安全检测方法、服务接口模块、安全检测装置和网络系统与流程

本发明涉及网络技术领域，具体地，涉及一种远程安全检测方法、执行该远程安全检测方法的服务接口模块及安全检测装置和一种包括所述安全检测装置的网络系统。

背景技术：

随着网络应用的普及，各种类型的网站层出不穷。如何对网站进行安全管理以及监督成为实际工作中的一个重点。

但是，如何及时准确地对网站中的安全漏洞、安全事件进行检测、发现和确认成为本领域亟待解决的技术问题。

技术实现要素：

本发明的目的在于提供一种远程安全检测方法、执行该远程安全检测方法的服务接口模块和一种包括该服务接口模块的网络系统。利用所述安全检测方法可以对网站中的网站硬件进行全面准确地检测。

为了实现上述目的，作为本发明的一个方面，提供一种远程安全检测方法，其中，所述远程安全检测方法包括：

接收至少一个扫描器发送的扫描信息；

将接收到的扫描信息发送至网站硬件主体；

接收网站硬件主体发送的第一初始漏洞信息；

根据所述网站硬件主体发送的与扫描信息对应的返回值确定第二初始漏洞信息；

对所述第一初始漏洞信息和所述第二初始漏洞信息进行分析，并将实质相同的第一初始漏洞信息和第二初始漏洞信息进行合并，以获得最终漏洞信息。

优选地，对所述第一初始漏洞信息和所述第二初始漏洞信息进行分析的步骤包括：

采用分词方式以机器自学习机制对所述第一初始漏洞信息和第二初始漏洞信息进行对比；

将关键词相同的第一初始漏洞信息和第二初始漏洞信息判定为实质相同的漏洞信息进行合并；

将合并后的第一初始漏洞信息和第二初始漏洞信息、以及其余实质互不相同的第一初始漏洞信息和第二初始漏洞信息作为所述最终漏洞信息。

作为本发明的第二个方面，提供一种服务接口模块，其中，所述服务接口模块包括：

扫描器访问接口，所述扫描器访问接口用于与至少一个扫描器进行通信，并接收所有与所述扫描器访问接口通信的所述扫描器发送的扫描信息；

系统接口，所述系统接口用于分别与所述扫描器访问接口和网站硬件主体进行通信，以将所述扫描信息发送至所述网站硬件主体，所述系统接口还用于接收所述网站硬件主体发送的第一初始漏洞信息、以及所述网站硬件主体发送的与扫描信息对应的返回值，并且所述系统接口还用于将所述返回值发送至所述扫描器访问接口，所述扫描器访问接口用于将所述网站硬件主体发送的与扫描信息对应的返回值发送至所述扫描器。

作为本发明的第三个方面，提供一种安全检测装置，其中，所述安全检测模块包括服务接口模块和漏洞信息整合模块，

所述服务接口模块为本发明所提供的上述服务接口模块；

所述漏洞信息整合模块分别与所述服务接口模块的扫描器访问接口和所述系统接口通信，以接收所述第一初始漏洞信息和第二初始漏洞信息，所述漏洞信息整合模块还用于将实质相同的第一初始漏洞信息和第二初始漏洞信息进行合并，以获得最终漏洞信息。

优选地，所述漏洞信息整合模块包括对比子模块、合并子模块和最终漏洞信息确定子模块，

所述对比子模块用于采用分词方式以机器自学习机制对所述第一初始漏洞信息和第二初始漏洞信息进行对比；

所述合并子模块用于将关键词相同的第一初始漏洞信息和第二初始漏洞信息判定为实质相同的漏洞信息进行合并；

所述最终漏洞信息确定子模块用于将合并后的第一初始漏洞信息和第二初始漏洞信息、以及其余实质互不相同的第一初始漏洞信息和第二初始漏洞信息作为所述最终漏洞信息。

作为本发明的第四个方面，提供一种网络系统，所述网络系统包括网站硬件主体，其中，所述网络系统还包括本发明所提供的上述安全检测装置，所述服务接口模块的系统接口与所述网站硬件主体通信连接。

优选地，所述网站硬件主体还包括至少一个网站服务器、至少一个应用服务器、至少一个数据服务器和至少一个交换机，所述服务接口模块的系统接口与所述交换机通信连接，所述交换机与所述网站服务器、所述应用服务器、所述数据服务器均通信连接，所述网站服务器与所述服务接口模块的系统接口通信连接，所述应用服务器与所述网站服务器通信连接，所述网站服务器能够将通过所述服务接口模块接收到的扫描信息转发至所述应用服务器，所述应用服务器与所述数据服务器通信连接。

优选地，所述网站硬件主体包括两个所述数据服务器，其中一个所述数据服务器为另一个所述数据服务器进行备份。

优选地，所述网站硬件主体包括两个所述网站服务器，两个所述网站服务器满足以下关系中的任意一者：

两个所述网站服务器形成为集群；

一个所述网站服务器为另一个所述网站服务器进行备份。

优选地，所述网站硬件主体包括两个所述应用服务器，两个所述应用服务器满足以下关系中的任意一者：

两个所述应用服务器形成为集群；

一个所述应用服务器为另一个所述应用服务器进行备份。

优选地，所述服务接口模块的扫描器访问接口与所述扫描器通信连接，所述扫描器与所述服务接口模块的扫描器访问接口通信，以向所述扫描器访问接口发送扫描信息，并通过所述扫描器访问接口接收所述网站硬件主体发送的与扫描信息对应的返回值，所述扫描器还用于根据所述返回值生成第二初始漏洞信息，并将该第二初始漏洞信息发送至所述扫描器访问接口。

在本发明中所提供的安全检测方法中，网站硬件主体接收了至少一个扫描器发送的扫描信息。需要指出的是，针对一些系统漏洞，网站硬件主体中自带的扫描软件可能并不认为其为漏洞。但是，扫描器可能将其判定为漏洞。由此可知，通过扫描器提供的远程扫描以及网站硬件主体进行的本地扫描，获得的最终漏洞信息，从而可以更加全面地判断网站硬件主体是否存在漏洞，并提高网站硬件主体运行时的安全性。由于在本发明所提供的远程安全检测方法中，可以对第一初始漏洞信息和第二初始漏洞进行整合，因此，可以对所述网站硬件主体安全状况进行更加准确的判断。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。在附图中：

图1是本发明所提供的远程安全检测方法的流程图；

图2是本发明所提供的安全检测装置的模块示意图；

图3是本发明所提供的网络系统的示意图；

图4是本发明所提供的网络系统的功能框架图。

附图标记说明

210：扫描器访问接口220：系统接口

230：漏洞信息整合模块231：对比子模块

232：合并子模块233：最终漏洞信息确定子模块

310：网站硬件主体320：扫描器

311：网站服务器330：扫描器

312：应用服务器313：数据服务器

314：交换机

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

作为本发明的一个方面，提供一种远程安全检测方法，其中，如图1所示，所述远程安全检测方法包括：

在步骤s110中，接收至少一个扫描器发送的扫描信息；

在步骤s120中，将接收到的扫描信息发送至网站硬件主体；

在步骤s130中，接收网站硬件主体发送的第一初始漏洞信息以及与所述扫描信息对应的返回值；

在步骤s140中，将所述返回值发送至所述扫描器；

在步骤s150中，接收所述扫描器根据所述返回值确定的第二初始漏洞信息；

在步骤s160中，对所述第一初始漏洞信息和所述第二初始漏洞信息进行分析，并将实质相同的第一初始漏洞信息和第二初始漏洞信息进行合并，以获得最终漏洞信息。

需要解释的是，此处所述的“扫描信息”为模拟数据包，网站硬件主体接收到所述扫描信息后，所述扫描信息能够对网站硬件进行安全漏洞检查，并生成相应的返回值，通过利用扫描器对所述返回值进行分析可以得知网站硬件主体中是否存在安全漏洞。此处，第一初始漏洞信息是由网站硬件主体自身安装的扫描软件扫描得出的漏洞信息。

在本发明中所提供的安全检测方法中，网站硬件主体接收了至少一个扫描器发送的扫描信息。需要指出的是，针对一些系统漏洞，网站硬件主体中自带的扫描软件可能并不认为其为漏洞。但是，扫描器可能将其判定为漏洞。由此可知，通过扫描器提供的远程扫描以及网站硬件主体进行的本地扫描，获得的最终漏洞信息，从而可以更加全面地判断网站硬件主体是否存在漏洞，并提高网站硬件主体运行时的安全性。

进一步地，由于在本发明所提供的远程安全检测方法中，可以对第一初始漏洞信息和第二初始漏洞进行整合，因此，可以对所述网站硬件主体安全状况进行更加准确的判断。

具体地，针对同一安全漏洞，不同的扫描器的命名可能不相同。例如，当网站硬件主体的网站服务器发生漏洞时，有的扫描器的扫描结果中可能会称之为“网站漏洞”，而有的扫描器的扫描结果中可能称之为“服务器漏洞”，但二者的实质都是相同的。因此，可以将这种实质相同的初始漏洞信息合并为“网站服务器漏洞”这一最终漏洞信息。

在本发明中，对如何对第一初始漏洞信息和第二初始漏洞信息进行整合并没有特殊的要求，例如，作为一种优选实施方式，步骤s160可以包括：

在步骤s161中，采用分词方式以机器自学习机制对所述第一初始漏洞信息和所述第二初始漏洞信息进行对比；

在步骤s162中，将关键词相同的第一初始漏洞信息和第二初始漏洞信息判定为实质相同的漏洞信息进行合并；

在步骤s163中，将合并后的第一初始漏洞信息和第二初始漏洞信息、以及其余实质互不相同的第一初始漏洞信息和第二初始漏洞信息作为所述最终漏洞信息。

以struts漏洞为例：网站硬件主体扫描判断struts主要通过网站硬件主体的系统版本确定；扫描器扫描主要通过请求参数(即，扫描信息)的返回值进行判断。因此两者经常出现同一种漏洞两种表达形式出现的现象。在本发明所提供的远程安全检测方法中，采用分词方式以机器自学习机制对以上漏洞进行自动合并。大大降低漏洞数量，有效提高验证效率。

在本发明中，对扫描器的数量并不做特殊的规定。例如，可以利用一个扫描器向网站硬件主体发送扫描信息，也可以利用多个扫描器向所述网站硬件主体发送扫描信息。可以根据具体情况选择扫描器的个数。例如，如希望对网站硬件主体的检测更加全面，则可设置多个扫描器，如希望快速检测网站硬件主体，则可设置一个扫描器。

作为本发明的第二个方面，提供一种服务接口模块，其中，所述服务器模块用于执行本发明所提供的上述远程安全检测方法的一部分，如图2所示，所述服务接口模块包括扫描器访问接口210和系统接口220。

扫描器访问接口210用于执行步骤s110、步骤s120，具体地，扫描器访问接口用于与至少一个扫描器进行通信，并接收所有与扫描器访问接口210通信的扫描器发送的扫描信息。并且，扫描器访问接口210还用于将所有与该扫描器反问接口发送的扫描信息发送至网站硬件主体。

系统接口220用于执行步骤s130和步骤s140。具体地，系统接口220分别与扫描器访问接口210和网站硬件主体310进行通信，以将所述扫描信息发送至所述网站硬件主体。系统接口220还用于接收第一初始漏洞信息、以及网站硬件主体310发送的与扫描信息对应的返回值，并且系统接口220还用于将所述返回值发送至扫描器访问接口210。相应地，扫描器访问接口210用于将所述返回值发送至扫描器320，并执行步骤s150，即，接收扫描器根据所述返回值确定的第二初始漏洞信息。

作为本发明的第三个方面，提供一种安全检测装置，如图2所示，该安全检测模块包括本发明所提供的上述服务接口模块、漏洞信息整合模块230。

如图所示，扫描器320与所述服务接口模块的扫描器访问接口210通信，以向该扫描器访问接口210发送扫描信息，并通过扫描器访问接口210接收所述网站硬件主体发送的与扫描信息对应的返回值。扫描器320还用于根据所述返回值生成第二初始漏洞信息，并将该第二初始漏洞信息发送至扫描器访问接口210。

漏洞信息整合模块230用于执行步骤s160，即，漏洞信息整合模块230分别与所述服务接口模块的扫描器访问接口210和系统接口通信220，以接收所述第一初始漏洞信息和所述第二初始漏洞信息，漏洞信息整合模块230还用于将实质相同的第一初始漏洞信息和第二初始漏洞信息进行合并，以获得最终漏洞信息。

作为一种优选实施方式，漏洞信息整合模块230包括对比子模块231、合并子模块232和最终漏洞信息确定子模块233。

对比子模块231用于执行步骤s161，即，用于采用分词方式以机器自学习机制对所述第一初始漏洞信息和第二初始漏洞信息进行对比。

合并子模块232用于执行步骤s162，即，用于将关键词相同的第一初始漏洞信息和第二初始漏洞信息判定为实质相同的漏洞信息进行合并。

最终漏洞信息确定子模块233用于执行步骤s163，即，用于将合并后的第一初始漏洞信息和第二初始漏洞信息、以及其余实质互不相同的第一初始漏洞信息和第二初始漏洞信息作为所述最终漏洞信息。

上文中已经对所述远程安全检测方法的优点以及有益效果进行了详细的描述，所述安全检测装置的功能以及有益效果与之相同，这里不再一一赘述。

作为本发明的第四个方面，提供一种网络系统，如图3所示，所述网络系统包括网站硬件主体310，其中，所述网络系统还包括本发明所提供的上述安全检测装置，所述服务接口模块的系统接口220与网站硬件主体310通信连接。

如上文中所述，所述安全检测装置用于执行本发明所提供的上述远程安全检测方法，在所述远程安全检测方法的检测下，可以确保网络系统安全稳定的运行。

在本发明中，所述网络系统可以自带所述扫描器，也可以利用所述安全检测装置与其他服务上提供的扫描器进行通信连接。具体地，所述服务接口模块的扫描器访问接口与所述扫描器通信连接，所述扫描器与所述服务接口模块的扫描器访问接口210通信，以向所述扫描器访问接口210发送扫描信息，并通过该扫描器访问接口210接收网站硬件主体310发送的与扫描信息对应的返回值，扫描器320还用于根据所述返回值生成第二初始漏洞信息，并将该第二初始漏洞信息发送至所述扫描器访问接口。

在本发明中，所述扫描器可以是其他服务商提供的扫描器。优选地，所述网络系统还包括多个扫描器320，多个扫描器320与服务接口模块的扫描器访问接口通信连接。

不同的扫描器320可以提供不同的扫描信息。

在本发明中，对网站硬件主体310的具体结构并不做特殊的限定，例如，网站硬件主体310还包括至少一个网站服务器311、至少一个应用服务器312、至少一个数据服务器313和至少一个交换机314。该服务接口模块320的系统接口与交换机314通信连接。该交换机314与所述网站服务器、所述应用服务器、所述数据服务器均通信连接。容易理解的是，交换机314用于将服务接口模块320发送的扫描信息转发至网站服务器、应用服务器和数据服务器。并且将相应的初始漏洞信息发送至服务接口模块320。

网站服务器用于接收用户发出的访问请求，并对访问请求进行相关的处理。

为了确保网络系统的稳定性，网站硬件主体310包括两个数据服务器313，其中一个所述数据服务器为另一个所述数据服务器进行备份。容易理解的是，两个数据服务器之间定期进行数据同步，保障数据库服务的一致性。并且，两个数据库服务器采取定时备份的方式进行备份，保障数据安全。

同样地，网站硬件主体310包括网站服务器311，两个网站服务器311满足以下关系中的任意一者：

两个网站服务器311形成为集群；

一个网站服务器311为另一个网站服务器311进行备份。

优选地，所述网站硬件主体包括两个所述应用服务器312，两个应用服务器312满足以下关系中的任意一者：

两个应用服务器312形成为集群；

一个应用服务器312为另一个应用服务器312进行备份。

在本发明中，网站服务器311主要为网络系统提供访问控制，应用服务器312主要为网络系统提供系统应用。访问控制包括对接收到的访问请求进行访问过滤、对通过过滤的访问请求进行资源分配、请求转发、安全控制等。

其中，资源分配又叫资源服务。资源服务的目的是最大限度地降低网站服务器的压力，直接向外部提供各种静态资源，包括：页面资源、图片资源、样式资源和脚本资源等。

访问过滤包括过滤非法请求、以及对合法请求进行内容转发。请求转发包括url转发和内容转发。安全控制包括访问转换、攻击检查、资源隐藏等。具体地，在访问请求到达后，第一时间对访问请求进行过滤，保证只有合法的请求被处理，同时将请求中的数据进行转换，达到系统要求。请求转发负责将合法请求转发给应用服务器，在应用服务器处理完成后转发处理结果。安全控制负责web安全访问，从访问转换、攻击检查和资源隐藏三方面进行。

系统应用为网络系统的核心业务，是网络系统的主要组成部分。

系统应用包括各种业务功能、系统管理、基础功能、数据对象等。其中，业务功能包括服务对象管理、漏洞管理、扫描任务管理、扫描报告管理、漏洞库管理、综合展示。系统管理包括机构管理、用户管理、角色管理、数据字典管理、权限管理、资源管理、接口管理、短息平台。基础功能包括数据访问、定时任务管理、消息处理、系统安全、接口服务管理。数据对象包括系统管理系统相关信息、定时任务管理、消息处理、系统安全、接口服务管理。数据对象包括系统管理相关信息、漏洞库、日志信息、服务对象、扫描任务、漏洞信息。

数据库服务器主要提供数据库应用，包括数据存储、数据访问、数据转换和数据备份。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。