CN107566350B - 安全配置漏洞监控方法、装置以及计算机可读存储介质 - Google Patents
安全配置漏洞监控方法、装置以及计算机可读存储介质 Download PDFInfo
- Publication number
- CN107566350B CN107566350B CN201710699423.0A CN201710699423A CN107566350B CN 107566350 B CN107566350 B CN 107566350B CN 201710699423 A CN201710699423 A CN 201710699423A CN 107566350 B CN107566350 B CN 107566350B
- Authority
- CN
- China
- Prior art keywords
- network
- network node
- channel
- security
- network channel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全配置漏洞监控方法,包括步骤:通过指纹探测,采集符合预设指纹条件的网络通道或网络节点的信息;部署与该网络通道或网络节点适配的自适应探针;通过所述自适应探针获取所述网络通道或网络节点的配置文件信息;将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息。所述安全配置漏洞监控方法可以全面的检测出互联网***上的网络通道或网络节点安全配置漏洞信息,从源头预防黑客的攻击。本发明还提供一种配置在互联网中的安全配置漏洞监控装置以及计算机可读存储介质。
Description
技术领域
本发明涉及安全技术领域,尤其涉及一种安全配置漏洞监控方法、安全配置漏洞监控装置以及计算机可读存储介质。
背景技术
黑客高级持续性威胁攻击的流程主要包括:
1.针对攻击目标进行信息收集(收集各种配置信息)。
2.攻击者针对收集到的各种配置信息进行分析,开始编写攻击工具。
3.针对目标开始进行投递。
4.投递成功,攻击开始。
5.上传计算机壳层(shell),进行远控。
6.后续内网攻击行为。
通常黑客都是以终端或者服务器上的安全配置漏洞信息作为切入点组织攻击的,在高级持续性威胁的攻击流程中,信息的收集全不全面,决定下一步黑客攻击的质量。
而终端或者服务器上的安全配置漏洞通常并不是由协议或软件本身的问题造成的,而是由服务和软件的不正确部署和配置造成的。通常这些服务和软件安装时都会有一个默认配置,如果管理员不更改这些配置,服务器仍然能够提供正常的服务,但是入侵者就能够利用这些配置对服务器造成威胁。多数***管理员都认识到正确进行安全配置的重要性,一些组织与行业也制定了统一的安全配置标准。
但是,伴随着网络流量的日益增加,攻击的类型和复杂度也逐渐提升,部署在网络上的各种安全***、设备和平台所提供的安全数据具有广泛分布、跨组织、格式差异大、海量、非数值型等特点。当前的现状是网络结构越来越复杂,重要应用和服务器的数量及种类日益增多,一旦发生人员的误操作,或者忽略某个***的某个配置细节,就可能会极大的影响***的正常运转。通过采用统一的安全配置标准来规范技术人员在各类***上的日常操作,让运维人员有了检查默认风险的标杆,但是面对网络中种类繁杂、数量众多的设备和软件,真正全面的完成合规性的***配置检查和修复,成为一个费时费力的事情。
发明内容
本发明的主要目的在于提供一种安全配置漏洞监控方法、安全配置漏洞监控装置以及计算机可读存储介质,旨在全面的检测出互联网***上的网络通道或网络节点安全配置漏洞信息,有效的从源头上预防未知的黑客在互联网上的攻击行为。
为实现上述目的,本发明提供的一种安全配置漏洞监控方法,包括以下步骤:
通过指纹探测,采集符合预设指纹条件的网络通道或网络节点的信息;
根据所述网络通道或网络节点的信息,部署与该网络通道或网络节点适配的自适应探针;
通过所述自适应探针获取所述网络通道或网络节点的配置文件信息;
将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息。
进一步地,所述网络节点包括选自WEB服务器、***服务器、网络端口、客户终端中的一个或者多个;所述网络通道包括选自企业网的网络出口、网络地址转换后端网络通道、互联网数据中心网络出口、省/市网络出口以及国际出口中的一个或多个。
进一步地,所述根据所述网络通道或网络节点的信息,部署与该网络通道或网络节点适配的自适应探针的步骤包括:
根据所述网络通道或网络节点的信息,提取与该网络通道或网络节点对应的编程语言;
根据所述编程语言,部署与该网络通道或网络节点适配的自适应探针。
进一步地,还包括步骤:
所述将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息的步骤包括:
获取与所述网络通道或网络节点对应的安全基线检测方案;
将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线方案中的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息。
进一步地,还包括步骤:
建立云端基线数据库,用于存储与所述网络通道或网络节点对应的安全基线检测方案;
所述获取与所述网络通道或网络节点对应的安全基线检测方案的步骤包括:
通过录入攻击场景以及通过机器学习算法建立安全模型,建立云端场景分析引擎;
根据所述符合预设指纹条件的网络通道或网络节点的信息以及所述自适应探针获取的所述网络通道或网络节点的配置文件信息,计算客户网络场景复杂度;
根据计算出的场景复杂度从云端基线数据库选择该场景对应的安全基线检测方案;其中,所述云端基线数据库用于存储预设的安全基线检测方案。
进一步地,所述将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息的步骤包括:
根据预设的评价算法将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线数据进行比对;
获取所述网络通道或网络节点的安全配置漏洞信息。
进一步地,所述获取所述网络通道或网络节点的安全配置漏洞信息的步骤之后还包括:
判断所述网络通道或网络节点是否允许安全基线调控;
在所述网络通道或网络节点不允许安全基线调控时,根据所述安全配置漏洞信息输出分析报告;
在所述网络通道或网络节点允许安全基线调控时,根据所述安全配置漏洞信息向所述自适应探针下发解决方案。
进一步地,所述根据所述安全配置漏洞信息向所述自适应探针下发解决方案的步骤之后还包括:
通过所述自适应探针,根据所述解决方案对相应的所述网络通道或网络节点的配置进行修改加固。
本发明还提供一种配置在互联网中的安全配置漏洞监控装置,包括存储器单元、处理器及存储在存储器单元上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述的安全配置漏洞监控方法的步骤。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现上述任一项所述的安全配置漏洞监控方法的步骤。
本发明提供的安全配置漏洞监控装置及方法中,通过指纹探测技术获取互联网***上上的网络通道或网络节点的数据信息,然后根据所述网络通道或网络节点的信息,部署与该网络通道或网络节点适配的自适应探针来获取所述网络通道或网络节点的配置文件信息,从而完成各个网络通道或网络节点的安全基线检测;可以***的检测出互联网***上的网络通道或网络节点安全配置漏洞信息,从而使得黑客收集的配置信息都变成安全的配置信息,就可以从源头防御黑客的攻击。通过这种安全配置漏洞监控机制,全面的检测出互联网***上的网络通道或网络节点安全配置漏洞信息,有效的从源头上预防未知的黑客在互联网上的攻击行为。
附图说明
图1为本发明第一实施方式中的安全配置漏洞监控方法的方法流程图;
图2为图1中安全配置漏洞监控方法的安全配置漏洞监控***的模块架构示意图;
图3为本发明一实施方式中图1中安全配置漏洞监控方法的步骤S20的子步骤流程图。
图4为本发明第二实施方式中的安全配置漏洞监控方法的方法流程图;
图5为本发明第三实施方式中的安全配置漏洞监控方法的方法流程图;
图6为本发明第四实施方式中的安全配置漏洞监控方法的方法流程图;
图7为本发明第五实施方式中的安全配置漏洞监控方法的方法流程图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
请参考图1~2,图1为本发明第一实施方式中的安全配置漏洞监控方法100的方法流程图,图2为使用图1中安全配置漏洞监控方法100的安全配置漏洞监控***200的模块架构示意图。
所述安全配置漏洞监控***200配置在互联网***中,可以以各种形式来实施。例如,配置在企业服务器、云端服务器、客户终端、网络通道等一个或多个网络设备上。可以理解的是,在其他实施例中,所述安全配置漏洞监控***200也称之为安全配置漏洞监控装置。
所述安全配置漏洞监控***200包括指纹探测引擎201,自适应探针部署引擎202,信息收集引擎203,以及与基线检测引擎204。
其中,所述指纹探测引擎201通过指纹特征识别技术,探测互联网***上的网络通道和/或网络节点的信息。例如,探测web服务器,***服务器,客户终端等网络节点的信息,或者企业网的网络出口、NAT(网络地址转换,Network Address Translation)后端网络通道、IDC(互联网数据中心,Internet Data Center)网络出口等网络通道的信息;其中,所述网络通道和/或网络节点的信息包含不限于目标端的框架名称,端口开启情况,数据库类型等详细信息。
进一步地,所述指纹探测引擎201还将探测的所述网络通道和/或网络节点的信息发送至信息收集引擎203进行存储。
所述自适应探针部署引擎202,用于向选定的目标端部署相应的自适应探针,并通过所述自适应探针获取所述目标端的配置文件信息。探针是一种部署在网络通道或网络节点上的监控管理工具,通过感知服务器、终端等网络通道或网络节点上与关键数据有关的行为,时时观察和记录相关应用行为,用于管控各类外接设备和防范数据泄密。
其中,所述目标端可以是互联网***上的网络通道或网络节点。例如,所述网络通道包括但不限于是企业网的网络出口、NAT后端网络通道、IDC网络出口、省/市网络出口以及国际出口等;所述网络节点包括但不限于是WEB服务器、***服务器、网络端口、客户终端等。
在本实施方式中,所述自适应探针部署引擎202根据指纹探测引擎201探测的所述网络通道或网络节点的信息,提取与该网络通道或网络节点对应的编程语言;根据所述编程语言,部署与该网络通道或网络节点适配的自适应探针,从而达到自适应探针部署引擎202适配多语言环境的效果。
通过***网络通道或网络节点的所述自适应探针,可以实时收集记录相应的网络通道或网络节点的硬盘资源、内存占用、网卡流量、***负载、服务器时间等信息,以及服务器IP地址,Web服务器环境监测,编程语言等配置文件信息;所述自适应探针还用于根据算法匹配读取收集所述网络通道或网络节点的进程,服务,注册表,用户等配置文件信息;所述自适应探针中还可以绑定网站或服务器管理脚本程序,从而可以实现在网站或服务器上上传下载文件、查看数据库、执行程序命令等功能。
所述信息收集引擎203包括第一存储单元23,第一存储单元23用于存储所述指纹探测引擎201探测得到的网络通道和网络通道或网络节点的信息以及所述自适应探针获取所述网络通道或网络节点的配置文件信息。其中,所述信息收集引擎203按照特定的格式存储所述指纹探测引擎201探测得到的网络通道或网络节点的信息以及所述自适应探针获取所述网络通道或网络节点的配置文件信息。所述信息收集引擎203还用于将所述指纹探测引擎201探测得到的网络通道和网络通道或网络节点的信息以及所述自适应探针获取所述网络通道或网络节点的配置文件信息发送到所述基线检测引擎204。
其中,所述第一存储单元23可以是普通服务器也可以是云端服务器。
所述基线检测引擎204,用于将所述自适应探针部署引擎202获取的所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线指标进行比对,从而根据比对结果得到所述网络通道或网络节点的安全配置漏洞信息。
具体的,在一实施方式中,所述基线检测引擎204还用于判断所述网络通道或网络节点是否允许安全基线调控;在所述网络通道或网络节点不允许安全基线调控时,根据所述安全配置漏洞信息输出分析报告;在所述网络通道或网络节点允许安全基线调控时,根据所述安全配置漏洞信息生成解决方案,并向所述自适应探针部署引擎202部署的与该网络通道或网络节点对应的自适应探针下发该解决方案。
所述自适应探针部署引擎202则进一步根据所述基线检测引擎204下发的解决方案,对相应的所述网络通道或网络节点的配置进行修改加固。
在一实施方式中,所述安全配置漏洞监控***200还包括云端基线数据库205以及云端场景分析引擎206。
所述云端基线数据库205用于存储与所述网络通道或网络节点对应的安全基线检测方案,所述安全基线方案包括该网络通道或网络节点的安全基线指标。其中,所述安全基线检测方案可以是网络服务商或者网络设备提供商预设的,也可以是其他任何人员根据需要自行设置的,还可以是是基于攻击场景的大数据分析,建立安全模型后,计算得出的安全基线检测方案。
所述云端场景分析引擎206用于计算网络场景的复杂度,然后根据网络场景的复杂度从所述云端基线数据库205中选择最适合当前场景的安全基线检测方案。
具体的,例如,现在通常的安全漏洞扫描器只是针对于一个标准的安全基线标准,一旦越过这个安全基线标准就会扫描显示存在漏洞,但是却没有关注客户网站的整个网络架构。有些客户的网络架构必须需要开启某些危险配置,一旦关闭就会影响业务,但是在别的配置方面又存在防范这个风险的措施,但是传统的基线检查只能按照模板一项一项的检查,但是不能分析整个场景后整理的评估风险;所述云端场景分析引擎206可以通过攻击场景的大数据分析,计算不同安全场景的组合安全基线检测配置,通过机器学习算法建立安全模型,获取在攻击场景下不同的安全基线监测方案选择的权重、优先级等信息;进而计算网络场景复杂度,根据网络场景的复杂度从所述云端基线数据库205中选择最适合当前场景的安全基线检测方案。
请再次结合图1和图2,其中,所述安全配置漏洞监控方法100包括如下步骤:
步骤S10,通过指纹探测,采集符合预设指纹条件的网络通道或网络节点的信息。
具体的,通过指纹特征识别技术,指纹探测引擎201探测互联网***上的网络通道和/或网络节点的信息。例如,探测web服务器,***服务器,客户终端等网络节点的信息,或者企业网的网络出口、NAT(网络地址转换,Network Address Translation)后端网络通道、IDC(互联网数据中心,Internet Data Center)网络出口等网络通道的信息;其中,所述网络通道和/或网络节点的信息包含不限于目标端的框架名称,端口开启情况,数据库类型等详细信息。
进一步地,所述步骤S10还包括:将探测的所述网络通道和/或网络节点的信息发送至信息收集引擎203进行存储。
步骤S20,根据所述网络通道或网络节点的信息,部署与该网络通道或网络节点适配的自适应探针。
在本实施方式中,通过自适应探针部署引擎202根据所述通过指纹探测,采集符合预设指纹条件的网络通道或网络节点的信息,向所述网络通道或网络节点部署相应的自适应探针。
步骤S30,通过所述自适应探针获取所述网络通道或网络节点的配置文件信息。
具体的,通过***网络通道或网络节点的所述自适应探针,实时收集记录相应的网络通道或网络节点的硬盘资源、内存占用、网卡流量、***负载、服务器时间等信息,以及服务器IP地址,Web服务器环境监测,编程语言等配置文件信息;所述自适应探针还用于根据算法匹配读取收集所述网络通道或网络节点的进程,服务,注册表,用户等配置文件信息。
步骤S50,将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息。
其中,所述配置漏洞信息包括不符合安全基线检测方案中的安全基线指标***本身所固有的安全问题,也包括因为配置的错误导致不符合安全基线检测方案中的安全基线指标的配置缺陷。
在本实施方式中,通过指纹探测技术获取互联网***上上的网络通道或网络节点的数据信息,然后根据所述网络通道或网络节点的信息,部署与该网络通道或网络节点适配的自适应探针来获取所述网络通道或网络节点的配置文件信息,从而完成各个网络通道或网络节点的安全基线检测。采用本实施方式中的安全配置漏洞监控方法100,可以***、全面的检测出互联网***上的网络通道或网络节点安全配置漏洞信息,有效的从源头上预防未知的黑客在互联网上的攻击行为。
进一步地,在本实施例中,所述安全配置漏洞监控方法100还可以包括步骤S40,获取与所述网络通道或网络节点对应的安全基线检测方案;
所述步骤S50可以进一步包括:
步骤S51,获取与所述网络通道或网络节点对应的安全基线检测方案;
步骤S52,将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线方案中的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息。在步骤S40中,所述安全基线监测方案包括多个安全基线指标。
具体的,在步骤S40与步骤S51~S52中,基线检测引擎204在获取到与所述网络通道或网络节点对应的安全基线检测方案之后,将所述配置文件信息与所述安全基线检测方案中的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息。
请一并参考图3,为本发明一实施方式中,所述安全配置漏洞监控方法100中步骤S20的子步骤流程图。具体地,所述步骤S20包括:
步骤S221,根据所述网络通道或网络节点的信息,提取与该网络通道或网络节点对应的编程语言;
步骤S222,根据所述编程语言,部署与该网络通道或网络节点适配的自适应探针。
在本实施方式中,所述自适应探针部署引擎202根据指纹探测引擎201探测的所述网络通道或网络节点的信息,提取与该网络通道或网络节点对应的编程语言;根据所述编程语言,部署与该网络通道或网络节点适配的自适应探针,从而达到自适应探针部署引擎202适配多语言环境的效果。
优选地,在本实施方式中,所述步骤S20还包括:
步骤S223,绑定网站或服务器管理脚本程序,以在所述网站或服务器上进行上传下载文件、查看数据库、执行程序命令。
具体地,自适应探针部署引擎202在将自适应探针部署到对应的网络通道或网络节点时,同时绑定网站或服务器管理脚本程序,以在所述网站或服务器上进行上传下载文件、查看数据库、执行程序命令。
请一并参考图4,为本发明第二实施方式中的安全配置漏洞监控方法102的方法流程图。在第二实施方式中,所述安全配置漏洞监控方法102的步骤S10-S50均与第一实施方式相同,在此不再赘述;其不同在于,所述安全配置漏洞监控方法102还包括步骤:
步骤S31,建立信息收集引擎203,获取并存储所述符合预设指纹条件的网络通道或网络节点的信息以及所述自适应探针获取的所述网络通道或网络节点的配置文件信息。
在本实施例中,通过建立信息收集引擎203,获取并存储所述符合预设指纹条件的网络通道或网络节点的信息以及所述自适应探针获取的所述网络通道或网络节点的配置文件信息。这些网络通道或网络节点的信息以及配置文件信息可以作为安全基线检测方案设计的基础数据,方便的提供给网络运营商、网络设备提供商、网络安全软件服务商、网络安全顾问服务提供商等有需要的需求者。
请一并参考图5,为本发明第三实施方式中的安全配置漏洞监控方法103的方法流程图。在第三实施方式中,所述安全配置漏洞监控方法103的步骤S10-S30、S50均与第一实施方式相同,在此不再赘述;其不同在于,所述安全配置漏洞监控方法103还包括步骤:
步骤S32,建立云端基线数据库205,用于存储与所述网络通道或网络节点对应的安全基线检测方案;
所述安全配置漏洞监控方法103中的步骤S40包括:
步骤S431,通过录入攻击场景以及通过机器学习算法建立安全模型,建立云端场景分析引擎206;
步骤S432,根据所述符合预设指纹条件的网络通道或网络节点的信息以及所述自适应探针获取的所述网络通道或网络节点的配置文件信息,计算客户网络场景复杂度;
步骤S433,通过云端场景分析引擎206,根据计算出的场景复杂度从云端基线数据库205选择该场景对应的安全基线检测方案。
其中,所述安全基线监测方案包括多个安全基线指标。
在本实施方式中,建立云端场景分析引擎206,通过将安全基线检测方案与攻击场景学习分析结合在一起,可以获取在攻击场景下不同的安全基线监测方案选择的权重、优先级等信息;进而计算网络场景复杂度,根据网络场景的复杂度从所述云端基线数据库205中选择最适合当前场景的安全基线检测方案。
请一并参考图6,为本发明第四实施方式中的安全配置漏洞监控方法104的方法流程图。在第四实施方式中,所述安全配置漏洞监控方法104的步骤S10-S40均与第一实施方式相同,在此不再赘述;其不同在于,所述安全配置漏洞监控方法103中的步骤S50包括:
步骤S541,根据预设的评价算法将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线数据进行比对;
步骤S542,获取所述网络通道或网络节点的安全配置漏洞信息。
其中,所述预设的评价算法可以是根据场景需要设置的各项指标权重算法,例如德尔菲法、层次分析法等。
在本实施方式中,通过预设的评价算法来进行安全基线检查,可以更全面的获取所述网络通道或网络节点的安全配置漏洞信息。
请一并参考图7,为本发明第五实施方式中的安全配置漏洞监控方法105的方法流程图。在第五实施方式中,所述安全配置漏洞监控方法104的步骤S10-S50均与第一实施方式相同,在此不再赘述;其不同在于,所述安全配置漏洞监控方法105中的步骤S50之后还包括:
步骤S651,判断所述网络通道或网络节点是否允许安全基线调控;
步骤S652,在所述网络通道或网络节点不允许安全基线调控时,根据所述安全配置漏洞信息输出分析报告;
步骤S653,在所述网络通道或网络节点允许安全基线调控时,根据所述安全配置漏洞信息向所述自适应探针下发解决方案。
在本实施例中,可以通过设置所述网络通道或网络节点是否允许安全基线调控,根据所述网络通道或网络节点的设置来输出安全基线检测结果。若是所述网络通道或网络节点只允许安全基线检测而不允许安全基线调控时,所述基线检测引擎204根据所述安全配置漏洞信息输出该网络通道或网络节点的安全配置漏洞检测分析报告;在所述网络通道或网络节点允许安全基线检测以及安全基线调控时,所述基线检测引擎204根据所述安全配置漏洞信息向所述网络通道或网络节点对应的自适应探针下发解决方案。
进一步地,在本实施例中,所述步骤S653之后还包括:
步骤S654,通过所述自适应探针,根据所述解决方案对相应的所述网络通道或网络节点的配置进行修改加固。
在所述网络通道或网络节点允许安全基线检测以及安全基线调控时,即接受自适应探针部署引擎202的安全配置加固功能时,自适应探针部署引擎202可以通过在所述网络通道或网络节点所部署的自适应探针对网络通道或网络节点的安全配置进行修改和加固。具体的,在步骤S654中,所述自适应探针接收基线检测引擎204下发的解决方案,根据所述解决方案对相应的所述网络通道或网络节点的配置进行修改加固。
通过上述的实施例中的安全配置漏洞监控机制,可以有效的避免针对单一配置文件检查不适应企业场景的缺点,有效的防御未知的黑客攻击行为;同时结合指纹分析和攻击场景分析,可以提高企业安全配置的适应性和匹配度。
请再次结合参考图1~7,所述安全配置漏洞监控***200,包括存储器单元、处理器及存储在存储器单元上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一实施方式中所述的安全配置漏洞监控方法的步骤。
具体的,所述处理器执行所述计算机程序时用于实现如下步骤:
步骤S10,通过指纹探测,采集符合预设指纹条件的网络通道或网络节点的信息;
步骤S20,根据所述网络通道或网络节点的信息,部署与该网络通道或网络节点适配的自适应探针;
步骤S30,通过所述自适应探针获取所述网络通道或网络节点的配置文件信息;
步骤S50,将所述配置文件信息与所述安全基线检测方案进行比对,获取所述网络通道或网络节点的安全配置漏洞信息。
在本发明的安全配置漏洞监控***中,通过指纹探测技术获取互联网***上上的网络通道或网络节点的数据信息,然后根据所述网络通道或网络节点的信息,部署与该网络通道或网络节点适配的自适应探针来获取所述网络通道或网络节点的配置文件信息,从而完成各个网络通道或网络节点的安全基线检测;可以***、全面的检测出互联网***上的网络通道或网络节点安全配置漏洞信息,有效的从源头上预防未知的黑客在互联网上的攻击行为。
优选地,在一实施方式中,所述处理器执行所述计算机程序时,还用于实现:
步骤S40,获取与所述网络通道或网络节点对应的安全基线检测方案;
优选地,在一实施方式中,所述步骤S20包括:
步骤S221,根据所述网络通道或网络节点的信息,提取与该网络通道或网络节点对应的编程语言;
步骤S222,根据所述编程语言,部署与该网络通道或网络节点适配的自适应探针。
进一步的,所述步骤S20还包括:步骤S223,绑定网站或服务器管理脚本程序,以在所述网站或服务器上进行上传下载文件、查看数据库、执行程序命令。
进一步的,所述处理器执行所述计算机程序时,还用于实现如下步骤:
步骤S31,建立信息收集引擎203,获取并存储所述符合预设指纹条件的网络通道或网络节点的信息以及所述自适应探针获取的所述网络通道或网络节点的配置文件信息。
进一步的,所述处理器执行所述计算机程序时,还用于实现如下步骤:
步骤S32,建立云端基线数据库205,用于存储与所述网络通道或网络节点对应的安全基线检测方案;
所述步骤S40包括:
步骤S431,通过录入攻击场景以及通过机器学习算法建立安全模型,建立云端场景分析引擎206;
步骤S432,根据所述符合预设指纹条件的网络通道或网络节点的信息以及所述自适应探针获取的所述网络通道或网络节点的配置文件信息,计算客户网络场景复杂度;
步骤S433,通过云端场景分析引擎206,根据计算出的场景复杂度从云端基线数据库205选择该场景对应的安全基线检测方案。
优选地,在一实施方式中,所述步骤S50包括:
步骤S541,根据预设的评价算法将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线数据进行比对;
步骤S542,获取所述网络通道或网络节点的安全配置漏洞信息。
进一步的,所述处理器执行所述计算机程序时,所述步骤50之后还包括:
步骤S651,判断所述网络通道或网络节点是否允许安全基线调控;
步骤S652,在所述网络通道或网络节点不允许安全基线调控时,根据所述安全配置漏洞信息输出分析报告;
步骤S653,在所述网络通道或网络节点允许安全基线调控时,根据所述安全配置漏洞信息向所述自适应探针下发解决方案。
通过上述的安全配置漏洞监控***200,可以有效的避免针对单一配置文件检查不适应企业场景的缺点,有效的防御未知的黑客攻击行为;同时结合指纹分析和攻击场景分析,可以提高企业安全配置的适应性和匹配度。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任意一实施方式中的安全配置漏洞监控方法的步骤。
在本说明书的描述中,参考术语“一实施例”、“另一实施例”、“其他实施例”、或“第一实施例~第X实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料、方法步骤或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.一种安全配置漏洞监控方法,其特征在于,包括以下步骤:
通过指纹探测,采集符合预设指纹条件的网络通道或网络节点的信息;
根据所述网络通道或网络节点的信息,部署与该网络通道或网络节点适配的自适应探针;
通过所述自适应探针获取所述网络通道或网络节点的配置文件信息;
根据所述网络通道或网络节点的配置文件信息计算客户网络场景复杂度,将所述网络通道或网络节点的配置文件信息与该网络场景复杂度中与各网络通道或网络节点对应的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息。
2.如权利要求1所述的安全配置漏洞监控方法,其特征在于,所述网络节点包括选自WEB服务器、***服务器、网络端口、客户终端中的一个或者多个;所述网络通道包括选自企业网的网络出口、网络地址转换后端网络通道、互联网数据中心网络出口、省/市网络出口以及国际出口中的一个或多个。
3.如权利要求1所述的安全配置漏洞监控方法,其特征在于,所述根据所述网络通道或网络节点的信息,部署与该网络通道或网络节点适配的自适应探针的步骤包括:
根据所述网络通道或网络节点的信息,提取与该网络通道或网络节点对应的编程语言;
根据所述编程语言,部署与该网络通道或网络节点适配的自适应探针。
4.如权利要求1所述的安全配置漏洞监控方法,其特征在于,所述将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息的步骤包括:
获取与所述网络通道或网络节点对应的安全基线检测方案;
将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线方案中的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息。
5.如权利要求4所述的安全配置漏洞监控方法,其特征在于,还包括步骤:
建立云端基线数据库,用于存储与所述网络通道或网络节点对应的安全基线检测方案;
所述获取与所述网络通道或网络节点对应的安全基线检测方案的步骤包括:
通过录入攻击场景以及通过机器学习算法建立安全模型,建立云端场景分析引擎;
根据所述符合预设指纹条件的网络通道或网络节点的信息以及所述自适应探针获取的所述网络通道或网络节点的配置文件信息,计算客户网络场景复杂度;
根据计算出的场景复杂度从云端基线数据库选择该场景对应的安全基线检测方案;其中,所述云端基线数据库用于存储预设的安全基线检测方案。
6.如权利要求1~5中任一项所述的安全配置漏洞监控方法,其特征在于,所述将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线指标进行比对,获取所述网络通道或网络节点的安全配置漏洞信息的步骤包括:
根据预设的评价算法将所述网络通道或网络节点的配置文件信息与该网络通道或网络节点对应的安全基线数据进行比对;
获取所述网络通道或网络节点的安全配置漏洞信息。
7.如权利要求5所述的安全配置漏洞监控方法,其特征在于,所述获取所述网络通道或网络节点的安全配置漏洞信息的步骤之后还包括:
判断所述网络通道或网络节点是否允许安全基线调控;
在所述网络通道或网络节点不允许安全基线调控时,根据所述安全配置漏洞信息输出分析报告;
在所述网络通道或网络节点允许安全基线调控时,根据所述安全配置漏洞信息向所述自适应探针下发解决方案。
8.如权利要求7所述的安全配置漏洞监控方法,其特征在于,所述根据所述安全配置漏洞信息向所述自适应探针下发解决方案的步骤之后还包括:
通过所述自适应探针,根据所述解决方案对相应的所述网络通道或网络节点的配置进行修改加固。
9.一种配置在互联网中的安全配置漏洞监控装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至8中任一项所述的安全配置漏洞监控方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至8中任一项所述的安全配置漏洞监控方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710699423.0A CN107566350B (zh) | 2017-08-15 | 2017-08-15 | 安全配置漏洞监控方法、装置以及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710699423.0A CN107566350B (zh) | 2017-08-15 | 2017-08-15 | 安全配置漏洞监控方法、装置以及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107566350A CN107566350A (zh) | 2018-01-09 |
CN107566350B true CN107566350B (zh) | 2020-12-22 |
Family
ID=60974482
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710699423.0A Active CN107566350B (zh) | 2017-08-15 | 2017-08-15 | 安全配置漏洞监控方法、装置以及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107566350B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108595960A (zh) * | 2018-04-11 | 2018-09-28 | 郑州云海信息技术有限公司 | 一种基于第三方软件存在漏洞的检测方法及*** |
CN109582387B (zh) * | 2018-11-26 | 2022-06-07 | 郑州云海信息技术有限公司 | 服务类基线项目的识别方法和装置 |
CN110365709B (zh) * | 2019-08-09 | 2021-07-20 | 深圳永安在线科技有限公司 | 一种基于上游探针感知未知网络攻击行为的装置 |
CN111767549B (zh) * | 2020-07-09 | 2023-09-05 | 中国工商银行股份有限公司 | 检测方法和装置 |
CN113064801B (zh) * | 2021-03-10 | 2022-03-29 | 深圳依时货拉拉科技有限公司 | 数据埋点的方法、装置、可读存储介质及计算机设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104270389A (zh) * | 2014-10-23 | 2015-01-07 | 国网湖北省电力公司电力科学研究院 | 一种路由器/交换机安全配置漏洞自动修复方法及*** |
CN104346574A (zh) * | 2014-10-23 | 2015-02-11 | 武汉大学 | 基于配置规范的主机安全配置漏洞自动修复方法及*** |
CN104539463A (zh) * | 2015-01-15 | 2015-04-22 | 北京随方信息技术有限公司 | 一种网络设备配置文件联机属***叉检查方法及*** |
CN105119750A (zh) * | 2015-09-08 | 2015-12-02 | 南京联成科技发展有限公司 | 一种基于大数据的分布式信息安全运维管理平台 |
CN105610983A (zh) * | 2016-03-07 | 2016-05-25 | 北京荣之联科技股份有限公司 | 一种分布式的网络监控方法及*** |
-
2017
- 2017-08-15 CN CN201710699423.0A patent/CN107566350B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104270389A (zh) * | 2014-10-23 | 2015-01-07 | 国网湖北省电力公司电力科学研究院 | 一种路由器/交换机安全配置漏洞自动修复方法及*** |
CN104346574A (zh) * | 2014-10-23 | 2015-02-11 | 武汉大学 | 基于配置规范的主机安全配置漏洞自动修复方法及*** |
CN104539463A (zh) * | 2015-01-15 | 2015-04-22 | 北京随方信息技术有限公司 | 一种网络设备配置文件联机属***叉检查方法及*** |
CN105119750A (zh) * | 2015-09-08 | 2015-12-02 | 南京联成科技发展有限公司 | 一种基于大数据的分布式信息安全运维管理平台 |
CN105610983A (zh) * | 2016-03-07 | 2016-05-25 | 北京荣之联科技股份有限公司 | 一种分布式的网络监控方法及*** |
Non-Patent Citations (2)
Title |
---|
分布式网络测量的测量节点自动部署优化算法;荣自瞻;《高技术通讯》;20141115(第11期);正文第1147-1152页 * |
探针在网络监控***中的设计;吕金锁;《中国会议》;20061201;正文第2089-2093页 * |
Also Published As
Publication number | Publication date |
---|---|
CN107566350A (zh) | 2018-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107566350B (zh) | 安全配置漏洞监控方法、装置以及计算机可读存储介质 | |
US11003773B1 (en) | System and method for automatically generating malware detection rule recommendations | |
EP3188436B1 (en) | Platform for protecting small and medium enterprises from cyber security threats | |
US10462169B2 (en) | Lateral movement detection through graph-based candidate selection | |
CN109861985B (zh) | 基于风险等级划分的ip风控方法、装置、设备和存储介质 | |
US9888025B2 (en) | Method and system for providing an efficient asset management and verification service | |
EP3036645B1 (en) | Method and system for dynamic and comprehensive vulnerability management | |
KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
CN112637220B (zh) | 一种工控***安全防护方法及装置 | |
US11316877B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
US10671723B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
JP2006040247A (ja) | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム | |
WO2010114363A1 (en) | Method and system for alert classification in a computer network | |
US11533325B2 (en) | Automatic categorization of IDPS signatures from multiple different IDPS systems | |
CN111314326B (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
Yermalovich et al. | Formalization of attack prediction problem | |
CN115242436B (zh) | 一种基于命令行特征的恶意流量检测方法及*** | |
CN110958236A (zh) | 基于风险因子洞察的运维审计***动态授权方法 | |
CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及*** | |
CN114253847A (zh) | 一种程序安全测试方法、装置、设备及存储介质 | |
CN114003918A (zh) | 一种云安全运营方法、装置、电子设备以及存储介质 | |
Welberg | Vulnerability management tools for COTS software-A comparison | |
CN114553726B (zh) | 一种基于功能、资源层面的网络安全运维方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |