本申请实施例提供一种漏洞热修复方法及服务器,涉及网络安全技术领域
【技术实现步骤摘要】
一种漏洞热修复方法及服务器
[0001]本申请涉及网络安全
,尤其涉及一种漏洞热修复的方法及服务器
。
技术介绍
[0002]随着网络攻击愈演愈烈,无数企业
、
团体等会因为自身网络业务或系统中存在安全漏洞而被攻击者渗透,造成数据泄露
、
经济损失等严重后果
。
故而,漏洞修复是规避网络攻击风险的重要手段
。
[0003]但是,相关技术中的漏洞修复的方案修复效果较差,无法满足服务器的安全防御需求
。
技术实现思路
[0004]本申请实施例提供了一种漏洞热修复方法
、
装置
、
服务器
、
计算机存储介质及计算机程序产品,能够降低修复复杂度,保障漏洞修复效果
。
[0005]第一方面,本申请实施例提供一种漏洞热修复方法,方法包括:获取流量数据,流量数据包括对业务系统的请求数据或者请求数据的响应数据,业务系统中包括风险点,风险点是存在漏洞的功能;调用规则白名单对流量数据进行合法性校验,规则白名单用于定义流量数据中的目标参数的合法性规则,且合法性规则中排除能够对漏洞形成攻击的攻击载荷所具有的攻击特征,目标参数为风险点需调用的参数;对未通过校验的流量数据进行阻断处理
。
[0006]这样,可以直接利用对风险点漏洞修复的规则白名单对流量数据中的目标参数进行合法性校验,有效避免攻击者在目标参数中插入恶意代码或特殊字符等,实现对风险点漏洞的热修复/>。
这种修复方式即使在流量数据中插入了针对未知漏洞的攻击字符,也可以具有较强的修复能力,加强网络安全性
。
[0007]在一些可能的示例中,所述规则白名单用于定义所述目标参数的参数类型的合法性规则;所述调用规则白名单对所述流量数据进行合法性校验,包括:确定所述规则白名单所定义的参数类型;从流量数据中获取规则白名单所定义的参数类型对应的目标参数;校验所述目标参数是否符合所述规则白名单定义的合法性规则
。
[0008]这样,根据规则白名单关联的参数类型,可以准确获取流量数据中的相应类型的目标参数进行校验
。
[0009]在一些可能的示例中,合法性规则至少包括所述目标参数的格式
、
长度
、
以及所使用的字符集合
。
[0010]在一些可能的示例中,调用规则白名单对所述流量数据进行合法性校验,包括:根据所述规则白名单中的合法性规则,校验所述目标参数的格式
、
长度和
/
或字符,确定所述目标参数的合法性;在所述目标参数的格式
、
长度和字符均符合所述合法性规则的情况下,确定所述流量数据合法;在所述目标参数的格式
、
长度和字符中的一项或多项不符合所述合法性规则的情况下,确定所述流量数据不合法
。
[0011]在本示例中,由于携带攻击载荷的目标参数必然无法满足合法性规则的定义,因此通过对目标参数的格式
、
长度和字符的校验,可以准确识别流量数据是否存在风险,保障对漏洞的修复能力
。
[0012]在一些可能的示例中,在有多个所述规则白名单的情况下,各个所述规则白名单分别用于定义不同目标参数的参数类型的合法性规则,且各个所述规则白名单之间设有优先级顺序,所述调用规则白名单对所述流量数据进行合法性校验,包括:调用最高优先级的规则白名单,对所述流量数据进行合法性校验;在所述流量数据通过所述最高优先级的规则白名单的校验,或者所述流量数据未包括所述最高优先级的规则白名单所对应参数类型的目标参数的情况下,按照所述优先级顺序,一一调用剩余规则白名单对所述流量数据进行合法性校验
。
[0013]在本示例中,可以通过多个规则白名单校验流量数据,提高修复强度
。
[0014]在一些可能的示例中,所述规则白名单包括通用型规则白名单,所述通用型规则白名单的合法性规则用于排除能够对多个风险点存在的漏洞形成攻击的攻击载荷所具有的攻击特征,所述漏洞为一个或多个,所述攻击载荷为一个或多个
。
[0015]在一些可能的示例中,所述规则白名单包括应用型规则白名单,所述应用型规则白名单的合法性规则用于排除能够对目标风险点存在的漏洞形成攻击的攻击载荷所具有的攻击特征,所述漏洞为一个或多个,所述攻击载荷为一个或多个
。
[0016]在一些可能的示例中,方法还包括:确定系统中风险点存在的漏洞,以及风险点所需调用的目标参数的参数类型;根据风险点的漏洞,获取攻击载荷;确定攻击载荷的攻击特征;根据攻击特征和参数类型,生成规则白名单
。
[0017]本示例中,针对系统中已知风险点的漏洞的攻击载荷的攻击特征和该风险点调用的参数类型,创建对这些已知风险点漏洞有修复效果的规则白名单,保障这些风险点所调用的目标参数的合法性
。
[0018]在一些可能的示例中,风险点存在多个漏洞,多个漏洞的漏洞类型不同;根据风险点的漏洞,获取攻击载荷,包括:根据风险点上各个漏洞的漏洞类型,获取每个漏洞的攻击载荷
。
[0019]本示例中,当一个风险点有多种漏洞时,可以获取每个漏洞的攻击载荷来创建规则白名单,从而利于通过规则白名单提高对漏洞修复的范围
。
[0020]在一些可能的示例中,规则白名单包括应用型规则白名单;根据攻击特征和参数类型,生成规则白名单,包括:根据目标风险点存在的所有漏洞的攻击载荷的攻击特征,以及目标风险点所需调用的目标参数的参数类型,生成用于修复目标风险点的所有漏洞的应用型规则白名单,其中,目标风险点为系统中所有风险点之一
。
[0021]在本示例中,可以针对系统中的某个风险点创建对应的应用型白名单,有针对性地修复风险点的漏洞
。
[0022]在一些可能的示例中,系统包括多个风险点,每个风险点所需调用的目标参数的参数类型不同;规则白名单包括通用型规则白名单;根据攻击特征和参数类型,生成规则白名单,包括:根据多个风险点存在的所有漏洞的攻击载荷的攻击特征,和每个风险点对应的参数类型,生成用于修复多个风险点的漏洞的通用型规则白名单
。
[0023]在本示例中,多个风险点可以是具有一定相似性的风险点,例如能执行网络添加
的网络配置功能,能执行用户添加的用户管理功能等
。
这些风险点存在的漏洞类型可能相同,所以,可以创建对多个风险点的漏洞有修复能力的通用性白名单
。
[0024]在一些可能的示例中,所述攻击特征包括攻击代码和
/
或指定字符
(
如特殊字符
)
;根据所述攻击特征和所述参数类型,生成所述规则白名单,包括:创建所述参数类型的目标参数应符合的格式
、
长度以及所使用的字符集合,得到规则集,且在所述规则集中排除所本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种漏洞热修复方法,其特征在于,所述方法包括:获取流量数据,所述流量数据包括对业务系统的请求数据或者所述请求数据的响应数据,所述业务系统中包括风险点,所述风险点是存在漏洞的功能;调用规则白名单对所述流量数据进行合法性校验,所述规则白名单用于定义所述流量数据中的目标参数的合法性规则,且所述合法性规则中排除能够对所述漏洞形成攻击的攻击载荷所具有的攻击特征,所述目标参数为所述风险点需调用的参数;对未通过校验的所述流量数据进行阻断处理
。2.
根据权利要求1所述的方法,其特征在于,所述规则白名单用于定义所述目标参数的参数类型的合法性规则;所述调用规则白名单对所述流量数据进行合法性校验,包括:确定所述规则白名单所定义的参数类型;从流量数据中获取所述规则白名单所定义的参数类型对应的目标参数;校验所述目标参数是否符合所述规则白名单定义的合法性规则
。3.
根据权利要求1或2所述的方法,其特征在于,所述合法性规则至少包括所述目标参数的格式
、
长度
、
以及所使用的字符集合
。4.
根据权利要求1‑3任一所述的方法,其特征在于,所述调用规则白名单对所述流量数据进行合法性校验,包括:根据所述规则白名单中的合法性规则,校验所述目标参数的格式
、
长度和
/
或字符,确定所述目标参数的合法性;在所述目标参数的格式
、
长度和字符均符合所述合法性规则的情况下,确定所述流量数据合法;在所述目标参数的格式
、
长度和字符中的一项或多项不符合所述合法性规则的情况下,确定所述流量数据不合法
。5.
根据权利要求1‑4任一所述的方法,其特征在于,在有多个所述规则白名单的情况下,各个所述规则白名单分别用于定义不同目标参数的参数类型的合法性规则,且各个所述规则白名单之间设有优先级顺序,所述调用规则白名单对所述流量...
【专利技术属性】
技术研发人员:曹佳旭,
申请(专利权)人:超聚变数字技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。