[发明专利]一种基于指纹的网络资产与漏洞关联方法及装置

说明书

本发明提供一种基于指纹的网络资产与漏洞关联方法及装置，所述方法包括：对网络资产进行探测，获取所述网络资产的返回报文；生成网络资产CPE指纹；将提取的CPE信息与CVE编号建立关联；将获取的CPE与CVE的对应关系存储于CPE‑CVE关联数据库；将所述CPE‑CVE关联数据库中的数据存储于CPE‑CVE缓存数据库；基于时间值查询所述缓存数据库，若所述网络资产CPE指纹与CPE‑CVE缓存数据库中的指纹匹配，将所述网络资产CPE指纹标识的网络资产添加相应CVE编号，并存入网络资产数据库。根据本发明的方案，提高了关联的实时性与准确性；可以实现资产漏洞快速关联查询，提高了查询速度。

技术领域

本发明涉及数据安全领域，尤其涉及一种基于指纹的网络资产与漏洞关联方法及装置。

背景技术

特定的漏洞会影响一个或多个产品及其版本，常见漏洞暴露后，便可以针对漏洞细节编写验证Poc,利用此Poc便可以远程验证被测试系统是否存在相应漏洞，但此步操作存在诸多局限性，例如需要和对方服务器产生报文交互，容易被溯源，大规模验证系统资源开销较大等问题。

当前网络资产丰富，网络资产探测平台越来越多，比较出名的有Shodan,ZoomEye和Fofa等，探测平台对网络资产进行探测后，需要对相应的资产进行漏洞关联，然后再将资产存储到数据库中。这些平台对探测到的资产入库前会对探测到的数据进行相关处理，其中一步便是将资产与漏洞关联，为资产打上相应的漏洞标签，此操作可以提高平台数据的价值，也可以为后续分析打下基础。平台通常做法是在探测资产的同时设置好Poc来验证资产漏洞，而后将扫描到的漏洞信息和探测到的资产一同回传到服务器，例如对常见的操作系统、Web应用、数据库、工控设备的资产探测与漏洞扫描，典型的应用有Nmap等软件，但此步操作对资源和时间要求较高。

杀毒领域也存在类似的应用，当前360杀毒、瑞星杀毒、金山杀毒等安全软件对主机进行安全扫描时都会扫描主机是否存在漏洞，一种通行的做法是扫描主机操作系统及安装软件，利用已知漏洞信息进行验证，查看当前系统及安装软件版本是否存在漏洞，但此操作也较为消耗系统资源和时间，且容易导致系统不稳定。

发明内容

为解决上述技术问题，本发明提出了一种基于指纹的网络资产与漏洞关联方法及装置，用以解决现有技术中网络资产与漏洞关联效率低的技术问题，当前业界多使用POC对资产可能存在的漏洞进行验证，资源开销大，速度也较低。

根据本发明的第一方面，提供一种基于指纹的网络资产与漏洞关联方法，所述方法包括以下步骤：

步骤S1：对网络资产进行探测，获取所述网络资产的返回报文；解析所述返回报文的关键信息，所述关键信息包括受影响产品的类别、名称、版本；基于所述关键信息生成网络资产CPE指纹，所述网络资产CPE指纹用于标识单个网络资产；

步骤S2：定期从NVD数据库获取更新的CVE数据，对所述更新的CVE数据中的CPE字段进行解析；获取CPE字典，提取所述CPE字典中受影响产品的类别、名称、版本信息，将其作为提取的CPE信息；将所述提取的CPE信息与CVE数据建立关联；将获取的CPE信息与CVE数据的对应关系存储于CPE-CVE关联数据库；将所述CPE-CVE关联数据库中的数据存储于CPE-CVE缓存数据库；

步骤S3：将所述网络资产CPE指纹与所述CPE-CVE缓存数据库的指纹进行匹配；若匹配成功，则说明当前网络资产存在漏洞；若匹配不成功，则说明当前资产暂无数据库中所存漏洞；

步骤S4：将所述网络资产CPE指纹标识的网络资产添加相应CVE编号，若探测到的网络资产暂无漏洞，则将CVE编号置空，并存入网络资产数据库。

优选地，所述步骤S1，其中：

所述关键信息包括Banner信息，Banner信息为受影响产品的类别、名称、版本；