CN104077531B - 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 - Google Patents
基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 Download PDFInfo
- Publication number
- CN104077531B CN104077531B CN201410247269.XA CN201410247269A CN104077531B CN 104077531 B CN104077531 B CN 104077531B CN 201410247269 A CN201410247269 A CN 201410247269A CN 104077531 B CN104077531 B CN 104077531B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- leak
- information
- equipment
- assessment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于开放漏洞评估语言的系统漏洞评估方法、装置和系统。其中基于开放漏洞评估语言的系统漏洞的评估方法包括:采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;根据所漏洞信息和版本更新信息按照开放漏洞评估语言的规则对操作系统的配置数据库进行更新;使用配置数据库对安装操作系统的待检设备进行漏洞扫描,并保存漏洞扫描结果。本发明的方案可以实时采集最新的漏洞信息和系统版本信息,保证了漏洞评估中所用知识库的实时性,可以及分析漏洞的危害,提高设备的安全性,并且利用OVAL固有的漏洞描述语言,实现了漏洞的描述、监测过程、漏洞评估的标准化、规范化。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种基于开放漏洞评估语言的系统漏洞评估方法、装置和系统。
背景技术
系统漏洞是指操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这些缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制运行于以上操作系统的设备,为用户带来信息安全隐患。
安卓系统(Android)是一个以Linux为基础的半开源操作系统,由于其开源、自由的特点应用越来越广泛,另一方面也成为众多恶意攻击目标。尽管Android本身自带权限管理、应用签名、沙箱等安全机制,然而这种以开发者为中心,靠用户完成的授权机制还存在着各种问题和漏洞,例如应用软件泄露个人隐私信息,第三方恶意软件等。
另外,在发现系统漏洞后,还需要一定的漏洞补丁修复时间,而对于安卓系统而言,由于一般通过开源、设备制造商和通讯运营商来为客户提供特定服务,如果漏洞需要通过下载谷歌补丁进行修复,可能需要更长的时间,因此,需要一种快速有效管理安全配置和增强整体系统安全性的漏洞评估方法。
图1是现有技术中安卓系统安全评估架构图,如图所示,个人计算机上安装有评估所用的客户端,待评估的安卓系统设备中安装有对应的应用软件,作为服务器端。评估人员在个人计算机上的客户端窗口输入各种评估命令,对待评估的安卓系统设备上安装的应用软件以及存储文件进行安全扫描检测。
个人计算机的客户端与安卓系统设备以下工作方式连接:USB方式、WIFI方式、端口地址修改方式。例如采用调试桥(Android Debug Bridge,简称Adb),监听SocketTCP5554等端口的方式让集成开发环境与模拟处理器通讯,进行相关调试。客户端中的知识库中存储目前比较流行的漏洞敏感字节,将扫描结果与知识库中的特殊字符进行匹配,如果出现类似匹配,则在终端窗口列出警告。扫描完毕之后,可查找相应的漏洞利用工具验证是否存在此漏洞,然后进行升级,补丁等。通过这种方式可对安卓设备进行病毒扫描、但是与普通病毒扫描软件不同是,这种解决方案可以方便安卓系统开发人员进行漏洞验证等操作。
然而现有技术知识库中的漏洞信息都是实时性差,更新周期长,而且漏洞的信息由知识库自行定义,比较混乱无法实现社区漏洞信息共享,造成漏洞评估的准确性不高,不能满足系统更新频繁、漏洞评估实时性要求高的要求。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于开放漏洞评估语言的系统漏洞评估装置和系统以及相应的基于开放漏洞评估语言的系统漏洞评估方法。
本发明一个进一步的目的是要使得利用开放式的漏洞知识库提高漏洞评估的实时性,可以及时对最新的漏洞进行评估。
本发明另一个进一步的目的是通过系统漏洞的描述规范化实现安全漏洞的信息的快速、及时、准确传送。
依据本发明的一个方面,提供了一种基于开放漏洞评估语言的系统漏洞评估方法。该评估方法包括:采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;根据所漏洞信息和版本更新信息按照开放漏洞评估语言的规则对操作系统的配置数据库进行更新;使用配置数据库对安装操作系统的待检设备进行漏洞扫描,并保存漏洞扫描结果。
可选地,采集漏洞知识库中更新的操作系统的漏洞信息和版本信息包括:监听漏洞知识库的更新组件;使用广播方式捕获更新组件中的漏洞信息和版本信息。
可选地,使用配置数据库对安装操作系统的待检设备进行漏洞扫描包括:对待检设备中安装的软件和/或存储文件与配置数据库中的漏洞特征进行匹配;在出现特征匹配的情况下,根据匹配出的漏洞特征确定待检设备安装的操作系统的漏洞或者错误配置。
可选地,在保存漏洞扫描结果之后还包括:按照漏洞扫描结果生成漏洞分析报告;向待检设备和/或漏洞验证客户端发送漏洞分析报告。
可选地,在保存漏洞扫描结果之后还包括:由漏洞验证客户端对漏洞分析报告的内容进行验证,验证的方式包括以下任意一种或多种:包括设备窗口扫描,结构化查询语言注入攻击测试、分布式拒绝服务攻击测试。
根据本发明的另一方面,提供了一种基于开放漏洞评估语言的系统漏洞评估装置。该系统漏洞评估装置包括:监听模块,用于采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;数据更新模块,用于根据漏洞信息和版本更新信息按照开放漏洞评估语言的规则对操作系统的配置数据库进行更新;扫描模块,用于使用配置数据库对安装操作系统的待检设备进行漏洞扫描,并保存漏洞扫描结果。
可选地,监听模块还用于:监听漏洞知识库的更新组件;使用广播方式捕获更新组件中的漏洞信息和版本信息。
可选地,扫描模块还用于:对待检设备中安装的软件和/或存储文件与配置数据库中的漏洞特征进行匹配;在出现特征匹配的情况下,根据匹配出的漏洞特征确定待检设备安装的操作系统的漏洞或者错误配置。
可选地,上述评估装置还包括:报告生成模块,用于按照漏洞扫描结果生成漏洞分析报告,并向待检设备和/或漏洞验证客户端发送漏洞分析报告。
根据本发明的另一方面,还提供了一种基于开放漏洞评估语言的系统漏洞评估系统,该系统包括以上任一种基于开放漏洞评估语言的系统漏洞评估装置,用于对安装操作系统的待检设备进行漏洞扫描;漏洞验证客户端,用于接收漏洞评估装置的评估结果,并对漏洞评估装置的评估结果进行验证,验证的方式包括以下任意一种或多种:包括设备窗口扫描,结构化查询语言注入攻击测试、分布式拒绝服务攻击测试。
本发明的基于开放漏洞评估语言的系统漏洞评估方法由于可以实时采集最新的漏洞信息和系统版本信息,保证了漏洞评估中所用知识库的实时性,可以及分析漏洞的危害,提高设备的安全性,而且漏洞评估知识库基于开放漏洞评估语言(Open Vulnerabilityand Assessment Language,简称OVAL)的架构搭建,利用OVAL固有的漏洞描述语言,查看待测设备中漏洞补丁安装情况,从而实现了漏洞的描述、监测过程、漏洞评估的标准化、规范化,并且可以实现网络整体安全态势的评估。
进一步地,本发明的开放漏洞评估语言的系统漏洞评估方法还可以利用客户端查看评估结果,并扫描、检测、验证系统的漏洞,进一步保证操作系统的安全。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是是现有技术中安卓系统安全评估架构图;
图2是根据本发明一个实施例的基于开放漏洞评估语言的系统漏洞评估系统的架构图;
图3是根据本发明一个实施例的基于开放漏洞评估语言的系统漏洞评估装置的示意图;以及
图4是根据本发明一个实施例的基于开放漏洞评估语言的系统漏洞评估方法的示意图。
具体实施方式
图2是根据本发明一个实施例的基于开放漏洞评估语言的系统漏洞评估系统的架构图。该操作系统漏洞评估系统一般性地可以包括:基于开放漏洞评估语言的系统漏洞评估装置100和漏洞验证客户端200,并对安装有被待评估操作系统的待检设备300进行漏洞分析。
基于开放漏洞评估语言的系统漏洞评估装置100中保存有提供最新的安全信息的开放的社区漏洞知识库,利用程序更新监听器检查漏洞知识库和内部版本数据库的更新组件,当有新的漏洞信息或者新版本时,捕获漏洞信息和版本信息,然后利用OVAL的语言规则对新发现的漏洞进行定义,并修改操作系统的。在进行设备评估时,基于开放漏洞评估语言的系统漏洞评估装置100实时扫描安装有操作系统的设备中已安装的软件和存储文件等,进行特征关键字匹配,确认操作系统是否有漏洞以及配置信息是否正确。
基于开放漏洞评估语言的系统漏洞评估装置100可以将评估结果保存在内部数据库中,通过执行网页服务的方式将评估结果发送到待评估设备中。
漏洞验证客户端200获取以上评估结果,用户可以通过终端窗口查看新的安全漏洞情况,并且可使用自带的验证漏洞工具验证,例如分布式拒绝服务(Distributed Denialof Service,简称DDOS)、结构化查询语言(Structured Query Language,简称SQL)注入等,最终生成数据漏洞评估报告。
其中,DDOS指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动拒绝服务攻击,从而成倍地提高拒绝服务攻击的威力。SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。用户利用漏洞验证客户端200对待检设备300进行验证,从而可以了解待检设备300的安全性,以便进行相应的安全处理。
图3是根据本发明一个实施例的基于开放漏洞评估语言的系统漏洞评估装置100的示意图,本实施例的基于开放漏洞评估语言的系统漏洞评估装置100一般性地可以包括:监听模块110、数据更新模块120、扫描模块130、报告生成模块140。以上模块可以根据本实施例的基于开放漏洞评估语言的系统漏洞评估装置100的具体实现功能灵活配置,在一些可选情况下,可以不必具备以上所有模块。
监听模块100用于采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;数据更新模块120用于根据漏洞信息和版本更新信息按照OVAL的规则对操作系统的配置数据库进行更新;扫描模块130用于使用配置数据库对安装操作系统的待检设备进行漏洞扫描,并保存漏洞扫描结果。
本实施例中漏洞扫描使用操作系统的配置数据库以OVAL的架构对漏洞和版本信息进行定义,从而保证了一致性。OVAL是一种用来定义检查项、脆弱点等技术细节的一种描述语言。OVAL使用标准的可扩展标记语言(eXtensible Markup Language,简称XML)格式组织其内容。它提供了足够的灵活性,可以用于分析各种嵌入式操作系统的系统状态、漏洞、配置、补丁等情况,而且还能用于描述测试报告。OVAL能够清晰地对与安全相关的检查点做出描述,并且这种描述是机器可读的,能够直接应用到自动化的安全扫描中。OVAL公开的,因此可以共享知识和经验,避免重复劳动。
OVAL包含如下几种XML格式(Schema):OVAL定义格式(OVAL Definition Schema)、OVAL系统特性格式(OVAL System Characteristics Schema)与OVAL结果格式(OVALResult Schema)。OVAL系统特性格式用于描述系统信息快照,该快照可用于和OVAL定义文件进行匹配以得出评估结果,OVAL结果格式用于描述评估结果。
在以上三种OVAL格式中,OVAL定义格式提供了一种机器可读的对系统进行安全评估的操作指南,它可用来描述系统的配置信息、分析系统的安全状态、报告评估结果等。典型的OVAL定义格式的XML文档由定义(Definition)、测试(Test)、对象(Object)、状态(State)和变量(Variable)等要素构成,将各个要素以枚举的方式列出。
OVAL文档中主要有四类定义,分别是漏洞(Vulnerability):描述如何根据系统状态判定系统中是否存在某个特定漏洞;补丁(Patch):与漏洞定义类似,但它更关注如何判定系统中是否安装了某个特定补丁;软件(Inventory):描述如何对系统中是否安装了某个特定的软件进行判定;合规(Compliance):描述如何对系统是否满足某个特定的配置要求进行判定。
在使用本实施例的基于开放漏洞评估语言的系统漏洞评估装置100进行安卓系统的评估时,监听模块110采集开源社区的有关安卓漏洞描述信息,数据更新模块120利用基于OVAL的漏洞评估框架,提供一种开放式的漏洞知识库,实现漏洞描述规范化、标准化。扫描模块130可以分析漏洞产生原因和危害等,来提高运行于安卓系统的电子设备的安全性。
以上漏洞知识库可以采用公共漏洞和暴露知识库(Common Vulnerabilities&Exposures,简称CVE),CVE只是一个漏洞描述的标准,是一个关于漏洞的列表,类似于漏洞的字典,为每个漏洞和暴露确定了唯一的名称并且给每个漏洞和暴露一个标准化的描述,帮助在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据。然而各种漏洞数据库中和漏洞评估工具并不统一,无法兼容。本实施例的基于开放漏洞评估语言的系统漏洞评估装置解决该兼容性问题。
监听模块110的一种可选流程为:监听漏洞知识库的更新组件;并使用广播方式捕获更新组件中的漏洞信息和版本信息。例如使用安卓广播方式捕获更新组件的信息。
更新组件可以通过对比时间戳来更新,如果本地的数据与漏洞知识库中数据的时间戳不一致,可以使用广播方式捕获有时间戳更新的中的漏洞信息和版本信息,并将更新下来的攻击或漏洞的与已有的攻击或漏洞进行关联分析以及演算,从而构建威胁安全目标的潜在攻击路径,作为扫描模块130的数据基础。
扫描模块130的一种可选流程为:对待检设备中安装的软件和/或存储文件与配置数据库中的漏洞特征进行匹配;在出现特征匹配的情况下,根据匹配出的漏洞特征确定待检设备安装的操作系统的漏洞或者错误配置。从而完成扫描工作。
报告生成模块按照漏洞扫描结果生成漏洞分析报告,并向待测设备300和漏洞验证客户端200发送漏洞分析报告。漏洞扫描结果可以通过web服务方式发送至待评估的系统设备中,以便该设备查看补丁安装情况以及自身漏洞情况,实现了系统安全评估。
本发明实施例还提供了一种基于开放漏洞评估语言的系统漏洞评估方法,该基于开放漏洞评估语言的系统漏洞评估方法可以由以上实施例介绍的任意一种基于开放漏洞评估语言的系统漏洞评估装置来执行,以提高运行于待评估设备的安全性。图4是根据本发明一个实施例的基于开放漏洞评估语言的系统漏洞评估方法的示意图,如图所示,该基于开放漏洞评估语言的系统漏洞评估方法包括以下步骤:
步骤S402,采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;
步骤S404,根据所漏洞信息和版本更新信息按照开放漏洞评估语言的规则对操作系统的配置数据库进行更新;
步骤S406,使用配置数据库对安装操作系统的待检设备进行漏洞扫描,并保存漏洞扫描结果。
在以上步骤中,步骤S402的一种可选流程为监听漏洞知识库的更新组件;并使用广播方式捕获更新组件中的漏洞信息和版本信息。例如可以通过对比时间戳来确定更新组件,如果本地的知识库的数据与漏洞知识库中数据的时间戳不一致,可以使用广播方式捕获有时间戳更新的中的漏洞信息和版本信息,并将更新下来的攻击或漏洞的与已有的攻击或漏洞进行关联分析以及演算,从而构建威胁安全目标的潜在攻击路径。漏洞知识库可以使用类似于CVE的公共开放的社区漏洞知识库。
步骤S406的一种可选流程为,对待检设备中安装的软件和/或存储文件与配置数据库中的漏洞特征进行匹配;在出现特征匹配的情况下,根据匹配出的漏洞特征确定待检设备安装的操作系统的漏洞或者错误配置。
在步骤S406之后还可以按照漏洞扫描结果生成漏洞分析报告;向漏洞验证客户端发送漏洞分析报告。漏洞验证客户端进一步对漏洞分析报告的内容进行验证,验证的方式包括以下任意一种或多种:包括设备窗口扫描、结构化查询语言注入攻击测试、分布式拒绝服务攻击测试。
以下是利用本实施例的基于开放漏洞评估语言的系统漏洞评估方法进行安卓系统评估的一种可选流程:
程序更新监听器检查漏洞知识库和内部版本数据库的更新组件,当有新的漏洞信息或者新版本时将进行更新准备,监听器可以使用安卓广播方式捕获;
当发现新的漏洞或系统版本更改时,利用OVAL的语言规则,对新发现的漏洞进行定义,并修改安卓设备配置信息。当新发现的信息是可取的或者当前系统的配置发生了变化,对安卓设备进行评估活动,即利用所有漏洞信息存档,实时扫描安卓设备中安装的应用、保存的文件等进行关键字匹配,发现系统是否有漏洞或者配置信息是否正确。
将评估结果保存在内部数据库中,通过执行WEB请求的方式将评估结果发送到作为服务器的安卓设备中。
最后可在个人计算机的客户端中,用户通过终端窗口查看新的安全漏洞情况,并且可使用自带的验证漏洞工具验证,例如验证DDOS攻击、SQL注入攻击等。从而保证安卓系统安全。
本实施例的基于开放漏洞评估语言的系统漏洞评估方法通过对公共漏洞数据库(例如CVE)的OVAL的描述,提供了一个开放式的漏洞知识库,以代替现有技术中的内部数据库中的漏洞知识库,并将所有更新信息保存在安卓设备中,当用户将安卓设备与计算机连接后,还可以利用计算机的客户端扫描、检测、验证安卓设备中的漏洞,也可根据OVAL固有的补丁描述语言,查看安卓设备中补丁安装情况,从而在安卓系统上实现了漏洞的描述、监测过程、漏洞评估标准化、规范化,以及实现网络整体安全态势的评估。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
Claims (10)
1.一种基于开放漏洞评估语言的系统漏洞评估方法,其特征在于包括:
采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;
根据所述漏洞信息和版本更新信息按照开放漏洞评估语言的规则对所述操作系统的配置数据库进行更新,并将更新下来的攻击或漏洞的与已有的攻击或漏洞进行关联分析以及演算,构建威胁安全目标的潜在攻击路径;
使用所述配置数据库对安装所述操作系统的待检设备进行漏洞扫描,并保存所述漏洞扫描结果;
按照所述漏洞扫描结果生成漏洞分析报告,向漏洞验证客户端发送所述漏洞分析报告;
由所述漏洞验证客户端对所述漏洞分析报告的内容进行验证。
2.根据权利要求1所述的方法,其特征在于,采集漏洞知识库中更新的操作系统的漏洞信息和版本信息包括:
监听所述漏洞知识库的更新组件;
使用广播方式捕获所述更新组件中的漏洞信息和版本信息。
3.根据权利要求1所述的方法,其特征在于,使用所述配置数据库对安装所述操作系统的待检设备进行漏洞扫描包括:
对所述待检设备中安装的软件和/或存储文件与所述配置数据库中的漏洞特征进行匹配;
在出现特征匹配的情况下,根据匹配出的漏洞特征确定所述待检设备安装的操作系统的漏洞或者错误配置。
4.根据权利要求1至3中任一项所述的方法,其特征在于,在按照所述漏洞扫描结果生成漏洞分析报告之后还包括:
向所述待检设备发送所述漏洞分析报告。
5.根据权利要求4所述的方法,其特征在于,
所述验证的方式包括以下任意一种或多种:包括设备窗口扫描、结构化查询语言注入攻击测试、分布式拒绝服务攻击测试。
6.一种基于开放漏洞评估语言的系统漏洞评估装置,其特征在于包括:
监听模块,用于采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;
数据更新模块,用于根据所述漏洞信息和版本更新信息按照开放漏洞评估语言的规则对所述操作系统的配置数据库进行更新,将更新下来的攻击或漏洞的与已有的攻击或漏洞进行关联分析以及演算,构建威胁安全目标的潜在攻击路径;
扫描模块,用于使用所述配置数据库对安装所述操作系统的待检设备进行漏洞扫描,并保存所述漏洞扫描结果;
报告生成模块,用于按照所述漏洞扫描结果生成漏洞分析报告,并向漏洞验证客户端发送所述漏洞分析报告,以供由所述漏洞验证客户端对所述漏洞分析报告的内容进行验证。
7.根据权利要求6所述的装置,其特征在于,所述监听模块还用于:
监听所述漏洞知识库的更新组件;
使用广播方式捕获所述更新组件中的漏洞信息和版本信息。
8.根据权利要求6所述的装置,其特征在于,所述扫描模块还用于:
对所述待检设备中安装的软件和/或存储文件与所述配置数据库中的漏洞特征进行匹配;
在出现特征匹配的情况下,根据匹配出的漏洞特征确定所述待检设备安装的操作系统的漏洞或者错误配置。
9.根据权利要求6至8中任一项所述的装置,其特征在于
所述报告生成模块,还用于向所述待检设备发送所述漏洞分析报告。
10.一种基于开放漏洞评估语言的系统漏洞评估系统,其特征在于包括:
根据权利要求6至9中任一项所述的基于开放漏洞评估语言的系统漏洞评估装置,用于对安装所述操作系统的待检设备进行漏洞扫描;
漏洞验证客户端,用于接收所述漏洞评估装置的评估结果,并对所述漏洞评估装置的评估结果进行验证,所述验证的方式包括以下任意一种或多种:包括设备窗口扫描、结构化查询语言注入攻击测试、分布式拒绝服务攻击测试。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410247269.XA CN104077531B (zh) | 2014-06-05 | 2014-06-05 | 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410247269.XA CN104077531B (zh) | 2014-06-05 | 2014-06-05 | 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104077531A CN104077531A (zh) | 2014-10-01 |
| CN104077531B true CN104077531B (zh) | 2017-11-07 |
Family
ID=51598781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410247269.XA Active CN104077531B (zh) | 2014-06-05 | 2014-06-05 | 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104077531B (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573525B (zh) * | 2014-12-19 | 2017-10-31 | 中国航天科工集团第二研究院七〇六所 | 一种基于白名单的专用信息服务软件漏洞修复系统 |
| CN104836855A (zh) * | 2015-04-30 | 2015-08-12 | 国网四川省电力公司电力科学研究院 | 一种基于多源数据融合的Web应用安全态势评估系统 |
| US9652618B1 (en) * | 2016-06-10 | 2017-05-16 | Optum, Inc. | Systems and apparatuses for architecture assessment and policy enforcement |
| CN106503564B (zh) * | 2016-10-26 | 2019-08-20 | 上海携程商务有限公司 | 软件漏洞的发现方法和系统 |
| GB2563618B (en) * | 2017-06-20 | 2020-09-16 | Arm Ip Ltd | Electronic system vulnerability assessment |
| CN107483410A (zh) * | 2017-07-21 | 2017-12-15 | 中国联合网络通信集团有限公司 | 网络安全管理方法及装置 |
| EP3665885B1 (en) | 2017-09-14 | 2022-05-04 | Siemens Aktiengesellschaft | System and method to check automation system project security vulnerabilities |
| CN109002720A (zh) * | 2018-07-05 | 2018-12-14 | 郑州云海信息技术有限公司 | 一种基于Oval的漏洞扫描修复系统及方法 |
| CN109325351B (zh) * | 2018-08-23 | 2021-04-09 | 中通服咨询设计研究院有限公司 | 一种基于众测平台的安全漏洞自动化验证系统 |
| CN109542498A (zh) * | 2018-11-27 | 2019-03-29 | 郑州云海信息技术有限公司 | 一种用于管理漏洞的方法和装置 |
| CN109871696A (zh) * | 2018-12-29 | 2019-06-11 | 重庆城市管理职业学院 | 一种漏洞信息的自动收集与漏洞扫描系统及方法、计算机 |
| CN110348218B (zh) * | 2019-06-06 | 2021-10-01 | 国家计算机网络与信息安全管理中心 | 一种基于车载终端系统的漏洞测试方法及装置 |
| CN110334523B (zh) * | 2019-07-18 | 2021-06-01 | 北京智游网安科技有限公司 | 一种漏洞检测方法、装置、智能终端及存储介质 |
| CN110572399B (zh) * | 2019-09-10 | 2022-05-20 | 阿波罗智联(北京)科技有限公司 | 漏洞检测处理方法、装置、设备及存储介质 |
| CN110990249B (zh) * | 2019-10-11 | 2023-11-14 | 平安科技(深圳)有限公司 | 代码扫描结果处理方法、装置、计算机设备及存储介质 |
| CN111859405A (zh) * | 2020-07-31 | 2020-10-30 | 深信服科技股份有限公司 | 一种威胁免疫框架、方法、设备及可读存储介质 |
| CN112182588B (zh) * | 2020-10-22 | 2024-02-06 | 中国人民解放军国防科技大学 | 基于威胁情报的操作系统漏洞分析检测方法及系统 |
| CN112749086A (zh) * | 2021-01-12 | 2021-05-04 | 国网重庆市电力公司营销服务中心 | 一种计量设备软件可靠性评估与分析的方法 |
| CN113328991A (zh) * | 2021-04-22 | 2021-08-31 | 慧谷人工智能研究院(南京)有限公司 | 一种网络安全测试系统 |
| CN113688398B (zh) * | 2021-08-24 | 2024-04-26 | 杭州迪普科技股份有限公司 | 漏洞扫描结果的评估方法、装置及系统 |
| CN114186236B (zh) * | 2022-02-17 | 2022-05-27 | 北京搜狐新媒体信息技术有限公司 | 一种安全漏洞的处理方法及装置 |
| CN115529160A (zh) * | 2022-08-22 | 2022-12-27 | 东北大学秦皇岛分校 | 一种高效安全的大规模isp网络漏洞评估方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1694454A (zh) * | 2005-05-10 | 2005-11-09 | 西安交通大学 | 主动式网络安全漏洞检测器 |
| CN102012990A (zh) * | 2010-12-16 | 2011-04-13 | 北京安天电子设备有限公司 | 第三方软件漏洞的修补方法和装置 |
| CN103745158A (zh) * | 2014-01-26 | 2014-04-23 | 北京奇虎科技有限公司 | 修复系统漏洞的方法和装置 |
-
2014
- 2014-06-05 CN CN201410247269.XA patent/CN104077531B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1694454A (zh) * | 2005-05-10 | 2005-11-09 | 西安交通大学 | 主动式网络安全漏洞检测器 |
| CN102012990A (zh) * | 2010-12-16 | 2011-04-13 | 北京安天电子设备有限公司 | 第三方软件漏洞的修补方法和装置 |
| CN103745158A (zh) * | 2014-01-26 | 2014-04-23 | 北京奇虎科技有限公司 | 修复系统漏洞的方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 基于OVAL的开放式漏洞评估系统设计与实现;王旭东;《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》;20090815;I139-136 * |
| 基于OVAL的漏洞实时监测系统;傅德胜;《四川大学学报(自然科学版)》;20131130;第50卷(第6期);第1211-1215页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104077531A (zh) | 2014-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104077531B (zh) | 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 | |
| CN107368417B (zh) | 一种漏洞挖掘技术测试模型的测试方法 | |
| Fonseca et al. | Testing and comparing web vulnerability scanning tools for SQL injection and XSS attacks | |
| US9160762B2 (en) | Verifying application security vulnerabilities | |
| CN111488578A (zh) | 现代应用程序的连续漏洞管理 | |
| Jiang et al. | Pdiff: Semantic-based patch presence testing for downstream kernels | |
| Shar et al. | Auditing the XSS defence features implemented in web application programs | |
| CN112182588B (zh) | 基于威胁情报的操作系统漏洞分析检测方法及系统 | |
| Musa Shuaibu et al. | Systematic review of web application security development model | |
| CN103996007A (zh) | Android应用权限泄露漏洞的测试方法及系统 | |
| CN104520871A (zh) | 漏洞矢量信息分析 | |
| CN105141647A (zh) | 一种检测Web应用的方法和系统 | |
| CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
| US20120131668A1 (en) | Policy-Driven Detection And Verification Of Methods Such As Sanitizers And Validators | |
| CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
| CN105354496A (zh) | Android平台自动生成的恶意程序的检测方法及系统 | |
| CN113315767A (zh) | 一种电力物联网设备安全检测系统及方法 | |
| Li et al. | Large-scale third-party library detection in android markets | |
| CN115168847A (zh) | 应用补丁生成方法、装置、计算机设备及可读存储介质 | |
| Homaei et al. | Athena: A framework to automatically generate security test oracle via extracting policies from source code and intended software behaviour | |
| CN111611590A (zh) | 涉及应用程序的数据安全的方法及装置 | |
| Autili et al. | Software engineering techniques for statically analyzing mobile apps: research trends, characteristics, and potential for industrial adoption | |
| CN115361203A (zh) | 一种基于分布式扫描引擎的脆弱性分析方法 | |
| US20210092144A1 (en) | Http log integration to web application testing | |
| Shi et al. | Backporting security patches of web applications: A prototype design and implementation on injection vulnerability patches |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |