CN111935149B - 一种漏洞检测方法及系统 - Google Patents

Abstract

本申请提供了一种漏洞检测方法及系统，所述方法包括：响应漏洞检测请求，确定待测对象；至少基于所述待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，所述目标漏洞规则列表内记录了多条目标漏洞规则；基于所述目标漏洞列表对待测对象进行漏洞扫描；至少基于扫描结果生成反馈信息；基于所述反馈信息更新所述目标漏洞规则的性能评分值。本申请的漏洞检测方法能够自动确定、自动更新最优漏洞规则，以确保每一次的漏洞检测成功率及速度。

Description

一种漏洞检测方法及系统

技术领域

本申请实施例涉及网络安全技术领域，特别涉及一种漏洞检测方法及系统。

背景技术

在互联网高速发展的大环境下，各种web(网络)应用层出不穷，这些web应用逐渐改变了人们的日常行为习惯以及业务处理方式，使得过去复杂、乏味的解决方案变得简洁且高效。

但伴随而来的是网络安全环境日渐严峻，针对web应用的恶意攻击也是时有发生，一旦某个处于生产环境下的web应用暴露出安全问题，对使用它的用户和企业来说，造成的影响很有可能是不可估量的。

因此，越来越多的人将目光转移到web安全上来，希望所有的web应用都能够做到极致的安全，以保证自己的隐私及安全不受侵犯。一个行之有效的方案就是在web应用的整个生命周期内对其进行安全测试，以尽可能的在风险被披露给公众之前将其扼杀。渗透测试虽然能够满足此要求，但同时带来的是对web应用极强的侵入性以及巨大的人力、物力、财力损失。

综合考虑各种情况，自动化漏洞扫描不失为一个较为合理的解决方案。自动化漏洞扫描工具是一种模仿黑客对检测目标(包括检测对象、检测位置)进行模拟攻击的工具。在模拟攻击过程中，需要向检测目标注入漏洞规则，并通过检测目标的“反应”来判断漏洞是否存在。因此，漏洞规则的优劣是否有效对自动化漏洞扫描工具的可用性起着决定性的作用。传统的自动化漏洞扫描工具会在无数的安全行业从业者总结出的漏洞规则库的基础之上进行优化，取其精华、弃其糟粕，然后生成自己的漏洞规则库，利用漏洞规则库中的各种漏洞规则可以对web应用进行全面、系统的漏洞扫描。

传统的漏洞规则库的形成需要投入大量的人力物力，一旦形成，在短期内不会发生很大变化。然而web应用日新月异，一成不变的漏洞规则库完全无法应对瞬息万变的网络环境，而且依次遍历漏洞规则库中的所有规则也会导致计算机资源和性能的极大浪费。因此，现有技术中提供了一个包含评价漏洞规则可用性的评判标准的反馈算法，利用此算法可以将接受检测的漏洞规则分为高中低三个等级，等级越高，代表漏洞规则的探测能力越强，即扫描过程中命中概率越高。然后在特定的测试环境下对所有漏洞的每个漏洞规则进行等级划分并生成高中低三类漏洞规则库。但是该种方案的缺点也是明显的，例如：

等级划分工作以及等级更新工作均需要维护人员主动进行，且需要更新测试环境以减小测试环境与真实环境的差异，导致整体效率较低；

由于等级更新是定期执行的，更新间隔较长，不能满足当下计算机技术日新月异的需求，故常导致在更新周期内，漏洞规则库的检测效率就明显降低，造成每次检测时长过长，浪费了大量的系统资源；

漏洞规则的更新无法兼顾漏洞规则的全部性能，使在某些应用场景下注入漏洞规则后不仅未缩短检测时长，而且影响了检测对象的正常运行。

发明内容

本申请提供了一种能够自动确定、自动更新最优漏洞规则，以确保每一次的漏洞检测成功率及速度的漏洞检测方法及系统。

为了解决上述技术问题，本申请实施例提供了一种漏洞检测方法，包括：

响应漏洞检测请求，确定待测对象；

至少基于所述待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，所述目标漏洞规则列表内记录了多条目标漏洞规则；

基于所述目标漏洞列表对待测对象进行漏洞扫描；

至少基于扫描结果生成反馈信息；

基于所述反馈信息更新所述目标漏洞规则的性能评分值。

作为优选，还包括：

将各所述漏洞规则及其性能评分值预先关联存储至规则库中，所述性能评分值基于历史检测结果计算确定。

作为优选，还包括：

获得配置信息，所述配置信息包括所述漏洞规则的性能限制参数；

所述至少基于所述待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，包括：

基于所述待测对象、个性化要求以及各漏洞规则的性能评分值确定目标漏洞规则，并基于所述目标漏洞规则形成所述目标漏洞规则列表。

作为优选，所述获得配置信息，包括：

获得用户配置信息，所述用户配置信息包括用户设置的所述性能限制参数；或

获得默认配置信息，所述默认配置信息包括预确定的所述性能限制参数。

作为优选，所述漏洞规则的性能包括漏洞探测能力及侵入性能；

所述性能评分值包括探测能力评分值及侵入性评分值，其中，所述探测能力评分值由所述漏洞规则对漏洞的探测成功率确定，所述侵入性评分值至少基于漏洞探测过程中所述漏洞规则对待测对象的运行造成的影响确定。

作为优选，所述性能限制参数包括对所述侵入性能的限制参数和/或所述漏洞规则的综合性能限制参数；

其中，所述综合性能限制参数由所述探测能力评分值、侵入性评分值以及侵入性接受百分比计算得到，所述侵入性接受百分比或由用户设置，或为默认值。

作为优选，还包括：

确定所述待测对象的正常运行状态，以及在接受漏洞扫描过程中的运行状态；

基于确定的各运行状态确定注入所述待测对象内的所述目标漏洞规则的侵入性数值；

所述至少基于扫描结果生成反馈信息，包括：

至少基于所述扫描结果、侵入性数值及与所述侵入性数值对应的目标漏洞规则确定所述反馈信息。

作为优选，所述基于所述反馈信息更新所述目标漏洞规则的性能评分值，包括：

基于所述反馈信息确定所述待测对象中各漏洞检测位置的扫描结果；

解析所述扫描结果，并基于解析结果分别确定检测所述各漏洞检测位置时使用的目标漏洞规则，以及基于所述使用的目标漏洞规则是否成功检测出漏洞的信息；

基于所述使用的目标漏洞规则以及对应的是否成功检测出漏洞的信息至少确定所述使用的目标漏洞规则的检测成功率；

至少基于所述检测成功率更新对应的所述目标漏洞规则的性能评分值。

作为优选，所述基于所述反馈信息更新所述目标漏洞规则的性能评分值，包括：

基于所述反馈信息确定各所述侵入性数值；

确定各所述侵入性数值中超出阀值的目标侵入性数值；

确定与各所述目标侵入性数值分别对应的目标漏洞规则及其侵入性评分值；

基于所述侵入性数值以及侵入性评分值间的偏差确定匹配地评分调整策略；

基于所述评分调整策略至少调整所述侵入性评分值。

本发明另一实施例同时提供一种漏洞检测系统，包括：

漏洞扫描工具，其用于响应漏洞检测请求，基于所述漏洞检测请求确定待测对象，并能够对待测对象进行漏洞扫描，同时能够至少基于扫描结果生成反馈信息；

漏洞规则库，其用于至少基于所述待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，并将目标规则列表发送至所述漏洞扫描工具，使所述漏洞扫描工具基于所述目标漏洞规则列表对所述待测对象进行扫描，其中，所述目标漏洞规则列表内记录了多条目标漏洞规则，所述漏洞规则库还能够基于接收的所述反馈信息更新所述目标漏洞规则的性能评分值。

基于上述实施例的公开可以获知，本申请实施例具备的有益效果包括：

1、通过预先对各个漏洞规则的性能进行评分，使得在确定目标漏洞规则时能够优先选择评分高的漏洞规则，以确保漏洞检测的成功率及效率。而且在获取到反馈信息之后，能够基于该反馈信息自动更新、调整漏洞规则的原性能评分值，使性能评分值能够实时自动更新，以确保每一次漏洞检测的成功率及速度。

2、用于优化漏洞规则库的反馈信息的信息来源不再局限于测试环境，而是来源于真实的使用环境，使得反馈信息更准确、更写实，而且不需要工作人员不断搭建不同的测试环境。

3、由于漏洞规则的选取支持用户配置或预设默认配置，故可使得每次选取目标漏洞规则时无需再权衡漏洞规则的侵入性及漏洞探测能力，直接按照用户配置或默认配置选择即可，从而进一步提高了漏洞检测效率。

附图说明

图1为本发明实施例中的漏洞扫描方法的流程图。

图2为本发明实施例中检测系统内部的数据交互示意图。

图3为本发明实施例中的漏洞规则库内部数据交互示意图。

图4为本发明实施例中漏洞扫描工具完成一次扫描任务的过程图。

图5为本发明实施例中的漏洞规则库进行性能评分值更新时的方法流程图。

图6为本发明另一实施例中的漏洞规则库进行性能评分值更新时的方法流程图。

图7为本发明另一实施例中的检测系统内部的数据交互示意图。

图8为本发明实施例中的漏洞检测系统的结构框图。

具体实施方式

下面，结合附图对本申请的具体实施例进行详细的描述，但不作为本申请的限定。

应理解的是，可以对此处公开的实施例做出各种修改。因此，下述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。

包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例，并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。

通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本申请的这些和其它特性将会变得显而易见。

还应当理解，尽管已经参照一些具体实例对本申请进行了描述，但本领域技术人员能够确定地实现本申请的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。

当结合附图时，鉴于以下详细说明，本公开的上述和其他方面、特征和优势将变得更为显而易见。

此后参照附图描述本公开的具体实施例；然而，应当理解，所公开的实施例仅仅是本公开的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此，本文所公开的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。

本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本公开的相同或不同实施例中的一个或多个。

下面，结合附图详细的说明本申请实施例。

如图1所示，本申请实施例提供了一种漏洞检测方法，包括：

响应漏洞检测请求，确定待测对象；

至少基于待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，目标漏洞规则列表内记录了多条目标漏洞规则；

基于目标漏洞列表对待测对象进行漏洞扫描；

至少基于扫描结果生成反馈信息；

基于反馈信息更新目标漏洞规则的性能评分值。

例如，用户向网络漏洞检测系统发送了漏洞检测请求，检测系统接收到该请求后进行响应，基于漏洞检测请求的具体信息确定待测对象，如确定是网络漏洞扫描还是主机漏洞扫描，然后可通过漏洞扫描工具对待测对象进行探测，确定检测点的检测位置。在确定待测对象后便可基于待测对象以及规则库中各漏洞规则的性能评分值确定能够应用于待测对象的漏洞规则，再基于性能评分值对漏洞规则进行筛选，确定出性能评分值较高的目标漏洞规则，之后基于该目标漏洞规则生成漏洞规则列表。漏洞扫描工具获得该漏洞规则列表后，便可基于该漏洞规则列表对待测对象的各个检测位置进行漏洞扫描，并记录扫描结果以生成反馈信息，使规则库能够基于反馈信息进行机器学习，以基于学习结果自动更新目标漏洞规则的性能评分值，确保每一次确定目标漏洞规则时，均能够确保目标漏洞规则的性能为当前的最优性能。也就是每次执行的扫描任务都是对漏洞规则的一次更新，对规则库的一次优化，通过不断的优化，漏洞规则评分值会对漏洞规则的性能描述变得越来越精准，如此可有效避免规则库需要定期人工维护的问题，维护人员只需要将新的漏洞规则输入至规则库即可。

因此基于上述实施例的公开可以获知，本申请实施例具备的有益效果在于通过预先对各个漏洞规则的性能进行评分，使得在确定目标漏洞规则时能够优先选择评分高的漏洞规则，以确保漏洞检测的成功率及效率。而且在获取到反馈信息之后，能够基于该反馈信息自动更新、调整漏洞规则的原性能评分值，使性能评分值能够实时自动更新，以确保每一次漏洞检测的成功率及速度。而且，由于用于优化漏洞规则库的反馈信息的信息来源不再局限于测试环境，而是来源于真实的使用环境，故可使得反馈信息更准确、更写实，能够更好地辅助性能评分值的更新。另外，也不再需要工作人员不断搭建不同的测试环境，大大简化了工作人员的工作量。

进一步地，如图2所示，本实施例中的规则库不再仅仅是漏洞规则的容器，本实施例中的规则库内增设了用于对漏洞规则进行评分以及调整评分的模块。故，本实施例中的方法还包括：

将各漏洞规则及其性能评分值预先关联存储至规则库中，性能评分值基于历史检测结果计算确定。

也即，基于历史检测结果或大数据先对已经存在的漏洞规则进行性能评分，得到性能评分值，然后匹配存储各漏洞规则及其性能评分值，以便于后续确定目标漏洞规则时的数据查找及调用。

进一步地，本实施例中的漏洞规则的性能包括漏洞探测能力及侵入性能；

性能评分值包括探测能力评分值及侵入性评分值，其中，探测能力评分值由漏洞规则对漏洞的探测成功率确定，侵入性评分值至少基于漏洞探测过程中漏洞规则对待测对象的运行造成的影响确定。

具体地，在对漏洞规则进行评分时，需要包含探测能力评分和侵入性评分两部分，探测能力评分用于描述漏洞规则对于漏洞的探测能力，侵入性评分用于描述对扫描目标的影响程度。其中，所谓探测能力，顾名思义，指的是在漏洞存在的情况下，使用此漏洞规则能够探测出漏洞的概率，故探测能力评分值可基于漏洞规则的探测成功率进行确定，如该漏洞规则被使用了100次，其中成功探测漏洞的次数为10次，那么显然该漏洞规则的探测能力较弱，故其探测能力评分值则较低；而侵入性，其体现在对服务器提供的服务的影响上。首先，目前很多漏洞规则都会出现影响服务的情况，其主要是因为一些漏洞规则在注入服务器之后并不是通过网页上的特征来判断漏洞规则是否存在，而是通过服务器的状态来判断其是否存在，如注入漏洞规则“sleep(time)”后判断当前服务器响应时间是否变长、注入可能导致正则灾难性回溯从而消耗大量CPU资源的漏洞规则后查看服务器是否延迟升高甚至无法响应、注入漏洞规则“reboot”后查看服务器是否重启等，故影响了对漏洞规则的侵入性的判断，使侵入性问题不易发现。由于目前存在大量具有侵入性的漏洞规则，这些漏洞规则在使用的过程中可能导致服务器在响应时产生严重延迟，甚至产生宕机的情况。因此，对漏洞规则的侵入性进行评分也是十分必要的。本实施例中，在对漏洞规则的侵入性进行评分时是通过衡量其对待测对象的正常运行造成的影响程度确定的。

进一步地，本实施例中的方法还包括：

获得配置信息，配置信息包括漏洞规则的性能限制参数；

至少基于待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，包括：

基于待测对象、个性化要求以及各漏洞规则的性能评分值确定目标漏洞规则，并基于目标漏洞规则形成目标漏洞规则列表。

其中，获得配置信息，包括：

获得用户配置信息，用户配置信息包括用户设置的性能限制参数；或

获得默认配置信息，默认配置信息包括预确定的性能限制参数。

上述步骤表明，用户可以自主设置想要选择的漏洞规则，具体可通过设置漏洞规则的性能限制参数实现，或者漏洞检测系统或用户可以在本次漏洞扫描之前预先设置一个默认配置信息，在用户未对本次扫描设置新的配置信息时，漏洞扫描系统均可以基于该默认配置信息选择目标漏洞规则。本实施例中通过设置该用户配置信息或默认配置信息，不仅可使用户获取到最符合自己需求的漏洞规则列表，而且还可使得规则库每次选取目标漏洞规则时无需再权衡漏洞规则的侵入性及漏洞探测能力，直接按照用户配置或默认配置选择即可，从而进一步提高了漏洞检测效率。

具体地，如图3所示，本实施例中的性能限制参数包括对侵入性能的限制参数和/或漏洞规则的综合性能限制参数；

其中，综合性能限制参数由探测能力评分值、侵入性评分值以及侵入性接受百分比计算得到，侵入性接受百分比或由用户设置，或为默认值。

例如，用户首先需要根据自己的需求设置配置信息，然后漏洞检测系统结合用户配置信息确定出所有漏洞规则中与用户配置信息相关的漏洞规则评分值，并按降序排列漏洞规则的ID(地址信息)，最后基于漏洞规则的ID及其评分值确定目标漏洞规则，并相应生成本次待执行的扫描任务即将使用的漏洞规则列表。

其中，用户配置信息和指定算法可以是多样的，在本实施例中，用户配置信息中的侵入性能的限制参数包括：

侵入性接受程度：其类型为百分比，默认值可设置为20％，其比例越高代表接受程度越高；

侵入性阈值:类型为十分制，默认值可设置为5分，其中，0分代表无影响，3分代表站点延迟变高，5分代表影响站点部分服务受到影响，8分代表站点无法提供服务，10分代表会造成服务器等待测对象宕机。

综合性能限制参数包括：

综合评分阈值：其类型为十分制，默认值可设置为0分。分数越低，代表漏洞规则的可用性越低。

其中，该综合评分值的算法为：

综合评分值＝探测能力评分值-侵入性评分值×(1-侵入性接受程度)

在筛选漏洞规则时，对于漏洞规则的侵入性评分值超过用户配置的侵入性阈值，或侵入性评分值表征的侵入性程度超过用户配置的侵入性接受程度之后，该漏洞规则则不会被放入漏洞规则列表中；而对于漏洞规则的综合评分值超过用户配置的阈值时，该漏洞规则也不会被放入漏洞规则列表中。

进一步地，如图4所示，为了实现对侵入性评分值的更新，使其评分值更能够准确描述漏洞规则的侵入性程度，本申请的方法还包括：

确定待测对象的正常运行状态，以及在接受漏洞扫描过程中的运行状态；

基于确定的各运行状态确定注入待测对象内的目标漏洞规则的侵入性数值；

至少基于扫描结果生成反馈信息，包括：

至少基于扫描结果、侵入性数值及与侵入性数值对应的目标漏洞规则确定反馈信息。

上述步骤表明在一次扫描任务中，除了常规的扫描过程之外，还需要关注各个漏洞规则注入前后待测对象的运行状态，以确定该漏洞规则对待测对象的运行状态的影响程度，即侵入性程度。在生成反馈信息时，需要同时结合扫描结果和表征漏洞规则的侵入性程度的侵入性数值，使基于该反馈信息能够准确说明漏洞规则在本次扫描任务中表现出的实际性能，这些反馈信息被规则库接收后将作为训练数据，用于优化规则库中的漏洞规则评分模块，更新对应的漏洞规则的性能评分值，以适应不断变化的应用环境。

进一步地，在对漏洞规则的性能评分值进行更新时，包括对探测能力评分值的优化更新和侵入性评分值的优化更新。

具体地，如图5所示，本实施例中基于反馈信息更新目标漏洞规则的性能评分值，包括：

基于反馈信息确定待测对象中各漏洞检测位置的扫描结果；

解析扫描结果，并基于解析结果分别确定检测各漏洞检测位置时使用的目标漏洞规则，以及基于使用的目标漏洞规则是否成功检测出漏洞的信息；

基于使用的目标漏洞规则以及对应的是否成功检测出漏洞的信息至少确定使用的目标漏洞规则的检测成功率；

至少基于检测成功率更新对应的目标漏洞规则的性能评分值。

例如，当获取到反馈信息之后，需要解析反馈信息中的扫描结果，扫描结果包含了此次扫描任务过程中所有注入过的漏洞规则以及对漏洞的探测结果。每当一个漏洞规则使用过一次，就需要增加一次探测次数，并基于新的探测次数计算对应的漏洞规则的探测成功率，之后根据该漏洞规则的成功率和新的探测次数计算出新的探测能力评分值，并将该评分值更新至规则库中，以供下次扫描使用。本实施例中通过不断更新探测能力评分值，可使探测能力评分值对一个漏洞规则的探测能力的描述更加的准确，从而保证生成的漏洞规则列表具有更高的检测效率。

进一步地，结合图6所示，本实施例中基于反馈信息更新目标漏洞规则的性能评分值，还包括：

基于反馈信息确定各侵入性数值；

确定各侵入性数值中超出阀值的目标侵入性数值；

确定与各目标侵入性数值分别对应的目标漏洞规则及其侵入性评分值；

基于侵入性数值以及侵入性评分值间的偏差确定匹配地评分调整策略；

基于评分调整策略至少调整侵入性评分值。

例如，当获取到反馈信息之后，需要解析反馈信息中的侵入性记录，以基于该侵入性记录确定侵入性数值，接着分别确定与各侵入性数值对应的目标漏洞规则以及其存储在规则库中的侵入性评分值，计算该侵入性评分值与侵入性数值的偏差，若偏差大于50％，则确定侵入性数值是否大与侵入性评分值，若是则侵入性评分加0.1，否则，侵入性评分减去0.1进而得到新的侵入性评分。而若偏差未大于50％，则同样先确定侵入性数值是否大与侵入性评分值，若是，则计算侵入性数值与准确率的乘积与侵入性评分值的和，并基于该和更新原侵入性评分值，而若否，则计算侵入性数值与准确率的乘积与侵入性评分值的差，并基于该差更新原侵入性评分值。上述调整过程均是根据确定的评分调整策略实现的，而评分调整策略不唯一，上述调整过程仅为其中一种实施例。

本实施例采用上述调整方式是由于每一次扫描任务的执行过程中，待测对象的运行状态均可能会受到多方因素影响。因此，对于一个漏洞规则的侵入性不能简单的使用多次扫描任务的平均影响程度来评判，当反馈信息中的侵入性数值与规则库中的侵入性评分值间的偏差较大时，反馈信息中的侵入性数值将不被信任，故只需要对漏洞规则库中的侵入性评分值做细微的调整即可，以避免因某一次记录的侵入性数值而对原侵入性评分值造成较大的影响。

进一步地，如图7所示，由于本实施例中的规则库不再是简简单单的漏洞规则的容器，所以本实施例中的规则库可以单独搭建，而且其可以同时为多个自动化漏洞扫描工具提供服务，即，能够与多个漏洞扫描工具同时实现交互，再次提高了规则库中漏洞规则的优化效率。

如图8所示，本发明另一实施例同时提供一种漏洞检测系统，包括：

漏洞扫描工具，其用于响应漏洞检测请求，基于漏洞检测请求确定待测对象，并能够对待测对象进行漏洞扫描，同时能够至少基于扫描结果生成反馈信息；

漏洞规则库，其用于至少基于待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，并将目标规则列表发送至漏洞扫描工具，使漏洞扫描工具基于目标漏洞规则列表对待测对象进行扫描，其中，目标漏洞规则列表内记录了多条目标漏洞规则，漏洞规则库还能够基于接收的反馈信息更新目标漏洞规则的性能评分值。

也即，漏洞扫描工具和漏洞规则库各自独立、单独部署，同时双方能够为对方提供服务。本实施例中的漏洞扫描工具为自动化漏洞扫描工具，当用户向网络漏洞扫描工具发送了漏洞检测请求，漏洞扫描工具接收到该请求后进行响应，基于漏洞检测请求的具体信息确定待测对象，如确定是网络漏洞扫描还是主机漏洞扫描，然后可通过漏洞扫描工具对待测对象进行探测，确定检测点的检测位置。在确定待测对象后便可基于待测对象以及规则库中各漏洞规则的性能评分值确定能够应用于待测对象的漏洞规则，再基于性能评分值对漏洞规则进行筛选，确定出性能评分值较高的目标漏洞规则，之后基于该目标漏洞规则生成漏洞规则列表。漏洞扫描工具获得该漏洞规则列表后，便可基于该漏洞规则列表对待测对象的各个检测位置进行漏洞扫描，并记录扫描结果以生成反馈信息，使规则库能够基于反馈信息进行机器学习，以基于学习结果自动更新目标漏洞规则的性能评分值，确保每一次确定目标漏洞规则时，均能够确保目标漏洞规则的性能为当前的最优性能。也就是每次执行的扫描任务都是对漏洞规则的一次更新，对规则库的一次优化，通过不断的优化，漏洞规则评分值会对漏洞规则的性能描述变得越来越精准，如此可有效避免规则库需要定期人工维护的问题，维护人员只需要将新的漏洞规则输入至规则库即可。

因此基于上述实施例的公开可以获知，本申请实施例具备的有益效果在于通过预先对各个漏洞规则的性能进行评分，使得在确定目标漏洞规则时能够优先选择评分高的漏洞规则，以确保漏洞检测的成功率及效率。而且在获取到反馈信息之后，能够基于该反馈信息自动更新、调整漏洞规则的原性能评分值，使性能评分值能够实时自动更新，以确保每一次漏洞检测的成功率及速度。而且，由于用于优化漏洞规则库的反馈信息的信息来源不再局限于测试环境，而是来源于真实的使用环境，故可使得反馈信息更准确、更写实，能够更好地辅助性能评分值的更新。另外，也不再需要工作人员不断搭建不同的测试环境，大大简化了工作人员的工作量。

进一步地，本实施例中的规则库不再仅仅是漏洞规则的容器，本实施例中的规则库内增设了用于对漏洞规则进行评分以及调整评分的模块。故，本实施例中的漏洞规则库还用于：

将各漏洞规则及其性能评分值预先关联存储至规则库中，性能评分值基于历史检测结果计算确定。

也即，基于历史检测结果或大数据先对已经存在的漏洞规则进行性能评分，得到性能评分值，然后匹配存储各漏洞规则及其性能评分值，以便于后续确定目标漏洞规则时的数据查找及调用。

进一步地，本实施例中的漏洞规则的性能包括漏洞探测能力及侵入性能；

性能评分值包括探测能力评分值及侵入性评分值，其中，探测能力评分值由漏洞规则对漏洞的探测成功率确定，侵入性评分值至少基于漏洞探测过程中漏洞规则对待测对象的运行造成的影响确定。

具体地，在对漏洞规则进行评分时，需要包含探测能力评分和侵入性评分两部分，探测能力评分用于描述漏洞规则对于漏洞的探测能力，侵入性评分用于描述对扫描目标的影响程度。其中，所谓探测能力，顾名思义，指的是在漏洞存在的情况下，使用此漏洞规则能够探测出漏洞的概率，故探测能力评分值可基于漏洞规则的探测成功率进行确定，如该漏洞规则被使用了100次，其中成功探测漏洞的次数为10次，那么显然该漏洞规则的探测能力较弱，故其探测能力评分值则较低；而侵入性，其体现在对服务器提供的服务的影响上。首先，目前很多漏洞规则都会出现影响服务的情况，其主要是因为一些漏洞规则在注入服务器之后并不是通过网页上的特征来判断漏洞规则是否存在，而是通过服务器的状态来判断其是否存在，如注入漏洞规则“sleep(time)”后判断当前服务器响应时间是否变长、注入可能导致正则灾难性回溯从而消耗大量CPU资源的漏洞规则后查看服务器是否延迟升高甚至无法响应、注入漏洞规则“reboot”后查看服务器是否重启等，故影响了对漏洞规则的侵入性的判断，使侵入性问题不易发现。由于目前存在大量具有侵入性的漏洞规则，这些漏洞规则在使用的过程中可能导致服务器在响应时产生严重延迟，甚至产生宕机的情况。因此，对漏洞规则的侵入性进行评分也是十分必要的。本实施例中，在对漏洞规则的侵入性进行评分时是通过衡量其对待测对象的正常运行造成的影响程度确定的。

进一步地，本实施例中的漏洞扫描工具还用于：

获得配置信息，配置信息包括漏洞规则的性能限制参数；

至少基于待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，包括：

当漏洞规则库基于待测对象、个性化要求以及各漏洞规则的性能评分值确定目标漏洞规则，并基于目标漏洞规则形成目标漏洞规则列表。

其中，获得配置信息，包括：

获得用户配置信息，用户配置信息包括用户设置的性能限制参数；或

获得默认配置信息，默认配置信息包括预确定的性能限制参数。

上述步骤表明，用户可以自主设置想要选择的漏洞规则，具体可通过设置漏洞规则的性能限制参数实现，或者漏洞检测系统或用户可以在本次漏洞扫描之前预先设置一个默认配置信息，在用户未对本次扫描设置新的配置信息时，漏洞扫描系统均可以基于该默认配置信息选择目标漏洞规则。本实施例中通过设置该用户配置信息或默认配置信息，不仅可使用户获取到最符合自己需求的漏洞规则列表，而且还可使得规则库每次选取目标漏洞规则时无需再权衡漏洞规则的侵入性及漏洞探测能力，直接按照用户配置或默认配置选择即可，从而进一步提高了漏洞检测效率。

具体地，本实施例中的性能限制参数包括对侵入性能的限制参数和/或漏洞规则的综合性能限制参数；

其中，综合性能限制参数由探测能力评分值、侵入性评分值以及侵入性接受百分比计算得到，侵入性接受百分比或由用户设置，或为默认值。

例如，用户首先需要根据自己的需求设置配置信息，然后漏洞检测系统结合用户配置信息确定出所有漏洞规则中与用户配置信息相关的漏洞规则评分值，并按降序排列漏洞规则的ID(地址信息)，最后基于漏洞规则的ID及其评分值确定目标漏洞规则，并相应生成本次待执行的扫描任务即将使用的漏洞规则列表。

其中，用户配置信息和指定算法可以是多样的，在本实施例中，用户配置信息中的侵入性能的限制参数包括：

侵入性接受程度：其类型为百分比，默认值可设置为20％，其比例越高代表接受程度越高；

侵入性阈值:类型为十分制，默认值可设置为5分，其中，0分代表无影响，3分代表站点延迟变高，5分代表影响站点部分服务受到影响，8分代表站点无法提供服务，10分代表会造成服务器等待测对象宕机。

综合性能限制参数包括：

综合评分阈值：其类型为十分制，默认值可设置为0分。分数越低，代表漏洞规则的可用性越低。

其中，该综合评分值的算法为：

综合评分值＝探测能力评分值-侵入性评分值×(1-侵入性接受程度)

在筛选漏洞规则时，对于漏洞规则的侵入性评分值超过用户配置的侵入性阈值，或侵入性评分值表征的侵入性程度超过用户配置的侵入性接受程度之后，该漏洞规则则不会被放入漏洞规则列表中；而对于漏洞规则的综合评分值超过用户配置的阈值时，该漏洞规则也不会被放入漏洞规则列表中。

进一步地，为了实现对侵入性评分值的更新，使其评分值更能够准确描述漏洞规则的侵入性程度，本申请的漏洞扫描工具还用于：

确定待测对象的正常运行状态，以及在接受漏洞扫描过程中的运行状态；

基于确定的各运行状态确定注入待测对象内的目标漏洞规则的侵入性数值；

至少基于扫描结果生成反馈信息，包括：

至少基于扫描结果、侵入性数值及与侵入性数值对应的目标漏洞规则确定反馈信息。

上述步骤表明在一次扫描任务中，除了常规的扫描过程之外，还需要关注各个漏洞规则注入前后待测对象的运行状态，以确定该漏洞规则对待测对象的运行状态的影响程度，即侵入性程度。在生成反馈信息时，需要同时结合扫描结果和表征漏洞规则的侵入性程度的侵入性数值，使基于该反馈信息能够准确说明漏洞规则在本次扫描任务中表现出的实际性能，这些反馈信息被规则库接收后将作为训练数据，用于优化规则库中的漏洞规则评分模块，更新对应的漏洞规则的性能评分值，以适应不断变化的应用环境。

进一步地，在对漏洞规则的性能评分值进行更新时，包括对探测能力评分值的优化更新和侵入性评分值的优化更新。

具体地，如图所示，本实施例中的漏洞规则库基于反馈信息更新目标漏洞规则的性能评分值，包括：

基于反馈信息确定待测对象中各漏洞检测位置的扫描结果；

解析扫描结果，并基于解析结果分别确定检测各漏洞检测位置时使用的目标漏洞规则，以及基于使用的目标漏洞规则是否成功检测出漏洞的信息；

基于使用的目标漏洞规则以及对应的是否成功检测出漏洞的信息至少确定使用的目标漏洞规则的检测成功率；

至少基于检测成功率更新对应的目标漏洞规则的性能评分值。

例如，当获取到反馈信息之后，需要解析反馈信息中的扫描结果，扫描结果包含了此次扫描任务过程中所有注入过的漏洞规则以及对漏洞的探测结果。每当一个漏洞规则使用过一次，就需要增加一次探测次数，并基于新的探测次数计算对应的漏洞规则的探测成功率，之后根据该漏洞规则的成功率和新的探测次数计算出新的探测能力评分值，并将该评分值更新至规则库中，以供下次扫描使用。本实施例中通过不断更新探测能力评分值，可使探测能力评分值对一个漏洞规则的探测能力的描述更加的准确，从而保证生成的漏洞规则列表具有更高的检测效率。

进一步地，结合图所示，本实施例中的漏洞规则库基于反馈信息更新目标漏洞规则的性能评分值，还包括：

基于反馈信息确定各侵入性数值；

确定各侵入性数值中超出阀值的目标侵入性数值；

确定与各目标侵入性数值分别对应的目标漏洞规则及其侵入性评分值；

基于侵入性数值以及侵入性评分值间的偏差确定匹配地评分调整策略；

基于评分调整策略至少调整侵入性评分值。

例如，当获取到反馈信息之后，需要解析反馈信息中的侵入性记录，以基于该侵入性记录确定侵入性数值，接着分别确定与各侵入性数值对应的目标漏洞规则以及其存储在规则库中的侵入性评分值，计算该侵入性评分值与侵入性数值的偏差，若偏差大于50％，则确定侵入性数值是否大与侵入性评分值，若是则侵入性评分加0.1，否则，侵入性评分减去0.1进而得到新的侵入性评分。而若偏差未大于50％，则同样先确定侵入性数值是否大与侵入性评分值，若是，则计算侵入性数值与准确率的乘积与侵入性评分值的和，并基于该和更新原侵入性评分值，而若否，则计算侵入性数值与准确率的乘积与侵入性评分值的差，并基于该差更新原侵入性评分值。上述调整过程均是根据确定的评分调整策略实现的，而评分调整策略不唯一，上述调整过程仅为其中一种实施例。

本实施例采用上述调整方式是由于每一次扫描任务的执行过程中，待测对象的运行状态均可能会受到多方因素影响。因此，对于一个漏洞规则的侵入性不能简单的使用多次扫描任务的平均影响程度来评判，当反馈信息中的侵入性数值与规则库中的侵入性评分值间的偏差较大时，反馈信息中的侵入性数值将不被信任，故只需要对漏洞规则库中的侵入性评分值做细微的调整即可，以避免因某一次记录的侵入性数值而对原侵入性评分值造成较大的影响。

进一步地，由于本实施例中的规则库不再是简简单单的漏洞规则的容器，所以本实施例中的规则库可以单独搭建，而且其可以同时为多个自动化漏洞扫描工具提供服务，即，能够与多个漏洞扫描工具同时实现交互，再次提高了规则库中漏洞规则的优化效率。

以上实施例仅为本申请的示例性实施例，不用于限制本申请，本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内，对本申请做出各种修改或等同替换，这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (9)

1.一种漏洞检测方法，包括：

响应漏洞检测请求，确定待测对象；

至少基于所述待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，所述目标漏洞规则列表内记录了多条目标漏洞规则，所述漏洞规则为漏洞扫描模拟攻击过程中向检测目标注入的内容，所述漏洞规则的性能包括漏洞探测能力及侵入性能，所述性能评分值包括探测能力评分值及侵入性评分值；

基于所述目标漏洞列表对待测对象进行漏洞扫描；

至少基于扫描结果生成反馈信息；

基于所述反馈信息更新所述目标漏洞规则的性能评分值；

获得配置信息，所述配置信息包括所述漏洞规则的性能限制参数；

所述至少基于所述待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，包括：

基于所述待测对象、个性化要求以及各漏洞规则的性能评分值确定目标漏洞规则，并基于所述目标漏洞规则形成所述目标漏洞规则列表。

2.根据权利要求1所述的方法，其中，还包括：

将各所述漏洞规则及其性能评分值预先关联存储至规则库中，所述性能评分值基于历史检测结果计算确定。

3.根据权利要求1所述的方法，其中，所述获得配置信息，包括：

获得用户配置信息，所述用户配置信息包括用户设置的所述性能限制参数；或

获得默认配置信息，所述默认配置信息包括预确定的所述性能限制参数。

4.根据权利要求1所述的方法，其中，所述漏洞规则的性能包括漏洞探测能力及侵入性能；

所述性能评分值包括探测能力评分值及侵入性评分值，其中，所述探测能力评分值由所述漏洞规则对漏洞的探测成功率确定，所述侵入性评分值至少基于漏洞探测过程中所述漏洞规则对待测对象的运行造成的影响确定。

5.根据权利要求4所述的方法，其中，所述性能限制参数包括对所述侵入性能的限制参数和/或所述漏洞规则的综合性能限制参数；

其中，所述综合性能限制参数由所述探测能力评分值、侵入性评分值以及侵入性接受百分比计算得到，所述侵入性接受百分比或由用户设置，或为默认值。

6.根据权利要求4所述的方法，其中，还包括：

确定所述待测对象的正常运行状态，以及在接受漏洞扫描过程中的运行状态；

基于确定的各运行状态确定注入所述待测对象内的所述目标漏洞规则的侵入性数值；

所述至少基于扫描结果生成反馈信息，包括：

至少基于所述扫描结果、侵入性数值及与所述侵入性数值对应的目标漏洞规则确定所述反馈信息。

7.根据权利要求1或4所述的方法，其中，所述基于所述反馈信息更新所述目标漏洞规则的性能评分值，包括：

基于所述反馈信息确定所述待测对象中各漏洞检测位置的扫描结果；

解析所述扫描结果，并基于解析结果分别确定检测所述各漏洞检测位置时使用的目标漏洞规则，以及基于所述使用的目标漏洞规则是否成功检测出漏洞的信息；

基于所述使用的目标漏洞规则以及对应的是否成功检测出漏洞的信息至少确定所述使用的目标漏洞规则的检测成功率；

至少基于所述检测成功率更新对应的所述目标漏洞规则的性能评分值。

8.根据权利要求6所述的方法，其中，所述基于所述反馈信息更新所述目标漏洞规则的性能评分值，包括：

基于所述反馈信息确定各所述侵入性数值；

确定各所述侵入性数值中超出阀值的目标侵入性数值；

确定与各所述目标侵入性数值分别对应的目标漏洞规则及其侵入性评分值；

基于所述侵入性数值以及侵入性评分值间的偏差确定匹配地评分调整策略；

基于所述评分调整策略至少调整所述侵入性评分值。

9.一种漏洞检测系统，包括：

漏洞扫描工具，其用于响应漏洞检测请求，基于所述漏洞检测请求确定待测对象，并能够对待测对象进行漏洞扫描，同时能够至少基于扫描结果生成反馈信息；

漏洞规则库，其用于至少基于所述待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，并将目标规则列表发送至所述漏洞扫描工具，使所述漏洞扫描工具基于所述目标漏洞规则列表对所述待测对象进行扫描，其中，所述目标漏洞规则列表内记录了多条目标漏洞规则，所述漏洞规则库还能够基于接收的所述反馈信息更新所述目标漏洞规则的性能评分值，所述漏洞规则为漏洞扫描模拟攻击过程中向检测目标注入的内容，所述漏洞规则的性能包括漏洞探测能力及侵入性能，所述性能评分值包括探测能力评分值及侵入性评分值；

其中，所述漏洞规则库还用于获得配置信息，所述配置信息包括所述漏洞规则的性能限制参数；

所述至少基于所述待测对象以及规则库中各漏洞规则的性能评分值确定目标漏洞规则列表，包括：

基于所述待测对象、个性化要求以及各漏洞规则的性能评分值确定目标漏洞规则，并基于所述目标漏洞规则形成所述目标漏洞规则列表。

Images