CN111625837A - 识别***漏洞的方法、装置和服务器 - Google Patents
识别***漏洞的方法、装置和服务器 Download PDFInfo
- Publication number
- CN111625837A CN111625837A CN202010445689.4A CN202010445689A CN111625837A CN 111625837 A CN111625837 A CN 111625837A CN 202010445689 A CN202010445689 A CN 202010445689A CN 111625837 A CN111625837 A CN 111625837A
- Authority
- CN
- China
- Prior art keywords
- log data
- target system
- vulnerability
- scanning
- identifying
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种识别***漏洞的方法、装置和服务器,通过扫描组件对目标***进行漏洞扫描,当获取到运行有扫描组件的设备上的日志数据后,从该日志数据中提取指定字段对应的字段内容,得到提取结果;基于该提取结果识别目标***的漏洞。该方式中,由于运行有扫描组件的设备上的日志数据中保存有扫描组件对目标***进行漏洞扫描的中间结果,相对于漏洞扫描的最终结果,中间结果中保存有更加丰富的扫描数据,基于中间结果识别目标***的漏洞,有利于发现目标***中较为隐蔽的漏洞,因而降低了漏洞的漏报率和误报率,提高了识别***漏洞的准确率。
Description
技术领域
本发明涉及***安全技术领域,尤其是涉及一种识别***漏洞的方法、装置和服务器。
背景技术
对***进行漏洞扫描时,通常采用分布式插件化的结构,例如,可以将漏洞扫描任务划分为爬虫、指纹匹配、模糊测试、POC(Proof Of Concept,概念验证)测试等多个组件,由这些组件共同完成***的漏洞扫描。在扫描过程中,这些组件之间相互独立,由调度***预先设置各个组件之间的输入数据和输出数据之间的依赖关系,然后将扫描任务划分为多个子任务,按照前述依赖关系将多个子任务分发至各个组件,最终得到扫描结果,然后基于该扫描结果确定***是否具有漏洞。但是这种确认***是否具有漏洞的方式所依据的数据有限,很容易漏掉较为隐蔽的漏洞,或者会误报漏洞,导致漏洞的漏报率和误报率较高。
发明内容
本发明的目的在于提供一种识别***漏洞的方法、装置和服务器,以降低漏洞的漏报率和误报率,提高识别***漏洞的准确率。
第一方面,本发明提供的一种识别***漏洞的方法,所述方法包括:获取运行有扫描组件的设备上的日志数据;其中,所述扫描组件用于对目标***进行漏洞扫描;从所述日志数据中提取指定字段对应的字段内容,得到提取结果;基于所述提取结果识别所述目标***的漏洞。
进一步的,所述运行有扫描组件的设备上预先部署有日志采集组件,所述日志采集组件用于:采集所述运行有扫描组件的设备上的日志数据,将所述日志数据的时间信息和来源信息携带至所述日志数据,再将所述日志数据发送至预设的消息队列;所述获取运行有扫描组件的设备上的日志数据的步骤,包括:从所述消息队列中获取运行有扫描组件的设备上的日志数据。
进一步的,所述指定字段包括所述目标***接收到的访问请求的源地址信息、URI信息、请求头信息和表单信息中的一种或多种。
进一步的,基于所述提取结果识别所述目标***的漏洞的步骤,包括:通过预设的统计规则,对所述提取结果中,各个指定字段对应的字段内容进行统计分析,得到分析结果;如果所述分析结果指示所述日志数据中存在异常数据,基于所述异常数据确定所述目标***的漏洞。
进一步的,基于所述提取结果识别所述目标***的漏洞的步骤,包括:根据所述提取结果,从所述日志数据中提取静态文件;查询所述静态文件中是否存在预设的敏感信息;如果存在所述敏感信息,基于所述敏感信息确定所述目标***的漏洞。
进一步的,基于所述提取结果识别所述目标***的漏洞的步骤,包括:从所述提取结果中提取多个实体,以及所述多个实体之间的关系;根据提取到的所述多个实体和所述多个实体之间的关系,创建与所述目标***相关联的知识图谱;其中,所述知识图谱中包括所述目标***的页面结构、页面特征、请求信息、所述目标***运行主机上的开放服务、以及所述开放服务的扫描交互信息中的一种或多种;基于所述知识图谱,确定所述目标***的漏洞。
进一步的,从所述提取结果中提取多个实体,以及所述多个实体之间的关系的步骤,包括:从所述提取结果中获取日志来源字段的字段内容;根据日志来源字段的字段内容,生成根实体;根据所述提取结果中,除所述日志来源字段的字段内容,生成所述根实体下属的子实体。
进一步的,基于所述知识图谱,确定所述目标***的漏洞的步骤,包括:通过预设的统计规则,对所述知识图谱进行统计分析,得到分析结果,基于所述分析结果确定所述目标***的漏洞。
进一步的,基于所述提取结果识别所述目标***的漏洞的步骤之后,所述方法还包括:如果识别出所述目标***的漏洞,根据所述漏洞生成报警信息。
第二方面,本发明提供的一种识别***漏洞的方法,所述方法包括:采集当前设备上的日志数据;其中,所述当前设备上运行有扫描组件,所述扫描组件用于对目标***进行漏洞扫描;将所述日志数据的时间信息和来源信息携带至所述日志数据;将所述日志数据发送至预设的消息队列,以通过预设的服务器从所述消息队列中获取所述日志数据,从所述日志数据中提取指定字段对应的字段内容,得到提取结果;基于所述提取结果识别所述目标***的漏洞。
第三方面,本发明提供的一种识别***漏洞的装置,所述装置包括:获取模块,用于获取运行有扫描组件的设备上的日志数据;其中,所述扫描组件用于对目标***进行漏洞扫描;提取模块,用于从所述日志数据中提取指定字段对应的字段内容,得到提取结果;识别模块,用于基于所述提取结果识别所述目标***的漏洞。
第四方面,本发明提供的一种识别***漏洞的装置,所述装置包括:采集模块,用于采集当前设备上的日志数据;其中,所述当前设备上运行有扫描组件,所述扫描组件用于对目标***进行漏洞扫描;携带模块,用于将所述日志数据的时间信息和来源信息携带至所述日志数据;发送模块,用于将所述日志数据发送至预设的消息队列,以通过预设的服务器从所述消息队列中获取所述日志数据,从所述日志数据中提取指定字段对应的字段内容,得到提取结果;基于所述提取结果识别所述目标***的漏洞。
第五方面,本发明提供的一种服务器,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现第一方面或第二方面任一项所述的识别***漏洞的方法。
第六方面,本发明提供的一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现上述第一方面或第二方面任一项所述的识别***漏洞的方法。
本发明提供的识别***漏洞的方法、装置和服务器,首先获取运行有扫描组件的设备上的日志数据,从该日志数据中提取指定字段对应的字段内容,基于提取结果识别目标***的漏洞。由于运行有扫描组件的设备上的日志数据中保存有扫描组件对目标***进行漏洞扫描的中间结果,相对于漏洞扫描的最终结果,中间结果中保存有更加丰富的扫描数据,基于中间结果识别目标***的漏洞,有利于发现目标***中较为隐蔽的漏洞,因而降低了漏洞的漏报率和误报率,提高了识别***漏洞的准确率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种识别***漏洞的方法的流程图;
图2为本发明实施例提供的另一种识别***漏洞的方法的流程图;
图3为本发明实施例提供的另一种识别***漏洞的方法的流程图;
图4为本发明实施例提供的另一种识别***漏洞的方法的流程图;
图5为本发明实施例提供的另一种识别***漏洞的方法的流程图;
图6为本发明实施例提供的另一种识别***漏洞的方法的流程图;
图7为本发明实施例提供的另一种识别***漏洞的方法的流程图;
图8为本发明实施例提供的一种知识图谱的结构示意图;
图9为本发明实施例提供的另一种知识图谱的结构示意图;
图10为本发明实施例提供的一种识别***漏洞的装置的结构示意图;
图11为本发明实施例提供的另一种识别***漏洞的装置的结构示意图;
图12为本发明实施例提供的一种服务器的结构示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有的***漏洞扫描,通常采用分布式插件化的架构,将漏洞扫描任务拆解为多个组件,组件之间相互独立,通过调度***进行任务调度、分发;比如,一个web扫描器可以分为爬虫、指纹匹配、模糊测试、POC(Proof Of Concept,概念验证)测试等多个组件,各组件之间相互独立,由调度***设定各个组件之间的前后结果依赖关系,然后将扫描任务划分为多个子任务,将多个子任务分发至各个组件,以得到最终扫描结果,根据该扫描结果确定***是否具有漏洞。
上述扫描方式基于漏洞扫描的最终结果进行分析,因而所依据的数据有限,而且扫描本身是一个黑盒测试的方法,难免会有误报和漏报,有时候没有发现问题不代表真的没有问题,可能是业务的变迁导致规则不再适配,因而,漏洞的漏报率和误报率较高。基于此,本发明实施例提供了一种识别***漏洞的方法、装置和服务器,该技术可以应用于对各种***的漏洞识别中。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种识别***漏洞的方法进行详细介绍,如图1所示,该方法应用于第一服务器;包括如下步骤:
步骤S102,获取运行有扫描组件的设备上的日志数据;其中,该扫描组件用于对目标***进行漏洞扫描。
运行本实施例方法的上述第一服务器,可以与运行有扫描组件的设备通信连接,通过预设的通信接口获取运行有扫描组件的设备上的日志数据;该运行有扫描组件的设备可以是服务器;上述日志数据可以理解为在目标***运行过程中,所记录的该目标***的相关运行数据;该目标***可以理解为需要进行漏洞扫描识别的***;在实际实现时,上述扫描组件可以包括多种,比如爬虫、指纹匹配、模糊测试、POC概念验证测试等,每种扫描组件通常运行在不同的设备上,考虑到在对目标***进行漏洞扫描时,通常采用的是分布式架构,因此,同一类扫描组件可能也会运行在不同的设备上,比如,如果爬虫任务量比较多,可以将爬虫扫描组件分布到多个设备上运行;调度***根据各个设备的运行情况,对任务进行调度。当需要对目标***进行漏洞扫描识别时,通常需要先获取到运行有扫描组件的设备上的日志数据。
需要说明的是,该日志数据中保存有扫描组件对目标***进行漏洞扫描的中间结果;发明人在研究过程中发现,相对于扫描组件输出的最终结果,该中间结果中通常保存有更加丰富的扫描数据,相对于前述最终结果,这些丰富的扫描数据有助于发现目标***更细微、更隐蔽不易被发现的漏洞,基于此,本实施例获取运行有扫描组件的设备上的日志数据,进而通过后续步骤识别目标***中的漏洞。
步骤S104,从上述日志数据中提取指定字段对应的字段内容,得到提取结果。
上述指定字段通常可以包含日志数据中的一个或多个字段,比如,源地址信息或URI(Uniform Resource Identifier,统一资源标识符)信息等;在实际实现时,通常需要对日志数据中的各个字段进行统计分析,当获取到运行有扫描组件的设备上的日志数据后,可以从该日志数据中提取出一个或多个指定字段所对应的字段内容,以得到提取结果。
步骤S106,基于上述提取结果识别上述目标***的漏洞。
上述漏洞可以理解为目标***的软件在逻辑设计上可能存在缺陷或错误,容易被不法者利用,通过网络植入木马、病毒等方式来攻击或控制目标***所在的终端,窃取终端中的重要资料和信息,甚至破坏该目标***;在实际实现时,当得到上述提取结果后,对该提取结果进行分析,比如,确认该提取结果中是否存在异常数据或敏感信息等,可以根据分析结果识别目标***的漏洞。
本发明实施例提供的识别***漏洞的方法,首先获取运行有扫描组件的设备上的日志数据,从该日志数据中提取指定字段对应的字段内容,基于提取结果识别目标***的漏洞。由于运行有扫描组件的设备上的日志数据中保存有扫描组件对目标***进行漏洞扫描的中间结果,相对于漏洞扫描的最终结果,中间结果中保存有更加丰富的扫描数据,基于中间结果识别目标***的漏洞,有利于发现目标***中较为隐蔽的漏洞,因而降低了漏洞的漏报率和误报率,提高了识别***漏洞的准确率。
并且,在大多情况下,扫描一次目标***通常需要消耗较大的机器资源和网络资源,甚至容易出现被扫描的目标***的服务器瘫痪的情况,因而扫描一次目标***所花费的成本较高,扫描得到的数据非常珍贵;相关技术中大多仅对扫描组件对目标***进行漏洞扫描的中间结果进行保存,没有对中间结果的后续处理,数据的价值和利用率均较低;而采用本实施例中的上述方法,可以充分利用扫描目标***得到的各类数据,有效提高扫描数据的利用率,提高扫描数据的价值,进而提高了识别***漏洞的准确率。
本发明实施例提供了另一种识别***漏洞的方法,该方法详细描述了获取运行有扫描组件的设备上的日志数据的具体实现过程,具体可以通过下述步骤S202实现。
首先,该方法中,运行有扫描组件的设备上预先部署有日志采集组件,该日志采集组件用于:采集运行有扫描组件的设备上的日志数据,将该日志数据的时间信息和来源信息携带至该日志数据,再将该日志数据发送至预设的消息队列。
上述时间信息可以理解为生成日志数据的具体时间;上述来源信息可以理解为目标***中生成日志数据的具体来源,比如,CPU、内存、网络或硬盘等;上述消息队列可以用于对日志采集组件所采集的日志数据进行缓存;在实际实现时,通常会在运行有扫描组件的设备上部署日志采集组件,比如,filebeat等,以收集扫描组件日志目录下的所有日志数据;日志采集组件通常可以首先对所采集的日志数据做初步处理,比如对日志数据进行一次清洗,以过滤无效数据信息,然后添加标签,比如,对日志数据添加统一的时间戳、标记来源等;再将添加标签后的日志数据推送至消息队列;该消息队列可以是kafka等,如果扫描数据量比较大,可以采用分布式、吞吐量较高的***运行该消息队列。
如图2所示,该方法包括以下步骤:
步骤S202,从消息队列中获取运行有扫描组件的设备上的日志数据;其中,该扫描组件用于对目标***进行漏洞扫描。
当需要获取日志数据时,服务端可以从消息队列中获取相应的日志数据,为了尽量减少日志数据所占用的空间,以及方便后续对日志数据的处理,通常需要对日志数据进行二次清洗,将日志数据转化为结构化数据存入数据库;在实际实现时,上述服务端可以理解为日志解析设备;比如,日志解析设备可以对日志数据进行解析,考虑到日志解析设备解析日志数据通常需要较长时间,而日志采集组件不断地采集新的日志数据,如果日志采集组件直接将所采集的日志数据发送至日志解析设备,可能会由于日志解析设备没有及时接收,导致出现日志数据丢失的问题,因此,可以通过消息队列对日志数据进行缓存,日志采集组件可以将所采集的日志数据缓存至消息队列,日志解析设备再从消息队列中获取需要解析的日志数据。
在实际实现时,可以通过elk工具执行上述过程;其中,elk可以理解为elasticsearch、logstash和kibana的简称;其中,elasticsearch可以理解为一种开源分布式搜索与数据分析引擎;logstash可以用于动态地采集、转换和传输数据;Kibana可以理解为是为Elasticsearch设计的开源分析和可视化平台;通过logstash从消息队列读取日志数据,对日志数据清洗后存入elasticsearch,通过kibana实现可视化与数据模型调试。
步骤S204,从上述日志数据中提取指定字段对应的字段内容,得到提取结果。
在实际实现时,上述指定字段包括目标***接收到的访问请求的源地址信息、URI信息、请求头信息和表单信息中的一种或多种;其中,该源地址信息可以是IP(InternetProtocol,网际互连协议)地址;上述URI用于表示web(World Wide We,全球广域网)上每一种可用的资源,如HTML(HyperText Markup Language,超文本标记语言)文档、图像、视频片段、程序等都可以通过一个URI进行定位;上述请求头信息中通常包含客户端所支持的数据信息,如支持的数据类型、编码、数据压缩格式等,还可以包括客户端对所访问资源的要求,如数据缓存的时间等;上述表单信息可以理解为日志数据中所包含的表单及表单中对应的具体内容等。
步骤S206,基于上述提取结果识别上述目标***的漏洞。
上述识别***漏洞的方法,当从消息队列中获取到运行有扫描组件的设备上的日志数据后,从该日志数据中提取指定字段对应的字段内容,得到提取结果;基于该提取结果识别目标***的漏洞。由于运行有扫描组件的设备上的日志数据中保存有扫描组件对目标***进行漏洞扫描的中间结果,相对于漏洞扫描的最终结果,中间结果中保存有更加丰富的扫描数据,基于中间结果识别目标***的漏洞,有利于发现目标***中较为隐蔽的漏洞,因而降低了漏洞的漏报率和误报率,提高了识别***漏洞的准确率。
本发明实施例提供了另一种识别***漏洞的方法,该方法详细描述了基于提取结果识别目标***的漏洞的具体实现过程,具体可以通过下述步骤S306-步骤S308实现;如图3所示,该方法以下步骤:
步骤S302,获取运行有扫描组件的设备上的日志数据;其中,该扫描组件用于对目标***进行漏洞扫描。
步骤S304,从上述日志数据中提取指定字段对应的字段内容,得到提取结果。
步骤S306,通过预设的统计规则,对上述提取结果中,各个指定字段对应的字段内容进行统计分析,得到分析结果。
上述统计规则可以根据实际需求进行设定,比如,如果采用elk执行从消息队列中获取运行有扫描组件的设备上的日志数据的步骤,可以通过elk中的kibana所具备的聚合统计功能,对提取结果中,各个指定字段对应的字段内容进行聚合统计分析,得到分析结果;在实际实现时,可以对该分析结果进行可视化展示。
步骤S308,如果上述分析结果指示上述日志数据中存在异常数据,基于该异常数据确定目标***的漏洞。
上述异常数据可以理解为日志数据中所记录的目标***运行过程中可能出现的异常问题,比如,扫描组件中爬虫发现的URI,可以通过URI发现一些未知的登录后台,这些未知的登录后台可以用于管理一些关键的服务或集群,但通常会存在弱口令、弱权限控制等问题;其中,弱口令可以理解为容易被破解的口令;弱权限控制可以理解为权限较低的用户也能访问到原本权限较高的用户才能访问的数据;比如,访问网站的用户可以分为访客、普通人员和管理员等,如果访客或普通人员的权限设置较大,使得访客或普通人员也能访问到原本属于管理员权限才能访问的数据,这种方式是存在安全漏洞的。
上述识别***漏洞的方法,当获取到运行有扫描组件的设备上的日志数据后,从该日志数据中提取指定字段对应的字段内容,得到提取结果;通过预设的统计规则,对该提取结果中,各个指定字段对应的字段内容进行统计分析,得到分析结果;如果该分析结果指示日志数据中存在异常数据,基于该异常数据确定目标***的漏洞。该方式中,采用扫描组件对目标***进行漏洞扫描的中间结果进行漏洞识别,相对于漏洞扫描的最终结果,中间结果中保存有更加丰富的扫描数据,基于中间结果识别目标***的漏洞,有利于发现目标***中较为隐蔽的漏洞,因而降低了漏洞的漏报率和误报率,提高了识别***漏洞的准确率。
本发明实施例提供了另一种识别***漏洞的方法,该方法详细描述了基于提取结果识别目标***的漏洞的具体实现过程,具体可以通过下述步骤S406-步骤S410实现;如图4所示,该方法以下步骤:
步骤S402,获取运行有扫描组件的设备上的日志数据;其中,该扫描组件用于对目标***进行漏洞扫描。
步骤S404,从上述日志数据中提取指定字段对应的字段内容,得到提取结果。
步骤S406,根据上述提取结果,从上述日志数据中提取静态文件。
上述静态文件可以理解为普通的文本文件或html或像html的没有任何后台动作的jsp(JavaServer Pages,java服务器页面)、asp(Active Server Pages,动态服务器页面)或php(Hypertext Preprocessor,超文本预处理器)页面文件等,静态文件通常只包含文本或图片,且不会通过后台的控制来更改;在实际实现时,该静态文件可以是jpg格式或pdf格式的数据库文件或配置文件等;可以通过URI或者header等发现这些静态文件;比如,如果通过header发现静态文件,header中有个content字段,如果content字段返回的数据的格式是json数据格式,通常可以理解为所返回的数据是标准数据,该标准数据中通常会包含一些配置文件,该配置文件相当于上述静态文件。当得到提取结果后,根据该提取结果,从日志数据中提取出静态文件。
步骤S408,查询上述静态文件中是否存在预设的敏感信息。
上述敏感信息可以理解为如果不当使用或未经授权被人接触或修改,可能会不利于用户享有的个人隐私权的相关信息,比如,用户名或密码信息等;也可以根据实际需求预先设定敏感信息;在实际实现时,当从日志数据中提取出静态文件后,查询该静态文件中是否存在用户名或密码等敏感信息。
步骤S410,如果存在上述敏感信息,基于该敏感信息确定目标***的漏洞。
如果静态文件中存在上述用户名或密码等敏感信息,考虑到静态文件中存在的敏感信息如果泄露,可能会对用户的数据或信息等带来安全风险,因此,如果存在敏感信息,需要根据该敏感信息确认目标***的漏洞。
上述识别***漏洞的方法,当获取到运行有扫描组件的设备上的日志数据,并得到提取结果后,根据该提取结果,从日志数据中提取静态文件;如果查询到该静态文件中存在预设的敏感信息,基于该敏感信息确定目标***的漏洞。由于运行有扫描组件的设备上的日志数据中保存有扫描组件对目标***进行漏洞扫描的中间结果,相对于漏洞扫描的最终结果,中间结果中保存有更加丰富的扫描数据,基于中间结果识别目标***的漏洞,有利于发现目标***中较为隐蔽的漏洞,因而降低了漏洞的漏报率和误报率,提高了识别***漏洞的准确率。
本发明实施例提供了另一种识别***漏洞的方法,该方法详细描述了基于提取结果识别目标***的漏洞的具体实现过程,具体可以通过下述步骤S506-步骤S512实现;如图5所示,该方法以下步骤:
步骤S502,获取运行有扫描组件的设备上的日志数据;其中,该扫描组件用于对目标***进行漏洞扫描。
步骤S504,从上述日志数据中提取指定字段对应的字段内容,得到提取结果。
步骤S506,从上述提取结果中提取多个实体,以及多个实体之间的关系。
上述实体可以理解为同一类型事物的集合,每一类数据对象的个体称为实体;本实施例中,实体可以是所扫描的网站的页面,也可以是该页面中页面结构、页面特征或请求信息等;在实际实现时,当得到提取结果后,可以从该提取结果中提取多个实体,以及多个实体之间的关系。具体的,该步骤S506可以通过以下步骤50-步骤52来实现:
步骤50,从上述提取结果中获取日志来源字段的字段内容。
上述日志来源字段可以理解为扫描的网站网址的URL(Uniform ResourceLocator,统一资源定位符)部分,从提取结果中获取URL部分所对应的字段内容;比如,一个网站网址的URL部分为www.ksyun.com,其对应的字段内容可能包括product、developer或depart等。
步骤51,根据日志来源字段的字段内容,生成根实体。
在实际实现时,根据上述日志来源字段的字段内容,生成根实体,比如,如果一个网站网址的URL部分为www.ksyun.com,可以根据该URL部分及其对应的字段内容product、developer或depart等,生成相应的根实体。
步骤52,根据上述提取结果中,除上述日志来源字段的字段内容,生成上述根实体下属的子实体。
在实际实现时,对于一个完整的执行网址,除去该执行网址中的URL部分,执行网址的剩余部分即为URI,考虑到同一个URL可以对应多个不同的URI,可以根据不同的URI,生成根实体下属的多个不同的子实体。
步骤S508,根据提取到的多个实体和多个实体之间的关系,创建与上述目标***相关联的知识图谱;其中,该知识图谱中包括目标***的页面结构、页面特征、请求信息、该目标***运行主机上的开放服务、以及该开放服务的扫描交互信息中的一种或多种。
上述知识图谱中,页面结构可以理解为所扫描的网站的页面结构,该页面结构通常包括引导栏、header(请求头)、导航栏、banner(横幅)、内容区和版权信息等多个模块;上述页面特征可以理解为所扫描的网站的页面特点;上述请求信息可以理解为客户端向服务端所发送的请求消息,该请求消息通常包括对资源的请求方法、资源的标识符及使用的协议;上述主机通常与IP地址以及服务器相对应,一般一个主机对应一个IP地址,一个主机对应一台服务器;上述开放服务可以理解为主机所对应的服务器对外开放的服务;上述扫描交互信息通常包括banner、error等信息。
在实际实现时,根据从提取结果中提取到的上述多个实体,以及多个实体之间的关系,比如,根实体及对应的子实体之间的关系,创建与目标***相关联的知识图谱;其中可包含扫描站点的页面结构、页面特征、请求信息,扫描主机的开放服务以及与服务进行扫描交互时的banner、error等信息,扫描站点可以理解为扫描的网站运行的服务器,扫描站点对应的是网站,网站有可能也是分布式的,可以运行在多个服务器上,可以理解为,扫描站点可以包括多个扫描主机。
步骤S510,基于上述知识图谱,确定目标***的漏洞。
根据上述知识图谱中的根实体与子实体之间的关联关系,有助于挖掘出所需要的数据信息,根据该数据信息,可以确定目标***的漏洞。具体的,该步骤S510可以通过以下步骤53实现:
步骤53,通过预设的统计规则,对上述知识图谱进行统计分析,得到分析结果,基于该分析结果确定目标***的漏洞。
上述统计规则可以根据实际需求进行设定,在实际实现时,上述指示图谱通常也会存储在数据库中,比如可以存储在elasticsearch中,因此,也可以通过elk中的kibana所具备的聚合统计功能,对上述知识图谱进行聚合统计分析,得到分析结果;根据该分析结果确定目标***的漏洞。
步骤S512,如果识别出上述目标***的漏洞,根据该漏洞生成报警信息。
如果识别出目标***的漏洞,生成报警信息,以提醒***维护人员尽快对目标***进行漏洞修复及维护等,保证目标***的安全稳定运行。
上述识别***漏洞的方法,当获取到运行有扫描组件的设备上的日志数据,并得到提取结果后,从提取结果中提取多个实体,以及多个实体之间的关系;根据提取到的多个实体和多个实体之间的关系,创建与目标***相关联的知识图谱;基于知识图谱,确定目标***的漏洞;如果识别出目标***的漏洞,生成报警信息。由于运行有扫描组件的设备上的日志数据中保存有扫描组件对目标***进行漏洞扫描的中间结果,相对于漏洞扫描的最终结果,中间结果中保存有更加丰富的扫描数据,基于中间结果识别目标***的漏洞,有利于发现目标***中较为隐蔽的漏洞,因而降低了漏洞的漏报率和误报率,提高了识别***漏洞的准确率。
本发明实施例提供了另一种识别***漏洞的方法,如图6所示,该方法应用于第二服务器;该第二服务器相当于前述实施例中的运行有扫描组件的设备;该第二服务器与前述实施例中的第一服务器通信连接;第一服务器通过预设的通信接口获取运行有扫描组件的设备上的日志数据。
该方法包括如下步骤:
步骤S602,采集当前设备上的日志数据;其中,该当前设备上运行有扫描组件,该扫描组件用于对目标***进行漏洞扫描。
上述当前设备可以理解为部署有日志采集组件的设备,该当前设备上通常运行有可以对目标***进行漏洞扫描的扫描组件;通过日志采集组件采集当前设备上的日志数据。
步骤S604,将上述日志数据的时间信息和来源信息携带至该日志数据。
步骤S606,将日志数据发送至预设的消息队列,以通过预设的服务器从消息队列中获取日志数据,从日志数据中提取指定字段对应的字段内容,得到提取结果;基于提取结果识别目标***的漏洞。
上述识别***漏洞的方法,采集运行有扫描组件的当前设备上的日志数据;将该日志数据的时间信息和来源信息携带至该日志数据;将日志数据发送至预设的消息队列,以通过预设的服务器从消息队列中获取日志数据,提取指定字段对应的字段内容,得到提取结果;基于提取结果识别目标***的漏洞。由于运行有扫描组件的设备上的日志数据中保存有扫描组件对目标***进行漏洞扫描的中间结果,相对于漏洞扫描的最终结果,中间结果中保存有更加丰富的扫描数据,基于中间结果识别目标***的漏洞,有利于发现目标***中较为隐蔽的漏洞,因而降低了漏洞的漏报率和误报率,提高了识别***漏洞的准确率。
为进一步理解上述实施例,下面提供另一种识别***漏洞的方法的流程图,如图7所示,其中包括爬虫、指纹匹配、模糊测试、poc测试等多个扫描组件,在各扫描组件所在的设备上(相当于前述实施例中的第二服务器)分别部署日志收集器,得到日志收集器1、日志收集器2、日志收集器3,直至日志收集器n等,该日志收集器相当于上述实施例中的日志采集组件,该日志收集器可以通过filebeat实现;各个日志收集器将收集的日志数据进行初步处理,如对日志数据进行一次清洗,然后添加标签,比如,对日志数据添加统一的时间戳、标记来源等;再将添加标签后的日志数据推送至消息队列。
服务端(相当于前述实施例中的第一服务器)从消息队列中读取日志数据,并对日志数据进行二次清洗,将日志数据转化为结构化的日志数据存入传统数据库;可以采用elk实现该过程,通过elk中的logstash从消息队列读取日志数据,对日志数据清洗后存入elasticsearch,通过kibana对日志数据的各字段进行聚合统计、异常分析,以识别目标***的漏洞,还可以将统计分析的数据进行数据可视化处理,如果识别出目标***的漏洞,实时报警。
该方法中,还会从结构化的日志数据中抽取实体和实体之间关系,并存入图数据库,根据提取到的实体和实体之间的关系,建立扫描中间结果知识图谱,根据该知识图谱确认主机关联图、网站关联图等,通过关系将这些数据连接在一个个图上,进行关联搜索和关联分析,还可以进行聚合统计、异常分析,以识别目标***的漏洞。
提取一次扫描过程中的各组件中间结果,进行日志清洗后抽取特征进行大数据处理分析,通过分析中间结果发现隐藏问题,动态提升扫描能力。提取漏洞扫描的中间结果也可以用于其他的组件,如资产扫描、违规内容站点扫描等。
下面还提供一种知识图谱的结构示意图,如图8所示,包括一个URL和4个URI;其中,URL对应的网址是www.ksyun.com,相当于上述日志来源字段,其中包括product、developer和dapart三个字段,该URL对应的网址及对应的三个字段的内容为根实体;4个URI分别为URI:/dashboard、URI:/taskinfo、URI:/createtask和URI:/userinfo,这4个URI分别对应的网址部分及所包含的params和header作为子实体。
图8中,还展示了根实体和多个子实体之间的关联关系,可以看出,根实体与子实体URI:/dashboard相关联,子实体URI:/dashboard分别与子实体URI:/taskinfo和子实体URI:/userinfo相关联,子实体URI:/taskinfo分别与子实体URI:/createtask和子实体URI:/userinfo相关联。
下面还提供另一种知识图谱的结构示意图,如图9所示,包括一个根实体和4个子实体,其中URI:/dashboard相当于上述日志来源字段,其中包括params和header两个字段,该URI及对应的两个字段的内容为根实体,4个子实体分别为RESPONSE:response1、ERROR:error1、RESPONSE:response2和VUL:vul1;子实体RESPONSE:response1和子实体RESPONSE:response2中均包括text、header和tag三个字段;子实体ERROR:error1和子实体VUL:vul1中均包含type、tag和path三个字段;图9中,还展示了根实体和多个子实体之间的关联关系,可以看出,子实体RESPONSE:response1分别与根实体和子实体ERROR:error1相关联;子实体RESPONSE:response2分别与根实体和子实体VUL:vul1相关联;图9中,Get和post是两种不同的交互方式,基于不同的交互方式,得到不同的子实体。
一个组件的根实体可能为另一组件的子实体,将不同组件的图谱通过关系进行连接,比如爬虫日志中的不同URI就可以作为模糊测试日志中的根实体,对应图8中的子实体URI:/dashboard在上述图9中是根实体。
本发明实施例提供了一种识别***漏洞的装置,如图10所示,该装置包括:获取模块100,用于获取运行有扫描组件的设备上的日志数据;其中,扫描组件用于对目标***进行漏洞扫描;提取模块101,用于从日志数据中提取指定字段对应的字段内容,得到提取结果;识别模块102,用于基于提取结果识别目标***的漏洞。
本发明实施例提供的识别***漏洞的装置,通过扫描组件对目标***进行漏洞扫描,当获取到运行有扫描组件的设备上的日志数据后,从该日志数据中提取指定字段对应的字段内容,得到提取结果;基于该提取结果识别目标***的漏洞。由于运行有扫描组件的设备上的日志数据中保存有扫描组件对目标***进行漏洞扫描的中间结果,相对于漏洞扫描的最终结果,中间结果中保存有更加丰富的扫描数据,基于中间结果识别目标***的漏洞,有利于发现目标***中较为隐蔽的漏洞,因而降低了漏洞的漏报率和误报率,提高了识别***漏洞的准确率。
进一步的,运行有扫描组件的设备上预先部署有日志采集组件,日志采集组件用于:采集运行有扫描组件的设备上的日志数据,将日志数据的时间信息和来源信息携带至日志数据,再将日志数据发送至预设的消息队列;获取模块100还用于:从消息队列中获取运行有扫描组件的设备上的日志数据。
进一步的,指定字段包括目标***接收到的访问请求的源地址信息、URI信息、请求头信息和表单信息中的一种或多种。
进一步的,识别模块102还用于:通过预设的统计规则,对提取结果中,各个指定字段对应的字段内容进行统计分析,得到分析结果;如果分析结果指示日志数据中存在异常数据,基于异常数据确定目标***的漏洞。
进一步的,识别模块102还用于:根据提取结果,从日志数据中提取静态文件;查询静态文件中是否存在预设的敏感信息;如果存在敏感信息,基于敏感信息确定目标***的漏洞。
进一步的,识别模块102还用于:从提取结果中提取多个实体,以及多个实体之间的关系;根据提取到的多个实体和多个实体之间的关系,创建与目标***相关联的知识图谱;其中,知识图谱中包括目标***的页面结构、页面特征、请求信息、目标***运行主机上的开放服务、以及开放服务的扫描交互信息中的一种或多种;基于知识图谱,确定目标***的漏洞。
进一步的,识别模块102还用于:从提取结果中获取日志来源字段的字段内容;根据日志来源字段的字段内容,生成根实体;根据提取结果中,除日志来源字段的字段的字段内容,生成根实体下属的子实体。
进一步的,识别模块102还用于:通过预设的统计规则,对知识图谱进行统计分析,得到分析结果,基于分析结果确定目标***的漏洞。
进一步的,该装置还用于:如果识别出目标***的漏洞,根据漏洞生成报警信息。
本发明实施例所提供的识别***漏洞的装置,其实现原理及产生的技术效果和前述识别***漏洞的方法实施例相同,为简要描述,识别***漏洞的装置实施例部分未提及之处,可参考前述识别***漏洞的方法实施例中相应内容。
本发明实施例提供了另一种识别***漏洞的装置,如图11所示,该装置包括:采集模块110,用于采集当前设备上的日志数据;其中,当前设备上运行有扫描组件,扫描组件用于对目标***进行漏洞扫描;携带模块111,用于将日志数据的时间信息和来源信息携带至日志数据;发送模块112,用于将日志数据发送至预设的消息队列,以通过预设的服务器从消息队列中获取日志数据,从日志数据中提取指定字段对应的字段内容,得到提取结果;基于提取结果识别目标***的漏洞。
上述识别***漏洞的装置,采集运行有扫描组件的当前设备上的日志数据;将该日志数据的时间信息和来源信息携带至该日志数据;将日志数据发送至预设的消息队列,以通过预设的服务器从消息队列中获取日志数据,提取指定字段对应的字段内容,得到提取结果;基于提取结果识别目标***的漏洞。由于运行有扫描组件的设备上的日志数据中保存有扫描组件对目标***进行漏洞扫描的中间结果,相对于漏洞扫描的最终结果,中间结果中保存有更加丰富的扫描数据,基于中间结果识别目标***的漏洞,有利于发现目标***中较为隐蔽的漏洞,因而降低了漏洞的漏报率和误报率,提高了识别***漏洞的准确率。
本发明实施例还提供了一种服务器,参见图12所示,该服务器包括处理器130和存储器131,该存储器131存储有能够被处理器130执行的机器可执行指令,该处理器130执行机器可执行指令以实现上述识别***漏洞的方法。
进一步地,图12所示的服务器还包括总线132和通信接口133,处理器130、通信接口133和存储器131通过总线132连接。
其中,存储器131可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口133(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。总线132可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图12中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
处理器130可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器130中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器130可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processor,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器131,处理器130读取存储器131中的信息,结合其硬件完成前述实施例的方法的步骤。
本发明实施例还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,该机器可执行指令促使处理器实现上述识别***漏洞的方法,具体实现可参见方法实施例,在此不再赘述。
本发明实施例所提供的识别***漏洞的方法、装置和服务器的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (14)
1.一种识别***漏洞的方法,其特征在于,所述方法包括:
获取运行有扫描组件的设备上的日志数据;其中,所述扫描组件用于对目标***进行漏洞扫描;
从所述日志数据中提取指定字段对应的字段内容,得到提取结果;
基于所述提取结果识别所述目标***的漏洞。
2.根据权利要求1所述的方法,其特征在于,所述运行有扫描组件的设备上预先部署有日志采集组件,所述日志采集组件用于:采集所述运行有扫描组件的设备上的日志数据,将所述日志数据的时间信息和来源信息携带至所述日志数据,再将所述日志数据发送至预设的消息队列;
所述获取运行有扫描组件的设备上的日志数据的步骤,包括:从所述消息队列中获取运行有扫描组件的设备上的日志数据。
3.根据权利要求1所述的方法,其特征在于,所述指定字段包括所述目标***接收到的访问请求的源地址信息、URI信息、请求头信息和表单信息中的一种或多种。
4.根据权利要求1所述的方法,其特征在于,基于所述提取结果识别所述目标***的漏洞的步骤,包括:
通过预设的统计规则,对所述提取结果中,各个指定字段对应的字段内容进行统计分析,得到分析结果;
如果所述分析结果指示所述日志数据中存在异常数据,基于所述异常数据确定所述目标***的漏洞。
5.根据权利要求1所述的方法,其特征在于,基于所述提取结果识别所述目标***的漏洞的步骤,包括:
根据所述提取结果,从所述日志数据中提取静态文件;
查询所述静态文件中是否存在预设的敏感信息;
如果存在所述敏感信息,基于所述敏感信息确定所述目标***的漏洞。
6.根据权利要求1所述的方法,其特征在于,基于所述提取结果识别所述目标***的漏洞的步骤,包括:
从所述提取结果中提取多个实体,以及所述多个实体之间的关系;
根据提取到的所述多个实体和所述多个实体之间的关系,创建与所述目标***相关联的知识图谱;其中,所述知识图谱中包括所述目标***的页面结构、页面特征、请求信息、所述目标***运行主机上的开放服务、以及所述开放服务的扫描交互信息中的一种或多种;
基于所述知识图谱,确定所述目标***的漏洞。
7.根据权利要求6所述的方法,其特征在于,从所述提取结果中提取多个实体,以及所述多个实体之间的关系的步骤,包括:
从所述提取结果中获取日志来源字段的字段内容;
根据日志来源字段的字段内容,生成根实体;
根据所述提取结果中,除所述日志来源字段的字段内容,生成所述根实体下属的子实体。
8.根据权利要求6所述的方法,其特征在于,基于所述知识图谱,确定所述目标***的漏洞的步骤,包括:
通过预设的统计规则,对所述知识图谱进行统计分析,得到分析结果,基于所述分析结果确定所述目标***的漏洞。
9.根据权利要求1-8任一项所述的方法,其特征在于,基于所述提取结果识别所述目标***的漏洞的步骤之后,所述方法还包括:如果识别出所述目标***的漏洞,根据所述漏洞生成报警信息。
10.一种识别***漏洞的方法,其特征在于,所述方法包括:
采集当前设备上的日志数据;其中,所述当前设备上运行有扫描组件,所述扫描组件用于对目标***进行漏洞扫描;
将所述日志数据的时间信息和来源信息携带至所述日志数据;
将所述日志数据发送至预设的消息队列,以通过预设的服务器从所述消息队列中获取所述日志数据,从所述日志数据中提取指定字段对应的字段内容,得到提取结果;基于所述提取结果识别所述目标***的漏洞。
11.一种识别***漏洞的装置,其特征在于,所述装置包括:
获取模块,用于获取运行有扫描组件的设备上的日志数据;其中,所述扫描组件用于对目标***进行漏洞扫描;
提取模块,用于从所述日志数据中提取指定字段对应的字段内容,得到提取结果;
识别模块,用于基于所述提取结果识别所述目标***的漏洞。
12.一种识别***漏洞的装置,其特征在于,所述装置包括:
采集模块,用于采集当前设备上的日志数据;其中,所述当前设备上运行有扫描组件,所述扫描组件用于对目标***进行漏洞扫描;
携带模块,用于将所述日志数据的时间信息和来源信息携带至所述日志数据;
发送模块,用于将所述日志数据发送至预设的消息队列,以通过预设的服务器从所述消息队列中获取所述日志数据,从所述日志数据中提取指定字段对应的字段内容,得到提取结果;基于所述提取结果识别所述目标***的漏洞。
13.一种服务器,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1-10任一项所述的识别***漏洞的方法。
14.一种机器可读存储介质,其特征在于,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现权利要求1-10任一项所述的识别***漏洞的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010445689.4A CN111625837B (zh) | 2020-05-22 | 2020-05-22 | 识别***漏洞的方法、装置和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010445689.4A CN111625837B (zh) | 2020-05-22 | 2020-05-22 | 识别***漏洞的方法、装置和服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111625837A true CN111625837A (zh) | 2020-09-04 |
| CN111625837B CN111625837B (zh) | 2023-07-04 |
Family
ID=72271087
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010445689.4A Active CN111625837B (zh) | 2020-05-22 | 2020-05-22 | 识别***漏洞的方法、装置和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111625837B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111797403A (zh) * | 2020-06-21 | 2020-10-20 | 石高建 | 基于大数据和物联网的数据处理方法及云计算服务器中心 |
| CN113076543A (zh) * | 2021-03-22 | 2021-07-06 | 四川大学 | 一种针对社交网络中漏洞利用知识库的构建方法 |
| CN114443113A (zh) * | 2022-02-10 | 2022-05-06 | Oppo广东移动通信有限公司 | 异常应用或组件的识别方法、装置、存储介质与电子设备 |
| CN117725596A (zh) * | 2024-01-04 | 2024-03-19 | 章和技术(广州)有限公司 | 一种网络安全漏洞探测方法、装置、电子设备及存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283083A1 (en) * | 2013-03-15 | 2014-09-18 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| CN104363595A (zh) * | 2014-10-30 | 2015-02-18 | 苏州德鲁森自动化***有限公司 | 一种无线局域网安全*** |
| US9286378B1 (en) * | 2012-08-31 | 2016-03-15 | Facebook, Inc. | System and methods for URL entity extraction |
| WO2016101302A1 (zh) * | 2014-12-25 | 2016-06-30 | 广东电子工业研究院有限公司 | 基于用户日志和实体关联图库的个性化推荐***及其推荐方法 |
| WO2017071579A1 (zh) * | 2015-10-26 | 2017-05-04 | 北京奇虎科技有限公司 | Android***漏洞挖掘的方法及装置 |
| US20170187734A1 (en) * | 2015-12-28 | 2017-06-29 | International Business Machines Corporation | System and method for field extraction of data contained within a log stream |
| US9838407B1 (en) * | 2016-03-30 | 2017-12-05 | EMC IP Holding Company LLC | Detection of malicious web activity in enterprise computer networks |
| CN109257329A (zh) * | 2017-07-13 | 2019-01-22 | 国网浙江省电力公司电力科学研究院 | 一种基于海量Web日志的网站风险指数计算***及方法 |
| CN109871696A (zh) * | 2018-12-29 | 2019-06-11 | 重庆城市管理职业学院 | 一种漏洞信息的自动收集与漏洞扫描***及方法、计算机 |
| CN110008352A (zh) * | 2019-03-28 | 2019-07-12 | 腾讯科技(深圳)有限公司 | 实体发现方法及装置 |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | ***漏洞的检测方法、装置、终端设备及介质 |
| US20200014697A1 (en) * | 2018-07-04 | 2020-01-09 | Microsoft Technology Licensing, Llc | Whitelisting of trusted accessors to restricted web pages |
| CN110933101A (zh) * | 2019-12-10 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 安全事件日志处理方法、装置及存储介质 |
-
2020
- 2020-05-22 CN CN202010445689.4A patent/CN111625837B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9286378B1 (en) * | 2012-08-31 | 2016-03-15 | Facebook, Inc. | System and methods for URL entity extraction |
| US20140283083A1 (en) * | 2013-03-15 | 2014-09-18 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| CN104363595A (zh) * | 2014-10-30 | 2015-02-18 | 苏州德鲁森自动化***有限公司 | 一种无线局域网安全*** |
| WO2016101302A1 (zh) * | 2014-12-25 | 2016-06-30 | 广东电子工业研究院有限公司 | 基于用户日志和实体关联图库的个性化推荐***及其推荐方法 |
| WO2017071579A1 (zh) * | 2015-10-26 | 2017-05-04 | 北京奇虎科技有限公司 | Android***漏洞挖掘的方法及装置 |
| US20170187734A1 (en) * | 2015-12-28 | 2017-06-29 | International Business Machines Corporation | System and method for field extraction of data contained within a log stream |
| US9838407B1 (en) * | 2016-03-30 | 2017-12-05 | EMC IP Holding Company LLC | Detection of malicious web activity in enterprise computer networks |
| CN109257329A (zh) * | 2017-07-13 | 2019-01-22 | 国网浙江省电力公司电力科学研究院 | 一种基于海量Web日志的网站风险指数计算***及方法 |
| US20200014697A1 (en) * | 2018-07-04 | 2020-01-09 | Microsoft Technology Licensing, Llc | Whitelisting of trusted accessors to restricted web pages |
| CN109871696A (zh) * | 2018-12-29 | 2019-06-11 | 重庆城市管理职业学院 | 一种漏洞信息的自动收集与漏洞扫描***及方法、计算机 |
| CN110008352A (zh) * | 2019-03-28 | 2019-07-12 | 腾讯科技(深圳)有限公司 | 实体发现方法及装置 |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | ***漏洞的检测方法、装置、终端设备及介质 |
| CN110933101A (zh) * | 2019-12-10 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 安全事件日志处理方法、装置及存储介质 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111797403A (zh) * | 2020-06-21 | 2020-10-20 | 石高建 | 基于大数据和物联网的数据处理方法及云计算服务器中心 |
| CN111797403B (zh) * | 2020-06-21 | 2021-03-05 | 佛山市勇合科技有限公司 | 基于大数据和物联网的数据处理方法及云计算服务器中心 |
| CN113076543A (zh) * | 2021-03-22 | 2021-07-06 | 四川大学 | 一种针对社交网络中漏洞利用知识库的构建方法 |
| CN113076543B (zh) * | 2021-03-22 | 2022-02-08 | 四川大学 | 一种针对社交网络中漏洞利用知识库的构建方法 |
| CN114443113A (zh) * | 2022-02-10 | 2022-05-06 | Oppo广东移动通信有限公司 | 异常应用或组件的识别方法、装置、存储介质与电子设备 |
| CN114443113B (zh) * | 2022-02-10 | 2024-06-28 | Oppo广东移动通信有限公司 | 异常应用或组件的识别方法、装置、存储介质与电子设备 |
| CN117725596A (zh) * | 2024-01-04 | 2024-03-19 | 章和技术(广州)有限公司 | 一种网络安全漏洞探测方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111625837B (zh) | 2023-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
| CN111625837B (zh) | 识别***漏洞的方法、装置和服务器 | |
| US11233819B2 (en) | Method and apparatus for analyzing cyberattack | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| US9208309B2 (en) | Dynamically scanning a web application through use of web traffic information | |
| US8291500B1 (en) | Systems and methods for automated malware artifact retrieval and analysis | |
| CN111400722B (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及*** | |
| CN109948334B (zh) | 一种漏洞检测方法、***及电子设备和存储介质 | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| CN111866016A (zh) | 日志的分析方法及*** | |
| CN111756697B (zh) | Api安全检测方法、装置、存储介质及计算机设备 | |
| KR101859562B1 (ko) | 취약점 정보 분석 방법 및 장치 | |
| CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
| US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
| CN114528457A (zh) | Web指纹检测方法及相关设备 | |
| CN113779571B (zh) | WebShell检测装置、WebShell检测方法及计算机可读存储介质 | |
| US11297091B2 (en) | HTTP log integration to web application testing | |
| CN111314326B (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
| CN113312633A (zh) | 一种网站漏洞扫描方法、装置、设备及存储介质 | |
| KR101725404B1 (ko) | 웹사이트 점검 장치 및 그 방법 | |
| CN112887289A (zh) | 一种网络数据处理方法、装置、计算机设备及存储介质 | |
| US8429458B2 (en) | Method and apparatus for system analysis | |
| CN115314271B (zh) | 一种访问请求的检测方法、***及计算机存储介质 | |
| CN111274461A (zh) | 数据审计方法、数据审计装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |