CN114448721B - 一种漏洞无感缓解装置及方法 - Google Patents

一种漏洞无感缓解装置及方法 Download PDF

Info

Publication number
CN114448721B
CN114448721B CN202210239340.4A CN202210239340A CN114448721B CN 114448721 B CN114448721 B CN 114448721B CN 202210239340 A CN202210239340 A CN 202210239340A CN 114448721 B CN114448721 B CN 114448721B
Authority
CN
China
Prior art keywords
module
access
vulnerability
application app
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210239340.4A
Other languages
English (en)
Other versions
CN114448721A (zh
Inventor
姚启桂
张小建
费稼轩
王向群
王齐
郭志民
吕卓
李暖暖
陈岑
陈涛
李峰
袁涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Global Energy Internet Research Institute Co ltd Nanjing Branch
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Henan Electric Power Co Ltd
State Grid Xinjiang Electric Power Co Ltd
Original Assignee
Global Energy Internet Research Institute Co ltd Nanjing Branch
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Henan Electric Power Co Ltd
State Grid Xinjiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Global Energy Internet Research Institute Co ltd Nanjing Branch, State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Henan Electric Power Co Ltd, State Grid Xinjiang Electric Power Co Ltd filed Critical Global Energy Internet Research Institute Co ltd Nanjing Branch
Priority to CN202210239340.4A priority Critical patent/CN114448721B/zh
Publication of CN114448721A publication Critical patent/CN114448721A/zh
Application granted granted Critical
Publication of CN114448721B publication Critical patent/CN114448721B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种漏洞无感缓解装置及方法,装置包括:漏洞监测程序模块监测应用APP的漏洞风险;访问策略模块基于访问请求包,对访问请求进行拦截或者放行至该应用APP或者无感缓解模块内与该应用APP对应的APP;无感缓解模块根据漏洞监测程序模块的监测结果,构建漏洞加固函数,生成加固函数及加固日志;评估模块根据加固日志、访问日志持续对应用APP进行评估,访问策略模块基于评估结果,生成该接口函数的新的访问规则,从而实现无需重启应用程序即可对应用APP函数漏洞暴露的关键指标能及时进行加固,实时更新加载虚拟补丁进行拦截配置,在恶意软件危及易受攻击目标之前,高效地修补相关漏洞,避免相应的攻击行为。

Description

一种漏洞无感缓解装置及方法
技术领域
本发明涉及信息安全技术领域,具体涉及一种漏洞无感缓解装置及方法。
背景技术
随着电力***智能化、互动化发展和网络攻击技术演进,具有“硬件平台化、业务APP化、结构模块化”特点的智能物联终端面临来自公网或专网的网络攻击风险,终端自身存在的漏洞隐患问题也更加突出。一般通过离线或者在线的方式对存在问题的软件包进行替换或者补丁的方式进行相关漏洞的修复,以对应用进行加固,但是这样一方面漏洞修复的周期和更换的成本较大,另一方面漏洞修复的过程,升级完后需要重启应用或***,影响其他业务的正常使用,对原生应用和***有较大的侵入。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中的漏洞修复的过程,升级完后需要重启应用或***的缺陷,从而提供一种漏洞无感缓解装置及方法。
为达到上述目的,本发明提供如下技术方案:
第一方面,本发明实施例提供一种漏洞无感缓解装置,包括:应用漏洞监测程序模块、访问策略模块、无感缓解模块、评估模块,其中,漏洞监测程序模块,用于对应用APP进行实时感知监测,监测其存在的漏洞风险;访问策略模块,用于基于访问请求包,对访问请求进行拦截或者放行至该应用APP或者无感缓解模块内与该应用APP对应的APP;无感缓解模块,用于根据漏洞监测程序模块的监测结果,构建相应的漏洞加固函数,生成加固函数及相关加固日志并发送至评估模块;评估模块,用于根据加固日志、访问日志持续对应用APP进行评估,访问策略模块基于评估模块的评估结果,生成该应用APP的接口函数的新的访问规则。
第二方面,本发明实施例提供一种漏洞无感缓解方法,基于第一方面的漏洞无感缓解装置,方法包括:当应用APP接收到访问者发送的访问请求包时,应用APP将访问请求包发送至访问策略模块,访问策略模块根据其内部存储的各应用APP的访问规则、接收到的请求包,判断访问者是否有访问权限;当访问者有访问权限时,访问策略模块判断访问函数是否存在漏洞,当访问函数有访问漏洞时,访问策略模块判断无感缓解模块是否有该应用APP相对应的加固函数;当无感缓解模块有与该应用APP相对应的加固函数时,访问策略模块将访问请求包发送至无感缓解模块内与该应用APP对应的APP,进行正常的业务访问。
在一实施例中,当访问者没有访问权限时,访问策略模块拦截该访问请求。
在一实施例中,当访问函数有访问漏洞时,访问策略模块对该访问请求进行放行,访问者正常的访问该应用APP。
在一实施例中,当无感缓解模块没有与该应用APP相对应的加固函数时,访问策略模块拦截该访问请求。
在一实施例中,无感缓解模块记录相关的访问日志,将访问过程同步给评估模块;评估模块持续对应用访问进行评估,访问策略模块基于评估模块的评估结果,生成该应用APP的接口函数的新的访问规则。
在一实施例中,无感缓解模块建立加固函数的过程包括:在各应用容器中均部署一个应用漏洞监测程序模块,利用应用漏洞监测程序模块对应用APP进行扫描,并基于扫描结果,建立该应用APP与漏洞关系标签,并将标签发送至无感缓解模块;无感缓解模块基于应用APP与漏洞关系标签,对该应用APP的接口函数进行加固,生成加固函数及相关加固日志并发送至评估模块;评估模块基于加固日志对该应用APP的接口函数的访问规则进行评估,得到评估结果并发送至访问策略模块;访问策略模块基于评估结果,生成该应用APP的接口函数的新的访问规则。
在一实施例中,扫描结果包括:应用APP所依赖的函数库、暴露的接口函数、端口的危险情况。
在一实施例中,基于扫描结果,建立该应用APP与漏洞关系标签的过程,包括:应用漏洞监测程序模块分析该应用APP的暴露的接口函数出现的漏洞;基于分析结果,将应用APP与暴露的接口函数出现的漏洞,建立关系标签。
第三方面,本发明实施例提供一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使计算机执行本发明实施例第二方面的漏洞无感缓解方法。
本发明技术方案,具有如下优点:
本发明提供的漏洞无感缓解装置及方法,漏洞监测程序模块对应用APP进行实时感知监测,监测其存在的漏洞风险;访问策略模块基于访问请求包,对访问请求进行拦截或者放行至该应用APP或者无感缓解模块内与该应用APP对应的APP;无感缓解模块根据漏洞监测程序模块的监测结果,构建相应的漏洞加固函数,生成加固函数及相关加固日志;评估模块根据加固日志、访问日志持续对应用APP进行评估,访问策略模块基于评估模块的评估结果,生成该应用APP的接口函数的新的访问规则,从而实现无需重启应用程序即可对应用APP函数漏洞暴露的端口、泄露的地址等关键指标能及时进行加固,实时更新加载虚拟补丁进行拦截配置,在恶意软件危及易受攻击目标之前,高效地修补相关漏洞,避免相应的攻击行为。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的漏洞无感缓解装置的一个具体示例的组成图;
图2为本发明实施例提供的漏洞无感缓解方法的一个具体示例的流程图;
图3为本发明实施例提供的漏洞无感缓解方法的另一个具体示例的流程图;
图4为本发明实施例提供的计算机设备一个具体示例的组成图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
实施例1
本发明实施例提供一种漏洞无感缓解装置可以为基于电力智能物联终端应用的漏洞无感缓解装置,该漏洞无感缓解装置可在应用程序被非法访问时进行数据流拦截,有针对性地过滤对原应用程序有害的攻击数据包,如恶意软件、攻击脚本执行、SQL注入、CC指令、SHELLCODE、异常数据包等,提升应用程序在未打补丁升级时的安全性。
如图1所示,本发明实施例的漏洞无感缓解装置包括:应用漏洞监测程序模块1、访问策略模块2、无感缓解模块3、评估模块4。
本发明实施例的漏洞监测程序模块用对应用APP进行实时感知监测,监测其存在的漏洞风险。具体地,本发明实施例在每个应用APP中均部署一个漏洞监测程序模块,应用APP的类型可以为营销业务APP、配电业务APP、环境监测APP等等。
本发明实施例的访问策略模块用于基于访问请求包,对访问请求进行拦截或者放行至相应应用APP或者无感缓解模块内与该应用APP对应的APP。
本发明实施例的无感缓解模块用于根据漏洞监测程序模块的监测结果,构建相应的漏洞加固函数,生成加固函数及相关加固日志并发送至评估模块。评估模块通过终端应用APP访问请求进行实时的信任评估,实现对应用和漏洞访问访问上下文环境的风险判定,内置利用基于卷积神经网络(CNN)+循环神经网络(RNN)、孪生网络等深度学习算法的持续评估模型,可以在已有的访问策略的基础上同时对当前应用访问的信任进行评估。
本发明实施例的评估模块用于根据加固日志、访问日志持续对应用APP进行评估,访问策略模块基于评估模块的评估结果,生成该应用APP的接口函数的新的访问规则。访问策略具有短时性特征,持续信任评估模型根据认证强度、风险状态和环境因素,对访问策略在当前上下文进行动态调整,形成一种动态信任关系,持续动态的对应用程序进行防护。
具体地,本发明实施例在智能终端上建立一个安全访问中心(由访问策略模块、无感缓解模块、评估模块构成),利用动态访问控制技术持续地对应用访问业务app的行为和习惯等进行记录、分析和识别,动态评估应用的信任度,并根据授权结果进行最小程度的开放,同时会在安全访问中心建立白名单机制,对应用的访问过程做全过程监督,非法访问进行有效动态拦截。
本发明实施例的漏洞无感缓解模块内可以完成两种操作:漏洞无感缓解及应用扫描加固操作,具体操作过程如下:
(1)漏洞无感缓解操作:当应用APP接收到访问者发送的访问请求包时,应用APP将访问请求包发送至访问策略模块,访问策略模块根据其内部存储的各应用APP的访问规则、接收到的请求包,判断访问者是否有访问权限;当访问者有访问权限时,访问策略模块判断访问函数是否存在漏洞,当访问函数有访问漏洞时,访问策略模块判断无感缓解模块是否有该应用APP相对应的加固函数;当无感缓解模块有与该应用APP相对应的加固函数时,访问策略模块将访问请求包发送至无感缓解模块内与该应用APP对应的APP,进行正常的业务访问。
(2)应用扫描加固操作:在各应用容器中均部署一个应用漏洞监测程序模块,利用应用漏洞监测程序模块对应用APP进行扫描,并基于扫描结果,建立该应用APP与漏洞关系标签,并将标签发送至无感缓解模块;无感缓解模块基于应用APP与漏洞关系标签,对该应用APP的接口函数进行加固,生成加固函数及相关加固日志并发送至评估模块;评估模块基于加固日志对该应用APP的接口函数的访问规则进行评估,得到评估结果并发送至访问策略模块;访问策略模块基于评估结果,生成该应用APP的接口函数的新的访问规则。
实施例2
本发明实施例提供一种漏洞无感缓解方法,基于实施例1的漏洞无感缓解装置,如图2所示,方法包括:
步骤S11:当应用APP接收到访问者发送的访问请求包时,应用APP将访问请求包发送至访问策略模块,访问策略模块根据其内部存储的各应用APP的访问规则、接收到的请求包,判断访问者是否有访问权限。
具体地,当访问者访问应用APP时,应用APP通过其内核钩子函数将接收的访问请求包通过应用访问转发模块发送到安全访问中心内的访问策略模块,访问策略模块内部存储各应用APP的访问规则,将访问请求包与该访问规则进行匹配,判断访问者是否具有访问权限。
步骤S12:当访问者有访问权限时,访问策略模块判断访问函数是否存在漏洞,当访问函数有访问漏洞时,访问策略模块判断无感缓解模块是否有该应用APP相对应的加固函数。
具体地,访问请求包中包含访问者信息、访问函数,当访问者有访问权限时,访问策略模块还需要判断访问函数是否有漏洞,当该访问函数有漏洞时,访问策略模块判断无感访问模块是否有该应用APP对应的加固函数,该加固函数是针对该应用APP可能出现的多种接口函数的漏洞设置的;当访问者没有访问权限时,访问策略模块直接拦截该访问请求;当访问者有访问权限,且访问函数无漏洞时,访问策略模块对该访问请求进行放行,访问者正常的访问该应用APP。
步骤S13:当无感缓解模块有与该应用APP相对应的加固函数时,访问策略模块将访问请求包发送至无感缓解模块内与该应用APP对应的APP,进行正常的业务访问。
具体地,访问策略模块内部具有该应用APP接口函数加固后的APP,当无感缓解模块有与该应用APP相对应的加固函数时,访问策略模块将访问请求包发送至无感缓解模块内与该应用APP对应的APP,访问者进行正常的业务访问;当无感缓解模块没有与该应用APP相对应的加固函数时,访问策略模块拦截该访问请求。
在一具体实施例中,漏洞无感缓解方法还包括:无感缓解模块记录相关的访问日志,将访问过程同步给评估模块;评估模块持续对应用访问进行评估,访问策略模块基于评估模块的评估结果,生成该应用APP的接口函数的新的访问规则。
具体地,评估模块针对无感缓解模块发送的访问日志或者加固日志,对应用访问进行实时的信任评估,实现对应用和漏洞访问访问上下文环境的风险判定,利用基于卷积神经网络(CNN)+循环神经网络(RNN)、孪生网络等深度学习算法的持续评估模型,在已有的访问策略的基础上同时对当前应用访问的信任进行评估。访问策略具有短时性特征,持续信任评估模型根据认证强度、风险状态和环境因素,对访问策略在当前上下文进行动态调整,形成一种动态信任关系,持续动态的对应用程序进行防护。
具体地,访问规则的更新不限于白名单机制、黑名单机制的建立,以对应用的访问过程做全过程监督,非法访问进行有效动态拦截。
在一具体实施例中,如图3所示,无感缓解模块建立加固函数的过程包括:
步骤S21:在各应用容器中均部署一个应用漏洞监测程序模块,利用应用漏洞监测程序模块对应用APP进行扫描,并基于扫描结果,建立该应用APP与漏洞关系标签,并将标签发送至无感缓解模块。
具体地,漏洞监测程序模块对应用APP进行扫描分析,得到应用APP所依赖的函数库、暴露的接口函数、端口的危险情况,同时根据暴露的内容,进一步分析暴露的接口函数存在的漏洞,,将应用APP与暴露的接口函数出现的漏洞,建立关系标签(应用APP与漏洞关系标签)。
步骤S22:无感缓解模块基于应用APP与漏洞关系标签,对该应用APP的接口函数进行加固,生成加固函数及相关加固日志并发送至评估模块。
具体地,无感缓解模块根据应用APP与漏洞关系标签,分析出现漏洞的接口函数被利用的过程,并及时进行加固,得到加固函数及加固日志,该加固日志中不限于时间、加固项目等信息;对于来不及加固的接口函数,当存在非法访问过程时,访问策略中心进行及时阻断拦截。
步骤S23:评估模块基于加固日志对该应用APP的接口函数的访问规则进行评估,得到评估结果并发送至访问策略模块。
步骤S24:访问策略模块基于评估结果,生成该应用APP的接口函数的新的访问规则。
具体地,评估模块针对无感缓解模块发送的加固日志对应用访问进行实时的信任评估,实现对应用和漏洞访问访问上下文环境的风险判定,利用持续评估模型,在已有的访问策略的基础上同时对当前应用访问的信任进行评估。访问策略模块基于评估结果,生成该应用APP的接口函数的新的访问规则。
实施例3
本发明实施例提供一种计算机设备,如图4所示,包括:至少一个处理器401,例如CPU(Central Processing Unit,中央处理器),至少一个通信接口403,存储器404,至少一个通信总线402。其中,通信总线402用于实现这些组件之间的连接通信。其中,通信接口403可以包括显示屏(Display)、键盘(Keyboard),可选通信接口403还可以包括标准的有线接口、无线接口。存储器404可以是高速RAM存储器(Ramdom Access Memory,易挥发性随机存取存储器),也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器404可选的还可以是至少一个位于远离前述处理器401的存储装置。其中处理器401可以执行实施例2的漏洞无感缓解方法。存储器404中存储一组程序代码,且处理器401调用存储器404中存储的程序代码,以用于执行实施例2的漏洞无感缓解方法。
其中,通信总线402可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。通信总线402可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条线表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器404可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard diskdrive,缩写:HDD)或固降硬盘(英文:solid-state drive,缩写:SSD);存储器404还可以包括上述种类的存储器的组合。
其中,处理器401可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
其中,处理器401还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic arraylogic,缩写:GAL)或其任意组合。
可选地,存储器404还用于存储程序指令。处理器401可以调用程序指令,实现如本申请执行实施例2中的漏洞无感缓解方法。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机可执行指令,该计算机可执行指令可执行实施例2的漏洞无感缓解方法。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccess Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固降硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (10)

1.一种漏洞无感缓解装置,其特征在于,包括:应用漏洞监测程序模块、访问策略模块、无感缓解模块、评估模块,其中,
所述漏洞监测程序模块,用于对应用APP进行实时感知监测,监测其存在的漏洞风险;
所述访问策略模块,用于基于访问请求包,对访问请求进行拦截或者放行至该应用APP或者无感缓解模块内与该应用APP对应的APP;
所述无感缓解模块,用于根据漏洞监测程序模块的监测结果,构建相应的漏洞加固函数,生成加固函数及相关加固日志并发送至评估模块;所述评估模块,用于根据加固日志、访问日志持续对应用APP进行评估,访问策略模块基于评估模块的评估结果,生成该应用APP的接口函数的新的访问规则;
在各应用容器中均部署一个应用漏洞监测程序模块,应用漏洞监测程序模块对应用APP进行扫描,并基于扫描结果,建立该应用APP与漏洞关系标签,并将标签发送至无感缓解模块;所述无感缓解模块基于应用APP与漏洞关系标签,对该应用APP的接口函数进行加固,生成加固函数及相关加固日志并发送至评估模块。
2.一种漏洞无感缓解方法,其特征在于,基于权利要求1所述的漏洞无感缓解装置,所述方法包括:
当应用APP接收到访问者发送的访问请求包时,应用APP将访问请求包发送至访问策略模块,所述访问策略模块根据其内部存储的各应用APP的访问规则、接收到的请求包,判断访问者是否有访问权限;
当所述访问者有访问权限时,访问策略模块判断访问函数是否存在漏洞,当访问函数有访问漏洞时,访问策略模块判断无感缓解模块是否有该应用APP相对应的加固函数;
当无感缓解模块有与该应用APP相对应的加固函数时,访问策略模块将访问请求包发送至无感缓解模块内与该应用APP对应的APP,进行正常的业务访问。
3.根据权利要求2所述的漏洞无感缓解方法,其特征在于,还包括:
当访问者没有访问权限时,访问策略模块拦截该访问请求。
4.根据权利要求2所述的漏洞无感缓解方法,其特征在于,还包括:
当访问函数有访问漏洞时,访问策略模块对该访问请求进行放行,访问者正常的访问该应用APP。
5.根据权利要求2所述的漏洞无感缓解方法,其特征在于,还包括:
当无感缓解模块没有与该应用APP相对应的加固函数时,访问策略模块拦截该访问请求。
6.根据权利要求2所述的漏洞无感缓解方法,其特征在于,还包括:
所述无感缓解模块记录相关的访问日志,将访问过程同步给评估模块;
所述评估模块持续对应用访问进行评估,访问策略模块基于评估模块的评估结果,生成该应用APP的接口函数的新的访问规则。
7.根据权利要求2所述的漏洞无感缓解方法,其特征在于,无感缓解模块建立加固函数的过程包括:
在各应用容器中均部署一个应用漏洞监测程序模块,利用所述应用漏洞监测程序模块对应用APP进行扫描,并基于扫描结果,建立该应用APP与漏洞关系标签,并将标签发送至无感缓解模块;
所述无感缓解模块基于应用APP与漏洞关系标签,对该应用APP的接口函数进行加固,生成加固函数及相关加固日志并发送至评估模块;
评估模块基于加固日志对该应用APP的接口函数的访问规则进行评估,得到评估结果并发送至访问策略模块;
访问策略模块基于评估结果,生成该应用APP的接口函数的新的访问规则。
8.根据权利要求7所述的漏洞无感缓解方法,其特征在于,所述扫描结果包括:应用APP所依赖的函数库、暴露的接口函数、端口的危险情况。
9.根据权利要求7所述的漏洞无感缓解方法,其特征在于,所述基于扫描结果,建立该应用APP与漏洞关系标签的过程,包括:
应用漏洞监测程序模块分析该应用APP的暴露的接口函数出现的漏洞;
基于分析结果,将应用APP与暴露的接口函数出现的漏洞,建立关系标签。
10.一种计算机设备,其特征在于,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行权利要求2-9中任一所述的漏洞无感缓解方法。
CN202210239340.4A 2022-03-11 2022-03-11 一种漏洞无感缓解装置及方法 Active CN114448721B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210239340.4A CN114448721B (zh) 2022-03-11 2022-03-11 一种漏洞无感缓解装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210239340.4A CN114448721B (zh) 2022-03-11 2022-03-11 一种漏洞无感缓解装置及方法

Publications (2)

Publication Number Publication Date
CN114448721A CN114448721A (zh) 2022-05-06
CN114448721B true CN114448721B (zh) 2023-06-13

Family

ID=81360246

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210239340.4A Active CN114448721B (zh) 2022-03-11 2022-03-11 一种漏洞无感缓解装置及方法

Country Status (1)

Country Link
CN (1) CN114448721B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101789942A (zh) * 2010-01-29 2010-07-28 蓝盾信息安全技术股份有限公司 一种防敏感数据泄密的方法及装置
CN109861951A (zh) * 2017-11-30 2019-06-07 北京安云世纪科技有限公司 一种网站访问方法、装置、***
CN110290114A (zh) * 2019-06-04 2019-09-27 武汉大学 一种基于预警信息的漏洞自动化防护方法及***
CN110311926A (zh) * 2019-02-02 2019-10-08 奇安信科技集团股份有限公司 一种应用访问控制方法、***和介质
CN111132138A (zh) * 2019-12-06 2020-05-08 中国电子科技集团公司电子科学研究院 一种移动应用程序透明通信保护方法与装置
CN111556037A (zh) * 2020-04-21 2020-08-18 杭州安恒信息技术股份有限公司 网站***安全指数评估的方法和装置
CN112257070A (zh) * 2020-10-22 2021-01-22 全球能源互联网研究院有限公司 一种基于资产场景属性的漏洞排查方法及***
CN113032793A (zh) * 2021-04-13 2021-06-25 北京国联易安信息技术有限公司 数据安全智能加固***及方法
CN113591096A (zh) * 2021-08-10 2021-11-02 北京凌云信安科技有限公司 综合检测大数据漏洞和不安全配置的脆弱性扫描***
CN113660224A (zh) * 2021-07-28 2021-11-16 上海纽盾科技股份有限公司 基于网络漏洞扫描的态势感知防御方法、装置及***
CN113704767A (zh) * 2021-08-10 2021-11-26 北京凌云信安科技有限公司 融合漏洞扫描引擎和漏洞工单管理的漏洞管理***

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7669051B2 (en) * 2000-11-13 2010-02-23 DigitalDoors, Inc. Data security system and method with multiple independent levels of security

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101789942A (zh) * 2010-01-29 2010-07-28 蓝盾信息安全技术股份有限公司 一种防敏感数据泄密的方法及装置
CN109861951A (zh) * 2017-11-30 2019-06-07 北京安云世纪科技有限公司 一种网站访问方法、装置、***
CN110311926A (zh) * 2019-02-02 2019-10-08 奇安信科技集团股份有限公司 一种应用访问控制方法、***和介质
CN110290114A (zh) * 2019-06-04 2019-09-27 武汉大学 一种基于预警信息的漏洞自动化防护方法及***
CN111132138A (zh) * 2019-12-06 2020-05-08 中国电子科技集团公司电子科学研究院 一种移动应用程序透明通信保护方法与装置
CN111556037A (zh) * 2020-04-21 2020-08-18 杭州安恒信息技术股份有限公司 网站***安全指数评估的方法和装置
CN112257070A (zh) * 2020-10-22 2021-01-22 全球能源互联网研究院有限公司 一种基于资产场景属性的漏洞排查方法及***
CN113032793A (zh) * 2021-04-13 2021-06-25 北京国联易安信息技术有限公司 数据安全智能加固***及方法
CN113660224A (zh) * 2021-07-28 2021-11-16 上海纽盾科技股份有限公司 基于网络漏洞扫描的态势感知防御方法、装置及***
CN113591096A (zh) * 2021-08-10 2021-11-02 北京凌云信安科技有限公司 综合检测大数据漏洞和不安全配置的脆弱性扫描***
CN113704767A (zh) * 2021-08-10 2021-11-26 北京凌云信安科技有限公司 融合漏洞扫描引擎和漏洞工单管理的漏洞管理***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Vulnerability of Deep Reinforcement Learning to Policy Induction Attacks;Vahid Behzadan, Arslan Munir;《Computer Science》;全文 *
基于Android访问权限漏洞的安全机制分析研究;徐成,袁家政,鲍泓,张璐璐;《计算机科学》;全文 *

Also Published As

Publication number Publication date
CN114448721A (zh) 2022-05-06

Similar Documents

Publication Publication Date Title
JP6019484B2 (ja) サーバで結合されたマルウェア防止のためのシステムと方法
US7870242B2 (en) Flexible compliance agent with integrated remediation
US9268945B2 (en) Detection of vulnerabilities in computer systems
US20160378994A1 (en) Systems and methods of risk based rules for application control
US8019857B2 (en) Flexible system health and remediation agent
CN104468632A (zh) 防御漏洞攻击的方法、设备及***
US8943599B2 (en) Certifying server side web applications against security vulnerabilities
WO2014130472A1 (en) Systems and methods of risk based rules for application control
CN111177708A (zh) 基于tcm芯片的plc可信度量方法、***及度量装置
US20230068721A1 (en) Method and system for dynamic testing with diagnostic assessment of software security vulnerability
CN110968872A (zh) 文件漏洞的检测处理方法、装置、电子设备及存储介质
Mahmood et al. Systematic threat assessment and security testing of automotive over-the-air (OTA) updates
KR20090121466A (ko) Pc 보안 점검 장치 및 방법
US20230319112A1 (en) Admission control in a containerized computing environment
CN115701019A (zh) 零信任网络的访问请求处理方法、装置及电子设备
CN111309978A (zh) 变电站***安全防护方法、装置、计算机设备和存储介质
CN114448721B (zh) 一种漏洞无感缓解装置及方法
CN116415300A (zh) 基于eBPF的文件保护方法、装置、设备和介质
CN115935356A (zh) 一种软件安全性测试方法、***及应用
CN114329444A (zh) ***安全提升方法及装置
CN117648100B (zh) 应用部署方法、装置、设备和存储介质
CN116961977A (zh) 安全检测方法、装置、设备及计算机程序产品
KR20240041662A (ko) 디지털 금융 보안 서비스 방법 및 그 장치
CN117251856A (zh) 一种基于web网站的漏洞处理方法、装置及设备
GB2618884A (en) Admission control in a containerised computing environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant