本發明提供了一種權限漏洞檢測方法及裝置，該方法包括：根據預先配置的權限參數，對全部流量數據進行同類統一資源定位符合并的歸一化處理，采樣得到去重后的流量數據；利用提升樹模型按照歸屬的功能模塊對去重后的流量數據進行分類，得到不同功能模塊類型下的接口數據；根據不同功能模塊類型下的接口數據，對每一功能模塊類型下的接口逐個進行掃描，確定權限漏洞的掃描結果；接收漏洞校正指令，對權限漏洞的掃描結果進行校正，得到權限漏洞檢測結果。通過將重復的流量數據去除，提高檢測效率；利用漏洞校正指令進一步校正，無需開發人員與安全測試團隊長時間的溝通，提高了檢測效率，且提高了檢測的準確性。本發明用于網絡安全領域。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種權限漏洞檢測方法及裝置。

背景技術

目前，在安全漏洞檢測中，權限問題是檢測的重中之重，因為權限一旦出現問題，很可能導致大規模的敏感信息泄漏，后果要比一兩個跨站腳本攻擊(XSS，Cross SiteScript)要嚴重的多。由于權限漏洞是和業務相關性很強的一種漏洞，而安全測試人員不參與生產任務開發，業務理解上主要依賴開發人員與安全測試團隊人工溝通進行，導致開發人員與安全測試人員之間需要進行多輪次溝通，投入的時間成本高但檢測效率低；且各個系統權限關聯性強，安全測試人員對業務不熟悉，導致檢測過程中出現場景遺漏或者誤報，導致檢測準確性不高。

發明內容

本發明實施例提供一種權限漏洞檢測方法，用以提高檢測效率和檢測準確性，該方法包括：

獲取待檢測系統的全部流量數據；

根據預先配置的權限參數，對所述全部流量數據進行同類統一資源定位符合并的歸一化處理，對歸一化后的流量數據進行采樣得到去重后的流量數據；

利用提升樹模型按照功能模塊對去重后的流量數據進行分類，得到不同功能模塊類型下的接口數據；

根據不同功能模塊類型下的接口數據，對每一功能模塊類型下的接口逐個進行掃描，確定權限漏洞的掃描結果；

接收漏洞校正指令，根據漏洞校正指令，對權限漏洞的掃描結果進行校正，得到權限漏洞檢測結果；所述漏洞校正指令是根據權限漏洞的掃描結果進行分析得到的，用于對權限漏洞的掃描結果進行誤報剔除或遺漏場景增加。

具體實施例中，根據預先配置的權限參數，對所述全部流量數據進行同類統一資源定位符合并的歸一化處理，包括：

根據預先配置的權限參數，確定無需權限的統一資源定位符，根據無需權限的統一資源定位符，對所述全部流量數據進行流量清洗，得到清洗后的流量數據；

根據清洗后的流量數據，將對應的統一資源定位符進行分類，將統一資源定位符屬于同一分類的流量數據進行合并，得到歸一化后的流量數據。

進一步地，對歸一化后的流量數據進行采樣得到去重后的流量數據，包括：

在每個統一資源定位符分類對應的流量數據中，進行采樣，得到每個統一資源定位符分類對應的采樣后的流量數據；

整理每個統一資源定位符分類對應的采樣后的流量數據，得到去重后的流量數據。

具體實施例中的權限漏洞檢測方法，利用提升樹模型按照歸屬的功能模塊對去重后的流量數據進行分類前，還包括：

對去重后的流量數據進行敏感信息篩查，將不包含敏感信息的流量數據從去重后的流量數據中過濾，得到過濾后的流量數據；

相應地，利用提升樹模型按照歸屬的功能模塊對去重后的流量數據進行分類，包括：

利用提升樹模型按照歸屬的功能模塊對過濾后的流量數據進行分類。

具體實施時，根據不同功能模塊類型下的接口數據，對每一功能模塊類型下的接口逐個進行掃描，確定權限漏洞的掃描結果，包括：