基于0day漏洞的数字资产漏洞检测方法及其相关设备与流程

1.本技术涉及数字资产漏洞检测领域，尤其涉及基于0day漏洞的数字资产漏洞检测方法及其相关设备。


背景技术：

2.随着计算机网络的快速发展，越来越多的企业已经进入数字化转型的快车道，而绝大部分企业都无法快速准确的进行数字资产漏洞检测。漏洞扫描是指检测指定主机、服务器等设备的漏洞并生成报告交付给使用者，报告包含漏洞风险等级、漏洞成因、修复方案等内容。通常企业需要定期对数字资产进行漏洞扫描确认数字资产符合安全基线。检测周期根据资产重要度从每个月到每年不等。传统的漏洞扫描器主要是基于特征规则的漏洞验证：通过扫描器发送含有某一漏洞特征的探测数据包，再根据其返回的结果判断漏洞是否存在，因此现有技术中存在以下缺点：对数字资产进行漏洞检测的效果取决于扫描器的功能，可能存在漏洞误判；完成全部检测时扫描器自身占用网络带宽较大、容易受到网络安全策略的限制；及时性不高，对于漏洞的发现快慢取决于进行主动漏洞扫描频率，两次主动扫描的时间间隔中是否出现漏洞完全是不可知的。
3.因此需要一种数字资产检测方法，较现有技术更准确地识别漏洞，更快的完成漏洞检测，能够及时发现漏洞存在，同时降低网络带宽占用，使漏洞检测不受网络安全策略限制。


技术实现要素：

4.本发明提供了一种基于0day漏洞的数字资产漏洞检测方法，以解决现有技术中漏洞识别效率低的问题。本发明提供的技术方案如下：
5.一方面，本发明提供了一种基于0day漏洞的数字资产漏洞检测方法，包括：
6.获取被检测的数字资产的日志信息，根据规则匹配识别出资产信息；
7.判断预先设置的0day漏洞库中，是否存在有与所述资产信息匹配的目标0day漏洞信息；
8.若所述预先设置的0day漏洞库中，存在与所述资产信息匹配的所述目标0day漏洞信息，则确定所述被检测的数字资产存在漏洞。
9.进一步的，以上所述的基于0day漏洞的数字资产漏洞检测方法中，所述判断预先设置的0day漏洞库中，是否存在有与所述日志信息匹配的目标0day漏洞信息之前，还包括：
10.获取0day漏洞信息；其中，所述的0day漏洞信息是基于爬虫在互联网中按周期爬取的；
11.将所述的0day漏洞信息存储于所述0day漏洞库中。
12.进一步的，以上所述的基于0day漏洞的数字资产漏洞检测方法中，所述将所述的0day漏洞信息存储于所述0day漏洞库中，包括：
13.将所述0day漏洞信息进行去重处理，将去重后的所述0day漏洞信息存储于所述
0day漏洞库中。
14.进一步的，以上所述的基于0day漏洞的数字资产漏洞检测方法中，所述获取被检测的数字资产的日志信息，根据规则匹配识别出资产信息之后，还包括：
15.若检测到数字资产信息更新，将更新的数字资产作为所述被检测的数字资产。
16.进一步的，以上所述的基于0day漏洞的数字资产漏洞检测方法中，所述若所述预先设置的0day漏洞库中，存在与所述资产信息匹配的所述目标0day漏洞信息之后，还包括：
17.生成漏洞检测结果，将所述漏洞检测结果发送给所述被检测的数字资产对应的用户端。
18.另一方面，本发明还提供了一种基于0day漏洞的数字资产漏洞检测装置，包括：
19.获取模块，用于获取被检测的数字资产的日志信息；
20.匹配模块，用于按规则匹配识别日志信息对应的资产信息；
21.判断模块，用于判断预先设置的0day漏洞库中，是否存在有与所述资产信息匹配的目标0day漏洞信息；
22.确定模块，用于若所述预先设置的0day漏洞库中，存在与所述资产信息匹配的所述目标0day漏洞信息，则确定所述被检测的数字资产存在漏洞；
23.所述的获取模块，匹配模块、判断模块和确定模块依次电连接。
24.另一方面，本发明还提供了一种基于0day漏洞的数字资产漏洞检测服务器，包括处理器和存储器，所述处理器与所述存储器电连接：
25.其中，所述处理器，用于调用并执行所述存储器中存储的程序；
26.所述存储器，用于存储所述程序，所述程序至少用于执行以上任一项技术方案所述的基于0day漏洞的数字资产漏洞检测方法。
27.另一方面，本发明还提供了一种基于0day漏洞的数字资产漏洞检测系统，包括客户端、0day漏洞信息获取端和上述基于0day漏洞的数字资产漏洞检测服务器；
28.所述客户端和所述0day漏洞信息获取端分别与基于0day漏洞的数字资产漏洞检测服务器连接；
29.其中，所述0day漏洞信息获取端用于基于爬虫在互联网中按周期爬取0day漏洞信息，将所述漏洞信息发给所述基于0day漏洞的数字资产漏洞检测服务器；所述客户端用于捕获被检测的数字资产的日志信息，把日志信息发送给所述基于0day漏洞的数字资产漏洞检测服务器。
30.进一步的，以上所述的基于0day漏洞的数字资产漏洞检测系统中，所述的客户端和所述0day漏洞信息获取端分别通过互联网与基于0day漏洞的数字资产漏洞检测服务器连接。
31.本技术的实施例提供的技术方案可以包括以下有益效果：通过获取数字资产日志信息按匹配规则识别出资产信息，并将资产信息与0day漏洞库中的漏洞信息对比完成数字资产漏洞检验，能够及时发现漏洞，降低漏洞误判概率，同时不再需要扫描器发送探测数据包，节省了网络带宽，使检测方法不受网络安全策略的限制。
32.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
33.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
34.图1是本发明基于0day漏洞的数字资产漏洞检测方法一种实施例提供的流程示意图；
35.图2是本发明基于0day漏洞的数字资产漏洞检测装置一种实施例提供的结构示意图；
36.图3是本发明基于0day漏洞的数字资产漏洞检测服务器一种实施例提供的结构示意图；
37.图4是本发明基于0day漏洞的数字资产漏洞检测系统一种实施例提供的结构示意图。
38.【附图标记】：21-获取模块；22-匹配模块；23-判断模块；24；确定模块；31-处理器；32-存储器；41-客户端；42-0day漏洞信息获取端；43-基于0day漏洞的数字资产漏洞检测服务器。
具体实施方式
39.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
40.现有技术中对数字资产进行漏洞检测的效果取决于扫描器的功能，可能存在漏洞误判；完成全部检测时扫描器自身占用网络带宽较大、容易受到网络安全策略的限制；及时性不高，对于漏洞的发现快慢取决于进行主动漏洞扫描频率，两次主动扫描的时间间隔中是否出现漏洞完全是不可知的。为了解决上述技术问题，本技术提供了如下实施例。
41.图1为本具体实施例提供的一种基于0day漏洞的数字资产漏洞检测方法示意图。本实施例的基于0day漏洞的数字资产漏洞检测方法应用于基于0day漏洞的数字资产漏洞检测服务器中。如图1所示，本实施例可以包括以下步骤：
42.s101、获取被检测的数字资产的日志信息，根据规则匹配识别出资产信息。
43.本技术的实施例中，可以获取被检测的数字资产的日志信息，根据规则匹配识别出资产信息。其中，客户端部署有资产探测系统，能够识别出所有的数字资产以及上面运行的所有系统和应用、开放了哪些端口和服务，将所有日志信息获取并按照规则匹配识别出资产信息，并且能够持续性的监控这些资产的变化情况，生成检测的数字资产的资产信息，将资产信息发送给服务器。
44.s102、判断预先设置的0day漏洞库中，是否存在有与所述资产信息匹配的目标0day漏洞信息。
45.数字资产在日常工作中会产生日志信息，根据日志信息按照规则匹配识别出资产信息，一些漏洞会根据特定的资产信息入侵数字资产并对其造成破坏，具体的，当获取到被检测的数字资产的资产信息后，可以判断预先设置的0day漏洞库中的所有漏洞信息中，是否存在与所述资产信息匹配的目标0day漏洞信息。
46.s103、若所述预先设置的0day漏洞库中，存在与所述资产信息匹配的所述0day漏洞信息，则表示所述被检测的数字资产存在漏洞。
47.如果经过判断，确定预先设置的0day漏洞库中，存在与所述资产信息匹配的所述0day漏洞信息，则确定所述被检测的数字资产存在漏洞。
48.该具体实施例通过获取数字资产日志信息匹配识别出资产信息，并与0day漏洞库中的漏洞信息对比完成数字资产漏洞检验，能够及时发现漏洞，降低漏洞误判概率，同时不再需要扫描器发送探测数据包，节省了网络带宽，使检测方法不受网络安全策略的限制。
49.一些实施例中，在以上实施例的s102之前，还包括如下步骤：
50.获取0day漏洞信息；其中，所述的0day漏洞信息是基于爬虫在互联网中按预设周期爬取的；
51.将所述的0day漏洞信息存储于所述0day漏洞库中。
52.具体的，本实施例可以预先设置0day漏洞库中。即，可以通过爬虫在互联网中按周期爬取0day漏洞信息，然后获取该0day漏洞信息组成0day漏洞。此外，上述预设周期可以根据实际情况进行设置，例如每3分钟爬取一次，本实施例不做限定。
53.将所述0day漏洞信息进行去重处理，将去重后的所述0day漏洞信息存储于所述0day漏洞库中。
54.具体的，0day漏洞可能出现在任何一台连接互联网的数字资产中，通过互联网爬虫爬取程序周期性的爬取网络上实时更新的0day漏洞和日志信息对比的被动检测的手段，能够起到即时检测的目的，较现有技术通过操作人员周期性的主动扫描检测更加及时可靠，漏洞遗漏更少，因此提高了检测效率。该方法在应用过程中，面对用户需求，可布置多个爬虫程序同时进行漏洞爬取以提高效率，因此，在爬取0day漏洞的过程中可添加一去重过程，降低0day漏洞库中的漏洞信息重复率，节约内存资源。
55.一些实施例中，在以上实施例的s101之前，还包括如下步骤：
56.检测数字资产更新，将更新的数字资产作为所述被检测的数字资产。
57.具体的，用户使用本具体实施例进行漏洞检测前，允许发生数字资产变动，如添加新资产或更换新资产，通过捕获日志信息并按规则匹配资产信息来检测数字资产更新情况，当发现更新时，立即检测更新的数字资产，以保证用户数字资产的整体性安全。
58.一些实施例中，在以上实施例的s103之后，还包括如下步骤：
59.生成漏洞检测结果，将所述漏洞检测结果发送给所述被检测的数字资产对应的用户端。
60.发现漏洞后，生成漏洞检测结果以告知用户，用户可根据漏洞检测结果进行漏洞修复和采取对应的安全保护措置，防止漏洞被利用进而造成数字资产安全损失。
61.基于一个总的发明构思，本技术还提供了一种基于0day漏洞的数字资产漏洞检测装置。图2是本发明基于0day漏洞的数字资产漏洞检测装置一种实施例提供的结构示意图，如图2所示，本实施例的装置包括：
62.获取模块21，用于获取被检测的数字资产的日志信息；
63.匹配模块22，用于按规则匹配识别日志信息对应的资产信息；
64.判断模块23，用于判断预先设置的0day漏洞库中，是否存在有与所述资产信息匹配的目标0day漏洞信息；
65.确定模块24，用于若所述预先设置的0day漏洞库中，存在与所述资产信息匹配的所述目标0day漏洞信息，则确定所述被检测的数字资产存在漏洞。
66.通过获取数字资产日志信息按匹配规则识别出资产信息，并将资产信息与0day漏洞库中的漏洞信息对比完成数字资产漏洞检验，能够及时发现漏洞，降低漏洞误判概率，同时不再需要扫描器发送探测数据包，节省了网络带宽，使检测方法不受网络安全策略的限制。
67.在一些实施例中，基于0day漏洞的数字资产漏洞检测装置，还包括存储模块；
68.获取模块21，还用于获取0day漏洞信息；其中，所述的0day漏洞信息是基于爬虫在互联网中按预设周期爬取的存储模块，用于将所述的0day漏洞信息存储于所述0day漏洞库中。
69.在一些实施例中，基于0day漏洞的数字资产漏洞检测装置还包括去重模块；
70.去重模块，用于将所述0day漏洞信息进行去重处理，将去重后的所述0day漏洞信息存储于所述0day漏洞库中。
71.在一些实施例中，基于0day漏洞的数字资产漏洞检测装置还包括检测模块；
72.检测模块，用于根据识别的资产信息检测数字资产更新情况，若检测到数字资产更新，则将更新的数字资产作为被检测的数字资产。
73.在一些实施例中，基于0day漏洞的数字资产漏洞检测装置还包括通知模块；
74.通知模块，用于当预先设置的0day漏洞库中，存在与资产信息匹配的目标0day漏洞信息之后生成漏洞检测结果时，将漏洞检测结果发送给被检测的数字资产对应的用户端。
75.基于一个总的发明构思，本技术还提供了一种基于0day漏洞的数字资产漏洞检测服务器。图3是本发明基于0day漏洞的数字资产漏洞检测服务器一种实施例提供的结构示意图，如图3所示，本实施例的服务器包括处理器31和存储器32，所述处理器与所述存储器电连接，其中：
76.所述处理器31，用于调用并执行所述存储器5中存储的程序；
77.所述存储器32，用于存储所述程序，所述程序至少用于执行上述任一实施例所述的基于0day漏洞的数字资产漏洞检测方法。
78.基于一个总的发明构思，本技术还提供了一种基于0day漏洞的数字资产漏洞检测系统，图4是本发明基于0day漏洞的数字资产漏洞检测系统一种实施例提供的结构示意图，如图4所示，本实施例的基于0day漏洞的数字资产漏洞检测系统包括客户端41、0day漏洞信息获取端42和以上实施例的基于0day漏洞的数字资产漏洞检测服务器43。
79.所述客户端41和所述0day漏洞信息获取端42分别与基于0day漏洞的数字资产漏洞检测服务器43连接。
80.其中，所述0day漏洞信息基于爬虫在互联网中按周期爬取0day漏洞信息，将所述漏洞信息发给所述基于0day漏洞的数字资产漏洞检测服务器；所述客户端用于捕获被检测的数字资产的日志信息，把日志信息发给所述基于0day漏洞的数字资产漏洞检测服务器。
81.具体的，0day漏洞信息获取端通过爬虫程序周期性爬取互联网中的0day漏洞，对漏洞信息进行去重处理后，存储在0day漏洞库中，客户端实时捕获被检测数字资产的日志信息并发送给基于0day漏洞的数字资产漏洞检测服务器，服务器将日志信息按规则匹配识
别出资产信息，并将资产信息与0day漏洞库中的0day漏洞信息进行对比，若0day漏洞库中存在某些漏洞信息与该资产信息匹配，则确定该数字资产存在对应的漏洞，进而服务器将上述的检测报告发送到对应的客户端；当基于0day漏洞的数字资产漏洞检测服务器检测到资产信息更新时，立即对更新的数字资产进行同样的漏洞检测。
82.本具体实施例通过获取数字资产日志信息按匹配规则识别出资产信息，并将资产信息与0day漏洞库中的漏洞信息对比完成数字资产漏洞检验，能够及时发现漏洞，降低漏洞误判概率，同时不再需要扫描器发送探测数据包，节省了网络带宽，使检测方法不受网络安全策略的限制。
83.在一些实施例中，以上是实施例中的客户端和所述0day漏洞信息获取端分别通过互联网与基于0day漏洞的数字资产漏洞检测服务器连接。服务器除了本地布置以外，还可以采用云端方式部署，在云服务器中部署该基于0day漏洞的数字资产漏洞检测服务器，0day漏洞信息获取端使用互联网传输0day漏洞信息，同样，客户端使用互联网传输数字资产的日志信息。如此设置，使基于0day漏洞的数字资产漏洞检测方法实用性更强，布置基于0day漏洞的数字资产漏洞检测服务器硬件需求降低。
84.可以理解的是，上述各实施例中相同或相似部分可以相互参考，在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
85.需要说明的是，在本技术的描述中，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本技术的描述中，除非另有说明，“多个”的含义是指至少两个。
86.流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本技术的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本技术的实施例所属技术领域的技术人员所理解。
87.应当理解，本技术的各部分可以用硬件、软件、固件或它们的组合来实现。本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
88.此外，在本技术各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。
89.上述提到的存储介质可以是只读存储器，磁盘或光盘等。
90.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
91.尽管上面已经示出和描述了本技术的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本技术的限制，本领域的普通技术人员在本技术的范围内可以对上述实施例进行变化、修改、替换和变型。