[发明专利]识别系统漏洞的方法、装置和服务器

说明书

本发明提供了一种识别系统漏洞的方法、装置和服务器，通过扫描组件对目标系统进行漏洞扫描，当获取到运行有扫描组件的设备上的日志数据后，从该日志数据中提取指定字段对应的字段内容，得到提取结果；基于该提取结果识别目标系统的漏洞。该方式中，由于运行有扫描组件的设备上的日志数据中保存有扫描组件对目标系统进行漏洞扫描的中间结果，相对于漏洞扫描的最终结果，中间结果中保存有更加丰富的扫描数据，基于中间结果识别目标系统的漏洞，有利于发现目标系统中较为隐蔽的漏洞，因而降低了漏洞的漏报率和误报率，提高了识别系统漏洞的准确率。

技术领域

本发明涉及系统安全技术领域，尤其是涉及一种识别系统漏洞的方法、装置和服务器。

背景技术

对系统进行漏洞扫描时，通常采用分布式插件化的结构，例如，可以将漏洞扫描任务划分为爬虫、指纹匹配、模糊测试、POC(Proof Of Concept，概念验证)测试等多个组件，由这些组件共同完成系统的漏洞扫描。在扫描过程中，这些组件之间相互独立，由调度系统预先设置各个组件之间的输入数据和输出数据之间的依赖关系，然后将扫描任务划分为多个子任务，按照前述依赖关系将多个子任务分发至各个组件，最终得到扫描结果，然后基于该扫描结果确定系统是否具有漏洞。但是这种确认系统是否具有漏洞的方式所依据的数据有限，很容易漏掉较为隐蔽的漏洞，或者会误报漏洞，导致漏洞的漏报率和误报率较高。

发明内容

本发明的目的在于提供一种识别系统漏洞的方法、装置和服务器，以降低漏洞的漏报率和误报率，提高识别系统漏洞的准确率。

第一方面，本发明提供的一种识别系统漏洞的方法，所述方法包括：获取运行有扫描组件的设备上的日志数据；其中，所述扫描组件用于对目标系统进行漏洞扫描；从所述日志数据中提取指定字段对应的字段内容，得到提取结果；基于所述提取结果识别所述目标系统的漏洞。

进一步的，所述运行有扫描组件的设备上预先部署有日志采集组件，所述日志采集组件用于：采集所述运行有扫描组件的设备上的日志数据，将所述日志数据的时间信息和来源信息携带至所述日志数据，再将所述日志数据发送至预设的消息队列；所述获取运行有扫描组件的设备上的日志数据的步骤，包括：从所述消息队列中获取运行有扫描组件的设备上的日志数据。

进一步的，所述指定字段包括所述目标系统接收到的访问请求的源地址信息、URI信息、请求头信息和表单信息中的一种或多种。

进一步的，基于所述提取结果识别所述目标系统的漏洞的步骤，包括：通过预设的统计规则，对所述提取结果中，各个指定字段对应的字段内容进行统计分析，得到分析结果；如果所述分析结果指示所述日志数据中存在异常数据，基于所述异常数据确定所述目标系统的漏洞。

进一步的，基于所述提取结果识别所述目标系统的漏洞的步骤，包括：根据所述提取结果，从所述日志数据中提取静态文件；查询所述静态文件中是否存在预设的敏感信息；如果存在所述敏感信息，基于所述敏感信息确定所述目标系统的漏洞。

进一步的，基于所述提取结果识别所述目标系统的漏洞的步骤，包括：从所述提取结果中提取多个实体，以及所述多个实体之间的关系；根据提取到的所述多个实体和所述多个实体之间的关系，创建与所述目标系统相关联的知识图谱；其中，所述知识图谱中包括所述目标系统的页面结构、页面特征、请求信息、所述目标系统运行主机上的开放服务、以及所述开放服务的扫描交互信息中的一种或多种；基于所述知识图谱，确定所述目标系统的漏洞。

进一步的，从所述提取结果中提取多个实体，以及所述多个实体之间的关系的步骤，包括：从所述提取结果中获取日志来源字段的字段内容；根据日志来源字段的字段内容，生成根实体；根据所述提取结果中，除所述日志来源字段的字段内容，生成所述根实体下属的子实体。

进一步的，基于所述知识图谱，确定所述目标系统的漏洞的步骤，包括：通过预设的统计规则，对所述知识图谱进行统计分析，得到分析结果，基于所述分析结果确定所述目标系统的漏洞。