構成図である。本発明の実施例による脆弱性スキャナーは、脆弱性走査方法の実施例による処理の流れを行うことができる。図7に示すように、脆弱性スキャナー21は、受信モジュール211と、メッセージ識別モジュール212と、コマンド送信モジュール214とを備える。なお、受信モジュール211は、逆方向走査プロキシモジュールから送られたクライアントのメッセージを受信するために用いられ、又は、逆方向走査プロキシモジュールから送られたクライアントの脆弱性を受信するために用いられ、メッセージ識別モジュール212は、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するために用いられ、コマンド送信モジュール214は、前記逆方向走査プロキシモジュールに制御コマンドを送ることで、前記逆方向走査プロキシモジュールは、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するために用いられる。
前記メッセージ識別モジュール212は、具体的には、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別する。
前記受信モジュール211は、サーバの脆弱性を取得するためにも用いられ、図8に示すように、脆弱性スキャナー21は、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得するための第二のネットワーク欠陥分析モジュール213を更に備える。
本発明の実施例においては、逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析してクライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティテストを実現することができる。
図9は、本発明のもう1つの実施例による脆弱性走査システムの構成図である。本発明の実施例による脆弱性走査システムは、脆弱性走査方法の実施例による処理の流れを行うことができる。図9に示すように、脆弱性走査システム90は、逆方向走査プロキシモジュール23及び脆弱性スキャナー21を備える。
本発明の実施例による脆弱性走査システムは、脆弱性走査方法の実施例による処理の流れを行うことができる。
上述した内容を総括すれば、次の通りである:逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析してクライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティテストを実現することができる。また、異なる第一の分類ルールに基づいてサーバ及びクライアントの脆弱性を分類してネットワーク欠陥タイプ集合を取得し、異なる第二の分類ルールに基づいてサーバ及びクライアントからなるネットワーク領域を分類してネットワークサブ領域集合を取得し、前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得し、前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得し、ネットワークセキュリティレベルについて定量的表現を実現した。ネットワークセキュリティレベルとネットワーク欠陥密度の関係を具体的に限定すると同時に、ネットワークセキュリティレベルの分布でネットワークセキュリティを判定する方式を加えた。
本発明による幾つかの実施例に記載の装置及び方法は、他の方式で実現することができると理解されたい。例えば、上述した装置の実施例は、例に過ぎず、例えば、前記ユニットの分類は、ロジック機能分類に過ぎず、実際は、他の分類方式で実現することができ、例えば、複数のユニット又は部材を組み合わせる又は他の1つのシステムに集積しても良く、ある特徴を無視しても良く、実行しなくても良い。また、表示又は検討される互いのカップリング又は直接的カップリング又は通信接続は、幾つかのインターフェースによっても良く、装置又はユニットの間接的カップリング又は通信接続は、電気的、機械的又は他の方式でも良い。
隔離部材として説明されたユニットは、物理的に離れても良く、離れなくても良い。ユニットとして表示する部材は、物理的なユニットであっても良く、ではなくても良く、即ち、1つの場所に位置しても良く、複数のネットワークユニットに分布しても良い。実際の必要に応じてそのうちの一部又はユニット全体を選択して本実施例による技術案の目的を実現することができる。
また、本発明の各実施例におけるそれぞれの機能ユニットは、1つの処理ユニットに集積しても良く、各ユニットは、単独で物理的に存在しても良く、2つ又は二つ以上のユニットを1つのユニットに集積しても良い。上述した集積ユニットは、ハードウエアの形で実現しても良く、ハードウエア及びソフトウエアの機能ユニットの形で実現しても良い。
上述したソフトウエアの機能ユニットの形で実現した集積ユニットは、1つのコンピュータ読み取り可能な記録媒体に記憶しても良い。上述したソフトウエアの機能ユニットを1つの記録媒体に記憶することは、一台のコンピュータ設備(パーソナルコンピュータ、サーバ又はネットワーク設備等であっても良い)又は処理装置(Processor)により本発明の各実施例による前記方法の一部のステップを実行するための若干のコマンドを含む。前述した記録媒体は、Uディスク、移動ハードウエア、リードオンリーメモリ(Read−Only Memory,ROM)、ランダムアクセスメモリ(Random Access Memory、RAM)、磁気ディスク又は光ディスク等の様々なプログラムコードを記憶することが可能な媒体を含む。
説明の便宜上、上述した各機能モジュールの分類を例として説明したが、当業者は、実際の応用においては、必要に応じて上述した機能を異なる機能モジュールに分担させて完成すること、即ち、装置の内部構成を異なる機能モジュールに分けられ、上記のすべてまたは一部の機能を実現することができると明らかに分かっている。上記の装置の具体的な動作プロセスについては、前記方法の実施例における対応するプロセスを参考することができるので、ここで繰り返して説明しない。
最後に説明すべき内容は、次の通りである:上述した各実施例は、本発明の技術案を説明する時だけに用いられ、本発明を制限しない。上述した各実施例を参考して本発明を詳しく説明したが、当業者は、依然として上述した各実施例に記載の技術案を変更し、又はそのうちの一部又は全部の技術的特徴に対して等価置換を行って良い。なお、相応する技術案の本質は、これらの変更又は置換により、本発明の各実施例の技術案の範囲から逸脱しなければ、本発明の特許請求の範囲に属する。

Claims (19)

  1. 逆方向走査プロキシモジュールにより、クライアントのメッセージを取得することと、
    前記逆方向走査プロキシモジュールは、前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、又は、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送ることと、
    前記逆方向走査プロキシモジュールは、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新することとを備えることを特徴とする脆弱性走査方法。
  2. 逆方向走査プロキシモジュールは、サーバにインストールされており、
    前記逆方向走査プロキシモジュールにより、クライアントのメッセージを取得することは、
    前記逆方向走査プロキシモジュールにより、前記クライアントと前記サーバの対話のプロセスにおいて前記クライアントから送られた業務要求メッセージ及び応答メッセージを取得すること、又は、
    前記逆方向走査プロキシモジュールは、前記クライアントに仮想テストメッセージを送り、前記仮想テストメッセージに対する前記クライアントの返答メッセージを取得することを含むことを特徴とする請求項1に記載の方法。
  3. 前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別することは、
    前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、
    前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別することを含むことを特徴とする請求項2に記載の方法。
  4. 前記逆方向走査プロキシモジュール又は前記脆弱性スキャナーにより、前記サーバの脆弱性を取得することと、
    前記逆方向走査プロキシモジュール又は前記脆弱性スキャナーは、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得することとを更に備えることを特徴とする請求項1〜3の何れか1つに記載の方法。
  5. 前記ネットワーク欠陥情報は、ネットワーク欠陥密度及びネットワークセキュリティレベルを含み、
    前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得することは、
    少なくとも1種類の第一の分類ルールに基づいて前記サーバの脆弱性と前記クライアントの脆弱性に対して分類してネットワーク欠陥タイプ集合を取得し、前記ネットワーク欠陥タイプ集合は、少なくとも1種類のネットワーク欠陥を含むことと、
    少なくとも1種類の第二の分類ルールに基づいて前記サーバ及び前記クライアントからなるネットワーク領域に対して分類してネットワークサブ領域集合を取得し、前記ネットワークサブ領域集合は、少なくとも1つのネットワークサブ領域を含むことと、
    前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得することと、
    前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得することとを備えることを特徴とする請求項4に記載の方法。
  6. 少なくとも1種類の第一の分類ルールに基づいて前記サーバの脆弱性と前記クライアントの脆弱性に対して分類してネットワーク欠陥タイプ集合を取得することは、
    上述した少なくとも1種類の第一の分類ルールのうち、m種類目の第一の分類ルールに基づいて前記サーバの脆弱性及び前記クライアントの脆弱性を、n種類のネットワーク欠陥からなる第一の集合

    に分類し、m≧1、n≧1、

    は、m種類目の第一の分類ルールに基づいて前記脆弱性を分類した後に得られた

    種類目のネットワーク欠陥を示し、

    且つ

    については、
    を満たすことと、
    前記第一の分類ルールのうち、前記脆弱性をN種類以下のネットワーク欠陥に分類する第一の目標分類ルールを決め、前記第一の目標分類ルールにより前記脆弱性を分類して得られた第一の集合は、前記ネットワーク欠陥タイプ集合

    を構成し、なお、

    は、nのマップ関数であり、前記脆弱性をn≦N類のネットワーク欠陥に分類する第一の目標分類ルールを示し、

    は、前記脆弱性をn≦N類のネットワーク欠陥に分類する集合を示すこととを備えることを特徴とする請求項5に記載の方法。
  7. 少なくとも1種類の第二の分類ルールに基づいて前記サーバ及び前記クライアントからなるネットワーク領域に対して分類してネットワークサブ領域集合を取得することは、
    前記少なくとも1種類の第二の分類ルールのうち、t種類目の第二の分類ルールに基づいて前記ネットワーク領域を第二の集合

    に分類し、t≧1、S≧1、

    は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られたs+1番目のネットワークサブ領域を示し、

    且つ

    については、
    を満たすことと、
    T個の第二の分類ルールのそれぞれを用いて前記ネットワーク領域を分類した後に得られた第二の集合は、前記ネットワークサブ集合

    を構成し、

    は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られた前記ネットワークサブ領域の数を示すこととを備えることを特徴とする請求項5に記載の方法。
  8. 前記ネットワーク欠陥密度は、ネットワークサブ領域内のネットワーク欠陥密度及びネットワークサブ領域内の設備欠陥密度を備え、
    前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合によりネットワーク欠陥密度を取得することは、前記ネットワーク欠陥タイプ集合

    及び前記ネットワークサブ領域集合

    に基づいて前記ネットワークサブ領域内のネットワーク欠陥密度

    を取得し、なお、

    を満たし、

    は、

    範囲内に

    を選び出すのに用いられ、

    は、

    の数を算出するのに用いられることと、
    前記ネットワーク欠陥タイプ集合

    及びネットワークサブ領域集合

    に基づいて前記ネットワークサブ領域内の設備欠陥密度

    を取得し、なお、



    は、

    範囲内に

    を選び出すのに用いられ、

    は、

    の数を算出するのに用いられることとを備えることを特徴とする請求項6又は7に記載の方法。
  9. 前記ネットワークセキュリティレベルは、第一のネットワークセキュリティレベル及び第二のネットワークセキュリティレベルを備え、
    前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得することは、
    前記ネットワークサブ領域内のネットワーク欠陥密度

    に基づいて前記第一のネットワークセキュリティレベル

    を取得し、なお、


    は、

    の単調減少関数であることと、
    前記ネットワークサブ領域内の設備欠陥密度

    に基づいて前記第二のネットワークセキュリティレベル

    を取得し、なお、


    は、

    の単調減少関数であることとを備えることを特徴とする請求項8に記載の方法。
  10. 前記

    は、

    であり、前記

    は、

    であり、

    は、定数であることを特徴とする請求項9に記載の方法。
  11. 前記ネットワーク欠陥情報は、ネットワーク欠陥密度分布及びネットワークセキュリティレベル分布を更に含み、前記ネットワーク欠陥密度分布は、前記ネットワークサブ領域内のネットワーク欠陥密度の分布関数及び前記ネットワークサブ領域内の設備欠陥密度の分布関数を含み、前記ネットワークセキュリティレベル分布は、前記第一のネットワークセキュリティレベルの分布及び前記第二のネットワークセキュリティレベルの分布を含み、
    前記ネットワークサブ領域内のネットワーク欠陥密度の分布関数は、

    であり、前記ネットワークサブ領域内の設備欠陥密度の分布関数は、

    であり、
    前記第一のネットワークセキュリティレベルの分布は、

    であり、前記第二のネットワークセキュリティレベルの分布は、

    であることを特徴とする請求項9又は10に記載の方法。
  12. クライアントのメッセージを取得するためのメッセージ取得モジュールと、
    前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するための送信モジュール、又は、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送るためのメッセージ識別及び送信モジュールと、
    前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するための受信制御モジュールとを備えることを特徴とする逆方向走査プロキシモジュール。
  13. サーバにインストールされており、
    前記メッセージ取得モジュールは、具体的には、前記クライアントと前記サーバの対話のプロセスにおいて前記クライアントから送られた業務要求メッセージ及び応答メッセージを取得し、又は、
    前記送信モジュールは、前記クライアントに仮想テストメッセージを送るためにも用いられ、前記メッセージ取得モジュールは、具体的には、前記仮想テストメッセージに対する前記クライアントの返答メッセージを取得するために用いられることを特徴とする請求項12に記載の逆方向走査プロキシモジュール。
  14. 前記メッセージ識別及び送信モジュールは、具体的には、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別することを特徴とする請求項13に記載の逆方向走査プロキシモジュール。
  15. 前記メッセージ取得モジュールは、前記サーバの脆弱性を取得するためにも用いられ、
    前記逆方向走査プロキシモジュールは、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得するための第一のネットワーク欠陥分析モジュールを更に備えることを特徴とする請求項14に記載の逆方向走査プロキシモジュール。
  16. 逆方向走査プロキシモジュールから送られたクライアントのメッセージを受信し、又は、逆方向走査プロキシモジュールから送られたクライアントの脆弱性を受信するための受信モジュールと、
    前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するためのメッセージ識別モジュールと、
    前記逆方向走査プロキシモジュールに制御コマンドを送ることで、前記逆方向走査プロキシモジュールは、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するためのコマンド送信モジュールとを備えることを特徴とする脆弱性スキャナー。
  17. 前記メッセージ識別モジュールは、具体的には、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別することを特徴とする請求項16に記載の脆弱性スキャナー。
  18. 前記受信モジュールは、サーバの脆弱性を取得するのに用いられ、
    前記脆弱性スキャナーは、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得するための第二のネットワーク欠陥分析モジュールを更に備えることを特徴とする請求項17に記載の脆弱性スキャナー。
  19. 請求項12〜15の何れか1つに記載の逆方向走査プロキシモジュール及び請求項16〜18の何れか1つに記載の脆弱性スキャナーを備えることを特徴とする脆弱性走査システム。
JP2017532916A 2014-12-19 2015-09-29 脆弱性走査方法及び装置 Active JP6411661B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410802136.4 2014-12-19
CN201410802136.4A CN104506522B (zh) 2014-12-19 2014-12-19 漏洞扫描方法及装置
PCT/CN2015/091030 WO2016095591A1 (zh) 2014-12-19 2015-09-29 漏洞扫描方法及装置

Publications (2)

Publication Number Publication Date
JP2018503900A true JP2018503900A (ja) 2018-02-08
JP6411661B2 JP6411661B2 (ja) 2018-10-24

Family

ID=52948237

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017532916A Active JP6411661B2 (ja) 2014-12-19 2015-09-29 脆弱性走査方法及び装置

Country Status (4)

Country Link
US (1) US10642985B2 (ja)
JP (1) JP6411661B2 (ja)
CN (1) CN104506522B (ja)
WO (1) WO2016095591A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019192101A (ja) * 2018-04-27 2019-10-31 矢崎総業株式会社 脆弱性情報生成装置および脆弱性評価装置

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506522B (zh) 2014-12-19 2017-12-26 北京神州绿盟信息安全科技股份有限公司 漏洞扫描方法及装置
CN105516131B (zh) * 2015-12-04 2019-03-26 珠海豹趣科技有限公司 一种扫描漏洞的方法、装置及电子设备
CN106534172A (zh) * 2016-12-07 2017-03-22 北京数字观星科技有限公司 一种内网远程扫描系统及其扫描内网的方法
CN107395593B (zh) * 2017-07-19 2020-12-04 深信服科技股份有限公司 一种漏洞自动化防护方法、防火墙及存储介质
US10033756B1 (en) * 2017-10-26 2018-07-24 Hytrust, Inc. Methods and systems for holistically attesting the trust of heterogeneous compute resources
CN108121552B (zh) * 2017-11-06 2021-01-12 广东睿江云计算股份有限公司 一种基于XenServer的自动化补丁方法
US10778713B2 (en) * 2018-02-26 2020-09-15 International Business Machines Corporation Method and system to manage risk of vulnerabilities and corresponding change actions to address malware threats
US11374959B2 (en) * 2018-11-26 2022-06-28 International Business Machines Corporation Identifying and circumventing security scanners
CN109768973A (zh) * 2018-12-28 2019-05-17 易票联支付有限公司 一种安全公告的发布监控方法、系统及装置
CN109740355A (zh) * 2019-01-03 2019-05-10 深圳前海微众银行股份有限公司 漏洞扫描方法、服务器、系统及代理服务器
CN110059007B (zh) * 2019-04-03 2020-12-22 奇安信科技集团股份有限公司 系统漏洞扫描方法、装置、计算机设备及存储介质
CN110086806B (zh) * 2019-04-26 2020-04-14 中国南方电网有限责任公司 一种厂站设备系统漏洞的扫描系统
CN110971599A (zh) * 2019-11-29 2020-04-07 杭州迪普科技股份有限公司 漏洞扫描方法和装置
CN111859375B (zh) * 2020-07-20 2023-08-29 百度在线网络技术(北京)有限公司 漏洞检测方法、装置、电子设备及存储介质
CN112906010B (zh) * 2021-05-07 2021-07-20 北京安普诺信息技术有限公司 一种自动化攻击测试方法及基于此的自动化安全测试方法
CN112906011B (zh) * 2021-05-07 2021-08-03 北京安普诺信息技术有限公司 漏洞发现方法、测试方法、安全测试方法及相关装置、平台
CN114880675B (zh) * 2022-05-23 2023-05-05 浙江微铭汇信息技术有限公司 一种基于智慧云计算的业务漏洞分析方法及服务器
CN115795484B (zh) * 2023-02-06 2023-05-09 北京长亭未来科技有限公司 一种物联网设备的漏洞检测方法、装置和设备
CN116545769B (zh) * 2023-06-30 2023-09-12 北京华云安信息技术有限公司 基于组合模块的远程加载式扫描方法、装置及设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003271469A (ja) * 2002-03-13 2003-09-26 Lac Co Ltd クライアント検査方法、クライアント検査装置、およびプログラム
JP2005503053A (ja) * 2001-09-13 2005-01-27 ヴィジランテコム インコーポレイテッド 分散ネットワークアーキテクチャーセキュリティーシステム
JP2005341167A (ja) * 2004-05-26 2005-12-08 Toshiba Corp パケットフィルタリング装置、パケットフィルタリング方法、パケットフィルタリングを行うプログラム及び記録媒体
JP2006526221A (ja) * 2003-03-28 2006-11-16 トラストウェーブ コーポレーション ネットワークの脆弱性を検出し、コンプライアンスを評価する装置及び方法
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム
JP2007325293A (ja) * 2002-08-20 2007-12-13 Nec Corp 攻撃検知システムおよび攻撃検知方法
JP2009514093A (ja) * 2005-10-28 2009-04-02 マイクロソフト コーポレーション リスク駆動型のコンプライアンス管理
US20100071024A1 (en) * 2008-09-12 2010-03-18 Juniper Networks, Inc. Hierarchical application of security services within a computer network

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100588206C (zh) * 2006-04-30 2010-02-03 飞塔公司 一种计算机网络风险评估的装置及其方法
CN101340434B (zh) * 2008-05-15 2011-09-07 王瑞 网站恶意内容检测与认证方法及系统
KR20090121579A (ko) * 2008-05-22 2009-11-26 주식회사 이베이지마켓 서버의 취약점을 점검하기 위한 시스템 및 그 방법
WO2010019918A1 (en) * 2008-08-15 2010-02-18 Qualys, Inc. System and method for performing remote security assessment of firewalled computer
CN102082659B (zh) * 2009-12-01 2014-07-23 厦门市美亚柏科信息股份有限公司 一种面向网络安全评估的漏洞扫描系统及其处理方法
KR101745758B1 (ko) * 2011-05-31 2017-06-09 휴렛 팩커드 엔터프라이즈 디벨롭먼트 엘피 애플리케이션 보안 검사
US20130096980A1 (en) * 2011-10-18 2013-04-18 Mcafee, Inc. User-defined countermeasures
CN102664876A (zh) * 2012-04-10 2012-09-12 星云融创(北京)科技有限公司 网络安全检测方法及系统
CN102945340B (zh) * 2012-10-23 2016-04-20 北京神州绿盟信息安全科技股份有限公司 信息对象检测方法及系统
US8910238B2 (en) * 2012-11-13 2014-12-09 Bitdefender IPR Management Ltd. Hypervisor-based enterprise endpoint protection
CN103679026B (zh) * 2013-12-03 2016-11-16 西安电子科技大学 一种云计算环境下的恶意程序智能防御系统及防御方法
CN103929323A (zh) * 2013-12-16 2014-07-16 汉柏科技有限公司 一种云网络设备的健康度监控方法
US9203851B1 (en) * 2014-05-13 2015-12-01 Trend Micro Incorporated Redirection of data from an on-premise computer to a cloud scanning service
CN104506522B (zh) * 2014-12-19 2017-12-26 北京神州绿盟信息安全科技股份有限公司 漏洞扫描方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005503053A (ja) * 2001-09-13 2005-01-27 ヴィジランテコム インコーポレイテッド 分散ネットワークアーキテクチャーセキュリティーシステム
JP2003271469A (ja) * 2002-03-13 2003-09-26 Lac Co Ltd クライアント検査方法、クライアント検査装置、およびプログラム
JP2007325293A (ja) * 2002-08-20 2007-12-13 Nec Corp 攻撃検知システムおよび攻撃検知方法
JP2006526221A (ja) * 2003-03-28 2006-11-16 トラストウェーブ コーポレーション ネットワークの脆弱性を検出し、コンプライアンスを評価する装置及び方法
JP2005341167A (ja) * 2004-05-26 2005-12-08 Toshiba Corp パケットフィルタリング装置、パケットフィルタリング方法、パケットフィルタリングを行うプログラム及び記録媒体
JP2009514093A (ja) * 2005-10-28 2009-04-02 マイクロソフト コーポレーション リスク駆動型のコンプライアンス管理
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム
US20100071024A1 (en) * 2008-09-12 2010-03-18 Juniper Networks, Inc. Hierarchical application of security services within a computer network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019192101A (ja) * 2018-04-27 2019-10-31 矢崎総業株式会社 脆弱性情報生成装置および脆弱性評価装置
JP7040992B2 (ja) 2018-04-27 2022-03-23 矢崎総業株式会社 脆弱性情報生成装置および脆弱性評価装置

Also Published As

Publication number Publication date
CN104506522A (zh) 2015-04-08
US10642985B2 (en) 2020-05-05
CN104506522B (zh) 2017-12-26
JP6411661B2 (ja) 2018-10-24
US20170270304A1 (en) 2017-09-21
WO2016095591A1 (zh) 2016-06-23

Similar Documents

Publication Publication Date Title
JP6411661B2 (ja) 脆弱性走査方法及び装置
KR20190109427A (ko) 침입 탐지를 위한 지속적인 학습
Dominguez et al. The utility of osteon shape and circularity for differentiating human and non‐human Haversian bone
US9298824B1 (en) Focused crawling to identify potentially malicious sites using Bayesian URL classification and adaptive priority calculation
US9830452B2 (en) Scanning device, cloud management device, method and system for checking and killing malicious programs
KR101709112B1 (ko) 이미지 캡차 제공 방법 및 이미지 캡차 제공 서버
CN109063736B (zh) 数据分类方法、装置、电子设备及计算机可读存储介质
CN111368289A (zh) 一种恶意软件检测方法和装置
CN113259197A (zh) 一种资产探测方法、装置及电子设备
CN111953665A (zh) 服务器攻击访问识别方法及系统、计算机设备、存储介质
JP2007243459A (ja) トラヒック状態抽出装置及び方法ならびにコンピュータプログラム
KR101228902B1 (ko) 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템
CN112115507B (zh) 基于云计算和信息数字化的云业务交互方法及大数据平台
CN113596012A (zh) 攻击行为的识别方法、装置、设备、介质及程序产品
CN112148545A (zh) 嵌入式系统的安全基线检测方法以及安全基线检测系统
CN115546218B (zh) 置信度阈值确定方法和装置、电子设备和存储介质
EP3438987B1 (en) Tool that analyzes image data and generates and displays a confidence indicator along with a cancer score
US11715204B2 (en) Adaptive machine learning system for image-based biological sample constituent analysis
CN116248397A (zh) 漏洞检测方法、装置、电子设备及可读存储介质
US11977642B2 (en) Information processing device, information processing method and computer readable medium
US11716350B2 (en) Systems and methods of detecting anomalous websites
CN115037790A (zh) 异常注册识别方法、装置、设备及存储介质
JPWO2017047341A1 (ja) 情報処理装置、情報処理方法、およびプログラム
JP2018022305A (ja) 境界値特定プログラム、境界値特定方法および境界値特定装置
US20210056202A1 (en) Dynamically Monitoring System Controls to Identify and Mitigate Issues

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180516

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180523

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180801

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180905

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180926

R150 Certificate of patent or registration of utility model

Ref document number: 6411661

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250