一种漏洞无感缓解装置及方法制造方法及图纸

本发明专利技术公开了一种漏洞无感缓解装置及方法，装置包括：漏洞监测程序模块监测应用APP的漏洞风险；访问策略模块基于访问请求包，对访问请求进行拦截或者放行至该应用APP或者无感缓解模块内与该应用APP对应的APP；无感缓解模块根据漏洞监测程序模块的监测结果，构建漏洞加固函数，生成加固函数及加固日志；评估模块根据加固日志、访问日志持续对应用APP进行评估，访问策略模块基于评估结果，生成该接口函数的新的访问规则，从而实现无需重启应用程序即可对应用APP函数漏洞暴露的关键指标能及时进行加固，实时更新加载虚拟补丁进行拦截配置，在恶意软件危及易受攻击目标之前，高效地修补相关漏洞，避免相应的攻击行为。避免相应的攻击行为。避免相应的攻击行为。

【技术实现步骤摘要】
一种漏洞无感缓解装置及方法


[0001]本专利技术涉及信息安全
，具体涉及一种漏洞无感缓解装置及方法。

技术介绍

[0002]随着电力系统智能化、互动化发展和网络攻击技术演进，具有“硬件平台化、业务APP化、结构模块化”特点的智能物联终端面临来自公网或专网的网络攻击风险，终端自身存在的漏洞隐患问题也更加突出。一般通过离线或者在线的方式对存在问题的软件包进行替换或者补丁的方式进行相关漏洞的修复，以对应用进行加固，但是这样一方面漏洞修复的周期和更换的成本较大，另一方面漏洞修复的过程，升级完后需要重启应用或系统，影响其他业务的正常使用，对原生应用和系统有较大的侵入。

技术实现思路

[0003]因此，本专利技术要解决的技术问题在于克服现有技术中的漏洞修复的过程，升级完后需要重启应用或系统的缺陷，从而提供一种漏洞无感缓解装置及方法。
[0004]为达到上述目的，本专利技术提供如下技术方案：
[0005]第一方面，本专利技术实施例提供一种漏洞无感缓解装置，包括：应用漏洞监测程序模块、访问策略模块、无感缓解模块、评估模块，其中，漏洞监测程序模块，用于对应用APP进行实时感知监测，监测其存在的漏洞风险；访问策略模块，用于基于访问请求包，对访问请求进行拦截或者放行至该应用APP或者无感缓解模块内与该应用APP对应的APP；无感缓解模块，用于根据漏洞监测程序模块的监测结果，构建相应的漏洞加固函数，生成加固函数及相关加固日志并发送至评估模块；评估模块，用于根据加固日志、访问日志持续对应用APP进行评估，访问策略模块基于评估模块的评估结果，生成该应用APP的接口函数的新的访问规则。
[0006]第二方面，本专利技术实施例提供一种漏洞无感缓解方法，基于第一方面的漏洞无感缓解装置，方法包括：当应用APP接收到访问者发送的访问请求包时，应用APP将访问请求包发送至访问策略模块，访问策略模块根据其内部存储的各应用APP的访问规则、接收到的请求包，判断访问者是否有访问权限；当访问者有访问权限时，访问策略模块判断访问函数是否存在漏洞，当访问函数有访问漏洞时，访问策略模块判断无感缓解模块是否有该应用APP相对应的加固函数；当无感缓解模块有与该应用APP相对应的加固函数时，访问策略模块将访问请求包发送至无感缓解模块内与该应用APP对应的APP，进行正常的业务访问。
[0007]在一实施例中，当访问者没有访问权限时，访问策略模块拦截该访问请求。
[0008]在一实施例中，当访问函数有访问漏洞时，访问策略模块对该访问请求进行放行，访问者正常的访问该应用APP。
[0009]在一实施例中，当无感缓解模块没有与该应用APP相对应的加固函数时，访问策略模块拦截该访问请求。
[0010]在一实施例中，无感缓解模块记录相关的访问日志，将访问过程同步给评估模块；
评估模块持续对应用访问进行评估，访问策略模块基于评估模块的评估结果，生成该应用APP的接口函数的新的访问规则。
[0011]在一实施例中，无感缓解模块建立加固函数的过程包括：在各应用容器中均部署一个应用漏洞监测程序模块，利用应用漏洞监测程序模块对应用APP进行扫描，并基于扫描结果，建立该应用APP与漏洞关系标签，并将标签发送至无感缓解模块；无感缓解模块基于应用APP与漏洞关系标签，对该应用APP的接口函数进行加固，生成加固函数及相关加固日志并发送至评估模块；评估模块基于加固日志对该应用APP的接口函数的访问规则进行评估，得到评估结果并发送至访问策略模块；访问策略模块基于评估结果，生成该应用APP的接口函数的新的访问规则。
[0012]在一实施例中，扫描结果包括：应用APP所依赖的函数库、暴露的接口函数、端口的危险情况。
[0013]在一实施例中，基于扫描结果，建立该应用APP与漏洞关系标签的过程，包括：应用漏洞监测程序模块分析该应用APP的暴露的接口函数出现的漏洞；基于分析结果，将应用APP与暴露的接口函数出现的漏洞，建立关系标签。
[0014]第三方面，本专利技术实施例提供一种计算机可读存储介质，计算机可读存储介质存储有计算机指令，计算机指令用于使计算机执行本专利技术实施例第二方面的漏洞无感缓解方法。
[0015]本专利技术技术方案，具有如下优点：
[0016]本专利技术提供的漏洞无感缓解装置及方法，漏洞监测程序模块对应用APP进行实时感知监测，监测其存在的漏洞风险；访问策略模块基于访问请求包，对访问请求进行拦截或者放行至该应用APP或者无感缓解模块内与该应用APP对应的APP；无感缓解模块根据漏洞监测程序模块的监测结果，构建相应的漏洞加固函数，生成加固函数及相关加固日志；评估模块根据加固日志、访问日志持续对应用APP进行评估，访问策略模块基于评估模块的评估结果，生成该应用APP的接口函数的新的访问规则，从而实现无需重启应用程序即可对应用APP函数漏洞暴露的端口、泄露的地址等关键指标能及时进行加固，实时更新加载虚拟补丁进行拦截配置，在恶意软件危及易受攻击目标之前，高效地修补相关漏洞，避免相应的攻击行为。
附图说明
[0017]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0018]图1为本专利技术实施例提供的漏洞无感缓解装置的一个具体示例的组成图；
[0019]图2为本专利技术实施例提供的漏洞无感缓解方法的一个具体示例的流程图；
[0020]图3为本专利技术实施例提供的漏洞无感缓解方法的另一个具体示例的流程图；
[0021]图4为本专利技术实施例提供的计算机设备一个具体示例的组成图。
具体实施方式
[0022]下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0023]在本专利技术的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本专利技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本专利技术的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
[0024]在本专利技术的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，还可以是两个元件内部的连通，可以是无线连接，也可以是有线连接。对于本领域的普通技术人本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种漏洞无感缓解装置，其特征在于，包括：应用漏洞监测程序模块、访问策略模块、无感缓解模块、评估模块，其中，所述漏洞监测程序模块，用于对应用APP进行实时感知监测，监测其存在的漏洞风险；所述访问策略模块，用于基于访问请求包，对访问请求进行拦截或者放行至该应用APP或者无感缓解模块内与该应用APP对应的APP；所述无感缓解模块，用于根据漏洞监测程序模块的监测结果，构建相应的漏洞加固函数，生成加固函数及相关加固日志并发送至评估模块；所述评估模块，用于根据加固日志、访问日志持续对应用APP进行评估，访问策略模块基于评估模块的评估结果，生成该应用APP的接口函数的新的访问规则。2.一种漏洞无感缓解方法，其特征在于，基于权利要求1所述的漏洞无感缓解装置，所述方法包括：当应用APP接收到访问者发送的访问请求包时，应用APP将访问请求包发送至访问策略模块，所述访问策略模块根据其内部存储的各应用APP的访问规则、接收到的请求包，判断访问者是否有访问权限；当所述访问者有访问权限时，访问策略模块判断访问函数是否存在漏洞，当访问函数有访问漏洞时，访问策略模块判断无感缓解模块是否有该应用APP相对应的加固函数；当无感缓解模块有与该应用APP相对应的加固函数时，访问策略模块将访问请求包发送至无感缓解模块内与该应用APP对应的APP，进行正常的业务访问。3.根据权利要求2所述的漏洞无感缓解方法，其特征在于，还包括：当访问者没有访问权限时，访问策略模块拦截该访问请求。4.根据权利要求2所述的漏洞无感缓解方法，其特征在于，还包括：当访问函数有访问漏洞时，访问策略模块对该访问请求进行放行，访问者正常的访问该应用APP。5.根据权利要求2所述的漏洞无感缓解方法，其特征在于，还包括：当无感缓解模块没有与该应用APP相对应的加固...

【专利技术属性】
技术研发人员：姚启桂，张小建，费稼轩，王向群，王齐，郭志民，吕卓，李暖暖，陈岑，陈涛，李峰，袁涛，
申请(专利权)人：国网河南省电力公司电力科学研究院国网新疆电力有限公司国家电网有限公司，
类型：发明
国别省市：