CN115361203A - 一种基于分布式扫描引擎的脆弱性分析方法 - Google Patents
一种基于分布式扫描引擎的脆弱性分析方法 Download PDFInfo
- Publication number
- CN115361203A CN115361203A CN202210990644.4A CN202210990644A CN115361203A CN 115361203 A CN115361203 A CN 115361203A CN 202210990644 A CN202210990644 A CN 202210990644A CN 115361203 A CN115361203 A CN 115361203A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- management
- scanning
- engine
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于分布式扫描引擎的脆弱性分析方法,该方法通过建立管理系统对漏洞数据进行统一处理形成漏洞闭环管理流程,具体包括以下步骤:步骤S1、漏洞发现;步骤S2、漏洞研判;步骤S3、漏洞修复;步骤S4、漏洞验证。本发明通过建立一套完整的网络安全漏洞管理体系支撑系统,将漏扫设备数据、等保测评发现的漏洞数据、渗透测试发现的漏洞数据等进行数据统一规范化处理,形成漏洞管理处置流程和闭环工作流程,并及时采取修补措施,消除安全隐患,降低安全风险。
Description
技术领域
本发明涉及一种脆弱性分析方法,尤其涉及一种基于分布式扫描引擎的脆弱性分析方法,属于网络安全技术领域。
背景技术
近年来,全球网络安全形式十分严峻,个人信息与商业数据遭遇大规模泄露与违规利用,针对关键信息基础设施的恶意网络攻击频发。2017年5月12日,全球范围爆发针对Windows操作系统的勒索软件(WannaCry)感染事件,改勒索软件利用Windows SMB服务漏洞进行攻击,全球100多个国家数十万用户中招,国内的企业、学校、医疗、电力、能源、银行、交通等多个行业均遭受不同程度的影响;2019年1月研究人员发现英特尔CPU存在严重漏洞,导致攻击者能直接访问核心内存中的敏感信息,包括用户账号密码、文件等,影响近90%采用英特尔处理器的服务器和存储,亚马逊、微软、谷歌等云计算服务商也深受影响。
近年来,信息化建设进入了高速发展阶段,网络系统日趋复杂,网络安全形势十分严峻。各个机构虽然构建了覆盖五网三级的安全防御体系,但是缺少对网络安全漏洞有效的管理手段。
发明内容
为了解决上述技术所存在的不足之处,本发明提供了一种基于分布式扫描引擎的脆弱性分析方法,不仅可以灵活地扩展新出现的资产安全检测、工控漏洞扫描等引擎模块,还可以通过扫描结果与合规库进行关联分析,生成满足规范要求的漏洞扫描报告和缺陷修复报告。
为了解决以上技术问题,本发明采用的技术方案是:一种基于分布式扫描引擎的脆弱性分析方法,该方法通过建立管理系统对漏洞数据进行统一处理形成漏洞闭环管理流程,具体包括以下步骤:
步骤S1、漏洞发现;
步骤S2、漏洞研判;
步骤S3、漏洞修复;
步骤S4、漏洞验证。
优选的,步骤S1、漏洞发现分为两部分:
S11、自主扫描引擎发现包括以下两部分:
A、资产发现
a.扫描引擎通过使用ICMP ECHO请求或发送TCP数据包到一个或多个端口,在有效的端口扫描中发现设备,响应这些数据包的系统被标记为处于活动状态,并将被加入随后的扫描阶段;
b.当在DMZ中或其他任何受严格保护的区域中扫描资产时,引擎会使用在a阶段查找到的端口扫描结果,从而确定哪些主机处于活动状态,如果在一项资产中发现任何端口处于开放状态,则系统将标记此资产为“存活”;
B、漏洞评估
c.漏洞评估通过插件实现,插件是用脚本语言编写好的子程序,通常系统先制定扫描策略,然后扫描程序根据策略调用一系列插件来执行漏洞扫描,检测出系统中存在的一个或者多个漏洞;
d.支持CVE、BID、EDB、CNNVD漏洞标准,并提供详细的漏洞信息,包括漏洞的真实利用信息。
S12、第三方扫描引擎发现包括以下两部分:
e.通过API接入主流第三方漏洞扫描引擎,通过API控制引擎,并得到漏洞扫描结果;
f.通过导入第三方漏洞扫描结果数据,将数据传递到平台内做数据分析,分析原则是通过与漏洞库进行对比,然后再调用自主引擎发起扫描与之做对比,然后得出最终扫描报告。
优选的,步骤S2、漏洞研判为对发现的漏洞进行研判,平均每个漏洞会进行系统版本检测、补丁系统比对、漏洞攻击验证三个步骤,最终确定是否为真实漏洞,具体包括以下步骤:
S21、通过引擎扫描发现的漏洞会进一步识别漏洞的类型、版本;
S22、将通过查找的漏洞涉及的具体版本匹配补丁库中的修复方案,补丁库不仅提供补丁下载,同样也提供各个版本漏洞的修复方案;
S23、漏洞攻击针对的是插件,通过系统预制web类型漏洞、以及部分主机漏洞的攻击脚本,在已经识别的漏洞和相应版本的基础上,进行具体的POC验证,如果POC验证成功,说明该漏洞是能被实际利用的。
优选的,步骤S3、漏洞修复包括工单派送、补丁库;
其中,工单派送:漏洞修复环节通过工单的形式进行管理,由安全管理员创建工单,选择需要修复的漏洞,设定紧急程度和计划时间,然后指定接单人;接单人登录系统会接到系统的消息通知,进行工单的关闭、延期处理,安全管理员作为派单人员对工单进行催单、审核;
补丁库:补丁库是对漏洞修复的修复依据,漏洞修复过程中系统会提示如何修复,期间会提示补丁下载地址,在内网环境下直接下载使用,能有效提高修复过程中的效率。
优选的,步骤S4、漏洞验证包括以下部分:
漏洞利用:使用渗透模块尝试和目标机器建立会话,在建立会话的过程中,不同的风险等级会使用不同的渗透模块;
收集证据:建立会话之后,默认为收集到目标的系统信息、安装的系统服务、屏幕截图、用户凭证,证据收集完成后,通过会话销毁痕迹;
提权:在目标机器上建立会话后,可操作的权限取决于建立会话的渗透模块利用的连接用户,如果此用户只是普通用户,将无法使用一些高级的系统命令,为此,需要提升当前用户的权限,运行更高级的系统命令;
远程跳板:将控制的目标机器作为数据的中转点,发起新的渗透测试,使用远程跳板后,能做到不和最终目标机器接触,而完成渗透测试工作。
优选的,管理系统包括展示层、业务应用层、接口层、数据存储层;
展示层用于实现资产信息、漏洞信息的展示;
业务应用层包括资产管理、检测管理、补丁管理、漏洞管理、任务管理、工单管理、报告管理、系统管理;
接口层通过接口对接数据处理,同时能兼容漏洞扫描引擎;
数据存储层用于对系统所用数据进行存储,包括以下模块:
资源池模块:自动分析出各个引擎负荷状态,调用其他引擎分担任务,同时也能调用多个引擎对同一个资产进行扫描,脆弱性发现;
POC研判引擎模块:对扫描发现的漏洞进行研判渗透工作,进一步验证该漏洞的威胁程度和修复优先级。
优选的,资产管理包括资产的增加、修改、删除、导入、导出、发现,统称测绘,其中资产信息包括主机ip、操作系统、主机名称;
检测管理即对探针的管理,探针通过使用ICMP ECHO请求或发送TCP数据包到一个或多个端口,在有效的端口扫描中发现设备,响应这些数据包的系统被标记为处于活动状态,并将被加入随后的扫描阶段。
优选的,补丁管理为定期更新各个厂商所发布的已发现漏洞的修复补丁,并将补丁下载到系统以便修复漏洞时使用;
漏洞管理为:系统通过探针对资产进行扫描并发现已知漏洞,然后对扫描发现的漏洞进行研判渗透工作,进一步验证该漏洞的威胁程度和修复优先级,最后对资产扫描出来的漏洞进行修复、验证。
优选的,任务管理为:通过扫描任务进行资产扫描,扫描任务包含需要扫描的资产、扫描使用的探针、扫描方式,任务管理还包括对扫描任务状态的管理、启动、停止、查看状态;
工单管理包括工单编号、工单名称、工单类型、紧急程度、计划开始时间、计划结束时间、关联的资产,用工单的形式告知哪些资产需要进行什么样的操作。
优选的,报告管理为:漏洞扫描完成后生成漏洞扫描报告,报告选择word或者pdf格式将资产所包含的漏洞以书面形式体现出来;
系统管理是对系统的基本配置管理,包括用户管理、角色管理、菜单管理、部门管理、岗位管理、字典管理、参数配置以及通知公告。
本发明通过建立一套完整的网络安全漏洞管理体系支撑系统,将漏扫设备数据、等保测评发现的漏洞数据、渗透测试发现的漏洞数据等进行数据统一规范化处理,形成漏洞管理处置流程和闭环工作流程,并及时采取修补措施,消除安全隐患,降低安全风险。
附图说明
图1为本发明的漏洞修复闭环处理流程图。
图2为本发明的管理系统架构图。
图3为本发明的部署架构图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
一种基于分布式扫描引擎的脆弱性分析方法,该方法通过建立管理系统对漏洞数据进行统一处理形成漏洞闭环管理流程,如图2所示,管理系统包括:展示层、业务应用层、接口层、数据存储层。
一、展示层:主要使用html、JavaScript、css等相关技术实现信息的展示,便于对漏洞整个生命周期的管理,是整个管理系统的前端展示层。
二、业务应用层:是整个管理系统的核心,包括资产管理、检测管理、补丁管理、漏洞管理、任务管理、工单管理、报告管理、系统管理等。
资产管理:资产作为漏洞分析、扫描的核心对象,是整个管理系统整个生命周期所要操作的核心对象,所有操作都是围绕资产来进行的,资产管理包括资产的增加、修改、删除、导入、导出、发现,统称测绘。资产信息包括主机ip、操作系统、主机名称等。
检测管理:对探针的管理,探针是用于探测扫描网络中的资产信息的设备,包括各项主机、网络设备和数据库的信息,识别各项资产的属性、服务及操作系统;探针通过使用ICMP ECHO请求或发送TCP数据包到一个或多个端口,可以在有效的端口扫描中发现设备。响应这些数据包的系统被标记为处于活动状态,并将被加入随后的扫描阶段。
补丁管理:对补丁的管理,对于已发现的漏洞,供应商会发布对漏洞修复的补丁,管理系统中会定期更新各个厂商所发布的补丁,并将补丁下载到系统以便修复漏洞时使用。
漏洞管理:系统通过探针对资产进行扫描并发现已知漏洞。漏洞发现既支持基于开放网络端口服务的检测,也支持基于SMB、SSH、WinRM等协议的登录扫描检测,可得到更加精确的漏洞评估结果。漏洞发现覆盖了在广泛的产品系列中的已知漏洞。
任务管理:资产扫描是通过扫描任务进行的,扫描任务包含需要扫描的资产,扫描使用的探针,扫描方式(定时或周期)等,任务管理还包括对扫描任务状态的管理、启动、停止、查看状态等。
工单管理:包括工单编号、工单名称、工单类型(验证漏洞、修复漏洞、复测漏洞、人工渗透)、紧急程度、计划开始时间、计划结束时间、关联的资产,用工单的形式告知一些人那些资产需要进行什么样的操作。
报告管理:漏洞扫描完成后可以生成漏洞扫描报告,报告可以选择word或者pdf格式,主要是将资产所包含的漏洞以书面的形式体现出来,管理系统的报告还可以通过模板进行配置,报告模块中包含了一些通用的组件,通过配置模板将这些组件组合到一起就生成了模板,在生成模板的时候就会按照配置的组件来生成。
系统管理:对系统的一些基本配置管理,包括用户管理、角色管理、菜单管理、部门管理、岗位管理、字典管理、参数配置以及通知公告。
三、接口层;模块兼容目前市面上的漏洞扫描引擎,并且可以进行调用。
四、数据存储层:主要用于保持系统所有数据的持久化,包括以下模块:
资源池模块,该模块是智能识别模块,可以自动分析出各个引擎负荷状态,调用其他引擎分担任务,同时也可以调用多个引擎对同一个资产进行扫描,脆弱性发现。
POC研判引擎模块,扫描发现的漏洞进行研判渗透等工作,进一步验证该漏洞的威胁程度和修复优先级。
管理系统通过接口与层接入引擎,集成多个厂商多个品牌的扫描引擎设备,并对集成的扫描引擎进行编排形成资源池,以资源池为漏洞扫描的支撑单位,根据漏洞扫描的场景和环境,设置资源池中探针设备的策略。
如图1所示,漏洞管理包括以下步骤:
步骤S1、漏洞发现:系统使用JESS专家智能系统,通过对网络、操作系统、数据库、Web应用等不同层面的漏洞进行关联分析来模拟攻击活动,从而降低误报率。
漏洞发现包括资产测绘:通过Excel文件、对接CMDB接口等方式导入资产清单,提供多种条件查询器,可以满足用户在海量资产数据中快速进行查询,支持精准查询和模糊查询。
具体的,漏洞发现分为两部分:
S11、自主扫描引擎发现包括以下两部分:
A、资产发现
a.扫描引擎通过使用ICMP ECHO请求或发送TCP数据包到一个或多个端口,在有效的端口扫描中发现设备,响应这些数据包的系统被标记为处于活动状态,并将被加入随后的扫描阶段;
b.当在DMZ中或其他任何受严格保护的区域中(例如丢弃屏蔽数据包的防火墙)扫描资产时,引擎会使用在a阶段查找到的端口扫描结果,从而确定哪些主机处于活动状态,如果在一项资产中发现任何端口处于开放状态,则系统将标记此资产为“存活”;
B、漏洞评估
c.漏洞评估通过插件实现,插件是用脚本语言编写好的子程序,通常系统先制定扫描策略,然后扫描程序根据策略调用一系列插件来执行漏洞扫描,检测出系统中存在的一个或者多个漏洞;通常一个插件负责扫描一个或一类漏洞,不同的漏洞扫描插件对应不同的漏洞,添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞。
d.支持CVE、BID、EDB、CNNVD漏洞标准,并提供详细的漏洞信息,包括漏洞的真实利用信息。
S12、第三方扫描引擎发现包括以下两部分:
e.通过API接入主流第三方漏洞扫描引擎,通过API控制引擎,并得到漏洞扫描结果;
f.通过导入第三方漏洞扫描结果数据,将数据传递到平台内做数据分析,分析原则是通过与漏洞库进行对比,然后再调用自主引擎发起扫描与之做对比,然后得出最终扫描报告。
降低误报率方法分为三部分:
1)引擎支持基于开放网络端口服务的检测,也支持基于SMB、SSH、WinRM等协议的登录扫描检测,可得到更加精确的漏洞评估结果。
2)数据是经过多个,多家扫描引擎同时扫描的结果做对比,能更好的减少误报率。
3)通过标准漏洞库对应的脚本插件进行准确探测,而不是通过识别开发端口,识别系统版本就判断具有相应的漏洞。
漏洞库:漏洞库是漏洞发现的主要依据。现有接入漏洞数据30万+。
步骤S2、漏洞研判:扫描发现的漏洞进行研判渗透等工作,进一步验证该漏洞的威胁程度和修复优先级。
漏洞研判为对发现的漏洞进行研判,平均每个漏洞会进行系统版本检测、补丁系统比对、漏洞攻击验证三个步骤,最终确定是否为真实漏洞,具体包括以下步骤:
S21、通过引擎扫描发现的漏洞会进一步识别漏洞的类型、版本;通过这些信息可以进一步提高漏洞的精度和修复的准确度。例如:在漏洞扫描过程中发现了一个PHP的漏洞,但是对应PHP来说范围非常大,所以通过指纹识别等技术会精准发现具体使用了那个版本的PHP,提高后续的匹配精度。
S22、将通过查找的漏洞涉及的具体版本匹配补丁库中的修复方案,补丁库不仅提供补丁下载,同样也提供各个版本漏洞的修复方案;
S23、漏洞攻击针对的是插件,通过系统预制web类型漏洞、以及部分主机漏洞的攻击脚本(不是所有的漏洞都有具体的攻击方法),在已经识别的漏洞和相应版本的基础上,进行具体的POC验证,如果POC验证成功,说明该漏洞是能被实际利用的。对应该用户来说就是超危漏洞,需要第一时间修复,并根据补丁库提供的解决方案进行修复。
步骤S3、漏洞修复:对资产扫描出来的漏洞进行修复,可以是打补丁方式或者软件升级。漏洞修复包括工单派送、补丁库;
其中,工单派送:漏洞修复环节通过工单的形式进行管理,由安全管理员创建工单,选择需要修复的漏洞,设定紧急程度和计划时间,然后指定接单人;接单人登录系统会接到系统的消息通知,进行工单的关闭、延期处理,安全管理员作为派单人员对工单进行催单、审核;
补丁库:补丁库是对漏洞修复的修复依据,漏洞修复过程中系统会提示如何修复,期间会提示补丁下载地址,在内网环境下直接下载使用,能有效提高修复过程中的效率。
针对服务器级别的漏洞修复主要采用工单下发人工修复。服务器级别的漏洞采用常规自动修复漏洞极易产生各种问题。所以需要厂家判断该漏洞是否需要打补丁和具体的修复而不影响正常的业务使用。例如:在实际的业务使用上常常发现采用了低版本的jdk,tomcat、php、mysql等,这些漏洞极易被攻击,但是不能轻易修复漏洞,自动修复会造成业务瘫痪。
步骤S4、漏洞验证包括以下部分:
漏洞利用:使用渗透模块尝试和目标机器建立会话,在建立会话的过程中,不同的风险等级会使用不同的渗透模块;
收集证据:建立会话之后,默认为收集到目标的系统信息、安装的系统服务、屏幕截图、用户凭证,证据收集完成后,通过会话销毁痕迹;
提权:在目标机器上建立会话后,可操作的权限取决于建立会话的渗透模块利用的连接用户,如果此用户只是普通用户,将无法使用一些高级的系统命令,为此,需要提升当前用户的权限,运行更高级的系统命令;
远程跳板:将控制的目标机器作为数据的中转点,发起新的渗透测试,使用远程跳板后,能做到不和最终目标机器接触,而完成渗透测试工作。
具体原理如下:
根据前期的扫描得出漏洞的具体版本和范围,通过这些前期信息,与目标机器建立会话,例如前期发现的是PHP的漏洞,建立会话的同时会启动PHP和对应版本的poc插件。会话建立成功后,再一次扫描主机指纹信息,并与POC插件比对,比对一致后进入提权阶段。
提权,主要是通过将简易无害shell木马编译成免杀二进制文件,这个二进制数据会发送至目标机器上,如果该漏洞存在,那么目标主机就会执行该二进制文件,文件执行后引擎与目前机器会建立一个新任通道,这个通道可以模拟shell操作,获取服务器权限。
同样,在提权的主机还可以再次提权目标主机依次进行。
进入目标主机后,启动具体的poc插件,根据这些插件执行渗透测试的过程。测试结束后清除痕迹并退出。
本发明提供了一种基于分布式扫描引擎的脆弱性分析方法,如图3所示,通过合理部署,为提升信息安全漏洞管理能力,保证信息安全,提升服务质量,提高经济效益,增强市场竞争能力提供了保障。
上述实施方式并非是对本发明的限制,本发明也并不仅限于上述举例,本技术领域的技术人员在本发明的技术方案范围内所做出的变化、改型、添加或替换,也均属于本发明的保护范围。
Claims (10)
1.一种基于分布式扫描引擎的脆弱性分析方法,其特征在于:该方法通过建立管理系统对漏洞数据进行统一处理形成漏洞闭环管理流程,具体包括以下步骤:
步骤S1、漏洞发现;
步骤S2、漏洞研判;
步骤S3、漏洞修复;
步骤S4、漏洞验证。
2.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法,其特征在于:所述步骤S1、漏洞发现分为两部分:
S11、自主扫描引擎发现包括以下两部分:
A、资产发现
a.扫描引擎通过使用ICMP ECHO请求或发送TCP数据包到一个或多个端口,在有效的端口扫描中发现设备,响应这些数据包的系统被标记为处于活动状态,并将被加入随后的扫描阶段;
b.当在DMZ中或其他任何受严格保护的区域中扫描资产时,引擎会使用在a阶段查找到的端口扫描结果,从而确定哪些主机处于活动状态,如果在一项资产中发现任何端口处于开放状态,则系统将标记此资产为“存活”;
B、漏洞评估
c.漏洞评估通过插件实现,插件是用脚本语言编写好的子程序,通常系统先制定扫描策略,然后扫描程序根据策略调用一系列插件来执行漏洞扫描,检测出系统中存在的一个或者多个漏洞;
d.支持CVE、BID、EDB、CNNVD漏洞标准,并提供详细的漏洞信息,包括漏洞的真实利用信息。
S12、第三方扫描引擎发现包括以下两部分:
e.通过API接入主流第三方漏洞扫描引擎,通过API控制引擎,并得到漏洞扫描结果;
f.通过导入第三方漏洞扫描结果数据,将数据传递到平台内做数据分析,分析原则是通过与漏洞库进行对比,然后再调用自主引擎发起扫描与之做对比,然后得出最终扫描报告。
3.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法,其特征在于:所述步骤S2、漏洞研判为对发现的漏洞进行研判,平均每个漏洞会进行系统版本检测、补丁系统比对、漏洞攻击验证三个步骤,最终确定是否为真实漏洞,具体包括以下步骤:
S21、通过引擎扫描发现的漏洞会进一步识别漏洞的类型、版本;
S22、将通过查找的漏洞涉及的具体版本匹配补丁库中的修复方案,补丁库不仅提供补丁下载,同样也提供各个版本漏洞的修复方案;
S23、漏洞攻击针对的是插件,通过系统预制web类型漏洞、以及部分主机漏洞的攻击脚本,在已经识别的漏洞和相应版本的基础上,进行具体的POC验证,如果POC验证成功,说明该漏洞是能被实际利用的。
4.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法,其特征在于:所述步骤S3、漏洞修复包括工单派送、补丁库;
其中,工单派送:漏洞修复环节通过工单的形式进行管理,由安全管理员创建工单,选择需要修复的漏洞,设定紧急程度和计划时间,然后指定接单人;接单人登录系统会接到系统的消息通知,进行工单的关闭、延期处理,安全管理员作为派单人员对工单进行催单、审核;
补丁库:补丁库是对漏洞修复的修复依据,漏洞修复过程中系统会提示如何修复,期间会提示补丁下载地址,在内网环境下直接下载使用,能有效提高修复过程中的效率。
5.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法,其特征在于:所述步骤S4、漏洞验证包括以下部分:
漏洞利用:使用渗透模块尝试和目标机器建立会话,在建立会话的过程中,不同的风险等级会使用不同的渗透模块;
收集证据:建立会话之后,默认为收集到目标的系统信息、安装的系统服务、屏幕截图、用户凭证,证据收集完成后,通过会话销毁痕迹;
提权:在目标机器上建立会话后,可操作的权限取决于建立会话的渗透模块利用的连接用户,如果此用户只是普通用户,将无法使用一些高级的系统命令,为此,需要提升当前用户的权限,运行更高级的系统命令;
远程跳板:将控制的目标机器作为数据的中转点,发起新的渗透测试,使用远程跳板后,能做到不和最终目标机器接触,而完成渗透测试工作。
6.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法,其特征在于:所述管理系统包括展示层、业务应用层、接口层、数据存储层;
所述展示层用于实现资产信息、漏洞信息的展示;
所述业务应用层包括资产管理、检测管理、补丁管理、漏洞管理、任务管理、工单管理、报告管理、系统管理;
所述接口层通过接口对接数据处理,同时能兼容漏洞扫描引擎;
所述数据存储层用于对系统所用数据进行存储,包括以下模块:
资源池模块:自动分析出各个引擎负荷状态,调用其他引擎分担任务,同时也能调用多个引擎对同一个资产进行扫描,脆弱性发现;
POC研判引擎模块:对扫描发现的漏洞进行研判渗透工作,进一步验证该漏洞的威胁程度和修复优先级。
7.根据权利要求6所述的基于分布式扫描引擎的脆弱性分析方法,其特征在于:所述资产管理包括资产的增加、修改、删除、导入、导出、发现,统称测绘,其中资产信息包括主机ip、操作系统、主机名称;
所述检测管理即对探针的管理,探针通过使用ICMP ECHO请求或发送TCP数据包到一个或多个端口,在有效的端口扫描中发现设备,响应这些数据包的系统被标记为处于活动状态,并将被加入随后的扫描阶段。
8.根据权利要求6所述的基于分布式扫描引擎的脆弱性分析方法,其特征在于:所述补丁管理为定期更新各个厂商所发布的已发现漏洞的修复补丁,并将补丁下载到系统以便修复漏洞时使用;
所述漏洞管理为:系统通过探针对资产进行扫描并发现已知漏洞,然后对扫描发现的漏洞进行研判渗透工作,进一步验证该漏洞的威胁程度和修复优先级,最后对资产扫描出来的漏洞进行修复、验证。
9.根据权利要求6所述的基于分布式扫描引擎的脆弱性分析方法,其特征在于:所述任务管理为:通过扫描任务进行资产扫描,扫描任务包含需要扫描的资产、扫描使用的探针、扫描方式,任务管理还包括对扫描任务状态的管理、启动、停止、查看状态;
所述工单管理包括工单编号、工单名称、工单类型、紧急程度、计划开始时间、计划结束时间、关联的资产,用工单的形式告知哪些资产需要进行什么样的操作。
10.根据权利要求6所述的基于分布式扫描引擎的脆弱性分析方法,其特征在于:所述报告管理为:漏洞扫描完成后生成漏洞扫描报告,报告选择word或者pdf格式将资产所包含的漏洞以书面形式体现出来;
所述系统管理是对系统的基本配置管理,包括用户管理、角色管理、菜单管理、部门管理、岗位管理、字典管理、参数配置以及通知公告。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210990644.4A CN115361203A (zh) | 2022-08-18 | 2022-08-18 | 一种基于分布式扫描引擎的脆弱性分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210990644.4A CN115361203A (zh) | 2022-08-18 | 2022-08-18 | 一种基于分布式扫描引擎的脆弱性分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115361203A true CN115361203A (zh) | 2022-11-18 |
Family
ID=84002312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210990644.4A Pending CN115361203A (zh) | 2022-08-18 | 2022-08-18 | 一种基于分布式扫描引擎的脆弱性分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115361203A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116204891A (zh) * | 2023-04-28 | 2023-06-02 | 清华大学 | 漏洞利用分析方法、设备及存储介质 |
| CN116644429A (zh) * | 2023-04-28 | 2023-08-25 | 博智安全科技股份有限公司 | 一种基于漏洞信息库的漏洞修复系统及方法 |
-
2022
- 2022-08-18 CN CN202210990644.4A patent/CN115361203A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116204891A (zh) * | 2023-04-28 | 2023-06-02 | 清华大学 | 漏洞利用分析方法、设备及存储介质 |
| CN116204891B (zh) * | 2023-04-28 | 2023-07-14 | 清华大学 | 漏洞利用分析方法、设备及存储介质 |
| CN116644429A (zh) * | 2023-04-28 | 2023-08-25 | 博智安全科技股份有限公司 | 一种基于漏洞信息库的漏洞修复系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11086983B2 (en) | System and method for authenticating safe software | |
| CN115361203A (zh) | 一种基于分布式扫描引擎的脆弱性分析方法 | |
| Yi et al. | An intelligent communication warning vulnerability detection algorithm based on IoT technology | |
| CN112637220A (zh) | 一种工控系统安全防护方法及装置 | |
| Mirjalili et al. | A survey on web penetration test | |
| CN109871696A (zh) | 一种漏洞信息的自动收集与漏洞扫描系统及方法、计算机 | |
| KR101972825B1 (ko) | 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램 | |
| CN109344624A (zh) | 基于云端协作的渗透测试方法、平台、设备及存储介质 | |
| CN113315767B (zh) | 一种电力物联网设备安全检测系统及方法 | |
| Johari et al. | Penetration testing in IoT network | |
| CN110879889A (zh) | Windows平台的恶意软件的检测方法及系统 | |
| CN108965251B (zh) | 一种云端结合的安全手机防护系统 | |
| CN114036059A (zh) | 面向电网系统的自动化渗透测试系统、方法和计算机设备 | |
| Chen et al. | Detection, traceability, and propagation of mobile malware threats | |
| Antunes et al. | Evaluating and improving penetration testing in web services | |
| CN111245800B (zh) | 网络安全测试方法和装置、存储介质、电子装置 | |
| Permann et al. | Cyber assessment methods for SCADA security | |
| CN116318783B (zh) | 基于安全指标的网络工控设备安全监测方法及装置 | |
| CN113868670A (zh) | 一种漏洞检测流程检验方法及系统 | |
| CN112637873A (zh) | 基于无人系统无线通信网络的鲁棒性测试方法及装置 | |
| Elsbroek et al. | Fidius: Intelligent support for vulnerability testing | |
| Ziro et al. | Improved Method for Penetration Testing of Web Applications. | |
| CN111428238B (zh) | 一种基于安卓组件拒绝服务测试方法、检测终端及介质 | |
| CN115361240B (zh) | 一种漏洞确定方法、装置、计算机设备及存储介质 | |
| US11822916B2 (en) | Correlation engine for detecting security vulnerabilities in continuous integration/continuous delivery pipelines |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |