本发明涉及网络安全技术领域,尤其涉及内网资产漏洞检测方法、系统、计算机设备和存储介质。
背景技术:
提起网络安全,人们自然就会想到病毒破坏和黑客攻击,其实不然。常规安全防御理念往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部的计算机客户端的安全威胁却是众多安全管理人员所普遍反映的问题。
对于网络管理者而言,现有的网络安全防护手段大多强调对来自外部的主动攻击进行预防,检测以及处理,而授予内部主机更多的信任。但是,统计数据表明,相当多的安全事件是由内网用户有意或无意的操作造成的。为保护内网的安全,一些单位将内网与外网物理隔离,或者将内部通过统一的网关接入外网,并在网关处架设防火墙,IPS,IDS等安全监控设备。尽管如上述所示的各类安全措施都得到了实现,众多管理者们却仍然头疼于泄密事件或其它各类内网安全事件的频繁发生,这就充分说明了内网安全维护的复杂性。
内网即局域网,是在一个局部的地理范围内,如一个学校、工厂和机关内,将各种计算机,外部设备和数据库等互相联接起来组成的计算机通信网。内网管理系统,主要功能有资产管理、性能监控、行为监控、拓扑功能、资产查询、软件分发以及审计等。其中,资产管理作为系统的核心功能,能够提供用户最直接的网络管理交互界面,是内网管理的基础。对于企事业单位来说,内网终端数量不断增加,网络环境更加复杂,面对病毒、木马、蠕虫、黑客等潜在威胁,内部信息资产的管理问题,系统漏洞问题,网络随意接入问题等诸多面临的风险。
目前的内网资产漏洞检测方法,以及市面上的内网资产漏洞检测系统对内网资产的筛选不够合理,在出现新漏洞时,资产管理不清晰导致无法快速对企业资产进行快速排查。扫描单元大多调用了第三方扫描器,由于不一定完全兼容自身系统,存在不稳定因素,容易造成对扫描情况不可控。
由于实际环境复杂,大多数漏洞检测脚本会对服务器批量验证,但重要系统负荷本身高,且数据库系统尝试5次易锁死等情况,无法通用地控制POC(Proof of concept概念验证,即漏洞利用)的尝试次数,造成系统资源饱满和应用错误锁死的情况。
技术实现要素:
本发明的目的在于提出一种内网资产漏洞检测系统,以解决上述背景技术中的不足之处,内网资产管理不清晰,导致遇到突发安全漏洞时无法快速排查。第三方扫描器不完全兼容自身平台存在不稳定因素,容易造成对扫描情况不可控。大多数漏洞检测脚本会对服务器批量验证据库系统尝试5次易锁死。
为了实现上述目的,本发明提供如下技术方案:
1、一种内网资产漏洞检测方法,所述内网资产漏洞检测方法,具体步骤如下:
S1:对内网资产进行扫描识别,获取资产的IP,端口和指纹信息,将所述IP,端口和指纹信息录入资产库;
S2:根据所述IP,端口和指纹信息确定资产类型,并打上指纹特征标签;
S3:根据漏洞生成扫描脚本,并将所述扫描脚本录入脚本管理库;
S4:根据漏洞影响的指纹特征标签,从所述资产库中筛选受影响的资产,并用所述脚本管理库中对应的扫描脚本进行扫描,获得漏洞检测结果。
优选的,所述步骤S1包括:
按顺序录入所述IP,端口和指纹信息,当有新的资产录入时,根据IP、端口和指纹信息判断该资产是否重复录入,若是重复录入则不进行录入处理。
优选的,所述资产的指纹信息包括:资产的源代码,资产的静态文件,Web访问路径的访问信息,著作标识,建站程序的匹配信息或厂商白皮书。
优选的,所述步骤S3之后还包括:
S301:根据所述漏洞命名扫描脚本,所述扫描脚本包括漏洞检测脚本和弱密码爆破脚本;
S302:将所述漏洞检测脚本和弱密码爆破脚本分开管理;
S303:将所述扫描脚本按照对应的设备进行指纹分类。
优选的,所述步骤S4之后还包括:
当扫描任务失败或异常情况退出时,将步骤S4所得出现错误的组合信息记录至错误日志,导出所述错误日志后,对该漏洞进行再次或多次验证。
优选的,所述漏洞包括如下漏洞信息:漏洞名称、漏洞时间、漏洞类型、漏洞危害等级、漏洞影响范围、漏洞简要说明和漏洞详情网址。
基于相同的技术构思,本发明还提供一种内网资产漏洞检测装置,所述内网资产漏洞检测装置包括获取单元、确定单元、生成单元和检测单元;
所述获取单元,用于对内网资产进行扫描识别,获取资产的IP,端口和指纹信息,将所述IP,端口和指纹信息录入资产库;
所述确定单元,用于根据所述IP,端口和指纹信息确定资产类型,并打上指纹特征标签;
所述生成单元,用于根据漏洞生成扫描脚本,并将所述扫描脚本录入脚本管理库;
所述检测单元,用于根据漏洞影响的指纹特征标签,从所述资产库中筛选受影响的资产,并用所述脚本管理库中对应的扫描脚本进行扫描,获得漏洞检测结果。
优选的,所述漏洞包括如下漏洞信息:漏洞名称、漏洞时间、漏洞类型、漏洞危害等级、漏洞影响范围、漏洞简要说明和漏洞详情网址。
基于相同的技术构思,本发明还提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行上述内网资产漏洞检测方法的步骤。
基于相同的技术构思,本发明还提供一种存储有计算机可读指令的存储介质,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述内网资产漏洞检测方法的步骤。
上述内网资产漏洞检测方法、装置、计算机设备和存储介质,对内网资产进行扫描识别,获取资产的IP,端口和指纹信息,按顺序录入所述IP,端口和指纹信息,当有新的资产录入时,根据IP、端口和指纹信息判断该资产是否重复录入,若是重复录入则不进行录入处理;根据所述IP,端口和指纹信息确定资产类型,并打上指纹特征标签;根据所述漏洞命名扫描脚本,所述扫描脚本包括漏洞检测脚本和弱密码爆破脚本,将所述漏洞检测脚本和弱密码爆破脚本分开管理,将所述扫描脚本按照对应的设备进行指纹分类,并将所述扫描脚本录入脚本管理库。根据漏洞影响的指纹特征标签,从所述资产库中筛选受影响的资产,并用所述脚本管理库中对应的扫描脚本进行扫描,获得漏洞检测结果,当扫描任务失败或异常情况退出时,将步骤S4所得出现错误的组合信息记录至错误日志,导出所述错误日志后,对该漏洞进行再次或多次检测。与现有技术相比,本发明的有益技术效果是:实现对漏洞的快速应急,同时增加平台的可控性,减少对生产系统的系统资源饱满和应用错误锁死等情况。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。
图1为本发明一个实施例中内网资产漏洞检测方法的流程图;
图2A为本发明一个实施例中资产指纹信息的示意图;
图2B为本发明一个实施例中资产指纹信息的示意图;
图3为本发明一个实施例中内网资产漏洞检测装置的结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明请求保护一种内网资产漏洞检测方法,如图1所示,所述内网资产漏洞检测方法,具体步骤如下:
S1:对内网资产进行扫描识别,获取资产的IP,端口和指纹信息,将所述IP,端口和指纹信息录入资产库;
内网就是局域网,内网资产就是内网的网络连接的东西,例如打印机,碎纸机,扫描仪,个人电脑,服务器等。使用扫描器扫描内网资产,识别并获取资产所暴露的IP,端口和指纹信息。暴露面是指资产暴露在网络上的信息,例如IP,端口,路径等。
每个资产都有自己在网路上独一无二的源代码或者著作标识。资产的指纹信息可以为源代码,静态文件,Web访问路径的访问信息,著作标识,建站程序的匹配信息或厂商白皮书。通过对这些特征的判断可以确定资产的指纹信息。
S2:根据所述IP,端口和指纹信息确定资产类型,并打上指纹特征标签;
一个内网资产有自己的暴露面信息,可根据这些信息总结出使用了什么应用程序,并打上这些应用程序的标签。根据资产所暴露的信息(ip、端口、指纹信息)来最终确定资产的指纹特征,通过资产的源代码,资产的静态文件,Web访问路径的访问信息,著作标识,建站程序的匹配信息或厂商白皮书。通常地,tomcat、nginx多用于web服务器,所有操作都有系统自动判断,自动打标签,检测人员还可以再次检验计算机支持的预判断,毕竟扫描公司内网、生产等服务器有一定的风险。指纹信息只是作为一个参考(此系统还包括ip和端口作为参考),有可能资产的指纹特征已被篡改(属于安全的做法之一),影响了最终的标签判断。
举例说明,一个内网资产的IP为192.168.1.100,端口为80、8080,指纹信息为tomcat、nginx,该资产类型为一台内网的web服务器,并打上tomcat、nginx为这个资产的特征标签。
S3:根据漏洞生成扫描脚本,并将所述扫描脚本录入脚本管理库;
安全漏洞会不定时发生,此时需要第一时间根据漏洞的详情编写漏洞扫描脚本,存于系统中。
举例说明,tomcat应用出现安全漏洞,根据漏洞详情,按照一定的规则编写漏洞扫描脚本,并存于脚本管理库,等待该系统后续的扫描任务的调用。
S4:根据漏洞影响的指纹特征标签,从所述资产库中筛选受影响的资产,并用所述脚本管理库中对应的扫描脚本进行扫描,获得漏洞检测结果。
根据资产所暴露的信息(ip、端口、指纹信息)来最终确定资产的指纹标签。例如漏洞影响含有A、B指纹的资产,只需要从资产库中筛选同时含有这些指纹的资产进行漏洞扫描检测即可。
内网的资产多而复杂,当遇到突发安全漏洞时,需要根据指纹特征,精准提取内网资产,集中扫描检测,减少因扫描而对内网环境产生的破坏,最小程度排除安全漏洞隐患。举例说明,突发出现了一个tomcat的漏洞,查看漏洞详情,其描述到需要操作系统为linux的机器,此时只需筛选标签同时含有“tomcat”和“linux”的资产,便可进行扫描检测。根据漏洞详情编写好漏洞扫描脚本后,需要精准提取含有tomcat这一指纹的资产,不对未包含该指纹的资产进行扫描,减少因扫描检测而对内网环境产生的破坏,最终得到漏洞检测结果。
具体地,所述步骤S1包括:按顺序录入所述IP,端口和指纹信息,当有新的资产录入时,根据IP、端口和指纹信息判断该资产是否重复录入,若是重复录入则不进行录入处理。
具体的,所述资产的指纹信息包括:资产的源代码,资产的静态文件,Web访问路径的访问信息,著作标识,建站程序的匹配信息或厂商白皮书。
如图2A和图2B所示,资产的指纹信息包括资产的源代码,特定访问端口,资产的特定js、css、ico等静态文件,资产的特定web访问路径的访问情况,获取资产的著作标识,建站程序的匹配信息,资产的厂商白皮书等。
具体地,所述步骤S3之后还包括:
S301:根据所述漏洞命名扫描脚本,所述扫描脚本包括漏洞检测脚本和弱密码爆破脚本;
同一个资产指纹可能对应多种不同的扫描脚本,为维护管理漏洞库,需要在代码的注释中编写如下信息,例如漏洞名称、漏洞时间、漏洞类型、漏洞危害等级、漏洞影响范围、漏洞简要说明和漏洞详情网址。需要以命名的方式区分扫描脚本,例如100001-oracle-rce-01。
S302:将所述漏洞检测脚本和弱密码爆破脚本分开管理;
将漏洞验证脚本和弱密码爆破脚本分开管理,通过分开管控漏洞检测脚本尝试和弱密码爆破脚本的使用次数,防止因各系统敏感指数设置不同造成系统被锁死、异常甚至宕机的几率。
S303:将所述扫描脚本按照对应的设备进行指纹分类。
将扫描脚本按照对应的设备指纹分类,例如:10个扫描脚本对应oracle指纹、12个扫描脚本对应tomcat指纹、15个扫描脚本对应jboss指纹。
具体地,所述步骤S4之后还包括:当扫描任务失败或异常情况退出时,将步骤S4所得出现错误的组合信息记录至错误日志,导出所述错误日志后,对该漏洞进行再次或多次检测。
扫描可能因为各种原因存在异常的任务,为了保证所有资产能顺利完成漏洞扫描检测,又不破坏内网环境,系统将导出异常日志,人工查看日志详情,对这些资产进行系统或人工的二次验证。
举例说明,当某台tomcat服务器处于工作繁忙的状态,不对外做出任何响应时,可人工保存快照并对其进行重启,再选择让系统对其进行二次验证。
具体地,所述漏洞包括如下漏洞信息:漏洞名称、漏洞时间、漏洞类型、漏洞危害等级、漏洞影响范围、漏洞简要说明和漏洞详情网址。
扫描脚本的数量是一个累加的过程,扫描脚本会随着数量的增多而越难管理,所以需要一定的规则对其进行标注,此系统将使用漏洞名称、漏洞时间、漏洞类型、漏洞危害等级、漏洞影响范围、漏洞简要说明和漏洞详情网址来标注扫描脚本。
举例说明,关于tomcat的扫描脚本,代码中注释如下,漏洞名称:tomcat溢出;漏洞时间:2010-02-03;漏洞类型:溢出;漏洞危害等级:严重;漏洞影响范围:V6.x;漏洞简要说明:该漏洞由某处造成溢出,可导致执行任意系统命令;漏洞详情网址如www.foo.com/1234.html。
基于相同的技术构思,本发明实施例还提供一种内网资产漏洞检测装置,如图3所示,所述内网资产漏洞检测装置包括获取单元、确定单元、生成单元和检测单元;
具体地,所述获取单元,用于对内网资产进行扫描识别,获取资产的IP,端口和指纹信息,将所述IP,端口和指纹信息录入资产库;
具体地,所述确定单元,用于根据所述IP,端口和指纹信息确定资产类型,并打上指纹特征标签;
具体地,所述生成单元,用于根据漏洞生成扫描脚本,并将所述扫描脚本录入脚本管理库;
具体地,所述检测单元,用于根据漏洞影响的指纹特征标签,从所述资产库中筛选受影响的资产,并用所述脚本管理库中对应的扫描脚本进行扫描,获得漏洞检测结果。
具体地,所述漏洞包括如下漏洞信息:漏洞名称、漏洞时间、漏洞类型、漏洞危害等级、漏洞影响范围、漏洞简要说明和漏洞详情网址。
基于相同的技术构思,本发明还提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行上述实施例中内网资产漏洞检测方法的步骤。
基于相同的技术构思,本发明还提供一种存储有计算机可读指令的存储介质,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述实施例中内网资产漏洞检测方法的步骤。
在本发明公开提供的实施例中,应该理解到,所披露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明公开的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本公开各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明公开的较佳实施例而已,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。