信息系统的漏洞检测方法、系统、存储介质和电子设备与流程

本发明涉及互联网技术领域，尤其涉及一种信息系统的漏洞检测方法、系统、存储介质和电子设备。

背景技术：

随着互联网技术的不断发展，提供给用户的服务或应用越来越多，但与之相对应的是面临的安全风险。在安全管理中，多种多样的应用服务必然带来技术管理上的问题，每天都会出现新的漏洞，那么新的漏洞对于自身的信息系统资产(包括主机、应用)有多大的影响，目前大部分情况下，只能向对应的开发或运维了解信息，然后等待漏洞扫描器更新，并对这些系统进行漏洞扫描，但是当信息资产规模数量级到数十万以上时，对应的应用资产可能甚至高达数百万时，逐条去梳理这些信息会面临极大的困难：人员沟通成本高；输出的信息不精确；等待漏洞扫描器更新时间长；等到验证成功后，可能都已被潜在攻击者利用了。

也即，对于信息系统内的漏洞检测，目前通常的做法是当接收到外部报告漏洞后，等待漏洞扫描器更新特征，然后对全网应用进行扫描。这种做法最明显的缺陷是：外部报告漏洞，内部需要临时全网扫描，耗时耗力，且需要等待漏洞扫描器的策略更新，无法第一时间定位风险。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

针对现有技术中的缺陷，本发明要解决的问题在于，当外部发现漏洞时，内部如何第一时间快速定位存在风险的位置，并自动化验证漏洞，输出受影响的主机或应用。

根据本发明的一个方面，提供一种信息系统的漏洞检测方法，包括：步骤s101、通过端口扫描，获取信息系统内的各主机及其上开放的端口；步骤s102、获取各主机上开放的端口对应的应用程序；步骤s103、将获取的各主机以及各应用程序均作为一信息资产，建立信息资产库，并建立所述信息资产库中对应每一信息资产的查询语句；步骤s104、根据预存的外部漏洞的关键代码，遍历所述信息资产库中的所有信息资产，通过查询语句筛选出与所述关键代码相匹配的信息资产，并将筛选出的所有信息资产的集合作为疑似风险库；步骤s105、根据预存的外部漏洞的攻击代码，向所述疑似风险库中的所有信息资产发送尝试攻击代码，判断各信息资产执行所述尝试攻击代码后返回的执行结果与预存结果是否一致，若是则执行步骤s106，若否则执行步骤s107；步骤s106、判断该信息资产具有被所述外部漏洞攻击的风险，向该信息资产所在主机发送告警信息；步骤s107、判断该信息资产不具有被所述外部漏洞攻击的风险，并返回步骤s101更新所述信息资产库。

优选地，上述的漏洞检测方法中，所述步骤s104包括：步骤s1041、获取预存的外部漏洞的关键代码，所述关键代码为所述外部漏洞运行的资产版本；步骤s1042、遍历所述信息资产库中的所有信息资产，通过查询语句筛选出与所述资产版本相匹配的信息资产；步骤s1043、将筛选出的所有信息资产的集合作为疑似风险库。

优选地，上述的漏洞检测方法中，所述步骤s105包括：步骤s1051、根据预存的外部漏洞的攻击代码，向所述疑似风险库中的所有信息资产发送数据包；步骤s1052、判断各信息资产接收所述数据包后反馈的执行结果与预存结果是否一致，若是则执行步骤s106，若否则执行步骤s107。

优选地，上述的漏洞检测方法中，所述步骤s105包括：步骤s1053、根据预存的外部漏洞的攻击代码，在所述疑似风险库中的每一信息资产所在主机上远程运行所述攻击代码；步骤s1054、判断各主机上远程运行所述攻击代码的执行结果与预存结果是否一致，若是则执行步骤s106，若否则执行步骤s107。

优选地，上述的漏洞检测方法还包括：步骤s108、基于所述外部漏洞的攻击代码提取攻击特征，根据所述攻击特征对步骤s107更新的信息资产库进行漏洞扫描。

优选地，上述的漏洞检测方法中，所述步骤s103中，所述信息资产库中各主机的查询语句包括ip地址精确查询和功能匹配模块查询，各应用程序的查询语句包括ip地址和端口号精确查询和功能匹配模块查询。

优选地，上述的漏洞检测方法中，所述步骤s102中，获取各主机上开放的端口对应的应用程序的方式包括：特定路径分析，和/或特定文件名分析，和/或特定版本分析。

根据本发明的另一个方面，提供一种信息系统的漏洞检测系统，包括：粗指纹获取模块，用于通过端口扫描获取信息系统内的各主机及其上开放的端口；细指纹获取模块，用于获取各主机上开放的端口对应的应用程序；建库模块，用于将获取的各主机以及各应用程序均作为一信息资产，建立信息资产库，并建立所述信息资产库中对应每一信息资产的查询语句；初筛模块，用于根据预存的外部漏洞的关键代码，遍历所述信息资产库中的所有信息资产，通过查询语句筛选出与所述关键代码相匹配的信息资产，并将筛选出的所有信息资产的集合作为疑似风险库；判断模块，用于根据预存的外部漏洞的攻击代码，向所述疑似风险库中的所有信息资产发送尝试攻击代码，判断各信息资产执行所述尝试攻击代码后返回的执行结果与预存结果是否一致，若是则判断该信息资产具有被所述外部漏洞攻击的风险，并触发告警模块，若否则判断该信息资产不具有被所述外部漏洞攻击的风险，并返回粗指纹获取模块；告警模块，用于向该信息资产所在主机发送告警信息。

根据本发明的另一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述的信息系统的漏洞检测方法的步骤。

根据本发明的另一个方面，提供一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述的信息系统的漏洞检测方法的步骤。

有鉴于此，本发明与现有技术相比的有益效果在于：本发明能将应急响应时间缩短3倍左右，以往的系统摸排至少需调研3人以上，涉及研发，运维，主机各部门，采用本发明只需简单操作即可以第一时间筛选出受漏洞影响的主机或应用。同时，本发明多种功能的复用可以提升资源利用效率，达到一个系统多种用途的目的。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本发明示例性实施例中一种信息系统的漏洞检测方法的流程示意图；

图2示出本发明示例性实施例中一种信息系统的漏洞检测系统的模块示意图；

图3示出本发明示例性实施例中一种计算机可读存储介质的示意图；

图4示出本发明示例性实施例中一种电子设备的示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本发明将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

此外，附图仅为本发明的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

图1示出实施例中一种信息系统的漏洞检测方法的流程示意图。参照图1所示，本实施例中漏洞检测方法包括：

步骤s101、通过端口扫描，获取信息系统内的各主机及其上开放的端口。具体是采用nmap工具及-sv选项，识别、收集信息系统内的主机、操作系统等的平台与版本等等“指纹类”信息，这里称为“粗指纹”。

步骤s102、获取各主机上开放的端口对应的应用程序。由于上一步中获取的粗指纹只适合主机及系统，对于应用层指纹，需要通过其他方式进行补充完善，比如应用服务器(apache，iis等)，后端架构(tomcat，jboss等)，编程语言(php，java，ruby，python等)，后端存储技术(mysql，oracle，nosql)，http特殊头，如cookie字段中的jsessionid或者wp-super-cache，特殊html源代码，如未删除的注释，特殊的字段，比如poweredby等，特殊文件内容，特殊容错页面等应用层指纹。因为粗指纹只停留在容器层面，但是容器里面“装”的什么程序，需要经过本步骤应用层指纹(称为“细指纹”)的分析才能确定。通过细化分析，更加精确地识别当前运行的应用程序。具体操作包括对特定文件的尝试访问，特定http响应头的识别，特定路径的特征访问尝试。

细化分析的结果有助于在外部报告漏洞后第一时间确定内部系统是否受影响。例如，外部报告漏洞jenkins远程命令执行漏洞，内部粗指纹只能到jetty容器，通过细化分析，可以分析出jetty容器内的程序为jenkins，利用外部报告的攻击程序(如果有的话)，对运行这个jenkins的服务器进行攻击尝试，即可识别该服务器是否受漏洞攻击。这将在下文中进一步阐述。

步骤s103、将获取的各主机以及各应用程序均作为一信息资产，建立信息资产库，并建立信息资产库中对应每一信息资产的查询语句。上述步骤s101中，探测到主机及其上开放的端口，其上运行的容器等粗指纹信息，下文为方便说明，避免混淆，将步骤s101探测到的粗指纹信息统称为主机。步骤s102在步骤s101的基础上，获取到各端口对应的应用程序。上述获取到的主机和应用程序均为信息系统内的信息资产，将这些信息资产建立信息资产库。也即，本发明的方法在空闲时，会提前进行周期性的全网指纹识别并入库，以方便后续当外部报告漏洞时，可以第一时间在信息资产库提取匹配漏洞特征的信息资产。

进一步的，建立信息资产库后，为每一信息资产绑定对应的查询语句。具体的，各主机的查询语句包括ip地址精确查询和功能匹配模块查询，各应用程序的查询语句包括ip地址和端口号精确查询和功能匹配模块查询。其中，精确查询是针对ip地址，端口号，这样不变的条件作为查询语句，即通过一ip地址对应唯一的一台主机，通过ip地址和端口号，对应到一台主机上唯一的一个应用程序。模糊查询是针对容器或应用程序的版本等信息，通过粗略匹配找出类似的主机和应用程序。

步骤s104、根据预存的外部漏洞的关键代码，遍历信息资产库中的所有信息资产，通过查询语句筛选出与关键代码相匹配的信息资产，并将筛选出的所有信息资产的集合作为疑似风险库。其中，预存的外部漏洞通常是指捕获到的外部漏洞信息，其携带服务器或应用版本等关键特征，称为关键代码。例如，某一预存的外部漏洞具有关键代码为版本信息，则根据版本信息查找可能对应受影响的信息资产，可以通过固定ip的方式查询各主机，可以通过端口号的方式查询各应用程序，也可以直接通过版本信息模糊识别的方式查询。查询出所有与关键代码相匹配的信息资产后，将其筛选出并建立集合作为疑似风险库。也即，本步骤通过初步筛选，筛选出信息资产库中所有与外部漏洞的关键代码相匹配的信息资产，建立疑似风险库。这样在后续进行尝试攻击判断是否被漏洞侵袭时，即可以该筛选出的疑似风险库作为尝试攻击对象，而不必对信息系统中的所有信息资产进行全网扫描。实现将所有可能存在风险的信息资产筛出，而将其余不存在风险(例如版本不同，不存在被该外部漏洞攻击的风险)的信息资产筛除，有效缩减风险范围，提升快速风险定位的同时也节约系统资源。

步骤s105、根据预存的外部漏洞的攻击代码，向所述疑似风险库中的所有信息资产发送尝试攻击代码，判断各信息资产执行所述尝试攻击代码后返回的执行结果与预存结果是否一致，若是则执行步骤s106，若否则执行步骤s107；步骤s106、判断该信息资产具有被所述外部漏洞攻击的风险，向该信息资产所在主机发送告警信息；步骤s107、判断该信息资产不具有被所述外部漏洞攻击的风险，并返回步骤s101更新所述信息资产库。其中，尝试攻击代码可以是一个数据包，此时步骤s105具体执行：步骤s1051、根据预存的外部漏洞的攻击代码，向疑似风险库中的所有信息资产发送数据包；步骤s1052、判断各信息资产接收该数据包后反馈的执行结果与预存结果是否一致，若是则执行步骤s106，若否则执行步骤s107。

在优选的实施方式中，为使漏洞的检测可以关联多套系统结合使用，避免重复开发的问题，会对该外部漏洞的攻击代码(即poc，proofofconcept)经过测试后，转换成内部可以直接调用的标准格式的攻击代码，方便对各个疑似风险的信息资产统一检测。此时步骤s105具体执行：步骤s1053、根据预存的外部漏洞的攻击代码，在风险资产库中的每一信息资产所在主机上远程运行经过测试的标准格式的攻击代码；步骤s1054、判断各主机上远程运行该经过测试的标准格式的攻击代码的执行结果与预存结果是否一致，若是则执行步骤s106，若否则执行步骤s107。

进一步的，上述的预存结果是指该外部漏洞的攻击结果，也即该攻击代码的预定执行结果。有些外部漏洞的攻击结果可能是产生一个特殊文件，有些外部漏洞的攻击结果可能是产生一个特殊网络请求，等等。根据主机上远程运行经过测试的标准格式的攻击代码的执行结果是否与该外部漏洞的攻击结果一致，来判断该主机是否具有被外部漏洞攻击的风险。

此外，考虑到生产环境直接验证可能造成的风险(生产环境中部分线上系统直接进行攻击代码验证可能导致服务不可用，降低可用性)，故此处在远程运行攻击代码前，会先进行信息资产所处环境的判断。若该信息资产处于测试环境，则可直接远程运行攻击代码(经过测试的标准格式的攻击代码)，若该信息资产处于生产环境，需人工确认无风险后才进行攻击代码测试。或者，也可以搭建一个漏洞测试环境，将生产环境中的信息资产置于该漏洞测试环境中进行攻击代码测试，以避免对业务造成影响。

在其他实施例中，若该外部漏洞不具有攻击代码，则当步骤s104筛选出可能具有风险的信息资产的疑似风险库后，无法基于攻击代码进行实际是否真有被攻击风险的验证，因此直接将这些疑似风险库中的信息资产作为检测结果输出，以供系统管理员针对性地执行后续防御措施。

进一步的，还包括步骤s108：基于该外部漏洞的攻击代码提取攻击特征，根据攻击特征对步骤s107更新的信息资产库进行漏洞扫描。因信息系统内的信息资产不断地在增加，因此本发明构建信息资产库的操作设置为周期循环执行，更新信息系统的粗指纹和细指纹，以不断地纳入新增加的信息资产，优化信息资产库。基于更新的信息资产库，将从外部漏洞的攻击代码中提取的攻击特征作为巡检规则，来扫描更新的信息资产库的安全性。

综上，本发明的方法对现有技术进行了以下三点改进：

第一、改进了信息资产库。现有技术中的资产信息列表并未包含安全所关心的信息，且主机，系统，应用各自独立维护，沟通成本高。

第二、改进了漏洞检测方式。现有技术因未对系统或应用进行筛选，通常进行全网扫描，这种扫描方式除占用系统资源外，部分漏洞攻击代码可能导致目标主机或应用的拒绝服务，导致可用性降低。本发明在筛选出疑似风险的信息资产的基础上，对漏洞的攻击代码进行测试后进行批量验证，快速定位风险位置，提高效率的同时，节省漏洞的响应时间。

第三、改进了漏洞检测复用方式。用于漏洞检测的标准格式的攻击代码与构建的漏洞测试环境可以用于防护端提取攻击特征，提取出的攻击特征可以作为安全防护工具，在未来对新上线的信息资产进行更新扫描。

本发明将现有的应急响应时间缩短3倍左右，以往的系统摸排至少需调研3人以上，涉及研发，运维，主机各部门。本发明只需简单操作即可以第一时间筛选出受漏洞影响的主机或应用，同时，本发明漏洞特征的复用可以提升资源利用效率，达到一个系统多种用途的目的。

本发明还提供一种信息系统的漏洞检测系统，如图2所示，包括：粗指纹获取模块201，用于通过端口扫描获取信息系统内的各主机及其上开放的端口；细指纹获取模块202，用于获取各主机上开放的端口对应的应用程序；建库模块203，用于将获取的各主机以及各应用程序均作为一信息资产，建立信息资产库，并建立信息资产库中对应每一信息资产的查询语句；初筛模块204，用于根据预存的外部漏洞的关键代码，遍历信息资产库中的所有信息资产，通过查询语句筛选出与所述关键代码相匹配的信息资产，并将筛选出的所有信息资产的集合作为疑似风险库；判断模块205，用于根据预存的外部漏洞的攻击代码，向疑似风险库中的所有信息资产发送尝试攻击代码，判断各信息资产执行所述尝试攻击代码后返回的执行结果与预存结果是否一致，若是则判断该信息资产具有被外部漏洞攻击的风险，并触发告警模块206，若否则判断该信息资产不具有被外部漏洞攻击的风险，并返回粗指纹获取模块201；告警模块206，用于向该信息资产所在主机发送告警信息。其中，各个模块的执行步骤以及原理在上述实施例中均有阐述，因此不再赘述。

在本发明的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被例如处理器执行时可以实现上述任意一个实施例中所述信息系统的漏洞检测方法的步骤。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述信息系统的漏洞检测方法描述的根据本发明各种示例性实施方式的步骤。

参考图3所示，描述了根据本发明的实施方式的用于实现上述方法的程序产品300，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

所述程序产品300可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

在本发明的示例性实施例中，还提供一种电子设备，该电子设备可以包括处理器，以及用于存储所述处理器的可执行指令的存储器。其中，所述处理器配置为经由执行所述可执行指令来执行上述任意一个实施例中所述信息系统的漏洞检测方法的步骤。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

下面参照图4来描述根据本发明的这种实施方式的电子设备400。图4显示的电子设备400仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图4所示，电子设备400以通用计算设备的形式表现。电子设备400的组件可以包括但不限于：至少一个处理单元410、至少一个存储单元420、连接不同系统组件(包括存储单元420和处理单元410)的总线430、显示单元440等。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元410执行，使得所述处理单元410执行本说明书上述信息系统的漏洞检测方法部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元410可以执行如图1中所示的步骤。

所述存储单元420可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)4201和/或高速缓存存储单元4202，还可以进一步包括只读存储单元(rom)4203。

所述存储单元420还可以包括具有一组(至少一个)程序模块4205的程序/实用工具4204，这样的程序模块4205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线430可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备400也可以与一个或多个外部设备500(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备400交互的设备通信，和/或与使得该电子设备400能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口450进行。并且，电子设备400还可以通过网络适配器460与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。网络适配器460可以通过总线430与电子设备400的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备400使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本发明实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本发明实施方式的上述信息系统的漏洞检测方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由所附的权利要求指出。