Nothing Special   »   [go: up one dir, main page]

CN112148545B - 嵌入式系统的安全基线检测方法以及安全基线检测系统 - Google Patents

嵌入式系统的安全基线检测方法以及安全基线检测系统 Download PDF

Info

Publication number
CN112148545B
CN112148545B CN202011154316.8A CN202011154316A CN112148545B CN 112148545 B CN112148545 B CN 112148545B CN 202011154316 A CN202011154316 A CN 202011154316A CN 112148545 B CN112148545 B CN 112148545B
Authority
CN
China
Prior art keywords
baseline detection
security baseline
information data
security
embedded system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011154316.8A
Other languages
English (en)
Other versions
CN112148545A (zh
Inventor
汪洋一舟
张文凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202011154316.8A priority Critical patent/CN112148545B/zh
Publication of CN112148545A publication Critical patent/CN112148545A/zh
Application granted granted Critical
Publication of CN112148545B publication Critical patent/CN112148545B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2273Test methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2294Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing by remote test

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Alarm Systems (AREA)
  • Storage Device Security (AREA)

Abstract

公开了安全基线检测方法和系统,涉及云安全服务,用于基于云计算平台为用户提供安全服务。该方法用于对嵌入式设备上搭载的嵌入式系统远程地进行安全基线检测,以降低嵌入式系统受到攻击的可能性。该方法包括:与待检测的嵌入式系统建立远程连接,并采集嵌入式系统的系统信息数据;生成针对待检测的嵌入式系统的安全基线检测规则;对采集的系统信息数据进行解析处理;对解析处理后的系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据;利用安全基线检测规则对结构化系统信息数据进行安全基线检测,以得到嵌入式系统的安全基线检测结果;以及输出并展示嵌入式系统的安全基线检测结果。

Description

嵌入式系统的安全基线检测方法以及安全基线检测系统
技术领域
本公开涉及计算机技术领域,更具体地,涉及一种嵌入式系统的安全基线检测方法以及安全基线检测系统。
背景技术
嵌入式系统是以应用为中心,以计算机技术为基础,并且软硬件是可裁剪的,适用于对功能、可靠性、成本、体积、功耗等有严格要求的专用计算机系统。嵌入式系统最典型的特点是与人们的日常生活紧密相关,任何一个普通人都可能拥有各类形形色色运用了嵌入式技术的电子产品,小到摄像头、智能门锁等微型数字化设备,大到信息家电、智能电器、智能机器人、汽车等,各种新型嵌入式设备在数量上已经远远超过了通用计算机。随着搭载嵌入式系统的嵌入式设备的应用的日益普及,特别是嵌入式设备不断数字化、网络化、智能化,嵌入式系统的安全成为了一个急需解决的问题。
在一些情形中,可以针对服务器系统或者桌面系统的安全基线执行检测操作,这些系统都是非常标准化、统一化的系统,但是由于嵌入式系统可以根据各种应用场合而进行各种裁剪,从而非常地多样化,因此对这些系统的安全基线检测并不能适用于嵌入式系统。因此,需要一种对嵌入式系统进行安全基线检测检测的方法和系统。
发明内容
本公开的实施例提供了一种安全基线检测方法,其用于对嵌入式设备上搭载的嵌入式系统远程地进行安全基线检测,所述方法包括:与待检测的嵌入式系统建立远程连接,并采集所述嵌入式系统的系统信息数据;生成针对所述待检测的嵌入式系统的安全基线检测规则;对采集的所述系统信息数据进行解析处理;对解析处理后的所述系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据;利用所述安全基线检测规则对所述结构化系统信息数据进行安全基线检测,以得到所述嵌入式系统的安全基线检测结果;以及输出并展示所述嵌入式系统的安全基线检测结果。
根据本公开的实施例,其中,所述与待检测的嵌入式系统建立远程连接,并采集所述嵌入式系统的系统信息数据,包括:获取采集配置信息;基于所述采集配置信息生成采集控制命令并且与所述嵌入式系统建立远程连接,并通过远程通信方式向所述嵌入式系统发送所述采集控制命令;以及通过远程通信方式接收所述嵌入式系统返回的系统信息数据,其中,响应于所述采集控制命令,所述嵌入式系统本地地采集系统信息数据,并返回所述系统信息数据。
根据本公开的实施例,其中,所述采集配置信息包括所述嵌入式系统的标识信息,并且与待检测的嵌入式系统建立远程连接,包括:基于所述嵌入式系统的标识信息与所述嵌入式系统建立远程连接。
根据本公开的实施例,其中,所述采集配置信息还包括采集数据量指示,所述采集数据量指示用于指示采集所述嵌入式系统的全量系统信息数据或部分系统信息数据,并通过所述采集控制命令被发送到所述嵌入式系统,使得所述嵌入式系统本地地采集全量系统信息数据或部分系统信息数据。
根据本公开的实施例,其中,所述生成针对所述待检测的嵌入式系统的安全基线检测规则,包括:获取分析配置信息,并基于所述分析配置信息生成所述安全基线检测规则。
根据本公开的实施例,其中,所述分析配置信息包括选择信息或编辑配置信息,其中,所述基于所述分析配置信息生成安全基线检测规则,包括:基于所述选择信息从安全基线检测规则集合中选择所述安全基线检测规则,其中所述安全基线检测规则集合是预设的;或者基于所述编辑配置信息配置新的安全基线检测规则。
根据本公开的实施例,其中,所述对所述系统信息数据进行解析处理,包括:获取安全基线检测启动命令,基于所述安全基线检测启动命令将所述系统信息数据按照数据类型进行分类,得到多个类别的系统信息数据,并将所述多个类别的系统信息数据按照类别分开存储;并且其中,对所述系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据,包括:对每个类别的系统信息数据进行结构化处理,得到每个类别的具有统一格式和属性的结构化系统信息数据。
根据本公开的实施例,其中,所述利用所述安全基线检测规则对所述结构化系统信息数据进行安全基线检测,以得到所述嵌入式系统的安全基线检测结果,包括:
针对每条安全基线检测规则,确定是否存在与该安全基线检测规则相关联的结构化系统信息数据,并且:在存在与该安全基线检测规则相关联的结构化系统信息数据的情况下,当该相关联的结构化系统信息数据与该安全基线检测规则匹配时,则确定所述嵌入式系统达到与该安全基线检测规则相关联的安全基线,作为针对该安全基线检测规则的安全基线检测结果,并且当该相关联的结构化系统信息数据与该安全基线检测规则不匹配时,则确定所述嵌入式系统未达到与该安全基线检测规则相关联的安全基线,作为针对该安全基线检测规则的安全基线检测结果,以及在不存在与该安全基线检测规则相关联的结构化系统信息数据的情况下,则确定无需判断是否达到与该安全基线检测规则相关联的安全基线,作为针对该安全基线检测规则的安全基线检测结果,以及将针对每条安全基线检测规则的安全基线检测结果的集合作为所述嵌入式系统的安全基线检测结果。
根据本公开的实施例,其中,所述输出并展示所述嵌入式系统的安全基线检测结果,包括以下至少一项:生成可视化信息,使得具有用户界面的装置可视化展示所述安全基线检测结果;生成可视化信息,在预定网络地址或者网络页面上可视化展示所述安全基线检测结果;以及将所述安全基线检测结果输出给不同于所述装置的其他装置以供所述其他装置使用。
根据本公开的实施例,其中,每条安全基线检测规则被标识有风险等级,并且按照风险等级对所述安全基线检测结果进行划分,并且按照所述风险等级对所述安全基线检测结果进行展示。
本公开的实施例提供了一种安全基线检测系统,所述安全基线检测系统包括:数据采集装置,用于与待检测的嵌入式系统建立远程连接,采集并输出所述嵌入式系统的系统信息数据;安全基线检测装置,用于接收所述嵌入式系统的系统信息数据,生成针对所述待检测的嵌入式系统的安全基线检测规则,对所述系统信息数据进行解析处理,对所述系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据,并且利用所述安全基线检测规则对所述结构化处理后的结构化系统信息数据进行安全基线检测,以得到所述嵌入式系统的安全基线检测结果;以及数据管理装置,用于从所述安全基线检测装置接收所述嵌入式系统的安全基线检测结果,并且输出并展示所述嵌入式系统的安全基线检测结果。
根据本公开的实施例,其中,所述数据采集装置包括:采集配置信息获取模块,用于获取采集配置信息;远程命令模块,其被配置为基于所述采集配置信息生成采集控制命令并且与所述嵌入式系统建立远程连接,并向所述嵌入式系统发送采集控制命令;远程采集模块,其被配置为通过远程通信方式采集所述嵌入式系统返回的系统信息数据;数据输出模块,其被配置为向所述安全基线检测装置发送所述系统信息数据,其中,响应于所述采集控制命令,所述嵌入式系统本地地采集系统信息数据,并向所述远程采集模块返回所述系统信息数据。
根据本公开的实施例,其中,所述安全基线检测装置包括:获取模块,用于获取分析配置信息、所述嵌入式系统的系统信息数据、和安全基线检测启动命令;规则确定模块,用于基于所述分析配置信息确定安全基线检测规则;数据处理模块,用于基于所述安全基线检测启动命令对采集的所述系统信息数据进行解析处理,并且对解析处理后的所述系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据;以及安全基线检测模块,用于利用所确定的安全基线检测规则对所述结构化系统信息数据进行检测,并将针对每条安全基线检测规则的安全基线检测结果的集合作为所述嵌入式系统的安全基线检测结果。
根据本公开的实施例,其中,所述数据采集装置、安全基线检测装置以及数据管理装置在物理上位于单个设备中,或者所述安全基线检测装置以及数据管理装置在物理上位于单个设备中,而所述数据采集装置位于另一设备中,或者所述数据采集装置、安全基线检测装置以及数据管理装置在物理上分别位于不同设备中。
根据本公开的实施例,其中,每条安全基线检测规则被标识有风险等级,其中,所述安全基线检测装置还包括划分模块,所述划分模块用于按照风险等级对所述安全基线检测结果进行划分;并且其中,所述数据管理装置还用于根据所述风险等级对所述安全基线检测结果进行展示。
本公开的实施例提供的安全基线检测方法和安全基线检测系统,由于是在嵌入式系统的外部(相对于嵌入式系统远程地)对嵌入式系统进行安全基线的检测,因此无需对嵌入式系统本身进行修改,即,可以离线进行安全基线检测,因此对嵌入式系统的存储容量以及算力等没有任何需求。此外,由于根据不同的嵌入式系统而配置不同的安全基线检测规则(例如,基于用户输入的分析配置信息),因此可以应用于任何类型的嵌入式系统。此外,数据采集、安全基线检测、和检测结果展示过程可以是解耦的(例如分布在不同的装置上运行),因此可以针对一次收集的数据而进行多次基于不同规则的不同分析、针对一次检测结果而进行不同的展示。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例的描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本公开的一些示例性实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1示出了根据本公开的实施例的安全基线检测系统与嵌入式系统的关系示意图。
图2A-图2C示出了根据本公开的实施例的安全基线检测方法的流程示意图。
图3示出了根据本公开的实施例的展示安全基线检测结果的一种示意图。
图4示出了根据本公开的实施例的嵌入式系统安全基线检测检测的架构框图。
图5A-5G示出了图4所示的安全基线检测系统的各个装置的结构框图。
图6示出了图4所示的安全基线检测系统中的各个装置的交互示意图。
图7示出了用于实施根据本公开的实施例的安全基线检测系统的各个装置/模块的服务器设备或计算机设备的结构示意图。
具体实施方式
为了使得本公开的目的、技术方案和优点更为明显,下面将参考附图详细描述根据本公开的示例实施例。显然,所描述的实施例仅仅是本公开的一部分实施例,而不是本公开的全部实施例,应理解,本公开不受这里描述的示例实施例的限制。
在本说明书和附图中,基本上相同或相似的步骤和元素用相同或相似的附图标记来表示,并且对这些步骤和元素的重复描述将被省略。同时,在本公开的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性或排序。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
本公开的实施例涉及对嵌入式系统的安全基线检测,为便于理解,以下首先介绍与本公开的实施例相关的一些基本概念。
嵌入式设备:嵌入式系统是一种完全嵌入受控器件内部,为特定应用而设计的专用计算机系统,具有较高的定制化程度,搭载该嵌入式系统的设备在本文被称为嵌入式设备。
安全基线:安全基线是一个系统的最小安全保证,即该系统最基本需要满足的安全要求。系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理的分界线。安全基线的意义在于为达到最基本的防护要求而制定的一系列规则,任何安全基线检测都是围绕不同安全基线展开。
审计:审计是模拟社会监察机构引入到计算机操作系统中,用于监视和记录系统活动的一种机制。在本文中也与“检测”互换使用。
正则表达式:正则表达式是对字符串(包括普通字符(例如,a到z之间的字母)和特殊字符(称为“元字符”))操作的一种逻辑公式,即用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。正则表达式是一种文本模式,模式描述在搜索文本时要匹配的一个或多个字符串。正则表达式通常被用来检索、替换那些符合某个模式(规则)的文本。
如前文所述,在一些情形中,可以针对服务器系统或者桌面系统的安全执行检测操作,例如,对这些系统的安全基线进行审计,这些系统都是非常标准化、统一化的系统,用于安全基线检测的规则也均是由多年来的行业实践共识形成的,并且针对这些系统的安全基线的审计实现方式均为基于本地可执行程序的形式,通过直接运行程序的方法进行每一条基线规则的检测,并且检测的方式也是直接在这些系统中运行相应的命令,获取的结果。
例如,一种对标准化系统的安全基线进行检测的方法包括:首先将可执行程序(安全基线审计程序)下载到标准化系统本地,然后在该标准化系统内本地地运行该可执行程序,从而开始审计该标准化系统的安全基线,在审计过程中,其中的每一条安全基线审计规则都会对应一次检测系统配置或者检测系统文件的查询操作。在开始运行可执行程序(安全基线审计程序)之后,等待一段时间,会在搭载该标准化系统的设备(终端)的显示界面输出安全基线检测结果(安全审计结果)。例如,常用的系统安全审计工具包括lynis和CIS-CAT Pro Assessor。
然而,如前面所述,上述对安全基线进行审计的方法均是针对标准化系统的安全基线,而不能直接应用于嵌入式系统。同时,上述方法均包括下载一个审计用的可执行程序到本地,然后本地运行以进行基线审计,但是对于大部分嵌入式系统的本地存储空间和算力都非常有限,不一定有空间和算力用于运行额外的程序,并且由于处理器指令集的问题,这些程序可能并不能在嵌入式系统上运行。此外,上述方法通过直接在标准化系统中运行相应的可执行命令进行审计的,比如某条基线审计规则是[“su”命令不存在],基于上述方法而直接运行该“su”命令,如果运行失败则确定这条基线审计通过,但是有时候一条命令运行失败有很多原因,例如“su”命令是存在的但却是其他因素导致其运行失败,因此上述方法可能导致错误的审计结果。
因此,本公开提供了一种安全基线检测方法和安全基线检测系统,用于对嵌入式系统进行安全基线检测。
在本公开中,对嵌入式系统的安全基线检测也可以称为对该嵌入式系统的安全基线的审计,安全基线检测规则相应地也可以被称为安全基线审计规则。
应注意,虽然在本文中以对嵌入式系统的安全基线检测作为示例而进行了详细描述,但是本公开实施例提出的安全基线检测方法和系统可以应用于其他计算机系统,例如,非嵌入式系统,本公开对此不做限制。
本公开提供的对嵌入式系统的安全基线检测方法和系统可以被例如物联网厂商或者车企使用,用于在每次搭载的嵌入式系统版本更新或者集成之后,对嵌入式系统进行安全基线审计,发现并修复嵌入式系统中存在的安全问题。
图1示出了根据本公开实施例的安全基线检测系统与嵌入式系统的关系示意图。如图1所示,安全基线检测系统位于嵌入式系统100外部,并且可以远程地与嵌入式系统通信,以对其进行安全基线检测。
下面结合图2A-7来详细地描述根据本公开的实施例的用于嵌入式系统的安全基线检测的相关内容。
图2A-2B示出了根据本公开实施例的用于嵌入式系统的安全基线检测方法200的流程示意图。图2B示出了图2A的更多细节。
嵌入式设备上搭载了能够实现特定功能的嵌入式系统,因此该安全基线检测方法200用于对嵌入式设备上搭载的嵌入式系统远程地进行安全基线检测。
首先,在步骤S210,与待检测的嵌入式系统建立远程连接,并采集嵌入式系统的系统信息数据。
更具体地,该步骤可以由数据采集装置(如参考图4描述的数据采集装置410)来执行。在步骤S210中,如图2B所示,数据采集装置可以获取采集配置信息,可以基于采集配置信息生成采集控制命令并与嵌入式系统建立远程连接,并且可以通过远程通信方式向嵌入式系统发送采集控制命令;以及通过远程通信方式接收嵌入式设备上搭载的嵌入式系统返回的系统信息数据。
采集配置信息可以由用户配置,例如通过编写采集程序来配置。例如,在数据采集装置为服务器设备的情况下,可以通过修改服务器配置文件来编写采集配置信息。
例如,用户可以根据需要采集的嵌入式系统的系统信息数据(例如系统执行命令以及系统文件)而编辑采集配置信息。例如,采集配置信息可以包括采集数据量指示,采集数据量指示用于指示采集嵌入式系统的全量系统信息数据或部分系统信息数据。例如,采集数据量指示可以指示嵌入式系统的哪些根目录下的系统文件(系统信息数据)需要被采集。同时,在采集配置信息不包括采集数据量指示的情况下,默认采集嵌入式系统的全量系统信息数据。采集数据量指示可以通过采集控制命令被发送到嵌入式系统,从而可以控制嵌入式系统对所需要的系统信息数据进行本地采集。
此外,采集配置信息还可以包括嵌入式系统的标识信息,诸如嵌入式系统的IP地址、端口号、登陆账号、登陆密码等信息,从而使得可以知晓需要采集哪个嵌入式系统的系统信息数据。在这种情况下,数据采集装置基于采集配置信息中包括的嵌入式系统的标识信息与嵌入式系统建立远程连接,并且基于该远程连接向嵌入式系统发送采集控制命令。例如,可以通过诸如ssh或adb等远程通信方式来与嵌入式系统建立远程连接以进行通信。ssh或adb是目前较可靠的、专为远程登录会话和其他网络服务提供安全性的协议,可以有效防止远程管理过程中的信息泄露问题。
此外,响应于采集控制命令,嵌入式系统本地地采集系统信息数据,并返回其系统信息数据。例如,由于采集控制命令基于采集配置信息而生成,因此采集控制命令可以携带采集配置信息中包括的采集数据量指示或其相关信息(也称为白名单或黑名单,其中指示希望采集的数据时被称为白名单,指示不希望采集的数据时被称为黑名单,通过正则表达式来描述),因此嵌入式系统在接收到采集控制命令时,基于该采集控制命令携带的采集数据量指示或相关信息而知晓数据采集装置期望采集哪些系统信息数据,从而本地地对该采集数据量指示所指示的数据进行扫描或跳过对其的扫描,从而可以提升扫描效率。例如,当该采集数据量指示为希望采集的数据的根目录地址时,从该根目录开始对子目录和子文件进行扫描,对该根目录下所有文件直接读取内容,然后通过上述远程连接将所读取的内容数据作为系统信息数据返回,对于该采集数据量指示未指示的根目录地址,则不对其子目录和子文件进行扫描。
在采集程序持续执行过程中,可以持续向嵌入式系统发送采集控制命令,因此嵌入式系统本地地持续采集系统信息数据,并返回所述系统信息数据。
此外,在接收到嵌入式系统返回的系统信息数据后,数据采集装置可以先对系统信息数据进行压缩,并将压缩后的系统信息数据发送至后续的进行安全基线检测的安全基线检测装置(例如参考图4描述的安全基线检测装置420),从而可以减少通信资源,但是也可以不压缩该系统信息数据,本公开对此不做限制。
在步骤S220,生成针对待检测的嵌入式系统的安全基线检测规则。
该步骤可以由安全基线检测装置(如参考图4描述的安全基线检测装置420)来执行。
安全基线检测装置可以获取分析配置信息,并基于分析配置信息生成安全基线检测规则。
分析配置信息可以由用户配置,例如,在安全基线检测装置为服务器设备的情况下,可以通过修改服务器配置文件来编写分析配置信息。
分析配置信息可以包括选择信息,用于从现有的(预设的)安全基线检测规则集合中选择所述安全基线检测规则,或者分析配置信息可以包括编辑配置信息,用于配置新的安全基线检测规则,也称为定制的安全基线检测规则。当然,分析配置信息还可以包括其他信息,例如,嵌入式系统的类型(例如,Linux或Android)。
此外,在分析配置信息不具有选择信息或者编辑配置信息的情况下,将用于与待检测的嵌入式系统的类型(例如,Linux或Android)相对应的所有安全基线检测规则作为所确定的安全基线检测规则。相同类型的嵌入式系统具有相同的安全基线检测规则集合,并且根据嵌入式系统的类型以及所期望检测的安全情况,可以通过配置分析配置信息而从安全基线检测规则集合中选择要用于安全基线检测的一部分安全基线检测规则,例如,从100条安全基线检测规则中选择50条安全基线检测规则。
在步骤S230,对采集的系统信息数据进行解析处理。
该步骤仍然由安全基线检测装置(如参考图4描述的安全基线检测装置420)执行。
安全基线检测装置可以获取安全基线检测启动命令,从而启动安全基线检测的操作。安全基线检测启动命令可以基于来自用户的输入而生成,或者,可以由远程采集嵌入式系统的系统信息数据的装置(例如参考图4、图5A描述的数据采集装置410)生成并在返回嵌入式系统的系统信息数据时或者之后的预设时间段期满时向安全基线检测装置发送。
如图2B中所示,步骤S230中可以具体包括:获取安全基线检测启动命令,基于该安全基线检测启动命令将系统信息数据按照数据类型进行分类,得到多个类别的系统信息数据;以及将多个类别的系统信息数据按照类别分开存储。
更具体地,如果系统信息数据在数据采集装置中被压缩,如前文所述,则安全基线检测装置在接收到安全基线检测启动命令后,首先对该压缩后的系统信息数据进行解压缩,将解压缩后的系统信息数据按照数据类型的不同而划分为多个类别的系统信息数据(例如,内核数据、根文件系统信息数据、网络数据、进程数据等等)而将其存储为原始系统信息数据(如存储在图5D所示的原始数据库中)。
在步骤S240,对解析处理后的系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据。
该步骤仍然由安全基线检测装置(如参考图4描述的安全基线检测装置420)执行。
步骤S240可以具体包括:对该存储的原始系统信息数据进行分析(例如数据分析和版本分析),以对该系统信息数据进行结构化处理,从而得到结构化系统信息数据,并进一步将其存储为中间系统信息数据(如存储在图5D所示的中间数据库中),以使该结构化系统信息数据能够被直接使用。
在步骤S250,利用安全基线检测规则对结构化系统信息数据进行安全基线检测,以得到嵌入式系统的安全基线检测结果。
该步骤仍然由安全基线检测装置(如参考图4描述的安全基线检测装置420)执行。
例如,利用所确定的安全基线检测规则对所述结构化系统信息数据进行检测包括将所确定的安全基线检测规则依次与结构化系统信息数据进行匹配,即确定针对每条安全基线检测规则的安全基线检测结果,并且将针对每条安全基线检测规则的安全基线检测结果的集合作为嵌入式系统的安全基线检测结果。
更具体地,针对每条安全基线检测规则,确定是否存在与该安全基线检测规则相关联的结构化系统信息数据,并且:在存在与该安全基线检测规则相关联的结构化系统信息数据的情况下,当该相关联的结构化系统信息数据与该安全基线检测规则匹配时,则确定该嵌入式系统达到与该安全基线检测规则相关联的安全基线,作为针对该安全基线检测规则的安全基线检测结果,并且当该相关联的结构化系统信息数据与该安全基线检测规则不匹配时,则确定该嵌入式系统未达到与该安全基线检测规则相关联的安全基线,作为针对该安全基线检测规则的安全基线检测结果,以及在不存在与该安全基线检测规则相关联的结构化系统信息数据的情况下,则确定无需判断是否通过与该安全基线检测规则相关联的安全基线,作为针对该安全基线检测规则的安全基线检测结果,以及将针对每条安全基线检测规则的安全基线检测结果的集合作为该嵌入式系统的安全基线检测结果。
例如,每个安全基线检测规则(即安全基线审计规则)中可以包括自己的正则化表达式以及与其相关联的系统信息数据的标识信息,安全基线检测装置判断结构化系统信息数据中是否存在与该安全基线检测规则相关联的系统信息数据,并且在存在与其相关联的系统信息数据的情况下,安全基线检测装置根据该安全基线检测规则的正则化公式是否被与其相关联的系统信息数据所满足(匹配)而确定嵌入式系统是否达到(通过)与该安全基线检测规则相关联的安全基线。
作为示例,假设存在50条安全基线检测规则,第一条安全基线检测规则为在A目录下不应该在不应该存在b文件,首先,安全基线检测模块首先可以确定与该第一条安全基线检测规则相关联的系统信息数据为A目录相关的系统信息数据,然后确定是否存在A目录相关的系统信息数据,在确定存在A目录相关的系统信息数据的情况下,进一步确定A目录下是否存在b文件,如果存在b文件,则该第一条安全基线检测规则没有被满足,即第一条安全基线检测规则与其相关联的系统信息数据不匹配,因此安全基线检测模块确定未通过第一条安全基线检测规则(未达到与该第一条安全基线检测规则相关联的安全基线),例如,输出针对该第一条安全基线检测规则的安全基线检测结果“未通过”。此外,如果在确定不存在A目录相关的系统信息数据时,则确定无需判断该第一条安全规则是否被通过,例如,输出针对该第一条安全基线检测规则的安全基线检测结果“N/A”;第二条安全基线检测规则是A文件的第一行必须是c,首先,安全基线检测模块可以确定与该第二条安全基线检测规则相关联的系统信息数据为A文件相关的系统信息数据(假设存在),然后针对A文件相关的系统信息数据进一步确定A文件的第一行是否是c,如果A文件的第一行是c,则确定该第二条安全基线检测规则被满足,例如,输出针对该第二条安全基线检测规则的安全基线检测结果“通过”,依次类推,直到所有50条安全基线检测规则都与结构化系统信息数据进行了匹配,从而得到利用该50条安全基线检测规则的安全基线检测结果的集合,作为该嵌入式系统的安全基线检测结果。
在步骤S260,输出并展示所述嵌入式系统的安全基线检测结果。
该步骤可以由数据管理装置(如参考图4描述的数据管理装置430)来执行。
例如,这里的“管理”可以包括生成可视化信息以使具有显示功能的装置可视化地展示该安全基线检测结果,或者生成可视化信息,在预定网络地址或者网络页面上可视化展示所述安全基线检测结果,或者将该安全基线检测结果提供给安全基线检测系统指纹的其他装置以供其他装置直接使用该安全基线检测结果,并基于该安全基线检测结果执行操作。
此外,为了生成更有效的可视化信息,可以提供关于安全基线检测的更多信息。例如,每条安全基线检测规则可以被标识有风险等级,例如,根据对系统安全的影响大小而进行等级设定。例如,风险等级可以包括“高危”、“中危”、“警告”等。此外,每条安全基线检测规则还可以被标识有类别以及子类别,类别可以包括“系统审计”、“信息审计”、“权限审计”等,并且子类别可以包括“运行阶段”、“敏感文件”、“用户配置”等。
因此,对于嵌入式系统的安全基线检测结果,即针对每条安全基线检测规则的安全基线检测结果的集合,可以按照风险等级对所述安全基线检测结果进行划分和展示。在针对每条安全基线检测规则的安全基线检测结果进行显示时,可以显示该条安全基线检测规则的风险等级、类别、子类别以及具体的规则描述,如图3所示。图3中,示出了处于“高危”的安全基线检测规则的安全基线检测结果。
在上述描述中,数据采集装置、安全基线检测装置以及数据管理装置均是在嵌入式系统100的外部,即在物理上与嵌入式系统100相分离。
图2C示出了根据图2A-2B的安全基线检测方法中的数据采集过程、安全基线检测过程以及数据管理过程的流程示意图,各个步骤已经在前文进行了详细描述,因此这里不再重复。
通过本公开的安全基线检测方法,基于分析配置信息来确定安全基线检测规则,从而可以对嵌入式系统的安全基线检测规则进行定制化的删改与增加,保证可以根据嵌入式系统的情况而选择所需要的安全基线检测规则,并且通过与嵌入式系统建立远程连接,即系统信息数据的采集方法为远程无侵入式的方案,因此不需要对嵌入式系统本身添加任何新的程序,并且不会使用嵌入式系统的储存空间,此外,由于系统信息采集过程和安全基线检测过程是相互解耦分开进行的,所以不会在嵌入式系统本地进行运算,可以满足嵌入式系统低算力的特殊场景,最后,所采用的安全基线检测方法是通过对所采集的系统信息进行解析、结构化处理、安全基线检测规则匹配等,并不是直接在嵌入式系统中运行相应命令,所以对嵌入式系统没有任何依赖,并不需要嵌入式系统预装任何程序,可以满足对裁剪后的嵌入式系统的安全基线检测需求。
图4示出了根据本公开的实施例的用于嵌入式系统的安全基线检测系统400的结构框图。
如图4所示,安全基线检测系统400与嵌入式系统100(搭载在嵌入式设备中)分离地设置,用于远程地对嵌入式系统100进行安全基线检测。
安全基线检测系统400包括数据采集装置410、安全基线检测装置420和数据管理装置430。
数据采集装置410用于与嵌入式设备上搭载的嵌入式系统100建立远程连接,并采集并输出嵌入式系统100的系统信息数据。
安全基线检测装置420用于接收嵌入式系统的系统信息数据,生成针对待检测的嵌入式系统的安全基线检测规则,对系统信息数据进行解析处理,对系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据,并且利用安全基线检测规则对结构化处理后的结构化系统信息数据进行安全基线检测,以得到嵌入式系统的安全基线检测结果。
数据管理装置430用于从安全基线检测装置接收嵌入式系统的安全基线检测结果,并且输出并展示嵌入式系统的安全基线检测结果。
这里的“展示”可以包括生成可视化信息以使具有显示功能的装置可视化地展示该安全基线检测结果,或者将该安全基线检测结果提供给安全基线检测系统之外的其他装置以供其他装置直接使用该安全基线检测结果,并基于该安全基线检测结果执行操作。
在一些实施例中,数据采集装置410、安全基线检测装置420和数据管理装置430在物理上位于单个设备中,仅通过逻辑功能而对它们进行划分。例如,可以位于一个服务器设备中或位于一个计算机设备中。
在另一些实施例中,安全基线检测装置420以及数据管理装置430在物理上位于单个设备(例如,服务器设备或计算机设备)中,而数据采集装置410位于另一设备(例如,服务器设备或计算机设备)中。
在又一些实施例中,数据采集装置410、安全基线检测装置420和数据管理装置430在物理上分别位于不同设备(例如,服务器设备或计算机设备)中。
将结合图5A-5G对数据采集装置410、安全基线检测装置420和数据管理装置430进行更详细地介绍。
图5A-5G示出了图4中所示的安全基线检测系统400中的各个装置的结构框图。
图5A示出了数据采集装置410中的具体模块。
如图5A所示,数据采集装置410包括采集配置信息获取模块4101、远程命令模块4102、远程采集模块4103以及数据输出模块4104。
采集配置信息获取模块4101用于获取采集配置信息。
例如,采集配置信息通过编写采集程序来配置。
例如,用户可以根据需要采集的嵌入式系统100的系统信息数据(例如系统执行命令以及系统文件)而编辑采集配置信息。可选地,采集配置信息可以包括采集数据量指示,该采集数据量指示用于指示采集所述嵌入式系统100的全量系统信息数据或部分系统信息数据。同时,在采集配置信息不包括采集数据量指示的情况下,默认将采集嵌入式系统100的全量系统信息数据。
此外,采集配置信息还可以包括嵌入式系统100的标识信息,例如嵌入式系统100的IP地址、端口号、登陆账号、登陆密码等信息,从而使得数据采集装置410可以知晓需要采集哪个嵌入式系统的系统信息数据。
远程命令模块4102可以例如通过执行采集程序来基于所述采集配置信息生成采集控制命令并且与所述嵌入式系统建立远程连接,并向嵌入式系统100发送采集控制命令。
例如,远程命令模块4102可以基于采集配置信息中包括的所述嵌入式系统的标识信息与嵌入式系统100建立远程连接,并且基于该远程连接向所述嵌入式系统发送采集控制命令。例如,远程命令模块4102通过诸如ssh或adb等远程通信方式来与嵌入式系统100进行通信。
响应于采集控制命令,嵌入式系统100本地地采集系统信息数据,并向数据采集装置410(后面提及的远程采集模块4103)返回所述系统信息数据。
在采集程序持续执行过程中,远程命令模块4102可以持续向嵌入式系统100发送采集控制命令,因此嵌入式系统100本地地持续采集系统信息数据,并向数据采集装置410(后面提及的远程采集模块4103)返回所述系统信息数据。
远程采集模块4103通过上述远程连接采集所述嵌入式设备上搭载的嵌入式系统100的系统信息数据。
数据输出模块4104被配置为向所述安全基线检测装置420发送所述系统信息数据。例如,数据输出模块4104可以将嵌入式系统100返回的系统信息数据进行压缩,并将压缩后的系统信息数据发送至安全基线检测装置420,从而可以减少通信资源,但是也可以不压缩该系统信息数据,本公开对此不做限制。
应注意,虽然在图5A中,为了便于描述,将数据采集装置410划分为了如上所述的多个模块,但是这仅仅示例,可以对数据采集装置410的内部结构进行其他形式的划分,例如可以将远程命令模块4102和远程采集模块4103共同作为远程通信模块。另一方面,数据采集装置410的实施方式可以是包括存储器和处理器的电子装置(例如服务器或计算机),其中,存储器上存储有包括例如采集程序的可执行程序,并且当该可执行程序被运行时,使得处理器执行上述参考各个模块描述的各个操作。
对汽车上的嵌入式系统的系统信息数据进行采集的具体应用场景如图5B所示。在图5B中,用户对数据采集装置配置采集配置信息(包括嵌入式系统的IP地址、端口、用户名、密码等)(过程1),例如修改数据采集装置的配置文件。数据采集装置基于采集配置信息与汽车中的嵌入式系统建立远程连接并且向其发送采集控制命令(过程2),汽车中的嵌入式系统基于采集控制命令本地地采集系统信息数据(过程3),并向数据采集装置返回所述系统信息数据(过程4)。
图5C示出了安全基线检测装置420中的具体模块。
如5C所示,安全基线检测装置420可以包括获取模块4201、规则确定模块4202、数据处理模块4203和安全基线检测模块4204。
获取模块4201用于获取嵌入式系统100的系统信息数据、安全基线检测启动命令、和分析配置信息。
例如,安全基线检测启动命令可以基于来自与该安全基线检测装置相连接(直接或间接)的输入装置上的用户输入而生成,或者,可以由所述数据采集装置410生成并在返回嵌入式系统100的系统信息数据时或者之后的预设时间段期满时被发送至安全基线检测装置420(获取模块4201)。
例如,分析配置信息可以由用户配置,例如,在安全基线检测装置420为服务器设备的情况下,可以通过修改服务器配置文件来编写分析配置信息。
例如,分析配置信息可以包括选择信息,用于从现有的安全基线检测规则集合中选择所述安全基线检测规则,或者分析配置信息可以包括编辑配置信息,用于配置新的安全基线检测规则。当然,分析配置信息还可以包括其他信息,例如,嵌入式系统的类型(例如,Linux或Android)。
规则确定模块4202用于基于所述分析配置信息确定安全基线检测规则。例如,选择要用于安全基线检测的规则或者生成新的安全基线检测规则。
此外,在分析配置信息不具有选择信息或者编辑配置信息的情况下,将用于与待检测的嵌入式系统的类型(例如,Linux或Android)相对应的所有安全基线检测规则作为所确定的安全基线检测规则。相同类型的嵌入式系统具有相同的安全基线检测规则集合,并且根据嵌入式系统的类型以及所期望检测的安全情况,可以通过配置分析配置信息而从安全基线检测规则集合中选择要用于安全基线检测的一部分安全基线检测规则,例如,从100条安全基线检测规则中选择50条安全基线检测规则。
数据处理模块4203用于基于所述安全基线检测启动命令对采集的所述系统信息数据进行解析处理,并且对解析处理后的所述系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据。
例如,数据处理模块4203可以将嵌入式系统100的系统信息数据按照数据类型进行分类,得到多个类别的系统信息数据;以及对每个类别的系统信息数据进行结构化处理,得到每个类别的具有统一格式和属性的结构化系统信息数据,作为所述结构化系统信息数据。
更具体地,数据处理模块4203可以包括数据解析子模块、原始数据存储子模块、分析子模块、中间数据存储子模块等等。在一些实施例中,数据处理模块4203中可以不包括存储子模块,即数据可以被存储在其他存储装置中。
首先,如果系统信息数据在数据采集装置410中被压缩,则数据处理模块4203中的数据解析子模块在接收到安全基线检测启动命令后,首先对该压缩后的系统信息数据进行解压缩,将解压缩后的系统信息数据按照数据类型的不同而划分为多个类别的系统信息数据(例如,内核数据、根文件系统信息数据、网络数据、进程数据等等)存储在原始数据存储子模块中,然后,分析子模块对该原始数据存储子模块中的系统信息数据进行分析(例如数据分析和版本分析,或者其他类型的分析),以对该系统信息数据进行结构化处理,从而得到结构化系统信息数据,并将其存储到中间数据存储子模块中,以供后续模块直接使用该结构化系统信息数据(即,结构化系统信息数据)。
安全基线检测模块4204用于利用所确定的安全基线检测规则对结构化系统信息数据进行检测,并将针对每条安全基线检测规则的安全基线检测结果的集合作为所述嵌入式系统的安全基线检测结果。
安全基线检测模块4204执行的具体过程与前面安全基线检测方法中描述的过程相似,因此这里不再重复描述。
在安全基线检测模块4204得到了安全基线检测结果之后,可以基于数据调用请求而向数据管理装置430发送安全基线检测结果和/或结构化系统信息数据。
应注意,虽然在图5C中,为了便于描述,将安全基线检测装置420划分为了如上所述的多个模块,但是这仅仅示例,可以对安全基线检测装置420的内部结构进行其他形式的划分。另一方面,安全基线检测装置420的实施方式可以是包括存储器和处理器的电子装置(例如服务器或计算机),其中,存储器上可以存储可执行程序以及各种数据,并且当该可执行程序被运行时,使得处理器执行上述参考各个模块描述的各个操作。
为了更清楚的示出安全基线检测装置420的工作过程,下面参考图5D描述一具体示例,其中对系统的安全基线进行审计,安全基线检测装置420也可以称为分析审计引擎。
在图5D中,分析启动器和数据解析器可以相当于图5C中的数据解析子模块,原始数据库可以相当于图5C中的原始数据存储子模块,数据分析器和版本分析器相当于图5C中的分析子模块、中间数据库可以相当于图5C中的中间数据存储子模块。安全审计器可以相当于图5C中的安全基线检测模块以及规则确定模块。
分析启动器在接收到安全基线检测启动命令后,启动分析操作,然后数据解析器对压缩后的系统信息数据进行解压缩,将解压缩后的系统信息数据按照数据类型的不同而划分为多个类别的系统信息数据(例如,内核数据、根文件系统信息数据、网络数据、进程数据等等)存储在原始数据库中,然后,数据分析器和版本分析器分别对该原始数据库中的系统信息数据进行分析,以对该系统信息数据进行结构化处理,从而得到结构化系统信息数据,并将结构化系统信息数据存储到中间数据库中,安全审计器确定审计规则(即安全基线检测规则,包括从规则集合中选择的至少一部分规则以及定制的规则)并利用所确定的审计规则对该结构化系统信息数据(即,结构化系统信息数据)进行检测,以得到所述嵌入式系统的审计结果,例如以特定格式(例如,json文件格式)保存在报告数据库中。此外,数据分析器还可以将系统信息数据转发到用于分析系统信息数据的其他属性的分析引擎(未示出)。
如5E所示,数据管理装置430可以包括接口模块4301以及可选地处理模块4302、交互模块4303。
如前面所述,这里的“管理”可以包括生成该安全基线检测结果的可视化信息以用于展示该安全基线检测结果,或者将该安全基线检测结果提供给其他装置(不同于安全基线检测系统内的装置)以供其他装置直接使用该安全基线检测结果,并基于该安全基线检测结果执行操作。
更具体地,接口模块(例如,API接口)从数据管理装置430接收安全基线检测结果和/或结构化系统信息数据,并将其发送到处理模块4302,在经处理模块4303生成显示信息后,显示信息被发送至交互模块4303(处理模块可以响应于交互模块的请求而发送显示信息),交互模块4303基于该显示信息生成可视化信息并将其发送到外部的显示/输入装置(包括用户界面)以进行可视化展示,或者将安全基线检测结果和/或结构化系统信息数据如上生成可视化信息之后用于在预定网络地址或者网络页面上(例如作为显示模块的计算机的显示屏上的浏览器页面上)展示,或者接口模块4301将安全基线检测结果和/或结构化系统信息数据发送到其他装置以供其他装置使用。
此外,通过交互模块,还可以在显示/输入装置上对安全基线检测结果和/或结构化系统信息数据进行定制化选择,即,使得在显示/输入装置上展示想要展示的项。
而且,如前面所述,数据管理装置430可以与安全基线检测装置420和/或数据采集装置410布置在同一个设备中,输入可以经由数据管理装置430的处理模块4302和交互模块4303的处理后,而被提供至安全基线检测装置420和/或数据采集装置410。例如,安全基线检测装置420需要获取的安全基线检测启动命令、分析配置信息以及数据采集装置410需要获取的采集配置信息等可以通过在显示/输入装置上进行输入,该输入经过该交互模块4303处理后,向处理模块4302传递该用户输入,处理模块4402对该用户输入进行处理后向安全基线检测装置420以及数据采集装置410提供上述命令或配置信息。
应注意,虽然在图5E中,为了便于描述,将数据管理装置430划分为了如上所述的多个模块,但是这仅仅示例,可以对数据管理装置430的内部结构进行其他形式的划分。另一方面,数据管理装置430的实施方式可以是包括存储器和处理器的电子装置(例如服务器或计算机),其中,存储器上可以存储可执行程序以及各种数据,并且当该可执行程序被运行时,使得处理器执行上述参考各个模块描述的各个操作。
为了更清楚的示出数据管理装置430的工作过程,下面参考图5F描述一具体示例,其中以管理平台服务器作为安全基线检测装置420的实施方式。
在图5F中,以数据管理装置430与安全基线检测装置420(也即图5D中的分析审计引擎)布置在同一个设备(管理平台服务器)中为例,且该设备具有外部显示/输入装置,服务器后端以及管理系统相当于图5E中的处理模块,服务器前端相当于图5E中的交互模块。
在图5F中,API接口(未示出)从图5D中的报告数据库或中间数据库接收审计结果和/或结构化系统信息数据,并将其发送到服务器后端,在经服务器后端以及管理系统生成显示信息后,显示信息被发送至服务器前端(服务器后端可以响应于服务器前端的请求而发送显示信息),服务器前端基于该显示信息生成可视化信息并将其发送到外部的显示/输入装置(包括用户界面)以进行可视化展示,或者将审计结果和/或结构化系统信息数据如上生成可视化信息之后用于在预定网络地址或者网络页面上(例如显示屏上的浏览器页面上)展示(此时管理平台服务器可以充当网页管理服务器)。此外,API接口还可以直接将审计结果和/或结构化系统信息数据发送到其他处理装置,以供其他处理装置使用。
此外,服务器前端可以接收用户输入,该用户输入例如可以用于提供安全基线检测启动命令。此时,服务器前端向服务器后端传递该用户输入,服务器后端对该用户输入进行处理后,将其发送到管理系统,管理系统用于向图5D中所示的分析启动器提供用于启动分析审计引擎的启动命令。此外,用户还可以输入各种配置信息(例如分析配置信息),以在通过所述管理平台服务器处理后向其他装置提供配置信息。
图5G示出了安全基线检测系统与嵌入式系统的完整系统图。具体过程与前面描述的过程相同,这里不再重复描述。
为了更清楚地描述本公开的实施例,图6提供了根据本公开的实施例的安全基线检测系统内部的各个装置之间的交互示意图。
首先,在步骤S601,数据采集装置410获取采集配置信息。
数据采集装置410基于采集配置信息生成采集控制命令并与嵌入式系统100建立远程连接,并在步骤S602通过该远程连接向嵌入式系统100发送采集控制命令。
响应于采集控制命令,嵌入式系统100本地地采集系统信息数据,并在步骤S603,向数据采集装置410返回所述系统信息数据。
数据采集装置410可以持续向嵌入式系统100发送采集控制命令,因此嵌入式系统100本地地持续采集系统信息数据,并向数据采集装置410返回所述系统信息数据。
数据采集装置410在通过上述远程连接采集完所需要的所述嵌入式设备上搭载的嵌入式系统100的系统信息数据之后,结束远程连接,并对该系统信息数据进行压缩(可以省略),并且在步骤S604,向安全基线检测装置420发送所述(压缩的)系统信息数据。
在步骤S605,安全基线检测装置420获取分析配置信息。例如,分析配置信息可以由用户配置,例如,如前面所述,可以经由数据管理装置430中的交互模块和处理模块将用户输入转换为分析配置信息而发送到安全基线检测装置420。此外,在安全基线检测装置420为服务器设备的情况下,可以通过修改服务器配置文件来编写分析配置信息。
在步骤S606,安全基线检测装置420获取安全基线检测启动命令。例如,安全基线检测启动命令可以基于用户输入而生成,例如,如前面所述,可以经由数据管理装置430中的交互模块和处理模块将用户输入转换为安全基线检测启动命令而发送到安全基线检测装置420,或者,可以由所述数据采集装置410生成并在返回嵌入式系统100的系统信息数据时或者之后的预设时间段期满时被发送至安全基线检测模块420。
安全基线检测装置420基于分析配置信息而确定安全基线检测规则,对系统信息数据进行结构化处理、并且利用所确定的安全基线检测规则对结构化系统信息数据的安全基线进行检测,得到安全基线检测结果。例如利用所确定的安全基线检测规则对结构化系统信息数据进行匹配,以判断该嵌入式系统是否达到每个安全基线检测规则相关联的安全基线。例如,将所确定的安全基线检测规则依次与结构化系统信息数据进行匹配。
在步骤S607,数据管理装置430向安全基线检测模块420发送针对安全基线检测结果和/或结构化系统信息数据的数据调用请求(例如,通过API接口)。
在步骤S608,安全基线检测模块420基于该数据调用请求而向数据管理装置430发送安全基线检测结果和/或结构化系统信息数据,数据管理模块生成可视化信息,以便提供给外部的显示/输入装置进行可视化展示,或者数据管理装置将安全基线检测结果和/或结构化系统信息数据发送到其他装置以供其他装置使用。
此外,在数据管理装置430在具有交互模块的情况下,例如,安全基线检测装置420需要获取的安全基线检测启动命令、分析配置信息以及数据采集装置410需要获取的采集配置信息等可以通过在显示/输入装置上进行输入,该用户输入经过该交互模块4303处理后,向处理模块4302传递该用户输入,处理模块4302对该用户输入进行处理后向安全基线检测装置420以及数据采集装置410提供上述命令或配置信息。
通过本公开的安全基线检测系统,基于分析配置信息来确定安全基线检测规则,从而可以对嵌入式系统的安全基线检测规则进行定制化的删改与增加,保证可以根据嵌入式系统的情况而选择所需要的安全基线检测规则,并且通过与嵌入式系统建立远程连接,即系统信息数据的采集方法为远程无侵入式的方案,因此不需要对嵌入式系统本身添加任何新的程序,并且不会使用嵌入式系统的储存空间,此外,由于系统信息采集过程和安全基线检测过程是相互解耦分开进行的,所以不会在嵌入式系统本地进行运算,可以满足嵌入式系统低算力的特殊场景,最后,所采用的安全基线检测方法是通过对所采集的系统信息进行解析、结构化处理、安全基线检测规则匹配等,并不是直接在嵌入式系统中运行相应命令,所以对嵌入式系统没有任何依赖,并不需要嵌入式系统预装任何程序,可以满足对裁剪后的嵌入式系统的安全基线检测需求。
另一方面,如前面参考图5A-5G所述的,数据采集装置410、安全基线检测装置420以及数据管理装置430的实施方式均可以为服务器设备或计算机设备。图7示出了用于实施根据本公开的实施例的数据采集装置410、安全基线检测装置420以及数据管理装置430的服务器设备或计算机设备700的示意结构框图。
参见图7,服务器设备或计算机设备700可以包括处理器701和存储器702。处理器701和存储器702可以通过总线703相连。
处理器701可以根据存储在存储器702中的程序执行各种动作和处理。具体地,处理器701可以是一种集成电路芯片,具有信号的处理能力。上述处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本公开的实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,可以是X66架构或ARM架构的。
存储器702可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)或闪存。易失性存储器可以是随机存取存储器(RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(SDRAM)、双倍数据速率同步动态随机存取存储器DDRSDRAM)、增强型同步动态随机存取存储器(ESDRAM)、同步连接动态随机存取存储器(SLDRAM)和直接内存总线随机存取存储器(DR RAM)。应注意,本公开描述的方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
需要说明的是,附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分包含至少一个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
一般而言,本公开的各种示例实施例可以在硬件或专用电路、软件、固件、逻辑,或其任何组合中实施。某些方面可以在硬件中实施,而其他方面可以在可以由控制器、微处理器或其他计算设备执行的固件或软件中实施。当本公开的实施例的各方面被图示或描述为框图、流程图或使用某些其他图形表示时,将理解此处描述的方框、装置、系统、技术或方法可以作为非限制性的示例在硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备,或其某些组合中实施。
在上面详细描述的本公开的示例实施例仅仅是说明性的,而不是限制性的。本领域技术人员应该理解,在不脱离本公开的原理和精神的情况下,可对这些实施例或其特征进行各种修改和组合,这样的修改应落入本公开的范围内。

Claims (15)

1.一种嵌入式系统的安全基线检测方法,所述安全基线检测方法包括:
与待检测的嵌入式系统建立远程连接,并采集所述嵌入式系统的系统信息数据;
生成针对所述待检测的嵌入式系统的安全基线检测规则;
对采集的所述系统信息数据进行解析处理;
对解析处理后的所述系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据;
利用所述安全基线检测规则对所述结构化系统信息数据进行安全基线检测,以得到所述嵌入式系统的安全基线检测结果,其中,针对每条安全基线检测规则,确定是否存在与所述安全基线检测规则相关联的结构化系统信息数据,并基于所述确定的结果确定针对所述安全基线检测规则的安全基线检测结果;以及
输出并展示所述嵌入式系统的安全基线检测结果。
2.根据权利要求1所述的安全基线检测方法,其中,所述与待检测的嵌入式系统建立远程连接,并采集所述嵌入式系统的系统信息数据,包括:
获取采集配置信息;
基于所述采集配置信息生成采集控制命令并且与所述嵌入式系统建立远程连接,并通过远程通信方式向所述嵌入式系统发送所述采集控制命令;以及
通过远程通信方式接收所述嵌入式系统返回的系统信息数据,
其中,响应于所述采集控制命令,所述嵌入式系统本地地采集系统信息数据,并返回所述系统信息数据。
3.根据权利要求2所述的安全基线检测方法,其中,所述采集配置信息包括所述嵌入式系统的标识信息,
其中,与待检测的嵌入式系统建立远程连接,包括:
基于所述嵌入式系统的标识信息与所述嵌入式系统建立远程连接。
4.根据权利要求2或3所述的安全基线检测方法,其中,所述采集配置信息还包括采集数据量指示,所述采集数据量指示用于指示采集所述嵌入式系统的全量系统信息数据或部分系统信息数据,并通过所述采集控制命令被发送到所述嵌入式系统,使得所述嵌入式系统本地地采集全量系统信息数据或部分系统信息数据。
5.根据权利要求1所述的安全基线检测方法,其中,所述生成针对所述待检测的嵌入式系统的安全基线检测规则,包括:
获取分析配置信息,并基于所述分析配置信息生成所述安全基线检测规则。
6.根据权利要求5所述的安全基线检测方法,其中,所述分析配置信息包括选择信息或编辑配置信息,
其中,所述基于所述分析配置信息生成安全基线检测规则,包括:
基于所述选择信息从安全基线检测规则集合中选择所述安全基线检测规则,其中所述安全基线检测规则集合是预设的;或者
基于所述编辑配置信息配置新的安全基线检测规则。
7.根据权利要求1所述的安全基线检测方法,其中,所述对采集的所述系统信息数据进行解析处理,包括:获取安全基线检测启动命令,基于所述安全基线检测启动命令将所述系统信息数据按照数据类型进行分类,得到多个类别的系统信息数据,并将所述多个类别的系统信息数据按照类别分开存储;并且
其中,对解析处理后的所述系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据,包括:对每个类别的系统信息数据进行结构化处理,得到每个类别的具有统一格式和属性的结构化系统信息数据。
8.根据权利要求7所述的安全基线检测方法,其中,所述利用所述安全基线检测规则对所述结构化系统信息数据进行安全基线检测,以得到所述嵌入式系统的安全基线检测结果,包括:
针对每条安全基线检测规则,确定是否存在与该安全基线检测规则相关联的结构化系统信息数据,并且:
在存在与该安全基线检测规则相关联的结构化系统信息数据的情况下,当该相关联的结构化系统信息数据与该安全基线检测规则匹配时,则确定所述嵌入式系统达到与该安全基线检测规则相关联的安全基线,作为针对该安全基线检测规则的安全基线检测结果,并且当该相关联的结构化系统信息数据与该安全基线检测规则不匹配时,则确定所述嵌入式系统未达到与该安全基线检测规则相关联的安全基线,作为针对该安全基线检测规则的安全基线检测结果,以及
在不存在与该安全基线检测规则相关联的结构化系统信息数据的情况下,则确定无需判断是否达到与该安全基线检测规则相关联的安全基线,作为针对该安全基线检测规则的安全基线检测结果,以及
将针对每条安全基线检测规则的安全基线检测结果的集合作为所述嵌入式系统的安全基线检测结果。
9.根据权利要求1所述的安全基线检测方法,其中,所述输出并展示所述嵌入式系统的安全基线检测结果,包括以下至少一项:
生成可视化信息,使得具有用户界面的装置可视化展示所述安全基线检测结果;
生成可视化信息,在预定网络地址或者网络页面上可视化展示所述安全基线检测结果;以及
将所述安全基线检测结果输出给不同于所述装置的其他装置以供所述其他装置使用。
10.根据权利要求8所述的安全基线检测方法,其中,每条安全基线检测规则被标识有风险等级,
其中,所述利用所述安全基线检测规则对所述结构化系统信息数据进行安全基线检测,以得到所述嵌入式系统的安全基线检测结果,还包括:按照风险等级对所述安全基线检测结果进行划分,并且
其中,所述输出并展示所述嵌入式系统的安全基线检测结果,包括:按照所述风险等级对所述安全基线检测结果进行展示。
11.一种嵌入式系统的安全基线检测系统,所述安全基线检测系统包括:
数据采集装置,用于与待检测的嵌入式系统建立远程连接,采集并输出所述嵌入式系统的系统信息数据;
安全基线检测装置,用于接收所述嵌入式系统的系统信息数据,生成针对所述待检测的嵌入式系统的安全基线检测规则,对所述系统信息数据进行解析处理,对解析处理后的所述系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据,并且利用所述安全基线检测规则对所述结构化处理后的结构化系统信息数据进行安全基线检测,以得到所述嵌入式系统的安全基线检测结果,其中,针对每条安全基线检测规则,确定是否存在与所述安全基线检测规则相关联的结构化系统信息数据,并基于所述确定的结果确定针对所述安全基线检测规则的安全基线检测结果;以及
数据管理装置,用于从所述安全基线检测装置接收所述嵌入式系统的安全基线检测结果,并且输出并展示所述嵌入式系统的安全基线检测结果。
12.根据权利要求11所述的安全基线检测系统,其中,所述数据采集装置包括:
采集配置信息获取模块,用于获取采集配置信息;
远程命令模块,其被配置为基于所述采集配置信息生成采集控制命令并且与所述嵌入式系统建立远程连接,并向所述嵌入式系统发送采集控制命令;
远程采集模块,其被配置为通过远程通信方式采集所述嵌入式系统返回的系统信息数据;
数据输出模块,其被配置为向所述安全基线检测装置发送所述系统信息数据,
其中,响应于所述采集控制命令,所述嵌入式系统本地地采集系统信息数据,并向所述远程采集模块返回所述系统信息数据。
13.根据权利要求11所述的安全基线检测系统,其中,所述安全基线检测装置包括:
获取模块,用于获取分析配置信息、所述嵌入式系统的系统信息数据、和安全基线检测启动命令;
规则确定模块,用于基于所述分析配置信息确定安全基线检测规则;
数据处理模块,用于基于所述安全基线检测启动命令对采集的所述系统信息数据进行解析处理,并且对解析处理后的所述系统信息数据进行结构化处理,以得到具有统一格式和属性的结构化系统信息数据;以及
安全基线检测模块,用于利用所确定的安全基线检测规则对所述结构化系统信息数据进行检测,并将针对每条安全基线检测规则的安全基线检测结果的集合作为所述嵌入式系统的安全基线检测结果。
14.根据权利要求13所述的安全基线检测系统,其中,
所述数据采集装置、安全基线检测装置以及数据管理装置在物理上位于单个设备中,或者
所述安全基线检测装置以及数据管理装置在物理上位于单个设备中,而所述数据采集装置位于另一设备中,或者
所述数据采集装置、安全基线检测装置以及数据管理装置在物理上分别位于不同设备中。
15.根据权利要求13所述的安全基线检测系统,其中,每条安全基线检测规则被标识有风险等级,
其中,所述安全基线检测装置还包括划分模块,所述划分模块用于按照风险等级对所述安全基线检测结果进行划分;并且
其中,所述数据管理装置还用于根据所述风险等级对所述安全基线检测结果进行展示。
CN202011154316.8A 2020-10-26 2020-10-26 嵌入式系统的安全基线检测方法以及安全基线检测系统 Active CN112148545B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011154316.8A CN112148545B (zh) 2020-10-26 2020-10-26 嵌入式系统的安全基线检测方法以及安全基线检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011154316.8A CN112148545B (zh) 2020-10-26 2020-10-26 嵌入式系统的安全基线检测方法以及安全基线检测系统

Publications (2)

Publication Number Publication Date
CN112148545A CN112148545A (zh) 2020-12-29
CN112148545B true CN112148545B (zh) 2024-09-03

Family

ID=73955046

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011154316.8A Active CN112148545B (zh) 2020-10-26 2020-10-26 嵌入式系统的安全基线检测方法以及安全基线检测系统

Country Status (1)

Country Link
CN (1) CN112148545B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112818307B (zh) * 2021-02-25 2024-05-28 深信服科技股份有限公司 用户操作处理方法、系统、设备及计算机可读存储介质
CN113791973B (zh) * 2021-08-23 2022-09-06 湖北省农村信用社联合社网络信息中心 基于农信系统的兼容性基线检测方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104009869A (zh) * 2014-05-15 2014-08-27 华南理工大学 电力二次系统信息安全等级保护在线合规性检测方法
CN104348655A (zh) * 2013-08-07 2015-02-11 腾讯科技(深圳)有限公司 系统安全健康度判定方法及装置
CN107194256A (zh) * 2017-03-21 2017-09-22 北京神州泰岳信息安全技术有限公司 安全资产基线加固方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8949169B2 (en) * 2009-11-17 2015-02-03 Jerome Naifeh Methods and apparatus for analyzing system events
US8457928B2 (en) * 2010-03-26 2013-06-04 Bmc Software, Inc. Automatic determination of dynamic threshold for accurate detection of abnormalities
CN103518359B (zh) * 2013-02-08 2017-10-10 华为技术有限公司 实现云计算网络防攻击的方法、设备和网络
CN104125197B (zh) * 2013-04-24 2017-08-08 阿里巴巴集团控股有限公司 一种安全基线系统及其实现安全检查的方法
US10205736B2 (en) * 2017-02-27 2019-02-12 Catbird Networks, Inc. Behavioral baselining of network systems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104348655A (zh) * 2013-08-07 2015-02-11 腾讯科技(深圳)有限公司 系统安全健康度判定方法及装置
CN104009869A (zh) * 2014-05-15 2014-08-27 华南理工大学 电力二次系统信息安全等级保护在线合规性检测方法
CN107194256A (zh) * 2017-03-21 2017-09-22 北京神州泰岳信息安全技术有限公司 安全资产基线加固方法及装置

Also Published As

Publication number Publication date
CN112148545A (zh) 2020-12-29

Similar Documents

Publication Publication Date Title
CN103679031B (zh) 一种文件病毒免疫的方法和装置
US9350747B2 (en) Methods and systems for malware analysis
CN108667855B (zh) 网络流量异常监测方法、装置、电子设备及存储介质
CN112564988B (zh) 告警处理方法、装置及电子设备
US11818144B2 (en) Security appliance to monitor networked computing environment
US20180082061A1 (en) Scanning device, cloud management device, method and system for checking and killing malicious programs
CN112612977B (zh) 一种页面显示方法、系统、装置、设备及存储介质
CN110855676A (zh) 网络攻击的处理方法、装置及存储介质
CN107395650B (zh) 基于沙箱检测文件识别木马回连方法及装置
CN114968754A (zh) 一种应用程序接口api测试方法以及装置
CN110417718B (zh) 处理网站中的风险数据的方法、装置、设备及存储介质
CN106529294B (zh) 一种用于手机病毒判定与过滤的方法
CN103618626A (zh) 一种基于日志的安全分析报告生成的方法和系统
US20160012074A1 (en) System and method for providing contextual analytics data
CN111563015A (zh) 数据监控方法及装置、计算机可读介质及终端设备
CN112148545B (zh) 嵌入式系统的安全基线检测方法以及安全基线检测系统
CN112799925A (zh) 数据采集方法、装置、电子设备和可读存储介质
CN114116422A (zh) 一种硬盘日志分析方法、硬盘日志分析装置及存储介质
CN114465741B (zh) 一种异常检测方法、装置、计算机设备及存储介质
CN103425501A (zh) 一种安装应用程序的方法、客户端、服务器端及系统
CN110019076B (zh) 多系统日志数据的构建方法、装置、设备及可读存储介质
CN112182561B (zh) 一种后门的检测方法、装置、电子设备和介质
CN113821254A (zh) 接口数据处理方法、装置、存储介质及设备
US20180020075A1 (en) Apparatus and method for providing data based on cloud service
CN111314326A (zh) Http漏洞扫描主机的确认方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40036269

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant