CN117240609B - 一种基于漏洞动态验证的网络安全监控方法及*** - Google Patents

Abstract

本发明涉及网络安全监控技术领域，具体公开了一种基于漏洞动态验证的网络安全监控方法及***，其中密钥服务器从多种***指标数据中选择至少一种，并生成目标指示数据发送给服务器和管理员，服务器基于第一预设加密方式加密返回数据并发送给普通用户，而基于服务器本地存储的目标种类的***指标数据值生成第一密钥，并根据第一密钥基于第二预设加密方式加密返回数据并发送给管理员，管理员则根据目标指示数据，基于客户端本地存储的目标种类的***指标数据值生成第二密钥进行解密得到请求报文对应的返回数据，从而完成漏洞动态验证，解决了如何在***正常工作的情况下，进行基于漏洞动态验证并保证数据安全的网络安全监控的问题。

Description

一种基于漏洞动态验证的网络安全监控方法及***

技术领域

本发明涉及网络安全监控技术领域，具体涉及一种基于漏洞动态验证的网络安全监控方法及***。

背景技术

漏洞动态验证是一种通过模拟真实攻击情景，发现和验证***中存在的漏洞的技术。它通过模拟各种攻击行为，包括代码注入、越权访问、拒绝服务等，以确定***中存在的弱点和安全漏洞。漏洞动态验证的重要性在于它可以帮助组织提前发现和修复***中的漏洞，从而提升***的安全性和防护能力，减少遭受攻击的风险。

然而，目前的漏洞动态验证通常需要在***升级、版本发布等不运行的状态下进行。这种情况下，***未能在实际运行时进行全面验证，从而可能导致一些漏洞未被及时发现。但是，由于漏洞动态验证是模拟真实的网络攻击行为，若在***正常运行时进行漏洞动态验证，在具备能够被漏洞动态验证检测出的漏洞的情况下，***可能会向漏洞动态验证的漏洞验证报文返回含有关键数据的报文，增加数据泄露的风险。

因此人们需要一种能够在***正常工作的情况下，基于漏洞动态验证并保证数据安全的网络安全监控方法。

发明内容

本发明的目的在于提供一种基于漏洞动态验证的网络安全监控方法及***，解决以下技术问题：

如何在***正常工作的情况下，进行基于漏洞动态验证并保证数据安全的网络安全监控。

本发明的目的可以通过以下技术方案实现：

一种基于漏洞动态验证的网络安全监控方法，包括：

密钥服务器从多种***指标数据中选择至少一种作为目标种类，并生成用于表征目标种类的目标指示数据，将目标指示数据发送给服务器和用户身份为管理员的客户端；

服务器获取客户端发送的请求报文，并根据请求报文得到客户端的用户身份；

服务器判断客户端的用户身份为普通用户还是管理员；

若客户端的用户身份为普通用户，则服务器基于第一预设加密方式加密请求报文对应的返回数据，得到第一返回报文并发送给客户端；

若客户端的用户身份为管理员且请求报文为漏洞验证报文，则服务器根据目标指示数据，基于服务器本地存储的目标种类的***指标数据值生成第一密钥，并根据第一密钥基于第二预设加密方式加密请求报文对应的返回数据，得到第二返回报文并发送给客户端；

客户端根据目标指示数据，基于客户端本地存储的目标种类的***指标数据值生成第二密钥，并根据第二密钥解密第二返回报文，得到请求报文对应的返回数据，根据请求报文对应的返回数据得到漏洞验证结果。

作为本发明进一步的方案，服务器本地存储的目标种类的***指标数据值包括第一种类数据值和第二种类数据值；所述基于服务器本地存储的目标种类的***指标数据值生成第一密钥，包括：

获取第一种类数据值；

基于SHA-256哈希函数对第一种类数据值进行编码，得到第一编码；

将第一编码和第二种类数据值组合，得到第二编码；

基于SHA-256哈希函数对第二编码进行编码，得到初始密钥；

截取初始密钥的前预设位数的数值，得到第一密钥。

作为本发明进一步的方案，所述根据第一密钥基于第二预设加密方式加密请求报文对应的返回数据，得到第二返回报文并发送给客户端，包括：

使用第一密钥作为种子生成初始状态向量；

根据初始状态向量和第一密钥生成密钥流；

将加密请求报文对应的返回数据与密钥流进行逐字节的异或，得到第二返回报文并发送给客户端。

作为本发明进一步的方案，多种***指标数据包括注册用户数量、会员用户数量、会员时长、点击量、访问量、销售额、交易量和下载次数。

作为本发明进一步的方案，还包括：

客户端根据漏洞验证结果，生成安全策略调整方案，并将安全策略调整方案发送给服务器；

服务器根据安全策略调整方案，调整网络安全防御策略。

作为本发明进一步的方案，还包括：

若客户端的用户身份为普通用户且请求报文为漏洞验证报文，则根据请求报文，得到用户信息数据，并将用户信息数据记录于风险列表中。

一种基于漏洞动态验证的网络安全监控***，包括密钥服务器、服务器和客户端，其中：

密钥服务器从多种***指标数据中选择至少一种作为目标种类，并生成用于表征目标种类的目标指示数据，将目标指示数据发送给服务器和用户身份为管理员的客户端；

服务器获取客户端发送的请求报文，并根据请求报文得到客户端的用户身份；

服务器判断客户端的用户身份为普通用户还是管理员；

若客户端的用户身份为普通用户，则服务器基于第一预设加密方式加密请求报文对应的返回数据，得到第一返回报文并发送给客户端；

若客户端的用户身份为管理员且请求报文为漏洞验证报文，则服务器根据目标指示数据，基于服务器本地存储的目标种类的***指标数据值生成第一密钥，并根据第一密钥基于第二预设加密方式加密请求报文对应的返回数据，得到第二返回报文并发送给客户端；

客户端根据目标指示数据，基于客户端本地存储的目标种类的***指标数据值生成第二密钥，并根据第二密钥解密第二返回报文，得到请求报文对应的返回数据，根据请求报文对应的返回数据得到漏洞验证结果。

本发明的有益效果：

（1）运行本发明的方法的***，通过第一预设加密方式与普通用户通讯，而通过第二预设加密方式和管理员通讯，这样当管理员发送漏洞验证报文时，含有关键数据的返回数据就会被加密为第二返回报文发送出去，拥有第一预设加密方式的普通用户无法解密得到正确的数据，仅有掌握正确密钥的管理员才能够解密，保证了数据的安全性，在不影响***正常工作的情况下进行漏洞动态验证；

（2）本发明中客户端和服务器均基于本地存储的目标种类的***指标数据值生成密钥，这就需要服务器和客户端需要存储相同的***指标数据值，才能够保证二者生成的第一密钥和第二密钥相同，显然只有管理员才能够拥有正确的数据。另一方面，***指示数据有多种，具体基于何种数据生成密钥则需要密钥服务器统一指定，只有获得了目标指示数据的客户端，才能够生成和第一密钥相同的第二密钥，进一步提高了数据安全性。

附图说明

下面结合附图对本发明作进一步的说明。

图1是本发明一种基于漏洞动态验证的网络安全监控方法的方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明为一种基于漏洞动态验证的网络安全监控方法，包括：

S101、密钥服务器从多种***指标数据中选择至少一种作为目标种类，并生成用于表征目标种类的目标指示数据，将目标指示数据发送给服务器和用户身份为管理员的客户端；

S102、服务器获取客户端发送的请求报文，并根据请求报文得到客户端的用户身份；

S103、服务器判断客户端的用户身份为普通用户还是管理员；

S104、若客户端的用户身份为普通用户，则服务器基于第一预设加密方式加密请求报文对应的返回数据，得到第一返回报文并发送给客户端；

S105、若客户端的用户身份为管理员且请求报文为漏洞验证报文，则服务器根据目标指示数据，基于服务器本地存储的目标种类的***指标数据值生成第一密钥，并根据第一密钥基于第二预设加密方式加密请求报文对应的返回数据，得到第二返回报文并发送给客户端；

S106、客户端根据目标指示数据，基于客户端本地存储的目标种类的***指标数据值生成第二密钥，并根据第二密钥解密第二返回报文，得到请求报文对应的返回数据，根据请求报文对应的返回数据得到漏洞验证结果。

本发明中，漏洞动态验证的过程，通常需要向目标***发送漏洞验证报文以验证***中的安全漏洞。这些漏洞验证报文通常包括XSS、验证信息、SQL注入等多种负载数据中的一种，以模拟可能的攻击行为。当目标***接收到这些负载数据时，会根据其相应的处理流程生成一些返回数据，如HTTP响应报文、数据库查询结果等。通过分析这些返回数据，可以得到关于漏洞验证的结果，如漏洞是否存在、漏洞类型、漏洞等级等信息。同时，该过程也有可能暴露***中一些敏感信息，例如***配置、用户信息等，因此需要采取相应的措施保护这些敏感信息的安全。为了更全面地验证***中的安全漏洞，漏洞动态验证过程中需要在目标***中模拟不同的攻击场景，例如通过篡改HTTP请求、注入恶意代码等方式制造攻击事件，以验证***的安全性能和防护能力。

在本发明中，***指标数据是目标***的关键的盘点指标，包括注册用户数量、会员用户数量等随时变动的数据。显然，只有授权管理员才能够经由后台***完整获取这些数据，以维护目标***的正常功能和管理。在一个优选的实施例中，多种***指标数据包括注册用户数量、会员用户数量、会员时长、点击量、访问量、销售额、交易量和下载次数等。

在本实施例的步骤S101中，密钥服务器选择这些***指标数据中的至少一种，作为后续生成第一密钥和第二密钥的基础，只有能够和密钥服务器进行通讯的客户端才能够掌握正确的目标指示数据，保证了***的安全性。

进一步的，本实施例中的步骤S102中，可以根据请求报文中的IP地址、设备标识、登录凭证等关键信息，来获取客户端的用户身份。步骤S103中，可以通过判断用户身份属于的用户组，例如普通用户组和管理员组，来判断客户端的用户身份种类。可以理解的是，以上仅为举例说明，实际实施时，上述步骤S102和步骤S103均可以采用任意现有技术实现，因此本文不做过多说明。

本实施例中的步骤104中，第一预设加密方式可以为任意一种现有的加密方式，其仅需和第二预设加密方式为不同的加密方式即可。

进一步的，在一个优选的实施例中，上述步骤S105中，服务器本地存储的目标种类的***指标数据值包括第一种类数据值和第二种类数据值；所述基于服务器本地存储的目标种类的***指标数据值生成第一密钥，包括：

获取第一种类数据值；

基于SHA-256哈希函数对第一种类数据值进行编码，得到第一编码；

将第一编码和第二种类数据值组合，得到第二编码；

基于SHA-256哈希函数对第二编码进行编码，得到初始密钥；

截取初始密钥的前预设位数的数值，得到第一密钥。

上述过程中采用两种不同的***指标数据，即第一种类数据和第二种类数据进行加密，这样就保证只有知晓两种***指标数据的客户端才能够正确解密数据，进一步提高了安全性。

本发明还提供一更加详细的实施例，用以清楚地说明上述过程：

设本实施例中，需要生成的第一密钥的长度和复杂度要求为：16位（即预设位数），包含字母、数字和特殊符号。

假设***中的当前用户数量（第一种类数据值）为100，选用某个对象的下载次数作为第二种类数据值（后文用Seed表示）。然后使用SHA-256哈希函数对用户数量进行编码，生成唯一的哈希值：

编码后的用户数量（即第一编码）为：

SHA-256(100)=dca57869499486257678adff0f71f89c2e7a8be9f38d1d398523330d6a49b229；

然后利用编码后的用户数量生成第一密钥，即将第一编码与第二种类数据值组合并再次使用SHA-256哈希函数生成第一密钥，具体过程为：

将第一编码和第二种类数据值组合，得到第二编码：

dca57869499486257678adff0f71f89c2e7a8be9f38d1d398523330d6a49b229+Seed；

生成的第一密钥为：

SHA-256(dca57869499486257678adff0f71f89c2e7a8be9f38d1d398523330d6a49b229+Seed) = 2c97807afe7b77d3；

然后提取生成的密钥的前16位作为最终的密钥，即最终密钥为：

2c97807afe7b77d3。

可以理解的是，步骤S106中，客户端生成第二密钥的过程与上述过程相同，因此本文中不做过多赘述。

进一步的，在一个优选的实施例中，步骤S105中，所述根据第一密钥基于第二预设加密方式加密请求报文对应的返回数据，得到第二返回报文并发送给客户端，具体包括：

使用第一密钥作为种子生成初始状态向量；

根据初始状态向量和第一密钥生成密钥流；

将加密请求报文对应的返回数据与密钥流进行逐字节的异或，得到第二返回报文并发送给客户端。

上述过程为RC4算法，其具备较快的运行速度，能够在保证数据安全的同时保证本方法的运行效率，提高用户体验。可以理解的是，上述过程中的状态向量、密钥流等词汇均为本领域技术人员能够理解的现有技术，因此本文不做过多说明。

进一步的，在一个优选的实施例中，所述一种基于漏洞动态验证的网络安全监控方法还包括：

客户端根据漏洞验证结果，生成安全策略调整方案，并将安全策略调整方案发送给服务器；

服务器根据安全策略调整方案，调整网络安全防御策略。

在上述过程中，客户端根据漏洞验证结果生成了针对网络安全的安全策略调整方案。该方案的目的是尽量减少或消除漏洞的影响，并提高***的安全性。客户端将这些调整方案发送给服务器，在收到方案后，服务器会自动解析并分析这些信息。基于这些信息，服务器能够评估当前的网络安全状态，并自主地调整网络安全防御策略。

服务器的自适应能力使其能够根据实际情况作出有效的安全策略调整。例如，如果发现某个特定的漏洞对***的威胁程度较高，服务器可以立即采取相应的措施，如封禁相关IP地址或应用特定的访问控制规则，以限制潜在攻击者的进入。同样地，服务器也可以根据漏洞验证结果和安全策略调整方案，动态地修改网络配置、强化认证机制、加强入侵检测和阻止等操作，以保障***的安全。这种自适应性能够快速适应变化的威胁和攻击环境，确保网络安全防御***的有效性和持续性。

进一步的，在一个优选的实施例中，所述一种基于漏洞动态验证的网络安全监控方法，还包括：

若客户端的用户身份为普通用户且请求报文为漏洞验证报文，则根据请求报文，得到用户信息数据，并将用户信息数据记录于风险列表中。

上述过程的意义在于，通过漏洞验证报文的来源判断其是否来自管理员或普通用户。如果发现漏洞验证报文不是来自管理员，而是来自普通用户，那么很可能这个漏洞验证报文是一次真实的网络攻击行为。在这种情况下，需要根据请求报文尽可能获取来源用户的信息数据，并将这些数据存储到风险列表中。通过将用户的信息数据存储在风险列表中，可以提高对该用户的警惕，并采取适当的安全措施，以保证***的安全，并实现预警的效果。

将用户的信息数据存储在风险列表中有助于跟踪和监测潜在的攻击者。这些用户的行为可以被进一步分析和研究，为安全团队提供更多的信息和线索，以便及时应对和防范类似的攻击。通过警惕性的增强和有效的风险管理，***可以更好地应对已知的攻击者和未知的威胁，并及时采取相应的防护措施。这种预警机制可以帮助提前发现可能的攻击信号，减轻潜在攻击所带来的损失，并且提高***的整体安全性。

本发明还提供一种基于漏洞动态验证的网络安全监控***，包括密钥服务器、服务器和客户端，其中：

密钥服务器从多种***指标数据中选择至少一种作为目标种类，并生成用于表征目标种类的目标指示数据，将目标指示数据发送给服务器和用户身份为管理员的客户端；

服务器获取客户端发送的请求报文，并根据请求报文得到客户端的用户身份；

服务器判断客户端的用户身份为普通用户还是管理员；

若客户端的用户身份为普通用户，则服务器基于第一预设加密方式加密请求报文对应的返回数据，得到第一返回报文并发送给客户端；

若客户端的用户身份为管理员且请求报文为漏洞验证报文，则服务器根据目标指示数据，基于服务器本地存储的目标种类的***指标数据值生成第一密钥，并根据第一密钥基于第二预设加密方式加密请求报文对应的返回数据，得到第二返回报文并发送给客户端；

客户端根据目标指示数据，基于客户端本地存储的目标种类的***指标数据值生成第二密钥，并根据第二密钥解密第二返回报文，得到请求报文对应的返回数据，根据请求报文对应的返回数据得到漏洞验证结果。

本发明提供的一种基于漏洞动态验证的网络安全监控方法及***，通过第一预设加密方式与普通用户通讯，而通过第二预设加密方式和管理员通讯，这样当管理员发送漏洞验证报文时，含有关键数据的返回数据就会被加密为第二返回报文发送出去，拥有第一预设加密方式的普通用户无法解密得到正确的数据，仅有掌握正确密钥的管理员才能够解密，保证了数据的安全性，在不影响***正常工作的情况下进行漏洞动态验证。

本发明中客户端和服务器均基于本地存储的目标种类的***指标数据值生成密钥，这就需要服务器和客户端需要存储相同的***指标数据值，才能够保证二者生成的第一密钥和第二密钥相同，显然只有管理员才能够拥有正确的数据。另一方面，***指示数据有多种，具体基于何种数据生成密钥则需要密钥服务器统一指定，只有获得了目标指示数据的客户端，才能够生成和第一密钥相同的第二密钥，进一步提高了数据安全性。

以上对本发明的一个实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。

Claims (5)

1.一种基于漏洞动态验证的网络安全监控方法，其特征在于，包括：

密钥服务器从多种***指标数据中选择至少一种作为目标种类，并生成用于表征目标种类的目标指示数据，将目标指示数据发送给服务器和用户身份为管理员的客户端；

服务器获取客户端发送的请求报文，并根据请求报文得到客户端的用户身份；

服务器判断客户端的用户身份为普通用户还是管理员；

若客户端的用户身份为普通用户，则服务器基于第一预设加密方式加密请求报文对应的返回数据，得到第一返回报文并发送给客户端；

若客户端的用户身份为管理员且请求报文为漏洞验证报文，则服务器根据目标指示数据，基于服务器本地存储的目标种类的***指标数据值生成第一密钥，并根据第一密钥基于第二预设加密方式加密请求报文对应的返回数据，得到第二返回报文并发送给客户端；

客户端根据目标指示数据，基于客户端本地存储的目标种类的***指标数据值生成第二密钥，并根据第二密钥解密第二返回报文，得到请求报文对应的返回数据，根据请求报文对应的返回数据得到漏洞验证结果；

服务器本地存储的目标种类的***指标数据值包括第一种类数据值和第二种类数据值；所述基于服务器本地存储的目标种类的***指标数据值生成第一密钥，包括：

获取第一种类数据值；

基于SHA-256哈希函数对第一种类数据值进行编码，得到第一编码；

将第一编码和第二种类数据值组合，得到第二编码；

基于SHA-256哈希函数对第二编码进行编码，得到初始密钥；

截取初始密钥的前预设位数的数值，得到第一密钥；

所述根据第一密钥基于第二预设加密方式加密请求报文对应的返回数据，得到第二返回报文并发送给客户端，包括：

使用第一密钥作为种子生成初始状态向量；

根据初始状态向量和第一密钥生成密钥流；

将加密请求报文对应的返回数据与密钥流进行逐字节的异或，得到第二返回报文并发送给客户端。

2.根据权利要求1所述的一种基于漏洞动态验证的网络安全监控方法，其特征在于，多种***指标数据包括注册用户数量、会员用户数量、会员时长、点击量、访问量、销售额、交易量和下载次数。

3.根据权利要求1所述的一种基于漏洞动态验证的网络安全监控方法，其特征在于，还包括：

客户端根据漏洞验证结果，生成安全策略调整方案，并将安全策略调整方案发送给服务器；

服务器根据安全策略调整方案，调整网络安全防御策略。

4.根据权利要求1所述的一种基于漏洞动态验证的网络安全监控方法，其特征在于，还包括：

若客户端的用户身份为普通用户且请求报文为漏洞验证报文，则根据请求报文，得到用户信息数据，并将用户信息数据记录于风险列表中。

5.一种基于漏洞动态验证的网络安全监控***，其特征在于，包括密钥服务器、服务器和客户端，其中：

密钥服务器从多种***指标数据中选择至少一种作为目标种类，并生成用于表征目标种类的目标指示数据，将目标指示数据发送给服务器和用户身份为管理员的客户端；

服务器获取客户端发送的请求报文，并根据请求报文得到客户端的用户身份；

服务器判断客户端的用户身份为普通用户还是管理员；

若客户端的用户身份为普通用户，则服务器基于第一预设加密方式加密请求报文对应的返回数据，得到第一返回报文并发送给客户端；

若客户端的用户身份为管理员且请求报文为漏洞验证报文，则服务器根据目标指示数据，基于服务器本地存储的目标种类的***指标数据值生成第一密钥，并根据第一密钥基于第二预设加密方式加密请求报文对应的返回数据，得到第二返回报文并发送给客户端；

客户端根据目标指示数据，基于客户端本地存储的目标种类的***指标数据值生成第二密钥，并根据第二密钥解密第二返回报文，得到请求报文对应的返回数据，根据请求报文对应的返回数据得到漏洞验证结果；

服务器本地存储的目标种类的***指标数据值包括第一种类数据值和第二种类数据值；所述基于服务器本地存储的目标种类的***指标数据值生成第一密钥，包括：

获取第一种类数据值；

基于SHA-256哈希函数对第一种类数据值进行编码，得到第一编码；

将第一编码和第二种类数据值组合，得到第二编码；

基于SHA-256哈希函数对第二编码进行编码，得到初始密钥；

截取初始密钥的前预设位数的数值，得到第一密钥；

所述根据第一密钥基于第二预设加密方式加密请求报文对应的返回数据，得到第二返回报文并发送给客户端，包括：

使用第一密钥作为种子生成初始状态向量；

根据初始状态向量和第一密钥生成密钥流；

将加密请求报文对应的返回数据与密钥流进行逐字节的异或，得到第二返回报文并发送给客户端。