CN109218336B - 漏洞防御方法及*** - Google Patents
漏洞防御方法及*** Download PDFInfo
- Publication number
- CN109218336B CN109218336B CN201811372235.8A CN201811372235A CN109218336B CN 109218336 B CN109218336 B CN 109218336B CN 201811372235 A CN201811372235 A CN 201811372235A CN 109218336 B CN109218336 B CN 109218336B
- Authority
- CN
- China
- Prior art keywords
- vulnerability defense
- internet
- vulnerability
- defense rule
- updated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例提供一种漏洞防御方法及***,物联网设备可以根据定时任务的触发自动从云服务器中同步最新的漏洞防御规则,将最新漏洞防御规则配置到本地,通过应用程序读取最新漏洞防御规则并基于最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文,在判断结果为是时,将该网络报文丢弃。如此,当物联网设备曝出漏洞后,厂商只需及时更新漏洞防御规则即可及时有效地封堵漏洞,以防漏洞被大规模恶意利用,同时保护了用户的隐私,且整个过程无需用户参与交互流程,相比于用户手动下载固件更新补丁对物联网设备进行漏洞修复的方式,极大程度地解放了用户。
Description
技术领域
本申请涉及物联网安全技术领域,具体而言,涉及一种漏洞防御方法及***。
背景技术
物联网设备(Internet of Things,IoT)是通过物联网连接起来的设备的泛称,例如路由器、监控摄像头、调制解调器、智能穿戴设备等等。随着如今物联网行业的井喷式发展,物联网的安全问题也是日趋凸显,尤其是路由器、打印机、NAS(Network AttachedStorage,网络附属存储)等频频被曝出漏洞。如果不快速修复这些漏洞,漏洞就有可能被黑产团队恶意利用。
发明内容
为了克服现有技术中的上述不足,本申请的目的在于提供一种漏洞防御方法及***,以解决或者改善上述问题。
为了实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请实施例提供一种漏洞防御方法,应用于漏洞防御***,所述漏洞防御***包括相互之间通信连接的物联网设备以及云服务器,所述云服务器中预先存储有各个物联网设备对应的漏洞防御规则库,所述漏洞防御规则库中包括有各个时间节点更新的漏洞防御规则,所述方法包括:
所述物联网设备在检测到定时任务触发后,向所述云服务器发送漏洞防御规则获取请求;
所述云服务器响应所述漏洞防御规则获取请求从所述漏洞防御规则库中查找距离上一次所述物联网设备发送漏洞防御规则获取请求之后的时间节点更新的最新漏洞防御规则,并向所述物联网设备发送所述最新漏洞防御规则;
所述物联网设备将所述最新漏洞防御规则进行存储,通过对应的应用程序读取所述最新漏洞防御规则并基于所述最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文;
在判断结果为是时,将该网络报文丢弃。
可选地,所述物联网设备在检测到定时任务触发后,向所述云服务器发送漏洞防御规则获取请求的步骤之前,所述方法还包括:
获取每个物联网设备的常见攻击向量集合;
根据所述常见攻击向量集合中的每个常见攻击向量的攻击向量类型生成对应的漏洞防御规则,以得到每个物联网设备的漏洞防御规则库;
将每个物联网设备的漏洞防御规则库进行存储;
在检测到每个物联网设备存在更新的攻击向量时,根据该更新的攻击向量的攻击向量类型生成对应的更新漏洞防御规则,并将所述更新漏洞防御规则更新到对应的物联网设备的漏洞防御规则库中,同时记录所述更新漏洞防御规则的更新时间节点。
可选地,所述物联网设备在检测到定时任务触发后,向所述云服务器发送漏洞防御规则获取请求的步骤,包括:
所述物联网设备在检测到定时任务触发后,读取对应的漏洞防御规则库的域名信息,并基于所述域名信息向所述云服务器发送漏洞防御规则获取请求。
可选地,所述云服务器响应所述漏洞防御规则获取请求从所述漏洞防御规则库中查找距离上一次所述物联网设备发送漏洞防御规则获取请求之后的时间节点更新的最新漏洞防御规则,并向所述物联网设备发送所述最新漏洞防御规则的步骤,包括:
所述云服务器对所述漏洞防御规则获取请求进行解析,获得所述物联网设备的设备信息;
根据所述设备信息查找所述物联网设备的漏洞防御规则库以及上一次所述物联网设备发送漏洞防御规则获取请求的第一时间节点;
判断所述漏洞防御规则库在第一时间时间之后是否存在更新的漏洞规则,若存在,则将更新的最新漏洞防御规则发送给所述物联网设备。
可选地,所述通过对应的应用程序读取所述最新漏洞防御规则并基于所述最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文的步骤,包括:
通过所述应用程序使用所述漏洞防御规则中的特征字符串检测接收到的未处理的网络报文中是否存在非法认证信息或非法请求URL,得到检测结果,并使用正则表达式对所述网络报文中的各个字段的进行匹配,得到匹配结果;
根据所述检测结果和所述匹配结果,在检测到所述网络报文中包括非法认证信息、非法请求URL和/或所述网络报文中的各个字段中包括恶意攻击数据时,判定网络报文为恶意报文。
可选地,所述通过对应的应用程序读取所述最新漏洞防御规则并基于所述最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文的步骤之后,所述方法还包括:
在判定结果为否时,对该网络报文进行下一步处理。
第二方面,本申请实施例还提供一种漏洞防御***,所述漏洞防御***包括相互之间通信连接的物联网设备以及云服务器,所述云服务器中预先存储有各个物联网设备对应的漏洞防御规则库,所述漏洞防御规则库中包括有各个时间节点更新的漏洞防御规则;
所述物联网设备,用于在检测到定时任务触发后,向所述云服务器发送漏洞防御规则获取请求;
所述云服务器,用于响应所述漏洞防御规则获取请求从所述漏洞防御规则库中查找距离上一次所述物联网设备发送漏洞防御规则获取请求之后的时间节点更新的最新漏洞防御规则,并向所述物联网设备发送所述最新漏洞防御规则;
所述物联网设备,用于将所述最新漏洞防御规则进行存储,通过对应的应用程序读取所述最新漏洞防御规则并基于所述最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文,在判断结果为是时,将该网络报文丢弃。
相对于现有技术而言,本申请具有以下有益效果:
本申请实施例提供一种漏洞防御方法及***,物联网设备可以根据定时任务的触发自动从云服务器中同步最新的漏洞防御规则,将最新漏洞防御规则配置到本地,通过应用程序读取最新漏洞防御规则并基于最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文,在判断结果为是时,将该网络报文丢弃。如此,当物联网设备曝出漏洞后,厂商只需及时更新漏洞防御规则即可及时有效地封堵漏洞,以防漏洞被大规模恶意利用,同时保护了用户的隐私,且整个过程无需用户参与交互流程,相比于用户手动下载固件更新补丁对物联网设备进行漏洞修复的方式,极大程度地解放了用户。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1为本申请实施例提供的漏洞防御***的交互场景示意图;
图2为本申请实施例提供的漏洞防御方法的一种流程示意图;
图3为本申请实施例提供的漏洞防御方法的另一种流程示意图;
图4为本申请实施例提供的物联网设备的结构示意框图。
图标:10-漏洞防御***;100-物联网设备;110-总线;120-处理器;130-存储介质;140-总线接口;150-网络适配器;160-用户接口;300-云服务器。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其它实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
参照背景技术所述,发明人在实现下述实施例的技术方案之前,发现目前当一个漏洞被发现并报告给厂商后,部分厂商会发布新版固件修复该漏洞。由于物联网设备缺少自动升级机制,需要用户下载新版固件,然后登录物联网设备的Web管理界面,手动上传固件进行***更新,从而修复该漏洞。
然而,发明人仔细研究发现,大多数物联网设备不同于手机、笔记本等终端,对于普通用户来说几乎是无感的存在,往往只有在物联网设备出现故障导致无法工作时才会留意到。而对于日常频繁曝出的漏洞,即便厂商发布了固件更新补丁,用户也不知情;即便知道存在漏洞,也不一定了解如何安装固件更新补丁。所以,目前采用的方案要求用户具有一定的互联网相关知识,对路由器、摄像头等物联网设备有充分了解,这样无形中提高了用户的使用门槛,增加了用户的学习成本。此外,官方发布了固件更新补丁,但是消息往往并不同步,用户不一定知情,从而导致漏洞无法及时被修复,从而被黑客团地大规模利用。
基于上述技术问题的发现,本申请发明人提出下述技术方案以解决或者改善上述问题。需要注意的是,以上现有技术中的方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本申请实施例针对上述问题所提出的解决方案,都应该是发明人在本发明过程中对本申请做出的贡献。
请参阅图1,为本申请实施例提供的漏洞防御***10的交互场景示意图。本实施例提供的漏洞防御方法应用于该漏洞防御***10,该漏洞防御***10包括相互之间通信连接的物联网设备100以及云服务器300,所述云服务器300中预先存储有各个物联网设备100对应的漏洞防御规则库,所述漏洞防御规则库中包括有各个时间节点更新的漏洞防御规则。
本实施例中,所述物联网设备100可以是但不限于路由器、监控摄像头、调制解调器、智能穿戴设备网络摄像头、路由器、打印机、NAS(Network Attached Storage,网络附属存储)等等,在此不作任何限制。
本实施例中,所述云服务器300应被理解为提供处理、资料库、通讯设施的业务点。举例而言,云服务器300可以指具有相关通信和资料存储和资料库设施的单个的物理处理器,或它可以指联网或集聚的处理器、相关网路和存放装置的集合体,并且对软体和一个或多个资料库***和支援云服务器300所提供的服务的应用软体进行操作。云服务器300可以在配置或性能上差异很大,但是云服务器300一般可以包括一个或多个中央处理单元和存储单元。云服务器300还可以包括一个或多个大型存放区设备、一个或多个电源、一个或多个有线或无线网络组件、一个或多个输入/输出组件、或一个或多个作业***,诸如,Windows Server、Mac OS X、Unix、Linux、FreeBSD。
下面结合图1中所示的应用场景对图2所示的漏洞防御方法进行详细说明,该漏洞防御方法由图1中所示的漏洞防御***10执行。可以理解,本实施例提供的漏洞防御方法不以图2及以下所述的具体顺序为限制,该漏洞防御方法的详细步骤如下:
步骤S110,物联网设备100在检测到定时任务触发后,向云服务器300发送漏洞防御规则获取请求。
本实施例中,所述物联网设备100在检测到定时任务触发后,读取对应的漏洞防御规则库的域名信息,并基于所述域名信息向所述云服务器300发送漏洞防御规则获取请求。例如,该定时任务可以是,每24个小时同步一次漏洞防御规则,则每过24个小时,所述定时任务触发一次,此时物联网设备100读取对应的漏洞防御规则库的域名信息,也即所述物联网设备100的漏洞防御规则库在云服务器300中的存储位置,然后基于所述域名信息向所述云服务器300发送漏洞防御规则获取请求。
步骤S120,所述云服务器300响应所述漏洞防御规则获取请求从所述漏洞防御规则库中查找距离上一次所述物联网设备100发送漏洞防御规则获取请求之后的时间节点更新的最新漏洞防御规则,并向所述物联网设备100发送所述最新漏洞防御规则。
本实施例中,所述云服务器300对所述漏洞防御规则获取请求进行解析,获得所述物联网设备100的设备信息,然后根据所述设备信息查找所述物联网设备100的漏洞防御规则库以及上一次所述物联网设备100发送漏洞防御规则获取请求的第一时间节点,并判断所述漏洞防御规则库在第一时间时间之后是否存在更新的漏洞规则,若存在,则将更新的最新漏洞防御规则发送给所述物联网设备100。
步骤S130,所述物联网设备100将所述最新漏洞防御规则进行存储,通过对应的应用程序读取所述最新漏洞防御规则并基于所述最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文。
在对所述步骤S130进行进一步阐述之前,下面首先对所述物联网设备100的漏洞防御规则库的配置方式进行说明,请结合参阅图3,在所述步骤S110之前,所述方法还可以包括如下步骤:
步骤S101,获取每个物联网设备100的常见攻击向量集合。
详细地,本实施例可以收集并聚合已有的常见攻击向量作为常见攻击向量集合。例如,针对路由器、摄像头等物联网设备100一般都会开启HTTP服务,下面以HTTP服务的常见攻击向量进行说明。
发明人经过仔细研究发现,攻击者通常回在HTTP请求的Header或者POST的参数中注入恶意内容。下面以常见的硬编码凭证、命令注入、缓冲区溢出等漏洞举例说明。
硬编码凭证,可使用该硬编码凭证直接登录物联网设备100的Web管理***,此时用户存在极大的隐私泄漏风险。常见手段一般是在HTTP请求头添加一个Authorization字段,后面是base64编码的硬编码凭证信息。例如,HTTP请求头中的字符串Authorization:Basic YWRtaW46ezEyMjEzQkQxLTY5QzctNDg2Mi04NDNELTI2MDUwMEQxREE0MH0=就是一个非常明显的攻击向量,因为对于普通用户来说,不会使用这样的硬编码凭证,因此所有HTTP请求中包含该特征字符串的,即可认为是试图恶意登录的攻击向量。
命令注入,也即物联网设备100上的应用程序未经过滤,直接使用了HTTP请求中的某些内容,拼接后并执行。例如下述所示:
Connection from 127.0.0.1:55633
GET/board.cgi?cmd=ifconfig HTTP/1.1
Host:localhost:9527
User-agent:curl/7.61.1
Accept:*/*
不难看出,/board.cgi后可直接执行任意命令。因此可将/board.cgi?cmd=加入到过滤规则中。
缓冲区溢出漏洞,一般是在HTTP请求中发送超长的数据导致服务器端发生内存错误。如下在请求头的Content-Length字段注入了恶意的攻击数据,该字段原本应该是一个整数。因此可添加正则表达式规则校验该字段的类型。
Connection from 127.0.0.55846
POST/cgi-bin/admin/upgrade.cgi HTTP/1.0
Content-Length:AAAAAAAAAAAAAAAAAABBBBBBBBBBBCCCCCCCCCCCCDDDDDDDDDDDDDDDEEEEEEEEEEEEE
对于一种特定型号的物联网设备100,历史上可能曝出过很多漏洞,厂商发布的新固件可能修复了其中部分漏洞,但是无法预知用户设备的版本信息,因此需要无差别的对待所有物联网设备100,收集所有历史漏洞信息,并整理出其中包含的攻击向量。
步骤S102,根据所述常见攻击向量集合中的每个常见攻击向量的攻击向量类型生成对应的漏洞防御规则,以得到每个物联网设备100的漏洞防御规则库。
本实施例可以根据步骤S101中获取攻击向量集升对应的漏洞防御规则,例如步骤S101中的三个攻击向量,对应的漏洞防御规则分别为:
硬编码凭证的漏洞防御规则:Authorization:BasicYWRtaW46ezEyMjEzQkQxLTY5QzctNDg2Mi04NDNELTI2MDUwMEQxREE0MH0=(使用特征字符串检测非法的认证信息)。
命令注入的漏洞防御规则:/board.cgi?cmd=(使用特征字符串检测非法请求URL)。
缓冲区溢出漏洞的漏洞防御规则:Content-Length:\d+(使用正则表达式对Content-Length进行校验)。
步骤S103,将每个物联网设备100的漏洞防御规则库进行存储。
步骤S104,在检测到每个物联网设备100存在更新的攻击向量时,根据该更新的攻击向量的攻击向量类型生成对应的更新漏洞防御规则,并将所述更新漏洞防御规则更新到对应的物联网设备100的漏洞防御规则库中,同时记录所述更新漏洞防御规则的更新时间节点。
在上述基础上,所述物联网设备100将所述最新漏洞防御规则进行存储,通过所述应用程序使用所述漏洞防御规则中的特征字符串检测接收到的未处理的网络报文中是否存在非法认证信息或非法请求URL,得到检测结果,并使用正则表达式对所述网络报文中的各个字段的进行匹配,得到匹配结果。
例如,可以根据上述的硬编码凭证的漏洞防御规则:Authorization:BasicYWRtaW46ezEyMjEzQkQxLTY5QzctNDg2Mi04NDNELTI2MDUwMEQxREE0MH0=,来检测网络报文中是否存在非法认证信息。
可以采用上述命令注入的漏洞防御规则:/board.cgi?cmd=,来检测网络报文中是否存在非法请求URL。
可以采用缓冲区溢出漏洞的漏洞防御规则:Content-Length:\d+,对所述网络报文中的各个字段,例如Content-Length进行校验。
接着,根据所述检测结果和所述匹配结果,在检测到所述网络报文中包括非法认证信息、非法请求URL和/或所述网络报文中的各个字段中包括恶意攻击数据时,判定网络报文为恶意报文。
仍旧参阅图2,在判断结果为是时,执行:
步骤S140,将该网络报文丢弃。
在判断结果为否时,执行:
步骤S150,对该网络报文进行下一步处理。
如此,当物联网设备100曝出漏洞后,厂商只需及时更新漏洞防御规则即可及时有效地封堵漏洞,以防漏洞被大规模恶意利用,同时保护了用户的隐私,且整个过程无需用户参与交互流程,相比于用户手动下载漏洞防御规则对物联网设备100进行更新的方式,极大程度地解放了用户。
进一步地,请参阅图4,为本申请实施例提供的上述物联网设备100的一种结构示意框图。本实施例中,所述物联网设备100可以由总线110作一般性的总线体系结构来实现。根据物联网设备100的具体应用和整体设计约束条件,总线110可以包括任意数量的互连总线和桥接。总线110将各种电路连接在一起,这些电路包括处理器120、存储介质130和总线接口140。可选地,物联网设备100可以使用总线接口140将网络适配器150等经由总线110连接。网络适配器150可用于实现物联网设备100中物理层的信号处理功能,并通过天线实现射频信号的发送和接收。用户接口160可以连接外部设备,例如:键盘、显示器、鼠标或者操纵杆等。总线110还可以连接各种其它电路,如定时源、***设备、电压调节器或者功率管理电路等,这些电路是本领域所熟知的,因此不再详述。
可以替换的,物联网设备100也可配置成通用处理***,例如通称为芯片,该通用处理***包括:提供处理功能的一个或多个微处理器,以及提供存储介质130的至少一部分的外部存储器,所有这些都通过外部总线体系结构与其它支持电路连接在一起。
可替换的,物联网设备100可以使用下述来实现:具有处理器120、总线接口140、用户接口160的ASIC(专用集成电路);以及集成在单个芯片中的存储介质130的至少一部分,或者,物联网设备100可以使用下述来实现:一个或多个FPGA(现场可编程门阵列)、PLD(可编程逻辑器件)、控制器、状态机、门逻辑、分立硬件部件、任何其它适合的电路、或者能够执行本申请通篇所描述的各种功能的电路的任意组合。
其中,处理器120负责管理总线110和一般处理(包括执行存储在存储介质130上的软件)。处理器120可以使用一个或多个通用处理器和/或专用处理器来实现。处理器120的例子包括微处理器、微控制器、DSP处理器和能够执行软件的其它电路。应当将软件广义地解释为表示指令、数据或其任意组合,而不论是将其称作为软件、固件、中间件、微代码、硬件描述语言还是其它。
在图4中存储介质130被示为与处理器120分离,然而,本领域技术人员很容易明白,存储介质130或其任意部分可位于物联网设备100之外。举例来说,存储介质130可以包括传输线、用数据调制的载波波形、和/或与无线节点分离开的计算机制品,这些介质均可以由处理器120通过总线接口140来访问。可替换地,存储介质130或其任意部分可以集成到处理器120中,例如,可以是高速缓存和/或通用寄存器。
综上所述,本申请实施例提供一种漏洞防御方法及***,物联网设备可以根据定时任务的触发自动从云服务器中同步最新的漏洞防御规则,将最新漏洞防御规则配置到本地,通过应用程序读取最新漏洞防御规则并基于最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文,在判断结果为是时,将该网络报文丢弃。如此,当物联网设备曝出漏洞后,厂商只需及时更新漏洞防御规则即可及时有效地封堵漏洞,以防漏洞被大规模恶意利用,同时保护了用户的隐私,且整个过程无需用户参与交互流程,相比于用户手动下载固件更新补丁对物联网设备进行漏洞修复的方式,极大程度地解放了用户。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
可以替换的,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其它可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的电子设备、服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,术语"包括"、"包含"或者其任何其它变体意在涵盖非排它性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句"包括一个……"限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种漏洞防御方法,其特征在于,应用于漏洞防御***,所述漏洞防御***包括相互之间通信连接的物联网设备以及云服务器,所述云服务器中预先存储有各个物联网设备对应的漏洞防御规则库,所述漏洞防御规则库中包括有各个时间节点更新的漏洞防御规则,所述方法包括:
所述物联网设备在检测到定时任务触发后,向所述云服务器发送漏洞防御规则获取请求;
所述云服务器响应所述漏洞防御规则获取请求从所述漏洞防御规则库中查找距离上一次所述物联网设备发送漏洞防御规则获取请求之后的时间节点更新的最新漏洞防御规则,并向所述物联网设备发送所述最新漏洞防御规则;
所述物联网设备将所述最新漏洞防御规则进行存储,通过对应的应用程序读取所述最新漏洞防御规则并基于所述最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文;
在判断结果为是时,将该网络报文丢弃。
2.根据权利要求1所述的漏洞防御方法,其特征在于,所述物联网设备在检测到定时任务触发后,向所述云服务器发送漏洞防御规则获取请求的步骤之前,所述方法还包括:
云服务器获取每个物联网设备的常见攻击向量集合;
根据所述常见攻击向量集合中的每个常见攻击向量的攻击向量类型生成对应的漏洞防御规则,以得到每个物联网设备的漏洞防御规则库;
将每个物联网设备的漏洞防御规则库进行存储;
在检测到每个物联网设备存在更新的攻击向量时,根据该更新的攻击向量的攻击向量类型生成对应的更新漏洞防御规则,并将所述更新漏洞防御规则更新到对应的物联网设备的漏洞防御规则库中,同时记录所述更新漏洞防御规则的更新时间节点。
3.根据权利要求1所述的漏洞防御方法,其特征在于,所述物联网设备在检测到定时任务触发后,向所述云服务器发送漏洞防御规则获取请求的步骤,包括:
所述物联网设备在检测到定时任务触发后,读取对应的漏洞防御规则库的域名信息,并基于所述域名信息向所述云服务器发送漏洞防御规则获取请求。
4.根据权利要求1所述的漏洞防御方法,其特征在于,所述云服务器响应所述漏洞防御规则获取请求从所述漏洞防御规则库中查找距离上一次所述物联网设备发送漏洞防御规则获取请求之后的时间节点更新的最新漏洞防御规则,并向所述物联网设备发送所述最新漏洞防御规则的步骤,包括:
所述云服务器对所述漏洞防御规则获取请求进行解析,获得所述物联网设备的设备信息;
根据所述设备信息查找所述物联网设备的漏洞防御规则库以及上一次所述物联网设备发送漏洞防御规则获取请求的第一时间节点;
判断所述漏洞防御规则库在第一时间时间之后是否存在更新的漏洞规则,若存在,则将更新的最新漏洞防御规则发送给所述物联网设备。
5.根据权利要求1所述的漏洞防御方法,其特征在于,所述通过对应的应用程序读取所述最新漏洞防御规则并基于所述最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文的步骤,包括:
通过所述应用程序使用所述漏洞防御规则中的特征字符串检测接收到的未处理的网络报文中是否存在非法认证信息或非法请求URL,得到检测结果,并使用正则表达式对所述网络报文中的各个字段的进行匹配,得到匹配结果;
根据所述检测结果和所述匹配结果,在检测到所述网络报文中包括非法认证信息、非法请求URL和/或所述网络报文中的各个字段中包括恶意攻击数据时,判定网络报文为恶意报文。
6.根据权利要求1所述的漏洞防御方法,其特征在于,所述通过对应的应用程序读取所述最新漏洞防御规则并基于所述最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文的步骤之后,所述方法还包括:
在判定结果为否时,对该网络报文进行下一步处理。
7.一种漏洞防御***,其特征在于,所述漏洞防御***包括相互之间通信连接的物联网设备以及云服务器,所述云服务器中预先存储有各个物联网设备对应的漏洞防御规则库,所述漏洞防御规则库中包括有各个时间节点更新的漏洞防御规则;
所述物联网设备,用于在检测到定时任务触发后,向所述云服务器发送漏洞防御规则获取请求;
所述云服务器,用于响应所述漏洞防御规则获取请求从所述漏洞防御规则库中查找距离上一次所述物联网设备发送漏洞防御规则获取请求之后的时间节点更新的最新漏洞防御规则,并向所述物联网设备发送所述最新漏洞防御规则;
所述物联网设备,用于将所述最新漏洞防御规则进行存储,通过对应的应用程序读取所述最新漏洞防御规则并基于所述最新漏洞防御规则判断接收到的未处理的网络报文是否为恶意报文,在判断结果为是时,将该网络报文丢弃。
8.根据权利要求7所述的漏洞防御***,其特征在于:
所述云服务器,还用于获取每个物联网设备的常见攻击向量集合;
根据所述常见攻击向量集合中的每个常见攻击向量的攻击向量类型生成对应的漏洞防御规则,以得到每个物联网设备的漏洞防御规则库;
将每个物联网设备的漏洞防御规则库进行存储;
在检测到每个物联网设备存在更新的攻击向量时,根据该更新的攻击向量的攻击向量类型生成对应的更新漏洞防御规则,并将所述更新漏洞防御规则更新到对应的物联网设备的漏洞防御规则库中,同时记录所述更新漏洞防御规则的更新时间节点。
9.根据权利要求7所述的漏洞防御***,其特征在于,所述云服务器,还用于:
对所述漏洞防御规则获取请求进行解析,获得所述物联网设备的设备信息;
根据所述设备信息查找所述物联网设备的漏洞防御规则库以及上一次所述物联网设备发送漏洞防御规则获取请求的第一时间节点;
判断所述漏洞防御规则库在第一时间时间之后是否存在更新的漏洞规则,若存在,则将更新的最新漏洞防御规则发送给所述物联网设备。
10.根据权利要求7所述的漏洞防御***,其特征在于,所述物联网设备,还用于:
通过所述应用程序使用所述漏洞防御规则中的特征字符串检测接收到的未处理的网络报文中是否存在非法认证信息或非法请求URL,得到检测结果,并使用正则表达式对所述网络报文中的各个字段的进行匹配,得到匹配结果;
根据所述检测结果和所述匹配结果,在检测到所述网络报文中包括非法认证信息、非法请求URL和/或所述网络报文中的各个字段中包括恶意攻击数据时,判定网络报文为恶意报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811372235.8A CN109218336B (zh) | 2018-11-16 | 2018-11-16 | 漏洞防御方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811372235.8A CN109218336B (zh) | 2018-11-16 | 2018-11-16 | 漏洞防御方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109218336A CN109218336A (zh) | 2019-01-15 |
| CN109218336B true CN109218336B (zh) | 2021-02-19 |
Family
ID=64995717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811372235.8A Active CN109218336B (zh) | 2018-11-16 | 2018-11-16 | 漏洞防御方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109218336B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109885430B (zh) * | 2019-02-20 | 2021-06-29 | 广州视源电子科技股份有限公司 | ***安全隐患的修复方法、装置、修复***、设备和介质 |
| CN109714371B (zh) * | 2019-03-12 | 2021-07-09 | 国网新疆电力有限公司电力科学研究院 | 一种工控网络安全检测*** |
| CN109818972B (zh) * | 2019-03-12 | 2021-07-09 | 国网新疆电力有限公司电力科学研究院 | 一种工业控制***信息安全管理方法、装置及电子设备 |
| CN112152972A (zh) * | 2019-06-28 | 2020-12-29 | 北京奇虎科技有限公司 | 检测iot设备漏洞的方法和装置、路由器 |
| CN110298179B (zh) * | 2019-07-10 | 2021-11-16 | 中国民航信息网络股份有限公司 | 开源框架安全漏洞检测方法及装置 |
| US11765131B2 (en) * | 2019-10-07 | 2023-09-19 | Schlumberger Technology Corporation | Security system and method for pressure control equipment |
| CN111090470A (zh) * | 2019-10-15 | 2020-05-01 | 平安科技(深圳)有限公司 | 云主机的安全启动方法、装置、计算机设备和存储介质 |
| CN110909365B (zh) * | 2019-12-03 | 2022-07-05 | 中国石油化工股份有限公司 | 安全补丁推送方法和装置 |
| CN111163101B (zh) * | 2019-12-31 | 2022-04-15 | 奇安信科技集团股份有限公司 | 入侵防御规则动态调整方法、装置,电子设备和存储介质 |
| CN111797403B (zh) * | 2020-06-21 | 2021-03-05 | 佛山市勇合科技有限公司 | 基于大数据和物联网的数据处理方法及云计算服务器中心 |
| CN113014571B (zh) * | 2021-02-22 | 2022-03-25 | 腾讯科技(深圳)有限公司 | 一种访问请求处理的方法、装置及存储介质 |
| CN113098902A (zh) * | 2021-04-29 | 2021-07-09 | 深圳融安网络科技有限公司 | 网络设备漏洞管理方法、装置、管理终端设备及存储介质 |
| CN113239065A (zh) * | 2021-06-25 | 2021-08-10 | 深圳市合美鑫精密电子有限公司 | 基于大数据的安全拦截规则更新方法及人工智能安全*** |
| CN113761539B (zh) * | 2021-08-06 | 2023-10-17 | 中国科学院软件研究所 | 一种鸿蒙安全漏洞防御方法和*** |
| CN114817929B (zh) * | 2022-04-19 | 2022-11-22 | 北京天防安全科技有限公司 | 物联网漏洞动态追踪和处理方法、装置、电子设备及介质 |
| CN117319089B (zh) * | 2023-11-27 | 2024-03-12 | 杭州海康威视数字技术股份有限公司 | 基于语义感知策略自生成的物联网自防御方法及装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916376A (zh) * | 2013-01-09 | 2014-07-09 | 台达电子工业股份有限公司 | 具攻击防护机制的云端***及其防护方法 |
| CN104038488A (zh) * | 2014-06-05 | 2014-09-10 | 深信服网络科技(深圳)有限公司 | ***网络安全的防护方法及装置 |
| CN105553917B (zh) * | 2014-10-28 | 2020-05-12 | 腾讯科技(深圳)有限公司 | 一种网页漏洞的检测方法和*** |
| US9860681B2 (en) * | 2015-01-06 | 2018-01-02 | Afero, Inc. | System and method for selecting a cell carrier to connect an IOT hub |
| US9774604B2 (en) * | 2015-01-16 | 2017-09-26 | Zingbox, Ltd. | Private cloud control |
| CN105938533B (zh) * | 2016-03-03 | 2019-01-22 | 杭州迪普科技股份有限公司 | 一种***漏洞的扫描方法和扫描装置 |
| CN106921731B (zh) * | 2017-01-24 | 2021-06-22 | 北京奇虎科技有限公司 | 漏洞修复方法及装置 |
| CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
| CN107395593B (zh) * | 2017-07-19 | 2020-12-04 | 深信服科技股份有限公司 | 一种漏洞自动化防护方法、防火墙及存储介质 |
| CN107580005A (zh) * | 2017-11-01 | 2018-01-12 | 北京知道创宇信息技术有限公司 | 网站防护方法、装置、网站防护设备及可读存储介质 |
-
2018
- 2018-11-16 CN CN201811372235.8A patent/CN109218336B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109218336A (zh) | 2019-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109218336B (zh) | 漏洞防御方法及*** | |
| US10666686B1 (en) | Virtualized exploit detection system | |
| US10834107B1 (en) | Launcher for setting analysis environment variations for malware detection | |
| EP3814961B1 (en) | Analysis of malware | |
| CN109583193B (zh) | 目标攻击的云检测、调查以及消除的***和方法 | |
| EP3474176B1 (en) | System and method of detecting a malicious file | |
| US8726387B2 (en) | Detecting a trojan horse | |
| US10133863B2 (en) | Zero-day discovery system | |
| US10192052B1 (en) | System, apparatus and method for classifying a file as malicious using static scanning | |
| US9773112B1 (en) | Exploit detection of malware and malware families | |
| US9973531B1 (en) | Shellcode detection | |
| US20180020002A1 (en) | System and method for filtering internet traffic and optimizing same | |
| US9100426B1 (en) | Systems and methods for warning mobile device users about potentially malicious near field communication tags | |
| US8595840B1 (en) | Detection of computer network data streams from a malware and its variants | |
| CN106797375B (zh) | 恶意软件代理的行为检测 | |
| CN112261172B (zh) | 服务寻址访问方法、装置、***、设备及介质 | |
| WO2018182126A1 (ko) | 안전 소프트웨어 인증 시스템 및 방법 | |
| US9178904B1 (en) | Systems and methods for detecting malicious browser-based scripts | |
| US20210334375A1 (en) | Malicious Event Detection in Computing Environments | |
| Wu et al. | Detect repackaged android application based on http traffic similarity | |
| US9942267B1 (en) | Endpoint segregation to prevent scripting attacks | |
| CN112131041A (zh) | 用于管理数据放置的方法、设备和计算机程序产品 | |
| US9239907B1 (en) | Techniques for identifying misleading applications | |
| US9465921B1 (en) | Systems and methods for selectively authenticating queries based on an authentication policy | |
| EP3758330A1 (en) | System and method of determining a trust level of a file |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant after: Beijing Zhichuangyu Information Technology Co., Ltd. Address before: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant before: Beijing Knows Chuangyu Information Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |