一种设备安全漏洞的处理方法和装置与流程

本发明涉及信息安全
技术领域：
，尤其涉及一种设备安全漏洞的处理方法和装置。
背景技术：
：随着网络规模的持续增长，设备数量急剧增加，带来的安全问题愈见突出。因此，大中型企业开始越来越关注系统和网络安全。长期以来，系统安全漏洞一直作为各种安全检查、风险评估报告中最常见的高风险安全问题存在，成为攻击者控制系统的主要途径。现有的漏洞扫描方案包括两种，一种漏洞扫描方案是基于特征匹配原理的网络漏洞扫描器，采用黑盒方式进行外围探测；该方案只能少量发现设备存在的漏洞，通常数量为几个或者十几个，且具有误报率高、对现网业务影响大等显著缺点。另一种漏洞扫描方案采用白盒方式登录设备，采集现网设备基本信息，并对采集到的信息进行分析，进而判断是否存在漏洞。该方案发现的漏洞数量众多，导致存在如下弊端：1、不利于区分影响系统安全的已暴露活跃风险。在全量漏洞扫描系统发现的大量系统漏洞中，暴露的很多漏洞是潜在漏洞，并不具有实际威胁。如果不对潜在漏洞进行标识，不利于系统管理员区分影响系统安全的活跃风险。2、难以将有限的时间和精力聚焦在活跃的高危漏洞上。按照全量漏洞扫描系统发现的漏洞进行修复，不区分漏洞活跃度，将导致管理员工作量巨大，不利于将有限的时间和精力用于更加棘手的安全漏洞的修复工作，导致工作时间分配不合理，降低工作效率和质量。技术实现要素：鉴于上述问题，本发明提供了一种设备安全漏洞的处理方法和装置，以解决上述问题或者至少部分地解决上述问题。依据本发明的一个方面，提供了一种设备安全漏洞的处理方法，该方法 包括：对指定设备进行安全扫描，发现指定设备中存在的多个漏洞；对于扫描发现的每个漏洞，判断该漏洞是否存在于漏洞与进程对应关系库中；如果不存在，将该漏洞标记为活跃漏洞；如果存在，进一步判断该漏洞所对应的进程是否正在所述指定设备中运行，是则，将该漏洞标记为活跃漏洞，否则，将该漏洞标记为潜在漏洞。可选地，在所述对指定设备进行安全扫描之前，该方法进一步包括：建立漏洞与软件关系库；建立软件与进程关系库；根据所述漏洞与软件关系库和所述软件与进程关系库，获得漏洞与进程对应关系库。可选地，所述建立漏洞与软件关系库包括：以通用漏洞字典表CVE编号作为漏洞的唯一标识，对于每个漏洞，通过分析该漏洞的行为特征，为该漏洞定义检查方法；其中，该检查方法中包含漏洞影响的软件信息；根据各漏洞的检查方法，建立漏洞与软件关系库。可选地，所述对指定设备进行安全扫描，发现指定设备中存在的多个漏洞包括：分别利用各漏洞的检查方法对指定设备进行安全扫描，发现指定设备中存在的与分别与多个检查方法对应的多个漏洞。可选地，所述建立软件与进程关系库包括：登录测试用设备；查看测试用设备的进程列表，获取各进程的进程身份标识PID；根据各进程的进程身份标识PID，获取各进程对应的可执行文件及其路径；根据各进程对应的可执行文件及其路径，获取各进程对应的可执行文件所属的软件，得到各进程与软件的对应关系。可选地，对于测试用设备上未安装的软件，所述建立软件与进程关系库 进一步包括：在测试用设备上安装并启动该软件，查看该软件所启动的进程，建立该软件与进程的对应关系。依据本发明的另一个方面，提供了一种设备安全漏洞的处理装置，该装置包括：安全扫描模块，用于对指定设备进行安全扫描，发现指定设备中存在的多个漏洞；判断处理模块，用于对于扫描发现的每个漏洞，判断该漏洞是否存在于漏洞与进程对应关系库中；如果不存在，将该漏洞标记为活跃漏洞；如果存在，进一步判断该漏洞所对应的进程是否正在所述指定设备中运行，是则，将该漏洞标记为活跃漏洞，否则，将该漏洞标记为潜在漏洞。可选地，该装置进一步包括：关系库建立模块，用于建立漏洞与软件关系库；建立软件与进程关系库；并根据所述漏洞与软件关系库和所述软件与进程关系库，获得漏洞与进程对应关系库。可选地，所述关系库建立模块，用于以通用漏洞字典表CVE编号作为漏洞的唯一标识，对于每个漏洞，通过分析该漏洞的行为特征，为该漏洞定义检查方法；其中，该检查方法中包含漏洞影响的软件信息；根据各漏洞的检查方法，建立漏洞与软件关系库。可选地，所述安全扫描模块，用于分别利用各漏洞的检查方法对指定设备进行安全扫描，发现指定设备中存在的与分别与多个检查方法对应的多个漏洞。可选地，所述关系库建立模块，用于登录测试用设备；查看测试用设备的进程列表，获取各进程的进程身份标识PID；根据各进程的进程身份标识PID，获取各进程对应的可执行文件及其路径；根据各进程对应的可执行文件及其路径，获取各进程对应的可执行文件所属的软件，得到各进程与软件的对应关系。可选地，所述关系库建立模块，进一步用于对于测试用设备上未安装的软件，在测试用设备上安装并启动该软件，查看该软件所启动的进程，建立 该软件与进程的对应关系。由上述可知，在本发明提供的技术方案在对指定设备进行安全扫描发现大量漏洞的基础上，根据漏洞与进程的对应关系、以及根据漏洞对应的进程在指定设备上的运行状态，对发现的漏洞按照活跃漏洞和潜在漏洞进行分类，有利于设备管理者了解威胁设备安全的已暴露的活跃风险，进而能够将有限的时间、精力用于修复活跃漏洞，即可达到维护设备正常运行的修复效果，极大地减少用于漏洞修复的工作量，提高漏洞修复效率。附图说明图1示出了根据本发明一个实施例的一种设备安全漏洞的处理方法的流程图；图2示出了根据本发明另一个实施例的一种设备安全漏洞的处理方法的流程图；图3示出了根据本发明一个实施例的判断设备全量漏洞列表中的各漏洞是否活跃的方法的流程图；图4示出了根据本发明一个实施例的一种设备安全漏洞的处理装置的示意图；图5示出了根据本发明另一个实施例的一种设备安全漏洞的处理装置的示意图。具体实施方式为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。图1示出了根据本发明一个实施例的一种设备安全漏洞的处理方法的流程图。如图1所示，该方法包括：步骤S110，对指定设备进行安全扫描，发现指定设备中存在的多个漏洞。步骤S120，对于扫描发现的每个漏洞，判断该漏洞是否存在于漏洞与进程对应关系库中。步骤S130，如果不存在，将该漏洞标记为活跃漏洞。步骤S140，如果存在，进一步判断该漏洞所对应的进程是否正在所述指定设备中运行，是则，将该漏洞标记为活跃漏洞，否则，将该漏洞标记为潜在漏洞。可见，图1所述的方法在对指定设备进行安全扫描发现大量漏洞的基础上，根据漏洞与进程的对应关系、以及根据漏洞对应的进程在指定设备上的运行状态，对发现的漏洞按照活跃漏洞和潜在漏洞进行分类，有利于设备管理者了解威胁设备安全的已暴露的活跃风险，进而能够将有限的时间、精力用于修复活跃漏洞，即可达到维护设备正常运行的修复效果，极大地减少用于漏洞修复的工作量，提高漏洞修复效率。以一个具体的实施例来说明本方案的实施过程：图2示出了根据本发明另一个实施例的一种设备安全漏洞的处理方法的流程图。如图2所示，该方法包括：步骤S210，开始。步骤S220，建立漏洞与软件关系库。以CVE(CommonVulnerabilities&Exposures,通用漏洞字典表)编号作为漏洞的唯一标识，对于每个漏洞，通过分析该漏洞的行为特征，为该漏洞定义检查方法，该检查方法中包含漏洞影响的软件信息；根据各漏洞的检查方法，建立漏洞与软件关系库。以CentOS系统的openssh为例，编号CVE-2010-5107的漏洞“OpenSSH远程拒绝服务漏洞”，定义的检查方法(部分)如下：$vlt($getSoftInfo(_vSoft_info@centos,"openssh","evr"),"0:5.3p1-94.el6")；说明CentOS系统上openssl软件的版本小于0:5.3p1-94.el6，存在漏洞CVE-2010-5107，即漏洞CVE-2010-5107所影响的软件为openssh；进而得到漏洞CVE-2010-5107与软件的对应关系如表1所示：表1漏洞编号软件CVE-2010-5107Openssh同理，其他各漏洞与软件的对应关系的获得过程与上述过程相同，在此不再赘述。根据各漏洞与软件的对应关系，建立起漏洞与软件关系库。步骤S230，建立软件与进程关系库。软件与进程关系库的建立需要经过大量的调研和测试工作，以得到全量漏洞安全扫描支持检查的所有软件对应的进程。主要包括两种方案：方案一，实际环境调研，具体包括：登录测试用设备；查看测试用设备的进程列表，获取各进程的进程身份标识PID；根据各进程的进程身份标识PID，获取各进程对应的可执行文件及其路径；根据各进程对应的可执行文件及其路径，获取各进程对应的可执行文件所属的软件，得到各进程与软件的对应关系，进而建立起软件与进程关系库。例如，测试用设备上运行有进程sshd，获得该进程与软件的对应关系的过程如表2所示：表2可见，登录测试用设备后，通过ps–ef命令，查看设备进程列表,并获取各进程的进程身份标识PID；其中，对于进程身份标识PID为11653的进程，通过#ls-la/proc/11653|grep-wexe命令，获取该进程对应的可执行文件的路径为/usr/sbin/sshd；再通过#rpm-qf/usr/sbin/sshd命令在上述路径下找到该进程对应的可执行文件所属的软件为openssh-server-5.3p1-94.el6.x86_64。得到软件与进程的对应关系如表3所示：表3软件进程openssh-server-5.3p1-94.el6.x86_64sshd方案二，安装测试：对于方案一没有覆盖到的软件，在测试用设备上安装并启动该软件，查看该软件所启动的进程，建立该软件与进程的对应关系，进而建立起软件与进程关系库。例如，在所有测试用设备上均未安装openssh软件的情况下，上述方案一无法得到openssh软件与进程的对应关系，则在测试用设备上安装该openssh软件，启动该软件，查看启动的进程名称即可得到该软件与进程的对应关系。同理，其他各软件与进程的对应关系的获得过程与上述方案一和/或方案二的过程相同，在此不再赘述。根据各软件与进程的对应关系，建立起软件与进程关系库。步骤S240，建立漏洞与进程对应关系库。根据步骤S220建立的漏洞与软件关系库，以及步骤S230建立的软件与进程关系库，最终建立漏洞与进程对应关系库。例如，根据上文中表2示出的漏洞CVE-2010-5107与软件openssh的对应关系，以及表3示出的软件openssh与进程sshd的对应关系，得到漏洞CVE-2010-5107与进程sshd的对应关系，如表4所示：表4漏洞编号进程名称CVE-2010-5107sshd同理，其他各漏洞与进程的对应关系的获得过程与上述过程相同，在此不再赘述。根据各漏洞与进程的对应关系，建立起漏洞与进程对应关系库。步骤S250，采集指定设备上存在的漏洞，得到设备全量漏洞列表；以及，采集指定设备进程列表。本步骤中，建立全量漏洞核查任务，登录指定设备，执行设备信息采集脚本；将采集到的信息发送至核心分析服务器进行分析，最终得到核心分析服务器下发的设备全量漏洞核查结果，得到设备全量漏洞列表，以CVE编号作为漏洞的唯一标识。其中，核心分析服务器可以利用前文所定义的各漏洞的检查方法对指定设备中的信息进行分析，如果发现有与某个检查方法匹配的信息，则说明指 定设备中存在与该检查方法对应的漏洞。步骤S260，判断设备全量漏洞列表中的各漏洞是否活跃。本步骤的具体实施过程如图3所示，图3示出了根据本发明一个实施例的判断设备全量漏洞列表中的各漏洞是否活跃的方法的流程图，如图3所示，该方法包括：步骤S2601，从设备全量漏洞列表中选取一个漏洞。步骤S2603，判断该漏洞是否存在于前文所建立的漏洞与进程对应关系库中，是则执行步骤S2605，否则执行步骤S2609。步骤S2605，根据前文所建立的漏洞与进程对应关系库，获取该漏洞对应的一个或多个进程。步骤S2607，判断该漏洞对应的进程是否正在指定设备上运行，是则执行步骤S2609，否则执行步骤S2611。本步骤中，判断该漏洞对应的进程是否正在指定设备上运行是指：当该漏洞对应一个进程时，判断该一个进程是否正在指定设备上运行；当该漏洞对应多个进程时，判断该多个进程中是否有正在指定设备上运行的进程。步骤S2609，确定该漏洞为活跃漏洞。步骤S26011，确定该漏洞为潜在漏洞。本实施例中，由于活跃漏洞是已暴露的活跃风险，如果遗漏掉活跃漏洞将导致损失，因此活跃漏洞的判定是相对判断，即一个漏洞如果不能确定是潜在漏洞，则判定该漏洞为活跃漏洞，以避免活跃漏洞的遗漏所造成的损失。重复上述步骤S2601-步骤S26011，直至遍历完设备全量漏洞列表中的所有漏洞，判断出各漏洞的活跃度。步骤S270，漏洞活跃度信息展现。经过步骤S260的判断，在设备全量漏洞列表中标记出各漏洞的活跃度，展示给管理者，使得管理者能够有针对性地对活跃漏洞进行及时修复，节省修复成本、提高修复效率。步骤S280，结束。图4示出了根据本发明一个实施例的一种设备安全漏洞的处理装置的示 意图。如图4所示，该设备安全漏洞的处理装置400包括：安全扫描模块410，用于对指定设备进行安全扫描，发现指定设备中存在的多个漏洞。判断处理模块420，用于对于扫描发现的每个漏洞，判断该漏洞是否存在于漏洞与进程对应关系库中；如果不存在，将该漏洞标记为活跃漏洞；如果存在，进一步判断该漏洞所对应的进程是否正在所述指定设备中运行，是则，将该漏洞标记为活跃漏洞，否则，将该漏洞标记为潜在漏洞。可见，图4所述的装置通过各模块的相互配合，在对指定设备进行安全扫描发现大量漏洞的基础上，根据漏洞与进程的对应关系、以及根据漏洞对应的进程在指定设备上的运行状态，对发现的漏洞按照活跃漏洞和潜在漏洞进行分类，有利于设备管理者了解威胁设备安全的已暴露的活跃风险，进而能够将有限的时间、精力用于修复活跃漏洞，即可达到维护设备正常运行的修复效果，极大地减少用于漏洞修复的工作量，提高漏洞修复效率。图5示出了根据本发明另一个实施例的一种设备安全漏洞的处理装置的示意图。如图5所示，该设备安全漏洞的处理装置500包括：关系库建立模块510，用于建立漏洞与软件关系库；建立软件与进程关系库；并根据所述漏洞与软件关系库和所述软件与进程关系库，获得漏洞与进程对应关系库。安全扫描模块520，用于对指定设备进行安全扫描，发现指定设备中存在的多个漏洞。判断处理模块530，用于对于扫描发现的每个漏洞，判断该漏洞是否存在于漏洞与进程对应关系库中；如果不存在，将该漏洞标记为活跃漏洞；如果存在，进一步判断该漏洞所对应的进程是否正在所述指定设备中运行，是则，将该漏洞标记为活跃漏洞，否则，将该漏洞标记为潜在漏洞。在本发明的一个实施例中，关系库建立模块510，用于以通用漏洞字典表CVE编号作为漏洞的唯一标识，对于每个漏洞，通过分析该漏洞的行为特征，为该漏洞定义检查方法；其中，该检查方法中包含漏洞影响的软件信息；根据各漏洞的检查方法，建立漏洞与软件关系库。在本发明的一个实施例中，安全扫描模块520，用于分别利用各漏洞的 检查方法对指定设备进行安全扫描，发现指定设备中存在的与分别与多个检查方法对应的多个漏洞。在本发明的一个实施例中，关系库建立模块510，用于登录测试用设备；查看测试用设备的进程列表，获取各进程的进程身份标识PID；根据各进程的进程身份标识PID，获取各进程对应的可执行文件及其路径；根据各进程对应的可执行文件及其路径，获取各进程对应的可执行文件所属的软件，得到各进程与软件的对应关系。进一步地，所述关系库建立模块，还用于对于测试用设备上未安装的软件，在测试用设备上安装并启动该软件，查看该软件所启动的进程，建立该软件与进程的对应关系。需要说明的是，图4-图5所示的装置的实施例与图1-图3所示各实施例对应相同，上文中已有详细的说明，在此不再赘述。综上所述，本发明提供的技术方案在对指定设备进行安全扫描发现大量漏洞的基础上，根据漏洞与进程的对应关系、以及根据漏洞对应的进程在指定设备上的运行状态，对发现的漏洞按照活跃漏洞和潜在漏洞进行分类，有利于设备管理者了解威胁设备安全的已暴露的活跃风险，进而能够将有限的时间、精力用于修复活跃漏洞，即可达到维护设备正常运行的修复效果，极大地减少用于漏洞修复的工作量，提高漏洞修复效率，减少由于设备漏洞所导致的直接或间接的损失；此外，由于本方案解决了全量漏洞核查方案存在的由于核查结果数量巨大而导致的修复处理工作量巨大的问题，提高了设备管理者的工作积极性，对于推动全量漏洞核查方案的大规模推广使用具有很高的实际意义。以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。当前第1页1 2 3