[发明专利]对象漏洞的检测方法、装置、介质及电子设备

说明书

本发明实施例提供了一种对象漏洞的检测方法、装置、介质及电子设备，包括：对所获取待检测对象的接口信息去重，获得上述待检测对象的攻击面信息；根据预设的机器学习模型对上述攻击面信息进行处理，输出对应于上述攻击面信息的漏洞检测策略；根据上述漏洞检测策略从预设的漏洞规则库中选取出对应的规则，并对上述攻击面信息进行漏洞检测，输出漏洞检测结果。本发明实施例的技术方案通过启发式爬虫和日志处理相结合的方式，解决了传统漏洞检测方式攻击面信息收集不全的缺陷，并通过两种机器学习模型对漏洞规则库进行更新，提升了漏洞规则库的更新小效率，最后通过基于策略的漏洞检测方式，提高了漏洞检测效率。

技术领域

本发明涉及互联网应用技术领域，具体而言，涉及一种对象漏洞的检测方法、装置、介质及电子设备。

背景技术

近年来，web应用技术飞速发展，各种前、后端框架层出不穷，web应用的开放性、开发者的安全意识薄弱使其面临巨大地攻击风险，新的技术必然带来新的威胁，各种变种攻击和0day攻击不断被曝出,传统的web漏洞检测技术由于漏洞规则固定、成本高、迭代慢等缺点，已难以满足web应用对于安全的要求。因此，如何智能地检测web应用漏洞就显得很有意义。

基于以上出现的问题，现有技术是：

方案一：漏洞规则库，针对各类web漏洞设计不同的漏洞检测规则构成漏洞规则库，然后爬虫获取应用接口，最后调用漏洞规则库中的所有规则对每个接口进行fuzz测试。

方案二：安全公司渗透测试，企业将web应用交给第三方安全公司，并由渗透测试人员对web应用中存在的漏洞进行检测。

方案三：安全众测，企业将web应用交给安全众测平台，由安全社区的广大人员进行测试。

当时，上述现有技术存在明显的缺陷。

方案一：漏洞规则固定，需要长期大量的运营来扩展漏洞规则库；漏洞规则匹配是以黑名单的方式，这样会提高误报率；并且web2.0时代前端框架日趋复杂，传统的爬虫方式并不能完整的收集到web应用接口信息，这样在进行匹配时就会出现遗漏，降低了漏洞检出率；规则匹配是以碰撞的方式，效率极低。

方案二：渗透测试工作人员通常依据自身经验开展渗透测试工作，这远远无法保证漏洞检出率；并且这种重复的人力测试成本很高。

方案三：安全众测安全众测平台管理机制存在缺陷，参与众测的人员身份无法得到保证，很容易给企业带来损失。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本发明实施例的目的在于提供一种对象漏洞的检测方法、装置、介质及电子设备，进而至少在一定程度上克服相关技术中等一个或多个问题。

本发明的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本发明的实践而习得。

根据本发明实施例的第一方面，提供了一种对象漏洞的检测方法，包括：

对所获取待检测对象的接口信息去重，获得上述待检测对象的攻击面信息；

根据预设的机器学习模型对上述攻击面信息进行处理，输出对应于上述攻击面信息的漏洞检测策略；

根据上述漏洞检测策略从预设的漏洞规则库中选取出对应的规则，并对上述攻击面信息进行漏洞检测，输出漏洞检测结果。

在本发明的一个实施例中，上述对所获取待检测对象的接口信息进行去重处理之前，上述方法还包括：

自动填充上述待检测对象的前端输入接口，并遍历上述前端输入接口事件，通过预设的代理服务获取上述前端输入接口的接口信息，和/或