[发明专利]一种脆弱性处理方法、装置、服务器和介质

说明书

本申请提供一种脆弱性处理方法、装置、服务器和介质，方法包括：实时接收探针设备被动采集的主机的流量日志；将多个流量日志与脆弱性特征进行匹配；若流量日志与脆弱性特征匹配成功，则得到与流量日志对应的脆弱性事件。本申请利用探针设备实时进行主机的被动流量检测，得到流量日志，将流量日志发送至服务器，本申请不需要指定IP范围能够实现对多个主机的流量的被动实时检测，减少了IP的遗漏，服务器对流量日志进行分析，将其与预设的脆弱性特征进行匹配，当匹配成功后，得到流量日志对应的分析后的脆弱性事件，完成了主机的脆弱性分析。

技术领域

本申请涉及计算机技术领域，特别涉及一种脆弱性处理方法、装置、服务器和介质。

背景技术

脆弱性是由于编码缺陷或者配置不当，可被攻击者或者渗透方利用来控制主机或让主机拒绝的薄弱环节。相关技术中采用主动漏洞扫描来检测脆弱性，具体为主动发包探测，选定特定范围内IP(Internet Protocol，网际互连协议)，根据搜集好的账号密码库和漏洞特征库，按照需要探测的服务类型，构建对应的协议登录包，逐一往服务器发送，通过服务器是否有响应和响应的具体内容，判断是否存在对应脆弱性，但是，需要选定IP范围，这取决使用者的记忆，可能造成IP遗漏；主动由于性能问题，只能不定期扫描，无法做到实时检测。

因此，如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。

发明内容

本申请的目的是提供一种脆弱性处理方法、装置、服务器和介质，不需要指定IP范围能够实现对多个主机的流量的被动实时检测，减少了IP的遗漏。其具体方案如下：

本申请提供了一种脆弱性处理方法，包括：

实时接收探针设备被动采集的主机的流量日志；

将多个所述流量日志与脆弱性特征进行匹配；

若所述流量日志与所述脆弱性特征匹配成功，则得到与所述流量日志对应的脆弱性事件。

优选地，还包括：

获取第三方设备的脆弱性数据，其中，所述脆弱性数据为所述第三方设备对所述主机的流量信息进行脆弱性处理得到的数据；

判断所述脆弱性数据是否为合法数据；

若所述脆弱性数据为合法数据，则将所述脆弱性数据合并至所述脆弱性事件。

优选地，还包括：

执行主动脆弱性检测，以对所述主机的加密流量进行主动扫描，得到加密流量日志；

判断所述加密流量日志是否存在脆弱性信息；其中，所述脆弱性信息包括热点事件和弱账号密码；

若所述加密流量日志中存在所述脆弱性信息，则将所述脆弱性信息合并至所述脆弱性事件。

优选地，所述流量日志包括登录审计日志、脆弱性数据包日志、网络流量日志中的一个或者多个。

优选地，当所述流量日志包括所述登录审计日志时，将多个所述流量日志与脆弱性特征进行匹配，包括：

将多个所述登录审计日志中的账号密码与所述脆弱性特征中的弱密码特征进行匹配；

若匹配成功，则判断所述登录审计日志中的第一响应内容是否为登录成功；

若所述第一响应内容为所述登录成功，则得到与所述登录审计日志对应的脆弱性事件。

优选地，当所述流量日志包括所述脆弱性数据包日志时，将所述流量信息与所述脆弱性特征进行匹配，包括：

对所述脆弱性数据包日志中的第二响应内容进行多级可信度特征匹配；