CN110995717A - 报文处理方法、装置、电子设备及漏洞扫描*** - Google Patents
报文处理方法、装置、电子设备及漏洞扫描*** Download PDFInfo
- Publication number
- CN110995717A CN110995717A CN201911244534.8A CN201911244534A CN110995717A CN 110995717 A CN110995717 A CN 110995717A CN 201911244534 A CN201911244534 A CN 201911244534A CN 110995717 A CN110995717 A CN 110995717A
- Authority
- CN
- China
- Prior art keywords
- target
- network message
- vulnerability scanning
- message
- tested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种报文处理方法、装置、电子设备及漏洞扫描***,该方法包括:当接收到网络报文时,基于目标被测***的标识信息,检测所述网络报文是否来自所述目标被测***;其中,所述目标被测***为与所述代理服务器中的目标代理服务绑定的被测***;若是,则通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储,以使漏洞扫描装置基于所存储的数据进行漏洞扫描处理;否则,确定所述网络报文为非法网络报文,并对所述网络报文进行拦截。该方法可以有效防止恶意攻击者利用代理服务进行恶意访问导致的潜在安全风险。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种报文处理方法、装置、电子设备及漏洞扫描***。
背景技术
随着互联网及信息技术的不断发展,信息安全问题和情势日益严峻。网络攻击技术日益多样化复杂化,攻击工具日益专业化,新类型脆弱点和威胁不断出现,增大了网络安全管理的难度。及时全面发现***安全漏洞并进行有效应对至关重要。
漏洞扫描是一种主流的发现安全漏洞的方式,基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机***的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
目前,一种主流的漏洞扫描方式的实现机制为:通过在网络中静态部署代理服务,采集被测***的HTTP(HyperText Transfer Protocol,超文本传输协议)协议流量,并进行漏洞检测。
然而实践发现,上述漏洞扫描方案中,当恶意攻击者获知到代理服务的代理地址时,可以通过代理服务进行恶意访问和数据窃取,存在较高的安全风险。
发明内容
有鉴于此,本申请提供一种报文处理方法、装置、电子设备及漏洞扫描***。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种报文处理方法,应用于代理服务器,该方法包括:
当接收到网络报文时,基于目标被测***的标识信息,检测所述网络报文是否来自所述目标被测***;其中,所述目标被测***为与所述代理服务器中的目标代理服务绑定的被测***;
若是,则通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储,以使漏洞扫描装置基于所存储的数据进行漏洞扫描处理;
否则,确定所述网络报文为非法网络报文,并对所述网络报文进行拦截。
根据本申请实施例的第二方面,提供一种报文处理方法应用于漏洞扫描***,所述漏洞扫描方法包括代理服务器以及漏洞扫描装置,所述方法包括:
当代理服务器接收到网络报文时,基于目标测试***的标识信息,检测所述网络报文是否来自所述目标被测***;其中,所述目标被测***为与所述代理服务器中的目标代理服务绑定的被测***;
若是,则所述代理服务器通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储;否则,所述目标代理服务器确定所述网络报文为非法网络报文,并对所述网络报文进行拦截;
所述漏洞扫描装置基于所存储的数据进行漏洞扫描处理。
根据本申请实施例的第三方面,提供一种报文处理装置,应用于代理服务器,所述装置包括:
接收单元,用于接收网络报文;
检测单元,用于当所述接收单元接收到网络报文时,基于目标被测***的标识信息,检测所述网络报文是否来自所述目标被测***;其中,所述目标被测***为与所述代理服务器中的目标代理服务绑定的被测***;
解析单元,用于若所述网络报文来自所述目标被测***,则通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储,以使漏洞扫描装置基于所存储的数据进行漏洞扫描处理;
处理单元,用于若所述网络报文不是来自所述目标被测***,则确定所述网络报文为非法网络报文,并对所述网络报文进行拦截。
根据本申请实施例的第四方面,提供一种电子设备,该电子设备包括:
处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现第一方面提供的方法。
根据本申请实施例的第五方面,提供一种漏洞扫描***,包括代理服务器以及漏洞扫描装置;其中:
所述代理服务器,用于当接收到网络报文时,基于所述目标测试***的标识信息,检测所述网络报文是否来自所述目标被测***;其中,所述目标被测***为与所述代理服务器中的目标代理服务绑定的被测***;
所述代理服务器,还用于若是,则通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储;否则,确定所述网络报文为非法网络报文,并对所述网络报文进行拦截;
所述漏洞扫描装置,用于基于所存储的数据进行漏洞扫描处理。
本申请实施例的漏洞扫描方法,通过建立代理服务与被测***之间的绑定关系,当接收到网络报文时,基于目标被测***的标识信息,检测网络报文是否来自目标服务绑定的目标被测***;若是,则通过目标代理服务对网络报文进行解析,并对解析得到的数据进行存储,以使漏洞扫描装置基于所存储的数据进行漏洞扫描处理;否则,确定接收到的网络报文为非法网络报文,并对该网络报文进行拦截,有效防止了恶意攻击者利用代理服务进行恶意访问导致的潜在安全风险。
附图说明
图1为本申请一示例性实施例示出的一种报文处理方法的流程示意图;
图2为本申请又一示例性实施例示出的另一种报文处理方法的流程示意图;
图3为本申请一示例性实施例示出的一种报文处理装置的结构示意图;
图4为本申请一示例性实施例示出的一种电子设备的硬件结构示意图;
图5为本申请一示例性实施例示出的一种漏洞扫描***的架构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
请参见图1,为本申请实施例提供的一种漏洞扫描方法的流程示意图,如图1所示,该漏洞扫描方法可以包括以下步骤:
需要说明的是,步骤S100~步骤S120的执行主体可以为任一代理服务器,该代理服务器可以为运行有代理服务的单个服务器或服务器集群。
步骤S100、当接收到网络报文时,基于目标被测***的标识信息,检测该网络报文是否来自目标被测***;若是,则转至步骤S110;否则,转至步骤S120;其中,目标被测***为与代理服务器中的目标代理服务绑定的被测***。
本申请实施例中,为了防止恶意攻击者利用代理服务进行恶意访问导致的潜在安全风险,可以设定被测***与代理服务器中的代理服务之间的绑定关系,代理服务器仅对来自绑定的被测***(与代理服务器中运行的代理服务绑定的被测***)的流量进行漏洞扫描处理,对于不是来自绑定的被测***的流量进行拦截。
示例性的,一个代理服务器中可以运行一个或多个代理服务,一个代理服务可以与一个被测***或多个被测***绑定。
例如,代理服务可以与被测***一对一绑定。
当代理服务器接收到网络报文时,可以检测该网络报文是否来自与目标代理绑定的被测***(本文中称为目标被测***)。
示例性的,目标代理为代理服务器中运行的任一代理服务。
示例性的,代理服务器可以存储目标被测***的标识信息,并基于目标被测***的标识信息,检测接收到的网络报文是否来自目标被测***。
在一个示例中,被测***的标识信息可以包括但不限于被测***的根地址(如IP地址或域名)或被测***的指纹特征等其他可以唯一标识被测***的特征,如公司名、平台名、指定协议格式或指定报文格式等。
在一个实施例中,步骤S100中,基于目标被测***的标识信息,检测网络报文是否来自目标被测***,可以包括:
比较网络报文的源IP地址/域名与目标被测***的IP地址/域名;
若二者匹配,则确定网络报文来自目标被测***;
否则,确定网络报文不是来自目标被测***。
示例性的,以标识信息为IP地址为例。
代理服务器接收到网络报文时,可以解析该网络报文,获取该网络报文的源IP地址,并比较该网络报文的源IP地址与预先存储的目标被测***的根地址,以确定二者是否匹配。
需要说明的是,若预先存储的目标被测***的根地址为目标被测***的域名,则代理服务器可以基于目标被测***的域名,获取与该域名匹配的IP地址,进而,基于该IP地址检测来自目标被测***的网络报文。
当代理服务器确定接收到的网络报文的源IP地址与预先存储的目标被测***的根地址匹配,即与预先存储的目标被测***的IP地址相同,或,为预先存储的目标被测***的域名对应的IP地址时,确定该网络报文为来自目标被测***的网络报文;否则,确定该网络报文不是来自目标被测***的网络报文。步骤S110、对网络报文进行解析,并对解析得到的数据进行存储,以使漏洞扫描装置基于所存储的数据进行漏洞扫描处理。
本申请实施例中,当代理服务器确定接收到的网络报文来自目标被测***时,可以对该网络报文进行解析,并对解析得到的数据进行存储,进而,漏洞扫描装置可以基于代理服务器存储的解析得到的数据进行漏洞扫描处理。
示例性,漏洞扫描装置进行漏洞扫描处理的具体实现将在下文中进行说明,本申请实施例在此不做赘述。
在一个实施例中,步骤S110中,对网络报文进行解析,可以包括:
确定所述网络报文采用的协议;
若为HTTPs协议,则基于预设证书对网络报文进行解密,并对解密后的网络报文进行解析。
示例性的,为了实现对HTTPs协议报文的解析,代理服务器需要能够对HTTPs协议报文进行解密,即代理服务器需要能获取到被测***对HTTPs协议报文进行加密时使用的证书。
相应地,当代理服务器接收到网络报文,并确定该网络报文采用的协议为HTTPs协议时,代理服务器可以基于预设证书对网络报文进行解密,并对解密后的网络报文进行解析。
示例性的,该预设证书为目标被测***用于对HTTPs协议报文进行加密使用的证书。
在一个实施例中,上述对网络报文进行解析,可以包括:
分别对网络报文的报文头进行解析,以得到网络报文的报文头数据,以及,对网络报文的报文体进行解析,以得到网络报文的报文体数据;其中,报文头数据包括认证鉴权信息。
示例性的,代理服务器确定接收到的网络报文为来自目标被测***的报文时,可以通过目标代理服务对该网络报文进行解析(若为HTTPs协议报文则先解密后解析)。
目标代理服务可以分别对网络报文的报文头和报文体进行解析,并保存解析得到的报文头数据和报文体数据。
例如,对于报文头,目标代理服务可以解析报文头,获取其中的认证鉴权信息,如Cookies(浏览器缓存)、Token(令牌)等,并对该认证鉴权信息进行存储,以便在需要进行登录校验时,基于该认证鉴权信息进行登录校验,进行深层次的漏洞扫描,提高问题定位准确性。
需要说明的是,目标代理服务对报文进行解析得到的数据并不限于上述认证鉴权信息,还可以包括报文头中的其他特征信息,如User-Agent(用户代理)、Host(主机)等。
步骤S120、确定该网络报文为非法网络报文,并对该网络报文进行拦截。
本申请实施例中,当代理服务器确定接收到的网络报文不是来自目标被测***时,代理服务器可以确定该网络报文为非法网络报文,并对该网络报文进行拦截,不允许该网络报文进行网络访问。
在一个实施例中,若检测到接收到的报文不是来自目标被测***,则上述漏洞扫描方法还可以包括:
对该网络报文进行丢弃;或,
对该网络报文进行记录,并进行告警。
示例性的,当代理服务器检测到接收到的网络报文不是来自目标被测***时,代理服务器可以对该网络报文进行丢弃,或,可以记录该网络报文进行记录,并进行告警。
可见,在图1所示方法流程中,通过配置被测***与代理服务器的绑定关系,代理服务器对来自与自身绑定的被测***的网络报文进行漏洞扫描处理,而不对不是来自与自身绑定的被测***的网络报文进行漏洞扫描,有效防止了恶意攻击者利用代理服务进行恶意访问导致的潜在安全风险。
请参见图2,为本申请实施例提供的一种漏洞扫描方法的流程示意图,如图2所示,该漏洞扫描方法可以包括以下步骤:
需要说明的是,图2所示的漏洞扫描方法可以应用于漏洞扫描***,该漏洞扫描***可以包括管理装置、代理服务器以及漏洞扫描装置。
步骤S200、当管理装置接收针对目标被测***的漏洞扫描任务时,为目标被测***分配目标代理服务。
本申请实施例中,漏洞扫描***中的管理装置可以提供漏洞扫描任务提交界面,通过该漏洞扫描界面可以提供针对被测***(以上述目标被测***为例)的漏洞扫描任务。
示例性的,当通过该漏洞扫描界面进行漏洞扫描任务提交时,除了需要提交被测***的标识信息之外,还可以提交被测***的名称(便于测试人员进行记录和跟踪)、扫描速度(即漏洞扫描装置进行动态漏洞扫描时的测试频率)、***认证方式(如HTTP Basic认证,摘要认证等)、登录页(便于测试人员对需要登录的界面进行测试)、用户登录信息(便于测试人员进行登录)、排除路径(即不需要进行漏洞扫描的路径)等信息中的一个或多个。
当管理装置接收到针对目标被测***的漏洞扫描任务时,可以为该目标被测***分配代理服务(本文中称为目标代理服务)。
步骤S210、管理装置将目标被测***的标识信息给运行目标代理服务的目标代理服务器,以使目标代理服务器建立目标代理服务与目标被测***之间的绑定关系;以及,向目标被测***发送目标代理服务的代理地址,以使目标被测***基于目标代理服务的代理地址,与目标代理服务进行连接。
本申请实施例中,管理装置接收到针对目标被测***的漏洞扫描任务,并为目标被测***分配了目标代理服务时,一方面,可以将目标被测***的标识信息发送给运行目标代理服务的代理服务器(本文中称为目标代理服务器),以使目标代理服务器建立目标代理服务与目标被测***之间的绑定关系;另一方面,可以将目标代理服务的代理地址发送给目标被测***,以使目标被测***基于目标代理服务的代理地址与目标代理服务进行连接。
示例性的,目标被测***的标识信息可以包括但不限于目标被测***的根地址(如IP地址或域名)或目标被测***的指纹特征等其他可以唯一标识目标被测***的特征。
应该认识到,在本申请实施例中,通过管理装置为被测试***分配代理服务为本申请实施例中为被测试***分配代理服务的一种具体实现方式,而并不是对本申请保护范围的限定,也即在本申请实施例中,也可以通过其他的方式为被测试***分配代理服务,如静态配置的方式,建立被测试***与代理服务的绑定关系。
相应地,步骤S200~步骤S210为在通过管理装置为被测试***分配代理服务的情况下的可选步骤。当通过其他方式为被测试***分配代理服务时,可以不执行步骤S200~步骤S210,且漏洞扫描***中也可以不包括管理装置。
步骤S220、当目标代理服务器接收到网络报文时,基于目标测试***的标识信息,检测该网络报文是否来自目标被测***。若是,则转至步骤S230;否则,转至步骤S250。
步骤S230、目标代理服务器通过目标代理服务对接收到的网络报文进行解析,并对解析得到的数据进行存储。
步骤S240、漏洞扫描装置基于所存储的数据进行漏洞扫描处理。
步骤S250、目标代理服务器确定接收到的网络报文为非法网络报文,并对该网络报文进行拦截。
本申请实施例中,目标代理服务器检测接收到的网络报文是否来自目标被测***,以及基于检测结果进行处理的具体实现可以参见图1所示方法流程中的相关实现,本申请实施例在此不做赘述。
在一个实施例中,步骤S200中,管理装置为目标被测***分配目标代理服务之后,还可以包括:
向目标被测***发送证书,以使目标被测***基于该证书对HTTPs协议报文进行加密;以及,向目标代理服务发送证书,以使目标代理服务基于该证书,对来自目标被测***的HTTPs协议报文进行解密。
示例性的,为了使目标代理服务能够对来自目标被测***的HTTPs协议报文进行解密,需要保证目标代理服务能够获取到目标被测***对HTTPs协议报文进行加密使用的证书。
相应地,管理装置为目标被测***分配目标代理服务之后,一方面,可以向目标被测***发送用于对HTTPs协议报文进行加密的证书;另一方面,可以将该证书发送给目标代理服务,进而,当目标代理服务接收到来自目标被测***的HTTPs协议报文时,可以基于该证书,对该HTTPs协议报文进行解密。
本申请实施例中,漏洞扫描装置可以分别基于所存储的数据进行静态漏洞扫描和动态漏洞扫描。
示例性的,漏洞扫描装置一方面可以基于存储的数据进行静态漏洞扫描,即通过静态分析,检测流量数据中是否存在匹配已知特征的安全漏洞。
另一方面,可以基于存储的流量数据进行动态漏洞扫描,即根据存储的认证信息构建重放报文头,使用检测数据替换原始报文中的特定数据,然后进行报文重放,获取***响应数据,并检测***响应数据是否匹配已知漏洞特征。
在一个实施例中,步骤S200中,管理装置为目标被测***分配目标代理服务器,可以包括:
管理装置在目标代理服务器中创建目标代理服务,并将目标代理服务分配给目标被测***。
相应地,上述漏洞扫描方法还可以包括:
当针对目标被测***的漏洞扫描任务完成时,管理装置销毁目标代理服务。
示例性的,为了提高资源利用率,被测***绑定的代理服务可以在存在需要进行漏洞的被测***时创建,并在扫描任务完成时销毁。
当管理装置接收到针对目标被测***的扫描任务时,可以在目标服务器中创建目标代理服务。
例如,在指定服务器或服务器集群中运行目标代理服务,即目标代理服务器可以为指定服务器或服务器集群。
管理装置创建目标代理服务之后,可以将目标代理服务分配给目标被测***。
当针对目标被测***的漏洞扫描任务完成,如目标被测***的全部网络报文均完成检测时,管理装置可以销毁该目标代理服务,即释放指定服务器或服务器集群中运行的目标代理服务。
示例性的,管理装置对代理服务进行销毁时,可以为立即销毁,即当针对目标被测***的漏洞扫描任务完成时立即销毁;也可以定时销毁,如在设定时间,对不存在漏洞扫描任务的代理服务进行销毁。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,下面结合具体实例对本申请实施例提供的技术方案进行说明。
1、漏洞扫描***中的管理装置提供交互界面,由用户通过该交互界面提交被测***相关信息以及扫描配置信息,例如:***名称(例:“综合管理平台”)、***访问根地址(例:“192.168.12.1”),用户登录信息(例:用户名“user”,密码“password”),扫描速度(例:慢速)等。
2、管理装置根据被测***信息,动态开启一个代理服务,并将***名称(例:“综合管理平台”)、***访问根地址(例:“192.168.12.1”),用户登录信息(例:用户名“user”,密码“password”)与该代理服务绑定,用于进行后续唯一性校验。
3、管理装置将生成好的代理服务地址(例:192.168.12.8:8080)下发给被测***进行代理配置连接。
4、代理服务接收到网络报文时,基于网络报文的源IP,以及预先存储的被测试***的根地址,确定该网络报文是否来自该被测***,即网络报文的源IP地址是否为192.168.12.1;若是,则转到步骤5;否则将该网络报文(例:来自192.168.12.29的网络报文)丢弃,响应“非被测***请求,已阻止”。
5、代理服务根据用户提交的被测***信息,判定被测***采用协议,若采用HTTPs协议,则转到步骤6;若采取HTTP等非加密协议,则转到步骤7。
6、针对HTTPs协议,代理服务开启证书校验,用以解密被加密的网络报文,后转到步骤7;
7.分析被测***的报文头,获取其中用于登录校验的认证信息例如Cookies和Token(例:Cookies:token="1288addd6ff90ad639")等并进行存储,然后解析报文体,并将报文头数据和报文体数据进行存储。
8、漏洞扫描装置基于存储的数据进行静态漏洞扫描,即通过静态分析,检测存储的数据中是否存在匹配已知特征的安全漏洞。
9、漏洞扫描装置基于存储的流量数据进行动态漏洞扫描,即根据存储的认证信息构建重放网络报文的报文头,使用检测数据替换原始网络报文中的特定数据,然后进行网络报文重放,获取***响应数据并检测***响应数据是否匹配已知漏洞特征。
10.检测完所有被测***的网络报文后,管理装置动态销毁对应开启的代理服务(例:192.168.12.8:8080)。
11、依据全部检测数据,给出漏洞检测报告。
12、依据任务数据,流量数据,检测结果数据进行多维度统计分析,包括高发漏洞统计,漏洞威胁等级分类统计,产品家族漏洞统计等。
本申请实施例中,通过建立代理服务与被测***之间的绑定关系,当接收到网络报文时,基于目标被测***的标识信息,检测网络报文是否来自目标服务绑定的目标被测***;若是,则通过目标代理服务对网络报文进行解析,并对解析得到的数据进行存储,以使漏洞扫描装置基于所存储的数据进行漏洞扫描处理;否则,确定接收到的网络报文为非法网络报文,并对该网络报文进行拦截,有效防止了恶意攻击者利用代理服务进行恶意访问导致的潜在安全风险。
以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述:
请参见图3,为本申请实施例提供的一种报文处理装置,应用于代理服务器,其特征在于,所述装置包括:
接收单元,用于接收网络报文;
检测单元,用于当所述接收单元接收到网络报文时,基于目标被测***的标识信息,检测所述网络报文是否来自所述目标被测***;其中,所述目标被测***为与所述代理服务器中的目标代理服务绑定的被测***;
解析单元,用于若所述网络报文来自所述目标被测***,则通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储,以使漏洞扫描装置基于所存储的数据进行漏洞扫描处理;
处理单元,用于若所述网络报文不是来自所述目标被测***,则确定所述网络报文为非法网络报文,并对所述网络报文进行拦截。
在一个实施例中,所述检测单元基于目标被测***的标识信息,检测所述网络报文是否来自所述目标被测***,包括:
比较所述网络报文的源IP地址/域名与所述目标被测***的IP地址/域名;
若二者匹配,则确定所述网络报文来自所述目标被测***;
否则,确定所述网络报文不是来自所述目标被测***。
在一个实施例中,所述解析单元对所述网络报文进行解析,包括:
确定所述网络报文采用的协议;
若为超文本传输安全协议HTTPs协议,则基于预设证书对所述网络报文进行解密,并对解密后的网络报文进行解析;其中,所述预设证书为所述目标被测***用于对HTTPs协议报文进行解密使用的证书。
在一个实施例中,所述解析单元对所述网络报文进行解析,包括:
分别对所述网络报文的报文头进行解析,以得到所述网络报文的报文头数据,以及,对所述网络报文的报文体进行解析,以得到所述网络报文的报文体数据;其中,所述报文头数据包括认证鉴权信息。
在一个实施例中,所述处理单元,还用于若所述网络报文不是来自所述目标被测***,则对所述网络报文进行丢弃;或,对所述网络报文进行记录,并进行告警。
对应地,本申请还提供了图3所示装置的硬件结构。参见图4,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
请参见图5,为本申请实施例提供的一种漏洞扫描***,包括代理服务器以及漏洞扫描装置;其中:
所述管理装置,用于当接收针对目标被测***的漏洞扫描任务时,为所述目标被测***分配目标代理服务;
所述管理装置,还用于将所述目标被测***的标识信息发送给运行所述目标代理服务的目标代理服务器,以使所述目标代理服务器建立所述目标代理服务与所述目标被测***之间的绑定关系;以及,向所述目标被测***发送所述目标代理服务的代理地址,以使所述目标被测***基于所述目标代理服务的代理地址,与所述目标代理服务进行连接;
所述代理服务器,用于在运行有所述目标代理服务时,当接收到网络报文时,基于所述目标测试***的标识信息,检测所述网络报文是否来自所述目标被测***;
所述代理服务器,还用于若是,则通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储;否则,确定所述网络报文为非法网络报文,并对所述网络报文进行拦截;
所述漏洞扫描装置,用于基于所存储的数据进行漏洞扫描处理。
在一个实施例中,图5所示的漏洞扫描***还可以包括:管理装置;其中:
所述管理装置,用于当接收针对目标被测***的漏洞扫描任务时,为所述目标被测***分配目标代理服务;
所述管理装置,还用于将所述目标被测***的标识信息发送给运行所述目标代理服务的代理服务器,以使所述代理服务器建立所述目标代理服务与所述目标被测***之间的绑定关系;以及,向所述目标被测***发送所述目标代理服务的代理地址,以使所述目标被测***基于所述目标代理服务的代理地址,与所述目标代理服务进行连接。
在一个实施例中,所述管理装置为所述目标被测***分配目标代理服务之后,还包括:
向所述目标被测***发送证书,以使所述目标被测***基于所述证书对HTTPs协议报文进行加密;以及,向所述目标代理服务发送所述证书,以使所述目标代理服务基于所述证书,对来自所述目标被测***的HTTPs协议报文进行解密。
在一个实施例中,所述管理装置为所述目标被测***分配目标代理服务,包括:
所述管理装置在所述代理服务器中创建目标代理服务,并将所述目标代理服务分配给所述目标被测***;
当针对所述目标被测***的漏洞扫描任务完成时,所述管理装置销毁所述目标代理服务。
上述实施例阐明的***、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (11)
1.一种报文处理方法,应用于代理服务器,其特征在于,所述方法包括:
当接收到网络报文时,基于目标被测***的标识信息,检测所述网络报文是否来自所述目标被测***;其中,所述目标被测***为与所述代理服务器中的目标代理服务绑定的被测***;
若是,则通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储,以使漏洞扫描装置基于所存储的数据进行漏洞扫描处理;
否则,确定所述网络报文为非法网络报文,并对所述网络报文进行拦截。
2.根据权利要求1所述的方法,其特征在于,所述基于目标被测***的标识信息,检测所述网络报文是否来自所述目标被测***,包括:
比较所述网络报文的源IP地址/域名与所述目标被测***的IP地址/域名;
若二者匹配,则确定所述网络报文来自所述目标被测***;
否则,确定所述网络报文为所述非法网络报文。
3.根据权利要求1所述的方法,其特征在于,所述对所述网络报文进行解析,包括:
确定所述网络报文采用的协议;
若为超文本传输安全协议HTTPs协议,则基于预设证书对所述网络报文进行解密,并对解密后的网络报文进行解析;其中,所述预设证书为所述目标被测***用于对HTTPs协议报文进行解密使用的证书。
4.根据权利要求1所述的方法,其特征在于,若检测到所述网络报文不是来自所述目标被测***,则所述方法还包括:
对所述网络报文进行丢弃;或,
对所述网络报文进行记录,并进行告警。
5.一种报文处理方法,应用于漏洞扫描***,其特征在于,所述漏洞扫描***包括代理服务器以及漏洞扫描装置,所述方法包括:
当代理服务器接收到网络报文时,基于目标测试***的标识信息,检测所述网络报文是否来自所述目标被测***;其中,所述目标被测***为与所述代理服务器中的目标代理服务绑定的被测***;
若是,则所述代理服务器通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储;否则,所述目标代理服务器确定所述网络报文为非法网络报文,并对所述网络报文进行拦截;
所述漏洞扫描装置基于所存储的数据进行漏洞扫描处理。
6.根据权利要求5所述的方法,其特征在于,所述漏洞扫描***还包括:管理装置;
所述方法还包括:
当所述管理装置接收针对目标被测***的漏洞扫描任务时,为所述目标被测***分配目标代理服务;
所述管理装置将所述目标被测***的标识信息发送给运行所述目标代理服务的代理服务器,以使所述代理服务器建立所述目标代理服务与所述目标被测***之间的绑定关系;以及,向所述目标被测***发送所述目标代理服务的代理地址,以使所述目标被测***基于所述目标代理服务的代理地址,与所述目标代理服务进行连接。
7.根据权利要求6所述的方法,其特征在于,所述管理装置为所述目标被测***分配目标代理服务之后,还包括:
向所述目标被测***发送证书,以使所述目标被测***基于所述证书对HTTPs协议报文进行加密;以及,向所述目标代理服务发送所述证书,以使所述目标代理服务基于所述证书,对来自所述目标被测***的HTTPs协议报文进行解密。
8.根据权利要求6所述的方法,其特征在于,所述管理装置为所述目标被测***分配目标代理服务,包括:
所述管理装置在所述代理服务器中创建目标代理服务,并将所述目标代理服务分配给所述目标被测***;
所述方法还包括:
当针对所述目标被测***的漏洞扫描任务完成时,所述管理装置销毁所述目标代理服务。
9.一种报文处理装置,应用于代理服务器,其特征在于,所述装置包括:
接收单元,用于接收网络报文;
检测单元,用于当所述接收单元接收到网络报文时,基于目标被测***的标识信息,检测所述网络报文是否来自所述目标被测***;其中,所述目标被测***为与所述代理服务器中的目标代理服务绑定的被测***;
解析单元,用于若所述网络报文来自所述目标被测***,则通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储,以使漏洞扫描装置基于所存储的数据进行漏洞扫描处理;
处理单元,用于若所述网络报文不是来自所述目标被测***,则确定所述网络报文为非法网络报文,并对所述网络报文进行拦截。
10.一种电子设备,其特征在于,该电子设备包括:
处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现权利要求1-4任一项所述的方法步骤。
11.一种漏洞扫描***,其特征在于,包括代理服务器以及漏洞扫描装置;其中:
所述代理服务器,用于当接收到网络报文时,基于目标测试***的标识信息,检测所述网络报文是否来自所述目标被测***;其中,所述目标被测***为与所述代理服务器中的目标代理服务绑定的被测***;
所述代理服务器,还用于若是,则通过所述目标代理服务对所述网络报文进行解析,并对解析得到的数据进行存储;否则,确定所述网络报文为非法网络报文,并对所述网络报文进行拦截;
所述漏洞扫描装置,用于基于所存储的数据进行漏洞扫描处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911244534.8A CN110995717B (zh) | 2019-12-06 | 2019-12-06 | 报文处理方法、装置、电子设备及漏洞扫描*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911244534.8A CN110995717B (zh) | 2019-12-06 | 2019-12-06 | 报文处理方法、装置、电子设备及漏洞扫描*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110995717A true CN110995717A (zh) | 2020-04-10 |
CN110995717B CN110995717B (zh) | 2022-11-01 |
Family
ID=70091061
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911244534.8A Active CN110995717B (zh) | 2019-12-06 | 2019-12-06 | 报文处理方法、装置、电子设备及漏洞扫描*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110995717B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113032792A (zh) * | 2021-04-12 | 2021-06-25 | ***通信集团陕西有限公司 | ***业务漏洞检测方法、***、设备及存储介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1521990A (zh) * | 2003-01-28 | 2004-08-18 | 华为技术有限公司 | 全动态分布式网络服务管理***及其服务方法 |
CN1631007A (zh) * | 2002-02-08 | 2005-06-22 | 艾利森电话股份有限公司 | 建立服务接入关系的***及方法 |
CN101330409A (zh) * | 2008-08-01 | 2008-12-24 | 杭州华三通信技术有限公司 | 一种检测网络漏洞的方法和*** |
US20170005989A1 (en) * | 2015-07-02 | 2017-01-05 | T-Mobile Usa, Inc. | Monitoring Wireless Data Consumption |
CN106576051A (zh) * | 2014-08-20 | 2017-04-19 | 迈克菲股份有限公司 | 使用主机应用/程序到用户代理的映射的零日威胁检测 |
CN106790085A (zh) * | 2016-12-22 | 2017-05-31 | 国网新疆电力公司信息通信公司 | 漏洞扫描方法、装置及*** |
CN108173813A (zh) * | 2017-12-08 | 2018-06-15 | 国网北京市电力公司 | 漏洞检测方法及装置 |
CN108573146A (zh) * | 2017-03-07 | 2018-09-25 | 华为技术有限公司 | 一种恶意url检测方法及装置 |
CN109309603A (zh) * | 2018-11-02 | 2019-02-05 | 华青融天(北京)软件股份有限公司 | 一种动态的负载均衡分配方法及装置 |
CN109889514A (zh) * | 2019-02-03 | 2019-06-14 | 郭丽 | 一种认证扫描方法及web应用扫描*** |
CN110324311A (zh) * | 2019-05-21 | 2019-10-11 | 平安科技(深圳)有限公司 | 漏洞检测的方法、装置、计算机设备和存储介质 |
-
2019
- 2019-12-06 CN CN201911244534.8A patent/CN110995717B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1631007A (zh) * | 2002-02-08 | 2005-06-22 | 艾利森电话股份有限公司 | 建立服务接入关系的***及方法 |
CN1521990A (zh) * | 2003-01-28 | 2004-08-18 | 华为技术有限公司 | 全动态分布式网络服务管理***及其服务方法 |
CN101330409A (zh) * | 2008-08-01 | 2008-12-24 | 杭州华三通信技术有限公司 | 一种检测网络漏洞的方法和*** |
CN106576051A (zh) * | 2014-08-20 | 2017-04-19 | 迈克菲股份有限公司 | 使用主机应用/程序到用户代理的映射的零日威胁检测 |
US20170005989A1 (en) * | 2015-07-02 | 2017-01-05 | T-Mobile Usa, Inc. | Monitoring Wireless Data Consumption |
CN106790085A (zh) * | 2016-12-22 | 2017-05-31 | 国网新疆电力公司信息通信公司 | 漏洞扫描方法、装置及*** |
CN108573146A (zh) * | 2017-03-07 | 2018-09-25 | 华为技术有限公司 | 一种恶意url检测方法及装置 |
CN108173813A (zh) * | 2017-12-08 | 2018-06-15 | 国网北京市电力公司 | 漏洞检测方法及装置 |
CN109309603A (zh) * | 2018-11-02 | 2019-02-05 | 华青融天(北京)软件股份有限公司 | 一种动态的负载均衡分配方法及装置 |
CN109889514A (zh) * | 2019-02-03 | 2019-06-14 | 郭丽 | 一种认证扫描方法及web应用扫描*** |
CN110324311A (zh) * | 2019-05-21 | 2019-10-11 | 平安科技(深圳)有限公司 | 漏洞检测的方法、装置、计算机设备和存储介质 |
Non-Patent Citations (1)
Title |
---|
杨飞: "高校WAF+IPS+漏洞扫描安全防护体系的研究与应用", 《电子测试》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113032792A (zh) * | 2021-04-12 | 2021-06-25 | ***通信集团陕西有限公司 | ***业务漏洞检测方法、***、设备及存储介质 |
CN113032792B (zh) * | 2021-04-12 | 2023-09-19 | ***通信集团陕西有限公司 | ***业务漏洞检测方法、***、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110995717B (zh) | 2022-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11146572B2 (en) | Automated runtime detection of malware | |
CN108780485B (zh) | 基于模式匹配的数据集提取 | |
Continella et al. | Obfuscation-Resilient Privacy Leak Detection for Mobile Apps Through Differential Analysis. | |
US10057282B2 (en) | Detecting and reacting to malicious activity in decrypted application data | |
CN106687971B (zh) | 用来减少软件的攻击面的自动代码锁定 | |
US8141138B2 (en) | Auditing correlated events using a secure web single sign-on login | |
TW201642135A (zh) | 文件檢測方法、裝置及系統 | |
CN113542253B (zh) | 一种网络流量检测方法、装置、设备及介质 | |
CN108737110B (zh) | 一种用于防重放攻击的数据加密传输方法及装置 | |
CN112217835A (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
CN111447232A (zh) | 一种网络流量检测方法及装置 | |
CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
CN110581836B (zh) | 一种数据处理方法、装置及设备 | |
Alice et al. | How china detects and blocks shadowsocks | |
CN115801442A (zh) | 一种加密流量的检测方法、安全***及代理模块 | |
CN110995717B (zh) | 报文处理方法、装置、电子设备及漏洞扫描*** | |
US20230344861A1 (en) | Combination rule mining for malware signature generation | |
CN112688963A (zh) | 网关授权接入与对外开放服务的方法、装置及存储介质 | |
CN105164969A (zh) | 即时通信客户端的识别方法和识别*** | |
CN106850592A (zh) | 一种信息处理方法、服务器及终端 | |
CN108347411B (zh) | 一种统一安全保障方法、防火墙***、设备及存储介质 | |
US9781158B1 (en) | Integrated paronymous network address detection | |
CN114257404A (zh) | 异常外联统计告警方法、装置、计算机设备和存储介质 | |
US20230069731A1 (en) | Automatic network signature generation | |
Wang et al. | Security Research for Android Remote Assistance Apps |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |