【技术实现步骤摘要】
本专利技术属于数据安全领域,具体涉及一种基于流量快速检测漏洞的系统及方法。
技术介绍
1、随着互联网的迅猛发展,网络安全问题日益突出。网络攻击、勒索病毒、数据泄露等事件频发,给企业和个人带来了巨大的损失。攻击者主要是通过利用网络漏洞窃取服务器中的信息或者破坏网络服务的活动。常见的针对漏洞的攻击包括应用漏洞,反序列化漏洞,数据库漏洞,web漏洞等等。具体的攻击方式有比如拒绝服务攻击(dos)、sql注入、远程代码执行等等。快速准确的网络漏洞检测及防护为网络服务提供的安全保障至关重要。现有的检测方案主要是使用ids检测利用漏洞的攻击流量,或使用自动化漏洞扫描工具来检测存在的漏洞。
2、现有成熟的漏洞检测主要有两种方式:
3、一种方式是基于流量判定漏洞利用攻击,但无法准确判断漏洞利用是否成功,误报较高,属于攻击阶段的检测,无法判定漏洞是否存在,也无法提前发现漏洞和修复漏洞。如果最新爆发的1day漏洞,不能及时更新漏洞攻击的特征,也就无法对新的漏洞进行检测。另外一种方式是攻击发生前使用扫描工具进行主动漏洞扫描,在漏洞扫描过程中,会发送大量的检测数据包,扫描发出的payload轻则在被扫描系统数据库中留下脏数据,重则直接导致业务系统崩溃,在idc机房中,网络流量特别大,而且部署了大量关键业务系统,主动扫描可能造成关键业务中断,对于利用漏洞的攻击检测有误报,又不能提前发现漏洞。
4、如何基于流量无损的高效快速发现漏洞隐患是个很大的难题。
技术实现思路
1、为
2、一种基于流量快速检测漏洞的系统,包括:
3、指纹规则收集模块、指纹规则库、cpe字典收集模块、cpe字典库、已知漏洞收集模块、已知漏洞库、资产识别模块、流量过滤模块、资产库、漏洞匹配模块、漏洞检测报告管理模块;
4、所述指纹规则收集模块用于收集指纹规则数据,并上传至指纹规则库;
5、所述cpe字典收集模块用于收集cpe字典数据,并上传至cpe字典库;
6、所述已知漏洞收集模块用于收集cve漏洞数据,并上传至已知漏洞库即cve漏洞数据库;
7、所述流量过滤模块用于流量收集并过滤,并将过滤后的流量传输给资产识别模块;所述资产识别模块调用指纹规则库、cpe字典库里的数据与过滤后的流量进行匹配,获得对应的资产cpe id、port、厂商、产品、版本信息,接着资产识别模块将上述资产cpe id,port,厂商,产品,和版本信息写入资产库中,接着资产识别模块将获取到的cpe id传输给漏洞匹配模块;
8、所述漏洞匹配模块根据资产识别模块获得的cpe id查询对应的漏洞,进行漏洞等级划分,并将获得的漏洞等级传输给漏洞检测报告管理模块,所述漏洞检测报告管理模块根据漏洞等级生成检测报告。
9、优选地,本申请还设计了一种基于流量快速检测漏洞的方法,包括以下步骤:
10、步骤s1、进行指纹规则数据、cpe字典数据、cve漏洞数据的收集;
11、步骤s2、使用交换机进行流量收集并过滤,获得流量数据;
12、步骤s3、使用指纹规则数据和cpe字典数据对流量数据进行资产识别,获取对应的cpe id;
13、步骤s4、根据步骤s3获取的cpe id查询对应的漏洞,并进行漏洞等级划分;
14、步骤s5、根据漏洞等级生成漏洞检测报告。
15、优选地,所述步骤s1中,所述指纹规则数据的收集方法包括:
16、步骤s111、收集用于识别资产数据的指纹规则,将收集到的指纹规则分为三大类,包括操作系统os,服务service和应用http三大类;
17、步骤s112、对指纹规则进行相关字段的提取;
18、步骤s113、根据收集到的三大类指纹规则创建相应的表或集合,根据提取的字段构建各自的表;
19、步骤s114、将步骤s113解析后的指纹规则导入指纹规则数据库;
20、步骤s115、编写脚本或者定时任务,定期从公开渠道抓取新的指纹规则,并将新的指纹规则更新至指纹规则数据库。
21、优选地,所述步骤s1中,所述cpe字典数据的收集包括:
22、步骤s121、从公开渠道收集获取已知资产的cpe字典数据集;
23、步骤s122、对每条cpe字典数据提取字段,包括cpe id,port,厂商,产品,版本信息;
24、步骤s123、选择mysql数据库进行cpe字典数据的存储,适用etl工具将步骤s122提取后的cpe字典数据导入cpe字典数据库;
25、步骤s124、设定定时任务定期从公开渠道抓取最新的cpe字典数据,并更新至cpe字典数据库。
26、优选地,所述步骤s1中,所述cve漏洞数据的收集包括:
27、步骤s131、从主流漏洞平台收集已知的cve漏洞数据;
28、步骤s132、对收集的cve漏洞数据进行相应字段提取;
29、步骤s133、选择mysql数据库存储解析后的cve漏洞数据;
30、步骤s134、设置定时任务定期获取最新的cve漏洞数据,并更新至cve漏洞数据库。
31、优选地,所述步骤s2具体包括:
32、步骤s21、配置交换机进行端口镜像,通过交换机的镜像配置命令,将要监控的端口的流量复制到一个特定的监控端口,保存配置并确保镜像会话运行成功;
33、步骤s22、连接镜像的目标端口,通过抓包工具开始抓取流量,收集流量数据;
34、步骤s23、列出idc机房内所有使用的ip地址或确定其子网,确定idc机房的ip地址范围;
35、步骤s24、对收集到的流量数据进行过滤。
36、优选地,所述步骤s3具体包括:
37、将步骤s2过滤后的流量数据与指纹规则数据库、cpe字典数据库进行匹配,获得对应的资产cpe id、port、厂商、产品、版本信息;
38、并将上述资产cpe id,port,厂商,产品,和版本信息写入资产库中。
39、优选地,所述步骤s4具体包括:
40、步骤s41、根据步骤s3获得的资产cpe id,通过遍历cve漏洞数据库,查询得到所有相关联的漏洞列表:
41、步骤s42、遍历查询每个cve漏洞的详细信息;
42、步骤s43、通过cvss分数进行每个cve漏洞的划分,计算漏洞等级。
43、优选地,所述步骤s43中,漏洞等级的定义为:
44、低等级:cvss评分为:0.0 - 3.9;
45、中等级:cvss评分为:4.0 - 6.9;
【技术保护点】
1.一种基于流量快速检测漏洞的系统,其特征在于,包括:
2.一种基于流量快速检测漏洞的方法,其特征在于,包括以下步骤:
3.根据权利要求2所述的一种基于流量快速检测漏洞的方法,其特征在于,所述步骤S1中,所述指纹规则数据的收集方法包括:
4.根据权利要求2或3任一项所述的一种基于流量快速检测漏洞的方法,其特征在于,所述步骤S1中,所述CPE字典数据的收集包括:
5.根据权利要求2或3任一项所述的一种基于流量快速检测漏洞的方法,其特征在于,所述步骤S1中,所述CVE漏洞数据的收集包括:
6.根据权利要求5所述的一种基于流量快速检测漏洞的方法,其特征在于,所述步骤S2具体包括:
7.根据权利要求6所述的一种基于流量快速检测漏洞的方法,其特征在于,所述步骤S3具体包括:
8.根据权利要求7所述的一种基于流量快速检测漏洞的方法,其特征在于,所述步骤S4具体包括:
9.根据权利要求8所述的一种基于流量快速检测漏洞的方法,其特征在于,所述步骤S43中,漏洞等级的定义为:
10.根据权利
...【技术特征摘要】
1.一种基于流量快速检测漏洞的系统,其特征在于,包括:
2.一种基于流量快速检测漏洞的方法,其特征在于,包括以下步骤:
3.根据权利要求2所述的一种基于流量快速检测漏洞的方法,其特征在于,所述步骤s1中,所述指纹规则数据的收集方法包括:
4.根据权利要求2或3任一项所述的一种基于流量快速检测漏洞的方法,其特征在于,所述步骤s1中,所述cpe字典数据的收集包括:
5.根据权利要求2或3任一项所述的一种基于流量快速检测漏洞的方法,其特征在于,所述步骤s1中,所述cve漏洞数据的收集包括:
...
【专利技术属性】
技术研发人员:李国辉,张华,
申请(专利权)人:上海创旗天下科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。