CN112182588A - 基于威胁情报的操作系统漏洞分析检测方法及系统 - Google Patents
基于威胁情报的操作系统漏洞分析检测方法及系统 Download PDFInfo
- Publication number
- CN112182588A CN112182588A CN202011139274.0A CN202011139274A CN112182588A CN 112182588 A CN112182588 A CN 112182588A CN 202011139274 A CN202011139274 A CN 202011139274A CN 112182588 A CN112182588 A CN 112182588A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- operating system
- information
- security
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012038 vulnerability analysis Methods 0.000 title claims abstract description 35
- 238000001514 detection method Methods 0.000 title claims abstract description 28
- 230000008439 repair process Effects 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims abstract description 36
- 238000004458 analytical method Methods 0.000 claims description 86
- 230000009191 jumping Effects 0.000 claims description 15
- 238000009434 installation Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 12
- 206010048669 Terminal state Diseases 0.000 claims description 8
- 230000003993 interaction Effects 0.000 claims description 7
- 238000012795 verification Methods 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 5
- 238000011144 upstream manufacturing Methods 0.000 claims description 5
- 238000012360 testing method Methods 0.000 description 25
- 238000005516 engineering process Methods 0.000 description 23
- 230000035515 penetration Effects 0.000 description 19
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000012423 maintenance Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000008595 infiltration Effects 0.000 description 2
- 238000001764 infiltration Methods 0.000 description 2
- UQGKUQLKSCSZGY-UHFFFAOYSA-N Olmesartan medoxomil Chemical compound C=1C=C(C=2C(=CC=CC=2)C2=NNN=N2)C=CC=1CN1C(CCC)=NC(C(C)(C)O)=C1C(=O)OCC=1OC(=O)OC=1C UQGKUQLKSCSZGY-UHFFFAOYSA-N 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
Abstract
本发明公开了一种基于威胁情报的操作系统漏洞分析检测方法及系统,本发明方法包括根据漏洞信息发布平台提供的安全漏洞信息更新安全漏洞信息数据库;结合被检测的操作系统所安装并使用的产品及其版本信息,将其与安全漏洞信息数据库中记录的安全漏洞信息进行对比,分析出被检测的操作系统存在的安全隐患。本发明可利用国内外公开的威胁情报数据构建安全漏洞信息数据库,结合被检测的操作系统上所安装并使用的产品及其版本信息数据,通过产品版本号比对的方式分析出被检测的操作系统存在的安全隐患,具有漏洞检测准确可靠、时效性强的优点,并可根据面临的安全隐患实施修复方案。
Description
技术领域
本发明涉及操作系统安全漏洞检测技术,具体涉及一种基于威胁情报的操作系统漏洞分析检测方法及系统。
背景技术
操作系统安全漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题也会长期存在。因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。现有的操作系统漏洞分析技术主要包括:网络安全扫描技术和渗透测试技术,这些技术目前已有相应的开源、商业产品或工具,例如绿盟安全扫描软件、nessus、openvas、metasploit等。
网络安全扫描技术是一种重要的网络安全技术。安全扫描技术与防火墙技术、入侵检测系统互相配合,能够有效的提高网络安全性,通过对网络的扫描,网络安全管理员可以了解操作系统的安全配置、运行服务的安全配置,及时的发现存在的安全隐患,客观的评估操作系统的面临的风险等级,在黑客攻击前进行防范。
渗透测试技术是一种由客户驱动,利用测试人员所掌握的攻击技术尽可能的模拟真正的黑客对系统进行不造成任何损失的攻击性检测,最终获取目标系统访问控制权的技术。其目的在于提前发现安全问题,减少和控制安全风险,其方法主要有黑盒测试、白盒测试、灰盒测试。其渗透测试流程主要包括:前提交互阶段、情报搜集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透攻击阶段、总体评估阶段。
而针对操作系统的漏洞层出不穷,由用户个体对操作系统进行安全扫描和渗透测试是不现实的。同时,各种国内外漏洞信息平台会定时发布漏洞威胁情报,利用这些威胁情报对现行的操作系统进行安全评估,是切实可行的。目前,仍然没有相关的工具或系统能够基于威胁情报实现完整的收集、分析和预警功能。
现有的操作系统漏洞分析技术包括网络安全扫描技术和渗透测试分析技术,然而现有的网络安全扫描技术存在以下问题:(1)存在误报,现有的网络安全扫描技术是通过嗅探网络服务在运行时留下的指纹痕迹来获取相关的服务信息,这种方式很大程度上存在误差,从而影响到获取的操作系统网络服务信息的精确性,进而使最终的扫描分析报告结果存在准确性误差。(2)不够全面,操作系统在运行时会根据业务需求来提供服务,而很多存在安全隐患的服务在操作系统在正常的业务部署后处于静默状态,而这部分处于静默状态的服务并不会在网络上留下指纹,导致其无法被现有的网络安全扫描技术所发现,因此最终的扫描报告结果并不会指出这些服务所存在的安全隐患。(3)不够精准,系统供应商在对其操作系统产品、集成的软件产品进行安全更新时,通常以迭代的方式进行,整个安全更新过程是一个动态的过程,每一次安全更新带来的产品差异、系统差异通常很小,现有的网络安全更新技术无法精确的定位到这些产品差异,并且很难针对所有产品对应的所有的版本建立起一个精确的、完整的安全漏洞数据库,应此最终的扫描报告受此影响也很难做出精准的分析。
而现有的渗透测试分析技术,渗透测试发现能否发现问题主要有以下因素:(1)渗透测试的深度受限于经费和目的:①操作系统的漏洞影藏在操作系统的各个方面,很难做到全面。②个人的能力对测试的结果有大的影响。(2)渗透测试工具:①渗透测试的结果受各种系统、应用的配置参数的影响,而这种系统、应用的配置参数的配置通常是操作系统对外提供的功能接口,其最终的状态掌握在操作系统用户手中,并且这些状态可能会随着用户需求进行改变,因此同一个应用、软件在不同配置状态对渗透测试结果都有很大的影响,而现有的渗透测试分析技术无法结合这些要素进行评判。②只能对操作系统暴露的攻击面进行测试,无法发现操作系统内攻击路径之外的所有问题。
因此,目前的安全渗透测试对操作系统的安全漏洞分析检测存在以下问题:(1)不够全面,从渗透测试工具角度上看无法面面俱到,从人为的因素讲,一个人是无法精通操作系统各个软件和应用的,因此也无法做到针对每一个产品和应用提出深层次威胁建模和测试。(2)深度不够,从渗透测试过程的角度上看,每一条渗透测试中利用的攻击路径都是人为结合渗透测试工具进行的,因此最终的攻击路径都是固定的,受限与目的和经费,因为渗透测试的目的是获取目标主机的控制权限,对于一些攻击路径之外的安全漏洞来说,并不一定会被发现,同样经费也是制约渗透测试深度的一个重要原因。
发明内容
本发明要解决的技术问题:针对现有的安全漏洞扫描技术存在误报、漏报、无法发现非网络服务产品存在的安全漏洞及渗透问题,以及现有渗透测试技术对所发现的安全隐患不够深入、不够全面的问题,提供一种基于威胁情报的操作系统漏洞分析检测方法及系统,本发明可利用国内外公开的威胁情报数据构建安全漏洞信息数据库,结合被检测的操作系统上所安装并使用的产品及其版本信息数据,通过产品版本号比对的方式分析出被检测的操作系统存在的安全隐患,具有漏洞检测准确可靠、时效性强的优点,并可根据面临的安全隐患实施修复方案。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于威胁情报的操作系统漏洞分析检测方法,包括:
1)根据漏洞信息发布平台提供的安全漏洞信息更新安全漏洞信息数据库;
2)结合被检测的操作系统所安装并使用的产品及其版本信息,将其与安全漏洞信息数据库中记录的安全漏洞信息进行对比,分析出被检测的操作系统存在的安全隐患。
可选地,步骤1)包括:
1.1)收集漏洞信息发布平台更新的安全漏洞信息;
1.2)针对收集得到的安全漏洞信息,首先基于对应的操作系统核实安全漏洞信息使用的软硬件环境、应用的版本、漏洞修复版本,针对有漏洞验证程序的安全漏洞还包括执行漏洞验证程序生成验证结果;然后针对该安全漏洞对应的操作系统,利用数据样本采集工具针对某一个具体版本的操作系统进行样本信息采集,将这些样本数据与自身的威胁情报数据库进行比对分析得到漏洞信息分析结果;
1.3)根据漏洞信息分析结果生成详细的漏洞影响分析报告及安全漏洞修复方案,并将漏洞影响分析报告及安全漏洞修复方案加入安全漏洞信息数据库。
可选地,所述安全漏洞信息数据库中每一条安全漏洞信息包含下述信息:安全漏洞编号、漏洞描述、危害程度、影响产品、影响版本、修复版本、补丁信息、影响状态以及验证程序,其中影响状态包括终结状态和未终结状态两类状态,终结状态包括、忽略以及不受影响三种状态,未终结状态包括未修复、等待上游补丁以及评估中三种状态。
可选地,步骤2)包括:
2.1)在被检测的操作系统上运行样本采集程序,获取操作系统样本数据,包括操作系统上搭载的产品的操作系统样本信息列表,所述操作系统样本信息列表包含被检测的操作系统上已安装、已部署的应用名称及其版本号;
2.2)通过解析获取的操作系统样本信息列表并查询安全漏洞信息数据库,获取每个产品所有的安全漏洞信息,并通过对比操作系统样本信息列表中记录的版本号和这些安全漏洞信息对应的修复版本即得出是否此安全漏洞的影响的分析结果。
可选地,步骤2.2)通过解析获取的操作系统样本信息列表并查询安全漏洞信息数据库时,针对每个产品采用的漏洞分析匹配的步骤包括:
2.2.1)执行规则一:判断此产品是否有对应的安全漏洞信息条目,如果有则跳转执行步骤2.2.2),如果没有,则跳出分析匹配规则并退出;
2.2.2)执行规则二:判断此产品对应的该漏洞信息是否有修复状态,如果修复状态处于“忽略”、“不受影响”,给出“忽略”或者“不受影响”的分析结果并跳出分析匹配规则,结束并退出;如果修复状态处于其它状态,则跳转执行步骤2.2.3);
2.2.3)执行规则三,判断此产品对应的该漏洞信息是否有修复版本,如果有则跳转执行步骤2.2.4);如果没有,给出“未修复”的分析结果并跳出分析匹配规则,结束并退出;
2.2.4)执行规则四:判断此产品的安装版本是否大于或者等于对应漏洞信息的修复版本,如果大于或者等于修复版本,则给出“已修复”的分析结果,并跳出分析匹配规则,结束并退出;否则跳转执行步骤2.2.5);
2.2.5)执行规则五,判断此产品的安装版本是否处于影响版本之内,如果在,则给出“未修复”的分析结果、给出修复版本、给出修复资料的下载链接并跳出分析匹配规则,否则给出“不受影响”的分析结果,给出修复版本、影响版本域并跳出分析匹配规则。
可选地,步骤2)之后还包括将分析结果以安全威胁分析报告输出给用户的步骤。
可选地,所述安全威胁分析报告包括:操作系统内尚未修复的安全漏洞信息统计及详情、操作系统内已经修复的安全漏洞信息统计及详情、操作系统内处于忽略状态的安全漏洞信息统计及详情、以及操作系统内处于不受影响状态的安全漏洞信息统计及详情。
可选地,所述将分析结果以安全威胁分析报告输出给用户之后还包括基于用户交互制定修复方案的步骤:针对尚未修复的安全漏洞,通过与用户交互的方式来实施最终的修复方案,修复方案如得到用户许可,则将从安全漏洞数据库自动获取最终的修复资料并进行安全更新,从而实现操作系统的安全更新。
此外,本发明还提供一种基于威胁情报的操作系统漏洞分析检测系统,包括计算机设备,所述计算机设备包括相互连接的微处理器和存储器,所述微处理器被编程或配置以执行前述基于威胁情报的操作系统漏洞分析检测方法的步骤,或者所述存储器中存储有被编程或配置以执行前述基于威胁情报的操作系统漏洞分析检测方法的计算机程序。
此外,本发明还提供一种计算机可读存储介质,该计算机可读存储介质中存储有被编程或配置以执行前述基于威胁情报的操作系统漏洞分析检测方法的计算机程序。
和现有技术相比,本发明具有下述优点:本发明包括根据漏洞信息发布平台提供的安全漏洞信息更新安全漏洞信息数据库;结合被检测的操作系统所安装并使用的产品及其版本信息,将其与安全漏洞信息数据库中记录的安全漏洞信息进行对比,分析出被检测的操作系统存在的安全隐患,通过构建并更新维护一个安全漏洞信息数据库,该安全漏洞信息数据库内存储了操作系统所有产品存在的安全隐患信息,针对每一个安全隐患的修复版本、修复状态,通过比对操作系统上该产品的安装版本得出操作系统安全隐患分析报告,由于是通过详细的、精准的操作系统组件产品版本信息而非“网络服务指纹”,从而得出更加准确、实效的操作系统安全隐患分析结果。
附图说明
图1为本发明实施例方法的基本流程示意图。
图2为本发明实施例中漏洞信息收集模块的结构示意图。
图3为本发明实施例中漏洞信息收集模块执行步骤1)的流程示意图。
图4为本发明实施例中漏洞信息分析模块的结构示意图。
图5为本发明实施例中漏洞信息分析模块执行步骤2)的流程示意图。
图6为本发明实施例中安全漏洞预警模块的结构示意图。
图7为本发明实施例中安全漏洞预警模块执行步骤3)的流程示意图。
具体实施方式
如图1所示,本实施例基于威胁情报的操作系统漏洞分析检测方法包括:
1)根据漏洞信息发布平台提供的安全漏洞信息更新安全漏洞信息数据库;
2)结合被检测的操作系统所安装并使用的产品及其版本信息,将其与安全漏洞信息数据库中记录的安全漏洞信息进行对比,分析出被检测的操作系统存在的安全隐患。
本实施例方法可利用威胁情报分析技术,收集国际、国内上主流的漏洞信息发布平台提供的漏洞威胁情报,统一漏洞信息、核实漏洞威胁情报,将这些漏洞威胁信息标准化成可以对操作系统是否受影响进行评估、分析的标准,最终利用自身的分析逻辑给出操作系统是否受影响的漏洞检测方法。
本实施例中,步骤1)包括:
1.1)收集漏洞信息发布平台更新的安全漏洞信息;
通常在整个漏洞信息发布流程中,各种情报散落在漏洞信息公布流程的各个阶段,例如CVE官方漏洞信息发布平台只会给出漏洞的基本信息,很难做到对主流的所有的操作系统、软硬件组件、应用,都给出详细的影响分析报告,因为这些详细的影响分析通常由受影响的操作系统厂商、软硬件开发商、应用维护组织进行分析、评估、修复,此外,一些白客、黑客、灰客组织也发布一些漏洞验证程序,这些漏洞验证程序通常是基于特定的软件环境,并不会对也不可能对所有的环境进行验证,因此基于情报威胁的操作系统漏洞检测技术首先需要收集这些分布在各个阶段的情报,将这些信息统一进行标准化入库,形成漏洞信息发布平台的漏洞威胁情报数据库。
本实施例中,漏洞威胁情报数据库的来源包括:(1)CVE、CNNVD等国际主流的安全漏洞发布平台;(2)Ubuntu cve tracker、Redahat security databases、Kylin securitydatabases等操作系统厂商的安全漏洞数据。
本实施例中,步骤1.1)主要由漏洞管理系统完成,为了构建操作系统安全漏洞库,需要利用相关的网络爬虫工具定期的对国际上主流的安全漏洞库所提供的查询接口进行爬取,获取相关的安全漏洞信息,根据国际上已收录的漏洞信息确定其漏洞安全编号、危害程度、威胁类型、影响产品,再基于这些信息利用爬虫工具获取该产品上游厂家或者操作系统厂家所提供的查询接口确定其影响版本、修复状态、修复版本、补丁信息等,最终将这些信息进行标准化并录入安全漏洞数据库。本实施例中,漏洞信息的收集的步骤如下:遍历漏洞信息发布平台,收集新增的漏洞信息的基本版本,来源主要是CVE漏洞信息官方发布平台、CNNVD漏洞信息官方发布平台,相关信息入库存储;CVE漏洞信息官方发布平台收集漏洞信息英文描述、CNNVD漏洞信息官方发布平台收集漏洞信息中文描述,相关信息入库存储;Ubuntu security notice、Redhat security databases等操作系统安全维护团队获取该漏洞的影响分析情报,有以下几种情况:已修复,获取其修复版本、修复连接,相关信息入库存储;忽略、不受影响,获取其忽略和不受影响的理由,相关信息入库存储;其它未修复状态,例如评估中、测试验证中、等待上游补丁等状态都作为“未修复”进行处理,相关信息入库存储;对于处于未修复状态的漏洞信息,下次爬虫工具例行进行漏洞信息更新时,重新进入漏洞信息收集流程。针对未修复的漏洞信息需要爬虫工具反复定期获取,直至修复状态达到已修复、忽略、不受影响,同时安全漏洞信息库会随着安全漏洞信息库内的数据逐渐增加,还需要提供一系列的管理接口,这些接口会需要进行测试、优化用以保障数据库内信息的时效性、查询的高速行、信息的准确性。
1.2)针对收集得到的安全漏洞信息,首先基于对应的操作系统(例如麒麟操作系统)核实安全漏洞信息使用的软硬件环境、应用的版本、漏洞修复版本,针对有漏洞验证程序的安全漏洞还包括执行漏洞验证程序生成验证结果;然后针对该安全漏洞对应的操作系统,利用数据样本采集工具针对某一个具体版本的操作系统进行样本信息采集,将这些样本数据与自身的威胁情报数据库进行比对分析得到漏洞信息分析结果;
1.3)根据漏洞信息分析结果生成详细的漏洞影响分析报告及安全漏洞修复方案,并将漏洞影响分析报告及安全漏洞修复方案加入安全漏洞信息数据库。
本实施例中,安全漏洞信息数据库中每一条安全漏洞信息包含下述信息:安全漏洞编号、漏洞描述、危害程度、影响产品、影响版本、修复版本、补丁信息、影响状态以及验证程序,其中影响状态包括终结状态和未终结状态两类状态,终结状态包括、忽略以及不受影响三种状态,未终结状态包括未修复、等待上游补丁以及评估中三种状态,如表1。
表1:安全漏洞信息的表结构:
本实施例中,步骤2)包括:
2.1)在被检测的操作系统上运行样本采集程序,获取操作系统样本数据,包括操作系统上搭载的产品的操作系统样本信息列表,所述操作系统样本信息列表包含被检测的操作系统上已安装、已部署的应用名称及其版本号;
2.2)通过解析获取的操作系统样本信息列表并查询安全漏洞信息数据库,获取每个产品所有的安全漏洞信息,并通过对比操作系统样本信息列表中记录的版本号和这些安全漏洞信息对应的修复版本即得出是否此安全漏洞的影响的分析结果。
本实施例中,步骤2.2)通过解析获取的操作系统样本信息列表并查询安全漏洞信息数据库时,针对每个产品采用的漏洞分析匹配的步骤包括:
2.2.1)执行规则一:判断此产品是否有对应的安全漏洞信息条目,如果有则跳转执行步骤2.2.2),如果没有,则跳出分析匹配规则并退出;
2.2.2)执行规则二:判断此产品对应的该漏洞信息是否有修复状态,如果修复状态处于“忽略”、“不受影响”,给出“忽略”或者“不受影响”的分析结果并跳出分析匹配规则,结束并退出;如果修复状态处于其它状态,则跳转执行步骤2.2.3);
2.2.3)执行规则三,判断此产品对应的该漏洞信息是否有修复版本,如果有则跳转执行步骤2.2.4);如果没有,给出“未修复”的分析结果并跳出分析匹配规则,结束并退出;
2.2.4)执行规则四:判断此产品的安装版本是否大于或者等于对应漏洞信息的修复版本,如果大于或者等于修复版本,则给出“已修复”的分析结果,并跳出分析匹配规则,结束并退出;否则跳转执行步骤2.2.5);
2.2.5)执行规则五,判断此产品的安装版本是否处于影响版本之内,如果在,则给出“未修复”的分析结果、给出修复版本、给出修复资料的下载链接并跳出分析匹配规则,否则给出“不受影响”的分析结果,给出修复版本、影响版本域并跳出分析匹配规则。
本实施例中,步骤2.2)中得到的分析结果即为漏洞分析报告,作为一种可选的实施方式,本实施例中的漏洞分析报告包括:(1)已修复的漏洞信息,包括漏洞编号、描述、危害等级、修复的版本;(2)未修复的漏洞信息,包括漏洞编号、描述、危害等级、修复的版本、本系统安装的版本;(3)等待修复补丁的漏洞信息,包括漏洞编号、描述、危害等级、本系统安装的版本、没有修复补丁的原因;(4)忽略的漏洞信息,包括漏洞编号、描述、危害等级、影响版本、本系统安装的版本、忽略的原因;(5)不受影响的漏洞信息,包括漏洞编号、描述、危害等级、影响版本、本系统安装的版本、不受影响的原因;(6)漏洞总体影响情况统计,展示整体漏洞影响统计数据。
本实施例中,步骤2)之后还包括将分析结果以安全威胁分析报告输出给用户的步骤。
本实施例中,安全威胁分析报告包括:操作系统内尚未修复的安全漏洞信息统计及详情、操作系统内已经修复的安全漏洞信息统计及详情、操作系统内处于忽略状态的安全漏洞信息统计及详情、以及操作系统内处于不受影响状态的安全漏洞信息统计及详情。
本实施例中,将分析结果以安全威胁分析报告输出给用户之后还包括基于用户交互制定修复方案的步骤:针对尚未修复的安全漏洞,通过与用户交互的方式来实施最终的修复方案,修复方案如得到用户许可,则将从安全漏洞数据库自动获取最终的修复资料并进行安全更新,从而实现操作系统的安全更新。
本实施例中,步骤1)中的漏洞信息收集的步骤采用漏洞信息收集模块实现。
如图2所示,漏洞信息收集模块包括:漏洞信息数据库管理客户端,用于管理整个漏洞信息收集模块的管理端,其主要对完提供功能有:定制漏洞获取信息策略,例如:定制爬虫工具的工作时间点、哪些产品的漏洞、哪种类型的漏洞可以忽略、异常情况处理等;漏洞信息更新策略,例如:定制爬虫工具的例行维护制度等;安全漏洞信息数据库内的信息管理和查询,例如:安全漏洞信息数据库的备份及还原策略、漏洞总体情况统计等。漏洞数据库管理接口,用于为漏洞信息数据库管理客户端提供针对安全漏洞信息数据库的管理接口;数据库查询、写入、更新接口,为安全漏洞信息数据库的操作查询、写入、更新接口;数据库,即安全漏洞信息数据库;数据库日常信息获取、更新规则集,用于定制漏洞获取信息策略,例如:定制爬虫工具的工作时间点、哪些产品的漏洞、哪种类型的漏洞可以忽略、异常情况处理等;定制爬虫工具的例行维护制度等;漏洞信息爬虫工具,用于向各个漏洞信息发布平台执行漏洞信息的收集。如图3所示,利用漏洞信息收集模块通过构建一个针对操作系统的安全漏洞信息数据库,包含以下内容:步骤1.1,定期遍历漏洞信息发布平台获取最新发现的漏洞信息将漏洞编号、影响产品、漏洞危害等信息入库;步骤1.2,分析步骤1.1中的漏洞信息,到该漏洞影响产品的官方平台获取修复信息,例如补丁、修复版本、修复情况、影响信息,将这些漏洞信息入库存储;步骤1.3,对处于未修复状态的漏洞定期重复步骤1.2,直至该安全漏洞信息为终结状态,终结状态包括:已修复、不受影响、可忽略,处于终结状态的漏洞信息入库存储更新其修复情况。
本实施例中,步骤2)采用漏洞信息分析模块实现。如图4所示,漏洞信息收集模块包括:客户端样本信息收集工具,用于收集被扫描系统的样本数据,即一个包含被扫描系统上所有安装的应用及其对应版本清单;漏洞影响分析规则集模块,用于针对每个产品采用的漏洞分析匹配的步骤,即步骤2.2.1)~2.2.5),根据安装产品及版本信息清单遍历漏洞信息数据库,依次获取产品对应的相关漏洞信息,根据某一个产品的安装版本、某一个漏洞的修复版本及影响版本进行分析,给出清单内的产品的漏洞影响情况。
如图5所示,本实施例中通过操作系统漏洞分析模块收集被分析系统的样本数据、利用自身的分析引擎识别样本数据并查询安全漏洞数据库,包含以下内容:步骤2.1、操作系统样本采集系统收集操作系统内的样本信息,例如安装的产品、安装版本信息列表;步骤2.2、遍历安全漏洞信息数据库内的指定产品对应的所有漏洞信息:如安装版本大于等于修复版本且在影响版本之内,则返回“已修复”;如安装版本小于修复版本,则返回“未修复”;如漏洞的修复版本暂时未发布,即未找到修复版本,则返回“等待补丁”;如漏洞的修复状态为无影响、安装版本小于修复版本且不在影响版本之内,则返回“无影响”;如漏洞的修复状态为忽略,则返回“忽略”;步骤2.3、根据步骤2.2中的返回值给出对应产品及其对应的漏洞信息影响情况,重复步骤2直至操作系统内所有的应用都查询完毕;步骤2.4.将相关的安全漏洞影响分析数据提交给漏洞预警模块。
本实施例,将分析结果以安全威胁分析报告输出给用户的步骤是通过安全漏洞预警模块来实现的,如图6所示,安全漏洞预警模块的作用是对海量的安全漏洞影响情况进行分类、排版,形成一份可读性高的安全威胁分析报告。如图7所示,通过预警模块给出系统漏洞分析检测报告,包含以下内容:步骤3.1.将步骤2.3中的漏洞分析数据进行分类整理,分类的类型包含已修复、未修复、等待补丁、无影响、忽略;步骤3.2、以指定的格式将步骤3.1中的信息以用户需要的格式进行展示。
此外,本实施例还提供一种基于威胁情报的操作系统漏洞分析检测系统,包括计算机设备,所述计算机设备包括相互连接的微处理器和存储器,所述微处理器被编程或配置以执行前述基于威胁情报的操作系统漏洞分析检测方法的步骤,或者所述存储器中存储有被编程或配置以执行前述基于威胁情报的操作系统漏洞分析检测方法的计算机程序。
此外,本实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有被编程或配置以执行前述基于威胁情报的操作系统漏洞分析检测方法的计算机程序。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于威胁情报的操作系统漏洞分析检测方法,其特征在于,包括:
1)根据漏洞信息发布平台提供的安全漏洞信息更新安全漏洞信息数据库;
2)结合被检测的操作系统所安装并使用的产品及其版本信息,将其与安全漏洞信息数据库中记录的安全漏洞信息进行对比,分析出被检测的操作系统存在的安全隐患。
2.根据权利要求1所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,步骤1)包括:
1.1)收集漏洞信息发布平台更新的安全漏洞信息;
1.2)针对收集得到的安全漏洞信息,首先基于对应的操作系统核实安全漏洞信息使用的软硬件环境、应用的版本、漏洞修复版本,针对有漏洞验证程序的安全漏洞还包括执行漏洞验证程序生成验证结果;然后针对该安全漏洞对应的操作系统,利用数据样本采集工具针对某一个具体版本的操作系统进行样本信息采集,将这些样本数据与自身的威胁情报数据库进行比对分析得到漏洞信息分析结果;
1.3)根据漏洞信息分析结果生成详细的漏洞影响分析报告及安全漏洞修复方案,并将漏洞影响分析报告及安全漏洞修复方案加入安全漏洞信息数据库。
3.根据权利要求2所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,所述安全漏洞信息数据库中每一条安全漏洞信息包含下述信息:安全漏洞编号、漏洞描述、危害程度、影响产品、影响版本、修复版本、补丁信息、影响状态以及验证程序,其中影响状态包括终结状态和未终结状态两类状态,终结状态包括、忽略以及不受影响三种状态,未终结状态包括未修复、等待上游补丁以及评估中三种状态。
4.根据权利要求1所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,步骤2)包括:
2.1)在被检测的操作系统上运行样本采集程序,获取操作系统样本数据,包括操作系统上搭载的产品的操作系统样本信息列表,所述操作系统样本信息列表包含被检测的操作系统上已安装、已部署的应用名称及其版本号;
2.2)通过解析获取的操作系统样本信息列表并查询安全漏洞信息数据库,获取每个产品所有的安全漏洞信息,并通过对比操作系统样本信息列表中记录的版本号和这些安全漏洞信息对应的修复版本即得出是否此安全漏洞的影响的分析结果。
5.根据权利要求4所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,步骤2.2)通过解析获取的操作系统样本信息列表并查询安全漏洞信息数据库时,针对每个产品采用的漏洞分析匹配的步骤包括:
2.2.1)执行规则一:判断此产品是否有对应的安全漏洞信息条目,如果有则跳转执行步骤2.2.2),如果没有,则跳出分析匹配规则并退出;
2.2.2)执行规则二:判断此产品对应的该漏洞信息是否有修复状态,如果修复状态处于“忽略”、“不受影响”,给出“忽略”或者“不受影响”的分析结果并跳出分析匹配规则,结束并退出;如果修复状态处于其它状态,则跳转执行步骤2.2.3);
2.2.3)执行规则三,判断此产品对应的该漏洞信息是否有修复版本,如果有则跳转执行步骤2.2.4);如果没有,给出“未修复”的分析结果并跳出分析匹配规则,结束并退出;
2.2.4)执行规则四:判断此产品的安装版本是否大于或者等于对应漏洞信息的修复版本,如果大于或者等于修复版本,则给出“已修复”的分析结果,并跳出分析匹配规则,结束并退出;否则跳转执行步骤2.2.5);
2.2.5)执行规则五,判断此产品的安装版本是否处于影响版本之内,如果在,则给出“未修复”的分析结果、给出修复版本、给出修复资料的下载链接并跳出分析匹配规则,否则给出“不受影响”的分析结果,给出修复版本、影响版本域并跳出分析匹配规则。
6.根据权利要求1所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,步骤2)之后还包括将分析结果以安全威胁分析报告输出给用户的步骤。
7.根据权利要求6所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,所述安全威胁分析报告包括:操作系统内尚未修复的安全漏洞信息统计及详情、操作系统内已经修复的安全漏洞信息统计及详情、操作系统内处于忽略状态的安全漏洞信息统计及详情、以及操作系统内处于不受影响状态的安全漏洞信息统计及详情。
8.根据权利要求6所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,所述将分析结果以安全威胁分析报告输出给用户之后还包括基于用户交互制定修复方案的步骤:针对尚未修复的安全漏洞,通过与用户交互的方式来实施最终的修复方案,修复方案如得到用户许可,则将从安全漏洞数据库自动获取最终的修复资料并进行安全更新,从而实现操作系统的安全更新。
9.一种基于威胁情报的操作系统漏洞分析检测系统,包括计算机设备,所述计算机设备包括相互连接的微处理器和存储器,其特征在于,所述微处理器被编程或配置以执行权利要求1~8中任意一项所述基于威胁情报的操作系统漏洞分析检测方法的步骤,或者所述存储器中存储有被编程或配置以执行权利要求1~8中任意一项所述基于威胁情报的操作系统漏洞分析检测方法的计算机程序。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质中存储有被编程或配置以执行权利要求1~8中任意一项所述基于威胁情报的操作系统漏洞分析检测方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011139274.0A CN112182588B (zh) | 2020-10-22 | 2020-10-22 | 基于威胁情报的操作系统漏洞分析检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011139274.0A CN112182588B (zh) | 2020-10-22 | 2020-10-22 | 基于威胁情报的操作系统漏洞分析检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112182588A true CN112182588A (zh) | 2021-01-05 |
| CN112182588B CN112182588B (zh) | 2024-02-06 |
Family
ID=73923170
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011139274.0A Active CN112182588B (zh) | 2020-10-22 | 2020-10-22 | 基于威胁情报的操作系统漏洞分析检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112182588B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818355A (zh) * | 2021-03-02 | 2021-05-18 | 福州汇思博信息技术有限公司 | 一种漏洞管理方法及终端 |
| CN113449306A (zh) * | 2021-09-02 | 2021-09-28 | 湖南省佳策测评信息技术服务有限公司 | 一种基于软件源代码分析的安全漏洞预警方法及系统 |
| CN114186236A (zh) * | 2022-02-17 | 2022-03-15 | 北京搜狐新媒体信息技术有限公司 | 一种安全漏洞的处理方法及装置 |
| CN114186235A (zh) * | 2022-02-17 | 2022-03-15 | 北京搜狐新媒体信息技术有限公司 | 一种安全漏洞的处理方法及装置 |
| CN114928502A (zh) * | 2022-07-19 | 2022-08-19 | 杭州安恒信息技术股份有限公司 | 一种针对0day漏洞的信息处理方法、装置、设备及介质 |
| CN115801436A (zh) * | 2022-12-02 | 2023-03-14 | 国网山东省电力公司电力科学研究院 | 一种5g核心网的tls安全评估方法 |
| CN115905023A (zh) * | 2022-12-31 | 2023-04-04 | 成都易迪森科技有限公司 | 集成测试平台、测试方法和测试终端、存储介质及设备 |
| CN117014178A (zh) * | 2023-06-05 | 2023-11-07 | 深圳市前海望潮科技有限公司 | 一种用于网络安全的漏洞检测系统 |
| CN117592060A (zh) * | 2024-01-18 | 2024-02-23 | 中诚华隆计算机技术有限公司 | 一种处理器网络安全漏洞检测方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104077531A (zh) * | 2014-06-05 | 2014-10-01 | 中标软件有限公司 | 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 |
| CN109871683A (zh) * | 2019-01-24 | 2019-06-11 | 深圳昂楷科技有限公司 | 一种数据库防护系统及方法 |
| CN110162977A (zh) * | 2019-04-24 | 2019-08-23 | 北京邮电大学 | 一种Android车载终端系统漏洞检测系统及方法 |
| US20200120126A1 (en) * | 2018-10-15 | 2020-04-16 | International Business Machines Corporation | Prioritizing vulnerability scan results |
-
2020
- 2020-10-22 CN CN202011139274.0A patent/CN112182588B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104077531A (zh) * | 2014-06-05 | 2014-10-01 | 中标软件有限公司 | 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 |
| US20200120126A1 (en) * | 2018-10-15 | 2020-04-16 | International Business Machines Corporation | Prioritizing vulnerability scan results |
| CN109871683A (zh) * | 2019-01-24 | 2019-06-11 | 深圳昂楷科技有限公司 | 一种数据库防护系统及方法 |
| CN110162977A (zh) * | 2019-04-24 | 2019-08-23 | 北京邮电大学 | 一种Android车载终端系统漏洞检测系统及方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818355A (zh) * | 2021-03-02 | 2021-05-18 | 福州汇思博信息技术有限公司 | 一种漏洞管理方法及终端 |
| CN113449306A (zh) * | 2021-09-02 | 2021-09-28 | 湖南省佳策测评信息技术服务有限公司 | 一种基于软件源代码分析的安全漏洞预警方法及系统 |
| CN114186236A (zh) * | 2022-02-17 | 2022-03-15 | 北京搜狐新媒体信息技术有限公司 | 一种安全漏洞的处理方法及装置 |
| CN114186235A (zh) * | 2022-02-17 | 2022-03-15 | 北京搜狐新媒体信息技术有限公司 | 一种安全漏洞的处理方法及装置 |
| CN114186236B (zh) * | 2022-02-17 | 2022-05-27 | 北京搜狐新媒体信息技术有限公司 | 一种安全漏洞的处理方法及装置 |
| CN114928502A (zh) * | 2022-07-19 | 2022-08-19 | 杭州安恒信息技术股份有限公司 | 一种针对0day漏洞的信息处理方法、装置、设备及介质 |
| CN114928502B (zh) * | 2022-07-19 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 一种针对0day漏洞的信息处理方法、装置、设备及介质 |
| CN115801436A (zh) * | 2022-12-02 | 2023-03-14 | 国网山东省电力公司电力科学研究院 | 一种5g核心网的tls安全评估方法 |
| CN115905023A (zh) * | 2022-12-31 | 2023-04-04 | 成都易迪森科技有限公司 | 集成测试平台、测试方法和测试终端、存储介质及设备 |
| CN117014178A (zh) * | 2023-06-05 | 2023-11-07 | 深圳市前海望潮科技有限公司 | 一种用于网络安全的漏洞检测系统 |
| CN117592060A (zh) * | 2024-01-18 | 2024-02-23 | 中诚华隆计算机技术有限公司 | 一种处理器网络安全漏洞检测方法及系统 |
| CN117592060B (zh) * | 2024-01-18 | 2024-04-12 | 中诚华隆计算机技术有限公司 | 一种处理器网络安全漏洞检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112182588B (zh) | 2024-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112182588B (zh) | 基于威胁情报的操作系统漏洞分析检测方法及系统 | |
| CN104077531B (zh) | 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 | |
| US9871815B2 (en) | Method and system for automated computer vulnerability tracking | |
| CN107368417B (zh) | 一种漏洞挖掘技术测试模型的测试方法 | |
| Fonseca et al. | Testing and comparing web vulnerability scanning tools for SQL injection and XSS attacks | |
| Jimenez et al. | Vulnerability prediction models: A case study on the linux kernel | |
| Antunes et al. | Effective detection of SQL/XPath injection vulnerabilities in web services | |
| CN111488578A (zh) | 现代应用程序的连续漏洞管理 | |
| Younis et al. | Using attack surface entry points and reachability analysis to assess the risk of software vulnerability exploitability | |
| CN111881452B (zh) | 一种面向工控设备的安全测试系统及其工作方法 | |
| Fonseca et al. | Vulnerability & attack injection for web applications | |
| CN101017458A (zh) | 基于源代码静态分析的软件安全代码分析器及其检测方法 | |
| CN116842531B (zh) | 基于代码疫苗的漏洞实时验证方法、装置、设备及介质 | |
| CN113761519A (zh) | 一种Web应用程序的检测方法、装置及存储介质 | |
| CN113158197A (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
| CN113392784A (zh) | 一种基于漏洞指纹识别的应用安全检测任务自动编排方法 | |
| CN116383833A (zh) | 软件程序代码的测试方法及其装置、电子设备、存储介质 | |
| Bandara et al. | Fix that Fix Commit: A real-world remediation analysis of JavaScript projects | |
| Yan et al. | Detection method of the second-order SQL injection in Web applications | |
| Antunes et al. | Evaluating and improving penetration testing in web services | |
| CN116382755A (zh) | 基于漏洞防护的国产操作系统补丁升级方法 | |
| CN116248393A (zh) | 一种内网数据传输漏洞扫描装置及系统 | |
| CN115391230A (zh) | 一种测试脚本生成、渗透测试方法、装置、设备及介质 | |
| CN111898133A (zh) | 一种基于自动化的渗透测试装置和方法 | |
| CN112016093A (zh) | 一种用于漏洞标记的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |