CN104660588A - 一种交互式脆弱性评估方法、装置及系统 - Google Patents
一种交互式脆弱性评估方法、装置及系统 Download PDFInfo
- Publication number
- CN104660588A CN104660588A CN201510023140.5A CN201510023140A CN104660588A CN 104660588 A CN104660588 A CN 104660588A CN 201510023140 A CN201510023140 A CN 201510023140A CN 104660588 A CN104660588 A CN 104660588A
- Authority
- CN
- China
- Prior art keywords
- assessment
- vulnerability
- fragile
- assessed value
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种交互式脆弱性评估方法、装置及系统,涉及脆弱性评估领域,其允许用户对失真的脆弱评估进行调整,使脆弱性评估结果更加准确。方法包括:对接入的用户主机进行漏洞扫描;获得脆弱评估值,并将脆弱评估值展示给用户;将评估调整参数传输到脆弱性评估服务器,以便于脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。系统包括:网络服务器和脆弱性评估服务器,其中,网络服务器对接入的用户主机进行漏洞扫描;脆弱性评估服务器对网络服务器扫描的结果进行脆弱性评估,得到脆弱评估值;网络服务器将脆弱评估值展示给用户;网络服务器将评估调整参数传输到脆弱性评估服务器;脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。
Description
技术领域
本发明涉及脆弱性评估领域,特别是指一种交互式脆弱性评估方法、装置及系统。
背景技术
在脆弱性评估的过程中,一般利用基于网络的漏洞扫描器对接入网络的用户主机进行扫描,根据漏洞所包含的特征对扫描结果进行脆弱性评估并将评估结果反馈给用户,这种情况下的脆弱性评估结果通常并未考虑用户环境对脆弱性评估的影响,造成脆弱性评估失真。
发明内容
本发明要解决的技术问题是提供一种交互式脆弱性评估方法、装置及系统,其允许用户对失真的脆弱评估进行调整,使脆弱性评估结果更加准确。
为解决上述技术问题,本发明的实施例提供一种交互式脆弱性评估方法,包括:
对接入的用户主机进行漏洞扫描;
获得脆弱评估值,并将脆弱评估值展示给用户;
将评估调整参数传输到脆弱性评估服务器,以便于脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。
一种交互式脆弱性评估方法,包括:
将网络服务器对接入的用户主机进行漏洞扫描的结果进行脆弱性评估,得到脆弱评估值;
将所述脆弱评估值传输到所述网络服务器,以便于展示给用户;
接收网络服务器发送的评估调整参数;
根据所述评估调整参数对所述脆弱评估值进行调整。
所述脆弱评估值从攻击方式、攻击复杂度、鉴权认证、机密性影响、一致性影响、可用性影响六个方面描述漏洞特征。
所述对所述脆弱评估值进行调整为从附带的损失、系统感染比例、机密性调整、一致性调整、可用性调整五个方面对脆弱性进行评估调整。
一种网络服务器,包括:漏洞扫描模块、用户交互模块和结果展示模块,其中,
漏洞扫描模块用于对接入的用户主机进行漏洞扫描;
结果展示模块用于将脆弱评估值展示给用户;
用户交互模块用于将评估调整参数传输到脆弱性评估服务器,以便于脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。
一种脆弱性评估服务器,包括:标准评估模块和用户交互评估调整模块,其中,
标准评估模块用于将网络服务器对接入的用户主机进行漏洞扫描的结果进行脆弱性评估,得到脆弱评估值;
用户交互评估调整模块用于将所述脆弱评估值传输到所述网络服务器,以便于展示给用户;还用于接收网络服务器发送的评估调整参数;并根据所述评估调整参数对所述脆弱评估值进行调整。
所述标准评估模块从攻击方式、攻击复杂度、鉴权认证、机密性影响、一致性影响、可用性影响六个方面描述漏洞特征。
所述用户交互评估调整模块允许用户从附带的损失、系统感染比例、机密性调整、一致性调整、可用性调整五个方面对脆弱性进行评估调整。
一种交互式脆弱性评估系统,包括:网络服务器和脆弱性评估服务器,其中,
网络服务器对接入的用户主机进行漏洞扫描;
脆弱性评估服务器对网络服务器扫描的结果进行脆弱性评估,得到脆弱评估值;
网络服务器将脆弱评估值展示给用户;
网络服务器将评估调整参数传输到脆弱性评估服务器;
脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。
所述网络服务器包括:漏洞扫描模块、用户交互模块和结果展示模块,所述脆弱性评估服务器包括:标准评估模块和用户交互评估调整模块,其中,
所述漏洞扫描模块对接入的用户主机进行漏洞扫描;
所述标准评估模块对所述漏洞扫描模块扫描的结果进行脆弱性评估,得到脆弱评估值;
所述结果展示模块将脆弱评估值展示给用户;
所述用户交互模块将评估调整参数传输到所述用户交互评估调整模块;
所述用户交互评估调整模块根据评估调整参数对所述脆弱评估值进行调整。
本发明的上述技术方案的有益效果如下:
上述方案中,基于互联网且具有客户/服务器架构,客户端的用户可以执行漏洞扫描,还可以对脆弱性评估参数进行赋值;其中,网络服务器完成漏洞的扫描和漏洞特征的提取,负责用户参数的传送,并将脆弱性评估结果向用户展示;脆弱性评估服务器处理漏洞特征,对脆弱性进行初步赋值;并利用初步赋值数据和用户参数计算最终脆弱评估值,这种方法和系统允许用户对失真的脆弱评估进行调整,使脆弱评估结果更加准确。
附图说明
图1为本发明实施例中交互式脆弱性评估系统结构示意图;
图2为本发明实施例中基于网络服务器侧的互式脆弱性评估方法流程示意图;
图3为本发明实施例中基于脆弱性评估服务器侧的交互式脆弱性评估方法流程图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的脆弱性评估结果通常并未考虑用户环境对脆弱性评估的影响,造成脆弱性评估失真的问题,提供一种交互式脆弱性评估方法、装置及系统,其允许用户对失真的脆弱评估进行调整,使脆弱评估结果更加准确。
本发明涉及一种交互式脆弱性评估方法,如图1所示,该脆弱评估方法基于互联网且具有客户/服务器架构;基于互联网,客户端的用户可以执行漏洞扫描,还可以对脆弱性评估参数进行赋值;其中,网络(Web)服务器1中的漏洞扫描模块11可以完成漏洞的扫描和漏洞特征的提取;用户交互模块12负责用户参数的传送;结果展示模块13负责脆弱性评估结果的展示;脆弱性评估服务器2中的标准评估模块21负责处理漏洞特征,对脆弱性进行初步赋值;用户交互评估调整模块22负责利用初步赋值数据和用户参数计算最终脆弱值;数据库3负责存储计算结果和各种参数。
该脆弱性评估方法在互联网中的物理设备包括计算机、网络(Web)服务器1、脆弱性评估服务器、网络及通信设备,该脆弱性评估方法是在上述物理层的支撑下运行。
具体地,如图2所示,本发明的实施例提供一种基于网络服务器侧的互式脆弱性评估方法,该方法包括:
步骤101、对接入的用户主机进行漏洞扫描;
步骤102、获得脆弱评估值,并将脆弱评估值展示给用户;
步骤103、将评估调整参数传输到脆弱性评估服务器,以便于脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。
如图3所示,本发明的实施例提供一种基于脆弱性评估服务器侧的交互式脆弱性评估方法,该包括:
步骤201、将网络服务器对接入的用户主机进行漏洞扫描的结果进行脆弱性评估,得到脆弱评估值;
步骤202、将所述脆弱评估值传输到所述网络服务器,以便于展示给用户;
步骤203、接收网络服务器发送的评估调整参数;
步骤204、根据所述评估调整参数对所述脆弱评估值进行调整。
需要说明的是,所述脆弱评估值从攻击方式、攻击复杂度、鉴权认证、机密性影响、一致性影响、可用性影响六个方面描述漏洞特征;所述脆弱评估值从攻击方式、攻击复杂度、鉴权认证、机密性影响、一致性影响、可用性影响六个方面描述漏洞特征。
如图1所示,本发明实施例还提供一种网络服务器1,包括:漏洞扫描模块11、用户交互模块12和结果展示模块13,其中,
漏洞扫描模块11用于对接入的用户主机进行漏洞扫描;结果展示模块13用于将脆弱评估值展示给用户;用户交互模块12用于将评估调整参数传输到脆弱性评估服务器,以便于脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。
如图1所示,本发明实施例还提供一种脆弱性评估服务器,包括:标准评估模块21和用户交互评估调整模块22,其中,
标准评估模块21用于将网络服务器对接入的用户主机进行漏洞扫描的结果进行脆弱性评估,得到脆弱评估值;用户交互评估调整模块22用于将所述脆弱评估值传输到所述网络服务器,以便于展示给用户;还用于接收网络服务器发送的评估调整参数;并根据所述评估调整参数对所述脆弱评估值进行调整。
需要说明的是,所述标准评估模块21从攻击方式、攻击复杂度、鉴权认证、机密性影响、一致性影响、可用性影响六个方面描述漏洞特征;所述用户交互评估调整模块22允许用户从附带的损失、系统感染比例、机密性调整、一致性调整、可用性调整五个方面对脆弱性进行评估调整。
如图1所示,本发明实施例还提供一种交互式脆弱性评估系统,包括:网络服务器1和脆弱性评估服务器2,其中,
网络服务器1对接入的用户主机进行漏洞扫描;脆弱性评估服务器2对网络服务器1扫描的结果进行脆弱性评估,得到脆弱评估值;网络服务器1将脆弱评估值展示给用户;网络服务器1将评估调整参数传输到脆弱性评估服务器2;脆弱性评估服务器2根据评估调整参数对所述脆弱评估值进行调整。
进一步地,所述网络服务器1包括:漏洞扫描模块11、用户交互模块12和结果展示模块13,所述脆弱性评估服务器包括:标准评估模块21和用户交互评估调整模块22,其中,
所述漏洞扫描模块11对接入的用户主机进行漏洞扫描;所述标准评估模块21对所述漏洞扫描模块11扫描的结果进行脆弱性评估,得到脆弱评估值;所述结果展示模块13将脆弱评估值展示给用户;所述用户交互模块12将评估调整参数传输到所述用户交互评估调整模块22;所述用户交互评估调整模块22根据评估调整参数对所述脆弱评估值进行调整。
具体地,在本发明实施例中,该交互式脆弱性评估方法归纳为以下几个步骤:
(1)、将扫描结果转化为初次脆弱性评估值:脆弱性评估方法服务器2端的标准评估模块21对漏洞扫描模块11的扫描结果进行脆弱性评估;
(2)、将扫描结果呈现给用户:网络服务器1端的结果展示模块13将标准评估模块21的评估结果展示给用户;
(3)、反馈用户数据:网络服务器1端的用户交互模块12将评估调整参数传输给用户交互评估调整模块22;
(4)、对脆弱评估值进行调整:该脆弱性评估方法服务器2端的用户交互评估调整模块22利用用户交互模块12传输的评估调整参数对脆弱评估值进行调整。
该脆弱性评估方法服务器2端的标准评估模块21从攻击方式、攻击复杂度、鉴权认证、机密性影响、一致性影响、可用性影响六个方面描述漏洞特征。
该脆弱性评估方法服务器2端的用户交互评估调整模块22允许用户从附带的损失、系统感染比例、机密性调整、一致性调整、可用性调整五个方面对脆弱性进行评估调整。
上述决策支持方法具体如下:
步骤1,将扫描结果转化为初次脆弱性评估值:
根据扫描结果的漏洞特征从六个方面进行量化赋值。
赋值完毕后,按照以下步骤计算脆弱性初值:
首先,计算影响评分:
10.41×(1-(1-机密性影响)×(1-一致性影响)×(1-可用性影响));
其次,计算被利用的可能性:
20×攻击方式×攻击复杂度×鉴权认证;
最后,计算脆弱性初值:
round_to_1_decimal(((0.6×影响得分)+(0.4*被利用可能性)-1.5)×f(影响评分));
公式说明:round_to_1_decimal表示取小数点后一位;
当影响评分为0时,f(影响评分)取0,其他情况f(影响评分)取1.176;
步骤2,将初始脆弱性评估值,反馈给用户,用户根据实际情况进行参数调整,调整参数如下:
调整参数 | 状态描述 | 取值 |
附带的损失 | 无 | 0 |
低 | 0.1 | |
中低 | 0.3 | |
中高 | 0.4 | |
高 | 0.5 | |
未定义 | 0 | |
系统感染比例 | 未感染 | 0 |
低 | 0.25 | |
中 | 0.75 | |
高 | 1.00 | |
未定义 | 1.00 | |
机密性调整 | 用户认为机密性损失不严重 | 0.5 |
用户认为机密性损失比较严重 | 1.0 | |
用户认为机密性损失非常严重 | 1.51 | |
未定义 | 1.0 | |
一致性调整 | 用户认为一致性损失不严重 | 0.5 |
用户认为一致性损失比较严重 | 1.0 | |
用户认为机密性损失非常严重 | 1.51 | |
未定义 | 1.0 | |
可用性调整 | 用户认为可用性损失不严重 | 0.5 |
用户认为一致性损失比较严重 | 1.0 | |
用户认为机密性损失非常严重 | 1.51 |
未定义 | 1.0 |
步骤3,用户交互风险调整模块依据用户参数重新计算脆弱性值:
首先,计算调整后的影响:
min(10,10.41×(1-(1-机密性影响×机密性调整)×(1-一致性影响×一致性调整)×(1-可用性影响×可用性调整)));
其次,计算被利用的可能性:
20×攻击方式×攻击复杂度×鉴权认证;
最后,计算调整后的脆弱评估值:
(((0.6×调整后的影响)+(0.4×被利用的可能性)-1.5)×f+(10-((0.6×调整后的影响)+(0.4×被利用的可能性)-1.5)×f))×附带的损失)×系统感染比例。
在本发明的技术方案中,基于互联网且具有客户/服务器架构,客户端的用户可以执行漏洞扫描,还可以对脆弱性评估参数进行赋值;其中,网络服务器完成漏洞的扫描和漏洞特征的提取,负责用户参数的传送,并将脆弱性评估结果向用户展示;脆弱性评估服务器处理漏洞特征,对脆弱性进行初步赋值;并利用初步赋值数据和用户参数计算最终脆弱评估值,这种方法和系统允许用户对失真的脆弱评估进行调整,使脆弱评估结果更加准确。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种交互式脆弱性评估方法,其特征在于,包括:
对接入的用户主机进行漏洞扫描;
获得脆弱评估值,并将脆弱评估值展示给用户;
将评估调整参数传输到脆弱性评估服务器,以便于脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。
2.一种交互式脆弱性评估方法,其特征在于,包括:
将网络服务器对接入的用户主机进行漏洞扫描的结果进行脆弱性评估,得到脆弱评估值;
将所述脆弱评估值传输到所述网络服务器,以便于展示给用户;
接收网络服务器发送的评估调整参数;
根据所述评估调整参数对所述脆弱评估值进行调整。
3.根据权利要求2所述方法,其特征在于,
所述脆弱评估值从攻击方式、攻击复杂度、鉴权认证、机密性影响、一致性影响、可用性影响六个方面描述漏洞特征。
4.根据权利要求2所述方法,其特征在于,
所述对所述脆弱评估值进行调整为从附带的损失、系统感染比例、机密性调整、一致性调整、可用性调整五个方面对脆弱性进行评估调整。
5.一种网络服务器,其特征在于,包括:漏洞扫描模块、用户交互模块和结果展示模块,其中,
漏洞扫描模块用于对接入的用户主机进行漏洞扫描;
结果展示模块用于将脆弱评估值展示给用户;
用户交互模块用于将评估调整参数传输到脆弱性评估服务器,以便于脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。
6.一种脆弱性评估服务器,其特征在于,包括:标准评估模块和用户交互评估调整模块,其中,
标准评估模块用于将网络服务器对接入的用户主机进行漏洞扫描的结果进行脆弱性评估,得到脆弱评估值;
用户交互评估调整模块用于将所述脆弱评估值传输到所述网络服务器,以便于展示给用户;还用于接收网络服务器发送的评估调整参数;并根据所述评估调整参数对所述脆弱评估值进行调整。
7.根据权利要求6所述的脆弱性评估服务器,其特征在于,
所述标准评估模块从攻击方式、攻击复杂度、鉴权认证、机密性影响、一致性影响、可用性影响六个方面描述漏洞特征。
8.根据权利要求2所述的脆弱性评估服务器,其特征在于,
所述用户交互评估调整模块允许用户从附带的损失、系统感染比例、机密性调整、一致性调整、可用性调整五个方面对脆弱性进行评估调整。
9.一种交互式脆弱性评估系统,其特征在于,包括:网络服务器和脆弱性评估服务器,其中,
网络服务器对接入的用户主机进行漏洞扫描;
脆弱性评估服务器对网络服务器扫描的结果进行脆弱性评估,得到脆弱评估值;
网络服务器将脆弱评估值展示给用户;
网络服务器将评估调整参数传输到脆弱性评估服务器;
脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。
10.根据权利要求9所述的系统,其特征在于,所述网络服务器包括:漏洞扫描模块、用户交互模块和结果展示模块,所述脆弱性评估服务器包括:标准评估模块和用户交互评估调整模块,其中,
所述漏洞扫描模块对接入的用户主机进行漏洞扫描;
所述标准评估模块对所述漏洞扫描模块扫描的结果进行脆弱性评估,得到脆弱评估值;
所述结果展示模块将脆弱评估值展示给用户;
所述用户交互模块将评估调整参数传输到所述用户交互评估调整模块;
所述用户交互评估调整模块根据评估调整参数对所述脆弱评估值进行调整。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510023140.5A CN104660588A (zh) | 2015-01-16 | 2015-01-16 | 一种交互式脆弱性评估方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510023140.5A CN104660588A (zh) | 2015-01-16 | 2015-01-16 | 一种交互式脆弱性评估方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104660588A true CN104660588A (zh) | 2015-05-27 |
Family
ID=53251291
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510023140.5A Pending CN104660588A (zh) | 2015-01-16 | 2015-01-16 | 一种交互式脆弱性评估方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104660588A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110808947A (zh) * | 2019-05-23 | 2020-02-18 | 南瑞集团有限公司 | 一种自动化的脆弱性量化评估方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101964730A (zh) * | 2010-01-28 | 2011-02-02 | 北京邮电大学 | 一种网络脆弱性评估方法 |
US8819442B1 (en) * | 2009-06-08 | 2014-08-26 | Bank Of America Corporation | Assessing risk associated with a computer technology |
-
2015
- 2015-01-16 CN CN201510023140.5A patent/CN104660588A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8819442B1 (en) * | 2009-06-08 | 2014-08-26 | Bank Of America Corporation | Assessing risk associated with a computer technology |
CN101964730A (zh) * | 2010-01-28 | 2011-02-02 | 北京邮电大学 | 一种网络脆弱性评估方法 |
Non-Patent Citations (2)
Title |
---|
王如义: "《基于关联分析的漏洞检测和安全评估技术研究》", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
王秋艳: "《通用安全漏洞评级研究》", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110808947A (zh) * | 2019-05-23 | 2020-02-18 | 南瑞集团有限公司 | 一种自动化的脆弱性量化评估方法及系统 |
CN110808947B (zh) * | 2019-05-23 | 2022-03-04 | 南瑞集团有限公司 | 一种自动化的脆弱性量化评估方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6293889B2 (ja) | ユーザリソース情報を関連付けるための方法、端末装置、及びシステム | |
CN103246863A (zh) | 一种基于识别码的互动防伪识别系统及识别方法 | |
CN103795545A (zh) | 一种安全通信的方法和系统 | |
CN101931533A (zh) | 认证方法、装置和系统 | |
CN101217512B (zh) | 客户端状态维护方法、系统及应用服务器 | |
CN104092653B (zh) | 一种数据处理的方法和系统 | |
CN106886914A (zh) | 一种积分转化为数字资产的存储方法、系统及装置 | |
CN106656700A (zh) | 一种LoRaWAN物联网应用接入方法 | |
WO2022170967A1 (zh) | 一种数据处理方法、装置、计算机设备及计算机存储介质 | |
CN112464283A (zh) | 一种基于区块链的数据储存系统 | |
CN104660588A (zh) | 一种交互式脆弱性评估方法、装置及系统 | |
CN105338016A (zh) | 数据高速缓存方法和装置以及资源请求响应方法和装置 | |
CN106203435A (zh) | 图文识别方法及其装置 | |
CN107122992A (zh) | 一种在网络平台上产生抽奖活动的方法 | |
CN104618805B (zh) | 一种视频点播方法和设备 | |
CN105426773A (zh) | 云合同生成系统及方法 | |
CN105099885B (zh) | 信息发送方法及装置 | |
CN102375887A (zh) | 一种tif格式文件的转换方法及装置 | |
CN115048430B (zh) | 数据核验方法、系统、装置及存储介质 | |
MX2021014344A (es) | Generacion de listados de subastas en linea. | |
CN104918245A (zh) | 一种身份认证方法、装置、服务器及客户端 | |
CN113839967B (zh) | 基于大数据技术的物联网设备欺诈防控系统 | |
CN104580178A (zh) | 一种Portal认证的方法和设备 | |
JP2016173623A (ja) | コンテンツ提供装置、コンテンツ提供方法及びコンテンツ提供プログラム | |
CN106850853A (zh) | 一种基于负载均衡的信息通道智能选择方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150527 |