本發(fā)明屬于數(shù)據(jù)安全領(lǐng)域，具體涉及一種基于流量快速檢測漏洞的系統(tǒng)及方法。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的迅猛發(fā)展，網(wǎng)絡(luò)安全問題日益突出。網(wǎng)絡(luò)攻擊、勒索病毒、數(shù)據(jù)泄露等事件頻發(fā)，給企業(yè)和個人帶來了巨大的損失。攻擊者主要是通過利用網(wǎng)絡(luò)漏洞竊取服務(wù)器中的信息或者破壞網(wǎng)絡(luò)服務(wù)的活動。常見的針對漏洞的攻擊包括應(yīng)用漏洞，反序列化漏洞，數(shù)據(jù)庫漏洞，web漏洞等等。具體的攻擊方式有比如拒絕服務(wù)攻擊(dos)、sql注入、遠(yuǎn)程代碼執(zhí)行等等?？焖贉?zhǔn)確的網(wǎng)絡(luò)漏洞檢測及防護為網(wǎng)絡(luò)服務(wù)提供的安全保障至關(guān)重要?，F(xiàn)有的檢測方案主要是使用ids檢測利用漏洞的攻擊流量，或使用自動化漏洞掃描工具來檢測存在的漏洞。

2、現(xiàn)有成熟的漏洞檢測主要有兩種方式：

3、一種方式是基于流量判定漏洞利用攻擊，但無法準(zhǔn)確判斷漏洞利用是否成功，誤報較高，屬于攻擊階段的檢測，無法判定漏洞是否存在，也無法提前發(fā)現(xiàn)漏洞和修復(fù)漏洞。如果最新爆發(fā)的1day漏洞，不能及時更新漏洞攻擊的特征，也就無法對新的漏洞進行檢測。另外一種方式是攻擊發(fā)生前使用掃描工具進行主動漏洞掃描，在漏洞掃描過程中，會發(fā)送大量的檢測數(shù)據(jù)包，掃描發(fā)出的payload輕則在被掃描系統(tǒng)數(shù)據(jù)庫中留下臟數(shù)據(jù)，重則直接導(dǎo)致業(yè)務(wù)系統(tǒng)崩潰，在idc機房中，網(wǎng)絡(luò)流量特別大，而且部署了大量關(guān)鍵業(yè)務(wù)系統(tǒng)，主動掃描可能造成關(guān)鍵業(yè)務(wù)中斷，對于利用漏洞的攻擊檢測有誤報，又不能提前發(fā)現(xiàn)漏洞。

4、如何基于流量無損的高效快速發(fā)現(xiàn)漏洞隱患是個很大的難題。

技術(shù)實現(xiàn)思路

1、為了解決上述問題，本技術(shù)設(shè)計了一種基于流量快速檢測漏洞的系統(tǒng)及方法，以求實現(xiàn)基于流量識別，不主動發(fā)探測包而能無損的快速發(fā)現(xiàn)idc資產(chǎn)中存在的操作系統(tǒng)、中間件、web及應(yīng)用等存在中高危漏洞隱患。

2、一種基于流量快速檢測漏洞的系統(tǒng)，包括：

3、指紋規(guī)則收集模塊、指紋規(guī)則庫、cpe字典收集模塊、cpe字典庫、已知漏洞收集模塊、已知漏洞庫、資產(chǎn)識別模塊、流量過濾模塊、資產(chǎn)庫、漏洞匹配模塊、漏洞檢測報告管理模塊；

4、所述指紋規(guī)則收集模塊用于收集指紋規(guī)則數(shù)據(jù)，并上傳至指紋規(guī)則庫；

5、所述cpe字典收集模塊用于收集cpe字典數(shù)據(jù)，并上傳至cpe字典庫；

6、所述已知漏洞收集模塊用于收集cve漏洞數(shù)據(jù)，并上傳至已知漏洞庫即cve漏洞數(shù)據(jù)庫；

7、所述流量過濾模塊用于流量收集并過濾，并將過濾后的流量傳輸給資產(chǎn)識別模塊；所述資產(chǎn)識別模塊調(diào)用指紋規(guī)則庫、cpe字典庫里的數(shù)據(jù)與過濾后的流量進行匹配，獲得對應(yīng)的資產(chǎn)cpe?id、port、廠商、產(chǎn)品、版本信息，接著資產(chǎn)識別模塊將上述資產(chǎn)cpe?id，port，廠商，產(chǎn)品，和版本信息寫入資產(chǎn)庫中，接著資產(chǎn)識別模塊將獲取到的cpe?id傳輸給漏洞匹配模塊；

8、所述漏洞匹配模塊根據(jù)資產(chǎn)識別模塊獲得的cpe?id查詢對應(yīng)的漏洞，進行漏洞等級劃分，并將獲得的漏洞等級傳輸給漏洞檢測報告管理模塊，所述漏洞檢測報告管理模塊根據(jù)漏洞等級生成檢測報告。

9、優(yōu)選地，本技術(shù)還設(shè)計了一種基于流量快速檢測漏洞的方法，包括以下步驟：

10、步驟s1、進行指紋規(guī)則數(shù)據(jù)、cpe字典數(shù)據(jù)、cve漏洞數(shù)據(jù)的收集；

11、步驟s2、使用交換機進行流量收集并過濾，獲得流量數(shù)據(jù)；

12、步驟s3、使用指紋規(guī)則數(shù)據(jù)和cpe字典數(shù)據(jù)對流量數(shù)據(jù)進行資產(chǎn)識別，獲取對應(yīng)的cpe?id；

13、步驟s4、根據(jù)步驟s3獲取的cpe?id查詢對應(yīng)的漏洞，并進行漏洞等級劃分；

14、步驟s5、根據(jù)漏洞等級生成漏洞檢測報告。

15、優(yōu)選地，所述步驟s1中，所述指紋規(guī)則數(shù)據(jù)的收集方法包括：

16、步驟s111、收集用于識別資產(chǎn)數(shù)據(jù)的指紋規(guī)則，將收集到的指紋規(guī)則分為三大類，包括操作系統(tǒng)os，服務(wù)service和應(yīng)用http三大類；

17、步驟s112、對指紋規(guī)則進行相關(guān)字段的提??；

18、步驟s113、根據(jù)收集到的三大類指紋規(guī)則創(chuàng)建相應(yīng)的表或集合，根據(jù)提取的字段構(gòu)建各自的表；

19、步驟s114、將步驟s113解析后的指紋規(guī)則導(dǎo)入指紋規(guī)則數(shù)據(jù)庫；

20、步驟s115、編寫腳本或者定時任務(wù)，定期從公開渠道抓取新的指紋規(guī)則，并將新的指紋規(guī)則更新至指紋規(guī)則數(shù)據(jù)庫。

21、優(yōu)選地，所述步驟s1中，所述cpe字典數(shù)據(jù)的收集包括：

22、步驟s121、從公開渠道收集獲取已知資產(chǎn)的cpe字典數(shù)據(jù)集；

23、步驟s122、對每條cpe字典數(shù)據(jù)提取字段，包括cpe?id，port，廠商，產(chǎn)品，版本信息；

24、步驟s123、選擇mysql數(shù)據(jù)庫進行cpe字典數(shù)據(jù)的存儲，適用etl工具將步驟s122提取后的cpe字典數(shù)據(jù)導(dǎo)入cpe字典數(shù)據(jù)庫；

25、步驟s124、設(shè)定定時任務(wù)定期從公開渠道抓取最新的cpe字典數(shù)據(jù)，并更新至cpe字典數(shù)據(jù)庫。

26、優(yōu)選地，所述步驟s1中，所述cve漏洞數(shù)據(jù)的收集包括：

27、步驟s131、從主流漏洞平臺收集已知的cve漏洞數(shù)據(jù)；

28、步驟s132、對收集的cve漏洞數(shù)據(jù)進行相應(yīng)字段提?。?/p>

29、步驟s133、選擇mysql數(shù)據(jù)庫存儲解析后的cve漏洞數(shù)據(jù)；

30、步驟s134、設(shè)置定時任務(wù)定期獲取最新的cve漏洞數(shù)據(jù)，并更新至cve漏洞數(shù)據(jù)庫。

31、優(yōu)選地，所述步驟s2具體包括：

32、步驟s21、配置交換機進行端口鏡像，通過交換機的鏡像配置命令，將要監(jiān)控的端口的流量復(fù)制到一個特定的監(jiān)控端口，保存配置并確保鏡像會話運行成功；

33、步驟s22、連接鏡像的目標(biāo)端口，通過抓包工具開始抓取流量，收集流量數(shù)據(jù)；

34、步驟s23、列出idc機房內(nèi)所有使用的ip地址或確定其子網(wǎng)，確定idc機房的ip地址范圍；

35、步驟s24、對收集到的流量數(shù)據(jù)進行過濾。

36、優(yōu)選地，所述步驟s3具體包括：

37、將步驟s2過濾后的流量數(shù)據(jù)與指紋規(guī)則數(shù)據(jù)庫、cpe字典數(shù)據(jù)庫進行匹配，獲得對應(yīng)的資產(chǎn)cpe?id、port、廠商、產(chǎn)品、版本信息；

38、并將上述資產(chǎn)cpe?id，port，廠商，產(chǎn)品，和版本信息寫入資產(chǎn)庫中。

39、優(yōu)選地，所述步驟s4具體包括：

40、步驟s41、根據(jù)步驟s3獲得的資產(chǎn)cpe?id，通過遍歷cve漏洞數(shù)據(jù)庫，查詢得到所有相關(guān)聯(lián)的漏洞列表：

41、步驟s42、遍歷查詢每個cve漏洞的詳細(xì)信息；

42、步驟s43、通過cvss分?jǐn)?shù)進行每個cve漏洞的劃分，計算漏洞等級。

43、優(yōu)選地，所述步驟s43中，漏洞等級的定義為：

44、低等級：cvss評分為：0.0?-?3.9；

45、中等級：cvss評分為：4.0?-?6.9；

46、高等級：cvss評分為：7.0?-?8.9；

47、嚴(yán)重等級：cvss評分為：9.0?-?10.0。

48、優(yōu)選地，所述步驟s43中，漏洞的cvss分?jǐn)?shù)計算方法為：

49、cve詳細(xì)信息相關(guān)字段列明分?jǐn)?shù)的，取該分?jǐn)?shù)；

50、cve詳細(xì)信息相關(guān)字段未列明分?jǐn)?shù)的，通過cvss計算器根據(jù)漏洞的各個屬性的得分。

51、本技術(shù)的優(yōu)點和效果如下：

52、1、高效漏洞檢測：本發(fā)明采用對流量特征數(shù)據(jù)進行子識別和漏洞匹配，相比主動漏掃，大大減少了探測流量，全程不用發(fā)送任何探測流量，大幅提高了漏洞檢測效率。

53、2、業(yè)務(wù)無損：因為是被動檢測漏洞，不發(fā)送檢測包，不會導(dǎo)致業(yè)務(wù)系統(tǒng)的崩潰，避免了對業(yè)務(wù)系統(tǒng)的干擾，保障業(yè)務(wù)連續(xù)性。

54、3、及時響應(yīng)最新漏洞：因為是每日更新漏洞庫，對于最新發(fā)布的漏洞威脅，無需開發(fā)漏洞利用攻擊特征和poc就可以快速檢測出最新的漏洞，這是傳統(tǒng)漏洞掃碼無法做到的。

55、4、流量采集方式靈活，可根據(jù)實際環(huán)境選擇最合適的方案。

56、上述說明僅是本技術(shù)技術(shù)方案的概述，為了能夠更清楚了解本技術(shù)的技術(shù)手段，從而可依照說明書的內(nèi)容予以實施，并且為了讓本技術(shù)的上述和其他目的、特征和優(yōu)點能夠更明顯易懂，以下以本技術(shù)的較佳實施例并配合附圖詳細(xì)說明如后。

57、根據(jù)下文結(jié)合附圖對本技術(shù)具體實施例的詳細(xì)描述，本領(lǐng)域技術(shù)人員將會更加明了本技術(shù)的上述及其他目的、優(yōu)點和特征。