本發明提供了一種識別系統漏洞的方法、裝置和服務器，通過掃描組件對目標系統進行漏洞掃描，當獲取到運行有掃描組件的設備上的日志數據后，從該日志數據中提取指定字段對應的字段內容，得到提取結果；基于該提取結果識別目標系統的漏洞。該方式中，由于運行有掃描組件的設備上的日志數據中保存有掃描組件對目標系統進行漏洞掃描的中間結果，相對于漏洞掃描的最終結果，中間結果中保存有更加豐富的掃描數據，基于中間結果識別目標系統的漏洞，有利于發現目標系統中較為隱蔽的漏洞，因而降低了漏洞的漏報率和誤報率，提高了識別系統漏洞的準確率。

技術領域

本發明涉及系統安全技術領域，尤其是涉及一種識別系統漏洞的方法、裝置和服務器。

背景技術

對系統進行漏洞掃描時，通常采用分布式插件化的結構，例如，可以將漏洞掃描任務劃分為爬蟲、指紋匹配、模糊測試、POC(Proof?Of?Concept，概念驗證)測試等多個組件，由這些組件共同完成系統的漏洞掃描。在掃描過程中，這些組件之間相互獨立，由調度系統預先設置各個組件之間的輸入數據和輸出數據之間的依賴關系，然后將掃描任務劃分為多個子任務，按照前述依賴關系將多個子任務分發至各個組件，最終得到掃描結果，然后基于該掃描結果確定系統是否具有漏洞。但是這種確認系統是否具有漏洞的方式所依據的數據有限，很容易漏掉較為隱蔽的漏洞，或者會誤報漏洞，導致漏洞的漏報率和誤報率較高。

發明內容

本發明的目的在于提供一種識別系統漏洞的方法、裝置和服務器，以降低漏洞的漏報率和誤報率，提高識別系統漏洞的準確率。

第一方面，本發明提供的一種識別系統漏洞的方法，所述方法包括：獲取運行有掃描組件的設備上的日志數據；其中，所述掃描組件用于對目標系統進行漏洞掃描；從所述日志數據中提取指定字段對應的字段內容，得到提取結果；基于所述提取結果識別所述目標系統的漏洞。

進一步的，所述運行有掃描組件的設備上預先部署有日志采集組件，所述日志采集組件用于：采集所述運行有掃描組件的設備上的日志數據，將所述日志數據的時間信息和來源信息攜帶至所述日志數據，再將所述日志數據發送至預設的消息隊列；所述獲取運行有掃描組件的設備上的日志數據的步驟，包括：從所述消息隊列中獲取運行有掃描組件的設備上的日志數據。

進一步的，所述指定字段包括所述目標系統接收到的訪問請求的源地址信息、URI信息、請求頭信息和表單信息中的一種或多種。

進一步的，基于所述提取結果識別所述目標系統的漏洞的步驟，包括：通過預設的統計規則，對所述提取結果中，各個指定字段對應的字段內容進行統計分析，得到分析結果；如果所述分析結果指示所述日志數據中存在異常數據，基于所述異常數據確定所述目標系統的漏洞。

進一步的，基于所述提取結果識別所述目標系統的漏洞的步驟，包括：根據所述提取結果，從所述日志數據中提取靜態文件；查詢所述靜態文件中是否存在預設的敏感信息；如果存在所述敏感信息，基于所述敏感信息確定所述目標系統的漏洞。

進一步的，基于所述提取結果識別所述目標系統的漏洞的步驟，包括：從所述提取結果中提取多個實體，以及所述多個實體之間的關系；根據提取到的所述多個實體和所述多個實體之間的關系，創建與所述目標系統相關聯的知識圖譜；其中，所述知識圖譜中包括所述目標系統的頁面結構、頁面特征、請求信息、所述目標系統運行主機上的開放服務、以及所述開放服務的掃描交互信息中的一種或多種；基于所述知識圖譜，確定所述目標系統的漏洞。

進一步的，從所述提取結果中提取多個實體，以及所述多個實體之間的關系的步驟，包括：從所述提取結果中獲取日志來源字段的字段內容；根據日志來源字段的字段內容，生成根實體；根據所述提取結果中，除所述日志來源字段的字段內容，生成所述根實體下屬的子實體。

進一步的，基于所述知識圖譜，確定所述目標系統的漏洞的步驟，包括：通過預設的統計規則，對所述知識圖譜進行統計分析，得到分析結果，基于所述分析結果確定所述目標系統的漏洞。