漏洞匹配方法、装置、设备及存储介质与流程

本发明涉及互联网，尤其涉及一种漏洞匹配方法、装置、设备及存储介质。

背景技术：

1、当前，工业互联网安全风险评估没有成熟的模型，主要以网络安全标准进行“合规”和“差距分析”为主，用来推断有可能导致的“脆弱性”，缺乏这些“脆弱性”被利用可能性和被利用可能造成危害的程度。

2、但是，工控资产设备指纹信息收集困难，对it资产设备扫描的方式可能对工控系统本身的工作造成影响，获取到的资产信息层次不齐，各种工控协议的差别导致能够获取到的指纹信息差异很大，缺失项各不相同，并且，工业互联网漏洞信息库相对较少，公共漏洞和暴露(common vulnerabilities&exposures，cve)漏洞信息库各个平台的信息收集也有差异，入库时对于同一漏洞描述的属性值均不全面，难以达到漏洞利用的目的。因此，在通过上述方式进行漏洞匹配时，匹配效率较低，并且难以达到较好的漏洞匹配效果。

3、上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

1、本发明的主要目的在于提出一种漏洞匹配方法、装置、设备及存储介质，旨在解决如何提高匹配效率，并达到较好的漏洞匹配效果的技术问题。

2、为实现上述目的，本发明提供一种漏洞匹配方法，所述漏洞匹配方法包括：

3、获取设备指纹信息和攻防漏洞信息；

4、根据所述攻防漏洞信息确定候选设备信息；

5、分别对所述设备指纹信息和所述候选设备信息进行统一命名，得到目标设备指纹信息和目标候选设备信息；

6、根据所述目标设备指纹信息和所述目标候选设备信息进行漏洞匹配。

7、可选地，所述获取设备指纹信息和攻防漏洞信息，包括：

8、构建设备指纹库和攻防漏洞知识库；

9、从所述设备指纹库获取设备指纹信息，并从所述攻防漏洞知识库获取攻防漏洞信息。

10、可选地，所述构建设备指纹库和攻防漏洞知识库，包括：

11、通过设备扫描箱从多个样本设备获取待处理设备信息；

12、根据所述待处理设备信息构建设备指纹库；

13、从多个漏洞信息平台获取待处理漏洞信息；

14、根据所述待处理漏洞信息构建攻防漏洞知识库。

15、可选地，所述设备扫描箱包括主动扫描模块和被动扫描模块；

16、所述通过设备扫描箱从多个样本设备获取待处理设备信息，包括：

17、基于所述设备扫描箱的主动扫描模块通过主动扫描方式，从多个样本设备获取主动扫描设备信息；

18、基于所述设备扫描箱的被动扫描模块通过被动监听方式，从多个样本设备获取被动监听设备信息；

19、根据所述主动扫描设备信息和所述被动监听设备信息得到待处理设备信息。

20、可选地，所述根据所述待处理设备信息构建设备指纹库，包括：

21、根据所述待处理设备信息确定初始设备指纹信息；

22、根据预设指纹信息筛选规则对所述初始设备指纹信息进行筛选，得到待选设备指纹信息；

23、根据所述待选设备指纹信息构建设备指纹库。

24、可选地，所述从多个漏洞信息平台获取待处理漏洞信息，包括：

25、获取多个漏洞信息平台对应的平台信息；

26、从所述平台信息中筛选出目标平台信息；

27、根据所述目标平台信息从多个漏洞信息平台中选取多个目标漏洞信息平台；

28、从多个目标漏洞信息平台获取待处理漏洞信息。

29、可选地，所述从多个目标漏洞信息平台获取待处理漏洞信息，包括：

30、根据漏洞信息获取指令确定漏洞获取规则；

31、根据所述漏洞获取规则生成信息提取信号；

32、将所述信息提取信号发送给多个目标漏洞信息平台；

33、接收多个目标漏洞信息平台根据所述信息提取信号反馈的漏洞信息包；

34、对所述漏洞信息包进行解析，得到待处理漏洞信息。

35、可选地，所述根据所述待处理漏洞信息构建攻防漏洞知识库，包括：

36、根据预设漏洞信息筛选规则对所述待处理漏洞信息进行筛选，得到待选漏洞信息；

37、根据所述待选漏洞信息构建攻防漏洞知识库。

38、可选地，所述根据预设漏洞信息筛选规则对所述待处理漏洞信息进行筛选，得到待选漏洞信息，包括：

39、检测所述待处理漏洞信息对应的当前漏洞状态；

40、根据预设漏洞信息筛选规则和所述当前漏洞状态对所述待处理漏洞信息进行筛选；

41、根据筛选结果确定当前漏洞状态不为预设状态的待处理漏洞信息；

42、根据当前漏洞状态不为预设状态的待处理漏洞信息确定待选漏洞信息。

43、可选地，所述根据所述待选漏洞信息构建攻防漏洞知识库，包括：

44、根据所述待选漏洞信息确定被漏洞影响的设备的设备信息；

45、从所述待选漏洞信息中选取漏洞类型信息和漏洞危险等级；

46、获取与所述待选漏洞信息中的漏洞相对应的漏洞复现策略；

47、根据所述设备信息、所述漏洞类型信息、所述漏洞危险等级以及所述漏洞复现策略构建攻防漏洞知识库。

48、可选地，所述分别对所述设备指纹信息和所述候选设备信息进行统一命名，得到目标设备指纹信息和目标候选设备信息，包括：

49、根据预设指纹命名规则对所述设备指纹信息进行统一命名，得到目标设备指纹信息；

50、根据预设设备命名规则对所述候选设备信息进行统一命名，得到目标候选设备信息。

51、可选地，所述根据所述目标设备指纹信息和所述目标候选设备信息进行漏洞匹配，包括：

52、从攻防漏洞知识库获取与所述候选设备信息对应的候选漏洞信息；

53、根据所述候选漏洞信息和所述目标候选设备信息生成漏洞映射库；

54、根据所述漏洞映射库和所述目标设备指纹信息进行漏洞匹配。

55、可选地，所述根据所述漏洞映射库和所述目标设备指纹信息进行漏洞匹配之后，还包括：

56、根据漏洞匹配结果确定存在漏洞的目标设备以及所述目标设备对应的漏洞信息；

57、根据所述目标设备以及所述目标设备对应的漏洞信息确定攻击链路；

58、根据所述攻击链路生成漏洞匹配结果。

59、此外，为实现上述目的，本发明还提出一种漏洞匹配装置，所述漏洞匹配装置包括：

60、信息获取模块，用于获取设备指纹信息和攻防漏洞信息；

61、信息处理模块，用于根据所述攻防漏洞信息确定候选设备信息；

62、统一命名模块，用于分别对所述设备指纹信息和所述候选设备信息进行统一命名，得到目标设备指纹信息和目标候选设备信息；

63、漏洞匹配模块，用于根据所述目标设备指纹信息和所述目标候选设备信息进行漏洞匹配。

64、可选地，所述信息获取模块，还用于构建设备指纹库和攻防漏洞知识库；从所述设备指纹库获取设备指纹信息，并从所述攻防漏洞知识库获取攻防漏洞信息。

65、可选地，所述信息获取模块，还用于通过设备扫描箱从多个样本设备获取待处理设备信息；根据所述待处理设备信息构建设备指纹库；从多个漏洞信息平台获取待处理漏洞信息；根据所述待处理漏洞信息构建攻防漏洞知识库。

66、可选地，所述设备扫描箱包括主动扫描模块和被动扫描模块；

67、所述信息获取模块，还用于基于所述设备扫描箱的主动扫描模块通过主动扫描方式，从多个样本设备获取主动扫描设备信息；基于所述设备扫描箱的被动扫描模块通过被动监听方式，从多个样本设备获取被动监听设备信息；根据所述主动扫描设备信息和所述被动监听设备信息得到待处理设备信息。

68、可选地，所述信息获取模块，还用于根据所述待处理设备信息确定初始设备指纹信息；根据预设指纹信息筛选规则对所述初始设备指纹信息进行筛选，得到待选设备指纹信息；根据所述待选设备指纹信息构建设备指纹库。

69、此外，为实现上述目的，本发明还提出一种漏洞匹配设备，所述漏洞匹配设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的漏洞匹配程序，所述漏洞匹配程序被处理器执行时实现如上所述的漏洞匹配方法。

70、此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有漏洞匹配程序，所述漏洞匹配程序被处理器执行时实现如上所述的漏洞匹配方法。

71、本发明提出的漏洞匹配方法，通过获取设备指纹信息和攻防漏洞信息；根据所述攻防漏洞信息确定候选设备信息；分别对所述设备指纹信息和所述候选设备信息进行统一命名，得到目标设备指纹信息和目标候选设备信息；根据所述目标设备指纹信息和所述目标候选设备信息进行漏洞匹配，从而通过统一命名的方式进行漏洞匹配，可提高匹配效率，并达到较好的漏洞匹配效果。