漏洞检测方法、装置、系统及平台制造方法及图纸

本申请提供了一种漏洞检测方法、装置、系统及平台，其中，方法包括：在检测到预设的情报库中存储有情报信息的情况下，获取已生成的待检测资产信息；遍历情报库中的情报信息，判断情报信息中是否存在目标情报信息，在情报信息中存在目标情报信息的情况下，将待检测资产信息与目标情报信息指示的漏洞进行关联。由于只要检测到预设情报信息库中存在情报信息，就判断待检测资产信息是否存在漏洞，可以解决现有技术中漏洞检测滞后性的问题。由于本申请中的待检测资产信息是从企业内网，获取的当前运行web应用程序的执行jar文件列表中的各个jar文件名调用的组件信息，因此，本申请的待检测资产信息中的组件信息是比较全面。产信息中的组件信息是比较全面。产信息中的组件信息是比较全面。

【技术实现步骤摘要】
漏洞检测方法、装置、系统及平台


[0001]本申请涉及网络安全领域，尤其涉及漏洞检测方法、装置、系统及平台。

技术介绍

[0002]企业网络安全对企业来说，至关重要。其中，漏洞的检测对于企业网络安全具有重要影响。
[0003]目前，传统的企业网络安全漏洞的发现工作，依赖于人工。具体的，人工在企业网络的外网，通过向内网进行漏洞攻击，基于攻击结果，确定企业内网的漏洞。
[0004]但是，具有漏洞发现滞后性和漏洞挖掘不全面性。

技术实现思路

[0005]本申请提供了漏洞检测方法、装置、系统及平台，目的在于解决漏洞发现滞后性和漏洞挖掘不全面性的问题。
[0006]为了实现上述目的，本申请提供了以下技术方案：
[0007]本申请提供了一种漏洞检测方法，应用于漏洞检测系统中的处理器，所述方法包括：
[0008]在检测到预设的情报库中存储有情报信息的情况下，获取已生成的待检测资产信息；所述待检测资产信息是对内网中待检测服务器上运行的目标进程的信息，进行处理得到；所述目标进程指：分配给用于运行web应用程序的Java工程的进程；任一条所述待检测资产信息包括：一个jar文件名对应的三元组和所述jar文件名调用的组件信息；所述jar文件名指：所述目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名；所述jar文件名的三元组包括：所述jar文件名、所述jar文件名所在服务器的IP地址和所述jar文件名的物理路径；
[0009]遍历所述情报库中的情报信息，判断所述情报信息中是否存在目标情报信息；所述目标情报信息指：预警类型为“漏洞预警”的情报信息中组件信息与所述待检测资产信息中的组件信息一致的情报信息；
[0010]在所述情报信息中存在所述目标情报信息的情况下，将所述待检测资产信息与所述目标情报信息指示的漏洞进行关联。
[0011]可选的，所述漏洞检测系统还包括：部署于所述待检测服务器中的探针，以及探针管理器；所述任一条所述待检测资产信息还包括：jar文件名对应的业务信息；
[0012]其中，所述待检测资产信息的生成过程，包括：
[0013]获取探针监测所述待检测服务上运行的所述目标进程的信息；
[0014]依据所述目标进程的信息，获取目标进程运行的web应用程序的执行jar文件列表；所述执行jar文件列表包括jar文件；
[0015]通过解析所述jar文件列表，获取所述jar文件列表中各个jar文件调用的组件信息；
[0016]将每个jar文件名对应的三元组和组件信息，发送给探针管理器；
[0017]接收所述探针管理器发送的每个三元组对应的业务信息；
[0018]将一个三元组、该三元组对应的组件信息和该三元组对应的业务信息，作为一条待检测资产信息，进行画像和存储。
[0019]可选的，所述漏洞检测系统还包括用于采集外界采集源采集到的安全事件的采集器；
[0020]所述情报信息的生成过程，包括：
[0021]在所述外界采集源采集到安全事件的情况下，获取所述安全事件的内容；
[0022]从所述安全事件的内容中提取预设的多个主题的内容，得到所述安全事件的主题内容；
[0023]将所述安全事件的主题内容输入预设的模型，得到由所述安全事件的各个主题内容分别所属的预警类型构成的预警类型集合，以及所述预警类型集合中各个预警类型的概率；
[0024]依据所述预警类型集合以及所述预警类型集合中各个预警类型的概率，确定所述安全事件的预警类型；
[0025]按照与所述安全事件的预警类型对应的提取规则，从所述安全事件的内容中提取关键信息；所述关键信息包括：组件信息；
[0026]将所述安全事件对应的关键信息、预警类型和主题内容，作为一条情报信息，存储在所述情报信息库。
[0027]可选的，所述依据所述预警类型集合以及所述预警类型集合中各个预警类型的概率，确定所述安全事件的预警类型，包括：
[0028]对所述预警类型集合中的各个预警类型，分别计算加权和；其中，对任一预警类型计算加权和的过程包括：将该预警类型在各个主题内容下的概率值，以相同的权重进行加权和；
[0029]将所述预警类型集合中各个预警类型的加权和最大的预警类型，作为所述安全事件的预警类型。
[0030]可选的，所述关键信息还包括：威胁级别信息和威胁来源信息；
[0031]在所述将所述安全事件对应的关键信息、预警类型和主题内容，作为一条情报信息，存储在所述情报信息库之后，还包括：
[0032]将所述情报信息库中相同的情报信息进行融合，得到融合后的情报信息。
[0033]本申请还提供了一种漏洞检测装置，应用于漏洞检测系统中的处理器，所述装置包括：
[0034]获取模块，用于在检测到预设的情报库中存储有情报信息的情况下，获取已生成的待检测资产信息；所述待检测资产信息是对内网中待检测服务器上运行的目标进程的信息，进行处理得到；所述目标进程指：分配给用于运行web应用程序的Java工程的进程；任一条所述待检测资产信息包括：一个jar文件名对应的三元组和所述jar文件名调用的组件信息；所述jar文件名指：所述目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名；所述jar文件名的三元组包括：所述jar文件名、所述jar文件名所在服务器的IP地址和所述jar文件名的物理路径；
[0035]判断模块，用于遍历所述情报库中的情报信息，判断所述情报信息中是否存在目标情报信息；所述目标情报信息指：预警类型为“漏洞预警”的情报信息中组件信息与所述待检测资产信息中的组件信息一致的情报信息；
[0036]关联模块，用于在所述判断模块判断出情报信息中存在所述目标情报信息的情况下，将所述待检测资产信息与所述目标情报信息指示的漏洞进行关联。
[0037]本申请还提供了一种漏洞检测系统，包括：部署于内网中待检测服务中的探针、采集器和处理器；
[0038]所述探针，用于监测所述待检测服务器上运行的目标进程的信息；所述目标进程指：分配给用于运行web应用程序的Java工程的进程；
[0039]所述处理器，用于依据所述目标进程的信息，生成所述待检测资产信息；任一条所述待检测资产信息包括：一个jar文件名对应的三元组和所述jar文件名调用的组件信息；所述jar文件名指：所述目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名；所述jar文件名的三元组包括：所述jar文件名、所述jar文件名所在服务器的IP地址和所述jar文件名的物理路径；
[0040]所述采集器，用于采集外界采集源采集的安全事件；
[0041]所述处理器，还用于在所述外界采集源采集到安全事件的情况下，生成情报信息；
[0042]所述处理器，还用于在检测到预设的情报库中存储有情报信息的情况下，获取已生成的待检测资产信息；遍历所述情报库中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种漏洞检测方法，其特征在于，应用于漏洞检测系统中的处理器，所述方法包括：在检测到预设的情报库中存储有情报信息的情况下，获取已生成的待检测资产信息；所述待检测资产信息是对内网中待检测服务器上运行的目标进程的信息，进行处理得到；所述目标进程指：分配给用于运行web应用程序的Java工程的进程；任一条所述待检测资产信息包括：一个jar文件名对应的三元组和所述jar文件名调用的组件信息；所述jar文件名指：所述目标进程当前运行web应用程序的执行jar文件列表中的一个jar文件名；所述jar文件名的三元组包括：所述jar文件名、所述jar文件名所在服务器的IP地址和所述jar文件名的物理路径；遍历所述情报库中的情报信息，判断所述情报信息中是否存在目标情报信息；所述目标情报信息指：预警类型为“漏洞预警”的情报信息中组件信息与所述待检测资产信息中的组件信息一致的情报信息；在所述情报信息中存在所述目标情报信息的情况下，将所述待检测资产信息与所述目标情报信息指示的漏洞进行关联。2.根据权利要求1所述的方法，其特征在于，所述漏洞检测系统还包括：部署于所述待检测服务器中的探针，以及探针管理器；所述任一条所述待检测资产信息还包括：jar文件名对应的业务信息；其中，所述待检测资产信息的生成过程，包括：获取探针监测所述待检测服务上运行的所述目标进程的信息；依据所述目标进程的信息，获取目标进程运行的web应用程序的执行jar文件列表；所述执行jar文件列表包括jar文件；通过解析所述jar文件列表，获取所述jar文件列表中各个jar文件调用的组件信息；将每个jar文件名对应的三元组和组件信息，发送给探针管理器；接收所述探针管理器发送的每个三元组对应的业务信息；将一个三元组、该三元组对应的组件信息和该三元组对应的业务信息，作为一条待检测资产信息，进行画像和存储。3.根据权利要求1所述的方法，其特征在于，所述漏洞检测系统还包括用于采集外界采集源采集到的安全事件的采集器；所述情报信息的生成过程，包括：在所述外界采集源采集到安全事件的情况下，获取所述安全事件的内容；从所述安全事件的内容中提取预设的多个主题的内容，得到所述安全事件的主题内容；将所述安全事件的主题内容输入预设的模型，得到由所述安全事件的各个主题内容分别所属的预警类型构成的预警类型集合，以及所述预警类型集合中各个预警类型的概率；依据所述预警类型集合以及所述预警类型集合中各个预警类型的概率，确定所述安全事件的预警类型；按照与所述安全事件的预警类型对应的提取规则，从所述安全事件的内容中提取关键信息；所述关键信息包括：组件信息；将所述安全事件对应的关键信息、预警类型和主题内容，作为一条情报信息，存储在所述情报信息库。
4.根据权利要求3所述的方法，其特征在于，所述依据所述预警类型集合以及所述预警类型集合中各个预警类型的概率，确定所述安全事件的预警类型，包括：对所述预警类型集合中的各个预警类型，分别计算加权和；其中，对任一预警类型计算加权和的过程包括：将该预警类型在各个主题内容下的概率值，以相同的权重进行加权和；将所述预警类型集合中各个预警类型的加权和最大的预警类型，作为所述安全事件的预警类型。5.根据权利要求3所述的方法，其特征在于，所述关键信息还包括：威胁级别信息和威胁来源信息；在所述将所述安全事件对应的关键信息、预警类型和主题内容，作为一条情报信息，存储在所述情报信息库之后，还包括：将所述情报信息库中相同的情报信息进行融合，得到融合后的情报信息。6.一种漏洞检测装置，其特征在于，应用于漏洞检测系统中的处理器，所述装置包括：获取模块，用于在检测到预设的情报库中存储有情报信息的情况下，获取已生成的待检测资产信息；所述待检测资产信息是对内网中待检测服务器上运行的目标进程的信息，进行处理得到；所述目标进程指：分配给用于运行web应用程序的Java工程的进程；任一条所述待检测资产信息包括：一个jar文件名对应的三元组和所述jar文件名调用的组件信息；所述jar文件名指：所述目标进程当前运行web应用程序的执行jar文件列表中的一个ja...

【专利技术属性】
技术研发人员：张宾，刘明，杨正午，彭轼，高亚斌，马占祥，靳晓雨，
申请(专利权)人：国网电商科技有限公司，
类型：发明
国别省市：