CN110336770A - 远程监测漏洞的方法、装置、设备和存储介质 - Google Patents
远程监测漏洞的方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN110336770A CN110336770A CN201910269113.4A CN201910269113A CN110336770A CN 110336770 A CN110336770 A CN 110336770A CN 201910269113 A CN201910269113 A CN 201910269113A CN 110336770 A CN110336770 A CN 110336770A
- Authority
- CN
- China
- Prior art keywords
- domain name
- server
- loophole
- domain
- remote command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 81
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000004044 response Effects 0.000 claims abstract description 66
- 239000000284 extract Substances 0.000 claims abstract description 23
- 238000012545 processing Methods 0.000 claims description 19
- 238000013507 mapping Methods 0.000 claims description 4
- 238000001514 detection method Methods 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 229910002056 binary alloy Inorganic materials 0.000 description 3
- 235000013399 edible fruits Nutrition 0.000 description 3
- 241000208340 Araliaceae Species 0.000 description 2
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 2
- 235000003140 Panax quinquefolius Nutrition 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 235000008434 ginseng Nutrition 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及漏洞检测技术领域,尤其涉及一种远程监测漏洞的方法、装置、设备和存储介质,包括:获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器;获取所述解析服务器对所述响应数据的解析结果,提取所述解析结果中的域名信息,发送所述域名信息至监测服务器;遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,若所述域名信息符合所述域名规则,则所述目标服务器执行远程命令时不存在漏洞,否则存在漏洞。本申请通过对解析服务器对目标服务器域名进行解析,可监测无页面返回的存在命令执行漏洞的程序。
Description
技术领域
本申请涉及漏洞检测技术领域,尤其涉及一种远程监测漏洞的方法、装置、设备和存储介质。
背景技术
远程命令执行漏洞是一种常见的高危害级别的漏洞,通过这个漏洞,能够让攻击者在远程服务器上执行指定的命令。远程命令执行漏洞传统的验证方式是通过执行***命令,把命令的输出内容回显到页面上来验证命令是否存在。然而有些远程命令执行漏洞有些是不能通过回显页面的方式进行判断的,因此单纯通过回显页面的特性字符进行判断,无法精确的获得所有漏洞。
发明内容
基于此,有必要针对有些远程命令执行漏洞有些是不能通过回显页面的方式进行判断的问题,提供一种远程监测漏洞的方法、装置、设备和存储介质
一种远程监测漏洞的方法,包括:
获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器;
获取所述解析服务器对所述响应数据的解析结果,提取所述解析结果中的域名信息,发送所述域名信息至监测服务器;
遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,若所述域名信息符合所述域名规则,则所述目标服务器执行远程命令时不存在漏洞,否则存在漏洞。
在一个可能的实施例中,所述获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器,包括:
接收远程命令的触发请求,根据所述远程命令的触发请求,获取远程命令的开关参数;
向所述目标服务器发送所述远程命令,接收所述目标服务器对所述远程命令的响应数据;
获取所述目标服务器的域名,根据所述目标服务器的域名对应的密钥对所述响应数据进行加密;若所述开关参数为关闭,则发送加密后的响应数据至域名解析服务器,若所述开关参数为开启,则不发送加密后的响应数据。
在一个可能的实施例中,所述获取所述解析服务器对所述响应数据的解析结果,提取所述解析结果中的域名信息,发送所述域名信息至监测服务器,包括:
获取所述解析服务器的域名解析密钥,根据所述域名解析密钥对所述响应数据进行解密;
根据预设的域名特征字符和域名长度,从解密结果中抽取出包含有域名信息的域名字段;
抽取所述域名字段中的数字信息,发送所述数字信息至所述监测服务器。
在一个可能的实施例中,所述遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,若所述域名信息符合所述域名规则,则所述目标服务器执行远程命令时不存在漏洞,否则存在漏洞,包括:
获取预设的域名特征字符和域名长度阈值,根据所述域名特征字符和所述域名长度阈值,遍历所述监测服务器的存储单元中的文本文件;
抽取所述文本文件中所有包含所述域名特征字符的文本字符串,所述文本字符串为域名规则字符串;
将所述域名信息与所述域名规则字符串进行文本相似度比较,若所述文本相似度大于预设的相似度阈值,则所述域名信息符合所述域名规则,所述目标服务器执行远程命令时不存在漏洞,否则所述域名信息不符合上所述域名规则,所述远程命令存在漏洞。
在一个可能的实施例中,在所述获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器之前,所述方法还包括:
获取所述目标服务器的原始域名,调用随机值生成工具生成随机值;
拼接所述原始域名和所述随机值得到所述目标服务器的域名信息。
在一个可能的实施例中,所述遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,若所述域名信息符合所述域名规则,则所述目标服务器执行远程命令时不存在漏洞,否则存在漏洞之后,还包括:
若所述目标服务器发生***版本更新,则检测所述目标服务器的域名信息是否发生改变;
若所述目标服务器的域名信息发生改变,则重新发送新的响应数据至所述解析服务器,否则不发送。
一种远程监测漏洞的装置,包括以下模块:
收发模块,设置为获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器;获取所述解析服务器对所述响应数据的解析结果,提取所述解析结果中的域名信息,发送所述域名信息至监测服务器;
处理模块,设置为遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,判断所述远程命令是否存在漏洞。
在一个可能的实施例中,所述收发模块还用于:
接收远程命令的触发请求,根据所述远程命令的触发请求,获取远程命令的开关参数;向所述目标服务器发送所述远程命令,接收所述目标服务器对所述远程命令的响应数据;获取所述目标服务器的域名,根据所述处理模块对所述开关参数的判断结果,发送或者不发送所述处理模块加密后的响应数据。
一种计算机设备,所述设备包括:至少一个处理器、存储器和收发器;其中,所述存储器用于存储程序代码,所述处理器用于调用所述存储器中存储的程序代码来执行上述远程监测漏洞的方法。
一种存储有计算机可读指令的存储介质,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述远程监测漏洞的方法的步骤。
与现有机制相比,本申请具有以下优点:
(1)通过对解析服务器对目标服务器域名进行解析,可监测无页面返回的存在命令执行漏洞的程序;
(2)通过对域名信息与域名规则中的字符串进行比较,可以有效的判断服务器在执行远程命令后是否存在着漏洞;
(3)利用密钥加解密,提升了漏洞监测过程的准确性。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。
图1为本申请在一个实施例中的一种远程监测漏洞的方法的整体流程图;
图2为本申请在一个实施例中的一种远程监测漏洞的方法中的响应数据获取过程示意图;
图3为本申请在一个实施例中的一种远程监测漏洞的方法中的域名加密过程示意图;
图4为本申请在一个实施例中的一种远程监测漏洞的方法中的漏洞分析过程示意图;
图5为本申请在一个实施例中的一种远程监测漏洞的装置的结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。
图1为本申请在一个实施例中的一种远程监测漏洞的方法的整体流程图,如图1所示,一种远程监测漏洞的方法,包括以下步骤:
S1、获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器;
具体的,目标服务器在执行所述远程命令后在网络业务接口上会发生参数变化,这些变化可以通过对目标服务器中各个网络业务接口中所使用的函数值进行监控。即在发送向目标服务器发送远程命令后,在预设的时间节点到来后,遍历所述目标服务器的各个业务接口,获取业务接口的各个业务函数的函数值,抽取出发生变化的函数值,作为所述响应数据,发送所述响应数据至解析服务器。
S2、获取所述解析服务器对所述响应数据的解析结果,提取所述解析结果中的域名信息,发送所述域名信息至监测服务器;
具体的,解析服务器在对所述响应数据进行解析时,首先要对响应数据的来源进行解析,所述响应数据包含有能够反应目标服务器域名信息的字符段。然后,对包含有反应目标服务器域名信息的字符段赋予一个特定的关键参数,最后,对赋予关键参数后的包含有目标服务器域名信息的字符段进行加密处理得到加密后的域名信息,发送加密后的域名信息至所述监测服务器。其中,加密处理可以采用的算法又哈希加密算法,对称加密算法,base64为加密算法等。
S3、遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,若所述域名信息符合所述域名规则,则所述目标服务器执行远程命令时不存在漏洞,否则存在漏洞。
具体的,在监测服务器中保存至少一个包含规则的文件,域名规则可以是XXX.XX.com,XXX.XX.org或者是XX.XXX.com等,其中每一个间隔符之间的字符数量不同,例如XXX.XX.com和XX.XXX.com就是两个不同的域名规则。
在将域名信息和域名规则进行比较时,首先要比较间隔符“.”的数量,然后在间隔符数量一致后,再比较间隔符之间字符的数量。只有当间隔符的位置和数量均符合域名规则,则所述目标服务器执行远程命令时不存在漏洞。
本实施例,通过对解析服务器对目标服务器域名进行解析,可监测无页面返回的存在命令执行漏洞的程序。
图2为本申请在一个实施例中的一种远程监测漏洞的方法中的响应数据获取过程示意图,如图所示,所述S1、获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器,包括:
S11、接收远程命令的触发请求,根据所述远程命令的触发请求,获取远程命令的开关参数;
具体的,远程命令的触发请求可由用户输入,其可用于触发远程命令,以使客户端向服务器发送对应远程命令。在在根据所述远程命令的触发请求进行开关参数获取时,可以采用如下方式:
若触发请求中携带有命令文件的地址信息,则从所述远程命令文件中进行开关参数关键字提取,开关参数只有两个即“开”和“关”。所述远程命令文件中记录的开关参数的数目可以与远程命令的数目相同,以标识每个远程命令是否需要客户端进行交互。开关参数的预设位置可以为第一行或者最后一行或者预设行号等。
S12、向所述目标服务器发送所述远程命令,接收所述目标服务器对所述远程命令的响应数据;
其中,在进行响应数据接收时,可以选对目标服务器的工作状态进行判断,通常是利用心跳机制对目标服务器是否正常接收信号进行判断。
S13、获取所述目标服务器的域名,根据所述目标服务器的域名对应的密钥对所述响应数据进行加密;若所述开关参数为关闭,则发送加密后的响应数据至域名解析服务器,若所述开关参数为开启,则不发送加密后的响应数据。
具体的,密钥可以是根据base64加密算法,比如tset date用base64加密变为dGVzdCUyMGRhdGE,将加密后的字符串传送至所述http服务器中;
其中base64算法加密方法如下:
a、将源文件以标准字节(byte)为单位转化为二进制;
b、将二进制串以base64特有的规则再转化为base64格式的字符;
比如ABC的二进制是01000001、01000010、01000011,这样源文件就形成了每8个bit一组的一串二进制,再将这些二进制串以base64特有的规则(每个字节占6个位)再转化成010000、010100、001001、000011,其对应的base64十进制为16、20、9、3,根据base64编码表得到base64字符为QUJD。
本实施例,通过利用密钥加解密,提升了漏洞监测过程的准确性。
图3为本申请在一个实施例中的一种远程监测漏洞的方法中的域名加密过程示意图,如图所示,所述S2、获取所述解析服务器对所述响应数据的解析结果,提取所述解析结果中的域名信息,发送所述域名信息至监测服务器,包括:
S21、获取所述解析服务器的域名解析密钥,根据所述域名解析密钥对所述响应数据进行解密;
其中,解析密钥所采用的加密算法与目标服务器所使用的加密算法类似,即解析密钥可以采用哈希密钥、对称密钥等。
S22、根据预设的域名特征字符和域名长度,从解密结果中抽取出包含有域名信息的域名字段;
其中,域名特征字符可以是一级域名的字符,如“.com”、“.org”等,域名长度以采用base64加密算法加密后的域名长度为例,原域名为aa.dns.test.com,经过base64加密算法加密后得到的域名为zdCUyMGRhdGE.aa.dns.test.com,则域名长度由“zdCUyMGRhdGE”长度决定。
S23、抽取所述域名字段中的数字信息,发送所述数字信息至所述监测服务器。
在本步骤中,域名中的数字信息可以是二进制数字信息,十进制数字信息,也可以是十六进制数字信息,对于数字信息的制式,可以根据前述的加密算法对应的加密结果决定。
本实施例,通过对域名信息与域名规则中的字符串进行比较,可以有效的判断服务器在执行远程命令后是否存在着漏洞。
图4为本申请在一个实施例中的一种远程监测漏洞的方法中的漏洞分析过程示意图,如图所示,所述S3、获遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,若所述域名信息符合所述域名规则,则所述目标服务器执行远程命令时不存在漏洞,否则存在漏洞,包括:
S31、获取预设的域名特征字符和域名长度阈值,根据所述域名特征字符和所述域名长度阈值,遍历所述监测服务器的存储单元中的文本文件;
其中,服务器的存储单元可以是服务硬盘,在对服务器硬盘中的文本文件进行遍历时,遍历条件可以是文件名称,例如一般保存有域名规则的文件通常会命名为“域名XX”,这样就可以使用SQL语言对服务器硬盘进行查询,进而获得带有域名规则的文本文件。
S32、抽取所述文本文件中所有包含所述域名特征字符的文本字符串,所述文本字符串为域名规则字符串;
其中,域名特征字符通常是一级域名的字符,如“.com”、“.org”等,根据预设的域名字符串长度阈值,抽取出小于所述长度阈值包含有一级域名名称的字符串作为域名规则字符串。
S33、将所述域名信息与所述域名规则字符串进行文本相似度比较,若所述文本相似度大于预设的相似度阈值,则所述域名信息符合所述域名规则,所述目标服务器执行远程命令时不存在漏洞,否则所述域名信息不符合上所述域名规则,所述远程命令存在漏洞。
具体的,在进行文本相似性比较时可以采用常用的文本比较算法,如欧氏距离算法、汉明距离算法和余弦算法等。
本实施例,通过相似度计算可以提升远程执行命令漏洞监测的准确率。
在一个实施例中,在所述S1、获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器之前,所述方法还包括:
获取所述目标服务器的原始域名,调用随机值生成工具生成随机值;
拼接所述原始域名和所述随机值得到所述目标服务器的域名信息。
具体的,随机值工具可以根据哈希算法计算哈希值的方式得到随机值,也可以通过JAVA中产生随机值的函数进行随机值的产生,如Math.random()等。在将所述原始域名和所述随机值进行拼接时,可以将原始域名置于随机值前端,也可以置于后端,如原始域名为aa.hhh.com,随机值为05,则拼接后得到的域名信息为05aa.hh.com后者是aa.hh.com05。
在一个实施例中,所述S3、遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,若所述域名信息符合所述域名规则,则所述目标服务器执行远程命令时不存在漏洞,否则存在漏洞之后,还包括:
若所述目标服务器发生***版本更新,则检测所述目标服务器的域名信息是否发生改变;
若所述目标服务器的域名信息发生改变,则重新发送新的响应数据至所述解析服务器,否则不发送。
一般的,服务器会定期进行***升级改造,在进行升级改造时会对服务器的动态域名进行改变,在对服务器域名进行检测时可以通过域名解析服务器对域名DNS代码进行解析,如果DNS代码没有发生改变,则目标服务器域名信息不变,否则发生改变。
本实施例,可以避免因为服务器***升级导致域名改变,从而无法准确获得服务器漏洞信息的问题。
在一个实施例中,提出了一种远程监测漏洞的装置,如图5所示,包括如下模块:
收发模块,设置为获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器;获取所述解析服务器对所述响应数据的解析结果,提取所述解析结果中的域名信息,发送所述域名信息至监测服务器;
处理模块,设置为遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,判断所述远程命令是否存在漏洞。
处理模块可用于控制所述收发模块的收发操作。所述远程监测漏洞的装置具有实现对应于上述图1-图4所对应的实施例中提供的远程监测漏洞的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
在其中一个实施例中,所述收发模块还用于:
接收远程命令的触发请求,根据所述远程命令的触发请求,获取远程命令的开关参数;向所述目标服务器发送所述远程命令,接收所述目标服务器对所述远程命令的响应数据;获取所述目标服务器的域名,根据所述处理模块对所述开关参数的判断结果,发送或者不发送所述处理模块加密后的响应数据。
本实施例中,所述收发模块通过所述处理模块对开关参数的判断结果,选择发送或者不发送加密后的响应数据,从而有效的根据目标服务器的性能参数进行远程漏洞的监测,避免了因为目标服务器性能参数导致无法及时对加密后的响应数据进行发送,导致不能及时获得目标服务器的监测结果的问题。
在其中一个实施例中,所述处理模块还用于:
获取所述解析服务器的域名解析密钥,根据所述域名解析密钥对所述响应数据进行解密;根据预设的域名特征字符和域名长度,从解密结果中抽取出包含有域名信息的域名字段;抽取所述域名字段中的数字信息,通过所述收发模块发送所述数字信息至所述监测服务器。
本实施例,处理模块通过对对域名密钥进行解密分析,从而有效的提取出目标服务器的特征属性,在本实施例中特征属性为域名字段中的数字信息,这些数字信息可以是二进制字符、十进制字符或者十六进制的字符等。
在本实施例中,通过处理模块对响应数据进行有效解密,从而避免了因为缺乏反馈信息界面导致无法对远程漏洞进行有效的监测。
在其中一个实施例中,所述处理模块还用于:
获取预设的域名特征字符和域名长度阈值,根据所述域名特征字符和所述域名长度阈值,遍历所述监测服务器的存储单元中的文本文件;抽取所述文本文件中所有包含所述域名特征字符的文本字符串,所述文本字符串为域名规则字符串;将所述域名信息与所述域名规则字符串进行文本相似度比较,判断远程命令存在漏洞。
本实施例中,应用处理模块对文本文件中所有包含所述域名特征字符的文本字符串和域名规则字符串进行比较时,可以在处理模块中应用常用的文本比较算法进行计算,如余弦算法,处理模块在接收到进行两个文本余弦值比较的指令后,进行余弦值的计算得出余弦值,在将余弦值与存储在硬盘中的余弦阈值进行比较,余弦值小于阈值则发出目标服务存在漏洞的信号。
通过利用处理模块计算文本相似性,可以简单有效的获得目标服务器在执行远程命令后是否存在漏洞的结论。
在一个实施例中,提出了一种计算机设备,至少一个处理器、存储器和收发器;
其中,所述存储器用于存储程序代码,所述处理器用于调用所述存储器中存储的程序代码来执行上述各实施例中的所述远程监测漏洞的方法的步骤。
在一个实施例中,提出了一种存储有计算机可读指令的存储介质,该计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述各实施例中的所述远程监测漏洞的方法的步骤。其中,所述存储介质可以为非易失性存储介质。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁盘或光盘等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请一些示例性实施例,其中描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种远程监测漏洞的方法,其特征在于,包括:
获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器;
获取所述解析服务器对所述响应数据的解析结果,提取所述解析结果中的域名信息,发送所述域名信息至监测服务器;
遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,若所述域名信息符合所述域名规则,则所述目标服务器执行远程命令时不存在漏洞,否则存在漏洞。
2.根据权利要求1所述的远程监测漏洞的方法,其特征在于,所述获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器,包括:
接收远程命令的触发请求,根据所述远程命令的触发请求,获取远程命令的开关参数;
向所述目标服务器发送所述远程命令,接收所述目标服务器对所述远程命令的响应数据;
获取所述目标服务器的域名,根据所述目标服务器的域名对应的密钥对所述响应数据进行加密;若所述开关参数为关闭,则发送加密后的响应数据至域名解析服务器,若所述开关参数为开启,则不发送加密后的响应数据。
3.根据权利要求2所述的远程监测漏洞的方法,其特征在于,所述获取所述解析服务器对所述响应数据的解析结果,提取所述解析结果中的域名信息,发送所述域名信息至监测服务器,包括:
获取所述解析服务器的域名解析密钥,根据所述域名解析密钥对所述响应数据进行解密;
根据预设的域名特征字符和域名长度,从解密结果中抽取出包含有域名信息的域名字段;
抽取所述域名字段中的数字信息,发送所述数字信息至所述监测服务器。
4.根据权利要求1所述的远程监测漏洞的方法,其特征在于,所述遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,若所述域名信息符合所述域名规则,则所述目标服务器执行远程命令时不存在漏洞,否则存在漏洞,包括:
获取预设的域名特征字符和域名长度阈值,根据所述域名特征字符和所述域名长度阈值,遍历所述监测服务器的存储单元中的文本文件;
抽取所述文本文件中所有包含所述域名特征字符的文本字符串,所述文本字符串为域名规则字符串;
将所述域名信息与所述域名规则字符串进行文本相似度比较,若所述文本相似度大于预设的相似度阈值,则所述域名信息符合所述域名规则,所述目标服务器执行远程命令时不存在漏洞,否则所述域名信息不符合上所述域名规则,所述远程命令存在漏洞。
5.根据权利要求1所述的远程监测漏洞的方法,其特征在于,在所述获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器之前,所述方法还包括:
获取所述目标服务器的原始域名,调用随机值生成工具生成随机值;
拼接所述原始域名和所述随机值得到所述目标服务器的域名信息。
6.根据权利要求1所述的远程监测漏洞的方法,其特征在于,所述遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,若所述域名信息符合所述域名规则,则所述目标服务器执行远程命令时不存在漏洞,否则存在漏洞之后,还包括:
若所述目标服务器发生***版本更新,则检测所述目标服务器的域名信息是否发生改变;
若所述目标服务器的域名信息发生改变,则重新发送新的响应数据至所述解析服务器,否则不发送。
7.一种远程监测漏洞的装置,其特征在于,包括以下模块:
收发模块,设置为获取目标服务器执行远程命令后得到的响应数据,发送所述响应数据至解析服务器;获取所述解析服务器对所述响应数据的解析结果,提取所述解析结果中的域名信息,发送所述域名信息至监测服务器;
处理模块,设置为遍历所述监测服务器的存储单元,抽取出所述监测服务器存储的所有域名规则,将所述域名信息与所述域名规则进行比较,判断所述远程命令是否存在漏洞。
8.根据权利要求7所述的远程监测漏洞的装置,其特征在于,所述收发模块还用于:
接收远程命令的触发请求,根据所述远程命令的触发请求,获取远程命令的开关参数;向所述目标服务器发送所述远程命令,接收所述目标服务器对所述远程命令的响应数据;获取所述目标服务器的域名,根据所述处理模块对所述开关参数的判断结果,发送或者不发送所述处理模块加密后的响应数据。
9.一种计算机设备,其特征在于,所述设备包括:
至少一个处理器、存储器和收发器;
其中,所述存储器用于存储程序代码,所述处理器用于调用所述存储器中存储的程序代码来执行如权利要求1-6中任一项所述远程监测漏洞的方法。
10.一种计算机存储介质,其特征在于,其包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-6中任一项所述远程监测漏洞的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910269113.4A CN110336770A (zh) | 2019-04-04 | 2019-04-04 | 远程监测漏洞的方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910269113.4A CN110336770A (zh) | 2019-04-04 | 2019-04-04 | 远程监测漏洞的方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110336770A true CN110336770A (zh) | 2019-10-15 |
Family
ID=68139234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910269113.4A Pending CN110336770A (zh) | 2019-04-04 | 2019-04-04 | 远程监测漏洞的方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110336770A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111988293A (zh) * | 2020-08-10 | 2020-11-24 | 广州通达汽车电气股份有限公司 | 一种车载路由器域名过滤方法、装置、设备及存储介质 |
| CN112699381A (zh) * | 2021-02-07 | 2021-04-23 | 浙江御安信息技术有限公司 | 一种基于Socket协议的漏洞检测装置和漏洞检测方法 |
| CN113495999A (zh) * | 2020-06-05 | 2021-10-12 | 海信集团有限公司 | 一种智能终端及隐私风险监测的方法 |
| WO2023216792A1 (zh) * | 2022-05-07 | 2023-11-16 | 华为技术有限公司 | 一种检测攻击的方法及装置 |
| CN117240609A (zh) * | 2023-11-10 | 2023-12-15 | 深圳海云安网络安全技术有限公司 | 一种基于漏洞动态验证的网络安全监控方法及*** |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428307A (zh) * | 2013-08-09 | 2013-12-04 | 中国科学院计算机网络信息中心 | 仿冒域名检测方法及设备 |
| CN105897752A (zh) * | 2016-06-03 | 2016-08-24 | 北京奇虎科技有限公司 | 未知域名的安全检测方法及装置 |
| CN107291524A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种远程命令的处理方法和装置 |
| CN108989355A (zh) * | 2018-09-07 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种漏洞检测方法和装置 |
| CN109302433A (zh) * | 2018-12-17 | 2019-02-01 | 深信服科技股份有限公司 | 远程命令执行漏洞的检测方法、装置、设备及存储介质 |
| CN109428878A (zh) * | 2017-09-01 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、检测装置和检测*** |
-
2019
- 2019-04-04 CN CN201910269113.4A patent/CN110336770A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428307A (zh) * | 2013-08-09 | 2013-12-04 | 中国科学院计算机网络信息中心 | 仿冒域名检测方法及设备 |
| CN107291524A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种远程命令的处理方法和装置 |
| CN105897752A (zh) * | 2016-06-03 | 2016-08-24 | 北京奇虎科技有限公司 | 未知域名的安全检测方法及装置 |
| CN109428878A (zh) * | 2017-09-01 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、检测装置和检测*** |
| CN108989355A (zh) * | 2018-09-07 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种漏洞检测方法和装置 |
| CN109302433A (zh) * | 2018-12-17 | 2019-02-01 | 深信服科技股份有限公司 | 远程命令执行漏洞的检测方法、装置、设备及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113495999A (zh) * | 2020-06-05 | 2021-10-12 | 海信集团有限公司 | 一种智能终端及隐私风险监测的方法 |
| CN111988293A (zh) * | 2020-08-10 | 2020-11-24 | 广州通达汽车电气股份有限公司 | 一种车载路由器域名过滤方法、装置、设备及存储介质 |
| CN111988293B (zh) * | 2020-08-10 | 2021-10-15 | 广州通达汽车电气股份有限公司 | 一种车载路由器域名过滤方法、装置、设备及存储介质 |
| CN112699381A (zh) * | 2021-02-07 | 2021-04-23 | 浙江御安信息技术有限公司 | 一种基于Socket协议的漏洞检测装置和漏洞检测方法 |
| CN112699381B (zh) * | 2021-02-07 | 2024-04-16 | 浙江御安信息技术有限公司 | 一种基于Socket协议的漏洞检测装置和漏洞检测方法 |
| WO2023216792A1 (zh) * | 2022-05-07 | 2023-11-16 | 华为技术有限公司 | 一种检测攻击的方法及装置 |
| CN117240609A (zh) * | 2023-11-10 | 2023-12-15 | 深圳海云安网络安全技术有限公司 | 一种基于漏洞动态验证的网络安全监控方法及*** |
| CN117240609B (zh) * | 2023-11-10 | 2024-01-26 | 深圳海云安网络安全技术有限公司 | 一种基于漏洞动态验证的网络安全监控方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110336770A (zh) | 远程监测漏洞的方法、装置、设备和存储介质 | |
| CN104144419B (zh) | 一种身份验证的方法、装置及*** | |
| US8554740B2 (en) | Recording a log of operations | |
| US9350739B2 (en) | Recovery from rolling security token loss | |
| WO2015062378A1 (zh) | 一种客户端应用程序的用户注册方法、移动终端及服务器 | |
| CN107911381A (zh) | 应用程序编程接口的访问方法、***、服务端及客户端 | |
| US10725751B2 (en) | Generating a predictive data structure | |
| CN110311886A (zh) | 服务器漏洞检测方法、装置、设备和存储介质 | |
| US6925566B1 (en) | Remote system integrity verification | |
| CN108809890A (zh) | 漏洞检测方法、测试服务器及客户端 | |
| CN114124476B (zh) | 一种Web应用的敏感信息泄露漏洞检测方法、***及装置 | |
| CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
| CN107347076A (zh) | Ssrf漏洞的检测方法及装置 | |
| CN111010379B (zh) | 一种基于区块链网络的数据登录方法和装置 | |
| CN103971059B (zh) | 一种Cookie本地存储与使用方法 | |
| CN109033860A (zh) | 一种客户端资源文件篡改检测方法及装置 | |
| CN106953880B (zh) | 一种数据处理方法及***、子服务器和主服务器 | |
| CN109302433A (zh) | 远程命令执行漏洞的检测方法、装置、设备及存储介质 | |
| CN111597559B (zh) | ***命令注入漏洞检测方法和装置、设备及存储介质 | |
| CN111143650B (zh) | 获取页面数据的方法、装置、介质及电子设备 | |
| CN109120579A (zh) | 恶意域名的检测方法、装置及计算机可读存储介质 | |
| CN108848149A (zh) | 自适应定位http服务最大处理能力的方法及装置 | |
| US20210192048A1 (en) | Methods and apparatus to facilitate malware detection using compressed data | |
| US10586034B2 (en) | Network communication method and network communication system | |
| JP5010927B2 (ja) | 認証装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191015 |