2. 专利
    3. 一种安全检测分析方法及装置与流程

    一种安全检测分析方法及装置与流程

    专利2022-07-07  194

    本说明书涉及安全检测
    技术领域
    ,尤其涉及一种安全检测分析方法及装置。
    背景技术
    :安全检测分析是网络安全领域实现威胁发现有效手段。在实现过程中,程序、文件等被检测分析对象经常受到多次重复相同的检测分析。如一个文件(可以是应用、程序和文档等),在a设备做了安全检测分析,然后传输到b设备,很可能又在b设备需要做同样的检测分析,这种针对某个安全检测分析对象的重复性检测分析不仅不能够提升安全检测分析能力,还耗费了大量的网络、存储和计算资源,大大降低网络性能。因此,在技术上如何避免针对某个安全检测分析对象重复性检测分析,从安全系统层面让不同安全软硬件设备检测分析结果能够互相承认,实现安全设备检测分析任务层面协同,是提升安全检测分析效率的重要途径之一。现有技术方案在管理平台统一接入安全设备,实现针对被检测对象的大数据集中存储和关联分析以及安全配置的统一管理。然而,现在各个安全设备都各自独立部署,虽然已经有管理平台进行统一管理,但是也仅在安全大数据分析和安全配置管理上进行集中管理,没有实现安全检测分析任务层面的协同。技术实现要素:为克服相关技术中存在的问题,本说明书提供了一种安全检测分析方法及装置。根据本说明书实施例的第一方面,提供一种安全检测分析方法,应用于网络设备,所述方法包括:接收安全检测分析任务;根据所述安全检测分析任务向所述管理平台发送查询请求,所述查询请求用于查询是否存在其他网络设备已经针对待检测对象做过本次安全检测分析任务;接收管理平台反馈的查询结果,并根据接收到的所述查询结果确定本次安全检测分析任务对应的检测分析项目。根据本说明书实施例的第二方面,提供一种安全检测分析装置,所述装置包括:接收模块、发送模块、确定模块;接收模块,用于接收安全检测分析任务;发送模块,用于根据所述安全检测分析任务向所述管理平台发送查询请求,所述查询请求用于查询是否存在其他网络设备已经针对待检测对象做过本次安全检测分析任务;所述接收模块还用于接收管理平台反馈的查询结果,所确定模块用于根据接收到的所述查询结果确定本次安全检测分析任务对应的检测分析项目。根据本说明书实施例的第三方面,提供一种安全检测分析方法,该方法应用于运行有管理平台的管理设备,所述方法包括:管理设备接收网络设备发送的查询请求,所述查询请求中包括与所述网络设备接收的安全检测分析相关的信息;根据所述查询请求查询是否存在其他网络设备已经做过与发送查询请求的网络设备的安全检测分析任务相同的安全检测分析;根据查询的结果向所述网络设备反馈查询结果。根据本说明书实施例的第四方面,提供一种安全检测分析装置,所述装置包括:第二接收模块、查询模块、第二发送模块;第二接收模块用于接收网络设备发送的查询请求,所述查询请求中包括与所述网络设备接收的安全检测分析相关的信息;查询模块,用于根据所述查询请求查询是否存在其他网络设备已经做过与发送查询请求的网络设备的安全检测分析任务相同的安全检测分析;第二发送模块,用于根据查询的结果向所述网络设备反馈查询结果。本说明书的实施例提供的技术方案可以包括以下有益效果:管理平台统一记录了已经各个网络设备做过安全检测分析任务的情况,当网络设备接收到安全检测分析任务时,向管理平台发送查询请求,以查询是否有其他网络设备做过本次的安全检测分析,由此,网络设备可以根据管理平台反馈的查询结果确定本次的安全检测分析是否需要执行的安全检测分析项目。由此可见,本公开所提供的安全检测分析方法,可以避免重复性的安全检测分析工作,节约网络、存储、计算资源,提升了网络性能。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。图1为本公开提供的安全检测分析方法的流程示意图;图2为本公开又一实施例提供的安全检测分析方法的流程示意图;图3为本公开一实施例提供的安全检测分析装置的结构示意图;图4为本公开又一实施例提供的安全检测分析装置的结构示意图;图5为本公开再一实施例提供的安全检测分析装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。本公开所提供的安全检测分析方法,管理平台统一记录了已经各个网络设备做过安全检测分析任务的情况,当网络设备接收到安全检测分析任务时,向管理平台发送查询请求,以查询是否有其他网络设备做过本次的安全检测分析,由此,网络设备可以根据管理平台反馈的查询结果确定本次的安全检测分析是否需要执行的安全检测分析项目。由此可见,本公开所提供的安全检测分析方法,可以避免重复性的安全检测分析工作,节约网络、存储、计算资源,提升了网络性能。具体的,本公开所提供的安全检测分析方法可以应用于网络设备中,例如可以应用于防火墙等网络安全设备中,具体的,该方法可以如图1所示,图1为本公开提供的安全检测分析方法的流程示意图,如图1所示,该方法包括:步骤201,接收安全检测分析任务。其中,安全检测分析任务可以是满足特定的条件自动触发的,例如,当接收到某一个类型的文件时触发安全检测分析任务、或者当识别到报文来自于某一个账号等等。具体触发安全检测分析任务的特定条件可以根据实际情况自行设定,本实施例中不再一一举例。此外,安全检测分析任务可以通过网络设备的配置参数步骤202,根据所述安全检测分析任务向所述管理平台发送查询请求,所述查询请求用于查询是否存在其他网络设备已经针对待检测对象做过本次安全检测分析任务。步骤203,接收管理平台反馈的查询结果,并根据接收到的所述查询结果确定本次安全检测分析任务对应的检测分析项目。本公开所提供的安全检测分析方法,通过向管理平台查询是否有其他网络设备做过与本次安全检测分析任务相同的检测分析,避免对于同一待检测对象的做重复的安全检测。管理平台可以为软件系统,被安装于网络管理服务器中。需要说明的是,安全检测分析任务相同,指的是针对同一待检测分析对象的做过的安全检测分析任务。针对不同的待检测对象,即便做过的安全检测分析的项目相同,也不属于本公开所指的安全检测分析任务相同。对于网络设备接收的安全检测分析任务,每一个任务包括一个或者多个安全检测分析项目。对于针对本次的安全检测分析任务是否存在其他网络设备查询的结果,可能包括以下几种情况:情况一:本次安全检测分析任务对应的安全检测项目未被其他网络设备检测分析过。对于接收到的查询结果属于情况一的情形,则网络设备按照本次安全检测分析任务对应的安全检测分析项目进行安全检测分析。情况二:本次的安全检测分析任务已经存在其他网络设备做过一部分安全检测分析项目。举例来说,若网络设备a和网络设备b在其他软硬件配置均相同的情况下,网络设备a上本次安全检测分析任务针对待检测对象1包括4个安全检测分析项目,而已经有其他的网络设备b针对上述4个安全检测分析项目中的3个安全检测分析项目做过了分析检测,此时即为其他网络设备做过一部分安全检测分析项目的情形。当网络设备确定查询结果表征的是上述情况二的情形时,则可以根据查询到的其他网络设备已经做过的部分安全检测分析项目,以及本次安全检测分析任务对应的检测分析项目二者之间的差异,确定出剩余需要做的安全检测分析项目,进而网络设备本家确定出的剩余需要做的安全检测分析项目进行本次的安全检测分析。情况三:存在其他网络设备做过本次的安全检测分析任务所对应的全部检测分析项目。在情况二的例子的基础上,如果网络设备a上本次安全检测分析任务针对待检测对象1包括4个安全检测分析项目,而已经有其他的网络设备b针对上述4个安全检测分析项目全部都做过了安全分析检测,此时即为其他网络设备针对本次的安全检测分析任务所对应的全部检测分析项目的情形。当网络设备确定查询结果表征的是上述情况三的情形时,则无需再执行此次的安全检测分析任务了,由此可以节约分析资源。对于网络设备具体的如何进行安全检测分析可以采用现有技术中的安全检测分析技术,本实施例中不再详细赘述。在网络设备完成安全检测分析之后,网络设备可以根据在该网络设备上本次做的安全检测分析项目生成审计记录,并将审计记录发送至管理平台,从而使得管理平台可以对每个网络设备进行安全检测分析任务的情况进行记录和统计。审计记录包括以下内容中的任意一个或者多个:网络设备的标识、网络设备的硬件配置、网络设备运行的软件系统的配置信息、在该网络设备上针对本次安全检测分析任务所做的安全检测分析项目的标识、发送该条审计记录的出端口标识、生成该条审计记录的时间。其中,需要解释的是,网络设备的标识包括网络设备的ip地址和/或mac地址信息。针对网络设备本次的安全检测分析任务,有可能存在其他网络设备已经做过与该安全检测分析任务的部分或者全部的安全检测分析任务项目,因此在该网络设备上针对本次安全检测分析任务所做的安全检测分析项目可以为针对本次安全检测分析任务对应的全部项目,也可能是根据情况二确定出的所做的剩余的安全检测分析项目。上述实施例中给出了网络设备一侧执行的安全检测分析方法。相对应的,下面将对管理平台一侧执行的安全检测分析方法做进一步的解释说明。图2为本公开提供的又一安全检测分析方法的流程示意图,该方法具体应用于运行有软件管理平台的管理设备,如图2所示,该方法包括:步骤301,管理设备接收网络设备发送的查询请求,所述查询请求中包括与网络设备上的安全检测分析相关的信息;步骤303,根据所述查询请求查询是否存在其他网络设备已经做过本次安全检测分析任务;步骤305,根据查询的结果向所述网络设备反馈查询结果。本公开中的管理设备,根据网络设备的查询请求,查询是否存在其他网络设备已经做过本次安全检测分析任务。从而可以避免不同的网络设备针对同一个待检测对象做重复的安全检测分析。管理平台可以接收管理平台所管理的网络设备发送的与在做完安全检测分析任务之后上送的审计记录,具体的审计记录可以包括的内容可以参见上面网络设备所执行的安全检测分析方法的实施例,本实施例中不再详细赘述。相应的,针对步骤303,管理平台可以根据网络设备上报的与安全检测分析相关的审计记录查询是否存在其他网络设备是否已经做过本次安全检测分析任务。其中,查询请求中可以包括与安全检测分析相关的信息,例如可以包括安全检测分析的项目标识、安全检测分析项目对应的检测对象的标识、网络设备的硬件配置和软件配置。后文的实施例中将会对安全检测分析项目以及检测对象以具体示例的方式给出。可以参照实施例二中的具体解释。管理平台根据查询请求查询之后,可以向网络设备发送查询结果。其中,查询结果可以包括结果标识位。用于标识是否有其他设备做过与网络设备发送的安全检测分析任务相同的安全检测分析任务。对于上述实施例中的情况一至情况三可以分别采用不同的标识位进行标识。假设发送查询请求的网络设备为网络设备a,如果管理平台根据查询请求查询到存在有其他网络设备b做过与网络设备a的安全检测分析任务相同的安全检测分析,则管理平台可以将其他网络设备b的与网络设备a的安全检测分析相关的审计记录发送至网络设备a。从而便于网络设备a根据审计记录确定网络设备b做过的安全检测分析项目。具体的,本实施例中以查询请求中的与网络设备a上的安全检测分析相关的信息包括:安全检测分析的项目标识、安全检测分析项目对应的检测对象的标识、所述网络设备的硬件配置和软件配置为例进行说明。相应的,步骤303和步骤305中根据查询请求查询是否存在其他网络设备已经做过本次安全检测分析任务,根据查询的结果向所述网络设备反馈查询结果包括则报文具体可以通过以下几种实施方式实现:实施方式一:若管理平台查询到存在与网络设备a发送的查询请求中的安全检测分析的项目标识、安全检测分析项目对应的检测对象的标识、网络设备a的硬件配置和软件配置完全匹配的审计信息,则向网络设备a发送的查询结果中携带表征已经存在其他网络设备b做过本次的安全检测分析任务所对应的全部检测分析项目的信息。实施方式二:若管理平台查询到存在与网络设备a发送的查询请求中的安全检测分析项目对应的检测对象的标识、硬件配置和软件配置匹配、但是与安全检测分析的项目标识中的部分标识匹配的审计信息,则向网络设备a发送该匹配的审计信息。实施方式三:若管理平台查询到不存在与安全检测分析的项目标识、网络设备的硬件配置和软件配置中的任意一项匹配的审计信息,则向所述网络设备发送的查询结果中携带表征本次安全检测分析任务未被其他网络设备检测分析过的信息。实施例二本实施例给出了一种具体的实现安全检测分析方法的示例。具体的,在实现本公开的安全检测分析方法时,可以在系统层面建立统一的安全检测分析协议体系。一种可选的安全检测分析协议的结构,即网络设备与管理平台之间交互的报文可以通过如下协议格式的报文进行交互。当然也可以采用已有的网络管理协议等进行交互。本公开中对于网络设备与管理平台之间交互报文的协议类型并不建议限定。本公开中示出了一种可行的网络设备与管理平台交互的报文的协议类型结构,本实施例中接着以网络设备a和网络设备b为例,对本公开提供的安全检测分析方法做进一步的说明。如下表1所示,该协议结构主要包括协议类型、协议长度、数字签名和协议内容等字段。表1协议类型协议数据的长度数字签名协议内容其中,(1)协议类型:定义了协议的种类,可以为2个字节。本公开中以表2所示的协议种类为例进行说明。表2(2)协议数据的长度:定义了整个协议数据长度,可以为2个字节;(3)数字签名:对协议内容进行数字签名,可以为32个字节;例如,可以对协议内容的全部或者部分进行哈希运算。后续在管理平台接收到网络设备发送的0x0000协议类型的报文时,对于同一个检测对象可以对比报文中的该哈希值是否与管理平台中存储的同一待检测对象所对应的哈希值相同,如果该哈希值完全相同,说明该待检测对象没有被修改过。(4)协议内容:可以由固定长度部分和可变长度部分组成。(一)对于管理平台接收到的网络设备a发送的查询请求,其协议类型可以为0x0000,对于协议类型为0x0000的协议内容可以包括如下表3的内容:网络设备a的硬件配置和软件配置、此次网络设备a接收到的安全检测分析任务所对应的安全检测分析的项目标识、检测对象的标识。表3更为具体的,举例来说,安全检测分析对应的检测对象可以为文件、程序、应用等;安全检测分析的项目可以包括:针对上述检测对象是否符合访问控制、是否符合病毒的特征、是否满足权限控制等项目;网络设备的硬件配置可以包括网络设备的厂商信息、设备型号等;网络设备的软件配置可以包括网络设备上运行的软件的版本信息等。其中,为了便于后续管理平台的对比,网络设备a可以根据待检测对象计算哈希值,该哈希值作为待检测对象的标识,填充到协议类型0x0000相应字段中。管理平台在接收到网络设备a发送的协议类型为0x0000的查询请求之后,根据查询请求查询是否有其他网络设备已经针对待检测对象查询请求中对应的安全检测分析任务。管理平台对与网络设备发送的查询请求的中的协议内容进行解析,提取被检测对象的标识,进一步的,可以根据被检测对象标识在审计记录库中进行索引查找;进一步的,将查询结果发送给网络设备,其中,如果查找存在有其他网络设备b已经做过全部或者一部分本次安全检测分析项目,那么管理平台可以按照协议类型0x0001格式将审计记录传送给网络设备a;如果网络设备a本次安全检测分析任务对应的安全检测项目未被其他网络设备检测分析过,也就是不存在网络设备b的情况,则此时发往网络设备a的查询结果中的网络设备的标识可以为空,则按照协议类型0x0003格式,反馈空值给安全设备。(二)对于协议类型为0x0001的携带有查询结果的报文,其协议内容可以包括:(11)网络设备的标识,其中,网络设备的标识可以为网络设备的ip地址和/或mac地址等可以唯一标识网络设备的标识;需要说明的是,这里的网络设备为上面实施例中的“其他网络设备”,即这里的网络设备指的是上述实施例中的网络设备b。对于实施例一中的情况一的情形,即网络设备a本次安全检测分析任务对应的安全检测项目未被其他网络设备检测分析过,也就是不存在网络设备b的情况,则此时发往网络设备a的查询结果中的网络设备的标识可以为空。(12)网络设备b做过的安全检测分析任务所对应的安全检测分析的项目标识、安全检测分析对应的检测对象的标识、网络设备b的硬件配置和软件配置四者之间的对应关系。从而后续网络设备a在接收到协议类型为0x0001的报文之后,可以根据上述对应关系,确定出网络设备b已经做过哪些安全检测分析项目。(13)网络端口地址,该网络端口地址为网络设备b向管理平台上送审计记录时的出端口地址,可以为8字节;(14)时间戳,该时间戳为管理平台接收到网络设备b发送的审计记录,将审计记录存储到数据库中的时间,即入库时间,可以为8个字节。(三)网络设备a在接收管理平台发送的查询结果之后,根据查询结果可以确定出网络设备b做过哪些安全检测分析项目,从而可以确定出针对网络设备a当前的安全检测分析任务,还需要做哪些剩余的安全检测分析项目。具体的,如果网络设备a接收到的查询结果是待检测分析对象没有做过任何检测分析,则执行本次安全检测分析任务,并按照协议类型0x0002的协议标准,填写安全检测分析审计记录,并将审计记录发送给管理平台;如果查询结果是待检测分析对象做过了与本次安全检测分析一部分相同的安全检测分析,则网络设备a可以进一步对管理平台发送过来的审计记录信息进行解析分析,提取安全检测协议中的数字签名,具体厂家,设备型号,软件版本,该型号设备或软件版本的功能模块等是否相同,在相同的基础上,则将安全检测分析项目的标识进行比较,进一步明确哪些功能项目做过了安全检测分析,哪些功能没有做过安全检测分析,对没有做过的安全检测分析项目,补充相应的安全检测分析,更新安全检测分析项目,并按照协议类型0x0002更新安全检测分析审计记录,并将审计记录发送给安全管理中心。如果数字签名,具体厂家,设备型号,软件版本,该型号设备或软件版本的功能模块等不同,实际上此时可以认为该待检测分析对象实际上没有做过本次的安全检测分析任务,可以按照全新的安全检测任务一下进行安全检测分析即可。(四)在网络设备a针对待检测对象做完剩余的安全检测分析项目之后,则可以向管理平台发送审计记录。审计记录可以通过协议类型为0x0002的报文发送。具体的,协议类型为0x0002的报文的协议内容包括审计记录,具体的审计记录可以包括以下内容中的任意一个或多个:网络设备的标识、网络设备的硬件配置、网络设备的软件配置信息、在该网络设备上针对本次安全检测分析任务所做的安全检测分析项目的标识、发送该条审计记录的出端口标识、生成该条审计记录的时间。需要说明的是,这里审计记录中的网络设备指的是网络设备a,即发送查询请求的网络设备。在管理平台接收到网络设备a发送的协议类型为0x0002的报文之后,管理平台会将网络设备a上送的审计记录保存。并向网络设备a发送响应报文。响应报文可以通过协议类型为0x0003的报文实现。通过上述描述可以看出,本公开中的方法避免了针对同一待检测对象在不同安全设备进行重复检测,节省网络、存储和计算资源,提升了网络性能。从安全系统层面让不同安全软硬件设备检测分析结果能够互相承认,实现安全设备检测分析任务层面协同,是提升安全检测分析效率。实施例三与上述实施例一相对应的,本公开还提供一种安全检测分析装置,图3为本公开提供的安全检测分析装置的结构示意图,如图3所示,所述装置包括:接收模块401、发送模块402、确定模块403;接收模块401,用于接收安全检测分析任务;发送模块402,用于根据所述安全检测分析任务向所述管理平台发送查询请求,所述查询请求用于查询是否存在其他网络设备已经针对待检测对象做过本次安全检测分析任务;其中,所述查询请求中可以包括安全检测分析的项目标识、安全检测分析对应的检测对象的标识、所述网络设备的硬件配置和软件配置中的任意一项或多项。所述接收模块401还用于接收管理平台反馈的查询结果,所确定模块403用于根据接收到的所述查询结果确定本次安全检测分析任务对应的检测分析项目。可选的,如图4所示,该装置还包括:安全检测模块404;若所述接收模块401接收到的查询结果表征本次安全检测分析任务对应的安全检测项目未被其他网络设备检测分析过,则安全检测模块404按照本次安全检测分析任务对应的安全检测分析项目进行安全检测分析;若所述接收模块401接收到的查询结果表征针对本次的安全检测分析任务已经存在其他网络设备做过一部分安全检测分析项目,则所述确定模块403确定剩余需要做的安全检测分析项目,所述安全检测模块404进行剩余项目的安全检测分析;若所述接收模块401接收到的所述查询结果表征已经存在其他网络设备做过本次的安全检测分析任务所对应的全部检测分析项目,则所述安全检测模块404无需执行此次安全检测分析任务。可选的,该装置还可以包括审计记录生成模块(图中未示出),用于根据在所述网络设备上做的安全检测分析项目生成审计记录,发送模块401用于将审计记录发送至管理平台,所述审计记录包括以下内容中的任意一个或者多个:所述网络设备的标识、所述网络设备的硬件配置、所述网络设备的软件配置信息、在所述网络设备上针对本次安全检测分析任务所做的安全检测分析项目的标识、发送该条审计记录的出端口标识、生成该条审计记录的时间。与上述实施例二所提供的方法相对应的,本公开还提供一种安全检测分析装置,图5为本公开实施例提供的又一安全检测分析装置的结构示意图,如图5所示,该装置包括:第二接收模块501、查询模块502、第二发送模块503;第二接收模块501用于接收网络设备发送的查询请求,所述查询请求中包括与所述网络设备接收的安全检测分析相关的信息;查询模块502,用于根据所述查询请求查询是否存在其他网络设备已经做过与发送查询请求的网络设备的安全检测分析任务相同的安全检测分析;第二发送模块503,用于根据查询的结果向所述网络设备反馈查询结果。通过上述描述可以看出,本公开中的装置可以避免针对同一待检测对象在不同安全设备进行重复检测,节省网络、存储和计算资源,提升了网络性能。从安全系统层面让不同安全软硬件设备检测分析结果能够互相承认,实现安全设备检测分析任务层面协同,是提升安全检测分析效率。应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。当前第1页1 2 3 
    技术特征:

    1.一种安全检测分析方法,其特征在于,所述方法应用于网络设备,所述方法包括:

    接收安全检测分析任务;

    根据所述安全检测分析任务向所述管理平台发送查询请求,所述查询请求用于查询是否存在其他网络设备已经针对待检测对象做过本次安全检测分析任务;

    接收管理平台反馈的查询结果,并根据接收到的所述查询结果确定本次安全检测分析任务对应的检测分析项目。

    2.根据权利要求1所述的方法,其特征在于,接收管理平台反馈的查询结果,并根据接收到的所述查询结果确定本次安全检测分析任务对应的检测分析项目包括:

    若所述查询结果表征本次安全检测分析任务对应的安全检测项目未被其他网络设备检测分析过,则按照本次安全检测分析任务对应的安全检测分析项目进行安全检测分析;

    若所述查询结果表征针对本次的安全检测分析任务已经存在其他网络设备做过一部分安全检测分析项目,则确定剩余需要做的安全检测分析项目,并进行剩余项目的安全检测分析;

    若所述查询结果表征已经存在其他网络设备做过本次的安全检测分析任务所对应的全部检测分析项目,则无需执行此次安全检测分析任务。

    3.根据权利要求2所述的方法,其特征在于,在完成安全检测分析之后,所述方法还包括:

    根据在所述网络设备上做的安全检测分析项目生成审计记录,并将审计记录发送至管理平台,所述审计记录包括以下内容中的任意一个或者多个:

    所述网络设备的标识、

    所述网络设备的硬件配置、

    所述网络设备的软件配置信息、

    在所述网络设备上针对本次安全检测分析任务所做的安全检测分析项目的标识、

    发送该条审计记录的出端口标识、

    生成该条审计记录的时间。

    4.根据权利要求1-3任一项所述的方法,其特征在于,所述查询请求中包括安全检测分析的项目标识、安全检测分析对应的检测对象的标识、所述网络设备的硬件配置和软件配置中的任意一项或多项。

    5.一种安全检测分析方法,其特征在于,所述方法应用于运行有管理平台的管理设备,所述方法包括:

    管理设备接收网络设备发送的查询请求,所述查询请求中包括与所述网络设备接收的安全检测分析相关的信息;

    根据所述查询请求查询是否存在其他网络设备已经做过与发送查询请求的网络设备的安全检测分析任务相同的安全检测分析;

    根据查询的结果向所述网络设备反馈查询结果。

    6.一种安全检测分析装置,其特征在于,所述装置包括:接收模块、发送模块、确定模块;

    接收模块,用于接收安全检测分析任务;

    发送模块,用于根据所述安全检测分析任务向所述管理平台发送查询请求,所述查询请求用于查询是否存在其他网络设备已经针对待检测对象做过本次安全检测分析任务;

    所述接收模块还用于接收管理平台反馈的查询结果,所确定模块用于根据接收到的所述查询结果确定本次安全检测分析任务对应的检测分析项目。

    7.根据权利要求6所述的装置,其特征在于,所述装置还包括:安全检测模块;

    若所述接收模块接收到的查询结果表征本次安全检测分析任务对应的安全检测项目未被其他网络设备检测分析过,则安全检测模块按照本次安全检测分析任务对应的安全检测分析项目进行安全检测分析;

    若所述接收模块接收到的查询结果表征针对本次的安全检测分析任务已经存在其他网络设备做过一部分安全检测分析项目,则所述确定模块确定剩余需要做的安全检测分析项目,所述安全检测模块进行剩余项目的安全检测分析;

    若所述接收模块接收到的所述查询结果表征已经存在其他网络设备做过本次的安全检测分析任务所对应的全部检测分析项目,则所述安全检测模块无需执行此次安全检测分析任务。

    8.根据权利要求6所述的装置,其特征在于,所述装置还包括:审计记录生成模块,用于根据在所述网络设备上做的安全检测分析项目生成审计记录,所述发送模块用于将审计记录发送至管理平台,所述审计记录包括以下内容中的任意一个或者多个:

    所述网络设备的标识、

    所述网络设备的硬件配置、

    所述网络设备的软件配置信息、

    在所述网络设备上针对本次安全检测分析任务所做的安全检测分析项目的标识、

    发送该条审计记录的出端口标识、

    生成该条审计记录的时间。

    9.根据权利要求6-8任一项所述的装置,其特征在于,所述查询请求中包括安全检测分析的项目标识、安全检测分析对应的检测对象的标识、所述网络设备的硬件配置和软件配置中的任意一项或多项。

    10.一种安全检测分析装置,其特征在于,所述装置包括:第二接收模块、查询模块、第二发送模块;

    第二接收模块用于接收网络设备发送的查询请求,所述查询请求中包括与所述网络设备接收的安全检测分析相关的信息;

    查询模块,用于根据所述查询请求查询是否存在其他网络设备已经做过与发送查询请求的网络设备的安全检测分析任务相同的安全检测分析;

    第二发送模块,用于根据查询的结果向所述网络设备反馈查询结果。

    技术总结
    本说明书提供一种安全检测分析方法及装置,所述方法包括:接收安全检测分析任务;根据所述安全检测分析任务向所述管理平台发送查询请求,所述查询请求用于查询是否存在其他网络设备已经针对待检测对象做过本次安全检测分析任务;接收管理平台反馈的查询结果,并根据接收到的所述查询结果确定本次安全检测分析任务对应的检测分析项目。网络设备可以根据管理平台反馈的查询结果确定本次的安全检测分析是否需要执行的安全检测分析项目。针对不同的查询结果可以有不同的处理,因此可以避免重复性的安全检测分析工作,节约网络、存储、计算资源,提升了网络性能。

    技术研发人员:王健
    受保护的技术使用者:新华三信息安全技术有限公司
    技术研发日:2020.09.29
    技术公布日:2021.03.12

    转载请注明原文地址:https://wp.8miu.com/read-8137.html

    专利

    最新回复(0)