一种基于指纹的网络资产与漏洞关联方法及装置制造方法及图纸

本发明专利技术提供一种基于指纹的网络资产与漏洞关联方法及装置，所述方法包括：对网络资产进行探测，获取所述网络资产的返回报文；生成网络资产CPE指纹；将提取的CPE信息与CVE编号建立关联；将获取的CPE与CVE的对应关系存储于CPE

【技术实现步骤摘要】
一种基于指纹的网络资产与漏洞关联方法及装置


[0001]本专利技术涉及数据安全领域，尤其涉及一种基于指纹的网络资产与漏洞关联方法及装置。

技术介绍

[0002]特定的漏洞会影响一个或多个产品及其版本，常见漏洞暴露后，便可以针对漏洞细节编写验证Poc,利用此Poc便可以远程验证被测试系统是否存在相应漏洞，但此步操作存在诸多局限性，例如需要和对方服务器产生报文交互，容易被溯源，大规模验证系统资源开销较大等问题。
[0003]当前网络资产丰富，网络资产探测平台越来越多，比较出名的有Shodan,ZoomEye和Fofa等，探测平台对网络资产进行探测后，需要对相应的资产进行漏洞关联，然后再将资产存储到数据库中。这些平台对探测到的资产入库前会对探测到的数据进行相关处理，其中一步便是将资产与漏洞关联，为资产打上相应的漏洞标签，此操作可以提高平台数据的价值，也可以为后续分析打下基础。平台通常做法是在探测资产的同时设置好Poc来验证资产漏洞，而后将扫描到的漏洞信息和探测到的资产一同回传到服务器，例如对常见的操作系统、Web应用、数据库、工控设备的资产探测与漏洞扫描，典型的应用有Nmap等软件，但此步操作对资源和时间要求较高。
[0004]杀毒领域也存在类似的应用，当前360杀毒、瑞星杀毒、金山杀毒等安全软件对主机进行安全扫描时都会扫描主机是否存在漏洞，一种通行的做法是扫描主机操作系统及安装软件，利用已知漏洞信息进行验证，查看当前系统及安装软件版本是否存在漏洞，但此操作也较为消耗系统资源和时间，且容易导致系统不稳定。<br/>
技术实现思路

[0005]为解决上述技术问题，本专利技术提出了一种基于指纹的网络资产与漏洞关联方法及装置，用以解决现有技术中网络资产与漏洞关联效率低的技术问题，当前业界多使用POC对资产可能存在的漏洞进行验证，资源开销大，速度也较低。
[0006]根据本专利技术的第一方面，提供一种基于指纹的网络资产与漏洞关联方法，所述方法包括以下步骤：
[0007]步骤S1：对网络资产进行探测，获取所述网络资产的返回报文；解析所述返回报文的关键信息，所述关键信息包括受影响产品的类别、名称、版本；基于所述关键信息生成网络资产CPE指纹，所述网络资产CPE指纹用于标识单个网络资产；
[0008]步骤S2：定期从NVD数据库获取更新的CVE数据，对所述更新的CVE数据中的CPE字段进行解析；获取CPE字典，提取所述CPE字典中受影响产品的类别、名称、版本信息，将其作为提取的CPE信息；将所述提取的CPE信息与CVE数据建立关联；将获取的CPE信息与CVE数据的对应关系存储于CPE
‑
CVE关联数据库；将所述CPE
‑
CVE关联数据库中的数据存储于CPE
‑
CVE缓存数据库；
[0009]步骤S3：将所述网络资产CPE指纹与所述CPE
‑
CVE缓存数据库的指纹进行匹配；若匹配成功，则说明当前网络资产存在漏洞；若匹配不成功，则说明当前资产暂无数据库中所存漏洞；
[0010]步骤S4：将所述网络资产CPE指纹标识的网络资产添加相应CVE编号，若探测到的网络资产暂无漏洞，则将CVE编号置空，并存入网络资产数据库。
[0011]优选地，所述步骤S1，其中：
[0012]所述关键信息包括Banner信息，Banner信息为受影响产品的类别、名称、版本；
[0013]所述网络资产CPE指纹是指将从网络上爬取的CVE数据包中提取的CPE信息中的受影响产品的类别、名称、版本信息编制成的相应指纹。
[0014]优选地，采用自定义方式生成网络资产CPE指纹，基于所述网络资产的类别、名称、版本的属性，对属性进行编码，并将编码作为资产指纹。
[0015]优选地，将所述CPE
‑
CVE关联数据库中的数据存储于缓存数据库，包括：
[0016]步骤S201：确定所述CPE
‑
CVE关联数据库需要存储于缓存数据库的缓存数据；
[0017]步骤S202：按年份将缓存服务器进行分区，提取CVE数据中的时间值，将所述时间值输入分类算法模块，由分类算法模块根据时间值得到缓存分区号；
[0018]步骤S203：将所述缓存数据按年份写入缓存服务器中与所述缓存数据对应的缓存分区，所述缓存服务器部署了所述缓存数据库。
[0019]优选地，所述步骤S4，包括：
[0020]步骤S401：获取由解析服务器生成的CPE指纹，获取所述网络资产的时间值；基于时间值确定该CVE
‑
CPE关联数据库中对应的缓存分区，得到缓存分区号；
[0021]步骤S402：在所述缓存分区号对应的缓存分区中遍历数据，查询与所述网络资产对应的CVE编号；若存在，进入步骤S403，若不在，设置空值，进入步骤S404；
[0022]步骤S403：为所述网络资产添加对应的CVE编号的标签，将网络资产加入资产数据库，方法结束；
[0023]步骤S404：为所述网络资产添加空标签，将网络资产加入资产数据库，方法结束。
[0024]根据本专利技术第二方面，提供一种基于指纹的网络资产与漏洞关联装置，所述装置包括：
[0025]探测模块：配置为对网络资产进行探测，获取所述网络资产的返回报文；解析所述返回报文的关键信息，所述关键信息包括受影响产品的类别、名称、版本；基于所述关键信息生成网络资产CPE指纹，所述网络资产CPE指纹用于标识单个网络资产；
[0026]CPE
‑
CVE关联模块：配置为定期从NVD数据库获取更新的CVE数据，对所述更新的CVE数据中的CPE字段进行解析；获取CPE字典，提取所述CPE字典中受影响产品的类别、名称、版本信息，将其作为提取的CPE信息；将所述提取的CPE信息与CVE数据建立关联；将获取的CPE信息与CVE数据的对应关系存储于CPE
‑
CVE关联数据库；将所述CPE
‑
CVE关联数据库中的数据存储于CPE
‑
CVE缓存数据库；
[0027]匹配模块：配置为将所述网络资产CPE指纹与所述CPE
‑
CVE缓存数据库的指纹进行匹配；若匹配成功，则说明当前网络资产存在漏洞；若匹配不成功，则说明当前资产暂无数据库中所存漏洞；
[0028]存储模块：将所述网络资产CPE指纹标识的网络资产添加相应CVE编号，若探测到
的网络资产暂无漏洞，则将CVE编号置空，并存入网络资产数据库。
[0029]根据本专利技术第三方面，提供一种基于指纹的网络资产与漏洞关联系统，包括：
[0030]处理器，用于执行多条指令；
[0031]存储器，用于存储多条指令；
[0032]其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如前所述的方法。
[0033]根据本专利技术第四方面，提供一种计算机可读存储介质，所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于指纹的网络资产与漏洞关联方法，其特征在于，所述方法包括以下步骤：步骤S1：对网络资产进行探测，获取所述网络资产的返回报文；解析所述返回报文的关键信息，所述关键信息包括受影响产品的类别、名称、版本；基于所述关键信息生成网络资产CPE指纹，所述网络资产CPE指纹用于标识单个网络资产；步骤S2：定期从NVD数据库获取更新的CVE数据，对所述更新的CVE数据中的CPE字段进行解析；获取CPE字典，提取所述CPE字典中受影响产品的类别、名称、版本信息，将其作为提取的CPE信息；将所述提取的CPE信息与CVE数据建立关联；将获取的CPE信息与CVE数据的对应关系存储于CPE
‑
CVE关联数据库；将所述CPE
‑
CVE关联数据库中的数据存储于CPE
‑
CVE缓存数据库；步骤S3：将所述网络资产CPE指纹与所述CPE
‑
CVE缓存数据库的指纹进行匹配；若匹配成功，则说明当前网络资产存在漏洞；若匹配不成功，则说明当前资产暂无数据库中所存漏洞；步骤S4：将所述网络资产CPE指纹标识的网络资产添加相应CVE编号，若探测到的网络资产暂无漏洞，则将CVE编号置空，并存入网络资产数据库。2.如权利要求1所述的方法，其特征在于，所述步骤S1，其中：所述关键信息包括Banner信息，Banner信息为受影响产品的类别、名称、版本；所述网络资产CPE指纹是指将从网络上爬取的CVE数据包中提取的CPE信息中的受影响产品的类别、名称、版本信息编制成的相应指纹。3.如权利要求2所述的方法，其特征在于，采用自定义方式生成网络资产CPE指纹，基于所述网络资产的类别、名称、版本的属性，对属性进行编码，并将编码作为资产指纹。4.如权利要求3所述的方法，其特征在于，将所述CPE
‑
CVE关联数据库中的数据存储于缓存数据库，包括：步骤S201：确定所述CPE
‑
CVE关联数据库需要存储于缓存数据库的缓存数据；步骤S202：按年份将缓存服务器进行分区，提取CVE数据中的时间值，将所述时间值输入分类算法模块，由分类算法模块根据时间值得到缓存分区号；步骤S203：将所述缓存数据按年份写入缓存服务器中与所述缓存数据对应的缓存分区，所述缓存服务器部署了所述缓存数据库。5.如权利要求4所述的方法，其特征在于，所述步骤S4，包括：...

【专利技术属性】
技术研发人员：施凡，郑敬华，开少锋，胡淼，许成喜，沈毅，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：