(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 201911308949.7
(22)申请日 2019.12.18
(71)申请人 哈尔滨安天科技集团股份有限公司
地址 150028 黑龙江省哈尔滨市哈尔滨高
新技术产业开发区科技创新城创新创
业广场7号楼(世坤路838号)
(72)发明人 金楚迅 何秀锋 曾鹏 孙云松
肖新光
(51)Int.Cl.
G06F 21/57(2013.01)
(54)发明名称
(57)摘要
本发明提供一种基于CPE规范的漏洞补丁检
测方法、装置、电子设备及存储介质,所述方法包
息录入资产数据库;根据所述CPE信息,进行漏洞
与资产的关联分析,获得预处理数据;对所述预
处理数据进行分析处理,获得漏洞补丁检测报
告。该方法能自动进行管控内网资产实时探测,
并建立关联分析,以供下一步自动威胁修复处
理;并且遵循CPE的统一规范,有利于通用数据分
析解决;而且代替了人工处理相应的流程,减少
了人工操作的繁琐和复杂导致的错误。权利要求书3页 说明书10页 附图5页CN 111104677 A 2020.05.05
C N 111104677
A
1.一种基于CPE规范的漏洞补丁检测方法,其特征在于,所述方法包括:
获取资产信息;
按照CPE规范对所述资产信息进行构建,获得资产的CPE信息,并将所述CPE信息录入资产数据库;
根据所述CPE信息,进行漏洞与资产的关联分析,获得预处理数据;
对所述预处理数据进行分析处理,获得漏洞补丁检测报告。
2.如权利要求1所述的检测方法,其特征在于,所述方法还包括:
在获取资产信息步骤之前,进行资产信息建模,获得建模模型;
所述资产数据库包括所述建模模型,所述建模模型包括但不限于:脚本查询表、资产表、软件表、漏洞表、补丁表、漏洞补丁关系表、CPE表、资产补丁结果表和资产漏洞结果表。
3.如权利要求2所述的检测方法,其特征在于,所述获取资产信息包括:
通过扫描探测获取资产基本信息;
根据所述资产基本信息,获取资产深入信息;
导入三方数据,获取未入网资产信息。
4.如权利要求3所述的检测方法,其特征在于,所述根据所述资产基本信息,获取资产深入信息包括:
根据所述资产基本信息,判断资产是否为单个资产;
如果判断为资产为单个资产,则进行详细探测单一资产的版本信息;
如果判断为资产为多个资产,则根据所述资产基本信息和目标主机的操作系统类型,进行脚本组装,获得组装脚本;
将所述组装脚本下发至所述目标主机,由所述目标主机执行后回传;
接收所述目标主机回传的执行结果,并对所述执行结果进行解析,获取资产深入信息。
5.如权利要求2所述的检测方法,其特征在于,所述根据所述CPE信息,进行漏洞与资产的关联分析,获得预处理数据包括:
进行漏洞录入,所述进行漏洞录入包括:将所述CPE信息与漏洞影响的CPE信息进行对比,如果相同,则将漏洞与资产的关联关系录入至资产漏洞结果表;
进行资产录入,所述进行资产录入包括:
当录入单个资产时,将所述CPE信息与漏洞影响的CPE信息进行对比,如果相同,则将漏洞与资产的关联关系录入至资产漏洞结果表;
当录入资产集合时,将所述资产集合与其对应漏洞进行关联分析,获得集合关联关系,并将所述集合关联关系录入至资产漏洞结果表;
将所述资产集合与其内部的每个具体资产进行关联;
将每个具体资产与所述资产集合的对应漏洞进行关联分析,获得具体关联关系,并将所述具体关联关系录入至资产漏洞结果表。
6.如权利要求2所述的检测方法,其特征在于,所述对所述预处理数据进行分析处理,获得漏洞补丁检测报告包括:
查询获得资产中的已安装补丁和未安装补丁;
对所述已安装补丁进行状态标识,对所述未安装补丁进行覆盖操作和依赖标识,获得补丁信息;
根据所述预处理数据和所述补丁信息,获得漏洞补丁检测报告。
7.一种基于CPE规范的漏洞补丁检测装置,其特征在于,所述装置包括:
资产信息获取模块,用于获取资产信息;
CPE信息获取模块,用于按照CPE规范对所述资产信息进行构建,获得资产的CPE信息,并将所述CPE信息录入资产数据库;
关联分析模块,用于根据所述CPE信息,进行漏洞与资产的关联分析,获得预处理数据;
报告获取模块,对所述预处理数据进行分析处理,获得漏洞补丁检测报告。
8.如权利要求7所述的检测装置,其特征在于,所述装置还包括:建模模块,用于在获取本地资产信息步骤之前,进行资产信息建模,获得建模模型;
所述资产数据库包括所述建模模型,所述建模模型包括但不限于:脚本查询表、资产表、软件表、漏洞表、补丁表、漏洞补丁关系表、CPE表、资产补丁结果表和资产漏洞结果表。
9.如权利要求8所述的检测装置,其特征在于,所述资产信息获取模块具体用于:
通过扫描探测获取资产基本信息;
根据所述资产基本信息,获取资产深入信息;
导入三方数据,获取未入网资产信息。
10.如权利要求9所述的检测装置,其特征在于,所述资产信息获取模块具体用于:
根据所述资产基本信息,判断资产是否为单个资产;
如果判断为资产为单个资产,则进行详细探测单一资产的版本信息;
如果判断为资产为多个资产,则根据所述资产基本信息和目标主机的操作系统类型,进行脚本组装,获得组装脚本;
将所述组装脚本下发至所述目标主机,由所述目标主机执行后回传;
接收所述目标主机回传的执行结果,并对所述执行结果进行解析,获取资产深入信息。
11.如权利要求8所述的检测装置,其特征在于,所述关联分析模块具体用于:
进行漏洞录入,所述进行漏洞录入包括:将所述CPE信息与漏洞影响的CPE信息进行对比,如果相同,则将漏洞与资产的关联关系录入至资产漏洞结果表;
进行资产录入,所述进行资产录入包括:
当录入单个资产时,将所述CPE信息与漏洞影响的CPE信息进行对比,如果相同,则将漏洞与资产的关联关系录入至资产漏洞结果表;
当录入资产集合时,将所述资产集合与其对应漏洞进行关联分析,获得集合关联关系,并将所述集合关联关系录入至资产漏洞结果表;
将所述资产集合与其内部的每个具体资产进行关联;
将每个具体资产与所述资产集合的对应漏洞进行关联分析,获得具体关联关系,并将所述具体关联关系录入至资产漏洞结果表。
12.如权利要求8所述的检测装置,其特征在于,所述报告获取模块具体用于:
查询获得资产中的已安装补丁和未安装补丁;
对所述已安装补丁进行状态标识,对所述未安装补丁进行覆盖操作和依赖标识,获得补丁信息;
根据所述预处理数据和所述补丁信息,获得漏洞补丁检测报告。
13.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电
源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1至6任一项所述的基于CPE规范的漏洞补丁检测方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至6中任一项所述的基于CPE规范的漏洞补丁检测方法。
基于CPE规范的漏洞补丁检测方法及装置技术领域
[0001]本发明涉及信息系统安全技术领域,尤其涉及一种基于CPE规范的漏洞补丁检测方法、装置、电子设备及存储介质。
背景技术
[0002]目前市场上的资产运维管理系统在运维时,依靠人工的方式通过对比资产型号及影响该型号资产的漏洞和对应的补丁,手动关联录入资产及其受影响的漏洞补丁信息。但上述的资产录入方法存在一些
问题:
[0003]·人工登记的低效和不安全性
[0004]由于目前关于漏洞和补丁的信息数据体量庞大、种类繁多,在人工登记资产时,单纯的依靠人工判断资产及其受影响的漏洞补丁信息,不但在筛选漏洞、补丁时会效率低下,费时费力;而且由人工进行大量的重复性操作也会导致更高的出错风险,造成不必要的损失。
[0005]·缺少统一的规范
[0006]在资产安全运维的过程中,对于各种资产缺乏统一、规范的标识,极易导致运维时的混乱和维护时出错。
发明内容
[0007]对于文中出现的名词作如下解释:
[0008]CPE:CPE是(Common Platform Enumeration的缩写)以标准化方式为软件应用程序、操作系统及硬件命名的方法。
[0009]nmap:nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。
[0010]massscan:Massscan是一个专门用来扫描端口的工具,可以快速的扫描端口,拥有快捷的端口扫描功能,可以实现对端口的快速扫描,支持选择一个IP地址范围,然后进行扫描,Massscan是可以为你轻松扫描端口的工具。
[0011]有鉴于此,本发明提供了一种基于CPE规范的漏洞补丁检测方法、装置、电子设备及存储介质,以解决或部分解决上述技术问题。
[0012]根据本发明的一个方面,提供了一种基于CPE规范的漏洞补丁检测方法,所述方法包括:
[0013]获取资产信息;
[0014]按照CPE规范对所述资产信息进行构建,获得资产的CPE信息,并将所述CPE信息录入资产数据库;
[0015]根据所述CPE信息,进行漏洞与资产的关联分析,获得预处理数据;
[0016]对所述预处理数据进行分析处理,获得漏洞补丁检测报告。
说 明 书
1/10页CN 111104677 A
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议