一种融合媒体终端安全扫描系统和方法

技术领域

本发明涉及融媒体安全领域，尤其是涉及一种融合媒体终端安全扫描系统和方法。

背景技术

随着广播电视网络的数字化进程加速，联网应用、互联网化趋势不可避免，目前有线电视业务与OTT、IPTV等业务已经通过互联网或其他渠道进行联通，需要考虑提升整体网络安全；作为用户侧接入现网的融合媒体终端既是一个标准的IoT智能设备，同时具备行业的特殊性：在具备面向消费者的前端属性同时，又是接入广播电视网络的入口，与传统电视服务比较，智能化终端不仅接收电视信号，还运行着完整的操作系统，与网络后端的服务相通，进行双向的数据通信和访问交互，攻击者可以通过终端为跳板渗透攻击整个网络，因此，融合媒体终端是安全防护的重要门户，攻防的关键节点，值得高度重视其安全性。

在此背景下，需要针对广电行业相关的融合媒体终端，如机顶盒、家庭网关等硬件和运行的服务，进行有效的安全扫描与分析，实现对终端及其应用的安全检测，为设备安全维护和升级提供可行性分析依据。

目前常见的X-Scan,Paros proxy,N-Stealth等安全扫描系统，一般都能运用各种扫描方式对终端的端口开放情况、提供服务情况以及对操作系统类型和版本号等进行探测，甚至可以对一些开放的端口进行密码猜测并尝试登录。但是现有的每种扫描系统都有不同的设计方案，但是没有专门针对融媒体终端进行安全扫描的专用扫描系统，因此现有的扫描系统缺乏较强的针对性，难以结合融媒体终端软硬件特点及网络特征进行更加深入、精确的分析，扫描的盲目性较大，准确性也较欠缺。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种融合媒体终端安全扫描系统和方法。

本发明的目的可以通过以下技术方案来实现：

一种融合媒体终端安全扫描系统，包括终端设备信息识别模块、应用程序安全检测模块、操作系统安全检测模块和设备安全配置检查模块：

所述终端设备信息识别模块用于获取融合媒体终端设备的硬件信息；

所述操作系统安全检测模块用于测试融合媒体终端运行的操作系统和定制化Linux，进行漏洞扫描；

所述应用程序安全检测模块用于对安装在融合媒体终端上的第三方应用进行漏洞检测；

所述设备安全配置检查模块用于检测融合媒体终端的安全配置项。

进一步地，所述操作系统安全检测模块漏洞扫描的步骤如下：

S1、根据融合媒体终端系统TCP/IP不同端口的服务，获取融合媒体终端给予的反馈信息；

S2、将反馈信息输入融合媒体漏洞数据库中进行匹配；

S3、若成功匹配则输出漏洞修复方案并反馈给用户。

进一步地，所述应用程序安全检测模块检测漏洞的步骤如下：

模拟黑客对第三方应用程序进行渗透攻击，若攻击成功则将对应的漏洞信息输出至开发人员处。

进一步地，所述应用程序安全检测模块使用了移动安全框架。

进一步地，该系统还包括统一安全管理模块，用于将其它模块的检测结果存储并可视化。

进一步地，所述终端设备信息识别模块对融合媒体终端设备硬件信息的采集方法包括指纹采集和扫描采集。

进一步地，所述安全配置项包括账号管理、口令管理、认证授权、日志配置、进程服务和外部端口。

进一步地，所述应用程序安全检测模块检测的漏洞包括弱口令、SQL注入、XSS跨站脚本、信息泄露、网络爬虫、目录遍历和逻辑漏洞。

一种融合媒体终端安全扫描方法，包括以下步骤：

终端设备信息识别步骤：获取融合媒体终端设备的硬件信息；

操作系统安全检测步骤：测试融合媒体终端运行的操作系统和定制化Linux，进行漏洞扫描；

应用程序安全检测步骤：对安装在融合媒体终端上的第三方应用进行漏洞检测；

设备安全配置检查步骤：检测融合媒体终端的安全配置项。

与现有技术相比，本发明具有以下优点：

1、本发明对融合媒体终端硬件和软件部分均进行了检测，根据融合媒体终端的软硬件特点对漏洞进行了扫描，针对性地对弱口令、SQL注入等融合媒体终端可能出现的问题进行了检测，并对融合媒体终端的安全配置项逐一进行了检测，相比现有技术中大范围全方面的扫描，本发明检测效率高，在融合媒体终端检测的应用上更具有实用性。

2、本发明在漏洞检测时通过模拟黑客进行渗透攻击的方式对漏洞进行了排查，这种方式可以直观地体现出融合媒体终端可能出现的问题，进一步地提高了检测的效率。

附图说明

图1为本发明的系统示意图。

图2为本发明操作系统安全检测模块对漏洞检测的流程图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

由于融媒体智能终端(Android、TVOS设备)软件架构按照功能层次从上到下分为五层：应用框架层、执行环境层、功能组件层、硬件抽象层和Linux内核层。本实施例根据该架构，提供了一种融合媒体终端安全扫描系统，如图1所示，包括终端设备信息识别模块、应用程序安全检测模块、操作系统安全检测模块和设备安全配置检查模块，其中：

终端设备信息识别模块用于获取融合媒体终端设备的硬件信息。

操作系统安全检测模块用于测试融合媒体终端运行的操作系统和定制化Linux，进行漏洞扫描。

应用程序安全检测模块用于对安装在融合媒体终端上的第三方应用进行漏洞检测。

设备安全配置检查模块用于检测融合媒体终端的安全配置项。

在本实施例中，终端正确识别是后续一系列安全扫描能有效执行的首要条件，终端设备信息识别模块对终端设备的硬件信息进行识别和收集，实现终端设备的快速扫描与检测，实时地监控设备信息。通过扫描全网的设备信息，形成设备信息库。终端硬件识别的方法主要包括被动指纹采集和主动扫描两大类。被动指纹采集通过网络设备采集终端报文的特征指纹，然后通过匹配系统自带的指纹库进行终端类型识别。主动扫描技术通过主动探测或扫描终端，根据终端设备的反馈信息进行终端类型识别。

在本实施例中，操作系统安全检测模块用于对操作系统以及功能组件、Web服务等漏洞进行综合评估，在黑客发现系统漏洞前及时发现系统漏洞并进行修复，预防黑客攻击事件的发生。其中漏洞扫描的步骤如图2所示，具体如下：

步骤S1、根据融合媒体终端系统TCP/IP不同端口的服务，获取融合媒体终端给予的反馈信息。

步骤S2、将反馈信息输入融合媒体漏洞数据库中进行匹配，其中漏洞数据库包含了融合媒体终端操作系统的各种漏洞信息，以及如何检测漏洞的指令。

步骤S3、若成功匹配则输出漏洞修复方案并反馈给用户。

在本实施例中，应用程序安全检测模块对弱口令、SQL注入、XSS跨站脚本、信息泄露、网络爬虫、目录遍历、逻辑漏洞等常规漏洞进行安全检测，并模拟黑客行为对第三方应用程序进行渗透攻击。通过模拟黑客行为来寻找应用程序中的安全漏洞，如果攻击成功就可以确定应用程序可能被利用的弱点，发现应用程序缺陷，以便开发人员及时进行必要的修复，防止真正攻击的发生。且该模块使用了移动安全框架(MobSF)，可高效、快速地对应用文件及压缩的源代码进行审计分析。

在本实施例中，设备安全配置检查模块可发现终端设备系统参数以及权限配置上存在的问题项，以此为设备安全加固提供指导意见。安全配置项主要包括设备的账号管理、口令管理、认证授权、日志配置、进程服务、外部端口等几个方面，覆盖了与安全问题相关的各个层面。

在本实施例中，还包括统一安全管理模块，用于将其它模块的检测结果存储并可视化，包括设备识别、扫描任务、设备特征库的管理等，通过报表等形式进行展示，具备良好的用户交互性。任务进度通过前后端实时通讯协议进行实时同步。

该融合媒体安全扫描系统可检测Android、TVOS、Linux系统的安全漏洞，补丁更新情况，结合最新漏洞数据，能及时发现系统安全风险，保证终端设备、应用和数据的安全。采取了基于网络服务端的架构，极大减轻了融合媒体终端的负载，可接入现有网络结构中，也可单独部署，不会对现有网络架构和系统产生影响，只需要对目标设备和系统“网络可达”即可进行安全检测。

本实施例还提供了一种融合媒体终端安全扫描方法，包括以下步骤：

终端设备信息识别步骤：获取融合媒体终端设备的硬件信息；

操作系统安全检测步骤：测试融合媒体终端运行的操作系统和定制化Linux，进行漏洞扫描；

应用程序安全检测步骤：对安装在融合媒体终端上的第三方应用进行漏洞检测；

设备安全配置检查步骤：检测融合媒体终端的安全配置项。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。