本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其涉及一種漏洞檢測方法及裝置。

背景技術(shù)：

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和大數(shù)據(jù)的需求，出現(xiàn)了新的互聯(lián)網(wǎng)技術(shù)云技術(shù)。云技術(shù)是分布式處理、并行處理和網(wǎng)絡(luò)計(jì)算的發(fā)展，它是指在廣域網(wǎng)或者局域網(wǎng)內(nèi)將硬件、軟件和網(wǎng)絡(luò)等系列資源統(tǒng)一起來，實(shí)現(xiàn)數(shù)據(jù)的計(jì)算、儲存和共享的一種托管技術(shù)。

云技術(shù)對應(yīng)的托管平臺稱為云平臺或云環(huán)境。在云環(huán)境中的主機(jī)都為虛擬機(jī)，不同虛擬機(jī)是通過一個(gè)云主機(jī)管理平臺進(jìn)行管理的?，F(xiàn)有常用的云主機(jī)管理平臺為Open stack、Close stack等。在云環(huán)境中各虛擬機(jī)或者各功能組件之間需要進(jìn)行網(wǎng)絡(luò)通信，而在各功能組件在網(wǎng)絡(luò)交互的過程中可能會存在一些漏洞。為了保證網(wǎng)絡(luò)交互的安全性，因此需要對網(wǎng)絡(luò)交互過程進(jìn)行漏洞的掃描。

現(xiàn)有技術(shù)中基于網(wǎng)絡(luò)的漏洞掃描方式為：掃描軟件獲取需要被掃描的頁面的網(wǎng)間協(xié)議(Internet Protocol，簡稱IP)地址，在獲取到IP地址后對對應(yīng)的頁面進(jìn)行漏洞的掃描。若將現(xiàn)有的掃描方式應(yīng)用到這種新型的云主機(jī)管理平臺的架構(gòu)下進(jìn)行漏洞掃描，僅能掃描云平臺管理界面，對于云平臺中各個(gè)功能組件之間的網(wǎng)絡(luò)通信中可能存在的漏洞無法掃描。因此，對于現(xiàn)有的漏洞掃描方式已經(jīng)不能滿足新型的云環(huán)境下的掃描需求。

技術(shù)實(shí)現(xiàn)要素：

鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的漏洞檢測方法及裝置。

為解決上述技術(shù)問題，一方面，本發(fā)明提供了一種漏洞檢測方法，包括：

掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，所述掃描虛擬機(jī)位于所述云環(huán)境中；

接收各功能組件返回的掃描結(jié)果數(shù)據(jù)；

將所述掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定所述網(wǎng)絡(luò)交互的安全性。

另一方面，本發(fā)明提供了一種漏洞檢測裝置，包括：

掃描單元，用于掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，所述掃描虛擬機(jī)位于所述云環(huán)境中；

接收單元，用于接收各功能組件返回的掃描結(jié)果數(shù)據(jù)；

比對單元，用于將所述掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定所述網(wǎng)絡(luò)交互的安全性。

借由上述技術(shù)方案，本發(fā)明提供的漏洞檢測方法及裝置，能夠通過掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，其中掃描虛擬機(jī)位于上述云環(huán)境中；然后接收各功能組件返回的掃描結(jié)果數(shù)據(jù)；并將掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以找出各功能組件在網(wǎng)絡(luò)交互的過程中可能存在的漏洞，并以此確定云環(huán)境中各功能組件進(jìn)行網(wǎng)絡(luò)交互時(shí)的安全性。與現(xiàn)有技術(shù)相比，本發(fā)明能夠通過將掃描虛擬機(jī)放置在云環(huán)境中，使掃描虛擬機(jī)能夠?qū)υ骗h(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，并根據(jù)接收到的掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定各功能組件在網(wǎng)絡(luò)交互過程中的安全性。由此可以得出，本發(fā)明的漏洞檢測方法可以滿足云環(huán)境下對其中不同的功能組件之間的網(wǎng)絡(luò)交互過程進(jìn)行漏洞掃描的需求。

上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的具體實(shí)施方式。

附圖說明

通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述，各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的，而并不認(rèn)為是對本發(fā)明的限制。而且在整個(gè)附圖中，用相同的參考符號表示相同的部件。在附圖中：

圖1示出了本發(fā)明實(shí)施例提供的一種漏洞檢測方法流程圖；

圖2示出了本發(fā)明實(shí)施例提供的另一種漏洞檢測方法流程圖；

圖3示出了本發(fā)明實(shí)施例提供的一種漏洞檢測裝置的組成框圖；

圖4示出了本發(fā)明實(shí)施例提供的另一種漏洞檢測裝置的組成框圖。

具體實(shí)施方式

下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

為解決現(xiàn)有掃描漏洞的方式無法滿足云環(huán)境下的掃描需求的問題，本發(fā)明實(shí)施例提供了一種漏洞檢測方法，如圖1所示，該方法包括：

101、掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描。

本實(shí)施例中的掃描虛擬機(jī)是從具有云服務(wù)的云服務(wù)廠商中買取虛擬機(jī)并在買到的虛擬機(jī)上安裝或者設(shè)計(jì)掃描軟件后得到的。本實(shí)施例中的掃描虛擬機(jī)包含掃描引擎、數(shù)據(jù)庫、文件校驗(yàn)工具等。其中的掃描引擎是基于虛擬層和網(wǎng)絡(luò)層進(jìn)行掃描的，而現(xiàn)有掃描引擎只能基于網(wǎng)絡(luò)層進(jìn)行掃描。

由于虛擬機(jī)本身就位于云環(huán)境中，所以掃描虛擬機(jī)可以對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描。通常各功能組件分別對應(yīng)網(wǎng)絡(luò)交互過程中的不同的功能節(jié)點(diǎn)，并且不同的功能節(jié)點(diǎn)分別對應(yīng)不同的虛擬機(jī)。對于不同的功能節(jié)點(diǎn)的定義給出具體的示例進(jìn)行說明：假設(shè)一個(gè)網(wǎng)絡(luò)交互過程中涉及賬戶登錄和賬戶身份驗(yàn)證兩個(gè)功能模塊，兩個(gè)功能模塊之間存在網(wǎng)絡(luò)交互，比如賬戶登錄模塊需要將接受到的賬戶的信息發(fā)送給賬戶身份驗(yàn)證模塊，以使身份驗(yàn)證模塊對接收到的賬戶信息進(jìn)行驗(yàn)證。該示例中兩個(gè)不同的模塊就分別對應(yīng)兩個(gè)功能節(jié)點(diǎn)。

102、接收各功能組件返回的掃描結(jié)果數(shù)據(jù)。

對于步驟101中掃描虛擬機(jī)針對各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行的掃描，掃描虛擬機(jī)會接收到對應(yīng)的掃描結(jié)果數(shù)據(jù)，掃描結(jié)果數(shù)據(jù)是由各功能組件返回的。掃描虛擬機(jī)在掃描各組件之間的網(wǎng)絡(luò)交互時(shí)，是向?qū)?yīng)網(wǎng)絡(luò)交互過程中涉及到的功能組件分別進(jìn)行掃描，因此接收到的掃描結(jié)果數(shù)據(jù)是對應(yīng)的各功能組件返回的數(shù)據(jù)。

103、將掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定網(wǎng)絡(luò)交互的安全性。

將由步驟102接收到的各功能組件返回的掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對。若掃描結(jié)果數(shù)據(jù)符合對應(yīng)的預(yù)設(shè)漏洞觸發(fā)條件，則表示對應(yīng)的功能組件在進(jìn)行對應(yīng)的網(wǎng)絡(luò)交互時(shí)存在漏洞；若掃描結(jié)果數(shù)據(jù)不符合對應(yīng)的預(yù)設(shè)漏洞觸發(fā)條件，則表示對應(yīng)的功能組件在進(jìn)行對應(yīng)的網(wǎng)絡(luò)交互時(shí)相對安全。

本實(shí)施例提供的漏洞檢測方法，能夠通過掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，其中掃描虛擬機(jī)位于上述云環(huán)境中；然后接收各功能組件返回的掃描結(jié)果數(shù)據(jù)；并將掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以找出各功能組件在網(wǎng)絡(luò)交互的過程中可能存在的漏洞，并以此確定云環(huán)境中各功能組件進(jìn)行網(wǎng)絡(luò)交互時(shí)的安全性。與現(xiàn)有技術(shù)相比，本實(shí)施例能夠通過將掃描虛擬機(jī)放置在云環(huán)境中，使掃描虛擬機(jī)能夠?qū)υ骗h(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，并根據(jù)接收到的掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定各功能組件在網(wǎng)絡(luò)交互過程中的安全性。由此可以得出，本實(shí)施例的基于漏洞檢測方法可以滿足云環(huán)境下對其中不同的功能組件之間的網(wǎng)絡(luò)交互過程進(jìn)行漏洞掃描的需求。

進(jìn)一步的，作為對圖1所示方法的細(xì)化及擴(kuò)展，本發(fā)明另一實(shí)施例還給出了一種漏洞檢測方法。如圖2所示，該方法包括：

201、確定掃描虛擬機(jī)的掃描范圍。

確定掃描虛擬機(jī)在對應(yīng)的云環(huán)境中的掃描范圍，與圖1實(shí)施例中一樣，掃描虛擬機(jī)位于云環(huán)境中。掃描虛擬機(jī)在云環(huán)境中想要確定能夠掃描的范圍，首先需要確定掃描虛擬機(jī)對應(yīng)的主機(jī)的IP端口。確定主機(jī)的IP端口是通過預(yù)設(shè)算法得到的，本實(shí)施例中預(yù)設(shè)算法為回溯算法，也可以為類似回溯算法的其他算法。確定了主機(jī)的IP端口后，就能夠根據(jù)主機(jī)的IP端口確定對應(yīng)的掃描范圍。具體的確定掃描范圍的方法為：與主機(jī)的IP端口相同的其他虛擬機(jī)作為掃描范圍。本實(shí)施例中云環(huán)境中不同的虛擬機(jī)分別對應(yīng)不同的功能節(jié)點(diǎn)，不同功能節(jié)點(diǎn)對應(yīng)不同的功能組件。其中功能節(jié)點(diǎn)的定義與圖1步驟101中的相同，此處不再贅述。另外，確定掃描范圍即確定該掃描虛擬機(jī)在云環(huán)境中的“攻破范圍”。

202、掃描虛擬機(jī)對掃描范圍內(nèi)的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描。

確定了掃描虛擬機(jī)的掃描范圍后，對掃描范圍內(nèi)的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，具體的掃描過程包括如下步驟：

首先，確定各功能組件的類型。

確定各功能組件的類型中的“類型”是指功能類型，由于不同功能類型對應(yīng)的進(jìn)行掃描的測試數(shù)據(jù)包是不同的，因此在向各功能組件發(fā)送測試數(shù)據(jù)包之前必須確定不同的功能組件的功能類型。具體的確定功能組件的類型的過程包括：

第一，獲取各功能組件的類型標(biāo)識。不同的功能組件的類型都是通過不同的類型標(biāo)識進(jìn)行區(qū)分的。本實(shí)施例中獲取類型標(biāo)識的方式包括兩種：一種獲取方式，從各功能組件之間的網(wǎng)絡(luò)交互數(shù)據(jù)包中提取對應(yīng)各功能組件的類型標(biāo)識；具體過程為實(shí)時(shí)監(jiān)控各功能組件之間的網(wǎng)絡(luò)通信，通過網(wǎng)絡(luò)抓包的方式抓取各功能組件通信過程中交互的數(shù)據(jù)包，然后對抓取到的交互的數(shù)據(jù)包進(jìn)行數(shù)據(jù)分析，找到對應(yīng)類型標(biāo)識的字段，并從中提取出對應(yīng)的類型標(biāo)識。另一種獲取方式，從設(shè)置信息中直接獲取功能組件的類型標(biāo)識，其中設(shè)置信息為各功能組件對應(yīng)的管理平臺發(fā)給掃描虛擬機(jī)的信息。相當(dāng)于管理各功能組件的“管理員”直接將掃描范圍內(nèi)的各功能組件的類型標(biāo)識“告知”掃描虛擬機(jī)。

第二，根據(jù)類型標(biāo)識確定各功能組件的類型。在掃描虛擬機(jī)的數(shù)據(jù)庫中包含不同的類型與對應(yīng)的類型標(biāo)識的映射表。因此將第一步中獲取到的類型標(biāo)識與映射表中的類型標(biāo)識進(jìn)行比對即可確定各功能組件對應(yīng)的類型。

其次，向各功能組件發(fā)送對應(yīng)類型的測試數(shù)據(jù)包。

確定各功能組件對應(yīng)的類型后，將與類型對應(yīng)的測試數(shù)據(jù)包發(fā)送給對應(yīng)的功能組件。掃描虛擬機(jī)的數(shù)據(jù)庫中也包含類型與測試數(shù)據(jù)包之間的一一對應(yīng)的映射表。另外，測試數(shù)據(jù)包中包含對應(yīng)類型的功能組件的預(yù)設(shè)漏洞測試包。不同的功能組件在與其它功能組件進(jìn)行網(wǎng)絡(luò)交互時(shí)可能存在的漏洞不同，因此不同的測試數(shù)據(jù)包中包含的預(yù)設(shè)漏洞測試包也不相同。測試數(shù)據(jù)包中包含的預(yù)設(shè)漏洞測試包的數(shù)量可以是一個(gè)或多個(gè)，具體的根據(jù)實(shí)際的測試需求設(shè)定。給出具體的示例對不同類型的功能組件對應(yīng)的預(yù)設(shè)漏洞測試包進(jìn)行說明：假設(shè)某一功能組件的類型為身份驗(yàn)證，則預(yù)設(shè)漏洞測試包為試探該功能組件是否在與其他功能組件進(jìn)行網(wǎng)絡(luò)交互的過程中被非法獲取了部分或所有用戶的身份信息，或者試探是否有非法篡改用戶的身份信息的情況?；蛘呒僭O(shè)某一功能組件的類型為存儲，該功能組件的功能為存儲其他功能組件對應(yīng)的虛擬機(jī)的在線鏡像文件，則該功能組件對應(yīng)的預(yù)設(shè)漏洞測試包為試探是否有超過預(yù)設(shè)閾值的鏡像文件被存儲到該組件中，預(yù)設(shè)閾值可以為2G、3G等，預(yù)設(shè)閾值可以根據(jù)實(shí)際業(yè)務(wù)需求設(shè)定。

另外，在向各功能組件發(fā)送對應(yīng)類型的測試數(shù)據(jù)包時(shí)需要確定功能組件對應(yīng)的虛擬機(jī)的網(wǎng)間協(xié)議IP地址，然后將依據(jù)對應(yīng)的IP地址發(fā)送測試數(shù)據(jù)包。

203、接收各功能組件返回的掃描結(jié)果數(shù)據(jù)。

對于步驟202中向功能組件發(fā)送對應(yīng)類型的測試數(shù)據(jù)包后對應(yīng)的會接收到各功能組件返回的掃描結(jié)果數(shù)據(jù)。該本步驟的實(shí)現(xiàn)方式與圖1步驟102中的實(shí)現(xiàn)方式相同。另外補(bǔ)充的是該掃描結(jié)果數(shù)據(jù)是針對測試數(shù)據(jù)包中預(yù)設(shè)漏洞數(shù)據(jù)包返回的結(jié)果數(shù)據(jù)。

204、將掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定網(wǎng)絡(luò)交互的安全性。

具體的將掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定網(wǎng)絡(luò)交互的安全性的方式與圖1步驟103中的方式相同，此處不再贅述。

另外，為了對確定網(wǎng)絡(luò)交互過程中的安全性的過程進(jìn)行詳細(xì)說明，針對步驟202中給出的功能組件的示例分別進(jìn)行說明。具體的：對于功能組件的類型為身份驗(yàn)證的情況時(shí)，預(yù)設(shè)漏洞觸發(fā)條件為該功能組件中的部分用戶或所有用戶的身份信息被非法獲取，因此若返回的掃描結(jié)果數(shù)據(jù)為該功能組件與其它功能組件網(wǎng)絡(luò)交互的過程中被非法獲取了部分或者所有用戶的身份信息，符合預(yù)設(shè)漏洞觸發(fā)條件，則可以確定該功能組件在與其它功能組件進(jìn)行網(wǎng)絡(luò)交互的過程中存在漏洞，網(wǎng)絡(luò)交互不安全。對于功能組件的類型為存儲的情況時(shí)，預(yù)設(shè)漏洞觸發(fā)條件為給功能組件中被其他功能組件存儲了大于預(yù)設(shè)閾值的在線鏡像文件，若返回的掃描結(jié)果數(shù)據(jù)為存在其它功能組件將超過預(yù)設(shè)閾值的在線鏡像文件存儲到該功能組件中，符合預(yù)設(shè)漏洞的觸發(fā)條件，則確定該功能組件在與其他功能組件進(jìn)行網(wǎng)絡(luò)交互的過程中存在漏洞，網(wǎng)絡(luò)交互不安全。

進(jìn)一步的，作為對上述各實(shí)施例的實(shí)現(xiàn)，本發(fā)明實(shí)施例的另一實(shí)施例還提供了一種漏洞檢測裝置，用于實(shí)現(xiàn)上述圖1和圖2所述的方法。如圖3所示，該裝置包括：掃描單元31、接收單元32以及比對單元33。

掃描單元31，用于掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，掃描虛擬機(jī)位于云環(huán)境中；

接收單元32，用于接收各功能組件返回的掃描結(jié)果數(shù)據(jù)；

比對單元33，用于將掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定網(wǎng)絡(luò)交互的安全性。

進(jìn)一步的，如圖4所示，掃描單元31，包括：

類型確定模塊311，用于確定各功能組件的類型；

發(fā)送模塊312，用于向各功能組件發(fā)送對應(yīng)類型的測試數(shù)據(jù)包，測試數(shù)據(jù)包與功能組件的類型一一對應(yīng)，測試數(shù)據(jù)包中包含對應(yīng)類型的功能組件的預(yù)設(shè)漏洞測試包。

進(jìn)一步的，類型確定模塊311用于：

獲取各功能組件的類型標(biāo)識；

根據(jù)類型標(biāo)識確定各功能組件的類型。

進(jìn)一步的，類型確定模塊311用于：

從各功能組件之間的網(wǎng)絡(luò)交互數(shù)據(jù)包中提取對應(yīng)各功能組件的類型標(biāo)識；

從設(shè)置信息中直接獲取功能組件的類型標(biāo)識，設(shè)置信息為各功能組件對應(yīng)的管理平臺發(fā)給掃描虛擬機(jī)的信息。

進(jìn)一步的，如圖4所示，裝置進(jìn)一步包括：

確定單元34，用于在掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描之前，確定掃描虛擬機(jī)的掃描范圍；

掃描單元31用于：

掃描虛擬機(jī)對掃描范圍內(nèi)的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描。

進(jìn)一步的，如圖4所示，確定單元34，包括：

端口確定模塊341，用于根據(jù)預(yù)設(shè)算法確定掃描虛擬機(jī)對應(yīng)的主機(jī)的網(wǎng)間協(xié)議IP端口；

范圍確定模塊342，用于根據(jù)主機(jī)的IP端口確定掃描范圍。

本實(shí)施例提供的漏洞檢測裝置，能夠通過掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，其中掃描虛擬機(jī)位于上述云環(huán)境中；然后接收各功能組件返回的掃描結(jié)果數(shù)據(jù)；并將掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以找出各功能組件在網(wǎng)絡(luò)交互的過程中可能存在的漏洞，并以此確定云環(huán)境中各功能組件進(jìn)行網(wǎng)絡(luò)交互時(shí)的安全性。與現(xiàn)有技術(shù)相比，本實(shí)施例能夠通過將掃描虛擬機(jī)放置在云環(huán)境中，使掃描虛擬機(jī)能夠?qū)υ骗h(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，并根據(jù)接收到的掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定各功能組件在網(wǎng)絡(luò)交互過程中的安全性。由此可以得出，本實(shí)施例的漏洞檢測裝置可以滿足云環(huán)境下對其中不同的功能組件之間的網(wǎng)絡(luò)交互過程進(jìn)行漏洞掃描的需求。

本發(fā)明的實(shí)施例公開了：

A1、一種漏洞檢測方法，其特征在于，所述方法包括：

掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，所述掃描虛擬機(jī)位于所述云環(huán)境中；

接收各功能組件返回的掃描結(jié)果數(shù)據(jù)；

將所述掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定所述網(wǎng)絡(luò)交互的安全性。

A2、根據(jù)A1所述的方法，其特征在于，所述掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，包括：

確定所述各功能組件的類型；

向所述各功能組件發(fā)送對應(yīng)類型的測試數(shù)據(jù)包，所述測試數(shù)據(jù)包與功能組件的類型一一對應(yīng)，所述測試數(shù)據(jù)包中包含對應(yīng)類型的功能組件的預(yù)設(shè)漏洞測試包。

A3、根據(jù)A2所述的方法，其特征在于，所述確定所述各功能組件的類型，包括：

獲取所述各功能組件的類型標(biāo)識；

根據(jù)所述類型標(biāo)識確定所述各功能組件的類型。

A4、根據(jù)A3所述的方法，其特征在于，所述獲取所述各功能組件的類型標(biāo)識，包括：

從所述各功能組件之間的網(wǎng)絡(luò)交互數(shù)據(jù)包中提取對應(yīng)各功能組件的類型標(biāo)識；或者，

從設(shè)置信息中直接獲取所述功能組件的類型標(biāo)識，所述設(shè)置信息為所述各功能組件對應(yīng)的管理平臺發(fā)給所述掃描虛擬機(jī)的信息。

A5、根據(jù)A1所述的方法，其特征在于，在所述掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描之前，所述方法進(jìn)一步包括：

確定所述掃描虛擬機(jī)的掃描范圍；

所述掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，包括：

掃描虛擬機(jī)對所述掃描范圍內(nèi)的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描。

A6、根據(jù)A5所述的方法，其特征在于，所述確定所述掃描虛擬機(jī)的掃描范圍，包括：

根據(jù)預(yù)設(shè)算法確定所述掃描虛擬機(jī)對應(yīng)的主機(jī)的網(wǎng)間協(xié)議IP端口；

根據(jù)所述主機(jī)的IP端口確定所述掃描范圍。

B7、一種漏洞檢測裝置，其特征在于，所述裝置包括：

掃描單元，用于掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描，所述掃描虛擬機(jī)位于所述云環(huán)境中；

接收單元，用于接收各功能組件返回的掃描結(jié)果數(shù)據(jù)；

比對單元，用于將所述掃描結(jié)果數(shù)據(jù)與預(yù)設(shè)漏洞觸發(fā)條件進(jìn)行比對，以確定所述網(wǎng)絡(luò)交互的安全性。

B8、根據(jù)B7所述的裝置，其特征在于，所述掃描單元，包括：

類型確定模塊，用于確定所述各功能組件的類型；

發(fā)送模塊，用于向所述各功能組件發(fā)送對應(yīng)類型的測試數(shù)據(jù)包，所述測試數(shù)據(jù)包與功能組件的類型一一對應(yīng)，所述測試數(shù)據(jù)包中包含對應(yīng)類型的功能組件的預(yù)設(shè)漏洞測試包。

B9、根據(jù)B8所述的裝置，其特征在于，所述類型確定模塊用于：

獲取所述各功能組件的類型標(biāo)識；

根據(jù)所述類型標(biāo)識確定所述各功能組件的類型。

B10、根據(jù)B9所述的裝置，其特征在于，所述類型確定模塊用于：

從所述各功能組件之間的網(wǎng)絡(luò)交互數(shù)據(jù)包中提取對應(yīng)各功能組件的類型標(biāo)識；

從設(shè)置信息中直接獲取所述功能組件的類型標(biāo)識，所述設(shè)置信息為所述各功能組件對應(yīng)的管理平臺發(fā)給所述掃描虛擬機(jī)的信息。

B11、根據(jù)B7所述的裝置，其特征在于，所述裝置進(jìn)一步包括：

確定單元，用于在所述掃描虛擬機(jī)對云環(huán)境中的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描之前，確定所述掃描虛擬機(jī)的掃描范圍；

所述掃描單元用于：

掃描虛擬機(jī)對所述掃描范圍內(nèi)的各功能組件之間的網(wǎng)絡(luò)交互進(jìn)行掃描。

B12、根據(jù)B11所述的裝置，其特征在于，所述確定單元，包括：

端口確定模塊，用于根據(jù)預(yù)設(shè)算法確定所述掃描虛擬機(jī)對應(yīng)的主機(jī)的網(wǎng)間協(xié)議IP端口；

范圍確定模塊，用于根據(jù)所述主機(jī)的IP端口確定所述掃描范圍。

在上述實(shí)施例中，對各個(gè)實(shí)施例的描述都各有側(cè)重，某個(gè)實(shí)施例中沒有詳述的部分，可以參見其他實(shí)施例的相關(guān)描述。

可以理解的是，上述方法及裝置中的相關(guān)特征可以相互參考。另外，上述實(shí)施例中的“第一”、“第二”等是用于區(qū)分各實(shí)施例，而并不代表各實(shí)施例的優(yōu)劣。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)，裝置和單元的具體工作過程，可以參考前述方法實(shí)施例中的對應(yīng)過程，在此不再贅述。

在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外，本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白，可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。

在此處所提供的說明書中，說明了大量具體細(xì)節(jié)。然而，能夠理解，本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中，并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對本說明書的理解。

類似地，應(yīng)當(dāng)理解，為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)，在上面對本發(fā)明的示例性實(shí)施例的描述中，本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此，遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式，其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。

本領(lǐng)域那些技術(shù)人員可以理解，可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?？梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件，以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述，本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來代替。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征，但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如，在下面的權(quán)利要求書中，所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。

本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)，或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)，或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的發(fā)明名稱(如漏洞檢測裝置)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲在計(jì)算機(jī)可讀介質(zhì)上，或者可以具有一個(gè)或者多個(gè)信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到，或者在載體信號上提供，或者以任何其他形式提供。

應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中，不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。