安全漏洞处理方法、装置、计算机设备和存储介质与流程

1.本技术涉及计算机技术领域，特别是涉及一种安全漏洞处理方法、装置、计算机设备、存储介质和计算机程序产品。


背景技术：

2.随着计算机技术的发展，网络安全的重要性不断提高，当网络中爆发安全漏洞时，怎样对安全漏洞进行处理以保证网络安全是至关重要的问题。
3.传统技术中，当爆发安全漏洞时，人工对所有的业务安全数据进行分析排查，通过分析排查确定所爆发的安全漏洞的严重程度、所产生的安全问题、资产受影响的范围等，然后根据排查结果对漏洞进行处理，但是人工对业务安全数据进行分析排查的过程需要较长时间，安全漏洞的处理效率低。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够提高处理效率的安全漏洞处理方法、装置、计算机设备、存储介质和计算机程序产品。
5.一种安全漏洞处理方法，所述方法包括：
6.从实时监测的安全情报源获取关于安全漏洞的漏洞情报信息；
7.基于所述漏洞情报信息确定所述安全漏洞的严重程度分值；
8.当所述安全漏洞的严重程度分值达到预设阈值时，依据所述漏洞情报信息构建包括检索数据源和漏洞特征的检索语句；
9.将所述检索语句下发至大数据平台，以使所述大数据平台从与所述检索数据源对应的安全大数据中，根据所述漏洞特征进行大数据检索得到检索结果；所述安全大数据是在发生所述安全漏洞过程中采集并同步至所述大数据平台的安全数据；
10.基于所述检索结果确定所述安全漏洞的影响信息，并根据所述影响信息生成漏洞分析报告。
11.一种安全漏洞处理装置，所述装置包括：
12.获取模块，用于从实时监测的安全情报源获取关于安全漏洞的漏洞情报信息；
13.确定模块，用于基于所述漏洞情报信息确定所述安全漏洞的严重程度分值；
14.构建模块，用于当所述安全漏洞的严重程度分值达到预设阈值时，依据所述漏洞情报信息构建包括检索数据源和漏洞特征的检索语句；
15.下发模块，用于将所述检索语句下发至大数据平台，以使所述大数据平台从与所述检索数据源对应的安全大数据中，根据所述漏洞特征进行大数据检索得到检索结果；所述安全大数据是在发生所述安全漏洞过程中采集并同步至所述大数据平台的安全数据；
16.生成模块，用于基于所述检索结果确定所述安全漏洞的影响信息，并根据所述影响信息生成漏洞分析报告。
17.在一个实施例中，所述获取模块，还用于：
18.获取分布式监测集群中的各监测服务器实时监测的安全情报源；
19.获取各所述监测服务器对所述安全情报源进行实时监测所得的关于安全漏洞的漏洞情报信息。
20.在一个实施例中，所述确定模块，还用于：
21.对所述漏洞情报信息进行格式化处理，生成格式化的漏洞情报信息；
22.在格式化的所述漏洞情报信息中查找严重度参数字段；
23.基于所述严重度参数字段对应的严重度特征，对所述安全漏洞的严重程度进行评分，得到严重程度分值。
24.在一个实施例中，所述构建模块，还用于：
25.在格式化的所述漏洞情报信息中查找漏洞字段；
26.基于所述漏洞字段对应的漏洞特征确定检索数据源；
27.构建包括所述检索数据源和所述漏洞特征的检索语句。
28.在一个实施例中，所述装置还包括：
29.获取模块，还用于获取对各所述安全大数据进行访问的访问频率；
30.选取模块，用于在各所述安全大数据中，选取所述访问频率大于预设频率值时所对应的安全大数据；
31.存储模块，用于将所选取的安全大数据存储在所述大数据平台的数据缓存区；
32.所述下发模块，还用于将所述检索语句下发至大数据平台，以使所述大数据平台根据所述漏洞特征，在存储于所述数据缓存区的与所述检索数据源对应的安全大数据中进行大数据检索，得到检索结果。
33.在一个实施例中，所述安全大数据是从至少两个业务服务器中采集的数据；所述装置还包括：
34.所述存储模块，还用于将从同一所述业务服务器中采集的安全大数据存储在地址连续的存储空间；
35.所述下发模块，还用于将所述检索语句下发至大数据平台，以使所述大数据平台在存储于所述存储空间的与所述检索数据源对应的安全大数据中，根据所述漏洞特征进行大数据检索得到检索结果。
36.在一个实施例中，所述装置还包括：
37.所述确定模块，还用于确定产生各所述安全大数据的事件所对应的事件发生时间；
38.排序模块，用于基于所述事件发生时间对各所述安全大数据进行排序，得到排序后的所述安全大数据；
39.所述下发模块，还用于将所述检索语句下发至大数据平台，以使所述大数据平台从与所述检索数据源对应的、排序后的所述安全大数据中，根据所述漏洞特征进行大数据检索得到检索结果。
40.在一个实施例中，所述安全大数据通过所述大数据平台的分布式文件系统进行存储；所述分布式文件系统包括数据操作端、管理节点和数据节点；所述装置还包括：
41.分块处理模块，用于通过所述数据操作端对所述安全大数据中的各数据文件进行分块处理，得到文件数据块；
42.发送模块，用于通过所述数据操作端向所述管理节点发送数据存储请求，以使所述管理节点基于所述数据存储请求，指示所述数据节点在所述大数据平台中存储所述文件数据块。
43.在一个实施例中，所述方法应用于安全漏洞处理系统；所述安全漏洞处理系统在运行过程中的作业数据存储在主数据库；所述装置还包括：
44.同步模块，用于将所述作业数据从所述主数据库同步至备数据库；
45.所述获取模块，还用于当所述主数据库发生故障时，从所述备数据库中获取所述作业数据；
46.所述同步模块，还用于当所述主数据库恢复时，将所述安全漏洞处理系统在运行过程中新产生的作业数据同步至所述主数据库。
47.在一个实施例中，所述影响信息包括影响业务范围、业务部门标识和责任人标识；所述确定模块，还用于：
48.基于所述检索结果确定在发生所述安全漏洞时被攻击的主机的网络地址；
49.在资产数据库中检索与所述网络地址匹配的责任人标识；
50.根据所述责任人标识确定对应的业务部门标识和影响业务范围。
51.在一个实施例中，所述检索语句是响应于在终端的检索页面上触发的检索分析操作而下发至所述大数据平台的；所述装置还包括：
52.接收模块，用于接收所述大数据平台返回的所述检索结果；
53.所述发送模块，还用于将所述检索结果发送至所述终端，以使所述终端以不同显示方式，将所述检索结果中的数据字段和对应的数据显示于所述检索页面的结果显示区。
54.在一个实施例中，所述装置还包括：
55.所述获取模块，还用于获取所述安全漏洞处理系统在运行时生成的系统日志；
56.所述生成模块，还用于基于所述系统日志生成日志文本文件；
57.所述存储模块，还用于将所述系统日志存储于日志服务器，以及将所述日志文本文件存储于本地存储区。
58.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
59.从实时监测的安全情报源获取关于安全漏洞的漏洞情报信息；
60.基于所述漏洞情报信息确定所述安全漏洞的严重程度分值；
61.当所述安全漏洞的严重程度分值达到预设阈值时，依据所述漏洞情报信息构建包括检索数据源和漏洞特征的检索语句；
62.将所述检索语句下发至大数据平台，以使所述大数据平台从与所述检索数据源对应的安全大数据中，根据所述漏洞特征进行大数据检索得到检索结果；所述安全大数据是在发生所述安全漏洞过程中采集并同步至所述大数据平台的安全数据；
63.基于所述检索结果确定所述安全漏洞的影响信息，并根据所述影响信息生成漏洞分析报告。
64.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
65.从实时监测的安全情报源获取关于安全漏洞的漏洞情报信息；
66.基于所述漏洞情报信息确定所述安全漏洞的严重程度分值；
67.当所述安全漏洞的严重程度分值达到预设阈值时，依据所述漏洞情报信息构建包括检索数据源和漏洞特征的检索语句；
68.将所述检索语句下发至大数据平台，以使所述大数据平台从与所述检索数据源对应的安全大数据中，根据所述漏洞特征进行大数据检索得到检索结果；所述安全大数据是在发生所述安全漏洞过程中采集并同步至所述大数据平台的安全数据；
69.基于所述检索结果确定所述安全漏洞的影响信息，并根据所述影响信息生成漏洞分析报告。
70.一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现以下步骤：
71.从实时监测的安全情报源获取关于安全漏洞的漏洞情报信息；
72.基于所述漏洞情报信息确定所述安全漏洞的严重程度分值；
73.当所述安全漏洞的严重程度分值达到预设阈值时，依据所述漏洞情报信息构建包括检索数据源和漏洞特征的检索语句；
74.将所述检索语句下发至大数据平台，以使所述大数据平台从与所述检索数据源对应的安全大数据中，根据所述漏洞特征进行大数据检索得到检索结果；所述安全大数据是在发生所述安全漏洞过程中采集并同步至所述大数据平台的安全数据；
75.基于所述检索结果确定所述安全漏洞的影响信息，并根据所述影响信息生成漏洞分析报告。
76.上述安全漏洞处理方法、装置、计算机设备、存储介质和计算机程序产品，基于从实时监测的安全情报源获取的，关于安全漏洞的漏洞情报信息确定安全漏洞的严重程度分值。由于对安全情报源进行了实时监测，保证了安全情报的时效性，从而可以及时发现安全漏洞，提高了对安全漏洞进行处理的效率。当安全漏洞的严重程度分值达到预设阈值时，依据漏洞情报信息构建包括检索数据源和漏洞特征的检索语句。将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果，并基于检索结果确定的安全漏洞的影响信息生成漏洞分析报告。因此在发生安全漏洞时，可以快速的对安全大数据进行检索并取得检索结果，相比于人工对安全数据进行分析排查，缩短了分析排查的时间，提高了安全漏洞的处理效率。并且通过大数据平台进行检索所得的结果更加全面，避免了数据遗漏，所得到的漏洞分析报告更加准确全面。
附图说明
77.图1为一个实施例中安全漏洞处理方法的应用环境图；
78.图2为一个实施例中安全漏洞处理方法的流程示意图；
79.图3为一个实施例中检索页面的示意图；
80.图4为另一个实施例中安全情报模块的示意图；
81.图5为一个实施例中得到严重程度分值方法的流程示意图；
82.图6为一个实施例中格式化的漏洞情报信息的示意图；
83.图7为一个实施例中构建检索语句方法的流程示意图；
84.图8为一个实施例中检索方法的流程示意图；
85.图9为一个实施例中终端和服务器的交互过程示意图；
86.图10为一个实施例中存储文件数据块方法的流程示意图；
87.图11为一个实施例中分布式文件系统的示意图；
88.图12为一个实施例中安全漏洞处理系统的示意图；
89.图13a为一个实施例中读写作业数据的示意图；
90.图13b为一个实施例中主数据库故障时读写作业数据的示意图；
91.图13c为一个实施例中主数据库恢复后读写作业数据的示意图；
92.图14为一个实施例中存储日志文本文件和系统日志的示意图；
93.图15为另一个实施例中安全漏洞处理方法的流程示意图；
94.图16为一个实施例中安全漏洞处理装置的结构框图；
95.图17为另一个实施例中安全漏洞处理装置的结构框图；
96.图18为一个实施例中计算机设备的内部结构图。
具体实施方式
97.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
98.本技术提供的安全漏洞处理方法，可以应用于如图1所示的应用环境中。在该应用环境中，包括服务器102、大数据平台104和安全情报源106。服务器102从实时监测的安全情报源106获取关于安全漏洞的漏洞情报信息，基于漏洞情报信息确定安全漏洞的严重程度分值。当安全漏洞的严重程度分值达到预设阈值时，依据漏洞情报信息构建包括检索数据源和漏洞特征的检索语句。服务器102将检索语句下发至大数据平台104，以使大数据平台104从与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果。安全大数据是在发生安全漏洞过程中采集并同步至大数据平台106的安全数据。服务器102基于检索结果确定安全漏洞的影响信息，并根据影响信息生成漏洞分析报告。
99.其中，服务器102可以是独立的物理服务器，也可以是区块链系统中的多个服务节点所组成的服务器集群，各服务节点之间形成组成点对点(p2p，peer to peer)网络，p2p协议是一个运行在传输控制协议(tcp，transmission control protocol)协议之上的应用层协议。
100.此外，服务器也可以是多个物理服务器构成的服务器集群，可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(content delivery network，cdn)、以及大数据和人工智能平台等基础云计算服务的云服务器。
101.在一个实施例中，如图2所示，提供了一种安全漏洞处理方法，以该方法应用于图1中的服务器为例进行说明，包括以下步骤：
102.s202，从实时监测的安全情报源获取关于安全漏洞的漏洞情报信息。
103.其中，安全漏洞是计算机硬件或软件在安全设计上存在的缺陷，攻击者利用该设计缺陷可以在未授权的情况下访问计算机系统，从而窃取信息或破坏系统。安全漏洞例如可以是office web组件堆损耗漏洞、rtf栈缓冲区溢出漏洞、远程内存破坏漏洞等。例如，黑
客可以利用浏览器的安全漏洞入侵通过该浏览器访问的社交网站，并获取该社交网站的安全证书，从而进入社交网站窃取用户的登录名和密码。例如，黑客可以利用计算机系统的安全漏洞在系统中植入木马病毒，从而通过植入的木马病毒篡改或删除系统中的文件。
104.其中，安全情报是与安全漏洞有关的公告、报告等。例如，安全情报可以是安全研究者或者第三方安全研究机构发布的关于安全漏洞的研究报告，也可以是设备生产者针对安全漏洞对设备的安全威胁所发布的安全公告。安全情报源是各种安全情报的来源，包括网站、公众号、小程序、应用程序客户端等。例如，安全情报源可以是域名为“https://www.xxx.com”的网页，或者也可以是名称为“安全漏洞分析”的公众号等。
105.其中，漏洞情报信息是描述安全漏洞特征的情报信息，包括安全漏洞的cve(common vulnerabilities and exposures，通用漏洞披露)编号、发现时间、严重程度分值、漏洞类型、攻击路径等。
106.在一个实施例中，安全情报源为发布安全情报的网页，s202具体包括：服务器通过爬虫软件从网页抓取关于安全漏洞的安全情报；对安全情报进行情报分析，得到安全漏洞的漏洞情报信息。
107.s204，基于漏洞情报信息确定安全漏洞的严重程度分值。
108.其中，严重程度分值是衡量安全漏洞的危害程度的分值，可以是整数、小数、百分数等数值。安全漏洞的严重程度分值越高，表示该安全漏洞可能造成的损害越大。
109.在一个实施例中，服务器可以按照cvss(common vulnerability scoring system，通用漏洞评分系统)确定安全漏洞的严重程度分值，然后根据严重程度分值对安全漏洞的严重程度划分等级。例如，cvss安全漏洞评分系统将安全漏洞的严重程度划分为四个等级，分别为低级、中级、高级和致命级。基于cvss安全漏洞评分体系所确定的严重程度分值为1-10的数值，当严重程度分值在0.1
–
3.9范围内时，该安全漏洞的严重程度等级为“低”；当严重程度分值在4.0
–
6.9范围内时，该安全漏洞的严重程度等级为“中”；当严重程度分值在7.0
–
8.9范围内时，该安全漏洞的严重程度等级为“高”；当严重程度分值在9.0
–
10.0范围内时，该安全漏洞的严重程度等级为“致命”。
110.s206，当安全漏洞的严重程度分值达到预设阈值时，依据漏洞情报信息构建包括检索数据源和漏洞特征的检索语句。
111.其中，检索数据源用于表示检索数据的来源。例如，检索数据源可以是waf(web application firewall，web应用防护)系统，或者也可以是蜜罐系统，或者也可以是抗ddos(distributed denial of service，分布式拒绝服务)设备。例如，当黑客利用某个安全漏洞对网络层发起攻击时，在网络入侵防护系统和网络入侵检测系统中产生攻击数据，因此服务器所检索的攻击数据来自于网络入侵防护系统和网络入侵检测系统，检索数据源即为网络入侵防护系统和网络入侵检测系统。
112.其中，漏洞特征是安全漏洞的特点或特性。例如，当黑客利用安全漏洞攻击某个网站时，向网站发送的http请求的攻击载荷中携带了字符串“aaa”，则该安全漏洞的漏洞特征为攻击载荷中包括“aaa”的字符串。又例如，当利用某种安全漏洞进行攻击时，发起攻击的源ip地址为“123.123.123.123”，则该安全漏洞的漏洞特征为攻击源ip地址为“123.123.123.123”。
113.其中，检索语句是用于描述所检索的数据的特征的语句，包括检索数据源和漏洞
特征。服务器基于检索语句从来自于检索数据源的数据中进行检索，从中检索出与漏洞特征匹配的数据，检索出的数据即为检索结果。例如，检索语句是data_index＝“waf”and“aaa”in“攻击载荷”。其中，data_index＝“waf”表示从waf获取到的web攻击数据中进行检索，waf系统为检索数据源，and是检索条件关系词，“aaa”in“攻击载荷”表示“aaa”字符在“攻击载荷”字段中。
114.在一个实施例中，在对安全漏洞的严重程度划分等级之后，服务器还可以判断划分的等级是否满足预设等级，若是，则确定需要对该安全漏洞进行检索，依据漏洞情报信息构建包括检索数据源和漏洞特征的检索语句。若否，则忽略该安全漏洞。
115.在一个实施例中，s206具体包括：当安全漏洞的严重程度分值达到预设阈值时，基于漏洞情报信息获取漏洞字段；基于漏洞字段对应的漏洞特征确定检索数据源；构建包括检索数据源和漏洞特征的检索语句。
116.漏洞情报信息中包括描述安全漏洞特征的情报信息，服务器可以从安全漏洞1的漏洞情报信息中获取安全漏洞1的漏洞字段。例如，漏洞情报信息为“cve编号为cve-2010-3333，严重程度分值为5.3，攻击载荷为cx00432aaa”，服务器从该漏洞情报信息中获取的漏洞字段如表1所示。
117.表1
118.漏洞字段cve编号严重程度分值攻击载荷安全漏洞12010-33335.3cx00432aaa
119.漏洞字段与漏洞特征相对应，例如攻击载荷字段对应的漏洞特征为“攻击载荷中包括字符
‘
aaa
’”
，服务器确定漏洞特征后，在大数据平台中，基于漏洞字段对应的漏洞特征确定所检索的数据的来源，也即基于漏洞字段对应的漏洞特征确定检索数据源。服务器可以基于检索数据源和漏洞特征分别构建检索子句；用检索条件关键词连接所构建的检索子句，得到检索语句。在一个实施例中，检索语句中包括多个检索子句，每个检索子句描述了一个检索条件。检索子句间由检索条件关系词相连接。检索条件用于表示检索结果所需满足的条件，至少一个检索子句对应的检索条件是根据漏洞特征构建的。检索条件关系词表示检索条件间的逻辑关系，包括and、or、not等。例如，检索语句为“检索子句1and(检索子句2or检索子句3)”，其中，基于检索子句1-3分别对应于检索条件1-3，该检索语句描述的检索条件间的逻辑关系为“检索条件1and(检索条件2or检索条件3)”，服务器基于该检索语句检索得到的数据至少需满足检索条件2或者检索条件3的其中之一，并且需同时满足检索条件1。
120.s208，将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果；安全大数据是在发生安全漏洞过程中采集并同步至大数据平台的安全数据。
121.其中，大数据平台是能够对海量数据进行存储、计算的服务器集群，可以采用分布式存储系统进行数据存储。分布式存储系统将数据分散存储在多台独立的计算机设备上，计算机设备间通过网络进行通信。安全大数据可以是从用于进行业务处理的业务服务器中采集并同步至大数据平台的数据。例如，安全大数据可以是网络资产数据、威胁情报数据、蜜罐数据、网络层攻击数据、密钥泄露数据、web攻击数据、ddos攻击数据、dns解析记录数据、安全漏洞数据、反弹shell数据、恶意文件数据、本地提权事件数据、暴力破解事件数据、
登录事件数据、业务组件数据、进程信息数据、端口开放数据、网络通信数据等。
122.其中，检索结果是服务器从大数据平台中检索得到的与漏洞特征匹配的数据。检索结果中可以包括安全漏洞的攻击源ip地域、攻击源ip国家、攻击类型、攻击源ip城市、被攻击的目标主机的ip地址、数据节点、攻击载荷、攻击时间等。例如，如图3所示，检索界面中包括检索语句编辑框、检索触发控件、结果显示区、选择检索时间区间的下拉控件等。服务器获取在检索语句编辑框中输入的检索语句，响应于通过检索触发控件触发的检索指令，将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果。大数据平台将检索结果反馈至服务器，服务器在检索页面中的结果显示区展示检索结果。用户可以通过检索页面中的下拉控件选择时间区间，大数据平台检索在该时间区间中产生的数据。例如，如果用户选择了15分钟的时间区间，则大数据平台在近15分钟内产生的安全大数据中进行检索。
123.s210，基于检索结果确定安全漏洞的影响信息，并根据影响信息生成漏洞分析报告。
124.其中，影响信息是关于安全漏洞所造成的影响的信息，包括安全漏洞的影响业务范围、影响业务部门的业务部门标识、业务部门的负责人的责任人标识等。漏洞分析报告是对安全漏洞进行分析的报告，报告中分析了安全漏洞的严重程度，所影响的业务范围，业务负责人、安全漏洞的修复方法等。
125.上述实施例中，基于从实时监测的安全情报源获取的，关于安全漏洞的漏洞情报信息确定安全漏洞的严重程度分值。由于对安全情报源进行了实时监测，保证了安全情报的时效性，从而提高了对安全漏洞进行处理的效率。当安全漏洞的严重程度分值达到预设阈值时，依据漏洞情报信息构建包括检索数据源和漏洞特征的检索语句。将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果，并基于检索结果确定的安全漏洞的影响信息生成漏洞分析报告。在发生安全漏洞时，可以快速的对安全大数据进行检索并取得检索结果，相比于人工对安全数据进行分析排查，缩短了分析排查的时间，提高了安全漏洞的处理效率。并且通过大数据平台进行检索所得的结果更加全面，避免了数据遗漏，所得到的漏洞分析报告更加准确全面。
126.在一个实施例中，s202具体包括：获取分布式监测集群中的各监测服务器实时监测的安全情报源；获取各监测服务器对安全情报源进行实时监测所得的关于安全漏洞的漏洞情报信息。
127.其中，服务器通过安全情报模块对安全情报源进行实时监测。如图4所示，安全情报模块包括数据库、监测后台和分布式监测集群。数据库用于存储从安全情报源采集的安全情报。分布式监测集群是用于对安全情报源进行监测的服务器集群，由多个监测服务器组成。监测后台用于管理分布式监测集群，根据配置的监测策略为分布式监测集群中的每个监测服务器分配对应的安全情报源，监测服务器对所分配的安全情报源进行监测。监测后台也可以设置对安全情报源进行监测的监测周期，监测服务器按照监测后台设置的监测周期，周期性的对安全情报源进行监测。
128.监测服务器获取所分配的安全情报源的地址，并根据获取的地址对所分配的安全情报源进行监测。例如，分布式监测集群中包括监测服务器a、b、c，对监测服务器a分配的安
全情报源为网站1-5，监测服务器a获取网站1-5的网络地址，并根据获取的网络地址对网站1-5进行实时监测，并从网站1-5采集安全情报。
129.上述实施例中，服务器获取分布式监测集群中的各监测服务器实时监测的安全情报源，获取各监测服务器对安全情报源进行实时监测所得的关于安全漏洞的漏洞情报信息。各监测服务器对安全情报源进行实时监测，可以保证获取的安全情报的时效性，从而可以及时发现安全漏洞，提高了对安全漏洞进行处理的效率。
130.在一个实施例中，如图5所示，s204具体包括：
131.s502，对漏洞情报信息进行格式化处理，生成格式化的漏洞情报信息。
132.其中，格式化处理是将漏洞情报信息记录在不同的数据字段中，得到格式化的漏洞情报信息。
133.s504，在格式化的漏洞情报信息中查找严重度参数字段。
134.其中，数据字段包括严重度参数字段和漏洞字段，严重度参数字段为用于对安全漏洞的严重程度进行评分的字段，漏洞字段为除严重度参数字段之外的其他字段。严重度参数字段可以包括攻击路径，攻击难度，权限要求，用户交互，影响范围，机密性影响，完整性影响，可用性影响等字段。漏洞字段可以包括内部评分、外部评分、情报名称、情报概述、cve编号、发现时间、安全版本、影响版本、漏洞类型、poc状态、漏洞原因、利用难度、发现渠道、漏洞详情、检测方法、修复建议、参考链接等字段。例如，如图6所示，格式化的漏洞情报信息中包括内部评分、外部评分、cve编号、发现时间和利用难度等字段。
135.s506，基于严重度参数字段对应的严重度特征，对安全漏洞的严重程度进行评分，得到严重程度分值。
136.其中，严重度特征是严重度参数字段中记录的，用于表示安全漏洞的严重程度的特征。例如，严重度特征为影响范围为全部业务范围；又例如，严重度特征为攻击难度为最高级。
137.在一个实施例中，s504具体包括：服务器基于至少两个严重度参数字段对应的严重度特征分别进行评分，得到对应的字段分值；对字段分值进行加权相加，得到严重程度分值。例如，服务器基于攻击路径字段对应的攻击路径特征对安全漏洞进行评分，得到对应的字段分值为6.5；基于攻击难度字段对应的攻击难度特征对安全漏洞进行评分，得到对应的字段分值为5.4；基于完整性影响字段对应的完整性影响特征对安全漏洞进行评分，得到对应的字段分值为7.1；服务器用加权权重0.3、0.4、0.3对所得的三个字段分值6.5、5.4、7.1进行加权相加，得到严重程度分值为6.24。
138.s508，当安全漏洞的严重程度分值达到预设阈值时，依据漏洞情报信息构建包括检索数据源和漏洞特征的检索语句。
139.s510，将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果；安全大数据是在发生安全漏洞过程中采集并同步至大数据平台的安全数据。
140.s512，基于检索结果确定安全漏洞的影响信息，并根据影响信息生成漏洞分析报告。
141.上述s508-s512的具体步骤可以参考图2实施例。
142.上述实施例中，对漏洞情报信息进行格式化处理，生成格式化的漏洞情报信息，基
于在格式化的漏洞情报信息中查找所得的严重度参数字段对应的严重度特征对安全漏洞的严重程度进行评分，得到严重程度分值。从而可以使服务器仅对严重程度分值达到预设阈值的安全漏洞进行处理，也即服务器仅对严重程度较高的安全漏洞进行处理，提高了对安全漏洞进行处理的效率。
143.在一个实施例中，如图7所示，s206具体包括：
144.s702，对漏洞情报信息进行格式化处理，生成格式化的漏洞情报信息。
145.s704，在格式化的漏洞情报信息中查找漏洞字段。
146.格式化的漏洞情报信息中包括漏洞字段和严重度参数字段，服务器基于各字段的字段名称从格式化的漏洞情报信息中查找得到漏洞字段。例如，服务器从格式化的漏洞情报信息中查找漏洞字段中的漏洞类型字段、发现时间字段等。
147.s706，基于漏洞字段对应的漏洞特征确定检索数据源。
148.大数据平台在安全大数据中检索与漏洞特征匹配的数据，由于大数据平台中包括海量的数据，如果在全部数据中进行检索，检索时间较长。因此服务器基于漏洞字段对应的漏洞特征确定检索数据源，以使大数据平台在所确定的检索数据源中进行检索，从而缩小检索的范围，提高检索效率，
149.在一个实施例中，s704具体包括：在安全大数据的数据字段中查找与漏洞特征对应的目标字段；基于目标字段确定检索数据源。
150.大数据平台中的安全大数据按照数据字段的形式进行存储，例如，安全大数据中的网络资产数据包括主机名、ip地址、资产id、操作系统类型、创建时间、到期时间、业务模块、物理位置等字段。服务器在安全大数据的数据字段中查找与漏洞特征对应的目标字段，例如，安全漏洞的漏洞特征为攻击载荷中包括字符“aaa”，则与该漏洞特征对应的目标字段为攻击载荷字段。由于攻击载荷字段是在waf系统中产生的网络层攻击数据对应的数据字段，所以服务器所确定的检索数据源为waf系统。
151.s708，构建包括检索数据源和漏洞特征的检索语句。
152.服务器基于检索数据源和漏洞特征构建检索语句，基于所构建的检索语句在来自于检索数据源的数据中检索符合漏洞特征的安全大数据。
153.在一个实施例中，检索语句至少包括两个检索子句。s706具体包括：基于检索数据源和漏洞特征分别构建检索子句，然后用检索条件关系词连接所构建的检索子句，得到检索语句。例如，服务器基于检索数据源所构建的检索子句为data_index＝“waf”，表示从来自于waf的web攻击数据中进行检索，“来自于waf的web攻击数据”为检索结果需满足的检索条件；基于漏洞特征构建的检索子句为“aaa”in“攻击载荷”，表示攻击载荷字段中包括“aaa”字符，“攻击载荷字段中包括“aaa”字符”为检索结果需满足的检索条件。然后，服务器用检索条件关系词“and”连接所构建的两个检索子句，得到检索语句“data_index＝
‘
waf’and
‘
aaa’in
‘
攻击载荷
’”
。
154.s710，将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果；安全大数据是在发生安全漏洞过程中采集并同步至大数据平台的安全数据。
155.s712，基于检索结果确定安全漏洞的影响信息，并根据影响信息生成漏洞分析报告。
156.上述s702、s710-s712的具体步骤可以参考图5和图2实施例。
157.上述实施例中，在格式化的漏洞情报信息中查找漏洞字段，基于漏洞字段对应的漏洞特征确定检索数据源，构建包括检索数据源和漏洞特征的检索语句。从而可以使大数据平台基于检索语句进行大数据检索，得到检索结果。相比于人工对安全数据进行分析排查，缩短了分析排查的时间，提高了安全漏洞的处理效率。并且通过检索语句进行检索所得的结果更加全面，避免了数据遗漏，使所得到的漏洞分析报告更加准确全面。
158.在一个实施例中，如图8所示，s208之前还包括s802-s806，s208具体还包括：s808。
159.s802，获取对各安全大数据进行访问的访问频率。
160.其中，访问频率是读取安全大数据的频率。例如，访问频率可以是30次/分钟、200次/小时等。
161.在一个实施例中，s802具体包括：大数据平台针对各安全大数据分别设置计数器；在每次对安全大数据进行访问之后，将对应的计数器加一；服务器基于各安全大数据对应的计数器记录的数值获取对各安全大数据进行访问的访问频率。
162.在一个实施例中，安全大数据可以是网络资产数据、威胁情报数据、蜜罐数据、网络层攻击数据、密钥泄露数据、web攻击数据、ddos攻击数据、dns解析记录数据、安全漏洞数据、反弹shell数据、恶意文件数据、本地提权事件数据、暴力破解事件数据、登录事件数据、业务组件数据、进程信息数据、端口开放数据、网络通信数据等。
163.其中，网络资产数据是计算机资产的相关数据，主要包含的字段有：主机名，ip地址，资产id，操作系统类型，创建时间，到期时间，业务模块，物理位置，机器负责人及备注信息。威胁情报数据是攻击事件中的攻击源的ip地址以及相关域名的情报信息。威胁情报数据的主要字段为：情报类型，攻击源的ip地址，域名，黑白属性，威胁类型，当前状态，标签，威胁评分，标记时间和关联信息等。威胁的类型例如可以是僵尸网络，钓鱼网站，后门远控等。蜜罐数据是来自于蜜罐系统中捕获的攻击事件的数据，主要字段为攻击时间、攻击目标的ip地址、攻击目标端口、攻击源ip地址、攻击来源端口、蜜罐节点、用户名、用户密码、协议类型和事件额外信息等。网络层攻击数据是来自于网络入侵防护系统或者网络入侵检测系统中的，基于网络层攻击行为产生的数据。主要字段为攻击时间、攻击源ip地址、攻击来源端口、攻击目标的ip地址、攻击目的端口、风险阶段、攻击次数、传输数据、协议类型、攻击类型和攻击载荷等。密钥泄露数据是记录互联网上发生的秘钥泄漏事件的数据，主要字段为泄露时间、归属部门、归属责任人、泄露地址、泄露密钥、密钥有效性、泄露时长和被访问次数等。web攻击数据为来自于waf设备的，反应攻击web系统的事件的数据，主要的字段有攻击时间、攻击源ip地址、攻击来源端口、攻击目标的ip地址、攻击目的端口、攻击域名、协议类型、http方法、攻击地址、攻击报文、攻击类型和攻击载荷等。ddos攻击数据为来自于抗ddos设备的，用于描述来自外部攻击者的拒绝服务攻击事件的数据，主要字段为攻击开始时间、攻击结束时间、攻击类型、攻击源ip分布列表、攻击抓包和攻击流量最大峰值等。dns解析记录数据为与dns(domain name system，域名系统)请求事件相关的数据，主要字段为请求时间、请求目标ip地址，请求目标端口，请求域名，请求url，请求源ip地址，进程名，进程id，进程路径，进程md5和请求次数等。安全漏洞数据为业务系统的系统漏洞信息，主要字段为漏洞发生时间，服务器ip地址，漏洞名称，漏洞id，漏洞状态，漏洞分类，漏洞路径，危害等级，漏洞详情和漏洞修复建议等。反弹shell数据是关于服务器被攻击后发生的反弹
shell行为的数据，主要字段为攻击时间、反弹目标ip地址、反弹目标端口、反弹域名、反弹url、源ip地址、进程名，进程id，进程路径，进程md5，进程数和反弹次数等。恶意文件数据是记录业务服务器上出现的恶意文件相关信息的数据，主要字段为恶意文件产生时间、文件路径、文件md5、文件大小、文件内容、文件恶意特征、文件黑白类型、文件创建者和文件访问者等。本地提权事件数据是记录业务服务器上发生的恶意提权事件的数据，主要字段为提取事件发生时间、事件ip地址、进程名，进程id，进程路径，进程md5，进程命令和用户名等。暴力破解事件数据是记录暴力破解业务服务器密码事件的数据，主要字段为密码破解时间、目标ip地址、目标端口、源ip地址、源端口、协议类型、用户名、密码和破解次数等。登录事件数据是记录登录业务服务器的事件的数据，主要字段为登录时间、目标ip地址、目标端口、源ip地址、源端口、协议类型、用户名、密码和登录指令等。业务组件数据是业务系统建设过程中使用到的服务组件相关的信息，新漏洞爆发之时可以通过业务组件信息快速判断业务是否受影响，以便及时修复问题。主要字段为组件服务器ip地址、组件名称、组件路径、进程名、进程id、进程路径、进程md5、进程命令、组件版本、组件官网主页、组件开始使用时间、使用状态和组件负责人等。进程信息数据是记录业务服务器当前运行的进程相关信息的数据，主要字段为服务器ip地址、进程开始时间、进程结束时间、进程名、进程id、进程路径、进程md5、进程命令和进程数量等。端口开放数据是记录业务服务器对外开放的端口相关信息的数据，主要字段为服务器ip地址、进程名、进程id、进程路径、进程md5、进程命令、开放端口和开放服务类型等。网络通信数据是记录业务系统的网络层交互信息的数据，主要字段为交互时间、数据交互方向、源ip地址、源端口、目的ip地址、目的端口、协议类型、数据包大小和报文原始二进制内容等。
164.s804，在各安全大数据中，选取访问频率大于预设频率值时所对应的安全大数据。
165.各安全大数据对应的访问频率越高，单位时间内对该安全大数据的读取次数越多。服务器选取访问频率大于预设频率值时所对应的安全大数据，也即选取单位时间内的读取次数大于预设频率值时所对应的安全大数据。其中，预设频率值用于衡量安全大数据对应的访问频率大小。服务器可以根据实际需要配置预设频率值。例如，将预设频率值配置为30次/秒。
166.s806，将所选取的安全大数据存储在大数据平台的数据缓存区。
167.其中，数据缓存区是内存空间中用于临时存储数据的存储空间。大数据平台可以在内存空间中开辟数据缓存区，用于存储访问频率大于预设频率值时所对应的安全大数据。
168.在一个实施例中，s806具体包括：服务器在大数据平台的存储空间中确定数据缓存区；将访问频率大于预设频率值时所对应的安全大数据存储在数据缓存区。例如，服务器在大数据平台的存储空间中，选取地址为xxxx-xxxx的存储空间作为数据缓存区，然后将访问频率大于预设频率值时所对应的安全大数据存储在该数据缓存区。
169.s808，将检索语句下发至大数据平台，以使大数据平台根据漏洞特征，在存储于数据缓存区的与检索数据源对应的安全大数据中进行大数据检索，得到检索结果。
170.服务器将检索语句下发至大数据平台后，大数据平台根据漏洞特征，首先在存储于数据缓存区的，与检索数据源对应的安全大数据中进行大数据检索。如果服务器在数据缓存区中没有检索到与检索语句匹配的检索结果，则服务器继续在大数据平台的剩余存储
空间中进行检索。
171.在一个实施例中，s808具体包括：响应于在检索页面上触发的检索分析操作，终端将检索语句发送至服务器；服务器将从终端获取的检索语句下发至大数据平台，以使大数据平台根据漏洞特征，在存储于数据缓存区的与检索数据源对应的安全大数据中进行大数据检索，得到检索结果。其中，终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能手表、智能家电、车载终端(如智慧交通终端)等，但并不局限于此。具体地，如图9所示，终端902的界面中展示了检索页面，检索页面中包括检索语句编辑框、检索时间选择下拉菜单、检索分析操作触发控件以及结果显示区。终端响应于在检索页面上触发的检索分析操作，将在检索语句编辑框中输入的检索语句发送至服务器。服务器将从终端获取的检索语句下发至大数据平台，以使大数据平台根据漏洞特征，在存储于数据缓存区的与检索数据源对应的安全大数据中进行大数据检索，得到检索结果。
172.上述实施例中，将访问频率高的安全大数据存储在大数据平台中特定的数据缓存区。大数据平台在得到下发的检索语句时，优先到数据缓存区中进行检索，提高了检索效率，从而可以快速的得到检索结果。
173.在一个实施例中，安全大数据是从至少两个业务服务器中采集的数据；s208之前还包括：将从同一业务服务器中采集的安全大数据存储在地址连续的存储空间；s208具体还包括：将检索语句下发至大数据平台，以使大数据平台在存储于存储空间的与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果。
174.其中，业务服务器是用于提供业务服务的计算机设备。多台业务服务器可以布置在同一局域网中，通过网络相连接。例如，在企业a的局域网中接入了20台业务服务器，大数据平台从该20台业务服务器中采集安全大数据。
175.服务器将从同一业务服务器中采集的安全大数据存储在大数据平台中地址连续的存储空间。例如，服务器将从业务服务器a采集的安全大数据存储在0x00000000-0x10000000的地址连续的存储空间；将从业务服务器b采集的安全大数据存储在0x10000000-0xf0000000的地址连续的存储空间。
176.服务器将检索语句下发至大数据平台，大数据平台首先在一块地址连续的存储空间对来自于业务服务a的安全大数据进行检索，然后再另一块地址连续的存储空间对来自于业务服务器b的安全大数据进行检索，依次类推，直至完成检索操作，得到检索结果。
177.上述实施例中，由于同一业务服务器中采集的安全大数据存储在大数据平台中地址连续的存储空间，服务器在针对从同一业务服务器采集的安全大数据进行检索时，可以在地址连续的存储空间进行检索，减少了磁盘寻址的时间，提高了检索速度。
178.在一个实施例中，s208之前还包括：确定产生各安全大数据的事件所对应的事件发生时间；基于事件发生时间对各安全大数据进行排序，得到排序后的安全大数据；s208具体包括：将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的、排序后的安全大数据中，根据漏洞特征进行大数据检索得到检索结果。
179.当事件发生时，服务器获取事件发生时间并记录，然后按照事件发生时间的先后顺序对各安全大数据进行排序，得到排序后的安全大数据，并将排序后的安全大数据同步至大数据平台。服务器也可以将安全大数据和对应的事件发生时间同步至大数据平台，由大数据平台基于事件发生时间对各安全大数据进行排序。
180.服务器可以通过比较类排序算法或者非比较排序算法对各安全大数据进行排序。比较类排序算法例如可以是交换排序算法、插入排序算法、选择排序算法或者归并排序算法。非比较排序算法例如可以是计数排序算法、桶排序算法或者基数排序算法。
181.服务器将检索语句下发至大数据平台，大数据平台从与检索数据源对应的、排序后的安全大数据中，根据漏洞特征进行大数据检索得到检索结果。
182.上述实施例中，服务器基于事件发生时间对各安全大数据进行排序，使大数据平台可以按照事件发生的先后顺序对安全大数据进行检索，缩短了检索时间，提高了检索速度。
183.在一个实施例中，安全大数据通过大数据平台的分布式文件系统进行存储；分布式文件系统包括数据操作端、管理节点和数据节点；如图10所示，s208之前还包括：
184.s1002，通过数据操作端对安全大数据中的各数据文件进行分块处理，得到文件数据块。
185.其中，分布式文件系统(distributed file system，dfs)是把大量数据分散存储在通过计算机网络相连的数据节点上的文件系统。分布式文件系统例如可以是nfs(network file system，网络文件系统)、oss(object storage service，云对象存储服务)、hdfs(hadoop distributed file system，hadoop分布式文件系统)等。hdfs是运行在通用硬件上的分布式文件系统，采用多副本的机制对数据文件进行分块，并将文件数据块分散存储在大量服务器的本地文件系统中。hdfs将数据自动保存为多个副本，单一副本发生故障时，可以利用其他副本实现数据的自动恢复，提高了容错性能。此外，hdfs能够处理gb、tb、甚至pb级别规模的数据，同时也支持处理百万规模以上的文件数量，并采用流式数据访问方式保证数据的一致性。
186.其中，数据操作端(client)是分布式文件系统的管理客户端，可以用于对分布式文件系统中的数据文件进行分块处理。并且数据操作端还可以通过命令来管理整个hdfs，例如，通过命令来启动或者关闭整个分布式文件系统。管理节点和数据节点是运行在分布式文件系统上的软件。管理节点用于处理数据操作端对数据的操作请求，并对文件分块位置信息(元数据)进行管理。数据节点用于执行管理节点下达的读写命令，根据读写命令对数据进行读取和写入操作。
187.s1004，通过数据操作端向管理节点发送数据存储请求，以使管理节点基于数据存储请求，指示数据节点在大数据平台中存储文件数据块。
188.如图11所示，数据操作端与管理节点进行交互，向管理节点发送数据存储请求，管理节点收到数据操作端的数据存储请求后，根据数据存储请求向数据节点下达命令，指示数据节点对文件数据块进行存储。数据节点根据管理节点下达的命令对文件数据块进行存储之后，将文件数据块的位置信息反馈至管理节点，以使管理节点将位置信息反馈至数据操作端。分布式文件系统还可以对文件数据块进行备份，将备份所得的文件数据块副本分散存储在不同的数据节点中。在其中一个数据节点由于发生故障而发生数据丢失时，可以利用其他数据节点中存储的数据对发生故障的数据节点中的数据进行恢复。
189.s1006，将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的文件数据块中，根据漏洞特征进行大数据检索得到检索结果。
190.s1008，基于检索结果确定安全漏洞的影响信息，并根据影响信息生成漏洞分析报
告。
191.上述s1006-1008的具体步骤可以参考图2实施例。
192.上述实施例中，服务器通过数据操作端对数据文件进行分块处理，从而可以将所得的文件数据块和备份所得的文件数据块副本分散存储在不同的数据节点，提高了文件系统的可靠性。
193.在一个实施例中，影响信息包括影响业务范围、业务部门标识和责任人标识；s210具体包括：基于检索结果确定在发生安全漏洞时被攻击的主机的网络地址；在资产数据库中检索与网络地址匹配的责任人标识；根据责任人标识确定对应的业务部门标识和影响业务范围。
194.其中，影响业务范围是由于安全漏洞的发生而受到影响的业务范围。在安全漏洞发生时，黑客利用安全漏洞对计算机系统发动攻击，通过计算机系统提供的业务服务因攻击行为而受到影响。例如，影响业务范围可以包括物品交换业务、即时通信业务、信息发布业务。业务部门标识是由于安全漏洞的发生而使业务受到影响的业务部门的标识，可以由字符、数字、文字等组成。例如，业务部门标识为部门a，或者业务部门标识也可以是12345等。责任人标识是由于安全漏洞的发生而使业务受到影响的业务部门的责任人的标识，可以由字符、数字、文字等组成。例如，责任人标识可以是编号a-123，或者责任人标识也可以是责任人的姓名李xx。资产数据库是存储各种资产的资产信息的数据库。资产信息包括资产的编号、资产所属的责任人的标识、购买时间等。
195.具体地，如图3所示，检索结果中包括目标主机的网络地址“10.10.10.10”，服务器根据该网络地址可以在资产数据库中查询该目标主机所属的责任人的责任人标识，然后基于责任人标识对应的责任人所属的业务部门，确定受到影响的业务部门的业务部门标识和影响业务范围。
196.上述实施例中，服务器基于检索结果确定责任人标识、业务部门标识和影响业务范围，以根据所确定的责任人标识、业务部门标识和影响业务范围生成漏洞分析报告，从而可以根据漏洞分析报告有针对性的对安全漏洞进行处理，提高了安全漏洞的处理效率。
197.在一个实施例中，检索语句是响应于在终端的检索页面上触发的检索分析操作而下发至大数据平台的；s210之前还包括：接收大数据平台返回的检索结果；将检索结果发送至终端，以使终端以不同显示方式，将检索结果中的数据字段和对应的数据显示于检索页面的结果显示区。
198.其中，检索分析操作是用于触发大数据平台针对安全大数据的检索行为的操作，可以是通过点击控件触发的操作，或者也可以是通过滑动屏幕触发的操作，或者也可以是通过语音命令触发的操作。如图9所示，当用户在终端902的检索页面上触发了检索分析操作时，终端902将检索语句上传至服务器904，服务器904将检索语句下发至大数据平台906。大数据平台906在检索得到检索结果时，将检索结果反馈至服务器904。服务器904将检索结果发送至终端902，终端902在检索页面的结果显示区以不同显示方式显示检索结果中的数据字段和对应的数据。
199.其中，不同显示方式可以是以不同的颜色显示数据字段和对应的数据，例如，将数据字段显示为红色，将数据字段对应的数据显示为蓝色；或者也可以是以不同的字体显示数据字段和对应的数据，例如，将数据字段显示为宋体字，将数据字段对应的数据显示为黑
体字等。
200.上述实施例中，服务器响应于在终端的检索页面上触发的检索分析操作而将检索语句下发至大数据平台，然后接收大数据平台返回的检索结果，并将检索结果发送至终端，从而可以使终端以直观简洁的方式显示检索结果。
201.在一个实施例中，安全漏洞处理方法应用于安全漏洞处理系统；安全漏洞处理系统在运行过程中的作业数据存储在主数据库；s210之前还包括：将作业数据从主数据库同步至备数据库；当主数据库发生故障时，从备数据库中获取作业数据；当主数据库恢复时，将安全漏洞处理系统在运行过程中新产生的作业数据同步至主数据库。
202.其中，安全漏洞处理系统是包括安全情报模块、操作模块、特征检索模块、安全大数据模块、存储模块和日志模块的系统，具体地，安全漏洞处理系统可以是如图12所示的系统。
203.安全情报模块用于对安全情报源进行监控以从安全情报源获取安全情报，主要包括数据库、监测后台和分布式监测集群。数据库用于存储从安全情报源采集的安全情报。分布式监测集群是用于对安全情报源进行监测的服务器集群，由多个监测服务器组成。监测后台用于管理分布式监测集群，根据配置的监测策略为分布式监测集群中的每个监测服务器分配对应的安全情报源，监测服务器对所分配的安全情报源进行监测。
204.操作模块用于完成大数据检索的操作。操作模块对安全情报进行分析得到安全漏洞的漏洞情报信息，然后根据漏洞情报信息提取漏洞特征，构建包括检索数据源和漏洞特征的检索语句。操作模块将检索语句下发至特征检索模块，特征检索模块根据检索语句在大数据平台的安全大数据中进行检索。
205.特征检索模块将高频读取访问的数据存储在特定的数据缓存区，当接收到包含检索语句的检索请求时，优先在数据缓存区中进行大数据检索，当在数据缓存区中不能检索得到检索结果时，在大数据平台的其他数据存储区进行检索，从而可以快速的获取检索结果。大数据平台可以将同一个业务服务器相关的安全大数据存储在地址连续的存储空间，从而可以减少检索时的磁盘寻址时间，提高检索速度。特征检索模块针对在同一个业务服务器产生的安全大数据，按照产生该安全大数据的事件发生的时间进行排序，从而可以对排序后的安全大数据进行检索，提高检索速度。
206.安全大数据模块采用分布式文件系统存储安全大数据，分布式文件系统可以是hdfs系统。hdfs按照树形数据结构对安全大数据的管理目录和文件进行管理，并提供创建、读、写等数据操作。
207.存储模块用于存储安全漏洞处理系统在运行过程中产生的所有作业数据。作业数据包括安全漏洞处理系统的配置信息，配置信息例如可以是数据库ip地址，端口，数据库类型等。如图13a所示，存储模块包括主数据库和备数据库。主数据库用于进行作业数据的读写操作，并且将存储的作业数据同步至备数据库，以对作业数据进行备份。如图13b所示，当主数据库发生故障时，主数据库中断将作业数据同步至备数据库，并且使备数据库进行作业数据的读写操作，以使服务器从备数据库中获取作业数据。如图13c所示，当主数据库恢复时，备数据库继续进行作业数据的读写操作，并且将安全漏洞处理系统在运行过程中新产生的作业数据同步至主数据库。
208.日志模块用于记录安全漏洞处理系统的系统日志。当安全漏洞处理系统发生故障
时，服务器可以通过系统日志中记录的运行信息对故障进行排除，或者对安全漏洞处理系统进行优化改进。
209.上述实施例中，服务器首先将安全漏洞处理系统在运行过程中的作业数据存储在主数据库，并且将作业数据从主数据库同步至备数据库进行备份。从而可以在主数据库发生故障时，从备数据库中获取作业数据，保证了存储的作业数据不会因主数据库发生故障而丢失，提高了作业数据的安全性。
210.在一个实施例中，安全漏洞处理方法应用于安全漏洞处理系统；s210之前还包括：服务器获取安全漏洞处理系统在运行时生成的系统日志；基于系统日志生成日志文本文件；将系统日志存储于日志服务器，以及将日志文本文件存储于本地存储区。
211.其中，系统日志是关于系统和用户之间的交互的类型、内容以及时间等的记录。根据系统日志的内容，可以将系统日志分为配置日志、监控日志、告警日志和运行日志。配置日志用于记录用户新增，删除，修改系统配置的行为。监控日志用于记录系统中各模块的操作行为。告警日志用于记录系统中的告警模块触发的告警行为。运行日志用于记录系统后台在运行过程中的各种行为。系统日志分为error、warn、info、debug四个不同的等级。error等级的系统日志用于记录导致系统无法正常工作的严重故障。系统管理员需要对error等级的系统日志进行重点关注，以及时解决系统故障，保障系统正常运行。warn等级的系统日志用于记录系统在运行过程中发生的异常行为。当系统发生warn等级的系统日志记录的异常行为时，表示系统在运行过程中存在一定的风险，可能会出现运行故障。info等级的系统日志用于记录系统在运行过程中产生的关键信息。debug等级的系统日志用于记录系统调试所需的各类信息，包括运行参数信息、运行返回信息等。
212.如图14所示，服务器基于系统日志生成日志文本文件，然后将系统日志存储于日志服务器，以及将日志文本文件存储于本地存储区。
213.上述实施例中，服务器对系统在运行过程中产生的系统日志进行记录和存储，从而在系统运行发生故障时，可以根据系统日志对故障原因进行排查，以保障系统安全稳定运行。
214.在一个实施例中，如图15所示，当安全漏洞爆发时，安全漏洞处理方法包括如下步骤：
215.s1502，从实时监测的安全情报源获取关于安全漏洞的漏洞情报信息。
216.其中，安全情报源可以是各种网站、公众号、小程序、应用程序客户端等。服务器可以通过监测后台配置监测策略，监测策略用于设置监测集群中的监测服务器所监测的安全情报源。例如，监测策略为监测服务器a对网站1-3，小程序x-1进行监测，监测服务器b对网站4-6，应用程序客户端app-2进行监测。服务器将监测得到的漏洞情报信息存储在数据库中，然后对存储的漏洞情报信息进行分析。服务器对安全情报源进行监测，得到安全情报，安全情报为通过安全情报源发布的各种公告和报告等。安全情报中包括漏洞情报信息，漏洞情报信息是描述安全漏洞特征的情报信息，包括安全漏洞的cve编号、发现时间、严重程度分值、漏洞类型、攻击路径等。例如，安全情报为安全研究者通过网站发布的关于安全漏洞的研究报告，该研究报告中包括安全漏洞的漏洞情报信息。
217.s1504，对漏洞情报信息进行格式化处理，生成格式化的漏洞情报信息。
218.格式化处理是将漏洞情报信息记录在不同的数据字段中，得到格式化的漏洞情报
信息。数据字段包括严重度参数字段和漏洞字段，严重度参数字段为用于对安全漏洞的严重程度进行评分的字段，漏洞字段为除严重度参数字段之外的其他字段。严重度参数字段可以包括攻击路径，攻击难度，权限要求，用户交互，影响范围，机密性影响，完整性影响，可用性影响等字段。漏洞字段可以包括内部评分、外部评分、情报名称、情报概述、cve编号、发现时间、安全版本、影响版本、漏洞类型、poc状态、漏洞原因、利用难度、发现渠道、漏洞详情、检测方法、修复建议、参考链接等字段。
219.s1506，根据格式化的漏洞情报信息中的严重度参数字段对应的严重度特征得到严重程度分值。
220.服务器基于严重度参数字段对应的严重度特征，对安全漏洞的严重程度进行评分，得到严重程度分值。服务器还可以基于至少两个严重度参数字段对应的严重度特征分别进行评分，得到对应的字段分值，然后对字段分值进行加权相加，得到严重程度分值。
221.服务器可以按照cvss评分系统确定所得到的严重程度分值对应的严重程度等级。cvss安全漏洞评分系统将安全漏洞的严重程度划分为四个等级，分别为低级、中级、高级和致命级。基于cvss安全漏洞评分体系所确定的严重程度分值为1-10的数值，当严重程度分值在0.1
–
3.9范围内时，该安全漏洞的严重程度等级为“低”；当严重程度分值在4.0
–
6.9范围内时，该安全漏洞的严重程度等级为“中”；当严重程度分值在7.0
–
8.9范围内时，该安全漏洞的严重程度等级为“高”；当严重程度分值在9.0
–
10.0范围内时，该安全漏洞的严重程度等级为“致命”。
222.s1508，根据严重程度分值判断安全漏洞是否是严重漏洞，当安全漏洞是严重漏洞时，执行s1510，否则，忽略该安全漏洞。
223.在一个实施例中，当严重程度分值达到预设阈值时，服务器确定安全漏洞为严重漏洞，当严重程度分值未达到预设阈值时，服务器确定安全漏洞不是严重漏洞。
224.在一个实施例中，服务器基于严重程度分值，按照cvss评分系统确定所得到的严重程度分值对应的严重程度等级。当严重程度等级达到预设级别时，服务器确定安全漏洞为严重漏洞，当严重程度分值未达到预设阈值时，服务器确定安全漏洞不是严重漏洞。
225.s1510，根据格式化的漏洞情报信息判断安全漏洞是否可以进行检索，当安全漏洞可以进行检索时，执行s1512，否则，忽略该安全漏洞。
226.服务器基于格式化处理所得的数据字段判断安全漏洞是否可以进行检索，具体地，如果格式化处理所得的数据字段中包含与大数据平台中存储的数据字段对应的字段，则确定安全漏洞可以进行检索；如果格式化处理所得的数据字段中没有包含与大数据平台中存储的数据字段对应的字段，则确定安全漏洞不可以进行检索。例如，如果格式化处理所得的数据字段中包括攻击载荷字段，而大数据平台中存储的数据字段也包括攻击载荷字段，则确定安全漏洞可以进行检索。
227.s1512，依据所述漏洞情报信息构建包括检索数据源和漏洞特征的检索语句。
228.其中，检索数据源用于表示检索数据的来源。其中，漏洞特征是安全漏洞的特点或特性。例如，当黑客利用安全漏洞攻击某个网站时，向网站发送的http请求的攻击载荷中携带了字符串“aaa”，则该安全漏洞的漏洞特征为攻击载荷中包括“aaa”的字符串。又例如，当利用某种安全漏洞进行攻击时，发起攻击的源ip地址为“123.123.123.123”，则该安全漏洞的漏洞特征为攻击源ip地址为“123.123.123.123”。检索语句是用于描述所检索的数据的
特征的语句，包括检索数据源和漏洞特征。
229.检索语句中可以包括多个检索子句，每个检索子句确定了一个检索条件。检索子句间由检索条件关系词相连接。检索条件用于表示检索结果所需满足的条件。例如，漏洞特征为攻击载荷中包括字符“aaa”，基于该漏洞特征构建的检索子句为
“‘
aaa’in
‘
攻击载荷
’”
，基于该检索子句所确定的检索条件为攻击载荷中包括字符“aaa”。
230.在一个实施例中，服务器获取漏洞情报信息中的漏洞字段；基于漏洞字段对应的漏洞特征确定检索数据源；基于检索数据源和漏洞特征分别构建检索子句；用检索条件关键词连接所构建的检索子句，得到检索语句。
231.在一个实施例中，终端展示检索页面，然后获取在检索语句编辑框中输入的包括检索数据源和漏洞特征的检索语句，然后将检索语句发送至服务器。服务器从终端获取检索语句。
232.s1514，响应于在终端的检索页面上触发的检索分析操作，将检索语句下发至大数据平台。
233.检索分析操作可以是通过检索页面上的检索分析触发控件触发的操作，检索分析触发控件可以是按钮等控件，或者也可以是通过滑动屏幕触发的操作，或者也可以是通过语音命令触发的操作。用户在终端的检索页面中触发了检索分析操作时，终端生成指示大数据平台开始进行检索的检索指令，并将检索指令发送至服务器，服务器响应于检索指令，将检索语句下发至大数据平台。
234.s1516，大数据平台根据检索语句对安全大数据进行检索，并将检索结果反馈至服务器。
235.大数据平台基于检索语句在所存储的，来自于检索数据源的数据中进行检索，从中检索出与漏洞特征匹配的数据，检索出的数据即为检索结果。大数据平台可以将高频读取访问的数据存储在特定的数据缓存区，当接收到包含检索语句的检索请求时，大数据平台可以优先在数据缓存区中进行大数据检索，当在数据缓存区中不能检索得到检索结果时，在大数据平台的其他数据存储区进行检索，从而可以快速的获取检索结果。大数据平台可以将同一个业务服务器相关的安全大数据存储在地址连续的存储空间，从而可以减少检索时的磁盘寻址时间，提高检索速度。大数据平台可以针对在同一个业务服务器产生的安全大数据，按照产生该安全大数据的事件发生的时间进行排序，从而可以对排序后的安全大数据进行检索，提高检索速度。
236.大数据平台可以采用分布式文件系统存储安全大数据，分布式文件系统可以是hdfs系统。hdfs按照树形数据结构对安全大数据的管理目录和文件进行管理，并提供创建、读、写等数据操作。分布式文件系统可以包括数据操作端、管理节点和数据节点，数据操作端是分布式文件系统的管理客户端，可以用于对分布式文件系统中的数据文件进行分块处理，还可以通过命令来管理整个分布式文件系统，例如，通过命令来启动或者关闭整个分布式文件系统。管理节点和数据节点是运行在分布式文件系统上的软件。管理节点用于处理数据操作端对数据的操作请求，并对文件分块位置信息(元数据)进行管理。数据节点用于执行管理节点下达的读写命令，根据读写命令对数据进行读取和写入操作。
237.在一个实施例中，服务器将从局域网中的业务服务器采集的数据存储在大数据平台，从而大数据平台中存储了从业务服务器采集的海量的安全大数据。局域网例如可以是
某个企业的内网，业务服务器可以是该企业进行业务处理的服务器。业务服务器中存储了业务处理的过程中产生的各种数据，以及对该业务服务器进行访问所产生的数据等。业务服务器定期将所存储的数据同步至大数据平台，所同步的数据成为大数据平台中的安全大数据。
238.s1518，服务器将检索结果返回至终端，以使终端在检索页面中显示检索结果。
239.大数据平台在检索得到检索结果后，将检索结果反馈至服务器。服务器接收大数据平台返回的检索结果，将检索结果发送至终端，以使终端以不同显示方式，将检索结果中的数据字段和对应的数据显示于检索页面的结果显示区。其中，不同显示方式可以是以不同的颜色显示数据字段和对应的数据，或者也可以是以不同的字体显示数据字段和对应的数据。
240.s1520，基于检索结果确定安全漏洞的影响信息，并根据影响信息生成漏洞分析报告。
241.其中，影响信息包括影响业务范围、业务部门标识和责任人标识。检索结果可以包括目标主机ip地址、攻击源所属地域、攻击类型、攻击分类、攻击载荷、攻击阶段、http日志、攻击时间、风险等级、协议类型等。服务器基于检索结果确定在发生安全漏洞时被攻击的主机的网络地址；在资产数据库中检索与网络地址匹配的责任人标识；根据责任人标识确定对应的业务部门标识和影响业务范围。服务器在获取包括影响业务范围、业务部门标识和责任人标识的影响信息后，根据影响信息生成漏洞分析报告，所生成的漏洞分析报告中包括影响业务范围、业务部门标识和责任人标识。
242.应该理解的是，虽然图2、5、7-8、10、15的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2、5、7-8、10、15中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
243.在一个实施例中，如图16所示，提供了一种安全漏洞处理装置，该装置可以采用软件模块或硬件模块，或者是二者的结合成为计算机设备的一部分，该装置具体包括：获取模块1602、确定模块1604、构建模块1606、下发模块1608和生成模块1610其中：
244.获取模块1602，用于从实时监测的安全情报源获取关于安全漏洞的漏洞情报信息；
245.确定模块1604，用于基于漏洞情报信息确定安全漏洞的严重程度分值；
246.构建模块1506，用于当安全漏洞的严重程度分值达到预设阈值时，依据漏洞情报信息构建包括检索数据源和漏洞特征的检索语句；
247.下发模块1608，用于将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果；安全大数据是在发生安全漏洞过程中采集并同步至大数据平台的安全数据；
248.生成模块1610，用于基于检索结果确定安全漏洞的影响信息，并根据影响信息生成漏洞分析报告。
249.上述实施例中，基于从实时监测的安全情报源获取的，关于安全漏洞的漏洞情报信息确定安全漏洞的严重程度分值。由于对安全情报源进行了实时监测，保证了安全情报的时效性，从而可以及时发现安全漏洞，提高了对安全漏洞进行处理的效率。当安全漏洞的严重程度分值达到预设阈值时，依据漏洞情报信息构建包括检索数据源和漏洞特征的检索语句。将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果，并基于检索结果确定的安全漏洞的影响信息生成漏洞分析报告。在发生安全漏洞时，可以快速的对安全大数据进行检索并取得检索结果，相比于人工对安全数据进行分析排查，缩短了分析排查的时间，提高了安全漏洞的处理效率。并且通过大数据平台进行检索所得的结果更加全面，避免了数据遗漏，所得到的漏洞分析报告更加准确全面。
250.在一个实施例中，获取模块1602，还用于：
251.获取分布式监测集群中的各监测服务器实时监测的安全情报源；
252.获取各监测服务器对安全情报源进行实时监测所得的关于安全漏洞的漏洞情报信息。
253.在一个实施例中，确定模块1604，还用于：
254.对漏洞情报信息进行格式化处理，生成格式化的漏洞情报信息；
255.在格式化的漏洞情报信息中查找严重度参数字段；
256.基于严重度参数字段对应的严重度特征，对安全漏洞的严重程度进行评分，得到严重程度分值。
257.在一个实施例中，构建模块1606，还用于：
258.在格式化的漏洞情报信息中查找漏洞字段；
259.基于漏洞字段对应的漏洞特征确定检索数据源；
260.构建包括检索数据源和漏洞特征的检索语句。
261.在一个实施例中，如图17所示，装置还包括：
262.获取模块1602，还用于获取对各安全大数据进行访问的访问频率；
263.选取模块1612，用于在各安全大数据中，选取访问频率大于预设频率值时所对应的安全大数据；
264.存储模块1614，用于将所选取的安全大数据存储在大数据平台的数据缓存区；
265.下发模块1608，还用于将检索语句下发至大数据平台，以使大数据平台根据漏洞特征，在存储于数据缓存区的与检索数据源对应的安全大数据中进行大数据检索，得到检索结果。
266.在一个实施例中，安全大数据是从至少两个业务服务器中采集的数据；装置还包括：
267.存储模块1614，还用于将从同一业务服务器中采集的安全大数据存储在地址连续的存储空间；
268.下发模块1608，还用于将检索语句下发至大数据平台，以使大数据平台在存储于存储空间的与检索数据源对应的安全大数据中，根据漏洞特征进行大数据检索得到检索结果。
269.在一个实施例中，装置还包括：
270.确定模块1604，还用于确定产生各安全大数据的事件所对应的事件发生时间；
271.排序模块1616，用于基于事件发生时间对各安全大数据进行排序，得到排序后的安全大数据；
272.下发模块1608，还用于将检索语句下发至大数据平台，以使大数据平台从与检索数据源对应的、排序后的安全大数据中，根据漏洞特征进行大数据检索得到检索结果。
273.在一个实施例中，安全大数据通过大数据平台的分布式文件系统进行存储；分布式文件系统包括数据操作端、管理节点和数据节点；装置还包括：
274.分块处理模块1618，用于通过数据操作端对安全大数据中的各数据文件进行分块处理，得到文件数据块；
275.发送模块1620，用于通过数据操作端向管理节点发送数据存储请求，以使管理节点基于数据存储请求，指示数据节点在大数据平台中存储文件数据块。
276.在一个实施例中，方法应用于安全漏洞处理系统；安全漏洞处理系统在运行过程中的作业数据存储在主数据库；装置还包括：
277.同步模块1622，用于将作业数据从主数据库同步至备数据库；
278.获取模块1602，还用于当主数据库发生故障时，从备数据库中获取作业数据；
279.同步模块1622，还用于当主数据库恢复时，将安全漏洞处理系统在运行过程中新产生的作业数据同步至主数据库。
280.在一个实施例中，影响信息包括影响业务范围、业务部门标识和责任人标识；确定模块1604，还用于：
281.基于检索结果确定在发生安全漏洞时被攻击的主机的网络地址；
282.在资产数据库中检索与网络地址匹配的责任人标识；
283.根据责任人标识确定对应的业务部门标识和影响业务范围。
284.在一个实施例中，检索语句是响应于在终端的检索页面上触发的检索分析操作而下发至大数据平台的；装置还包括：
285.接收模块1624，用于接收大数据平台返回的检索结果；
286.发送模块1620，还用于将检索结果发送至终端，以使终端以不同显示方式，将检索结果中的数据字段和对应的数据显示于检索页面的结果显示区。
287.在一个实施例中，装置还包括：
288.获取模块1602，还用于获取安全漏洞处理系统在运行时生成的系统日志；
289.生成模块1610，还用于基于系统日志生成日志文本文件；
290.存储模块1614，还用于将系统日志存储于日志服务器，以及将日志文本文件存储于本地存储区。
291.关于安全漏洞处理装置的具体限定可以参见上文中对于安全漏洞处理方法的限定，在此不再赘述。上述安全漏洞处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
292.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图18所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。
其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储安全漏洞处理数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种安全漏洞处理方法。
293.本领域技术人员可以理解，图18中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
294.在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
295.在一个实施例中，提供了一种计算机可读存储介质，存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
296.在一个实施例中，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各方法实施例中的步骤。
297.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
298.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
299.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。