漏洞检测方法及装置与流程

本发明涉及互联网技术领域，尤其涉及一种漏洞检测方法及装置。

背景技术：

随着互联网技术的快速发展和大数据的需求，出现了新的互联网技术云技术。云技术是分布式处理、并行处理和网络计算的发展，它是指在广域网或者局域网内将硬件、软件和网络等系列资源统一起来，实现数据的计算、储存和共享的一种托管技术。

云技术对应的托管平台称为云平台或云环境。在云环境中的主机都为虚拟机，不同虚拟机是通过一个云主机管理平台进行管理的。现有常用的云主机管理平台为Open stack、Close stack等。在云环境中各虚拟机或者各功能组件之间需要进行网络通信，而在各功能组件在网络交互的过程中可能会存在一些漏洞。为了保证网络交互的安全性，因此需要对网络交互过程进行漏洞的扫描。

现有技术中基于网络的漏洞扫描方式为：扫描软件获取需要被扫描的页面的网间协议(Internet Protocol，简称IP)地址，在获取到IP地址后对对应的页面进行漏洞的扫描。若将现有的扫描方式应用到这种新型的云主机管理平台的架构下进行漏洞扫描，仅能扫描云平台管理界面，对于云平台中各个功能组件之间的网络通信中可能存在的漏洞无法扫描。因此，对于现有的漏洞扫描方式已经不能满足新型的云环境下的扫描需求。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的漏洞检测方法及装置。

为解决上述技术问题，一方面，本发明提供了一种漏洞检测方法，包括：

扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描，所述扫描虚拟机位于所述云环境中；

接收各功能组件返回的扫描结果数据；

将所述扫描结果数据与预设漏洞触发条件进行比对，以确定所述网络交互的安全性。

另一方面，本发明提供了一种漏洞检测装置，包括：

扫描单元，用于扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描，所述扫描虚拟机位于所述云环境中；

接收单元，用于接收各功能组件返回的扫描结果数据；

比对单元，用于将所述扫描结果数据与预设漏洞触发条件进行比对，以确定所述网络交互的安全性。

借由上述技术方案，本发明提供的漏洞检测方法及装置，能够通过扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描，其中扫描虚拟机位于上述云环境中；然后接收各功能组件返回的扫描结果数据；并将扫描结果数据与预设漏洞触发条件进行比对，以找出各功能组件在网络交互的过程中可能存在的漏洞，并以此确定云环境中各功能组件进行网络交互时的安全性。与现有技术相比，本发明能够通过将扫描虚拟机放置在云环境中，使扫描虚拟机能够对云环境中的各功能组件之间的网络交互进行扫描，并根据接收到的扫描结果数据与预设漏洞触发条件进行比对，以确定各功能组件在网络交互过程中的安全性。由此可以得出，本发明的漏洞检测方法可以满足云环境下对其中不同的功能组件之间的网络交互过程进行漏洞扫描的需求。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种漏洞检测方法流程图；

图2示出了本发明实施例提供的另一种漏洞检测方法流程图；

图3示出了本发明实施例提供的一种漏洞检测装置的组成框图；

图4示出了本发明实施例提供的另一种漏洞检测装置的组成框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

为解决现有扫描漏洞的方式无法满足云环境下的扫描需求的问题，本发明实施例提供了一种漏洞检测方法，如图1所示，该方法包括：

101、扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描。

本实施例中的扫描虚拟机是从具有云服务的云服务厂商中买取虚拟机并在买到的虚拟机上安装或者设计扫描软件后得到的。本实施例中的扫描虚拟机包含扫描引擎、数据库、文件校验工具等。其中的扫描引擎是基于虚拟层和网络层进行扫描的，而现有扫描引擎只能基于网络层进行扫描。

由于虚拟机本身就位于云环境中，所以扫描虚拟机可以对云环境中的各功能组件之间的网络交互进行扫描。通常各功能组件分别对应网络交互过程中的不同的功能节点，并且不同的功能节点分别对应不同的虚拟机。对于不同的功能节点的定义给出具体的示例进行说明：假设一个网络交互过程中涉及账户登录和账户身份验证两个功能模块，两个功能模块之间存在网络交互，比如账户登录模块需要将接受到的账户的信息发送给账户身份验证模块，以使身份验证模块对接收到的账户信息进行验证。该示例中两个不同的模块就分别对应两个功能节点。

102、接收各功能组件返回的扫描结果数据。

对于步骤101中扫描虚拟机针对各功能组件之间的网络交互进行的扫描，扫描虚拟机会接收到对应的扫描结果数据，扫描结果数据是由各功能组件返回的。扫描虚拟机在扫描各组件之间的网络交互时，是向对应网络交互过程中涉及到的功能组件分别进行扫描，因此接收到的扫描结果数据是对应的各功能组件返回的数据。

103、将扫描结果数据与预设漏洞触发条件进行比对，以确定网络交互的安全性。

将由步骤102接收到的各功能组件返回的扫描结果数据与预设漏洞触发条件进行比对。若扫描结果数据符合对应的预设漏洞触发条件，则表示对应的功能组件在进行对应的网络交互时存在漏洞；若扫描结果数据不符合对应的预设漏洞触发条件，则表示对应的功能组件在进行对应的网络交互时相对安全。

本实施例提供的漏洞检测方法，能够通过扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描，其中扫描虚拟机位于上述云环境中；然后接收各功能组件返回的扫描结果数据；并将扫描结果数据与预设漏洞触发条件进行比对，以找出各功能组件在网络交互的过程中可能存在的漏洞，并以此确定云环境中各功能组件进行网络交互时的安全性。与现有技术相比，本实施例能够通过将扫描虚拟机放置在云环境中，使扫描虚拟机能够对云环境中的各功能组件之间的网络交互进行扫描，并根据接收到的扫描结果数据与预设漏洞触发条件进行比对，以确定各功能组件在网络交互过程中的安全性。由此可以得出，本实施例的基于漏洞检测方法可以满足云环境下对其中不同的功能组件之间的网络交互过程进行漏洞扫描的需求。

进一步的，作为对图1所示方法的细化及扩展，本发明另一实施例还给出了一种漏洞检测方法。如图2所示，该方法包括：

201、确定扫描虚拟机的扫描范围。

确定扫描虚拟机在对应的云环境中的扫描范围，与图1实施例中一样，扫描虚拟机位于云环境中。扫描虚拟机在云环境中想要确定能够扫描的范围，首先需要确定扫描虚拟机对应的主机的IP端口。确定主机的IP端口是通过预设算法得到的，本实施例中预设算法为回溯算法，也可以为类似回溯算法的其他算法。确定了主机的IP端口后，就能够根据主机的IP端口确定对应的扫描范围。具体的确定扫描范围的方法为：与主机的IP端口相同的其他虚拟机作为扫描范围。本实施例中云环境中不同的虚拟机分别对应不同的功能节点，不同功能节点对应不同的功能组件。其中功能节点的定义与图1步骤101中的相同，此处不再赘述。另外，确定扫描范围即确定该扫描虚拟机在云环境中的“攻破范围”。

202、扫描虚拟机对扫描范围内的各功能组件之间的网络交互进行扫描。

确定了扫描虚拟机的扫描范围后，对扫描范围内的各功能组件之间的网络交互进行扫描，具体的扫描过程包括如下步骤：

首先，确定各功能组件的类型。

确定各功能组件的类型中的“类型”是指功能类型，由于不同功能类型对应的进行扫描的测试数据包是不同的，因此在向各功能组件发送测试数据包之前必须确定不同的功能组件的功能类型。具体的确定功能组件的类型的过程包括：

第一，获取各功能组件的类型标识。不同的功能组件的类型都是通过不同的类型标识进行区分的。本实施例中获取类型标识的方式包括两种：一种获取方式，从各功能组件之间的网络交互数据包中提取对应各功能组件的类型标识；具体过程为实时监控各功能组件之间的网络通信，通过网络抓包的方式抓取各功能组件通信过程中交互的数据包，然后对抓取到的交互的数据包进行数据分析，找到对应类型标识的字段，并从中提取出对应的类型标识。另一种获取方式，从设置信息中直接获取功能组件的类型标识，其中设置信息为各功能组件对应的管理平台发给扫描虚拟机的信息。相当于管理各功能组件的“管理员”直接将扫描范围内的各功能组件的类型标识“告知”扫描虚拟机。

第二，根据类型标识确定各功能组件的类型。在扫描虚拟机的数据库中包含不同的类型与对应的类型标识的映射表。因此将第一步中获取到的类型标识与映射表中的类型标识进行比对即可确定各功能组件对应的类型。

其次，向各功能组件发送对应类型的测试数据包。

确定各功能组件对应的类型后，将与类型对应的测试数据包发送给对应的功能组件。扫描虚拟机的数据库中也包含类型与测试数据包之间的一一对应的映射表。另外，测试数据包中包含对应类型的功能组件的预设漏洞测试包。不同的功能组件在与其它功能组件进行网络交互时可能存在的漏洞不同，因此不同的测试数据包中包含的预设漏洞测试包也不相同。测试数据包中包含的预设漏洞测试包的数量可以是一个或多个，具体的根据实际的测试需求设定。给出具体的示例对不同类型的功能组件对应的预设漏洞测试包进行说明：假设某一功能组件的类型为身份验证，则预设漏洞测试包为试探该功能组件是否在与其他功能组件进行网络交互的过程中被非法获取了部分或所有用户的身份信息，或者试探是否有非法篡改用户的身份信息的情况。或者假设某一功能组件的类型为存储，该功能组件的功能为存储其他功能组件对应的虚拟机的在线镜像文件，则该功能组件对应的预设漏洞测试包为试探是否有超过预设阈值的镜像文件被存储到该组件中，预设阈值可以为2G、3G等，预设阈值可以根据实际业务需求设定。

另外，在向各功能组件发送对应类型的测试数据包时需要确定功能组件对应的虚拟机的网间协议IP地址，然后将依据对应的IP地址发送测试数据包。

203、接收各功能组件返回的扫描结果数据。

对于步骤202中向功能组件发送对应类型的测试数据包后对应的会接收到各功能组件返回的扫描结果数据。该本步骤的实现方式与图1步骤102中的实现方式相同。另外补充的是该扫描结果数据是针对测试数据包中预设漏洞数据包返回的结果数据。

204、将扫描结果数据与预设漏洞触发条件进行比对，以确定网络交互的安全性。

具体的将扫描结果数据与预设漏洞触发条件进行比对，以确定网络交互的安全性的方式与图1步骤103中的方式相同，此处不再赘述。

另外，为了对确定网络交互过程中的安全性的过程进行详细说明，针对步骤202中给出的功能组件的示例分别进行说明。具体的：对于功能组件的类型为身份验证的情况时，预设漏洞触发条件为该功能组件中的部分用户或所有用户的身份信息被非法获取，因此若返回的扫描结果数据为该功能组件与其它功能组件网络交互的过程中被非法获取了部分或者所有用户的身份信息，符合预设漏洞触发条件，则可以确定该功能组件在与其它功能组件进行网络交互的过程中存在漏洞，网络交互不安全。对于功能组件的类型为存储的情况时，预设漏洞触发条件为给功能组件中被其他功能组件存储了大于预设阈值的在线镜像文件，若返回的扫描结果数据为存在其它功能组件将超过预设阈值的在线镜像文件存储到该功能组件中，符合预设漏洞的触发条件，则确定该功能组件在与其他功能组件进行网络交互的过程中存在漏洞，网络交互不安全。

进一步的，作为对上述各实施例的实现，本发明实施例的另一实施例还提供了一种漏洞检测装置，用于实现上述图1和图2所述的方法。如图3所示，该装置包括：扫描单元31、接收单元32以及比对单元33。

扫描单元31，用于扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描，扫描虚拟机位于云环境中；

接收单元32，用于接收各功能组件返回的扫描结果数据；

比对单元33，用于将扫描结果数据与预设漏洞触发条件进行比对，以确定网络交互的安全性。

进一步的，如图4所示，扫描单元31，包括：

类型确定模块311，用于确定各功能组件的类型；

发送模块312，用于向各功能组件发送对应类型的测试数据包，测试数据包与功能组件的类型一一对应，测试数据包中包含对应类型的功能组件的预设漏洞测试包。

进一步的，类型确定模块311用于：

获取各功能组件的类型标识；

根据类型标识确定各功能组件的类型。

进一步的，类型确定模块311用于：

从各功能组件之间的网络交互数据包中提取对应各功能组件的类型标识；

从设置信息中直接获取功能组件的类型标识，设置信息为各功能组件对应的管理平台发给扫描虚拟机的信息。

进一步的，如图4所示，装置进一步包括：

确定单元34，用于在扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描之前，确定扫描虚拟机的扫描范围；

扫描单元31用于：

扫描虚拟机对扫描范围内的各功能组件之间的网络交互进行扫描。

进一步的，如图4所示，确定单元34，包括：

端口确定模块341，用于根据预设算法确定扫描虚拟机对应的主机的网间协议IP端口；

范围确定模块342，用于根据主机的IP端口确定扫描范围。

本实施例提供的漏洞检测装置，能够通过扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描，其中扫描虚拟机位于上述云环境中；然后接收各功能组件返回的扫描结果数据；并将扫描结果数据与预设漏洞触发条件进行比对，以找出各功能组件在网络交互的过程中可能存在的漏洞，并以此确定云环境中各功能组件进行网络交互时的安全性。与现有技术相比，本实施例能够通过将扫描虚拟机放置在云环境中，使扫描虚拟机能够对云环境中的各功能组件之间的网络交互进行扫描，并根据接收到的扫描结果数据与预设漏洞触发条件进行比对，以确定各功能组件在网络交互过程中的安全性。由此可以得出，本实施例的漏洞检测装置可以满足云环境下对其中不同的功能组件之间的网络交互过程进行漏洞扫描的需求。

本发明的实施例公开了：

A1、一种漏洞检测方法，其特征在于，所述方法包括：

扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描，所述扫描虚拟机位于所述云环境中；

接收各功能组件返回的扫描结果数据；

将所述扫描结果数据与预设漏洞触发条件进行比对，以确定所述网络交互的安全性。

A2、根据A1所述的方法，其特征在于，所述扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描，包括：

确定所述各功能组件的类型；

向所述各功能组件发送对应类型的测试数据包，所述测试数据包与功能组件的类型一一对应，所述测试数据包中包含对应类型的功能组件的预设漏洞测试包。

A3、根据A2所述的方法，其特征在于，所述确定所述各功能组件的类型，包括：

获取所述各功能组件的类型标识；

根据所述类型标识确定所述各功能组件的类型。

A4、根据A3所述的方法，其特征在于，所述获取所述各功能组件的类型标识，包括：

从所述各功能组件之间的网络交互数据包中提取对应各功能组件的类型标识；或者，

从设置信息中直接获取所述功能组件的类型标识，所述设置信息为所述各功能组件对应的管理平台发给所述扫描虚拟机的信息。

A5、根据A1所述的方法，其特征在于，在所述扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描之前，所述方法进一步包括：

确定所述扫描虚拟机的扫描范围；

所述扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描，包括：

扫描虚拟机对所述扫描范围内的各功能组件之间的网络交互进行扫描。

A6、根据A5所述的方法，其特征在于，所述确定所述扫描虚拟机的扫描范围，包括：

根据预设算法确定所述扫描虚拟机对应的主机的网间协议IP端口；

根据所述主机的IP端口确定所述扫描范围。

B7、一种漏洞检测装置，其特征在于，所述装置包括：

扫描单元，用于扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描，所述扫描虚拟机位于所述云环境中；

接收单元，用于接收各功能组件返回的扫描结果数据；

比对单元，用于将所述扫描结果数据与预设漏洞触发条件进行比对，以确定所述网络交互的安全性。

B8、根据B7所述的装置，其特征在于，所述扫描单元，包括：

类型确定模块，用于确定所述各功能组件的类型；

发送模块，用于向所述各功能组件发送对应类型的测试数据包，所述测试数据包与功能组件的类型一一对应，所述测试数据包中包含对应类型的功能组件的预设漏洞测试包。

B9、根据B8所述的装置，其特征在于，所述类型确定模块用于：

获取所述各功能组件的类型标识；

根据所述类型标识确定所述各功能组件的类型。

B10、根据B9所述的装置，其特征在于，所述类型确定模块用于：

从所述各功能组件之间的网络交互数据包中提取对应各功能组件的类型标识；

从设置信息中直接获取所述功能组件的类型标识，所述设置信息为所述各功能组件对应的管理平台发给所述扫描虚拟机的信息。

B11、根据B7所述的装置，其特征在于，所述装置进一步包括：

确定单元，用于在所述扫描虚拟机对云环境中的各功能组件之间的网络交互进行扫描之前，确定所述扫描虚拟机的扫描范围；

所述扫描单元用于：

扫描虚拟机对所述扫描范围内的各功能组件之间的网络交互进行扫描。

B12、根据B11所述的装置，其特征在于，所述确定单元，包括：

端口确定模块，用于根据预设算法确定所述扫描虚拟机对应的主机的网间协议IP端口；

范围确定模块，用于根据所述主机的IP端口确定所述扫描范围。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如漏洞检测装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。