[发明专利]一种漏洞检测方法及装置

说明书

一种漏洞检测方法及装置，涉及网络安全技术领域，包括：先抓取目标主机的流量信息；然后采用基于网络协议规范的分析算法对流量信息进行解析处理，得到解析数据；再根据解析数据获取目标主机的网络资产信息；最后根据预设的漏洞规则库对网络资产信息进行漏洞检测，得到目标主机的漏洞检测结果，不需要发送特定报文就能够实现目标主机的漏洞检测，检测效率高，准确率高，且有效避免检测失败的情况，不占用网络带宽，不影响目标主机的运行效率。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种漏洞检测方法及装置。

背景技术

随着计算机网络和通讯技术的高速发展，利用开放的网络环境进行全球通信已成为时代发展的趋势，但同时便捷的网络资源也带来了网络安全风险，黑客与病毒通常利用安全漏洞渗入目标主机和系统，因此需要发现并修复所有的安全漏洞。现有的漏洞检测方法，通常通过主动发包探测的方式，发送特定报文并利用系统漏洞指纹对回复报文信息进行对比分析，完成漏洞识别。然而，在实际使用中，特定报文可能被网络拓扑中的防火墙设备拦截，无法到达目标主机，从而导致检测失败的情况，同时发送特定报文会占用网络带宽，影响目标主机的运行效率。可见，现有的漏洞检测方法，检测效率低，准确率低，存在检测失败的情况，同时也占用网络带宽，影响目标主机的运行效率。

发明内容

本申请实施例的目的在于提供一种漏洞检测方法及装置，不需要发送特定报文就能够实现目标主机的漏洞检测，检测效率高，准确率高，且有效避免检测失败的情况，不占用网络带宽，不影响目标主机的运行效率。

本申请实施例第一方面提供了一种漏洞检测方法，包括：

抓取目标主机的流量信息；

采用基于网络协议规范的分析算法对所述流量信息进行解析处理，得到解析数据；

根据所述解析数据获取所述目标主机的网络资产信息；

根据预设的漏洞规则库对所述网络资产信息进行漏洞检测，得到目标主机的漏洞检测结果。

在上述实现过程中，先抓取目标主机的流量信息；然后采用基于网络协议规范的分析算法对流量信息进行解析处理，得到解析数据；再根据解析数据获取目标主机的网络资产信息；最后根据预设的漏洞规则库对网络资产信息进行漏洞检测，得到目标主机的漏洞检测结果，不需要发送特定报文就能够实现目标主机的漏洞检测，检测效率高，准确率高，且有效避免检测失败的情况，不占用网络带宽，不影响目标主机的运行效率。

进一步地，所述抓取目标主机的流量信息，包括：

在所述目标主机与上层路由器、交换机之间，预先部署镜像端口；

将所述目标主机对应的一个或多个源端口上的数据流量转发到所述镜像端口；

通过所述镜像端口抓取所述目标主机的流量信息。

在上述实施方式中，通过镜像端口获取用户流量的方式，对网络拓扑中真实传输的网络流量进行分析，不受到网络安全设备的影响，不存在检测所需报文被规则拦截的情况，能够消除网络安全设备对检测效果的影响。

进一步地，所述网络资产信息至少包括源IP地址信息、源端口信息、目的IP信息、目的端口信息、传输层协议信息、源IP主机操作系统、浏览器版本资产、源IP主机的banner信息和目的IP主机的banner信息中的一种或者多种。

进一步地，所述方法还包括：

定期获取漏洞原始数据；

对所述漏洞原始数据进行解析，得到表征网络资产信息与漏洞之间的关联关系；

根据所述关联关系构建漏洞规则库。