一种漏洞的处理方法、管理设备以及网关设备技术

本申请实施例公开了一种漏洞的处理方法，用于通信领域。该方法包括：管理设备首先根据第一设备相关的漏洞信息向网关设备下发有针对性的抓包规则，并接收网关设备对应返回的根据抓包规则抓取的第一设备传输的目标会话的报文。管理设备根据第一设备传输的目标会话的报文，确定是否向该网关设备发送阻断策略，在第一漏洞不具备实际威胁性的时候不发送阻断策略，避免因阻断策略影响第一设备上的正常业务；在第一漏洞具备实际威胁性的时候发送阻断策略，及时降低第一漏洞的危害，减少安全事故发生的概率。发生的概率。发生的概率。

【技术实现步骤摘要】
一种漏洞的处理方法、管理设备以及网关设备
[0001]本申请是对申请号201911095412.7，申请日为2019年11月11日，名称为“一种漏洞的处理方法、管理设备以及网关设备”的申请文件所作的分案申请。


[0002]本申请实施例涉及通信领域，尤其涉及一种漏洞的处理方法。

技术介绍

[0003]漏洞，也被称为脆弱性(Vulnerability)是指在计算机系统安全方面的缺陷，使得计算机系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。上述缺陷包括计算机硬件、软件、以及计算机在通信协议的具体实现或安全策略方面上存在的缺陷。漏洞扫描工具是一类重要的网络安全技术。通过应用漏洞扫描工具对网络中的各个设备进行漏洞扫描，网络管理员能了解网络中各设备的安全设置和运行的应用服务，及时发现网络设备中的安全漏洞，客观评估网络风险等级。如果说防火墙是被动的防御手段，那么漏洞扫描工具就是一种主动的防范措施，能有效避免黑客攻击行为，做到防患于未然。补丁是指软件厂商或者第三方补丁提供商针对计算机在使用过程中暴露的问题而发布的用于解决问题的小程序。为了提升网络安全性，许多公司、或组织的内部网络中部署有补丁管理工具。网络中的补丁管理工具用于收集补丁，并将补丁下发给终端从而修补漏洞。
[0004]现有安全软件厂商将上述漏洞扫描工具和补丁管理工具集成于同一个管理设备中。管理设备使用漏洞扫描工具对网络中的设备进行扫描之后，如果设备上所安装的软件存在发现漏洞，则漏洞扫描工具向补丁管理工具上报发现的漏洞信息。补丁管理工具根据发现的漏洞信息查找到与漏洞相对应的补丁，该补丁可以弥补漏洞所带来的缺陷。此外管理设备获得到漏洞信息之后，还会阻断该出现漏洞的软件的会话。
[0005]然而，漏洞扫描工具往往会向管理设备上报大量漏洞的漏洞信息。该管理设备无法对漏洞的威胁性进行准确的评价，会导致网络安全事故或者网络设备业务受影响。例如因漏洞修补不及时而造成的安全事故，或者因过高估计漏洞威胁而阻断设备上软件的相关会话而影响设备的正常通信。

技术实现思路

[0006]本申请实施例提供了一种漏洞的处理方法、管理设备以及网关设备，能够使设备正常通信。
[0007]本申请实施例第一方面提供了一种漏洞的处理方法，该方法包括：管理设备获取第一设备的漏洞信息，该第一设备的漏洞信息常用于指示第一软件中存在第一漏洞。然后管理设备根据获取到的第一设备的漏洞信息获取对应的抓包规则。管理设备所获取到的抓包规则可以用于识别具有所述第一漏洞的风险的报文。在管理设备获取到抓包规则之后，将会向网关设备发送该抓包规则。管理设备接收到网关设备发送的第一设备传输的目标会话的报文，该报文中具有第一漏洞的风险，因此管理设备可以根据该第一设备传输的目标
会话的报文确定第一漏洞的威胁性，根据第一漏洞的威胁性来确定是否向所述网关设备发送阻断策略。
[0008]该第一方面中，管理设备管理内网设备，当内网设备与外网设备之间建立通信连接时，网关设备转发内网设备与外网设备之间通信传输的数据。如果内网设备上安装的一个或者多个软件具有漏洞时，其中一个漏洞被称为第一漏洞。具有第一漏洞的软件被称为第一软件，安装第一软件的内网设备被称为第一设备，第一软件用网络协议与其他设备进行通信，第一设备受到管理设备的管理。
[0009]本申请实施例中，管理设备首先根据第一设备相关的漏洞信息向网关设备下发有针对性的抓包规则，并接收网关设备对应返回的根据抓包规则抓取的第一设备传输的目标会话的报文。管理设备根据第一设备传输的目标会话的报文确定第一漏洞的威胁性，进而根据该威胁性，确定是否向该网关设备发送阻断策略，在第一漏洞不具备威胁性的时候不发送阻断策略，避免因阻断策略影响第一设备上的正常业务。在第一漏洞具备威胁性的时候发送阻断策略，及时降低第一漏洞的危害，减少安全事故发生的概率。
[0010]在第一方面的一种可能的实现方式中，上述步骤：所述具有所述第一漏洞的风险的报文包括具有指定端口号和协议类型的报文。管理设备根据第一设备传输的所述目标会话的报文，确定所述第一漏洞的威胁性，根据所述威胁性，确定是否向所述网关设备发送阻断策略，包括：所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系，确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文；如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文，则所述管理设备不向所述网关设备发送所述阻断策略；如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文，则所述管理设备向所述网关设备发送所述阻断策略。
[0011]该种可能的实现方式中，如果管理设备接收到的具有第一漏洞的风险的报文中包括具有指定端口号和协议类型的报文，则管理设备调用第一漏洞库，根据第一漏洞库中的对应关系，管理设备确定第一设备传输的目标会话的报文中是否包括顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文。如果管理设备确定第一设备传输的目标会话的报文中不存在顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文时，那么证明第一漏洞不具备威胁性。因此，管理设备无需向网关设备发送阻断策略。如果管理设备确定第一设备传输的目标会话的报文中存在顺序出现的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文时，则证明第一漏洞具备威胁性。因此，管理设备向网关设备发送阻断策略，该网关设备阻断第一设备传输的目标会话。该种可能的实现方式提升了确定漏洞威胁性的准确性。
[0012]在第一方面的一种可能的实现方式中，上述步骤：所述具有所述第一漏洞的风险的报文包括指定端口号和协议类型，所述管理设备根据第一设备传输的所述目标会话的报文，确定所述第一漏洞的威胁性，根据所述威胁性，确定是否向所述网关设备发送阻断策略，包括：所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系，确定所述第一设备传输的目标会话的报文中
是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文；如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文，则所述管理设备不向所述网关设备发送阻断策略；如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文，则所述管理设备确定所述第一设备传输的目标会话的报文中是否包括异常数据；如果所述第一设备传输的目标会话的报文中还包括所述异常数据，所述管理设备向所述网关设备发送阻断策略。
[0013]该种可能的实现方式中，如果管理设备接收到的具有第一漏洞的风险的报文本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种漏洞的处理方法，其特征在于，包括：管理设备获取第一设备的漏洞信息，所述漏洞信息用于指示第一软件中存在第一漏洞，所述第一软件使用网络协议与其他设备进行通信，所述第一设备为所述管理设备所管理的网络设备；所述管理设备根据所述第一设备的漏洞信息获取抓包规则，所述抓包规则用于识别具有所述第一漏洞的风险的报文，所述抓包规则包括协议类型以及指定端口号；所述管理设备向所述第一设备相关的网关设备发送所述抓包规则，并指示所述抓包规则的实施对象为第一设备，所述第一设备为内网设备，所述网关设备用于转发所述第一设备与外网设备之间传输的报文，所述抓包规则用于所述网关设备从所述第一设备与外网设备之间传输的报文中截取目标会话的报文，所述目标会话中包含具有所述第一漏洞的风险的报文；所述管理设备接收所述网关设备发送的所述第一设备传输的目标会话的报文；所述管理设备根据所述第一设备传输的目标会话的报文，确定所述第一漏洞的威胁性。2.根据权利要求1所述的方法，其特征在于，所述确定所述第一漏洞的威胁性之后，还包括：根据所述第一漏洞的威胁性，确定是否向所述网关设备发送阻断策略。3.根据权利要求2所述的方法，其特征在于，所述根据所述第一漏洞的威胁性，确定是否向所述网关设备发送阻断策略，包括：如果所述第一漏洞不具备威胁性，不向所述网关设备发送所述阻断策略，以及如果所述第一漏洞具备威胁性，向所述网关设备发送所述阻断策略。4.根据权利要求2所述的漏洞的处理方法，其特征在于，所述具有所述第一漏洞的风险的报文包括具有所述指定端口号和所述协议类型的报文，所述管理设备根据第一设备传输的所述目标会话的报文，确定所述第一漏洞的威胁性，根据所述第一漏洞的威胁性，确定是否向所述网关设备发送阻断策略，包括：所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系，确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文；如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文，则所述管理设备不向所述网关设备发送所述阻断策略；如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文，则所述管理设备向所述网关设备发送所述阻断策略。5.根据权利要求2所述的漏洞的处理方法，其特征在于，所述具有所述第一漏洞的风险的报文包括具有所述指定端口号和所述协议类型的报文，所述管理设备根据第一设备传输的所述目标会话的报文，确定所述第一漏洞的威胁性，根据所述第一漏洞的威胁性，确定是否向所述网关设备发送阻断策略，包括：
所述管理设备根据第一漏洞库中包括的第一漏洞对应的漏洞利用请求报文和第一漏洞对应的漏洞利用应答报文的对应关系，确定所述第一设备传输的目标会话的报文中是否存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文；如果所述第一设备传输的目标会话的报文中不存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文，则所述管理设备不向所述网关设备发送阻断策略；如果所述第一设备传输的目标会话的报文中存在顺序出现的所述第一漏洞对应的漏洞利用请求报文和所述第一漏洞对应的漏洞利用应答报文，则所述管理设备确定所述第一设备传输的目标会话的报文中是否包括异常数据；如果所述第一设备传输的目标会话的报文中还包括所述异常数据，所述管理设备向所述网关设备发送阻断策略。6.根据权利要求1至5任意一项所述的漏洞的处理方法，其特征在于，所述管理设备获取第一设备的漏洞信息包括：所述管理设备向所述第一设备发送探测报文；所述管理设备获取所述第一设备针对所述探测报文返回的应答报文，所述应答报文包括所述第一漏洞的风险；所述管理设备根据所述应答报文从第二漏洞库中获取所述应答报文对应的漏洞信息，从而确定所述第一设备的漏洞信息，所述第二漏洞库中包括所述应答报文与漏洞信息的对应关系。7.根据权利要求1至5中任意一项所述的漏洞的处理方法，其特征在于，管理设备获取第一设备的漏洞信息包括：所述管理设备向网络管理系统发送第一软件信息获取指令，所述第一软件信息获取指令用于指示所述网络管理系统获取所述第一设备上已安装软件的软件信息；所述管理设备接收所述网络管理系统根据所述第一软件信息获取指令返回的所述软件信息；所述管理设备向第二云设备发送所述软件信息，使得所述第二云设备根据所述软件信息以及第三漏洞库获取关联的漏洞信息，所述第三漏洞库中包括所述软件信息与漏洞信息的关联关系；所述管理设备接收所述第二云设备发送的关联的漏洞信息，从而确定所述第一设备的漏洞信息。8.根据权利要求1至5中任意一项所述的漏洞的处理方法，其特征在于，所述管理设备获取第一设备的漏洞信息包括：所述管理设备向所述第一设备发送第二软件信息获取指令，所述第二软件信息获取指令用于指示所述第一设备获取所述第一设备上已安装软件的软件信息；所述管理设备接收所述第一设备根据所述第二软件信息获取指令返回的所述软件信息；所述管理设备向第二云设备发送所述软件信息，使得所述第二云设备根据所述软件信息以及第三漏洞库获取关联的漏洞信息，所述第三漏洞库中包括所述第一软件信息与漏洞
信息的关联关系；所述管理设备接收所述第二云设备发送的关联的漏洞信息，从而确定所述第一设备的漏洞信息。9.根据权利要求1至5中任一项所述的漏洞的处理方法，其特征在于，所述阻断策略为访问控制列表，则所述管理设备向所述网关设备下发阻断策略前还包括：所述管理设备根据所述第一设备传输的目标会话的报文获取所述目标会话的五元组信息，所述五元组信息包括攻击设备的网络之间互连的协议IP地址、攻击设备的端口号、攻击设备与第一设备间的传输协议类型、所述第一设备的IP地址以及所述第一设备的端口号；所述管理设备生成包含所述五元组信息的表项...

【专利技术属性】
技术研发人员：蒋武，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：