CN112329021B - 一种排查应用漏洞的方法、装置、电子装置和存储介质 - Google Patents
一种排查应用漏洞的方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN112329021B CN112329021B CN202011237587.XA CN202011237587A CN112329021B CN 112329021 B CN112329021 B CN 112329021B CN 202011237587 A CN202011237587 A CN 202011237587A CN 112329021 B CN112329021 B CN 112329021B
- Authority
- CN
- China
- Prior art keywords
- information
- application system
- operation information
- monitoring
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000003860 storage Methods 0.000 title claims abstract description 15
- 238000012544 monitoring process Methods 0.000 claims abstract description 37
- 238000004458 analytical method Methods 0.000 claims abstract description 21
- 238000004590 computer program Methods 0.000 claims description 15
- 238000004140 cleaning Methods 0.000 claims description 14
- 238000013024 troubleshooting Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000012550 audit Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 5
- 241000220225 Malus Species 0.000 description 4
- 230000006399 behavior Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 235000021016 apples Nutrition 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 108010001267 Protein Subunits Proteins 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及一种排查应用漏洞的方法、装置、电子装置和存储介质,其中,该方法通过获取应用***中的目标程序的全部运行信息;监听与该应用***连接的安全防护设备发出的危险事件报警信号;在监听到该危险事件报警信号后,根据该危险事件报警信号和发出信号的该安全防护设备的信息,从该全部运行信息中确定该目标程序在危险事件发生之前的部分运行信息,并进行标记,得到目标运行信息;对该目标运行信息和正常运行信息进行对比分析,根据分析结果确定该应用***的漏洞。本申请解决了如何从根本上改进应用***的安全能力的问题,提高了修补漏洞的能力。
Description
技术领域
本申请涉及网络安全的领域,特别是涉及一种排查应用漏洞的方法、装置、电子装置和存储介质。
背景技术
开发者在开发应用***时,都具有明确的目的,即指定应用***的使用者执行什么操作,应用***就会按照预先设定好的动作去访问某些数据或者执行某些特定操作。但是如果应用***设计的不够完善,就会让黑客有机可乘,黑客就会利用应用***的某些弱点,让操作***执行违背开发者预期目标的操作。
例如:应用***的开发者本来做的功能是“购买本店的____”,使用者在界面上可以输入店铺里的商品,如“苹果”,那么执行的动作就是“购买本店的苹果”,这就是开发者的本意。然而黑客可以往里面输入“苹果并且砸坏了店铺”,那么执行的动作就是“购买本店的苹果并且砸坏了店铺”,黑客利用此功能达到了破坏店铺的目的,这显然不符合开发者的本意。这就是应用***的漏洞。现实中的SQL注入、任意代码执行、远程命令执行等各种常见攻击手段,其基本思想都如上例所述。
以SQL注入为例,应用***的开发者本意是让用户输入某个值,应用***把输入的值拼接到SQL语句中,然后交给数据库去执行,但由于开发者安全意识不够,会导致黑客可以通过输入一些值来改变SQL语句的原意,从而访问了本来不该访问的数据,或者篡改了本来不该被修改的数据,造成数据泄露或丢失。在传统的场景中,各种各样的安全防护设备可以监测到应用***执行了危险行为,并且向应用***的管理员发出警告,但应用***的管理员或者开发商也只能简单知道当前***有危险行为,也能意识到当前***有漏洞,所以才被黑客攻击了,但“哪里有漏洞”、“黑客当时攻击时,利用了应用***中的哪些环节”,这才是应用***的开发商真正想关心的,因为只有知道整个利用过程,才能真正修补漏洞。
在真实的业务***中,根据安全事件排查漏洞是很复杂很困难的一件事,因为黑客攻击仅仅发生一次或者持续时间很短,几乎无法抓住攻击的瞬间并且去抓取攻击路径。目前,应用***的安全保障通常分为事后审计、策略阻断,无法从根本上改善或改进应用***的安全能力。
目前针对相关技术中,如何从根本上改进应用***的安全能力的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种排查应用漏洞的方法、装置、电子装置和存储介质,以至少解决相关技术中如何从根本上改进应用***的安全能力的问题。
第一方面,本申请实施例提供了一种排查应用漏洞的方法,获取应用***中的目标程序的全部运行信息;监听与所述应用***连接的安全防护设备发出的危险事件报警信号;在监听到所述危险事件报警信号后,根据所述危险事件报警信号和发出信号的所述安全防护设备的信息,从所述全部运行信息中确定所述目标程序在危险事件发生之前的部分运行信息,并进行标记,得到目标运行信息;对所述目标运行信息和正常运行信息进行对比分析,根据分析结果确定所述应用***的漏洞。
在其中一些实施例中,所述全部运行信息包括运行时间信息、入参信息、出参信息、以及调用栈信息。
在其中一些实施例中,所述获取应用***中的目标程序的全部运行信息,包括:对所述应用***中的目标程序进行插桩,获取所述目标程序的全部运行信息。
在其中一些实施例中,在监听与所述应用***连接的安全防护设备发出的危险事件报警信号之前,还包括以下步骤:配置监听信息,所述监听信息包括所述安全防护设备的信息和监听条件。
在其中一些实施例中,所述目标运行信息包括:所述危险事件的源IP、源端口、数据库连接的登录用户名、发生地点、以及数据库名。
在其中一些实施例中,在根据分析结果确定所述应用***的漏洞之后,所述方法还包括:将所述全部运行信息的按照参数类型、业务操作、以及操作程序进行分类,推送至显示终端。
在其中一些实施例中,在根据分析结果确定所述应用***的漏洞之后,所述方法还包括:基于预设的清理策略对所述正常运行信息进行清理。
第二方面,本申请实施例提供了一种排查应用漏洞的装置,包括:获取模块、监听模块、标记模块以及对比模块;所述获取模块,用于获取应用***中的目标程序的全部运行信息;所述监听模块,用于监听与所述应用***连接的安全防护设备发出的危险事件报警信号;所述标记模块,用于在监听到所述危险事件报警信号后,根据所述危险事件报警信号和发出信号的所述安全防护设备的信息,从所述全部运行信息中确定所述目标程序在危险事件发生之前的部分运行信息,并进行标记,得到目标运行信息;所述对比模块,用于对所述目标运行信息和正常运行信息进行对比分析,根据分析结果确定所述应用***的漏洞。
第三方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的一种排查应用漏洞的方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的一种排查应用漏洞的方法。
相比于相关技术,本申请实施例提供的一种排查应用漏洞的方法、装置、电子装置和存储介质,通过获取应用***中的目标程序的全部运行信息;监听与该应用***连接的安全防护设备发出的危险事件报警信号;在监听到该危险事件报警信号后,根据该危险事件报警信号和发出信号的该安全防护设备的信息,从该全部运行信息中确定该目标程序在危险事件发生之前的部分运行信息,并进行标记,得到目标运行信息;对该目标运行信息和正常运行信息进行对比分析,根据分析结果确定该应用***的漏洞,解决了如何从根本上改进应用***的安全能力的问题,提高了修补漏洞的能力。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种排查应用漏洞的方法的终端的硬件结构框图;
图2是根据本申请实施例的一种排查应用漏洞的方法的流程图;
图3是根据本申请实施例的一种排查应用漏洞的装置的结构框图;
图4是根据本申请实施例的一种计算机可读存储介质的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例,图1是根据本发明实施例的一种排查应用漏洞的方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种排查应用漏洞的方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本实施例提供了一种排查应用漏洞的方法,图2是根据本申请实施例的一种排查应用漏洞的方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取应用***中的目标程序的全部运行信息。
其中,该目标程序包括应用***中实际执行业务逻辑的所有程序,不包括操作***中自带的程序,包括但不限于业务程序、程序方法。这里的业务程序是指宏观的程序进程;程序方法是指微观的方法功能程序都是由多个方法功能组成。
例如,针对宏观上的业务程序可以记录程序的启动、停止等宏观信息;微观上的程序方法,可以记录该程序方法的入参、出参、调用栈以及运行时长等微观信息。
因此全部运行信息可以包括运行时间信息、入参信息、出参信息、以及调用栈信息等。
步骤S202,监听与该应用***连接的安全防护设备发出的危险事件报警信号。
其中,该安全防护设备是指独立于该应用***的、有对接需求的审计设备。
例如,数据库审计设备,当该数据库审计设备审计到针对该数据库存在可疑的危险操作时,与应用***进行通信,下发危险事件报警信号。
具体地,数据库审计设备审计到针对该数据库存在可疑的危险操作可以通过抓取应用***访问数据库的流量,进行协议还原,还原出当前针对数据库的操作;根据还原出来的数据库操作与用户提供的安全规则进行匹配,从而分析此项操作是否为危险操作;当该数据库审计设备判断当前操作是危险操作时,则向应用***发送指令,当该数据库审计设备判断当前操作不是危险操作时,则不向应用***发送指令。
步骤S203,在监听到该危险事件报警信号后,根据该危险事件报警信号和发出信号的该安全防护设备的信息,从该全部运行信息中确定该目标程序在危险事件发生之前的部分运行信息,并进行标记,得到目标运行信息。
相应地,上述步骤S203中,目标运行信息可以包括该危险事件的源IP、源端口、数据库连接的登录用户名、发生地点、以及数据库名等。
例如,在监听到该危险事件报警信号后,可以把最近一分钟内的所有数据进行标记。部分运行信息的选取的时间的长短可由用户自行进行设定。标记类型包括告警类型、告警等级、数据库审计设备上的告警时间ID等。
还需要说明的是,从该全部运行信息中确定该目标程序在危险事件发生之前的部分运行信息,并进行标记的操作是在应用***中处理的。
例如,某台服务器上有两个Java进程在运行,这两个进程都是某业务***的一部分,同时访问数据库;则开始记录这两个Java进程内部执行的信息。
又例如,黑客通过业务***中的某处不严谨的地方,做了SQL注入攻击,访问了数据库中某个敏感信息;外部的数据库审计设备监测到了这个不正常行为,向此服务器上的本程序发出指令,并带有本次事件的详细信息,即本次安全事件的源IP、源端口、数据库连接的登录用户名、发生时间点、涉及到的数据库名;服务器上的本程序收到事件的详细信息后,会根据这些特征,和当前服务器上的两个Java进程一一对比:根据事件中的源IP对比当前服务器的IP,看是否一致,如果一致则继续对比,否则就认为对比失败;根据事件中的源端口,和记录下来的“两个进程曾经建立过连接的端口列表”进行对比,从而确定当时是哪个进程发出的数据库连接。根据事件中的数据库用户名,对比两个Java程序,看哪个程序使用了此用户名。根据事件发生的时间点,看此时间点附近哪个程序发出了数据库请求。然后,根据事件中的数据库名,对比两个程序中的数据库连接记录,判断哪个程序登录了此数据库。从而综合对比得到此安全事件归属于哪个程序,针对性的对安全事件的程序的运行信息进行打标。通过上述方法,一个安全事件就能精确的关联到一个进程的信息,不必针对整个业务***集群进行大海捞针似的大规模排查。
步骤S204,对该目标运行信息和正常运行信息进行对比分析,根据分析结果确定该应用***的漏洞。
其中,确定该目标程序在危险事件之间的部分运行信息,是通过多维度碰撞。首先,在应用服务器上会建立一个小型数据库,监控到一个行为时,会往此数据库中记录一条数据,数据中包含了这个行为的一些特征,如发生时间、应用建立的数据库连接的属性、IP、端口等。
在安全防护设备发现一个安全事件后,会把事件的各种维度信息下发给监控程序,例如:事件发生事件、事件发生于哪个数据库、事件发生的IP、端口等。根据这些条件从小型数据库中查找符合这些特征的记录,然后打上标签。
本实施例将记录的“应用***最近的运行信息”与“数据库审计设备的告警事件”进行关联,从而达到了这样一个目的:用户可根据数据库审计设备上某个告警事件,追溯到应用***中的运行信息,从而还原出黑客攻击时,利用了应用***中的哪个薄弱环节,从而发现应用***中的漏洞,进而进行人工修复。
上述步骤配置了一个安全防护设备,应用***与安全防护设备联动,通过将监控到的应用***中的全部运行信息传输到安全防护设备中进行检测,在安全防护设备中设置触发条件,将监控到的全部运行信息与安全防护设备的信息进行多维度碰撞,当碰撞结果触发了在安全防护设备中的触发条件,安全防护设备监测到危险事件发生并下发指令时,将该危险事件中的各种详细信息带上,应用服务器上的程序接收到指令后,会从详细信息中查找能匹配上此危险事件的进程,从而进行针对性打标,也就确定了危险事件的地址,找到了应用***的漏洞,从根本上改进应用***的安全能力的问题,提高了修补漏洞的能力。
在其中一些实施例中,该获取应用***中的目标程序的全部运行信息,包括:对该应用***中的目标程序进行插桩,获取该目标程序的全部运行信息。
其中,对该应用***中的目标程序进行插桩是在保证被测程序原有逻辑完整性的基础上在程序中***一些探针,又称为“探测仪”,本质上就是进行信息采集的代码段,可以是赋值语句或采集覆盖信息的函数调用,通过探针的执行并抛出程序运行的特征数据,通过对这些数据的分析,可以获得程序的控制流和数据流信息,进而得到逻辑覆盖等动态信息,从而实现更高效测试目的。
在其中一些实施例中,在监听与该应用***连接的安全防护设备发出的危险事件报警信号之前,还包括以下步骤:
配置监听信息,该监听信息包括该安全防护设备的信息和监听条件。
其中,监听信息为抓取应用***访问数据库的流量,监听的条件是当发现当前操作是危险操作时,发出危险事件报警信息。
在其中一些实施例中,在根据分析结果确定该应用***的漏洞之后,该方法还包括:
将该全部运行信息的按照参数类型、业务操作、以及操作程序进行分类,推送至显示终端。
其中,分类的标准可以由用户提供,如:用户要求按程序模块进行分类、按执行耗时进行分类、按操作结果进行分类。本实施例可以实现按用户的要求进行分类汇总,方便用户查看数据。也可根据用户的要求进行简单的汇总后,将业务操作的平均耗时、最大耗时等信息推送至显示终端,方便用户查看数据。
在其中一些实施例中,在根据分析结果确定该应用***的漏洞之后,该方法还包括:
基于预设的清理策略对该正常运行信息进行清理,其中,该清理策略包括定时清理和定量清理。
其中,程序正常运行的判断标准是能正常记录业务***的运行信息。由于若程序无法正常运行,则不会产生记录信息,所以可以选择对正常运行信息进行清理,而对无法正常运行的程序不进行清理。
本实施例还提供了一种排查应用漏洞的装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本申请实施例的一种排查应用漏洞的装置的结构框图,如图3所示,该装置包括:获取模块31、监听模块32、标记模块33以及对比模块33;
该获取模块31,用于获取应用***中的目标程序的全部运行信息;
该监听模块32,用于监听与该应用***连接的安全防护设备发出的危险事件报警信号;
该标记模块33,用于在监听到该危险事件报警信号后,根据该危险事件报警信号和发出信号的该安全防护设备的信息,从该全部运行信息中确定该目标程序在危险事件发生之前的部分运行信息,并进行标记,得到目标运行信息;
该对比模块34,用于对该目标运行信息和正常运行信息进行对比分析,根据分析结果确定该应用***的漏洞。
在其中一些实施例中,所述全部运行信息包括运行时间信息、入参信息、出参信息、以及调用栈信息。
在其中一些实施例中,所述获取模块还用于对所述应用***中的目标程序进行插桩,获取所述目标程序的全部运行信息。
在其中一些实施例中,所述装置还包括配置模块,所述配置模块用于在所述监听模块32监听与该应用***连接的安全防护设备发出的危险事件报警信号之前,配置监听信息,所述监听信息包括所述安全防护设备的信息和监听条件。
在其中一些实施例中,所述目标运行信息包括:所述危险事件的源IP、源端口、数据库连接的登录用户名、发生地点、以及数据库名。
在其中一些实施例中,所述装置还包括显示推送模块,所述显示推送模块用于在对比模块34根据分析结果确定所述应用***的漏洞之后,将所述全部运行信息的按照参数类型、业务操作、以及操作程序进行分类,推送至显示终端。
在其中一些实施例中,所述装置还包括清理模块,所述清理模块用于在对比模块34根据分析结果确定所述应用***的漏洞之后,基于清理策略对所述正常运行信息进行清理,其中,所述清理策略包括定时清理和定量清理。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
步骤S1,获取应用***中的目标程序的全部运行信息;
步骤S2,监听与该应用***连接的安全防护设备发出的危险事件报警信号;
步骤S3,在监听到该危险事件报警信号后,根据该危险事件报警信号和发出信号的该安全防护设备的信息,从该全部运行信息中确定该目标程序在危险事件发生之前的部分运行信息,并进行标记,得到目标运行信息;
步骤S4,对该目标运行信息和正常运行信息进行对比分析,根据分析结果确定该应用***的漏洞。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,图4是根据本申请实施例的一种计算机可读存储介质的结构框图,如图4所示,其上存储有计算机程序,计算机程序被处理器执行时实现上述各实施例提供的一种排查应用漏洞的方法中的步骤,步骤如下:
步骤S1,获取应用***中的目标程序的全部运行信息;
步骤S2,监听与该应用***连接的安全防护设备发出的危险事件报警信号;
步骤S3,在监听到该危险事件报警信号后,根据该危险事件报警信号和发出信号的该安全防护设备的信息,从该全部运行信息中确定该目标程序在危险事件发生之前的部分运行信息,并进行标记,得到目标运行信息;
步骤S4,对该目标运行信息和正常运行信息进行对比分析,根据分析结果确定该应用***的漏洞。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机可读存储介质的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上该的实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种排查应用漏洞的方法,其特征在于,包括:
获取应用***中的目标程序的全部运行信息;
监听与所述应用***连接的安全防护设备发出的危险事件报警信号;
在监听到所述危险事件报警信号后,根据所述危险事件报警信号和发出信号的所述安全防护设备的信息,从所述全部运行信息中确定所述目标程序在危险事件发生之前的部分运行信息,并进行标记,得到目标运行信息;所述目标运行信息包括:所述危险事件的源IP、源端口、数据库连接的登录用户名、发生地点、以及数据库名;
对所述目标运行信息和正常运行信息进行对比分析,根据分析结果确定所述应用***的漏洞;
通过多维度碰撞确定该目标程序在危险事件之间的部分运行信息;在安全防护设备发现一个安全事件后,把事件的各种维度信息下发给监控程序;根据各种维度信息从小型数据库中查找符合这些特征的记录,然后打上标签。
2.根据权利要求1所述的方法,其特征在于,所述全部运行信息包括运行时间信息、入参信息、出参信息、以及调用栈信息。
3.根据权利要求1所述的方法,其特征在于,所述获取应用***中的目标程序的全部运行信息,包括:
对所述应用***中的目标程序进行插桩,获取所述目标程序的全部运行信息。
4.根据权利要求1所述的方法,其特征在于,在监听与所述应用***连接的安全防护设备发出的危险事件报警信号之前,还包括以下步骤:
配置监听信息,所述监听信息包括所述安全防护设备的信息和监听条件。
5.根据权利要求1所述的方法,其特征在于,在根据分析结果确定所述应用***的漏洞之后,所述方法还包括:
将所述全部运行信息的按照参数类型、业务操作、以及操作程序进行分类,推送至显示终端。
6.根据权利要求1所述的方法,其特征在于,在根据分析结果确定所述应用***的漏洞之后,所述方法还包括:
基于预设的清理策略对所述正常运行信息进行清理。
7.一种排查应用漏洞的装置,其特征在于,包括:获取模块、监听模块、标记模块以及对比模块;
所述获取模块,用于获取应用***中的目标程序的全部运行信息;
所述监听模块,用于监听与所述应用***连接的安全防护设备发出的危险事件报警信号;
所述标记模块,用于在监听到所述危险事件报警信号后,根据所述危险事件报警信号和发出信号的所述安全防护设备的信息,从所述全部运行信息中确定所述目标程序在危险事件发生之前的部分运行信息,并进行标记,得到目标运行信息;所述目标运行信息包括:所述危险事件的源IP、源端口、数据库连接的登录用户名、发生地点、以及数据库名;
所述对比模块,用于对所述目标运行信息和正常运行信息进行对比分析,根据分析结果确定所述应用***的漏洞;通过多维度碰撞确定该目标程序在危险事件之间的部分运行信息;在安全防护设备发现一个安全事件后,把事件的各种维度信息下发给监控程序;根据各种维度信息从小型数据库中查找符合这些特征的记录,然后打上标签。
8.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至6中任一项所述的排查应用漏洞的方法。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至6中任一项所述的排查应用漏洞的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011237587.XA CN112329021B (zh) | 2020-11-09 | 2020-11-09 | 一种排查应用漏洞的方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011237587.XA CN112329021B (zh) | 2020-11-09 | 2020-11-09 | 一种排查应用漏洞的方法、装置、电子装置和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112329021A CN112329021A (zh) | 2021-02-05 |
| CN112329021B true CN112329021B (zh) | 2024-03-26 |
Family
ID=74316518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011237587.XA Active CN112329021B (zh) | 2020-11-09 | 2020-11-09 | 一种排查应用漏洞的方法、装置、电子装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112329021B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117014178B (zh) * | 2023-06-05 | 2024-06-18 | 深圳市前海望潮科技有限公司 | 一种用于网络安全的漏洞检测*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
| CN110830518A (zh) * | 2020-01-08 | 2020-02-21 | 浙江乾冠信息安全研究院有限公司 | 溯源分析方法、装置、电子设备及存储介质 |
| CN110853268A (zh) * | 2019-11-01 | 2020-02-28 | 江苏安防科技有限公司 | 一种基于管廊***海量数据分析实现入侵检测漏洞实时扫描的方法 |
| CN110929264A (zh) * | 2019-11-21 | 2020-03-27 | 中国工商银行股份有限公司 | 漏洞检测方法、装置、电子设备及可读存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10778713B2 (en) * | 2018-02-26 | 2020-09-15 | International Business Machines Corporation | Method and system to manage risk of vulnerabilities and corresponding change actions to address malware threats |
-
2020
- 2020-11-09 CN CN202011237587.XA patent/CN112329021B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
| CN110853268A (zh) * | 2019-11-01 | 2020-02-28 | 江苏安防科技有限公司 | 一种基于管廊***海量数据分析实现入侵检测漏洞实时扫描的方法 |
| CN110929264A (zh) * | 2019-11-21 | 2020-03-27 | 中国工商银行股份有限公司 | 漏洞检测方法、装置、电子设备及可读存储介质 |
| CN110830518A (zh) * | 2020-01-08 | 2020-02-21 | 浙江乾冠信息安全研究院有限公司 | 溯源分析方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 动静结合的二阶SQL注入漏洞检测技术;李鑫等;华侨大学学报(自然科学版);20180713(04);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112329021A (zh) | 2021-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107368417B (zh) | 一种漏洞挖掘技术测试模型的测试方法 | |
| US10873594B2 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| US10257222B2 (en) | Cloud checking and killing method, device and system for combating anti-antivirus test | |
| US20180020024A1 (en) | Methods and Systems for Using Self-learning Techniques to Protect a Web Application | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US20220050765A1 (en) | Method for processing logs in a computer system for events identified as abnormal and revealing solutions, electronic device, and cloud server | |
| CN108650225B (zh) | 一种远程安全监测设备、***及远程安全监测方法 | |
| CN107329894B (zh) | 应用程序***测试方法、装置及电子设备 | |
| CN111611021B (zh) | 日志数据传输方法、装置、计算机设备和存储介质 | |
| CN109218407B (zh) | 基于日志监控技术的代码管控方法及终端设备 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| US20040030931A1 (en) | System and method for providing enhanced network security | |
| CN113168472A (zh) | 基于利用的网络安全漏洞修复方法及*** | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN112749097B (zh) | 一种模糊测试工具性能测评方法、装置 | |
| CN114139178A (zh) | 基于数据链路的数据安全监测方法、装置和计算机设备 | |
| CN114138590A (zh) | Kubernetes集群的运维处理方法、装置及电子设备 | |
| US20150215333A1 (en) | Network filtering apparatus and filtering method | |
| CN112329021B (zh) | 一种排查应用漏洞的方法、装置、电子装置和存储介质 | |
| CN111865997A (zh) | 基于被动流量的web漏洞检测方法、装置、设备及介质 | |
| CN108111328B (zh) | 一种异常处理方法及装置 | |
| CN115828256B (zh) | 一种越权与未授权逻辑漏洞检测方法 | |
| CN108427882B (zh) | 基于行为特征抽取的安卓软件动态分析检测法 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |