[发明专利]一种基于Socket协议的漏洞检测装置和漏洞检测方法

说明书

一种基于Socket协议的漏洞检测装置和漏洞检测方法，属于网络安全技术领域，漏洞检测装置包括规则加载模块和规则执行模块；规则加载模块利用调度模块发送的待检测漏洞名称，从漏洞库中加载相应的漏洞检测规则数据，与目标地址和目标端口组成一组完整的漏洞检测规则数据，并以唯一标识数据作为key存入任务队列中；规则执行模块从任务队列中取出完整的漏洞检测规则数据，判断每个子规则的Socket协议请求包所返回响应包的内容是否具有当前子规则所设置好的特征。本方案，通过创建标准的socket协议，实现与其他协议的通信，不仅可以提高编写漏洞检测的效率，还支持多种协议漏洞的统一检测规则解析，解决了不同类型的漏洞检测难以实现统一维护与管理的不足。

技术领域

本发明属于网络安全技术领域，具体涉及一种基于Socket协议的漏洞检测装置和漏洞检测方法。

背景技术

漏洞扫描器是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为，也是许多公司对自己的业务系统进行安全检测的利器。

但对于市面上现有的漏洞扫描器来看，大部分漏洞扫描器所检测的漏洞类型过于单一，只能基于某种应用层协议的漏洞类型检测；也有支持多种漏洞类型检测的工具，但也都是对于不同类型的漏洞检测进行分模块管理。在这个基本上每天都会挖掘出各种类型漏洞的情况下，漏洞的类型和数量在不断增加，使得后期对于漏洞检测的维护和管理的难度越来越大。

发明内容

本发明主要是解决上述现有技术所存在的技术问题，提供一种基于Socket协议的漏洞检测装置。

本发明的另一目的在于提供一种基于Socket协议的漏洞检测方法。

为了实现上述目的，本发明采用了如下技术方案。

一种基于Socket协议的漏洞检测装置，包括规则加载模块和规则执行模块；

所述规则加载模块：通过遍历调度模块发送的数据，获取待检测的目标地址、目标端口和目标端口下待检测的漏洞名称，并根据漏洞名称从漏洞库中加载相应的漏洞检测规则；将从漏洞库中加载相应的漏洞检测规则与目标地址、目标端口组成一组完整的待检测的漏洞检测规则数据，并以唯一标识数据作为key存入任务队列中；

所述规则执行模块：从任务队列中取出完整的漏洞检测规则数据，遍历当前取出漏洞检测规则数据内的漏洞检测块中的数据，并根据漏洞检测规则数据的漏洞检测块内的子规则的顺序创建并发送相应的Socket协议请求包；判断每个子规则的Socket协议请求包所返回响应包的内容是否具有当前子规则所设置好的特征：若具有则代表当前子规则的检测步骤通过，反之则不通过。

进一步，所述唯一标识数据是以目标地址与接收该目标地址时的时间戳的组合，并进行MD5加密后的数据作为前缀，目标端口与待检测漏洞名称组合并进行MD5加密，加密后的数据作为后缀，前缀与后缀以下划线作为连接符进行连接所组成的数据。

进一步，所述漏洞检测规则数据，包括数据接收块、数据定义块、漏洞信息块、漏洞检测块和检测模式块；

所述数据接收块，其数据存储的格式采用key-value的形式，其中key为待接收的参数，value为该参数的默认值，数据内容至少包含用于接收需要进行通信的目标地址和目标端口数据；

所述数据定义块，其数据存储的格式采用key-value的形式，数据内容可根据当前漏洞检测的实际需要编写，用于在其他块中，根据数据定义块中的key值调用相应的value值；

所述漏洞信息块，其数据存储的格式采用key-value的形式，数据内容为当前所检测漏洞的相关信息，包含但不限于漏洞名称、漏洞等级、漏洞标识、漏洞描述、漏洞危害和解决方案。

所述漏洞检测块，其数据存储的格式采用key-value的形式，数据内容包含一个及以上的子规则步骤；

所述检测模式块，用于定义当前漏洞检测的模式。