安全檢測方法、服務接口模塊、安全檢測裝置和網絡系統與流程

本發明涉及網絡技術領域，具體地，涉及一種遠程安全檢測方法、執行該遠程安全檢測方法的服務接口模塊及安全檢測裝置和一種包括所述安全檢測裝置的網絡系統。

背景技術：

隨著網絡應用的普及，各種類型的網站層出不窮。如何對網站進行安全管理以及監督成為實際工作中的一個重點。

但是，如何及時準確地對網站中的安全漏洞、安全事件進行檢測、發現和確認成為本領域亟待解決的技術問題。

技術實現要素：

本發明的目的在于提供一種遠程安全檢測方法、執行該遠程安全檢測方法的服務接口模塊和一種包括該服務接口模塊的網絡系統。利用所述安全檢測方法可以對網站中的網站硬件進行全面準確地檢測。

為了實現上述目的，作為本發明的一個方面，提供一種遠程安全檢測方法，其中，所述遠程安全檢測方法包括：

接收至少一個掃描器發送的掃描信息；

將接收到的掃描信息發送至網站硬件主體；

接收網站硬件主體發送的第一初始漏洞信息；

根據所述網站硬件主體發送的與掃描信息對應的返回值確定第二初始漏洞信息；

對所述第一初始漏洞信息和所述第二初始漏洞信息進行分析，并將實質相同的第一初始漏洞信息和第二初始漏洞信息進行合并，以獲得最終漏洞信息。

優選地，對所述第一初始漏洞信息和所述第二初始漏洞信息進行分析的步驟包括：

采用分詞方式以機器自學習機制對所述第一初始漏洞信息和第二初始漏洞信息進行對比；

將關鍵詞相同的第一初始漏洞信息和第二初始漏洞信息判定為實質相同的漏洞信息進行合并；

將合并后的第一初始漏洞信息和第二初始漏洞信息、以及其余實質互不相同的第一初始漏洞信息和第二初始漏洞信息作為所述最終漏洞信息。

作為本發明的第二個方面，提供一種服務接口模塊，其中，所述服務接口模塊包括：

掃描器訪問接口，所述掃描器訪問接口用于與至少一個掃描器進行通信，并接收所有與所述掃描器訪問接口通信的所述掃描器發送的掃描信息；

系統接口，所述系統接口用于分別與所述掃描器訪問接口和網站硬件主體進行通信，以將所述掃描信息發送至所述網站硬件主體，所述系統接口還用于接收所述網站硬件主體發送的第一初始漏洞信息、以及所述網站硬件主體發送的與掃描信息對應的返回值，并且所述系統接口還用于將所述返回值發送至所述掃描器訪問接口，所述掃描器訪問接口用于將所述網站硬件主體發送的與掃描信息對應的返回值發送至所述掃描器。

作為本發明的第三個方面，提供一種安全檢測裝置，其中，所述安全檢測模塊包括服務接口模塊和漏洞信息整合模塊，

所述服務接口模塊為本發明所提供的上述服務接口模塊；

所述漏洞信息整合模塊分別與所述服務接口模塊的掃描器訪問接口和所述系統接口通信，以接收所述第一初始漏洞信息和第二初始漏洞信息，所述漏洞信息整合模塊還用于將實質相同的第一初始漏洞信息和第二初始漏洞信息進行合并，以獲得最終漏洞信息。

優選地，所述漏洞信息整合模塊包括對比子模塊、合并子模塊和最終漏洞信息確定子模塊，

所述對比子模塊用于采用分詞方式以機器自學習機制對所述第一初始漏洞信息和第二初始漏洞信息進行對比；

所述合并子模塊用于將關鍵詞相同的第一初始漏洞信息和第二初始漏洞信息判定為實質相同的漏洞信息進行合并；

所述最終漏洞信息確定子模塊用于將合并后的第一初始漏洞信息和第二初始漏洞信息、以及其余實質互不相同的第一初始漏洞信息和第二初始漏洞信息作為所述最終漏洞信息。

作為本發明的第四個方面，提供一種網絡系統，所述網絡系統包括網站硬件主體，其中，所述網絡系統還包括本發明所提供的上述安全檢測裝置，所述服務接口模塊的系統接口與所述網站硬件主體通信連接。

優選地，所述網站硬件主體還包括至少一個網站服務器、至少一個應用服務器、至少一個數據服務器和至少一個交換機，所述服務接口模塊的系統接口與所述交換機通信連接，所述交換機與所述網站服務器、所述應用服務器、所述數據服務器均通信連接，所述網站服務器與所述服務接口模塊的系統接口通信連接，所述應用服務器與所述網站服務器通信連接，所述網站服務器能夠將通過所述服務接口模塊接收到的掃描信息轉發至所述應用服務器，所述應用服務器與所述數據服務器通信連接。

優選地，所述網站硬件主體包括兩個所述數據服務器，其中一個所述數據服務器為另一個所述數據服務器進行備份。

優選地，所述網站硬件主體包括兩個所述網站服務器，兩個所述網站服務器滿足以下關系中的任意一者：

兩個所述網站服務器形成為集群；

一個所述網站服務器為另一個所述網站服務器進行備份。

優選地，所述網站硬件主體包括兩個所述應用服務器，兩個所述應用服務器滿足以下關系中的任意一者：

兩個所述應用服務器形成為集群；

一個所述應用服務器為另一個所述應用服務器進行備份。

優選地，所述服務接口模塊的掃描器訪問接口與所述掃描器通信連接，所述掃描器與所述服務接口模塊的掃描器訪問接口通信，以向所述掃描器訪問接口發送掃描信息，并通過所述掃描器訪問接口接收所述網站硬件主體發送的與掃描信息對應的返回值，所述掃描器還用于根據所述返回值生成第二初始漏洞信息，并將該第二初始漏洞信息發送至所述掃描器訪問接口。

在本發明中所提供的安全檢測方法中，網站硬件主體接收了至少一個掃描器發送的掃描信息。需要指出的是，針對一些系統漏洞，網站硬件主體中自帶的掃描軟件可能并不認為其為漏洞。但是，掃描器可能將其判定為漏洞。由此可知，通過掃描器提供的遠程掃描以及網站硬件主體進行的本地掃描，獲得的最終漏洞信息，從而可以更加全面地判斷網站硬件主體是否存在漏洞，并提高網站硬件主體運行時的安全性。由于在本發明所提供的遠程安全檢測方法中，可以對第一初始漏洞信息和第二初始漏洞進行整合，因此，可以對所述網站硬件主體安全狀況進行更加準確的判斷。

附圖說明

附圖是用來提供對本發明的進一步理解，并且構成說明書的一部分，與下面的具體實施方式一起用于解釋本發明，但并不構成對本發明的限制。在附圖中：

圖1是本發明所提供的遠程安全檢測方法的流程圖；

圖2是本發明所提供的安全檢測裝置的模塊示意圖；

圖3是本發明所提供的網絡系統的示意圖；

圖4是本發明所提供的網絡系統的功能框架圖。

附圖標記說明

210：掃描器訪問接口220：系統接口

230：漏洞信息整合模塊231：對比子模塊

232：合并子模塊233：最終漏洞信息確定子模塊

310：網站硬件主體320：掃描器

311：網站服務器330：掃描器

312：應用服務器313：數據服務器

314：交換機

具體實施方式

以下結合附圖對本發明的具體實施方式進行詳細說明。應當理解的是，此處所描述的具體實施方式僅用于說明和解釋本發明，并不用于限制本發明。

作為本發明的一個方面，提供一種遠程安全檢測方法，其中，如圖1所示，所述遠程安全檢測方法包括：

在步驟s110中，接收至少一個掃描器發送的掃描信息；

在步驟s120中，將接收到的掃描信息發送至網站硬件主體；

在步驟s130中，接收網站硬件主體發送的第一初始漏洞信息以及與所述掃描信息對應的返回值；

在步驟s140中，將所述返回值發送至所述掃描器；

在步驟s150中，接收所述掃描器根據所述返回值確定的第二初始漏洞信息；

在步驟s160中，對所述第一初始漏洞信息和所述第二初始漏洞信息進行分析，并將實質相同的第一初始漏洞信息和第二初始漏洞信息進行合并，以獲得最終漏洞信息。

需要解釋的是，此處所述的“掃描信息”為模擬數據包，網站硬件主體接收到所述掃描信息后，所述掃描信息能夠對網站硬件進行安全漏洞檢查，并生成相應的返回值，通過利用掃描器對所述返回值進行分析可以得知網站硬件主體中是否存在安全漏洞。此處，第一初始漏洞信息是由網站硬件主體自身安裝的掃描軟件掃描得出的漏洞信息。

在本發明中所提供的安全檢測方法中，網站硬件主體接收了至少一個掃描器發送的掃描信息。需要指出的是，針對一些系統漏洞，網站硬件主體中自帶的掃描軟件可能并不認為其為漏洞。但是，掃描器可能將其判定為漏洞。由此可知，通過掃描器提供的遠程掃描以及網站硬件主體進行的本地掃描，獲得的最終漏洞信息，從而可以更加全面地判斷網站硬件主體是否存在漏洞，并提高網站硬件主體運行時的安全性。

進一步地，由于在本發明所提供的遠程安全檢測方法中，可以對第一初始漏洞信息和第二初始漏洞進行整合，因此，可以對所述網站硬件主體安全狀況進行更加準確的判斷。

具體地，針對同一安全漏洞，不同的掃描器的命名可能不相同。例如，當網站硬件主體的網站服務器發生漏洞時，有的掃描器的掃描結果中可能會稱之為“網站漏洞”，而有的掃描器的掃描結果中可能稱之為“服務器漏洞”，但二者的實質都是相同的。因此，可以將這種實質相同的初始漏洞信息合并為“網站服務器漏洞”這一最終漏洞信息。

在本發明中，對如何對第一初始漏洞信息和第二初始漏洞信息進行整合并沒有特殊的要求，例如，作為一種優選實施方式，步驟s160可以包括：

在步驟s161中，采用分詞方式以機器自學習機制對所述第一初始漏洞信息和所述第二初始漏洞信息進行對比；

在步驟s162中，將關鍵詞相同的第一初始漏洞信息和第二初始漏洞信息判定為實質相同的漏洞信息進行合并；

在步驟s163中，將合并后的第一初始漏洞信息和第二初始漏洞信息、以及其余實質互不相同的第一初始漏洞信息和第二初始漏洞信息作為所述最終漏洞信息。

以struts漏洞為例：網站硬件主體掃描判斷struts主要通過網站硬件主體的系統版本確定；掃描器掃描主要通過請求參數(即，掃描信息)的返回值進行判斷。因此兩者經常出現同一種漏洞兩種表達形式出現的現象。在本發明所提供的遠程安全檢測方法中，采用分詞方式以機器自學習機制對以上漏洞進行自動合并。大大降低漏洞數量，有效提高驗證效率。

在本發明中，對掃描器的數量并不做特殊的規定。例如，可以利用一個掃描器向網站硬件主體發送掃描信息，也可以利用多個掃描器向所述網站硬件主體發送掃描信息。可以根據具體情況選擇掃描器的個數。例如，如希望對網站硬件主體的檢測更加全面，則可設置多個掃描器，如希望快速檢測網站硬件主體，則可設置一個掃描器。

作為本發明的第二個方面，提供一種服務接口模塊，其中，所述服務器模塊用于執行本發明所提供的上述遠程安全檢測方法的一部分，如圖2所示，所述服務接口模塊包括掃描器訪問接口210和系統接口220。

掃描器訪問接口210用于執行步驟s110、步驟s120，具體地，掃描器訪問接口用于與至少一個掃描器進行通信，并接收所有與掃描器訪問接口210通信的掃描器發送的掃描信息。并且，掃描器訪問接口210還用于將所有與該掃描器反問接口發送的掃描信息發送至網站硬件主體。

系統接口220用于執行步驟s130和步驟s140。具體地，系統接口220分別與掃描器訪問接口210和網站硬件主體310進行通信，以將所述掃描信息發送至所述網站硬件主體。系統接口220還用于接收第一初始漏洞信息、以及網站硬件主體310發送的與掃描信息對應的返回值，并且系統接口220還用于將所述返回值發送至掃描器訪問接口210。相應地，掃描器訪問接口210用于將所述返回值發送至掃描器320，并執行步驟s150，即，接收掃描器根據所述返回值確定的第二初始漏洞信息。

作為本發明的第三個方面，提供一種安全檢測裝置，如圖2所示，該安全檢測模塊包括本發明所提供的上述服務接口模塊、漏洞信息整合模塊230。

如圖所示，掃描器320與所述服務接口模塊的掃描器訪問接口210通信，以向該掃描器訪問接口210發送掃描信息，并通過掃描器訪問接口210接收所述網站硬件主體發送的與掃描信息對應的返回值。掃描器320還用于根據所述返回值生成第二初始漏洞信息，并將該第二初始漏洞信息發送至掃描器訪問接口210。

漏洞信息整合模塊230用于執行步驟s160，即，漏洞信息整合模塊230分別與所述服務接口模塊的掃描器訪問接口210和系統接口通信220，以接收所述第一初始漏洞信息和所述第二初始漏洞信息，漏洞信息整合模塊230還用于將實質相同的第一初始漏洞信息和第二初始漏洞信息進行合并，以獲得最終漏洞信息。

作為一種優選實施方式，漏洞信息整合模塊230包括對比子模塊231、合并子模塊232和最終漏洞信息確定子模塊233。

對比子模塊231用于執行步驟s161，即，用于采用分詞方式以機器自學習機制對所述第一初始漏洞信息和第二初始漏洞信息進行對比。

合并子模塊232用于執行步驟s162，即，用于將關鍵詞相同的第一初始漏洞信息和第二初始漏洞信息判定為實質相同的漏洞信息進行合并。

最終漏洞信息確定子模塊233用于執行步驟s163，即，用于將合并后的第一初始漏洞信息和第二初始漏洞信息、以及其余實質互不相同的第一初始漏洞信息和第二初始漏洞信息作為所述最終漏洞信息。

上文中已經對所述遠程安全檢測方法的優點以及有益效果進行了詳細的描述，所述安全檢測裝置的功能以及有益效果與之相同，這里不再一一贅述。

作為本發明的第四個方面，提供一種網絡系統，如圖3所示，所述網絡系統包括網站硬件主體310，其中，所述網絡系統還包括本發明所提供的上述安全檢測裝置，所述服務接口模塊的系統接口220與網站硬件主體310通信連接。

如上文中所述，所述安全檢測裝置用于執行本發明所提供的上述遠程安全檢測方法，在所述遠程安全檢測方法的檢測下，可以確保網絡系統安全穩定的運行。

在本發明中，所述網絡系統可以自帶所述掃描器，也可以利用所述安全檢測裝置與其他服務上提供的掃描器進行通信連接。具體地，所述服務接口模塊的掃描器訪問接口與所述掃描器通信連接，所述掃描器與所述服務接口模塊的掃描器訪問接口210通信，以向所述掃描器訪問接口210發送掃描信息，并通過該掃描器訪問接口210接收網站硬件主體310發送的與掃描信息對應的返回值，掃描器320還用于根據所述返回值生成第二初始漏洞信息，并將該第二初始漏洞信息發送至所述掃描器訪問接口。

在本發明中，所述掃描器可以是其他服務商提供的掃描器。優選地，所述網絡系統還包括多個掃描器320，多個掃描器320與服務接口模塊的掃描器訪問接口通信連接。

不同的掃描器320可以提供不同的掃描信息。

在本發明中，對網站硬件主體310的具體結構并不做特殊的限定，例如，網站硬件主體310還包括至少一個網站服務器311、至少一個應用服務器312、至少一個數據服務器313和至少一個交換機314。該服務接口模塊320的系統接口與交換機314通信連接。該交換機314與所述網站服務器、所述應用服務器、所述數據服務器均通信連接。容易理解的是，交換機314用于將服務接口模塊320發送的掃描信息轉發至網站服務器、應用服務器和數據服務器。并且將相應的初始漏洞信息發送至服務接口模塊320。

網站服務器用于接收用戶發出的訪問請求，并對訪問請求進行相關的處理。

為了確保網絡系統的穩定性，網站硬件主體310包括兩個數據服務器313，其中一個所述數據服務器為另一個所述數據服務器進行備份。容易理解的是，兩個數據服務器之間定期進行數據同步，保障數據庫服務的一致性。并且，兩個數據庫服務器采取定時備份的方式進行備份，保障數據安全。

同樣地，網站硬件主體310包括網站服務器311，兩個網站服務器311滿足以下關系中的任意一者：

兩個網站服務器311形成為集群；

一個網站服務器311為另一個網站服務器311進行備份。

優選地，所述網站硬件主體包括兩個所述應用服務器312，兩個應用服務器312滿足以下關系中的任意一者：

兩個應用服務器312形成為集群；

一個應用服務器312為另一個應用服務器312進行備份。

在本發明中，網站服務器311主要為網絡系統提供訪問控制，應用服務器312主要為網絡系統提供系統應用。訪問控制包括對接收到的訪問請求進行訪問過濾、對通過過濾的訪問請求進行資源分配、請求轉發、安全控制等。

其中，資源分配又叫資源服務。資源服務的目的是最大限度地降低網站服務器的壓力，直接向外部提供各種靜態資源，包括：頁面資源、圖片資源、樣式資源和腳本資源等。

訪問過濾包括過濾非法請求、以及對合法請求進行內容轉發。請求轉發包括url轉發和內容轉發。安全控制包括訪問轉換、攻擊檢查、資源隱藏等。具體地，在訪問請求到達后，第一時間對訪問請求進行過濾，保證只有合法的請求被處理，同時將請求中的數據進行轉換，達到系統要求。請求轉發負責將合法請求轉發給應用服務器，在應用服務器處理完成后轉發處理結果。安全控制負責web安全訪問，從訪問轉換、攻擊檢查和資源隱藏三方面進行。

系統應用為網絡系統的核心業務，是網絡系統的主要組成部分。

系統應用包括各種業務功能、系統管理、基礎功能、數據對象等。其中，業務功能包括服務對象管理、漏洞管理、掃描任務管理、掃描報告管理、漏洞庫管理、綜合展示。系統管理包括機構管理、用戶管理、角色管理、數據字典管理、權限管理、資源管理、接口管理、短息平臺。基礎功能包括數據訪問、定時任務管理、消息處理、系統安全、接口服務管理。數據對象包括系統管理系統相關信息、定時任務管理、消息處理、系統安全、接口服務管理。數據對象包括系統管理相關信息、漏洞庫、日志信息、服務對象、掃描任務、漏洞信息。

數據庫服務器主要提供數據庫應用，包括數據存儲、數據訪問、數據轉換和數據備份。

可以理解的是，以上實施方式僅僅是為了說明本發明的原理而采用的示例性實施方式，然而本發明并不局限于此。對于本領域內的普通技術人員而言，在不脫離本發明的精神和實質的情況下，可以做出各種變型和改進，這些變型和改進也視為本發明的保護范圍。