CN107977225B - 一种安全漏洞的统一描述方法和描述系统 - Google Patents

一种安全漏洞的统一描述方法和描述系统 Download PDF

Info

Publication number
CN107977225B
CN107977225B CN201711277055.7A CN201711277055A CN107977225B CN 107977225 B CN107977225 B CN 107977225B CN 201711277055 A CN201711277055 A CN 201711277055A CN 107977225 B CN107977225 B CN 107977225B
Authority
CN
China
Prior art keywords
vulnerability
information
description
environment
application software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711277055.7A
Other languages
English (en)
Other versions
CN107977225A (zh
Inventor
邓君华
徐超
张昕
郑海雁
谢林枫
葛崇慧
蒋超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Jiangsu Fangtian Power Technology Co Ltd
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Jiangsu Fangtian Power Technology Co Ltd
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Jiangsu Electric Power Co Ltd, Jiangsu Fangtian Power Technology Co Ltd, Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201711277055.7A priority Critical patent/CN107977225B/zh
Publication of CN107977225A publication Critical patent/CN107977225A/zh
Application granted granted Critical
Publication of CN107977225B publication Critical patent/CN107977225B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/73Program documentation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Library & Information Science (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开一种安全漏洞的统一描述方法和描述系统,用于漏洞管理技术领域,描述方法包括:列出当前操作系统及应用软件可能存在的安全漏洞作为待描述安全漏洞;识别待描述漏洞的漏洞信息;获取对应不同漏洞扫描工具的测试相关信息;根据已获取的漏洞信息和测试相关信息生成Json格式的漏洞描述。本发明的漏洞描述方法实用性强,统一的漏洞存储与交互方式,让更多的信息安全系统进行数据交互更为便利,兼容性也更强,便于将漏洞描述应用到后续的统一监控平台的数据交换协同工作中。

Description

一种安全漏洞的统一描述方法和描述系统
技术领域
本发明涉及漏洞管理技术领域,特别是一种基于JSON的安全漏洞的统一描述方法和描述系统。
背景技术
电力系统中通常包括多个信息安全系统,多个信息安全系统中漏洞扫描库内容和对安全漏洞的描述方法、形式并不一致,因此,在与统一监控平台的数据交换与协同工作中带来了很多额外的工作量,浪费人力、物力,数据交互的通用实现方式亟待解决。
名词解释
JSON(JavaScript Object Notation),即JavaScript对象表示法,它是一种基于文本,独立于语言的轻量级数据交换格式,可以作为跨平台的数据交换格式,其在JS(JavaScript的简写)中作为对象处理时没有附加的任何标记,交换产生流量较少。
CVE(Common Vulnerabilities & Exposures),通用安全漏洞列表。其不是一个独立创建的安全漏洞源,而是一个字典,将各种安全漏洞源联系在一起,并基于安全漏洞的发现时间顺序列出。每个安全漏洞条目由漏洞标识符(唯一标识)、内容简述、参考库信息三部分组成。
IIS(Internet Information Service),互联网信息服务。
发明内容
本发明的目的是提供一种安全漏洞的统一描述方法和描述系统,可统一安全漏洞在各信息安全系统中的描述,方便统一监控平台的漏洞信息数据交换,减少多个信息安全系统与统一监控平台协同工作时的工作量。
本发明采取的技术方案为:一种安全漏洞的统一描述方法,包括:
S1,根据实际应用的操作系统和应用软件,列出相应操作系统和应用软件对应的已知可能存在的安全漏洞,作为待描述安全漏洞;
S2,从漏洞数据库中获取待描述安全漏洞的漏洞信息;
S3,获取对应不同漏洞扫描工具的漏洞测试相关信息;
S4,基于S2获取的漏洞信息和S3获取的对应不同漏洞扫描工具的漏洞测试相关信息,生成Json格式的安全漏洞描述,安全漏洞描述包括漏洞基本描述信息、漏洞环境描述信息、漏洞测试信息以及漏洞修补信息。
优选的,S2中,所述漏洞信息包括漏洞名称、cve编号、bugtraq编号、漏洞发布时间、漏洞产生原因、环境和配置信息、漏洞测试方法和测试代码。从漏洞数据库中获取待描述安全漏洞的漏洞信息为现有技术。
优选的,S3中,漏洞测试相关信息为:采用基于主机的漏洞扫描工具时,获取漏洞环境本地信息;采用基于网络的漏洞扫描工具时,获取远程测试信息;采用模拟攻击方式的漏洞扫描工具时,获取漏洞攻击软件的接口信息;采用特定格式脚本的漏洞扫描工具时,获取相应的脚本信息。上述各中漏洞扫描工具皆为现有技术,其相应漏洞测试相关信息的获取亦为现有技术。
优选的,S4中,所述漏洞基本描述信息包括:漏洞名称、漏洞ID、漏洞成因描述、漏洞成因分类、漏洞危害类型、漏洞威胁等级和漏洞发布信息。其中,漏洞危害类型描述的是漏洞被利用的方式,漏洞威胁等级描述的是对安全漏洞的危险性分类(按其对目标主机的危险程度分为A级、B级、C级等),漏洞发布信息包括:漏洞发布者、漏洞发布组织、漏洞发布日期、漏洞内容。
所述漏洞环境描述信息包括:受影响的操作系统环境、受影响的应用软件信息、不受影响的操作系统环境、不受影响的应用软件信息、操作系统和应用软件的组合信息。其中,受影响的操作系统环境描述的是受影响的操作系统的版本信息,受影响的应用软件信息描述的是受影响的应用软件的版本信息,不受影响的操作系统环境描述的是不受影响的操作系统的版本信息,不受影响的应用软件信息描述的是不受影响的应用软件的版本信息。
所述漏洞测试信息包括:环境本地测试信息、环境远程测试信息、应用软件本地测试信息、应用软件远程测试信息、特殊的测试信息。其中,环境本地测试信息包括:本地信息存储类型、信息类型以及对应的数据信息,环境远程测试信息描述的是环境远程测试方法,应用软件本地测试信息包括:本地信息存储类型、信息类型以及对应的数据信息,应用软件远程测试信息描述的是应用软件远程测试方法。
所述漏洞修补信息包括:配置修改描述、补丁安装描述。其中,配置修改描述包括:需要修改的配置信息,补丁安装描述包括:补丁包网址信息、下载网址、发布时间、发布组织、安装说明和功能描述。
本发明还公开一种安全漏洞的统一描述系统,包括:
待描述安全漏洞获取模块,根据实际应用的操作系统和应用软件,列出相应操作系统和应用软件对应的已知可能存在的安全漏洞,作为待描述安全漏洞;
漏洞信息识别模块,从漏洞数据库中获取待描述安全漏洞的漏洞信息;
漏洞测试相关信息获取模块,获取对应不同漏洞扫描工具的漏洞测试相关信息;
以及Josn格式漏洞描述生成模块,基于已获取的漏洞信息和对应不同漏洞扫描工具的漏洞测试相关信息,生成Json格式的安全漏洞描述,安全漏洞描述包括漏洞基本描述信息、漏洞环境描述信息、漏洞测试信息以及漏洞修补信息。
漏洞信息识别模块获取的漏洞信息包括漏洞名称、cve编号、bugtraq编号、漏洞发布时间、漏洞产生原因、环境和配置信息、漏洞测试方法和测试代码。
漏洞测试相关信息获取模块获取的漏洞测试相关信息为:采用基于主机的漏洞扫描工具时,获取漏洞环境本地信息;采用基于网络的漏洞扫描工具时,获取远程测试信息;采用模拟攻击方式的漏洞扫描工具时,获取漏洞攻击软件的接口信息;采用特定格式脚本的漏洞扫描工具时,获取相应的脚本信息。
Json格式的安全漏洞描述中,漏洞基本描述信息包括:漏洞名称、漏洞ID、漏洞成因描述、漏洞成因分类、漏洞危害类型、漏洞威胁等级和漏洞发布信息;
漏洞环境描述信息包括:受影响的操作系统环境、受影响的应用软件信息、不受影响的操作系统环境、不受影响的应用软件信息、操作系统和应用软件的组合信息;
漏洞测试信息包括:环境本地测试信息、环境远程测试信息、应用软件本地测试信息、应用软件远程测试信息、特殊的测试信息;
漏洞修补信息包括:配置修改描述、补丁安装描述。
有益效果
本发明通过识别待描述漏洞的漏洞信息,根据不同的漏洞扫描工具,获取对应的测试相关信息,根据所述漏洞信息和测试相关信息生成Json格式的漏洞描述,使得电力系统中各信息安全系统的安全漏洞都可以使用统一的漏洞描述格式,本发明的漏洞描述方法实用性强,统一的漏洞存储与交互方式,让更多的信息安全系统进行数据交互更为便利,兼容性也更强,便于将安全漏洞描述应用到后续的统一监控平台的数据交换协同工作中,减少不必要的工作量,提高工作效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一示例性实施例示出的一种漏洞的描述方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例1
参考图1,本发明安全漏洞的统一描述方法,包括:
S1,根据实际应用的操作系统和应用软件,列出相应操作系统和应用软件对应的已知可能存在的安全漏洞,作为待描述安全漏洞;
S2,从漏洞数据库中获取待描述安全漏洞的漏洞信息;
S3,获取对应不同漏洞扫描工具的漏洞测试相关信息;
S4,基于S2获取的漏洞信息和S3获取的对应不同漏洞扫描工具的漏洞测试相关信息,生成Json格式的安全漏洞描述,安全漏洞描述包括漏洞基本描述信息、漏洞环境描述信息、漏洞测试信息以及漏洞修补信息。
S2中,所述漏洞信息包括漏洞名称、cve编号、bugtraq编号、漏洞发布时间、漏洞产生原因、环境和配置信息、漏洞测试方法和测试代码。从漏洞数据库中获取待描述安全漏洞的漏洞信息为现有技术。漏洞数据库为现有的漏洞数据库。
S3中,漏洞测试相关信息为:采用基于主机的漏洞扫描工具时,获取漏洞环境本地信息;采用基于网络的漏洞扫描工具时,获取远程测试信息;采用模拟攻击方式的漏洞扫描工具时,获取漏洞攻击软件的接口信息,接口信息通过访问数据库获取,包括目标对象的基本信息,如用户名、密码、IP等;采用特定格式脚本的漏洞扫描工具时,获取相应的脚本信息。上述各种漏洞扫描工具皆为现有技术,其相应漏洞测试相关信息的获取亦为现有技术。
S4中,安全漏洞描述中的漏洞基本描述信息包括:漏洞名称、漏洞ID、漏洞成因描述、漏洞成因分类、漏洞危害类型、漏洞威胁等级和漏洞发布信息。其中,漏洞危害类型描述的是漏洞被利用的方式,漏洞威胁等级描述的是对安全漏洞的危险性分类(按其对目标主机的危险程度分为A级、B级、C级等),漏洞发布信息包括:漏洞发布者、漏洞发布组织、漏洞发布日期、漏洞内容。
安全漏洞描述中的漏洞环境描述信息包括:受影响的操作系统环境、受影响的应用软件信息、不受影响的操作系统环境、不受影响的应用软件信息、操作系统和应用软件的组合信息。其中,受影响的操作系统环境描述的是受影响的操作系统的版本信息,受影响的应用软件信息描述的是受影响的应用软件的版本信息,不受影响的操作系统环境描述的是不受影响的操作系统的版本信息,不受影响的应用软件信息描述的是不受影响的应用软件的版本信息。
漏洞测试信息包括:环境本地测试信息、环境远程测试信息、应用软件本地测试信息、应用软件远程测试信息、特殊的测试信息。其中,环境本地测试信息包括:本地信息存储类型、信息类型以及对应的数据信息,环境远程测试信息描述的是环境远程测试方法,应用软件本地测试信息包括:本地信息存储类型、信息类型以及对应的数据信息,应用软件远程测试信息描述的是应用软件远程测试方法。
漏洞修补信息包括:配置修改描述、补丁安装描述。其中,配置修改描述包括:需要修改的配置信息,补丁安装描述包括:补丁包网址信息、下载网址、发布时间、发布组织、安装说明和功能描述。
本发明方法最终生成的Josn格式安全漏洞描述的一种具体实例如下:
{
PLUGIN_ID: “50188”,
VUL_ID: “50188”,
NAME: “远端HTTP服务器类型和版本信息泄漏”,//漏洞名称
CVE_ID: “CVE-1999-0633”,//CVE编号
NSFOCUS_I: “”,
BUGTRAQ_ID:“123”,// bugtraq编号
RISK _ID:“1”,//漏洞威胁等级
SOLUTION:“建议您采取以下措施以降低威胁:* 改变您的HTTP服务器的缺省banner”,//漏洞修补信息
DESCRIPTION:“本插件检测远端HTTP Server类型和版本。这可能使得攻击者了解远程系统类型以便进行下一步的攻击”// 漏洞测试信息
}
实施例2
一种安全漏洞的统一描述系统,包括:
待描述安全漏洞获取模块,根据实际应用的操作系统和应用软件,列出相应操作系统和应用软件对应的已知可能存在的安全漏洞,作为待描述安全漏洞;
漏洞信息识别模块,从漏洞数据库中获取待描述安全漏洞的漏洞信息;
漏洞测试相关信息获取模块,获取对应不同漏洞扫描工具的漏洞测试相关信息;
以及Josn格式漏洞描述生成模块,基于已获取的漏洞信息和对应不同漏洞扫描工具的漏洞测试相关信息,生成Json格式的安全漏洞描述,安全漏洞描述包括漏洞基本描述信息、漏洞环境描述信息、漏洞测试信息以及漏洞修补信息。
漏洞信息识别模块获取的漏洞信息包括漏洞名称、cve编号、bugtraq编号、漏洞发布时间、漏洞产生原因、环境和配置信息、漏洞测试方法和测试代码。
漏洞测试相关信息获取模块获取的漏洞测试相关信息为:采用基于主机的漏洞扫描工具时,获取漏洞环境本地信息;采用基于网络的漏洞扫描工具时,获取远程测试信息;采用模拟攻击方式的漏洞扫描工具时,获取漏洞攻击软件的接口信息;采用特定格式脚本的漏洞扫描工具时,获取相应的脚本信息。
Json格式的安全漏洞描述中,漏洞基本描述信息包括:漏洞名称、漏洞ID、漏洞成因描述、漏洞成因分类、漏洞危害类型、漏洞威胁等级和漏洞发布信息;
漏洞环境描述信息包括:受影响的操作系统环境、受影响的应用软件信息、不受影响的操作系统环境、不受影响的应用软件信息、操作系统和应用软件的组合信息;
漏洞测试信息包括:环境本地测试信息、环境远程测试信息、应用软件本地测试信息、应用软件远程测试信息、特殊的测试信息;
漏洞修补信息包括:配置修改描述、补丁安装描述。
本发明通过识别待描述漏洞的漏洞信息,根据不同的漏洞扫描工具,获取对应的测试相关信息,根据所述漏洞信息和测试相关信息生成Json格式的漏洞描述,使得电力系统中各信息安全系统的安全漏洞都可以使用统一的漏洞描述格式,本发明的漏洞描述方法实用性强,统一的漏洞存储与交互方式,让更多的信息安全系统进行数据交互更为便利,兼容性也更强,便于将安全漏洞描述应用到后续的统一监控平台的数据交换协同工作中,减少不必要的工作量,提高工作效率。
本领域普通技术人员可以理解为上述实施例所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
本领域普通技术人员还可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以在存储于一计算机可读取存储介质中,所述的存储介质,包括ROM/RAM、磁盘、光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种安全漏洞的统一描述方法,其特征是,包括:
S1,根据实际应用的操作系统和应用软件,列出相应操作系统和应用软件对应的已知可能存在的安全漏洞,作为待描述安全漏洞;
S2,从漏洞数据库中获取待描述安全漏洞的漏洞信息;
S3,获取对应不同漏洞扫描工具的漏洞测试相关信息;
S4,基于S2获取的漏洞信息和S3获取的对应不同漏洞扫描工具的漏洞测试相关信息,生成Json格式的安全漏洞描述,安全漏洞描述包括漏洞基本描述信息、漏洞环境描述信息、漏洞测试信息以及漏洞修补信息;
S3中,漏洞测试相关信息为:采用基于主机的漏洞扫描工具时,获取漏洞环境本地信息;采用基于网络的漏洞扫描工具时,获取远程测试信息;采用模拟攻击方式的漏洞扫描工具时,获取漏洞攻击软件的接口信息;采用特定格式脚本的漏洞扫描工具时,获取相应的脚本信息。
2.根据权利要求1所述的方法,其特征是,S2中,所述漏洞信息包括漏洞名称、cve编号、bugtraq编号、漏洞发布时间、漏洞产生原因、环境和配置信息、漏洞测试方法和测试代码。
3.根据权利要求1所述的方法,其特征是,S4中,所述漏洞基本描述信息包括:漏洞名称、漏洞ID、漏洞成因描述、漏洞成因分类、漏洞危害类型、漏洞威胁等级和漏洞发布信息;
漏洞环境描述信息包括:受影响的操作系统环境、受影响的应用软件信息、不受影响的操作系统环境、不受影响的应用软件信息、操作系统和应用软件的组合信息;
所述漏洞测试信息包括:环境本地测试信息、环境远程测试信息、应用软件本地测试信息、应用软件远程测试信息、特殊的测试信息;
所述漏洞修补信息包括:配置修改描述、补丁安装描述。
4.一种安全漏洞的统一描述系统,其特征是,包括:
待描述安全漏洞获取模块,根据实际应用的操作系统和应用软件,列出相应操作系统和应用软件对应的已知可能存在的安全漏洞,作为待描述安全漏洞;
漏洞信息识别模块,从漏洞数据库中获取待描述安全漏洞的漏洞信息;
漏洞测试相关信息获取模块,获取对应不同漏洞扫描工具的漏洞测试相关信息;
以及Josn格式漏洞描述生成模块,基于已获取的漏洞信息和对应不同漏洞扫描工具的漏洞测试相关信息,生成Json格式的安全漏洞描述,安全漏洞描述包括漏洞基本描述信息、漏洞环境描述信息、漏洞测试信息以及漏洞修补信息;
所述漏洞测试相关信息为:采用基于主机的漏洞扫描工具时,获取漏洞环境本地信息;采用基于网络的漏洞扫描工具时,获取远程测试信息;采用模拟攻击方式的漏洞扫描工具时,获取漏洞攻击软件的接口信息;采用特定格式脚本的漏洞扫描工具时,获取相应的脚本信息。
5.根据权利要求4所述的安全漏洞的统一描述系统,其特征是,漏洞信息识别模块获取的漏洞信息包括漏洞名称、cve编号、bugtraq编号、漏洞发布时间、漏洞产生原因、环境和配置信息、漏洞测试方法和测试代码。
6.根据权利要求4所述的安全漏洞的统一描述系统,其特征是,Json格式的安全漏洞描述中,漏洞基本描述信息包括:漏洞名称、漏洞ID、漏洞成因描述、漏洞成因分类、漏洞危害类型、漏洞威胁等级和漏洞发布信息;
漏洞环境描述信息包括:受影响的操作系统环境、受影响的应用软件信息、不受影响的操作系统环境、不受影响的应用软件信息、操作系统和应用软件的组合信息;
漏洞测试信息包括:环境本地测试信息、环境远程测试信息、应用软件本地测试信息、应用软件远程测试信息、特殊的测试信息;
漏洞修补信息包括:配置修改描述、补丁安装描述。
CN201711277055.7A 2017-12-06 2017-12-06 一种安全漏洞的统一描述方法和描述系统 Active CN107977225B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711277055.7A CN107977225B (zh) 2017-12-06 2017-12-06 一种安全漏洞的统一描述方法和描述系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711277055.7A CN107977225B (zh) 2017-12-06 2017-12-06 一种安全漏洞的统一描述方法和描述系统

Publications (2)

Publication Number Publication Date
CN107977225A CN107977225A (zh) 2018-05-01
CN107977225B true CN107977225B (zh) 2020-11-10

Family

ID=62009334

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711277055.7A Active CN107977225B (zh) 2017-12-06 2017-12-06 一种安全漏洞的统一描述方法和描述系统

Country Status (1)

Country Link
CN (1) CN107977225B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109960937B (zh) * 2019-04-02 2020-10-27 中国传媒大学 一种漏洞演练环境的构建方法及系统
CN112579476B (zh) * 2021-02-23 2021-05-18 北京北大软件工程股份有限公司 一种漏洞和软件对齐的方法、装置以及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103065095A (zh) * 2013-01-29 2013-04-24 四川大学 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器
CN104125197A (zh) * 2013-04-24 2014-10-29 阿里巴巴集团控股有限公司 一种安全基线系统及其实现安全检查的方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685290A (zh) * 2013-12-19 2014-03-26 南京理工大学连云港研究院 基于ghdb的漏洞扫描系统
JP6311885B2 (ja) * 2015-02-27 2018-04-18 京セラドキュメントソリューションズ株式会社 プログラム入替システム
CN106897625B (zh) * 2017-01-22 2019-08-06 北京理工大学 支持漏洞关联性挖掘的漏洞自动分类方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103065095A (zh) * 2013-01-29 2013-04-24 四川大学 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器
CN104125197A (zh) * 2013-04-24 2014-10-29 阿里巴巴集团控股有限公司 一种安全基线系统及其实现安全检查的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《WEB安全体系化保障与人才技能培养》;张志华等;《高科技与产业化》;20160618;第54-58页 *

Also Published As

Publication number Publication date
CN107977225A (zh) 2018-05-01

Similar Documents

Publication Publication Date Title
Costin et al. A {Large-scale} analysis of the security of embedded firmwares
US20190272227A1 (en) Software testing and verification
CN112131882A (zh) 一种多源异构网络安全知识图谱构建方法及装置
CN103632100B (zh) 一种网站漏洞检测方法及装置
US10546132B2 (en) String property labels for static analysis
US20180082061A1 (en) Scanning device, cloud management device, method and system for checking and killing malicious programs
CN109918285B (zh) 一种开源软件的安全识别方法及装置
US20130227640A1 (en) Method and apparatus for website scanning
CN105787364B (zh) 任务的自动化测试方法、装置及系统
ES2963709T3 (es) Sistema, método y medio legible por ordenador para identificar reglas faltantes del sistema de detección de seguridad organizativa
CN111104579A (zh) 一种公网资产的识别方法、装置及存储介质
CN109376534B (zh) 用于检测应用的方法和装置
CN103227786A (zh) 一种网站登录信息填入方法及装置
US11928605B2 (en) Techniques for cyber-attack event log fabrication
CN107977225B (zh) 一种安全漏洞的统一描述方法和描述系统
CN105279078A (zh) 安全漏洞检测方法和装置
CN109165513A (zh) 系统配置信息的巡检方法、装置和服务器
CN113127919A (zh) 数据处理方法、装置及计算设备、存储介质
Mostafa et al. Netdroid: Summarizing network behavior of android apps for network code maintenance
CN116263831A (zh) 一种网页数据篡改检测方法、装置、计算设备和存储介质
CA3141043A1 (en) Method for verifying vulnerabilities of network devices using cve entries
CN106856473B (zh) 漏洞的检测方法及装置
CN110321130A (zh) 基于系统调用日志的不可重复编译定位方法
CN105184168A (zh) Android系统源码漏洞关联影响的追踪方法
CN104199774A (zh) 程序安全测试方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant