CN111083107B - 一种基于区块链的网络安全漏洞收集处理方法 - Google Patents

一种基于区块链的网络安全漏洞收集处理方法 Download PDF

Info

Publication number
CN111083107B
CN111083107B CN201911111607.6A CN201911111607A CN111083107B CN 111083107 B CN111083107 B CN 111083107B CN 201911111607 A CN201911111607 A CN 201911111607A CN 111083107 B CN111083107 B CN 111083107B
Authority
CN
China
Prior art keywords
vulnerability
information
state
module
bug
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911111607.6A
Other languages
English (en)
Other versions
CN111083107A (zh
Inventor
尹越
王小鹏
石启良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Information Consulting and Designing Institute Co Ltd
Original Assignee
China Information Consulting and Designing Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Information Consulting and Designing Institute Co Ltd filed Critical China Information Consulting and Designing Institute Co Ltd
Priority to CN201911111607.6A priority Critical patent/CN111083107B/zh
Publication of CN111083107A publication Critical patent/CN111083107A/zh
Application granted granted Critical
Publication of CN111083107B publication Critical patent/CN111083107B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于区块链的网络安全漏洞收集处理方法,包括:步骤1,收集漏洞信息,通过漏洞自助确认模块判断漏洞信息中是否存在证明信息,证明信息包含但不限于漏洞描述及漏洞验证代码;步骤2,检测漏洞信息是否与区块网络中保留的漏洞信息重复;若所述漏洞信息重复,则通过漏洞状态跟踪模块反馈给信息上报者;若漏洞信息不重复执行以下步骤;步骤3,若漏洞信息中存在漏洞验证代码,判断漏洞验证代码是否属于通用漏洞验证代码;步骤4,若漏洞验证代码不属于通用漏洞验证代码,通过漏洞自动化验证单元对漏洞验证代码进行验证。采用前述方法,能够利用区块链具有的智能合约,实现漏洞自助确认功能来提高漏洞审核效率。

Description

一种基于区块链的网络安全漏洞收集处理方法
技术领域
本发明涉及网络信息安全领域,尤其涉及一种基于区块链的网络安全漏洞收集处理方法。
背景技术
现有的漏洞收集处理系统是中心化的,即漏洞发现者通过互联网其他第三方提供的工具或者自己的工具挖掘发现漏洞,并将漏洞提交给第三方平台或企事业单位,即漏洞收集平台,漏洞收集平台对收集到的漏洞数据进行确认之后会给予一定奖励。
现有的技术架构下,漏洞收集平台对于漏洞本身定价具有几乎完全的控制权且漏洞收集平台也需要耗费大量人力成本验证漏洞、复测漏洞和漏洞归档处理;网络安全工程师发现的漏洞有无价值、价值多少完全由平台决定;漏洞扫描工具和众测平台作为漏洞收集的两种方式是相互独立运行的,扫描工具发现的漏洞需要整理、验证、编辑再提交到漏洞众测平台才会产生价值,并且现有的漏洞扫描插件只能用来补充主动化扫描工具,无法用来自动化校验漏洞并用来评分;若漏洞信息发生泄露,不清楚是哪个环节出现了问题;漏洞验证工作量巨大,并且中低危漏洞占比大,其中,SQL注入、XSS、远程命令执行、网站弱口令、系统弱口令等传统安全漏洞的占比高;对已经完成修复的漏洞进行公开可能存在敏感信息泄露的风险。
综上所述,现有技术中漏洞收集处理的架构存在漏洞审核校验效率低的问题。
发明内容
本发明提供了一种基于区块链的网络安全漏洞收集处理方法,以解决现有技术中漏洞收集处理的架构存在漏洞审核校验效率低的问题。
一种基于区块链的网络安全漏洞收集处理方法,包括:
步骤1,收集漏洞信息,通过漏洞自助确认模块判断所述漏洞信息中是否存在证明信息,所述证明信息包含但不限于漏洞描述以及漏洞验证代码;
步骤2,通过所述漏洞自助确认模块检测漏洞信息是否与区块网络中保留的漏洞信息重复;若所述漏洞信息重复,则通过漏洞状态跟踪模块反馈给信息上报者;若漏洞信息不重复则执行以下步骤;
步骤3,若所述漏洞信息中存在漏洞验证代码,判断所述漏洞验证代码是否属于通用漏洞验证代码;
步骤4,若所述漏洞验证代码不属于通用漏洞验证代码,通过所述漏洞自助确认模块中的漏洞自动化验证单元对漏洞验证代码进行验证。
进一步地,在一种实现方式中,所述步骤3包括:
步骤4-1,根据所述漏洞自动化验证单元确定漏洞是否真实存在;
步骤4-2,若确定所述漏洞真实存在,通过所述漏洞自助确认模块中的漏洞自动化评分单元对所述漏洞信息进行评分,漏洞状态跟踪模块将所述漏洞信息的相应信息反馈至区块网络,所述相应信息包括当前的处置状态信息、评分分值、评判依据以及评判理由;
步骤4-3,判断所述漏洞信息是否可以被公开;
步骤4-4,若所述漏洞信息不可以被公开,提取漏洞信息中的漏洞IP地址、URL地址、端口号、漏洞类型、厂商名称以及系统名称,并同漏洞信息一并通过漏洞信息加解密模块将信息加密处理后存储到区块网络;
步骤4-5,若所述漏洞信息可以被公开,通过漏洞脱敏模块将所述漏洞信息脱敏之后公开。
进一步地,在一种实现方式中,所述步骤4中,在通过所述漏洞自助确认模块中的漏洞自动化验证单元对漏洞验证代码进行验证之前,还包括:
若所述漏洞验证代码属于通用漏洞验证代码,判断所述漏洞验证代码是否可调用;
若所述漏洞验证代码可调用,将所述漏洞验证代码打包成智能合约,执行存储算法存储到区块网络,并通过漏洞状态跟踪模块将漏洞状态信息反馈至区块网络中;
若所述漏洞验证代码不可调用,通过所述漏洞状态跟踪模块生成结果信息反馈至信息上报者。
进一步地,在一种实现方式中,在所述步骤4-1之后,还包括:
若确定所述漏洞不真实存在,信息上报者对所述漏洞信息发起仲裁,将所述漏洞信息传递给仲裁模块进行仲裁,包括以下步骤:
步骤4-11,通过所述仲裁模块再次判断所述漏洞是否真实存在;
步骤4-12,若所述仲裁模块的判断结果为漏洞真实存在,漏洞自动化评分单元根据所述判断结果对漏洞信息进行评分,漏洞状态跟踪模块反馈所述漏洞信息的相应信息至区块网络,所述相应信息包括当前的处置状态信息、评分分值、评判依据以及评判理由;
若所述仲裁模块的判断结果为漏洞不真实存在,执行步骤4-13的操作;
步骤4-13,判断所述漏洞信息是否可以被公开,根据判断结果执行所述步骤4-4或步骤4-5的操作。
进一步地,在一种实现方式中,所述步骤3还包括:若所述漏洞信息中不存在漏洞验证代码,通过人工审核模块判断漏洞是否真实存在,包括以下步骤:
步骤3-1,根据人工审核结果确定所述漏洞是否真实存在;
步骤3-2,若确定所述漏洞真实存在,对所述漏洞信息进行评分,漏洞状态跟踪模块将所述漏洞信息的相应信息反馈至区块网络,所述相应信息包括当前的处置状态信息、评分分值、评判依据以及评判理由;
若确定所述漏洞不真实存在,执行步骤3-3的操作;
步骤3-3,判断所述漏洞信息是否可以被公开,根据判断结果执行所述步骤4-4或步骤4-5的操作。
进一步地,在一种实现方式中,在所述步骤3-1之前,还包括:
若所述漏洞信息中存在厂家名称或者系统地址,通过漏洞自助确认模块判断所述漏洞信息是否有归属,所述漏洞信息有归属即所述漏洞归属单位为自身或者在注册厂家清单;
若所述漏洞信息有归属,通过归属厂家审核模块审核漏洞信息;
若所述漏洞信息无归属,通过专家人工审核模块审核漏洞信息。
进一步地,在一种实现方式中,所述步骤4还包括:通过漏洞信息加解密模块对所述漏洞信息进行加密和解密;
所述漏洞信息加解密模块是非对称的加密系统,生成公钥用来加密,生成私钥用来解密,并且将漏洞状态信息以及加密之后的漏洞信息存储在区块网络中。
进一步地,在一种实现方式中,所述漏洞状态跟踪模块用于变更漏洞信息状态,所述漏洞信息状态包括:已提交状态、待确认状态、待修复状态、已修复状态、待公开状态以及已公开状态;
当收集到所述漏洞信息时,所述漏洞信息状态为已提交状态;
当所述漏洞信息受到评分后时,所述漏洞信息状态为待修复状态;
当判定所述漏洞信息不存在时,所述漏洞信息状态为已忽略状态;
当判定所述漏洞信息存在时,所述漏洞信息状态为待确认状态;
当确认所述漏洞信息被修复、可以被公开且已公开时,所述漏洞信息状态为已公开状态;
当确认所述漏洞信息已被修复,且复测所述漏洞信息已被修复,所述漏洞信息状态为已修复状态。
进一步地,在一种实现方式中,所述漏洞自助确认模块包括漏洞自动化扫描单元、漏洞自动化验证单元、插件管理单元以及漏洞自动化评分单元;
所述漏洞自助确认模块包括分布式数据库,所述分布式数据库使用区块作为记录单元,每个所述区块包含若干智能合约;
所述智能合约包括漏洞扫描插件和漏洞评分标准,所述漏洞扫描插件为信息上报者提供的有效的漏洞扫描插件,所述漏洞评分标准为通过共识算法确认生成的漏洞评分标准;
所述漏洞验证代码组成了漏洞扫描插件,所述漏洞验证代码为一段可以被系统集成用来自动化校验漏洞真实性的代码,即信息上报者能够根据编写漏洞扫描插件的规则构造漏洞利用代码,也能够根据所述漏洞验证代码形成相应的智能合约。
进一步地,在一种实现方式中,所述步骤1还包括:
若所述漏洞信息为URL或IP地址,且所述信息上报者选择通过系统执行扫描任务,通过漏洞自动化扫描单元对所述漏洞信息进行验证。
由以上技术方案可知,本发明实施例提供一种基于区块链的网络安全漏洞收集处理方法,包括:步骤1,收集漏洞信息,通过漏洞自助确认模块判断所述漏洞信息中是否存在证明信息,所述证明信息包含但不限于漏洞描述以及漏洞验证代码;步骤2,通过所述漏洞自助确认模块检测漏洞信息是否与区块网络中保留的漏洞信息重复;若所述漏洞信息重复,则通过漏洞状态跟踪模块反馈给信息上报者;若漏洞信息不重复则执行以下步骤;步骤3,若所述漏洞信息中存在漏洞验证代码,判断所述漏洞验证代码是否属于通用漏洞验证代码;步骤4,若所述漏洞验证代码不属于通用漏洞验证代码,通过所述漏洞自助确认模块中的漏洞自动化验证单元对漏洞验证代码进行验证。
现有技术中,漏洞收集处理的架构存在漏洞审核校验效率低的问题。而采用前述一种基于区块链的网络安全漏洞收集处理方法,可以利用区块链具有的智能合约,实现漏洞自助确认功能来提高漏洞审核效率,此外,在此基础上还能够通过去中心化机制来提升漏洞审核评分的公平性,且通过非对称加密措施来追踪漏洞信息。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例部分提供的一种基于区块链的网络安全漏洞收集处理方法的流程示意图;
图2是本发明实施例部分提供的一种基于区块链的网络安全漏洞收集处理系统中根据漏洞自动化验证单元确定漏洞是否真实存在的流程示意图;
图3是本发明实施例部分提供的一种基于区块链的网络安全漏洞收集处理方法中判断漏洞信息是否可以被公开的流程示意图;
图4是本发明实施例部分提供的一种基于区块链的网络安全漏洞收集处理方法中判断漏洞验证代码是否可调用的流程示意图;
图5是本发明实施例部分提供的一种基于区块链的网络安全漏洞收集处理方法中根据人工审核结果确定漏洞是否真实存在的流程示意图;
图6是本发明实施例部分提供的一种基于区块链的网络安全漏洞收集处理方法中判断漏洞信息是否有归属的流程示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明实施例公开一种基于区块链的网络安全漏洞收集处理方法,本方法应用于但不限于漏洞众测平台、企业漏洞应急响应中心。
如图1所示,本实施例所述的一种基于区块链的网络安全漏洞收集处理方法,包括:
步骤1,收集漏洞信息,通过漏洞自助确认模块判断所述漏洞信息中是否存在证明信息,所述证明信息包含但不限于漏洞描述以及漏洞验证代码;本实施例中,所述漏洞信息包含但不限于系统名称、系统地址、端口号、厂家名称以及证明信息,其中,所述系统地址包括URL和IP地址。通过信息上报者将漏洞信息上报至漏洞收集平台进行收集,所述漏洞收集平台可以为漏洞收集网络或邮箱的方式。
所述漏洞验证代码组成了漏洞扫描插件,所述漏洞验证代码为一段可以被系统集成用来自动化校验漏洞真实性的代码,即信息上报者能够根据编写漏洞扫描插件的规则构造漏洞利用代码,也能够根据所述漏洞验证代码形成相应的智能合约。
本实施例所述的漏洞自助确认模块中,所述漏洞自动化扫描单元,包含漏洞扫描工具,工具可以调用区块内智能合约进行漏洞扫描,所述智能合约是区块内打包存储的漏洞验证代码;所述漏洞自动化验证单元,包含能够直接识别、执行网络安全工程师提交的代码功能;所述插件管理单元,将所述智能合约打包进区块,并执行共识算法存储最终的区块;所述漏洞自动化评分单元,包含能够调用漏洞评分标准,对相应的漏洞类型以及危害程度进行自动打分。
具体的,本实施例中,提取信息上报者提交的漏洞信息中的漏洞IP地址、URL地址、端口号、漏洞类型、厂商名称、系统名称等内容,通过漏洞加解密模块解密区块网络中存储的信息,通过算法逐一比对区块网络中存储的解密之后漏洞IP地址、URL地址、端口号、漏洞类型、厂商名称、系统名称等内容,如果一致则判定漏洞信息重复,否则判定漏洞信息不重复。
步骤2,通过所述漏洞自助确认模块检测漏洞信息是否与区块网络中保留的漏洞信息重复;若所述漏洞信息重复,则通过漏洞状态跟踪模块反馈给信息上报者;若漏洞信息不重复则执行以下步骤;
步骤3,若所述漏洞信息中存在漏洞验证代码,判断所述漏洞验证代码是否属于通用漏洞验证代码;
步骤4,若所述漏洞验证代码不属于通用漏洞验证代码,通过所述漏洞自助确认模块中的漏洞自动化验证单元对漏洞验证代码进行验证。
如图2所示,本实施例所述的一种基于区块链的网络安全漏洞收集处理方法中,所述步骤4包括:
步骤4-1,根据所述漏洞自动化验证单元确定漏洞是否真实存在;
步骤4-2,若确定所述漏洞真实存在,通过所述漏洞自助确认模块中的漏洞自动化评分单元对所述漏洞信息进行评分,漏洞状态跟踪模块将所述漏洞信息的相应信息反馈至区块网络,所述相应信息包括当前的处置状态信息、评分分值、评判依据以及评判理由;
此外,本实施例中,当评分低于信息上报者的预期时,信息上报者可以将所述漏洞信息传递给仲裁模块进行仲裁。
步骤4-3,判断所述漏洞信息是否可以被公开,如图3所示;此外,本实施例中,除了确认漏洞信息已被修复,且经过复测后确认漏洞信息已被修复时,需要判断漏洞信息是否可以被公开,还存在三种漏洞不真实存在依然可以被公开的情况:1.自动确认模块判定漏洞不真实且信息上报者选择不仲裁,由厂商或者平台决定漏洞是否可以被脱敏公开;2.自动确认模块判定漏洞不真实且信息上报者选择仲裁,仲裁判定漏洞不真实,由厂商或者平台决定漏洞是否可以被脱敏公开;3.漏洞信息不包含漏洞验证代码,由漏洞自助确认模块判定漏洞归属之后,在专家人工审核模块或者厂家审核之后,判定漏洞不真实,由厂商或者平台决定漏洞是否可以被脱敏公开。
步骤4-4,若所述漏洞信息不可以被公开,提取漏洞信息中的漏洞IP地址、URL地址、端口号、漏洞类型、厂商名称以及系统名称,并同漏洞信息一并通过漏洞信息加解密模块将信息加密处理后存储到区块网络;
步骤4-5,若所述漏洞信息可以被公开,通过漏洞脱敏模块将所述漏洞信息脱敏之后公开。本步骤中,所述漏洞脱敏模块是由一组自动化图片及视频打码工具、过滤敏感文字系统构成。
此外,本实施例中,若漏洞信息未被修复,仍然可以判断所述漏洞信息是否可以被公开,并根据判断结果执行所述步骤4-4或步骤4-5的操作。
如图4所示,本实施例所述的一种基于区块链的网络安全漏洞收集处理方法中,所述步骤4中,在通过所述漏洞自助确认模块中的漏洞自动化验证单元对漏洞验证代码进行验证之前,还包括:
若所述漏洞验证代码属于通用漏洞验证代码,判断所述漏洞验证代码是否可调用;
若所述漏洞验证代码可调用,将所述漏洞验证代码打包成智能合约,执行存储算法存储到区块网络,并通过漏洞状态跟踪模块将漏洞状态信息反馈至区块网络中;
具体的,通过漏洞自助确认模块中的插件管理单元将所述证明信息打包成智能合约,执行存储算法存储到区块网络,并通过漏洞状态跟踪模块将漏洞状态信息反馈至区块网络中。本实施例中,通过区块链网络模块存储智能合约运行服务,以及实现区块打包和分发。
若所述漏洞验证代码不可调用,通过所述漏洞状态跟踪模块生成结果信息反馈至信息上报者。
如图5所示,本实施例所述的一种基于区块链的网络安全漏洞收集处理方法中,在所述步骤4-1之后,还包括:
若确定所述漏洞不真实存在,信息上报者对所述漏洞信息发起仲裁,将所述漏洞信息传递给仲裁模块进行仲裁,包括以下步骤:
步骤4-11,通过所述仲裁模块再次判断所述漏洞是否真实存在;
步骤4-12,若所述仲裁模块的判断结果为漏洞真实存在,漏洞自动化评分单元根据所述判断结果对漏洞信息进行评分,漏洞状态跟踪模块反馈所述漏洞信息的相应信息至区块网络,所述相应信息包括当前的处置状态信息、评分分值、评判依据以及评判理由;
若所述仲裁模块的判断结果为漏洞不真实存在,执行步骤4-13的操作;
步骤4-13,判断所述漏洞信息是否可以被公开,根据判断结果执行所述步骤4-4或步骤4-5的操作。
本实施例中,所述仲裁模块是由平台专家、安全专家组成,获得每个平台专家、安全专家的评分,再根据每个评分的均值计算最后评分。
本实施例所述的一种基于区块链的网络安全漏洞收集处理方法中,所述步骤3还包括:若所述漏洞信息中不存在漏洞验证代码,通过人工审核模块判断漏洞是否真实存在,包括以下步骤:
步骤3-1,根据人工审核结果确定所述漏洞是否真实存在;
步骤3-2,若确定所述漏洞真实存在,对所述漏洞信息进行评分,漏洞状态跟踪模块将所述漏洞信息的相应信息反馈至区块网络,所述相应信息包括当前的处置状态信息、评分分值、评判依据以及评判理由;
若确定所述漏洞不真实存在,执行步骤3-3的操作;
步骤3-3,判断所述漏洞信息是否可以被公开,根据判断结果执行所述步骤4-4或步骤4-5的操作。本步骤中,在步骤3-3之前,还包括:人工审核模块确认漏洞已经被修复,且复测漏洞已经被修复。
本实施例所述人工审核模块,是由平台专家、各个注册厂家的安全专家组成;审核判定漏洞的实际危害程度,判定结果有严重、高危、中危、低危漏洞以及漏洞无影响忽略漏洞,判定标准目前已经有公开公认的标准内容,如网站被getshell、存在SQL注入并且能够获取大量敏感信息或者能够执行系统命令一般会被认为是严重漏洞,存在存储型XSS一般会被认为是高危漏洞,存在反射型XSS则是中危漏洞等等。具体的,漏洞判定有严重、高危、中危、低危漏洞以及漏洞无影响忽略这几种结果,如果漏洞被判定属于严重、高危、中危、低危漏洞,即是漏洞真实,能否被公开由厂商自行决定,与评分判定结果无关。
如图6所示,本实施例所述的一种基于区块链的网络安全漏洞收集处理方法中,在所述步骤3-1之前,还包括:
若所述漏洞信息中存在证明信息,通过漏洞自助确认模块判断所述漏洞信息是否有归属,所述漏洞信息有归属即所述漏洞归属单位为自身或者在注册厂家清单;
若所述漏洞信息有归属,通过归属厂家审核模块审核漏洞信息;
若所述漏洞信息无归属,通过专家人工审核模块审核漏洞信息。
本实施例所述的一种基于区块链的网络安全漏洞收集处理方法中,所述步骤4还包括:通过漏洞信息加解密模块对所述漏洞信息进行加密和解密;
所述漏洞信息加解密模块是非对称的加密系统,生成公钥用来加密,生成私钥用来解密,并且将漏洞状态信息以及加密之后的漏洞信息存储在区块网络中。
本实施例所述的一种基于区块链的网络安全漏洞收集处理方法中,所述漏洞状态跟踪模块用于变更漏洞信息状态,所述漏洞信息状态包括:已提交状态、待确认状态、待修复状态、已修复状态、待公开状态以及已公开状态;
当收集到所述漏洞信息时,所述漏洞信息状态为已提交状态;
当所述漏洞信息受到评分后时,所述漏洞信息状态为待修复状态;
当判定所述漏洞信息不存在时,所述漏洞信息状态为已忽略状态;
当判定所述漏洞信息存在时,所述漏洞信息状态为待确认状态;
当确认所述漏洞信息被修复、可以被公开且已公开时,所述漏洞信息状态为已公开状态;
当确认所述漏洞信息已被修复,且复测所述漏洞信息已被修复,所述漏洞信息状态为已修复状态。
具体的,本实施例中,信息上报者将漏洞信息提交至漏洞收集平台后,漏洞状态变为已提交,若漏洞自助确认模块被触发运行,在执行完成后,若判定漏洞真实存在,则由漏洞自动化评分模块评分,评分完成之后,漏洞状态变为待修复状态,若判定漏洞不存在,则漏洞状态变为已忽略状态,若信息上报者申诉已忽略漏洞,则漏洞状态变为待确认状态,若二次审核判定漏洞真实存在,则漏洞状态变为待修复状态,若维持原判定,则漏洞状态变为已忽略状态;
若进入专家人工审核模块,则漏洞状态变为待确认状态,若安全专家审核通过漏洞并且评分完成,则漏洞状态变为待修复状态,若安全专家判定漏洞不存在,则漏洞状态变为已忽略状态,若信息上报者申诉已忽略漏洞,则漏洞状态变为待确认状态,若二次审核判定漏洞真实存在,则漏洞状态变为待修复状态,若维持原判定,则漏洞状态变为已忽略状态;若厂家在系统上确认漏洞被修复以及被复测已修复,并且厂家或者平台认为漏洞可以被公开,则漏洞状态变为已公开,否则,若厂商确认漏洞已经被修复,且厂商已经自行复测漏洞已经被修复,需要手动在系统上确认漏洞已经修复以及调整漏洞状态为已修复状态。
本实施例所述的一种基于区块链的网络安全漏洞收集处理方法中,所述漏洞自助确认模块包括漏洞自动化扫描单元、漏洞自动化验证单元、插件管理单元以及漏洞自动化评分单元;
所述漏洞自助确认模块包括分布式数据库,所述分布式数据库使用区块作为记录单元,每个所述区块包含若干智能合约;
所述智能合约包括漏洞扫描插件和漏洞评分标准,所述漏洞扫描插件为信息上报者提供的有效的漏洞扫描插件,所述漏洞评分标准为通过共识算法确认生成的漏洞评分标准;
所述漏洞验证代码组成了漏洞扫描插件,所述漏洞验证代码为一段可以被系统集成用来自动化校验漏洞真实性的代码,即信息上报者能够根据编写漏洞扫描插件的规则构造漏洞利用代码,也能够根据所述漏洞验证代码形成相应的智能合约。
本实施例所述的一种基于区块链的网络安全漏洞收集处理方法中,所述步骤1还包括:若所述漏洞信息为URL或IP地址,且所述信息上报者选择通过系统执行扫描任务,通过漏洞自动化扫描单元对所述漏洞信息进行验证。
此外,本实施例在公开一种基于区块链的网络安全漏洞收集处理方法的基础上,还公开一种基于区块链的网络安全漏洞收集处理系统架构,主要由漏洞自助确认模块、漏洞信息加解密模块、漏洞状态跟踪模块、专家人工审核模块、仲裁模块、漏洞信息脱敏模块、区块链网络模块构成。平台使用公钥加密网络安全工程师提交的漏洞信息,漏洞信息加解密模块解密漏洞信息并传输给漏洞自助确认模块检测是否存在验证性测试(Proof ofConcept,poc)信息,本实施例中,所述证明信息即poc信息,并由漏洞自助确认模块校验poc可用性。
若漏洞自助确认模块确认此poc是通用poc并且可以正常调用,则将poc打包成智能合约,执行存储算法并存储到区块网络,并由漏洞状态跟踪模块将漏洞状态信息反馈至区块网络中,若漏洞自助确认模块确认此poc是通用poc但poc不能正常被调用执行,则驳回网络安全工程师提交的内容,并由漏状态跟踪模块反馈相应信息。
若漏洞自助确认模块检测漏洞信息存在poc但不是通用poc,则执行漏洞自动化验证单元,若漏洞真实存在,则执行漏洞自动化评分系统进行漏洞评分,并由漏洞状态跟踪模块反馈相应信息;若漏洞自助确认模块判断漏洞不存在,则由漏洞状态跟踪模块告诉网络安全工程师漏洞被忽略,若网络安全工程师发起仲裁,则执行漏洞信息加解密模块加密漏洞信息并传递给仲裁模块,仲裁模块若判断漏洞存在,则执行漏洞评分,并且由漏洞状态跟踪模块反馈相应信息。
若漏洞自助确认模块检测不存在poc,则执行漏洞信息加解密模块加密漏洞信息,在漏洞自助确认模块确认漏洞信息归属之后,由相应人员解密漏洞信息,并交由归属厂家审核漏洞信息,若安全专家认为漏洞真实存在,则执行漏洞评分,若安全专家判定漏洞不存在,则由漏洞状态跟踪模块告知网络安全工程师漏洞被忽略,若网络安全工程师发起漏洞仲裁,则由漏洞信息加解密模块加密漏洞信息并传输给仲裁模块,仲裁结果若判定漏洞真实存在则进行评分,若判定漏洞不存在则忽略漏洞,则忽略漏洞并由漏洞状态跟踪模块反馈被忽略的理由及依据。
漏洞评分之后,执行漏洞状态跟踪模块反馈相应信息至区块网络,若网络安全工程师认为漏洞评分过低或过高,则执行加密漏洞信息并传输给仲裁模块做二次审核,仲裁结果若漏洞确实评分过低或者过高,则更新漏洞评分信息,并由漏洞状态跟踪模块反馈相应信息至区块网络。最后由厂家判断漏洞是否已完成修复、是否已复测已修复的漏洞以及漏洞是否可以被公开,若可以被公开,则调用漏洞脱敏模块,将漏洞信息脱敏之后公开。
现有技术中,漏洞收集处理的架构存在漏洞审核校验效率低的问题。而采用前述一种基于区块链的网络安全漏洞收集处理方法,可以利用区块链具有的智能合约,实现漏洞自助确认功能来提高漏洞审核效率。此外,在提高漏洞审核效率的基础上,能够通过去中心化机制来提升漏洞审核评分的公平性,并通过非对称加密措施来追踪漏洞信息。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的一种基于区块链的网络安全漏洞收集处理方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (9)

1.一种基于区块链的网络安全漏洞收集处理方法,其特征在于,包括:
步骤1,收集漏洞信息,通过漏洞自助确认模块判断所述漏洞信息中是否存在证明信息,所述证明信息包含但不限于漏洞描述以及漏洞验证代码;
步骤2,通过所述漏洞自助确认模块检测漏洞信息是否与区块网络中保留的漏洞信息重复;若所述漏洞信息重复,则通过漏洞状态跟踪模块反馈给信息上报者;若漏洞信息不重复则执行以下步骤;
步骤3,若所述漏洞信息中存在漏洞验证代码,判断所述漏洞验证代码是否属于通用漏洞验证代码;
步骤4,若所述漏洞验证代码不属于通用漏洞验证代码,通过所述漏洞自助确认模块中的漏洞自动化验证单元对漏洞验证代码进行验证;
所述步骤4包括:
步骤4-1,根据所述漏洞自动化验证单元确定漏洞是否真实存在;
步骤4-2,若确定所述漏洞真实存在,通过所述漏洞自助确认模块中的漏洞自动化评分单元对所述漏洞信息进行评分,漏洞状态跟踪模块将所述漏洞信息的相应信息反馈至区块网络,所述相应信息包括当前的处置状态信息、评分分值、评判依据以及评判理由;
步骤4-3,判断所述漏洞信息是否可以被公开;
步骤4-4,若所述漏洞信息不可以被公开,提取漏洞信息中的漏洞IP地址、URL地址、端口号、漏洞类型、厂商名称以及系统名称,并同漏洞信息一并通过漏洞信息加解密模块将信息加密处理后存储到区块网络;
步骤4-5,若所述漏洞信息可以被公开,通过漏洞脱敏模块将所述漏洞信息脱敏之后公开。
2.根据权利要求1所述的一种基于区块链的网络安全漏洞收集处理方法,其特征在于,所述步骤4中,在通过所述漏洞自助确认模块中的漏洞自动化验证单元对漏洞验证代码进行验证之前,还包括:
若所述漏洞验证代码属于通用漏洞验证代码,判断所述漏洞验证代码是否可调用;
若所述漏洞验证代码可调用,将所述漏洞验证代码打包成智能合约,执行存储算法存储到区块网络,并通过漏洞状态跟踪模块将漏洞状态信息反馈至区块网络中;
若所述漏洞验证代码不可调用,通过所述漏洞状态跟踪模块生成结果信息反馈至信息上报者。
3.根据权利要求2所述的一种基于区块链的网络安全漏洞收集处理方法,其特征在于,在所述步骤4-1之后,还包括:
若确定所述漏洞不真实存在,信息上报者对所述漏洞信息发起仲裁,将所述漏洞信息传递给仲裁模块进行仲裁,包括以下步骤:
步骤4-11,通过所述仲裁模块再次判断所述漏洞是否真实存在;
步骤4-12,若所述仲裁模块的判断结果为漏洞真实存在,漏洞自动化评分单元根据所述判断结果对漏洞信息进行评分,漏洞状态跟踪模块反馈所述漏洞信息的相应信息至区块网络,所述相应信息包括当前的处置状态信息、评分分值、评判依据以及评判理由;
若所述仲裁模块的判断结果为漏洞不真实存在,执行步骤4-13的操作;
步骤4-13,判断所述漏洞信息是否可以被公开,根据判断结果执行所述步骤4-4或步骤4-5的操作。
4.根据权利要求3所述的一种基于区块链的网络安全漏洞收集处理方法,其特征在于,所述步骤3还包括:若所述漏洞信息中不存在漏洞验证代码,通过人工审核模块判断漏洞是否真实存在,包括以下步骤:
步骤3-1,根据人工审核结果确定所述漏洞是否真实存在;
步骤3-2,若确定所述漏洞真实存在,对所述漏洞信息进行评分,漏洞状态跟踪模块将所述漏洞信息的相应信息反馈至区块网络,所述相应信息包括当前的处置状态信息、评分分值、评判依据以及评判理由;
若确定所述漏洞不真实存在,执行步骤3-3的操作;
步骤3-3,判断所述漏洞信息是否可以被公开,根据判断结果执行所述步骤4-4或步骤4-5的操作。
5.根据权利要求4所述的一种基于区块链的网络安全漏洞收集处理方法,其特征在于,在所述步骤3-1之前,还包括:
若所述漏洞信息中存在厂家名称或者系统地址,通过漏洞自助确认模块判断所述漏洞信息是否有归属,所述漏洞信息有归属即所述漏洞归属单位为自身或者在注册厂家清单;
若所述漏洞信息有归属,通过归属厂家审核模块审核漏洞信息;
若所述漏洞信息无归属,通过专家人工审核模块审核漏洞信息。
6.根据权利要求5所述的一种基于区块链的网络安全漏洞收集处理方法,其特征在于,所述步骤4还包括:通过漏洞信息加解密模块对所述漏洞信息进行加密和解密;
所述漏洞信息加解密模块是非对称的加密系统,生成公钥用来加密,生成私钥用来解密,并且将漏洞状态信息以及加密之后的漏洞信息存储在区块网络中。
7.根据权利要求6所述的一种基于区块链的网络安全漏洞收集处理方法,其特征在于,所述漏洞状态跟踪模块用于变更漏洞信息状态,所述漏洞信息状态包括:已提交状态、待确认状态、待修复状态、已修复状态、待公开状态以及已公开状态;
当收集到所述漏洞信息时,所述漏洞信息状态为已提交状态;
当所述漏洞信息受到评分后时,所述漏洞信息状态为待修复状态;
当判定所述漏洞信息不存在时,所述漏洞信息状态为已忽略状态;
当判定所述漏洞信息存在时,所述漏洞信息状态为待确认状态;
当确认所述漏洞信息被修复、可以被公开且已公开时,所述漏洞信息状态为已公开状态;
当确认所述漏洞信息已被修复,且复测所述漏洞信息已被修复,所述漏洞信息状态为已修复状态。
8.根据权利要求7所述的一种基于区块链的网络安全漏洞收集处理方法,其特征在于,所述漏洞自助确认模块包括漏洞自动化扫描单元、漏洞自动化验证单元、插件管理单元以及漏洞自动化评分单元;
所述漏洞自助确认模块包括分布式数据库,所述分布式数据库使用区块作为记录单元,每个所述区块包含若干智能合约;
所述智能合约包括漏洞扫描插件和漏洞评分标准,所述漏洞扫描插件为信息上报者提供的有效的漏洞扫描插件,所述漏洞评分标准为通过共识算法确认生成的漏洞评分标准;
所述漏洞验证代码组成了漏洞扫描插件,所述漏洞验证代码为一段可以被系统集成用来自动化校验漏洞真实性的代码,即信息上报者能够根据编写漏洞扫描插件的规则构造漏洞利用代码,也能够根据所述漏洞验证代码形成相应的智能合约。
9.根据权利要求8所述的一种基于区块链的网络安全漏洞收集处理方法,其特征在于,所述步骤1还包括:
若所述漏洞信息为URL或IP地址,且所述信息上报者选择通过系统执行扫描任务,通过漏洞自动化扫描单元对所述漏洞信息进行验证。
CN201911111607.6A 2019-11-14 2019-11-14 一种基于区块链的网络安全漏洞收集处理方法 Active CN111083107B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911111607.6A CN111083107B (zh) 2019-11-14 2019-11-14 一种基于区块链的网络安全漏洞收集处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911111607.6A CN111083107B (zh) 2019-11-14 2019-11-14 一种基于区块链的网络安全漏洞收集处理方法

Publications (2)

Publication Number Publication Date
CN111083107A CN111083107A (zh) 2020-04-28
CN111083107B true CN111083107B (zh) 2021-12-21

Family

ID=70310898

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911111607.6A Active CN111083107B (zh) 2019-11-14 2019-11-14 一种基于区块链的网络安全漏洞收集处理方法

Country Status (1)

Country Link
CN (1) CN111083107B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11252188B1 (en) 2020-08-13 2022-02-15 Room40 Labs, Inc. Methods and apparatus to automate cyber defense decision process and response actions by operationalizing adversarial technique frameworks
CN112749092A (zh) * 2021-01-13 2021-05-04 叮当快药科技集团有限公司 用于管理软件漏洞的信息处理方法
CN112765612A (zh) * 2021-01-25 2021-05-07 北京华顺信安信息技术有限公司 一种基于漏洞利用程序特征的进行漏洞可视化验证方法
CN113609491B (zh) * 2021-08-02 2024-01-26 中通服咨询设计研究院有限公司 一种基于消息队列的插件式漏洞自动化扫描方法
US11805145B2 (en) * 2022-03-16 2023-10-31 Interpres Security, Inc. Systems and methods for continuous threat-informed exposure management

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108256337A (zh) * 2018-02-26 2018-07-06 北京阿尔山金融科技有限公司 智能合约漏洞检测方法、装置及电子设备
CN109325351A (zh) * 2018-08-23 2019-02-12 中通服咨询设计研究院有限公司 一种基于众测平台的安全漏洞自动化验证系统
CN109729068A (zh) * 2018-11-23 2019-05-07 北京丁牛科技有限公司 基于区块链技术的安全漏洞审计系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9742791B2 (en) * 2012-12-18 2017-08-22 Tinfoil Security, Inc. Site independent methods for deriving contextually tailored security vulnerability corrections for hardening solution stacks
US9369482B2 (en) * 2013-12-12 2016-06-14 Tinfoil Security, Inc. Site independent system for deriving contextually tailored security vulnerability corrections for hardening solution stacks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108256337A (zh) * 2018-02-26 2018-07-06 北京阿尔山金融科技有限公司 智能合约漏洞检测方法、装置及电子设备
CN109325351A (zh) * 2018-08-23 2019-02-12 中通服咨询设计研究院有限公司 一种基于众测平台的安全漏洞自动化验证系统
CN109729068A (zh) * 2018-11-23 2019-05-07 北京丁牛科技有限公司 基于区块链技术的安全漏洞审计系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"泛在电力物联网中基于区块链的安全漏洞审核方案";司冠林;《2019中国网络安全等级保护和关键信息基础设施保护大会论文集》;20191022;第1-2页 *

Also Published As

Publication number Publication date
CN111083107A (zh) 2020-04-28

Similar Documents

Publication Publication Date Title
CN111083107B (zh) 一种基于区块链的网络安全漏洞收集处理方法
CN104620225B (zh) 用于服务器安全验证的方法和系统
US20100218256A1 (en) System and method of integrating and managing information system assessments
CN113868659B (zh) 一种漏洞检测方法及系统
CN112800397A (zh) 一种数据资产保护方法、系统、电子设备及存储介质
CN116680756A (zh) 一种基于区块链的体育企业财务数据安全系统
Dadeau et al. Model‐based mutation testing from security protocols in HLPSL
CN116361807A (zh) 风险管控方法、装置、存储介质及电子设备
CN112132576B (zh) 基于区块链通信的支付信息处理方法及区块链信息平台
KR102338998B1 (ko) 로그 무결성 검사 및 이를 통한 로그 위변조 행위 증빙 시스템 및 그 방법
CN111222181B (zh) Ai模型的监管方法、系统、服务器及存储介质
CN112333160A (zh) 区块链交易信息处理方法、系统、电子设备及存储介质
CN113946869B (zh) 用于联邦学习和隐私计算的内部安全攻击检测方法及装置
CN114428955A (zh) 一种基于操作信息判断异常风险的方法、系统及电子设备
CN114978677A (zh) 资产访问控制方法、装置、电子设备和计算机可读介质
CN113343266A (zh) 信息系统安全运营管理平台及方法
CN112039662A (zh) 用于涉密单位Web应用网页中敏感数据的对称加密传输的方法
CN111555857A (zh) 一种边缘网络和网络传输方法
CN117290823B (zh) 一种app智能检测与安全防护方法、计算机设备及介质
CN112800437B (zh) 信息安全风险评价系统
KR102541888B1 (ko) 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템
CN117220992B (zh) 一种支持商用密码算法的云安全管理监控方法及系统
CN111292196B (zh) 一种网络身份保护方法、装置及电子设备和存储介质
KR102378989B1 (ko) 산업제어시스템 운영 환경을 고려한 취약점 시험 결과 확인 시스템 및 방법
Goplakrishnan et al. Sensitive product feature integrity and confidentiality using blockchain-based internet of things (IoT) architecture

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant