[发明专利]一种检测组件漏洞的方法及装置

说明书

本发明涉及金融科技(Fintech)领域，并公开了一种检测组件漏洞的方法及装置，方法包括：获取被测主机上运行的各进程信息；根据各进程信息，确定被测组件的属性信息；在被测组件的属性信息符合预设的漏洞规则后，生成被测组件的验证用例；通过验证用例确定被测组件是否为漏洞组件。本发明通过判断被测组件的属性信息是否符合预设的漏洞规则初筛，再通过验证用例等多维度自动化审查方法，通过部署在主机上的采集程序，对被测组件下载、部署安装、运行等全生命周期进行持续监控，从而自动筛选出存在安全漏洞缺陷的漏洞组件，提高组件漏洞检测的效率与准确性。

技术领域

本发明涉及金融科技(Fintech)技术领域，尤其涉及一种检测组件漏洞的方法及装置。

背景技术

随着计算机技术的发展，越来越多的技术(例如：分布式架构、云计算或大数据)应用在金融领域，传统金融业正在逐步向金融科技转变，大数据技术也不例外，但由于金融、支付行业的安全性、实时性要求，对于在金融系统中使用的组件的安全性有更高的要求。

目前组件漏洞审查方法主要为以下两种：

第一种：根据组件的哈希值进行安全比对。计算被测组件的哈希值，将所得值与已知危险组件库中的各个组件哈希值进行对比。如果满足至少一个相同的目标哈希值匹配，则判定被测组件为漏洞组件。

上述方案，通过哈希值与已知危险组件库中的组件版本比对，容易漏检依然存在漏洞片段的组件。原因在于组件多属于开源组件，在实际业务开发过程中，有可能会对代码二次加工后再引用，只要原始的组件的文件、数据内容发生细微变更，其所对应的哈希值也相应会发生变化，从而未能匹配到已知危险组件库中的组件，导致组件漏检。

第二种：在功能测试阶段，由开发、测试人员人为统计、记录组件名称及版本号，与公共漏洞和暴露(Common VulnerabilitiesExposures，CVE)库中披露的已知危险组件进行排查对比，确定被测组件是否存在漏洞。

上述方案不能实现动态检测。也就是说，传统采集方式通常会静态全量扫描主机包文件，解析配置文件。此种方式不仅操作复杂，对主机磁盘性能影响也较为严重。

发明内容

本申请提供了一种检测组件漏洞的方法及装置，用以解决高效准确的进行检测组件漏洞的问题。

第一方面，本申请实施例提供一种检测组件漏洞的方法，包括：

获取被测主机上运行的各进程信息；其中，所述被测主机安装有被测组件；

根据所述各进程信息，确定所述被测组件的属性信息；

在所述被测组件的属性信息符合预设的漏洞规则后，针对所述被测组件中潜在漏洞所属的类，生成具有第一参数值的验证用例；所述第一参数值应用于所述潜在漏洞所属的类中；

通过代理接口采集所述验证用例在运行中所述潜在漏洞所属的类获得的第二参数值；

通过所述第一参数值和所述第二参数值确定所述被测组件是否为漏洞组件。

上述方案，通过对安装有组件的主机上运行的进程信息来获取被测组件的属性信息，实现了动态检测；通过预设的漏洞规则初筛，再通过验证用例等多维度自动化审查方法，即在被测组件的属性信息符合预设的漏洞规则后，通过验证用例确定被测组件是否为漏洞组件，提高了检测的准确性，通过代理接口采集第二参数值提高了检测效率，从而更高效准确的进行组件的漏洞检测。整体来说，通过部署在主机上的采集程序，对被测组件进行持续监控，从而自动筛选出存在安全漏洞缺陷的漏洞组件，提高组件漏洞检测的效率与准确性。

可选的，所述根据所述各进程信息，确定所述被测组件的属性信息，包括：

通过代理接口获取所述各进程加载的类及所述类对应的包文件；