CN113392784A - 一种基于漏洞指纹识别的应用安全检测任务自动编排方法 - Google Patents

Abstract

本发明公开了一种基于漏洞指纹识别的应用安全检测任务自动编排方法，主要包括一个应用漏洞指纹知识库、三个工作模块以及一套工具链；应用漏洞指纹知识库：汇总分析、发现的应用漏洞指纹，用于对应用漏洞标记和检测；三个工作模块包括：应用漏洞指纹识别模块；通过与漏洞指纹知识库匹配完成漏洞识别；应用检测任务编排模块；能将不同漏洞数据集和安全检测技术整合到一起，完成任务编排配置；本方法通过漏洞指纹识别，解决应用安全检测任务人工判断检测时机滞后，提供自动化执行操作减少人工工作量，提高检测效率，解决应用安全响应过程中人员短缺、改进警报分类质量和速度、减少响应时间、降低安全人员工作压力等问题。

Description

一种基于漏洞指纹识别的应用安全检测任务自动编排方法

技术领域

本发明属于应用开发技术领域，具体涉及一种基于漏洞指纹识别的应用安全检测任务自动编排方法。

背景技术

应用开发安全检测则靠构建安全工具链，整合白盒源代码安全审计系统、黑盒应用安全检测系统和灰盒交互式测试系统，并且将人工深度渗透测试报告与系统检测信息相结合，进行横向验证，以此来保障检测结果的有效性和准确性。并通过编程规约和培训开发人员，保证代码都是以良好的安全习惯进行编写，减少安全问题。

白盒审计工具。项目代码打包Zip和rar等压缩包的方式本地上传扫描、开发集成环境Eclipse、IntelliJ Idea、Android Studio等一键提交检测分析，方便开发人员在开发过程随时提交代码检测。支持从代码版本管理工具SVN、GIT上获取源代码进行源代码缺陷分析，可以定时从代码仓库自动提取代码进行安全检测，自动发送报告给项目负责人和安全人员，方便系统代码安全跟进对扫描结果可按照漏洞类型或者危害等级分类展示，且针对某一漏洞可进行跟踪审计。使用了二次审计分析技术，可设置规则支持用户自定义函数白名单功能，检测过程中自动识别白名单函数进行路径裁剪，减少误报。对审计结果可生成报告，促进整改，形成代码安全审计闭环。

黑盒审计工具。采用应用动态模糊测试技术、应用漏洞智能识别技术、应用漏洞动态验证技术、主动探寻应用服务端漏洞等技术，实现对应用的安全风险监测、评估和动态管理。结合独立的漏洞库对监测到的漏洞给出安全评估报告，报告包含漏洞描述、危害、修复建议等内容。应用安全风险评估系统对提高应用安全监测水平，应用测试/安全管理人员对应用系统进行安全评估、安全加固起到了很重要的辅助作用。

灰盒交互式检测工具。通过交互式安全检测工具，可以快速搭建企业内部众测环境，支持业务逻辑漏洞自动化扫描,帮助安全人员更透明、更简单的完成测试。提供常用漏洞的检测和利用技术手段，便于对目标特定漏洞的的验证和利用，能够高效完成渗透测试。结合自动化的渗透测试、交互式测试特点，能够帮助非专业的人员完成对目标的渗透测试检测。系统集成一系列高效的安全测试、渗透工具，有效减低安全检测成本，能够高效、全方位的检测网络中的各类脆弱性风险，提供专业、有效的安全分析和修补建议，减小受攻击面，保障业务系统安全。

开源组件代码风险检测工具。建立软件成分分析系统，进行开源代码风险管控，精准识别软件组件的安全性、代码及许可合规性，实时展示应用的代码安全状况和对第三方组件的安全管控，适用于软件安全开发生命周期的开发阶段与测试阶段使用，是OWASPTop10中“A9:2017-使用含有已知漏洞的组件”的有效解决方案。

通常的应用安全检测采用这些工具人工进行检测，在实施的环节和频次、检测范围和深度靠人工分析判断，存在为了降低工作量缩减范围和深度，例如只做增量检测；存在检测时间、时机以人的工作时间安排有空才去检测，忙于开发则不检测；还有以下一些弊端。

(1)采用离散的开源工具进行检测数据无法互联互通，无法进行流程管控形成安全闭环；引用诸多安全标准没有体系，引用太多忙不过来，引用太少担心不及格；非国产化自主知识产权检测工具，无安全保障。

(2)应用开发整体安全管控流程复杂，缺少流程自动化平台支撑且与现有流程的不兼容导致很难有效管控；

(3)企业缺少安全管控所需的知识库，如：安全威胁库，安全需求库、安全设计库、安全组件库、安全用例库及安全加固知识库等必要的积累，效率和落地性成为阻力；

(4)企业缺少专业的安全开发管控专业人才，无法与业务人员、开发人员、运维人员及管理层进行有效沟通，内部协作模式无法形成；

(5)企业缺少对安全活动评价及审计能力，导致针对开展的安全活动无法确定实施效果及进行有效改进，最终演变成走形式。

发明内容

本发明的目的在于提供一种基于漏洞指纹识别的应用安全检测任务自动编排方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种基于漏洞指纹识别的应用安全检测任务自动编排方法，主要包括一个应用漏洞指纹知识库、三个工作模块以及一套工具链；

应用漏洞指纹知识库：汇总分析、发现的应用漏洞指纹，用于对应用漏洞标记和检测；

三个工作模块包括：应用漏洞指纹识别模块；通过与漏洞指纹知识库匹配完成漏洞识别；

应用检测任务编排模块；能将不同漏洞数据集和安全检测技术整合到一起，完成任务编排配置；

自动化应用检测执行模块；利用任务编排的结果进行应用安全检测任务的自动执行，按定时任务、按应用版本、按检测CWE分类进行自动化检测，旨在最小化事件响应过程中重复性任务的人工干预，帮助加速问题的解决；

一套工具链包括：安全需求分析工具、威胁建模分析系统、源代码审计、黑盒测试工具、交互式检测工具、开源组件安全检测工具、安全防御组件；

具体步骤为：

1)通过应用漏洞情报、应用安全检测获取应用漏洞信息；

2)对应用漏洞信息进行漏洞指纹提取，创建增加应用漏洞指纹知识库；

3)对检测目标应用系统进行应用漏洞指纹匹配确定发现的指纹；

4)根据发现的指纹和编排的任务去触发应用安全检测任务执行；

5)应用安全检测任务根据编排逐步自动执行相应检测，并将检测结果继续上报，重复执行第1)步操作流程，直到没有新的应用漏洞指纹匹配发现才终止。

优选的，应用漏洞指纹知识库包括：CWE编号、不同语言示例代码、形式化逻辑描述特征代码、与该CWE编号相关的CVE编号、与该CVE编号相关的应用属性信息。

优选的，应用漏洞指纹识别包括示例代码模糊匹配计算匹配度、特征字符串匹配检测、汇编代码语言逻辑检测、对比应用漏洞检验检测。

优选的，版本信息、前端技术、Web服务器、应用服务器、开发语言、操作系统信息、CDN信息、WAF信息、IP及域名信息、端口信息和系统架构一起作为应用漏洞指纹相应特征字段来标识表征不同的应用漏洞。

优选的，应用检测任务编排模块的任务编排通过剧本来进行表述；支撑剧本执行的引擎是工作流引擎；为了方便管理人员维护剧本，还包括一套可视化的剧本编辑器。

优选的，自动化应用检测执行模块的自动化应用检测使用的循环为：1)观察上一个任务输出并确定发生了什么；2)根据应用漏洞指纹确定观察的方向，并添加上下文来确定观察的含义；3)根据业务的风险容忍度和能力决定适当的检测目标；4)根据目标采取检测行动，并应用到观察过程中，然后重复。

与现有技术相比，本发明的有益效果是：本方法通过漏洞指纹识别，解决应用安全检测任务人工判断检测时机滞后，提供自动化执行操作减少人工工作量，提高检测效率，解决应用安全响应过程中人员短缺、改进警报分类质量和速度、减少响应时间、降低安全人员工作压力等问题；

本方法能够将分散的应用安全检测工具、人员和流程有机地整合到一起，整合应用安全检测所需的各种资源，实现人与工具、工具与工具的连接与协作。借助剧本、应用、动作等编排元素，系统能够将终端、安全设备、安全系统、协作软件等各类资源整合到一起，能够协助开发人员、安全检测人员实现基于编排的自动化和半自动化的告警分诊与调查、案例监管与应用漏洞追踪、漏洞安全事件响应，以及其它日常应用安全检测工作。

附图说明

图1为本发明的方法模块组成示意图；

图2为本发明方法流程示意图；

图3为本发明应用漏洞指纹识别流程示意图；

图4为本发明的任务编排内部实现逻辑示意图；

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

请参阅图1至图4，本发明提供一种技术方案：一种基于漏洞指纹识别的应用安全检测任务自动编排方法，主要包括一个应用漏洞指纹知识库、三个工作模块以及一套工具链；

应用漏洞指纹知识库：汇总分析、发现的应用漏洞指纹，用于对应用漏洞标记和检测；

三个工作模块包括：应用漏洞指纹识别模块；通过与漏洞指纹知识库匹配完成漏洞识别；

应用检测任务编排模块；能将不同漏洞数据集和安全检测技术整合到一起，完成任务编排配置；

自动化应用检测执行模块；利用任务编排的结果进行应用安全检测任务的自动执行，按定时任务、按应用版本、按检测CWE分类进行自动化检测，旨在最小化事件响应过程中重复性任务的人工干预，帮助加速问题的解决；

一套工具链包括：安全需求分析工具、威胁建模分析系统、源代码审计、黑盒测试工具、交互式检测工具、开源组件安全检测工具、安全防御组件；

具体步骤为：

1)通过应用漏洞情报、应用安全检测获取应用漏洞信息；

2)对应用漏洞信息进行漏洞指纹提取，创建增加应用漏洞指纹知识库；

3)对检测目标应用系统进行应用漏洞指纹匹配确定发现的指纹；

4)根据发现的指纹和编排的任务去触发应用安全检测任务执行；

5)应用安全检测任务根据编排逐步自动执行相应检测，并将检测结果继续上报，重复执行第1)步操作流程，直到没有新的应用漏洞指纹匹配发现才终止。

优选的，应用漏洞指纹知识库包括：CWE编号、不同语言示例代码、形式化逻辑描述特征代码、与该CWE编号相关的CVE编号、与该CVE编号相关的应用属性信息。

优选的，应用漏洞指纹识别包括示例代码模糊匹配计算匹配度、特征字符串匹配检测、汇编代码语言逻辑检测、对比应用漏洞检验检测。

优选的，版本信息、前端技术、Web服务器、应用服务器、开发语言、操作系统信息、CDN信息、WAF信息、IP及域名信息、端口信息和系统架构一起作为应用漏洞指纹相应特征字段来标识表征不同的应用漏洞。

优选的，应用检测任务编排模块的任务编排通过剧本来进行表述；支撑剧本执行的引擎是工作流引擎；为了方便管理人员维护剧本，还包括一套可视化的剧本编辑器；如图4所示，根据应用漏洞指纹发现情况，先执行应用系统信息收集，完成icp备、ip、whois信息查询检测；然后根据指纹判断是linux还是window触发对应检测任务。

优选的，自动化应用检测执行模块的自动化应用检测使用的循环为：1)观察上一个任务输出并确定发生了什么；2)根据应用漏洞指纹确定观察的方向，并添加上下文来确定观察的含义；3)根据业务的风险容忍度和能力决定适当的检测目标；4)根据目标采取检测行动，并应用到观察过程中，然后重复。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (6)

1.一种基于漏洞指纹识别的应用安全检测任务自动编排方法，其特征在于：主要包括一个应用漏洞指纹知识库、三个工作模块以及一套工具链；

应用漏洞指纹知识库：汇总分析、发现的应用漏洞指纹，用于对应用漏洞标记和检测；

三个工作模块包括：应用漏洞指纹识别模块；通过与漏洞指纹知识库匹配完成漏洞识别；

应用检测任务编排模块；能将不同漏洞数据集和安全检测技术整合到一起，完成任务编排配置；

自动化应用检测执行模块；利用任务编排的结果进行应用安全检测任务的自动执行，按定时任务、按应用版本、按检测CWE分类进行自动化检测，旨在最小化事件响应过程中重复性任务的人工干预，帮助加速问题的解决；

一套工具链包括：安全需求分析工具、威胁建模分析系统、源代码审计、黑盒测试工具、交互式检测工具、开源组件安全检测工具、安全防御组件；

具体步骤为：

1)通过应用漏洞情报、应用安全检测获取应用漏洞信息；

2)对应用漏洞信息进行漏洞指纹提取，创建增加应用漏洞指纹知识库；

3)对检测目标应用系统进行应用漏洞指纹匹配确定发现的指纹；

4)根据发现的指纹和编排的任务去触发应用安全检测任务执行；

5)应用安全检测任务根据编排逐步自动执行相应检测，并将检测结果继续上报，重复执行第1)步操作流程，直到没有新的应用漏洞指纹匹配发现才终止。

2.根据权利要求1所述的一种基于漏洞指纹识别的应用安全检测任务自动编排方法，其特征在于：应用漏洞指纹知识库包括：CWE编号、不同语言示例代码、形式化逻辑描述特征代码、与该CWE编号相关的CVE编号、与该CVE编号相关的应用属性信息。

3.根据权利要求1所述的一种基于漏洞指纹识别的应用安全检测任务自动编排方法，其特征在于：应用漏洞指纹识别包括示例代码模糊匹配计算匹配度、特征字符串匹配检测、汇编代码语言逻辑检测、对比应用漏洞检验检测。

4.根据权利要求1所述的一种基于漏洞指纹识别的应用安全检测任务自动编排方法，其特征在于：版本信息、前端技术、Web服务器、应用服务器、开发语言、操作系统信息、CDN信息、WAF信息、IP及域名信息、端口信息和系统架构一起作为应用漏洞指纹相应特征字段来标识表征不同的应用漏洞。

5.根据权利要求1所述的一种基于漏洞指纹识别的应用安全检测任务自动编排方法，其特征在于：应用检测任务编排模块的任务编排通过剧本来进行表述；支撑剧本执行的引擎是工作流引擎；为了方便管理人员维护剧本，还包括一套可视化的剧本编辑器。

6.根据权利要求1所述的一种基于漏洞指纹识别的应用安全检测任务自动编排方法，其特征在于：自动化应用检测执行模块的自动化应用检测使用的循环为：1)观察上一个任务输出并确定发生了什么；2)根据应用漏洞指纹确定观察的方向，并添加上下文来确定观察的含义；3)根据业务的风险容忍度和能力决定适当的检测目标；4)根据目标采取检测行动，并应用到观察过程中，然后重复。

Images