一种漏洞修复的方法及装置与流程

本申请涉及计算机通信技术领域，尤其是涉及一种漏洞修复的方法及装置。

背景技术：

随着计算机、通信、自动控制等技术的发展，智能控制芯片和智能传感器的出现，有可能由于设备的智能化而引入漏洞，需要及时修复，以避免黑客入侵及对工业控制系统攻击事件的发生。但是由于评估漏洞的修复可能对工业控制系统的实时性构成影响，需要对工业控制系统的漏洞修复方式进行仿真平台的评估验证，判断修复后的设备仿真平台的偏差值的阈值范围，并根据判断结果，选择不同的漏洞修复方式。

而且工业控制系统不仅要保障其不间断运行及避免由于安全漏洞升级导致的性能受损，还要满足工业控制系统的时间要求。因此，需要基于目标对象进行系统仿真平台的搭建，实现模拟仿真系统。并根据模拟仿真系统在漏洞修复后的测试验证结果，合理的选择漏洞修复的方式。本方法很好的解决了这个问题。

技术实现要素：

有鉴于此，本申请的目的在于提供一种漏洞修复的方法及装置，以提高对漏洞修复的精准度。

第一方面，本申请实施例提供了一种漏洞修复的方法，其中，包括：

获取目标漏洞信息以及所述目标漏洞信息对应的目标设备；

在预先构建的包括所述目标设备对应的目标仿真设备的设备仿真平台上，从预设的第一漏洞修复补丁与漏洞信息的映射关系中，获取所述目标漏洞信息映射的第一目标漏洞修复补丁；

利用所述第一目标漏洞修复补丁对所述目标仿真设备进行漏洞修复；

计算进行漏洞修复后的设备仿真平台的偏差值；

若所述偏差值不大于预设偏差阈值，利用所述第一目标漏洞修复补丁对所述目标设备进行漏洞修复；

若所述偏差值大于预设偏差阈值，则从预设的第二漏洞修复补丁与漏洞信息的映射关系中，获取所述目标漏洞信息映射的第二目标漏洞修复补丁；

利用所述第二目标漏洞修复补丁对所述目标设备进行间接漏洞修复。

本申请的一实施例中，所述利用所述第一目标漏洞修复补丁对所述目标设备进行漏洞修复，包括：

通过所述第一目标漏洞修复补丁更改所述目标设备中的所述目标漏洞信息。

本申请的一实施例中，所述计算进行漏洞修复后的设备仿真平台的偏差值，包括：

针对修复后的设备仿真平台中的每一个设备，获取该设备在所述设备仿真平台中的置信度以及时延值；

分别计算每一个设备的所述置信度与所述时延值的乘积后，将所有设备的乘积结果相加得到所述偏差值。

本申请的一实施例中，所述利用所述第二目标漏洞修复补丁对所述目标设备进行间接漏洞修复，包括：

构建所述设备仿真平台对应的网络信息安全平台，所述网络信息安全平台至少包括一个网络安全设备；

利用所述第二目标漏洞修复补丁对所述网络信息安全平台中指定设备进行修复；

通过修复后的所述网络信息安全平台，对所述目标设备进行外围打补丁的间接漏洞修复。

本申请的一实施例中，根据预设的映射关系库实时更新所述第二漏洞修复补丁与漏洞信息的映射关系。

第二方面，本申请实施例提供了一种漏洞修复的装置，包括：

第一获取模块，用于获取目标漏洞信息以及所述目标漏洞信息对应的目标设备；

第二获取模块，用于在预先构建的包括所述目标设备对应的目标仿真设备的设备仿真平台上，从预设的第一漏洞修复补丁与漏洞信息的映射关系中，获取所述目标漏洞信息映射的第一目标漏洞修复补丁；

第一漏洞修复模块，用于利用所述第一目标漏洞修复补丁对所述目标仿真设备进行漏洞修复；

计算模块，用于计算进行漏洞修复后的设备仿真平台的偏差值；

第二漏洞修复模块，用于若所述偏差值不大于预设偏差阈值，利用所述第一目标漏洞修复补丁对所述目标设备进行漏洞修复；

判断模块，用于若所述偏差值大于预设偏差阈值，则从预设的第二漏洞修复补丁与漏洞信息的映射关系中，获取所述目标漏洞信息映射的第二目标漏洞修复补丁；

第三漏洞修复模块，用于利用所述第二目标漏洞修复补丁对所述目标设备进行间接漏洞修复。

本申请的一实施例中，所述第一漏洞修复模块，在用于利用所述第一目标漏洞修复补丁对所述目标设备进行漏洞修复时，用于：

通过所述第一目标漏洞修复补丁更改所述目标设备中的所述目标漏洞信息。

本申请的一实施例中，所述计算模块，在用于计算进行漏洞修复后的设备仿真平台的偏差值时，用于：

针对修复后的设备仿真平台中的每一个设备，获取该设备在所述设备仿真平台中的置信度以及时延值；

分别计算每一个设备的所述置信度与所述时延值的乘积后，将所有设备的乘积结果相加得到所述偏差值。

本申请的一实施例中，所述第三漏洞修复模块，在用于利用所述第二目标漏洞修复补丁对所述目标设备进行间接漏洞修复时，用于：

构建所述设备仿真平台对应的网络信息安全平台，所述网络信息安全平台至少包括一个网络安全设备；

利用所述第二目标漏洞修复补丁对所述网络信息安全平台中指定设备进行修复；

通过修复后的所述网络信息安全平台，对所述目标设备进行外围打补丁的间接漏洞修复。

本申请的一实施例中，根据预设的映射关系库实时更新所述第二漏洞修复补丁与漏洞信息的映射关系。

第三方面，本申请实施例还提供一种电子设备，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当电子设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行上述第一方面，或第一方面的任一种可能的实施方式中的步骤。

第四方面，本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述第一方面，或第一方面的任一种可能的实施方式中的步骤。

本申请实施例提供了漏洞修复的方法，在预先构建的设备仿真平台中，先根据获取到的第一目标漏洞修复补丁对目标仿真设备进行漏洞修复，通过计算漏洞修复后的设备仿真平台的偏差值，确定偏差值不大于预设偏差阈值时，根据第一目标漏洞修复补丁对目标仿真设备进行漏洞修复，对于偏差值大于预设偏差阈值的情况，从预设的第二漏洞修复补丁与漏洞信息的映射关系中，获取目标漏洞信息映射的第二目标漏洞修复补丁，利用第二目标漏洞修复补丁对目标设备进行间接漏洞修复，从而避免直接对现场设备进行漏洞修复试验，提高对漏洞修复的精准度。

本申请的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本申请实施例提供的一种漏洞修复的方法的流程示意图；

图2示出了本申请实施例所提供的设备仿真平台的偏差值计算方法的流程示意图；

图3示出了本申请实施例所提供的另一种漏洞修复的方法的流程示意图；

图4示出了本申请实施例所提供的一种漏洞修复的装置的结构示意图；

图5示出了本申请实施例所提供的一种电子设备500的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为便于对本实施例进行理解，首先对本申请实施例所公开的一种漏洞修复的方法进行详细介绍。

实施例一

参见图1所示，为本申请实施例所提供的一种漏洞修复的方法的流程示意图，该方法包括以下步骤：

s101、获取目标漏洞信息以及目标漏洞信息对应的目标设备。

本实施例的一应用场景中，工业控制系统中的现场设备包含传感器、编码器、开关、接触器、继电器等自动化设备，压力仪器仪表、温度仪器仪表、流量仪器仪表、阀门等仪器仪表及测量设备，工业计算机、控制计算机、工业控制软件、网络应用软件、数据分析软件等计算机及自动化软件，网络交换机、视频监控等通信网络设备，传动设备、调速器、运动控制、电源系统等设备中的一种或几种。

工业控制系统中的现场设备在运行中出现问题时，通过现场进行设备调试，耗时长，并且调试次数过多时，会对设备产生损耗，那么需要获取检测出的目标漏洞信息，以及目标漏洞信息对应出现问题的目标设备。

s102、在预先构建的包括目标设备对应的目标仿真设备的设备仿真平台上，从预设的第一漏洞修复补丁与漏洞信息的映射关系中，获取目标漏洞信息映射的第一目标漏洞修复补丁。

这里，包括目标设备对应的目标仿真设备的设备仿真平台具体由硬件平台和软件平台组成，其中，硬件平台包括资源分配装置、设备网络装置，软件平台包括虚拟网络模块、设备应用模拟模块、计算评估模块、数据模块、信息采集及处理模块、以及设备分配管理模块。

设备分配管理模块既可以进行设备的分配，使得资源分配装置、设备网络装置、虚拟网络模块、设备应用模拟模块分别对应相应的设备，还可以将接收到数据模块中关于设备的运行数据发送至计算评估模块，并接收计算评估模块对发送数据的反馈数据信息，根据反馈数据信息得到对应设备的状态信息，计算评估模块还可以向设备分配管理模块发送控制信息，控制指定设备。

信息采集及处理模块通过对资源分配装置、设备网络装置、虚拟网络模块、设备应用模拟模块中的设备进行测试试验，得到设备的试验数据以及设备的状态信息，然后发送至计算评估模块进行计算分析，计算评估模块还接收数据模块发送的数据信息进行计算分析。

在现场工业控制系统中检测出目标漏洞信息以及对应的目标设备后，在构建好的包括目标设备对应的目标仿真设备的设备仿真平台上，从预设的第一漏洞修复补丁与漏洞信息的映射关系中，获取目标漏洞信息映射的第一目标漏洞修复补丁。

s103、利用第一目标漏洞修复补丁对目标仿真设备进行漏洞修复。

s104、计算进行漏洞修复后的设备仿真平台的偏差值。

如图2所示，示出了本申请实施例所提供的设备仿真平台的偏差值计算方法的流程示意图，具体步骤如下所示：

s201、针对修复后的设备仿真平台中的每一个设备，获取该设备在设备仿真平台中的置信度以及时延值；

s202、分别计算每一个设备的置信度与时延值的乘积后，将所有设备的乘积结果相加得到偏差值。

示例性的，当修复后的设备仿真平台中存在n个设备，获取每个设备的网络时延值，并且第i个设备的时延用δi表示，每个设备的置信度用pi表示，置信度为通过计算该设备产生的误差值得到，那么每一个设备的偏差值为该设备的置信度与时延值的乘积，设备仿真平台的偏差值由所有n个设备的乘积结果相加得到。

s105、若偏差值不大于预设偏差阈值，利用第一目标漏洞修复补丁对目标设备进行漏洞修复。

具体的，通过第一目标漏洞修复补丁更改目标设备中的目标漏洞信息，对目标设备进行漏洞修复。

示例性的，当检测出设备a中存在漏洞信息b，并且通过预设的第一漏洞修复补丁与漏洞信息的映射关系，获取漏洞信息b映射的漏洞修复补丁，通过该漏洞修复补丁直接更改设备a中的漏洞信息b，经过对应的设备仿真平台测试后，偏差值不大于预设偏差阈值，那么采用将漏洞修复补丁直接更改设备a中的漏洞信息b的方法进行漏洞修复，其中，预设偏差阈值可以根据实际应用场景进行调整。

s106、若偏差值大于预设偏差阈值，则从预设的第二漏洞修复补丁与漏洞信息的映射关系中，获取目标漏洞信息映射的第二目标漏洞修复补丁。

这里，根据预设的映射关系库实时更新第二漏洞修复补丁与漏洞信息的映射关系。

示例性的，当检测出设备a中存在漏洞信息b，并且通过预设的第一漏洞修复补丁与漏洞信息的映射关系，获取漏洞信息b映射的漏洞修复补丁，通过该漏洞修复补丁直接更改设备a中的漏洞信息b，经过对应的设备仿真平台测试后，偏差值小于预设偏差阈值，那么不能采用将漏洞修复补丁直接更改设备a中的漏洞信息b的方法进行漏洞修复，需要继续从预设的第二漏洞修复补丁与漏洞信息的映射关系中，获取漏洞信息b映射的漏洞修复补丁。

s107、利用第二目标漏洞修复补丁对目标设备进行间接漏洞修复。

具体的，构建设备仿真平台对应的网络信息安全平台，网络信息平台至少包括一个网络安全设备；利用第二目标漏洞修复补丁对网络信息安全平台中指定设备进行修复；通过修复后的所述网络信息安全平台，对所述目标设备进行外围打补丁的间接漏洞修复。

示例性的，构建设备仿真平台对应的网络信息平台包括防火墙、ips(intrusionpreventionsystem,入侵防御系统)等设备，通过计算将第二目标漏洞修复补丁对网络信息平台中设备进行修复后的设备仿真平台的运行效率以及负载平衡，确定将第二目标漏洞修复补丁对网络信息平台中指定设备进行修复，例如指定设备可以是防火墙，也可以是ips设备。假设通过第二目标漏洞修复补丁对网络信息平台中的防火墙进行修复时，二者的连接接口为简单网络管理协议(snmp)或者工业标准协议的系统日志(syslog)，通过架构样式的网络系统(rest,representationalstatetransfer)实时下发对应的补丁到防火墙中，且当预设的映射关系库中存储有更优化的对应的补丁时，实时更新第二漏洞修复补丁与漏洞信息的映射关系，从而可以下发更新后、更优化的补丁至防火墙中，使得提高对工业控制系统的安全防护。

当利用第一目标漏洞修复补丁对目标设备进行漏洞修复，计算设备仿真平台的偏差值大于预设偏差阈值时，说明通过第一目标漏洞修复补丁对目标设备进行漏洞修复会影响工业控制系统的运行，如图3所示，采用对目标设备进行外围打补丁的间接漏洞修复方式对设备仿真平台进行漏洞修复测试，具体的，通过外网网络的网络流对网络信息平台包括的防火墙1、防火墙2、ips1、ips2中的指定设备进行修复，并且先通过补丁管理中心的虚拟补丁库确定第二目标漏洞修复补丁，然后经过网络管理对该指定设备进行修复，经过网络信息平台过滤后的网络流作用于设备仿真平台中的设备1、设备2、…设备n，这里，网络管理也连接着设备仿真平台，通过对工业控制系统的外围系统进行修复，从而解决不能直接将漏洞补丁应用至工业控制系统的问题。

本实施例通过漏洞修复的方法，在预先构建的设备仿真平台中，先根据获取到的第一目标漏洞修复补丁对目标仿真设备进行漏洞修复，通过计算漏洞修复后的设备仿真平台的偏差值，确定偏差值不大于预设偏差阈值时，根据第一目标漏洞修复补丁对目标仿真设备进行漏洞修复，对于偏差值大于预设偏差阈值的情况，从预设的第二漏洞修复补丁与漏洞信息的映射关系中，获取目标漏洞信息映射的第二目标漏洞修复补丁，利用第二目标漏洞修复补丁对目标设备进行间接漏洞修复，从而避免直接对现场设备进行漏洞修复试验，提高对漏洞修复的精准度。

实施例二

参见图4所示，为本申请实施例所提供的一种漏洞修复的装置的结构示意图，包括：第一获取模块401、第二获取模块402、第一漏洞修复模块403、计算模块404、第二漏洞修复模块405、判断模块406、第三漏洞修复模块407，具体的：

第一获取模块401，用于获取目标漏洞信息以及所述目标漏洞信息对应的目标设备；

第二获取模块402，用于在预先构建的包括所述目标设备对应的目标仿真设备的设备仿真平台上，从预设的第一漏洞修复补丁与漏洞信息的映射关系中，获取所述目标漏洞信息映射的第一目标漏洞修复补丁；

第一漏洞修复模块403，用于利用所述第一目标漏洞修复补丁对所述目标仿真设备进行漏洞修复；

计算模块404，用于计算进行漏洞修复后的设备仿真平台的偏差值；

第二漏洞修复模块405，用于若所述偏差值不大于预设偏差阈值，利用所述第一目标漏洞修复补丁对所述目标设备进行漏洞修复；

判断模块406，用于若所述偏差值大于预设偏差阈值，则从预设的第二漏洞修复补丁与漏洞信息的映射关系中，获取所述目标漏洞信息映射的第二目标漏洞修复补丁；

第三漏洞修复模块407，用于利用所述第二目标漏洞修复补丁对所述目标设备进行间接漏洞修复。

本申请的一实施例中，所述第一漏洞修复模块403，在用于利用所述第一目标漏洞修复补丁对所述目标设备进行漏洞修复时，用于：

通过所述第一目标漏洞修复补丁更改所述目标设备中的所述目标漏洞信息。

本申请的一实施例中，所述计算模块404，在用于计算进行漏洞修复后的设备仿真平台的偏差值时，用于：

针对修复后的设备仿真平台中的每一个设备，获取该设备在所述设备仿真平台中的置信度以及时延值；

分别计算每一个设备的所述置信度与所述时延值的乘积后，将所有设备的乘积结果相加得到所述偏差值。

本申请的一实施例中，所述第三漏洞修复模块407，在用于利用所述第二目标漏洞修复补丁对所述目标设备进行间接漏洞修复时，用于：

构建所述设备仿真平台对应的网络信息安全平台，所述网络信息安全平台至少包括一个网络安全设备；

利用所述第二目标漏洞修复补丁对所述网络信息安全平台中指定设备进行修复；

通过修复后的所述网络信息安全平台，对所述目标设备进行外围打补丁的间接漏洞修复。

本申请的一实施例中，根据预设的映射关系库实时更新所述第二漏洞修复补丁与漏洞信息的映射关系。

实施例三

基于同一技术构思，本申请实施例还提供了一种电子设备。参照图5所示，为本申请实施例提供的电子设备500的结构示意图，包括处理器501、存储器502、和总线503。其中，存储器502用于存储执行指令，包括内存5021和外部存储器5022；这里的内存5021也称内存储器，用于暂时存放处理器501中的运算数据，以及与硬盘等外部存储器5022交换的数据，处理器501通过内存5021与外部存储器5022进行数据交换，当电子设备500运行时，处理器501与存储器502之间通过总线503通信，使得处理器501在执行以下指令：

获取目标漏洞信息以及所述目标漏洞信息对应的目标设备；

在预先构建的包括所述目标设备对应的目标仿真设备的设备仿真平台上，从预设的第一漏洞修复补丁与漏洞信息的映射关系中，获取所述目标漏洞信息映射的第一目标漏洞修复补丁；

利用所述第一目标漏洞修复补丁对所述目标仿真设备进行漏洞修复；

计算进行漏洞修复后的设备仿真平台的偏差值；

若所述偏差值不大于预设偏差阈值，利用所述第一目标漏洞修复补丁对所述目标设备进行漏洞修复；

若所述偏差值大于预设偏差阈值，则从预设的第二漏洞修复补丁与漏洞信息的映射关系中，获取所述目标漏洞信息映射的第二目标漏洞修复补丁；

利用所述第二目标漏洞修复补丁对所述目标设备进行间接漏洞修复。

一种可能的设计中，处理器501执行的处理中，所述利用所述第一目标漏洞修复补丁对所述目标设备进行漏洞修复，包括：

通过所述第一目标漏洞修复补丁更改所述目标设备中的所述目标漏洞信息。

一种可能的设计中，处理器501执行的处理中，所述计算进行漏洞修复后的设备仿真平台的偏差值，包括：

针对修复后的设备仿真平台中的每一个设备，获取该设备在所述设备仿真平台中的置信度以及时延值；

分别计算每一个设备的所述置信度与所述时延值的乘积后，将所有设备的乘积结果相加得到所述偏差值。

一种可能的设计中，处理器501执行的处理中，所述利用所述第二目标漏洞修复补丁对所述目标设备进行间接漏洞修复，包括：

构建所述设备仿真平台对应的网络信息安全平台，所述网络信息安全平台至少包括一个网络安全设备；

利用所述第二目标漏洞修复补丁对所述网络信息安全平台中指定设备进行修复；

通过修复后的所述网络信息安全平台，对所述目标设备进行外围打补丁的间接漏洞修复。

一种可能的设计中，处理器501执行的处理中，根据预设的映射关系库实时更新所述第二漏洞修复补丁与漏洞信息的映射关系。

实施例四

本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述漏洞修复的方法的步骤。

具体地，该存储介质能够为通用的存储介质，如移动磁盘、硬盘等，该存储介质上的计算机程序被运行时，能够执行上述漏洞修复的方法的步骤，从而提高了对漏洞修复的精准度。

本申请实施例所提供的漏洞修复的方法的计算机程序产品，包括存储了程序代码的计算机可读存储介质，程序代码包括的指令可用于执行前面方法实施例中的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请提供的实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释，此外，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

最后应说明的是：以上所述实施例，仅为本申请的具体实施方式，用以说明本申请的技术方案，而非对其限制，本申请的保护范围并不局限于此，尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。