一种基于智能匹配的漏洞威胁发现方法及系统与流程

1.本发明涉及漏洞威胁技术领域，具体涉及一种基于智能匹配的漏洞威胁发现方法及系统。


背景技术：

2.随着物联网技术快速发展，方便了人们的日常生活、工作、学习，物联网被广泛的应用到各行业的生产和生活中；在此过程中，物联网设备也存储有大量的信息资源。
3.因此，如何保护好物联网设备存储的信息变得尤为重要，但由于物联网络的漏洞一直存在，对物联网网络信息安全造成极大的威胁，故需要时刻对物联网中存在的漏洞进行检测，并进行相应的整治。
4.然而现有的安全漏洞威胁的检测方法，主要是基于接口的漏洞扫描技术，或者端口漏洞扫描技术，从而对物联网的各个节点设备依次进行检测，检测效率低。


技术实现要素：

5.本发明的主要目的是提供一种基于智能匹配的漏洞威胁发现方法及系统，旨在解决现有的安全漏洞威胁的检测方法，主要采取对物联网的各个节点设备依次进行检测的方案，造成检测效率低的问题。
6.本发明提出的技术方案为：
7.一种基于智能匹配的漏洞威胁发现方法，应用于基于智能匹配的漏洞威胁发现系统；所述系统包括服务器和多个物联网终端；各所述物联网终端均与所述服务器通信连接；所述服务器存储有公共网络安全漏洞库；所述方法，包括：
8.每隔第一预设时长，所述服务器采集各所述物联网终端的属性信息，以确定各所述物联网终端的漏洞风险值；
9.所述服务器将所述漏洞风险值最大的所述物联网终端标记为风险终端，并将剩余的所述物联网终端标记为普通终端；
10.所述服务器获取所述风险终端生成的漏洞检测数据，并标记为风险数据，其中，所述漏洞检测数据由所述风险终端上的oval漏洞检测器检测获得；
11.所述服务器将所述风险数据和所述公共网络安全漏洞库进行匹配，以判断所述风险数据是否为威胁数据；
12.若是，所述服务器基于所述威胁数据对各所述物联网终端采取应对措施。
13.优选的，所述每隔第一预设时长，所述服务器采集各所述物联网终端的属性信息，以确定各所述物联网终端的漏洞风险值，包括：
14.每隔第一预设时长，所述服务器获取各物联网终端的累计运行时长、累计软件更新次数、网络传输种类支持数、可采集数据种类数和累计数据传输量；
15.所述服务器基于所述累计运行时长、所述累计软件更新次数、所述网络传输种类支持数、所述可采集数据种类数和所述累计数据传输量，确定各所述物联网终端的漏洞风
险值。
16.优选的，所述服务器基于所述累计运行时长、所述累计软件更新次数、所述网络传输种类支持数、所述可采集数据种类数和所述累计数据传输量，确定各所述物联网终端的漏洞风险值的计算公式为：
[0017][0018]
其中，zf为所述漏洞风险值；t1为所述累计时长，单位为s；t
b，1
为标准运行时长，单位为s；c1为所述累计软件更新次数；tb为软件更新标准间隔时长，单位为s；s
l
为所述累计数据传输量，即所述物联网终端和外部网络的数据吞吐量，单位为b；sb为标准数据传输速度，单位为b/s；a为物联网终端的终端类型指数，根据所述物联网终端的类型确定；c2为所述网络传输种类支持数，即所述物联网终端能够支持的网络传输种类数量；c3为所述可采集数据种类数。
[0019]
优选的，所述每隔第一预设时长，所述服务器采集各所述物联网终端的属性信息，以确定各所述物联网终端的漏洞风险值，之前还包括：
[0020]
所述服务器确定初始周期；
[0021]
所述服务器判断上一个所述第一预设时长内，所述风险数据是否为威胁数据；
[0022]
若是，所述服务器将所述初始周期缩短后确定为所述第一预设时长；
[0023]
若否，所述服务器将所述初始周期延长后确定为所述第一预设时长。
[0024]
优选的，各所述物联网终端组成局域网络；所述服务器确定初始周期，包括：
[0025]
所述服务器基于各所述物联网终端的所述网络传输种类支持数、所述可采集数据种类数和所述终端类型指数，确定所述局域网络的周期参考值：
[0026][0027]
其中，zc为所述周期参考值；n为所述局域网络内所述物联网终端的数量；ai为第i个物联网终端的终端类型指数，i大于0且小于等于n；c
2，i
为第i个物联网终端的所述网络传输种类支持数；c
3，i
为第i个物联网终端的所述可采集数据种类数；
[0028]
所述服务器基于所述周期参考值确定所述初始周期：
[0029][0030]
其中，tc为所述初始周期，单位为s；zb为标准参考值，为常数；t
b,2
为与所述标准参考值对应的标准周期，单位为s。
[0031]
优选的，所述服务器将所述风险数据和所述公共网络安全漏洞库进行匹配，以判断所述风险数据是否为威胁数据，包括：
[0032]
所述服务器将所述风险数据的描述信息与所述公共网络安全漏洞库中的漏洞描述信息进行匹配，并获取匹配率值；
[0033]
当所述匹配率值大于预设匹配率值时，所述服务器将所述风险数据确定为威胁数据。
[0034]
优选的，所述系统还包括中心路由器；各所述物联网终端均通过所述中心路由器和外部网络通信连接；所述服务器通过所述中心路由器和外部网络通信连接；所述服务器
基于所述威胁数据对各所述物联网终端采取应对措施，包括：
[0035]
所述服务器基于所述公共网络安全漏洞库，确定所述威胁数据对应的威胁类型和威胁程度，其中，所述威胁类型包括软件威胁、硬件威胁和综合威胁，所述综合威胁即同时属于软件威胁和硬件威胁，所述威胁程度包括高危、中危、低威和未知；
[0036]
当所述威胁数据对应的威胁类型不为低危时，所述服务器获取所述普通终端生成的漏洞检测数据，并标记为普通数据；
[0037]
所述服务器将所述普通数据和所述公共网络安全漏洞库进行匹配，以判断所述普通数据是否为威胁数据；
[0038]
当所述普通数据为威胁数据时，所述服务器通过所述中心路由器将各所述物联网终端和外部网络断开通信连接。
[0039]
优选的，所述系统还包括与所述服务器通信连接的报警终端；所述基于所述公共网络安全漏洞库，确定所述威胁数据对应的威胁类型和威胁程度，之后还包括：
[0040]
当所述威胁数据对应的威胁种类为软件威胁或综合威胁时，所述服务器通过外部网络获取与所述威胁数据对应的补丁文件；
[0041]
所述服务器将所述补丁文件发送至各所述物联网终端，以应填补所述威胁信息对应的漏洞；
[0042]
当所述威胁数据对应的威胁种类为硬件威胁时，所述服务器向所述报警终端发送报警信息。
[0043]
优选的，还包括：
[0044]
每隔第二预设时长，从外部网络中获取并更新所述公共网络安全漏洞库。
[0045]
本发明还提出一种基于智能匹配的漏洞威胁发现系统，应用于如上述中任一项所述的基于智能匹配的漏洞威胁发现方法；所述基于智能匹配的漏洞威胁发现系统包括服务器和多个物联网终端；各所述物联网终端均与所述服务器通信连接；所述服务器存储有公共网络安全漏洞库。
[0046]
通过上述技术方案，能实现以下有益效果：
[0047]
本发明提出的一种基于智能匹配的漏洞威胁发现方法，每隔第一预设时长，服务器获取局域网络内中所有的物联网终端对应的漏洞风险值，然后基于漏洞风险值，确定一个风险终端，这里的风险终端即是在本第一预设时长中，同一局部网络内，最重要且最容易出现威胁漏洞的物联网终端；通过oval漏洞检测器对风险终端进行检测，以获得风险数据，然后将风险数据和公共网络安全漏洞库进行匹配，以判断风险数据是否为威胁数据，从而判断风险终端是否出现了威胁漏洞，若出现了威胁漏洞，则说明同一局域网络中的其他的普通终端也较大概率出现了相同的威胁漏洞，故直接基于威胁数据对同一局域网络中的各物联网终端采取应对措施，以及时修复漏洞，保证整个局域网络内所有物联网终端的正常运行；若未出现威胁漏洞，说明同一局域网络中其他普通终端较低概率出现威胁漏洞，则无需再对其他终端一一进行漏洞检测；即本发明提出的技术方案，只需要对同一局域网络中的风险终端进行漏洞检测，即可分析推断出其他普通终端的是否出现了威胁漏洞，进而针对性作出不同的应对措施；也就是说，本发明提出的技术方案，不再需要对物联网的各个节点设备依次进行检测，大大提升了检测效率
附图说明
[0048]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图。
[0049]
图1为本发明提出的一种基于智能匹配的漏洞威胁发现方法第一实施例的流程图。
具体实施方式
[0050]
应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
[0051]
本发明提出一种基于智能匹配的漏洞威胁发现方法及系统。
[0052]
如附图1所示，在本发明提出的一种基于智能匹配的漏洞威胁发现方法的第一实施例中，本基于智能匹配的漏洞威胁发现方法应用于基于智能匹配的漏洞威胁发现系统；所述系统包括服务器和多个物联网终端；多个物联网终端组成局域网络；各所述物联网终端均与所述服务器通信连接；所述服务器存储有公共网络安全漏洞库；本实施例包括如下步骤：
[0053]
步骤s110：每隔第一预设时长，所述服务器采集各所述物联网终端的属性信息，以确定各所述物联网终端的漏洞风险值。
[0054]
具体的，这里的第一预设时长即为一个监测周期，可根据物联网终端的实际情况确定，一般设置为1天；这里的漏洞风险值为与物联网终端对应，用于反映每个物联网终端的重要程度和出现漏洞威胁的难以程度，具体的，当漏洞风险值越大，则对应的物联网终端越重要，且越容易出现漏洞威胁。
[0055]
这里的物联网终端可以是任意智能终端，包括手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备、可穿戴设备，虚拟现实设备、增强现实设备、工业控制中的无线终端、无人驾驶中的无线终端、远程手术中的无线终端、智能电网中的无线终端、运输安全中的无线终端、智慧城市中的无线终端、智慧家庭中的无线终端、安防系统中的监控终端(如摄像终端)，各种类型的信息采集终端(如声音采集终端)等。
[0056]
步骤s120：所述服务器将所述漏洞风险值最大的所述物联网终端标记为风险终端，并将剩余的所述物联网终端标记为普通终端。
[0057]
具体的，即从多个物联网终端中选择漏洞风险值最大的物联网终端，并标记为风险终端，其他物联网终端即标记为普通终端。
[0058]
步骤s130：所述服务器获取所述风险终端生成的漏洞检测数据，并标记为风险数据，其中，所述漏洞检测数据由所述风险终端上的oval漏洞检测器检测获得。
[0059]
具体的，oval是由网络安全组织mitre发布的计算机漏洞评估的新标准，是一种用来定义检查项、脆弱点等技术细节的一种描写叙述语言。oval可以清晰地对与安全相关的检查点作出描写叙述，并且这样的描写叙述是机器可读的，典型的oval定义格式的xml文档由定义(definition)、測试(test)、对象(object)、状态(state)和变量(variable)等要素构成。
[0060]
采用oval漏洞检测器进行检测获得的漏洞检测数据，漏洞检测数据中包括用于描
述威胁漏洞的描述信息。
[0061]
步骤s140：所述服务器将所述风险数据和所述公共网络安全漏洞库进行匹配，以判断所述风险数据是否为威胁数据。
[0062]
具体的，公共网络安全漏洞库(common vulnerabilities&exposures，cve)就像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。如果在一个漏洞报告中指明的一个漏洞，如果有cve名称，你就可以快速地在任何其它cve兼容的数据库中找到相应修补的信息，解决安全问题。
[0063]
若是，执行步骤s150：所述服务器基于所述威胁数据对各所述物联网终端采取应对措施。
[0064]
具体的，若风险数据为威胁数据，则说明风险终端检测到了威胁漏洞，那么同一局域网络中的其他的普通终端也较大概率出现了相同的威胁漏洞，则直接基于威胁数据对同一局域网络中的各物联网终端采取应对措施，以及时修复漏洞，保证整个局域网络内所有物联网终端的正常运行。
[0065]
若否，执行步骤s160：所述服务器在所述第一预设时长内，将同一局域网络内的所有物联网终端标记为安全终端。
[0066]
具体的，若否，则服务器将同一局域网络内的所有物联网终端标记为安全终端，若未出现威胁漏洞，说明同一局域网络中其他普通终端较低概率出现威胁漏洞，则在第一预设时长内无需再对其他终端一一进行漏洞检测，即在第一预设时长内，不控制所述普通终端的oval漏洞检测器对所述普通终端进行检测。
[0067]
本发明提出的一种基于智能匹配的漏洞威胁发现方法，每隔第一预设时长，服务器获取局域网络内中所有的物联网终端对应的漏洞风险值，然后基于漏洞风险值，确定一个风险终端，这里的风险终端即是在本第一预设时长中，同一局部网络内，最重要且最容易出现威胁漏洞的物联网终端；通过oval漏洞检测器对风险终端进行检测，以获得风险数据，然后将风险数据和公共网络安全漏洞库进行匹配，以判断风险数据是否为威胁数据，从而判断风险终端是否出现了威胁漏洞，若出现了威胁漏洞，则说明同一局域网络中的其他的普通终端也较大概率出现了相同的威胁漏洞，故直接基于威胁数据对同一局域网络中的各物联网终端采取应对措施，以及时修复漏洞，保证整个局域网络内所有物联网终端的正常运行；若未出现威胁漏洞，说明同一局域网络中其他普通终端较低概率出现威胁漏洞，则无需再对其他终端一一进行漏洞检测；即本发明提出的技术方案，只需要对同一局域网络中的风险终端进行漏洞检测，即可分析推断出其他普通终端的是否出现了威胁漏洞，进而针对性作出不同的应对措施；也就是说，本发明提出的技术方案，不再需要严格对物联网的各个节点设备依次进行检测，大大提升了检测效率。
[0068]
在本发明提出的一种基于智能匹配的漏洞威胁发现方法的第二实施例中，基于第一实施例，步骤s110，包括如下步骤：
[0069]
步骤s210：每隔第一预设时长，所述服务器获取各物联网终端的累计运行时长、累计软件更新次数、网络传输种类支持数、可采集数据种类数和累计数据传输量。
[0070]
具体的，这里的累计软件更新次数是指各物联网终端设备中运行的软件的更新次数，更新次数越多，则软件的漏洞会相应越少，故相应的漏洞风险值越小；网络传输种类支持数是指物联网终端所支持的网络传输种类(例如蓝牙、有线通信、wi-fi和zigbee等)，支
持的网络传输种类越多，则增大了物联网终端受到外部网络攻击的风险越大，则相应的漏洞风险值越大；这里的可采集数据种类数为物联网终端能够采集的数据种类(例如视频数据、音频数据、温度数据、速度数据、文本数据等)，能够采集的数据种类越多，则该物联网终端能够包含的涉及到用户的信息越多，则越有被网络攻击的风险，则相应的漏洞风险值越大；这里的累计数据传输量，即是物联网终端在运行时，累计的和外部网络进行交互的数据量，该值越大，则相应的漏洞风险值越大。
[0071]
步骤s220：所述服务器基于所述累计运行时长、所述累计软件更新次数、所述网络传输种类支持数、所述可采集数据种类数和所述累计数据传输量，确定各所述物联网终端的漏洞风险值。
[0072]
本实施例的目的在于给出的了漏洞风险值的计算方案。
[0073]
在本发明提出的一种基于智能匹配的漏洞威胁发现方法的第三实施例中，基于第二实施例，步骤s220的计算公式为：
[0074][0075]
其中，zf为所述漏洞风险值；t1为所述累计时长，单位为s；t
b，1
为标准运行时长，单位为s，例如864000s(10天)；c1为所述累计软件更新次数；tb为软件更新标准间隔时长，单位为s，例如2593000s(30天)；s
l
为所述累计数据传输量，即所述物联网终端和外部网络的数据吞吐量，单位为b；sb为标准数据传输速度，单位为b/s，例如102400b/s；a为物联网终端的终端类型指数，根据所述物联网终端的类型确定，具体的，数据采集类物联网终端(例如摄像头)为3，能够进行移动的物联网终端(例如无人机)为5，具有数据输出功能的物联网终端(如显示终端)为2，其他物联网终端为1；c2为所述网络传输种类支持数，即所述物联网终端能够支持的网络传输种类数量；c3为所述可采集数据种类数。
[0076]
在本发明提出的一种基于智能匹配的漏洞威胁发现方法的第四实施例中，基于第二实施例，步骤s110，之前还包括如下步骤：
[0077]
步骤s410：所述服务器确定初始周期。
[0078]
具体的，例如初始周期为1天，即86400秒。
[0079]
步骤s420：所述服务器判断上一个所述第一预设时长内，所述风险数据是否为威胁数据。
[0080]
若是，执行步骤s430：所述服务器将所述初始周期缩短后确定为所述第一预设时长。
[0081]
具体的，即当上一个预设时长内，检测到了威胁漏洞，则会缩短第一预设时长，从而提升检测频率，保证物联网终端的安全性。
[0082]
若否，执行步骤s440：所述服务器将所述初始周期延长后确定为所述第一预设时长。
[0083]
具体的，即当上一个预设时长内，未检测到威胁漏洞，则会延长第一预设时长，从而兼顾检测效率。
[0084]
在本发明提出的一种基于智能匹配的漏洞威胁发现方法的第五实施例中，基于第四实施例，各所述物联网终端组成局域网络；步骤s410，包括如下步骤：
[0085]
步骤s510：所述服务器基于各所述物联网终端的所述网络传输种类支持数、所述
可采集数据种类数和所述终端类型指数，确定所述局域网络的周期参考值：
[0086][0087]
其中，zc为所述周期参考值；n为所述局域网络内所述物联网终端的数量；ai为第i个物联网终端的终端类型指数，i大于0且小于等于n，ai越大，则对应的物联网终端存在威胁漏洞的风险越大，则相应的初始周期的时长越短，以提升检测频率；c
2，i
为第i个物联网终端的所述网络传输种类支持数，c
2，i
越大，则对应的物联网终端存在威胁漏洞的风险越大，则相应的初始周期的时长越短，以提升检测频率；c
3，i
为第i个物联网终端的所述可采集数据种类数，c
3，i
越大，则对应的物联网终端存在威胁漏洞的风险越大，则相应的初始周期的时长越短，以提升检测频率。
[0088]
步骤s520：所述服务器基于所述周期参考值确定所述初始周期：
[0089][0090]
其中，tc为所述初始周期，单位为s；zb为标准参考值，为常数，例如10；t
b,2
为与所述标准参考值对应的标准周期，单位为s，例如86400s。
[0091]
在本发明提出的一种基于智能匹配的漏洞威胁发现方法的第六实施例中，基于第一实施例，步骤s130，包括如下步骤：
[0092]
步骤s610：所述服务器将所述风险数据的描述信息与所述公共网络安全漏洞库中的漏洞描述信息进行匹配，并获取匹配率值。
[0093]
步骤s620：当所述匹配率值大于预设匹配率值时，所述服务器将所述风险数据确定为威胁数据。
[0094]
在本发明提出的一种基于智能匹配的漏洞威胁发现方法的第七实施例中，基于第一实施例，所述系统还包括中心路由器；各所述物联网终端均通过所述中心路由器和外部网络通信连接；所述服务器通过所述中心路由器和外部网络通信连接；步骤s150，包括如下步骤：
[0095]
步骤s710：所述服务器基于所述公共网络安全漏洞库，确定所述威胁数据对应的威胁类型和威胁程度，其中，所述威胁类型包括软件威胁、硬件威胁和综合威胁，所述综合威胁即同时属于软件威胁和硬件威胁，所述威胁程度包括高危、中危、低威和未知。
[0096]
步骤s720：当所述威胁数据对应的威胁类型不为低危时，所述服务器获取所述普通终端生成的漏洞检测数据，并标记为普通数据。
[0097]
具体的，当威胁数据不为低危，则说明威胁数据对应的威胁漏洞的严重程度相应较高，故服务器需要对普通终端进行检测，以获取普通数据。
[0098]
步骤s730：所述服务器将所述普通数据和所述公共网络安全漏洞库进行匹配，以判断所述普通数据是否为威胁数据。
[0099]
步骤s740：当所述普通数据为威胁数据时，所述服务器通过所述中心路由器将各所述物联网终端和外部网络断开通信连接。
[0100]
具体的，当同一局域网络中其他普通数据均为威胁数据时，说明整个局域网络均出现了威胁漏洞，为了避免这些威胁漏洞被恶意利用而进行网络攻击，故服务器通过中心路由器将各物联网终端和外部网络断开通信连接，以保护物联网终端。
[0101]
在本发明提出的一种基于智能匹配的漏洞威胁发现方法的第八实施例中，基于第七实施例，所述系统还包括与所述服务器通信连接的报警终端(例如智能手机)；步骤s710，之后还包括如下步骤：
[0102]
步骤s810：当所述威胁数据对应的威胁种类为软件威胁或综合威胁时，所述服务器通过外部网络获取与所述威胁数据对应的补丁文件。
[0103]
步骤s820：所述服务器将所述补丁文件发送至各所述物联网终端，以应填补所述威胁信息对应的漏洞。
[0104]
步骤s830：当所述威胁数据对应的威胁种类为硬件威胁时，所述服务器向所述报警终端发送报警信息。
[0105]
具体的，本实施例给出了应对不同类型的威胁数据的措施。
[0106]
在本发明提出的一种基于智能匹配的漏洞威胁发现方法的第九实施例中，基于第七实施例，本实施例还包括如下步骤：
[0107]
步骤s910：每隔第二预设时长，从外部网络中获取并更新所述公共网络安全漏洞库。
[0108]
具体的，这里的第二预设时长优选为10天，即定时更新公共网络安全漏洞库。
[0109]
本发明还提出一种基于智能匹配的漏洞威胁发现系统，本系统应用于如上述中任一项所述的基于智能匹配的漏洞威胁发现方法；所述基于智能匹配的漏洞威胁发现系统包括服务器和多个物联网终端；各所述物联网终端均与所述服务器通信连接；所述服务器存储有公共网络安全漏洞库。
[0110]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0111]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
[0112]
上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。