CN117828608A - 系统漏洞识别方法、装置、设备及介质 - Google Patents
系统漏洞识别方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN117828608A CN117828608A CN202311799332.6A CN202311799332A CN117828608A CN 117828608 A CN117828608 A CN 117828608A CN 202311799332 A CN202311799332 A CN 202311799332A CN 117828608 A CN117828608 A CN 117828608A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- identified
- identification
- determining
- candidate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000012795 verification Methods 0.000 claims abstract description 116
- 230000002159 abnormal effect Effects 0.000 claims abstract description 16
- 238000012360 testing method Methods 0.000 claims description 46
- 239000013598 vector Substances 0.000 claims description 38
- 230000035515 penetration Effects 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 16
- 230000008439 repair process Effects 0.000 claims description 7
- 238000006243 chemical reaction Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 description 17
- 238000012545 processing Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000012216 screening Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 239000002699 waste material Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000011218 segmentation Effects 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 238000013145 classification model Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003058 natural language processing Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 101100481876 Danio rerio pbk gene Proteins 0.000 description 1
- 101100481878 Mus musculus Pbk gene Proteins 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种系统漏洞识别方法、装置、设备及介质。该方法包括:根据待识别系统的系统基础数据,对待识别系统进行漏洞评估;若漏洞评估结果为异常,则获取待识别系统的漏洞关联数据;基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据漏洞关联数据,从漏洞信息集合中确定待识别系统的参考漏洞标识,并从漏洞验证代码库中确定待识别系统的漏洞验证代码;采用漏洞验证代码验证待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定待识别系统的实际漏洞。上述方案,实现了漏洞的自动化识别,提高了系统漏洞的识别效率,降低了人工成本。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种系统漏洞识别方法、装置、设备及介质。
背景技术
随着网络的扩张和互联网的普及,网络安全威胁也变得更加复杂和普遍。黑客和恶意分子不断寻找漏洞,以获取未经授权的访问权限,窃取敏感信息或对系统进行损害。因此,网络安全已经变得至关重要,机构需要采取积极措施来保护其数字资产和用户数据。
渗透测试是一种常用的方法,用于评估计算机系统、网络和应用程序的安全性。通过模拟攻击者的行为,渗透测试帮助机构发现潜在的漏洞和弱点,从而能够采取必要的措施来改善安全性。传统的渗透测试由于需要手动操作和深入的技术知识,人工成本较高。
发明内容
本发明提供一种系统漏洞识别方法、装置、设备及介质,以实现系统漏洞的自动化识别,提高系统漏洞的识别效率,降低人工成本。
根据本发明的一方面,提供了一种系统漏洞识别方法,包括:
根据待识别系统的系统基础数据,对所述待识别系统进行漏洞评估;
若漏洞评估结果为异常,则获取所述待识别系统的漏洞关联数据;
基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据所述漏洞关联数据,从漏洞信息集合中确定所述待识别系统的参考漏洞标识,并从漏洞验证代码库中确定所述待识别系统的漏洞验证代码;
采用所述漏洞验证代码验证所述待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定所述待识别系统的实际漏洞。
根据本发明的另一方面,提供了一种系统漏洞识别装置,包括:
漏洞评估模块,用于根据待识别系统的系统基础数据,对所述待识别系统进行漏洞评估;
漏洞关联数据获取模块,用于若漏洞评估结果为异常,则获取所述待识别系统的漏洞关联数据;
标识代码确定模块,用于基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据所述漏洞关联数据,从漏洞信息集合中确定所述待识别系统的参考漏洞标识,并从漏洞验证代码库中确定所述待识别系统的漏洞验证代码;
实际漏洞确定模块,用于采用所述漏洞验证代码验证所述待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定所述待识别系统的实际漏洞。
根据本发明的另一方面,提供了一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器能够执行本发明实施例所提供的任意一种系统漏洞识别方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使处理器执行时实现本发明实施例所提供的任意一种系统漏洞识别方法。
本发明实施例提供的一种系统漏洞识别方案,通过根据待识别系统的系统基础数据,对待识别系统进行漏洞评估;若漏洞评估结果为异常,则获取待识别系统的漏洞关联数据;基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据漏洞关联数据,从漏洞信息集合中确定待识别系统的参考漏洞标识,并从漏洞验证代码库中确定待识别系统的漏洞验证代码;采用漏洞验证代码验证待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定待识别系统的实际漏洞。上述方案,通过根据漏洞关联数据和漏洞对应关系,确定待识别系统的实际漏洞,实现了漏洞的自动化识别,提高了系统漏洞的识别效率,降低了人工成本;同时,通过根据系统基础数据,对待识别系统进行漏洞评估,并在评估结果为异常时,进行后续漏洞识别,减少了资源浪费。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种系统漏洞识别方法的流程图;
图2是本发明实施例二提供的一种系统漏洞识别方法的流程图;
图3是本发明实施例四提供的一种系统漏洞识别装置的结构示意图;
图4是本发明实施例五提供的一种实现系统漏洞识别方法的电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
通过Nmap可以获取到当前测试的待识别系统的端口信息,包括开放的端口、端口服务类型及版本、操作系统、设备类型等信息通过多维度的命令组合(主机发现(HostDiscovery)、端口扫描(Port Scanning)、版本侦测(VersionDetection)、操作系统侦测(Operating System Detection))得到丰富的扫描信息,比如通过各种组合得到需要的报告文件。而Metasploit是一款开源的安全漏洞检测工具,它可以帮助用户对某些软件进行安全性评估,提供真正的安全风险情报。Metasploit其基本的命令模块包括show、search、use等能够实现对目标的扫描并输出对应的安全评估报告。
CVE(Common Vulnerabilities Exposures)通用漏洞披露,是用来表达漏洞的一个规范,通过一个具体的漏洞编号来标志和说明此编号漏洞的关联信息,比如漏洞名称、作用的组件(CPE标准)、CVE编号、漏洞类型(CWE类型),漏洞严重程度(CVSS评分),漏洞攻击向量以及漏洞修补数据(包括补丁、修复建议、漏洞利用代码等等)。
CPE(Common Platform Enumeration)通用枚举平台,是用来对组件进行命名的规范,给出了漏洞影响的软件的名称和具体版本、厂商等信息,是漏洞的最终作用主体。以下是一个CPE实体的相关信息示例:cpe:2.3:a:apache:jackrabbit:2.2.13:*:*:*:*:*:*:*,表示该组件的CPE标准是2.3版本,a表示的是软件(application,类似的还有o(系统,operating system)和h(hardware)),apache是组件的厂商,jackrabbit是组件的名称,2.2.13是组件的版本信息,经过在CVE数据集中查询可以发现,作用于此组件的漏洞有CVE-2016-6801、CVE-2009-0026、CVE-2023-37895、CVE-2015-1833四个漏洞。
Exploit Database(ExploitDB)是一个广泛使用的漏洞利用数据库,它包含了各种漏洞利用工具、漏洞信息、漏洞利用脚本以及与计算机安全相关的数据。这个数据库是技术人员的重要资源之一,用于研究和测试安全漏洞。其包含大概4.5万以上的漏洞利用代码。另一方面,从网站也可以获取到部分的漏洞利用代码,经过此途径获取的漏洞利用代码质量参差不齐,需要经过专家校验,至此得到漏洞利用的原始代码数据集。利用CVE的编号的命名规范,通过正则匹配的方式得到CVE和exp代码的关联关系,比如CVE-2003-0123,2003是年份,0123代表漏洞编号,漏洞编号一般是4到6位的数字。至此,得到CVE-CPE-exp代码的漏洞对应关系,通过关系型数据库进行存储方便后续查询操作。
实施例一
图1是本发明实施例一提供的一种系统漏洞识别方法的流程图,本实施例可适用于识别系统中的漏洞的情况,该方法可以由系统漏洞识别装置来执行,该装置可以采用软件和/或硬件的方式实现,并可配置于承载系统漏洞识别功能的电子设备中。
参见图1所示的系统漏洞识别方法,包括:
S110、根据待识别系统的系统基础数据,对待识别系统进行漏洞评估。
其中,待识别系统是指需要进行漏洞识别的系统。本发明实施例对待识别系统的类别不作任何限定,可以是技术人员根据需要进行设置。
其中,系统基础数据是指待识别系统的基础属性数据。示例性的,系统基础数据可以包括待识别系统的端口数据,如开放的端口、端口服务类型及版本、操作系统、设备类型等信息通过多维度的命令组合(主机发现(Host Discovery)、端口扫描(Port Scanning)、版本侦测(Version Detection)、操作系统侦测(Operating System Detection)等中的至少一种。本发明实施例对获取系统基础数据的方式不作任何限定,可以是技术人员根据经验进行设置。示例性的,可以采用网络扫描工具Nmap获取系统基础数据。本发明实施例中的系统基础数据可以为基于NLP的语义文本信息。
本发明实施例中可以采用一款开源的安全漏洞检测工具Metasploit对待识别系统进行漏洞评估。
本发明实施例中采用Nmap和Metasploit的好处是,实现自动化的批量的处理和集成的目的,避免因为工具的图形界面窗口导致无法批量执行和快速执行的目的。
需要说明的是,为了减少运算量,可以在获取到系统基础数据后,对系统基础数据进行预处理,如清洗、去重等操作,并基于预处理后的系统基础数据对待识别系统进行漏洞评估。
S120、若漏洞评估结果为异常,则获取待识别系统的漏洞关联数据。
其中,漏洞关联数据是指待识别系统中与漏洞相关的数据。本发明实施例对漏洞关联数据中的内容不作任何限定,可以是技术人员根据经验进行设置。示例性的,待识别系统可以采用自身内部的漏洞检测模块,获取漏洞关联数据。
本发明实施例中,若漏洞评估结果为正常,则确定待识别系统无漏洞。
具体的,在漏洞评估结果为异常时,通过待识别系统内容的漏洞检测模块获取漏洞关联数据。
S130、基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据漏洞关联数据,从漏洞信息集合中确定待识别系统的参考漏洞标识,并从漏洞验证代码库中确定待识别系统的漏洞验证代码。
其中,漏洞信息集合CVE中包括漏洞标识以及作用的组件;漏洞组件集合CPE中包括组件的关联数据;漏洞验证代码库中包括漏洞标识以及对应的代码。
漏洞对应关系可以存储在关系型数据库中。参考漏洞标识用于表征初步确定的待识别系统中存在的漏洞。漏洞验证代码用于验证漏洞在待识别系统中的存在情况。
需要说明的是,参考漏洞标识的数量为至少一个,相应的,漏洞验证代码的数量为至少一个。
S140、采用漏洞验证代码验证待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定待识别系统的实际漏洞。
其中,参考漏洞是指基于参考漏洞标识确定的漏洞。实际漏洞是指待识别系统中实际存在的漏洞。
需要说明的是,实际漏洞的数量可以为多个。
在一个可选实施例中,采用漏洞验证代码验证待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定待识别系统的实际漏洞,包括:基于漏洞验证代码对待识别系统进行测试渗透,得到测试漏洞标识;将测试漏洞标识与参考漏洞标识进行匹配,以验证待识别系统中是否含有参考漏洞标识对应的参考漏洞;根据验证结果,确定待识别系统的实际漏洞。
其中,渗透测试的目的是挖掘待识别系统中已有的漏洞,并提出对应的缓解措施信息。测试漏洞标识用于表征基于漏洞验证代码确定的待识别系统中存在的漏洞。漏洞验证代码的数量可以为一个或多个,则测试漏洞标识的数量可以为一个或多个。
具体的,若存在任一个参考漏洞标识与任一个测试漏洞标识相匹配,则验证通过,即确定该参考漏洞标识对应的参考漏洞为待识别系统的实际漏洞;若否,则验证不通过,即禁止将该参考漏洞标识对应的参考漏洞作为待识别系统的实际漏洞。
可以理解的是,通过引入测试漏洞标识,实现对参考漏洞标识的验证筛选,提高了后续确定的实际漏洞的准确度。
本发明实施例提供的一种系统漏洞识别方案,通过根据待识别系统的系统基础数据,对待识别系统进行漏洞评估;若漏洞评估结果为异常,则获取待识别系统的漏洞关联数据;基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据漏洞关联数据,从漏洞信息集合中确定待识别系统的参考漏洞标识,并从漏洞验证代码库中确定待识别系统的漏洞验证代码;采用漏洞验证代码验证待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定待识别系统的实际漏洞。上述方案,通过根据漏洞关联数据和漏洞对应关系,确定待识别系统的实际漏洞,实现了漏洞的自动化识别,提高了系统漏洞的识别效率,降低了人工成本;同时,通过根据系统基础数据,对待识别系统进行漏洞评估,并在评估结果为异常时,进行后续漏洞识别,减少了资源浪费。
实施例二
图2是本发明实施例二提供的一种系统漏洞识别方法的流程图。本发明实施例在上述实施例的基础上,进一步的,将“根据漏洞关联数据,从漏洞信息集合中确定待识别系统的参考漏洞标识,并从漏洞验证代码库中确定待识别系统的漏洞验证代码”操作,细化为“根据漏洞关联数据,确定待识别系统所属的漏洞类型;根据漏洞类型,从漏洞信息集合中获取漏洞类型所包括的候选漏洞标识;基于漏洞关联数据和候选漏洞标识,从候选漏洞标识中确定参考漏洞标识,并从漏洞验证代码库中确定参考漏洞标识对应的漏洞验证代码”,以完善标识和代码的确定机制。需要说明的是,在本发明实施例未详述的部分,可参见其他实施例的表述。
参见图2所示的系统漏洞识别方法,包括:
S210、根据待识别系统的系统基础数据,对待识别系统进行漏洞评估。
S220、若漏洞评估结果为异常,则获取待识别系统的漏洞关联数据。
S230、基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据漏洞关联数据,确定待识别系统所属的漏洞类型。
其中,漏洞类型是指待识别系统中存在的漏洞的种类。示例性的,漏洞类型可以包括:溢出Overflow、内存损坏Memory Corruption、Sql注入Sql Injection、跨站脚本XSS、目录遍历Directory Traversal、文件包含File Inclusion、跨站请求伪造CSRF、XML外部实体XXE、服务器端请求伪造SSRF、开放重定向OpenRedirect、输入验证代码执行InputValidationCode Execution、绕过Bypass、权限提升Privilege Escalation、拒绝服务Denial of Service和信息泄露Information Leak中的至少一种。本发明实施例中的漏洞类型的数量可以为一个或多个。
本发明实施例对确定漏洞类型的方式不作任何限定,可以是技术人员根据经验进行设置。在一个可选实施例中,可以通过模型的方式实现。示例性的,根据漏洞关联数据,确定待识别系统所属的漏洞类型,包括:将漏洞关联数据输入至训练好的漏洞类型识别模型中,得到待识别系统的漏洞类型;其中,漏洞类型识别模型为FastText模型;漏洞关联数据包括如下至少一项:漏洞名称、漏洞严重程度、漏洞攻击向量、漏洞修补数据、漏洞作用的组件以及组件的基础数据。
其中,漏洞严重程度可以用于量化漏洞对系统的影响大小。漏洞关联数据可以基于漏洞对应关系中各数据,从待识别系统中获取到的同类型数据。示例性的,漏洞关联数据可以包括:描述信息、CVSS评分、漏洞的作用CPE组件列表,攻击向量、cvss_vector向量(标志了CVSS在漏洞需要的攻击环境、需要的物理条件等各个方面的指标)等至少一种数据。
其中,漏洞类型识别模型是指用于得到漏洞类型的模型。FastText模型本质上是一个文本分类模型,能够捕获文本的上下文的关联关系,其主要的网络结构为输入层x_n、隐藏层(Hidden Layer)和输出层(softmax),x_n表示的是当前文本分词以后单个词语的独热编码。利用前述的经过整合以后的文本信息,经过分词、去除停用词等操作以后,得到文本的embedding向量,通过全连接层和softmax函数进行概率输出。Softmax进行概率输出的公式和原理如下:
其中,zi表示第i个节点的输出值;C表示输出节点的个数,即漏洞类型的个数;Zc表示词嵌入,即把文本转换为向量的数值数据;Si表示漏洞类型i的概率值,通过Softmax函数就可以将多分类的输出值转换为范围在[0,1]和为1的概率分布。
在本阶段利用利用得到的FastText模型,通过Nmap、Metasploit等多种命令行工具对目标的扫描结果进行清洗以后,通过构建的渗透测试专有的分词字典,将结果送入FastText模型,筛选出概率最大的漏洞类型(此处的筛选需要满足一定的约束条件,比如概率大于预设阈值,如60%;如若没有,则选择TopK个漏洞类型而且各个漏洞类型的概率差值大于预设概率差值,如0.1的约束条件,目的是得到符合概率要求和常识的漏洞类型)。本发明实施例对预设阈值和预设概率差值的大小均不作任何限定,可以是技术人员根据经验进行设置。
需要说明的是,本发明实施例中的FastText模型既可以实现对文本分类,即确定漏洞类型;也可以利用该分类模型实现将文本转换为数值向量,文本转换为数值以后才能进行数学计算,即后续可以采用FastText模型对数据进行向量转化。
可以理解的是,通过引入漏洞类型识别模型,确定漏洞类型,提高了确定的漏洞类型的准确度。
S240、根据漏洞类型,从漏洞信息集合中获取漏洞类型所包括的候选漏洞标识。
其中,候选漏洞标识是指漏洞类型下可能为参考漏洞标识的漏洞身份数据。示例性的,漏洞标识可以为漏洞编号。
在一个可选实施例中,根据漏洞类型,从漏洞信息集合中获取漏洞类型所包括的候选漏洞标识之后,包括:获取漏洞信息集合中漏洞类型下所包括的各可选漏洞标识的漏洞约束数据;根据漏洞约束数据和预设约束条件,从可选漏洞标识中筛选得到候选漏洞标识。
其中,可选漏洞标识是指漏洞类型下的所有漏洞身份数据。漏洞约束数据是指可以用于进行漏洞筛选的数据。预设约束条件可以是技术人员根据经验进行设置,本发明实施例对此不作任何限定。示例性的,预设约束条件可以包括CVSS(Common VulnerabilityScoring System,通用漏洞评分系统)评分超过7分,相应的,漏洞约束数据为可选漏洞标识对应的CVSS评分。预设约束条件可以包括待识别系统主机部署的服务,相应的,漏洞约束数据为主机服务数据。预设约束条件可以包括待识别系统的系统类型,相应的,漏洞约束数据为系统类型数据。
可以理解的是,通过对可选漏洞标识进行筛选得到候选漏洞标识,减少了资源浪费。
S250、基于漏洞关联数据和候选漏洞标识,从候选漏洞标识中确定参考漏洞标识,并从漏洞验证代码库中确定参考漏洞标识对应的漏洞验证代码。
在一个可选实施例中,基于漏洞关联数据和候选漏洞标识,从候选漏洞标识中确定参考漏洞标识,并从漏洞验证代码库中确定参考漏洞标识对应的漏洞验证代码,包括:根据候选漏洞标识从漏洞对应关系中确定候选漏洞标准数据;确定候选漏洞标准数据和漏洞关联数据之间的漏洞相似度;根据漏洞相似度,从候选漏洞标识中确定参考漏洞标识;根据参考漏洞标识从漏洞验证代码库中确定漏洞验证代码。
其中,候选漏洞标准数据是指漏洞对应关系中候选漏洞标识对应的标准数据。示例性的,候选漏洞标准数据可以包括候选漏洞标识对应的组件、组件信息和候选漏洞标识对应的代码。漏洞相似度可以用于量化候选漏洞标准数据和漏洞关联数据之间的关联程度,即漏洞相似度越大,则漏洞关联数据与候选漏洞标准数据越相似,即该候选漏洞标准数据中的候选漏洞标识越可能为参考漏洞标识。
可以理解的是,通过引入漏洞相似度,通过漏洞相似度从候选漏洞标识中确定参考漏洞标识,提高了确定参考漏洞标识的准确度;同时,从候选漏洞标识中选取参考漏洞标识,提高了确地的参考漏洞标识的全面性。
在一个可选实施例中,确定候选漏洞标准数据和漏洞关联数据之间的漏洞相似度,包括:分别对候选漏洞标准数据和漏洞关联数据进行向量转化,得到候选漏洞标准向量和漏洞关联向量;相应的,确定候选漏洞标准数据和漏洞关联数据之间的漏洞相似度,包括:基于候选漏洞标准向量和漏洞关联向量,确定候选漏洞标准数据和漏洞关联数据之间的漏洞相似度。
其中,候选漏洞标准向量是指向量化后的候选漏洞标准数据。漏洞关联向量是指向量化后的漏洞关联数据。本发明实施例对向量转化的方式不作任何限定,可以是技术人员根据经验进行设置。本发明实施例中可以通过FastText模型实现向量转化。
本发明实施例中,通过FastText模型可以实现对漏洞类型的比较宽泛的定位,可以定位到具体的漏洞类型,但是一个漏洞类型下面可能有几万个具体的CVE漏洞编号,即候选漏洞标识,需要借助于其它方式才能确定具体的CVE漏洞编号。比如:目前存在漏洞利用的CVE大部分是高危CVE,即CVE的CVSS评分在7以上(占比30%左右);另一方面通过待识别系统部署的服务可以进一步对涉及的CVE漏洞编号进行收束(目标主机存在springboot、apache服务可以进一步收束);另一方面通过待识别系统的系统类型(Linux、windows)也可以收束。
在此处中通过前述的各种约束,通过在建立的关系型数据库中的漏洞对应关系中查询,结合文本余弦文本相似度筛选出预设数值个相似度较高的候选漏洞标识,作为参考漏洞标识(由于前述得到的具体漏洞类型可能有多个,可能存在得到多个预设数值个参考漏洞标识)的目的,如下所示q2是候选漏洞标准数据送入FastText模型以后得到候选漏洞标准向量,q1则是漏洞关联数据送入FastText模型以后得到的漏洞关联向量。需要说明的是,本发明实施例对预设数值的大小不作任何限定,可以是技术人员根据经验进行设置。
示例性的,漏洞相似度可以通过以下公式确定:
进一步的,经过计算得到的漏洞相似度,筛选出漏洞相似度最高的预设数值个参考漏洞标识。
可以理解的是,通过对候选漏洞标准数据和漏洞关联数据进行向量转化,便于后续确定漏洞相似度,提高了确定漏洞相似度的可实现性和准确度。并且,FastText是一种快速文本分类工具和文本向量化工具,通常用于自然语言处理任务。它基于神经网络和词向量技术,能够理解文本的语义和上下文关系。将FastText模型引入渗透测试系统,可以提高测试的准确性和效率。使系统可以自动分析目标应用程序或系统的文档和配置文件,并识别潜在的漏洞和安全风险。此外,FastText模型还具有快速训练和轻量级的特点,因此可以轻松扩展到大规模的应用程序和网络环境。它还支持多语言处理,适用性较高。
S260、采用漏洞验证代码验证待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定待识别系统的实际漏洞。
具体的,针对任一参考漏洞标识,根据该参考漏洞标识从漏洞验证代码库EXP中查找到该参考漏洞标识对应的漏洞验证代码;通过漏洞验证代码对待识别系统进行测试渗透,根据漏洞验证代码的返回结果,即测试漏洞标识,对该参考漏洞标识进行验证。
进一步的,根据实际漏洞和漏洞对应关系,可以针对此实际漏洞采取对应的缓解措施或下载补丁等措施。
本发明实施例提供了一种系统漏洞识别方案,通过将根据漏洞关联数据,从漏洞信息集合中确定待识别系统的参考漏洞标识,并从漏洞验证代码库中确定待识别系统的漏洞验证代码操作,细化为根据漏洞关联数据,确定待识别系统所属的漏洞类型;根据漏洞类型,从漏洞信息集合中获取漏洞类型所包括的候选漏洞标识;基于漏洞关联数据和候选漏洞标识,从候选漏洞标识中确定参考漏洞标识,并从漏洞验证代码库中确定参考漏洞标识对应的漏洞验证代码,完善了标识和代码的确定机制。上述方案,通过引入漏洞类型和候选漏洞标识,避免了确定参考漏洞标识的缺失,提高了确定的参考漏洞标识的准确度和全面性;同时,基于漏洞类型确定候选漏洞标识,提高了确定的候选漏洞标识的全面性,提高了效率。
实施例三
本发明实施例在上述实施例的基础上,提供了一个可选示例。本发明实施例中可以预先建立漏洞对应关系,具体的,通过在网络上抓取漏洞信息集合CVE、漏洞组件集合CPE、漏洞验证代码库等数据,利用数据之间的关联关系建立三者之间的关联关系即漏洞对应关系。其中,在CVE中的cpe_match字段标注了当前CVE作用的组件情况,如CVE-2016-7255的CVE漏洞,其作用的一个组件是cpe:2.3:o:microsoft:windows_rt_8.1:*:*:*:*:*:*:*:*,表明CPE的标准是2.3,o表示的是操作系统(perating system、类似的还有a(软件application)和h(硬件hadrware)),microsoft表示组件的厂商名称,windows_rt_8.1表示的是组件名,后续的一个*号表示影响所有的版本。另一方面在EXP和从github、sploitus抓取的代码进行忽略大小写的正则匹配验证,可以挖掘到关联的漏洞验证代码编号是:EDB-ID:40745。至此得到CVE-CPE-漏洞验证代码库的关联关系。
进一步的,通过漏洞对应关系和漏洞关联数据确定漏洞类型。具体的,结合CVE和CPE信息,利用CVE的漏洞分类方式结合CVE的描述信息、CVSS评分、漏洞的作用CPE组件列表,攻击向量、cvss_vector向量等属性信息构建训练数据集。需要说明的是,FastText模型的格式要求标签必须以__label__开头。通过对FastText的超参数:n-gram(关联上下文的词的个数),学习率,滑动窗口的大小、词向量维度等进行调整,训练得到FastText模型,用准确率和F1得分作为评价指标均取得了大于95%的效果。在此过程中由于漏洞类型包含的CVE样本的的数量不一致涉及到对样本不均衡的处理,采用采样的方案进行处理。利用基于命令行的扫描工具,比如Nmap、Metasploit等攻击对待识别系统进行多维度的细粒度的扫描,得到关于待识别系统的扫描告报告,具体地:通过Nmap的多种组合方式对待识别系统进行主机发现(Host Discovery)、端口扫描(Port Scanning)、版本侦测(VersionDetection)、操作系统侦测等多种扫描,将生成的报告合并处理(此处的处理包括对关键字段内容的提取、去重、删除等等),以实现漏洞评估;在漏洞评估结果为异常时,获取漏洞关联数据并将漏洞关联数据送入FastText模型,得到待识别系统存在的漏洞类型,漏洞类型可能有一个也可能有多个。
进一步的,根据漏洞类型和漏洞对应关系,确定实际漏洞。具体的,利用FastText模型得到的漏洞类型,结合CVSS评分、操作系统类型、组件名称、组件的厂商名称等进行约束。具体地:筛选出CVSS评分大于7,而且操作系统类似是windows系统,关联的组件厂商是microsoft的并且影响的产品是操作系统类别的候选漏洞标识。结合利用FastText计算的漏洞相似度,得到符合要求的预设数值个参考漏洞标识,利用漏洞对应关系,查找预设数值个参考漏洞关联的漏洞验证代码对其进行验证。举例说明:待识别系统可能存在的参考漏洞标识是CVE-2019-12181,此参考漏洞对应的漏洞验证代码有EDB-ID:465890、EDB-ID:47572等多个,经过用漏洞验证代码进行验证证实了此参考漏洞的存在,至此可以确认待识别系统存在此参考漏洞,即该参考漏洞为实际漏洞,可以基于此实际漏洞给出对应的缓解措施:用户应当尽快升级到SolarWinds Serv-U forLinux的15.1.7版本或更高版本来修复此实际漏洞。
需要说明的是,实际情况中经过多种约束以后一个待识别系统仍可能存在多个实际漏洞,系统会根据前述描述输出最可能的多个漏洞与其关联的修复方案信息,使网络安全技术人员能够更加输出报告快速定位和修复漏洞。
现有的自动化渗透测试系统的发展为机构提供了更高效和经济的安全解决方案。这些系统利用计算机程序和工具来模拟攻击,识别漏洞,并生成报告,减少了人力资源的需求。然而,传统的自动化渗透测试系统仍然存在一些挑战,如准确性、复杂性和可扩展性。这些挑战部分源于测试系统的能力,部分源于测试人员的专业知识。
本发明实施例中提供的基于FastText模型的自动化渗透测试方法,可以提高渗透测试的准确性:传统的渗透测试方法可能受到人为因素的影响,例如测试人员的技能水平和疏忽。自动化测试系统的主要目的之一是消除这些人为因素,提供更加一致和准确的测试结果。FastText模型作为一种强大的自然语言处理工具,有望识别文本中的语义和上下文关系,从而提高渗透测试的准确性。提高测试效率:传统的渗透测试可能需要大量的时间和资源,尤其是在大型网络和应用程序环境中。自动化测试系统可以大大提高测试的效率,快速扫描和分析目标系统,从而更快地发现潜在的漏洞。这对于应对不断变化的网络威胁至关重要。降低测试成本:聘请专业的渗透测试人员和购买专业工具可能会导致高昂的测试成本。自动化测试系统的目标之一是降低测试成本,通过减少对专业人员的依赖,从而使更多的组织能够承担得起渗透测试。可扩展性:随着组织的增长和技术环境的变化,渗透测试需要能够扩展到不同规模和复杂度的系统。基于FastText模型的自动化测试系统具有良好的可扩展性,可以适应不同的应用程序和网络环境,同时支持多语言处理,使其更具通用性。实时威胁检测:网络威胁是动态的,攻击者不断寻找新的漏洞和攻击方法。自动化测试系统的目的之一是提供实时的威胁检测,及时发现并应对新的安全漏洞和攻击,以最大程度地减小潜在风险。综上,基于FastText模型的自动化渗透测试系统的目的是提供一种更加精确、高效、经济和可扩展的渗透测试解决方案,以帮助机构更好地保护其数字资产和用户数据。
实施例四
图3是本发明实施例四提供的一种系统漏洞识别装置的结构示意图。本实施例可适用于识别系统中的漏洞的情况,该方法可以由系统漏洞识别装置来执行,该装置可以采用软件和/或硬件的方式实现,并可配置于承载系统漏洞识别功能的电子设备中。
如图3所示,该装置包括:漏洞评估模块410、漏洞关联数据获取模块420、标识代码确定模块430和实际漏洞确定模块440。其中,
漏洞评估模块410,用于根据待识别系统的系统基础数据,对所述待识别系统进行漏洞评估;
漏洞关联数据获取模块420,用于若漏洞评估结果为异常,则获取所述待识别系统的漏洞关联数据;
标识代码确定模块430,用于基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据所述漏洞关联数据,从漏洞信息集合中确定所述待识别系统的参考漏洞标识,并从漏洞验证代码库中确定所述待识别系统的漏洞验证代码;
实际漏洞确定模块440,用于采用所述漏洞验证代码验证所述待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定所述待识别系统的实际漏洞。
本发明实施例提供的一种系统漏洞识别方案,通过根据待识别系统的系统基础数据,对待识别系统进行漏洞评估;若漏洞评估结果为异常,则获取待识别系统的漏洞关联数据;基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据漏洞关联数据,从漏洞信息集合中确定待识别系统的参考漏洞标识,并从漏洞验证代码库中确定待识别系统的漏洞验证代码;采用漏洞验证代码验证待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定待识别系统的实际漏洞。上述方案,通过根据漏洞关联数据和漏洞对应关系,确定待识别系统的实际漏洞,实现了漏洞的自动化识别,提高了系统漏洞的识别效率,降低了人工成本;同时,通过根据系统基础数据,对待识别系统进行漏洞评估,并在评估结果为异常时,进行后续漏洞识别,减少了资源浪费。
可选的,标识代码确定模块430,包括:
漏洞类型确定单元,用于根据所述漏洞关联数据,确定所述待识别系统所属的漏洞类型;
候选漏洞标识确定单元,用于根据所述漏洞类型,从所述漏洞信息集合中获取所述漏洞类型所包括的候选漏洞标识;
漏洞验证代码确定单元,用于基于所述漏洞关联数据和所述候选漏洞标识,从所述候选漏洞标识中确定所述参考漏洞标识,并从所述漏洞验证代码库中确定所述参考漏洞标识对应的漏洞验证代码。
可选的,漏洞验证代码确定单元,包括:
候选漏洞标准数据确定子单元,用于根据所述候选漏洞标识从所述漏洞对应关系中确定候选漏洞标准数据;
漏洞相似度确定子单元,用于确定所述候选漏洞标准数据和所述漏洞关联数据之间的漏洞相似度;
参考漏洞标识确定子单元,用于根据所述漏洞相似度,从所述候选漏洞标识中确定所述参考漏洞标识;
漏洞验证代码确定子单元,用于根据所述参考漏洞标识从所述漏洞验证代码库中确定所述漏洞验证代码。
可选的,漏洞相似度确定子单元,具体用于:
分别对所述候选漏洞标准数据和所述漏洞关联数据进行向量转化,得到候选漏洞标准向量和漏洞关联向量;
相应的,漏洞相似度确定子单元,具体用于:
基于所述候选漏洞标准向量和所述漏洞关联向量,确定所述候选漏洞标准数据和所述漏洞关联数据之间的漏洞相似度。
可选的,漏洞类型确定单元,具体用于:
将所述漏洞关联数据输入至训练好的漏洞类型识别模型中,得到所述待识别系统的漏洞类型;
其中,所述漏洞类型识别模型为FastText模型;所述漏洞关联数据包括如下至少一项:漏洞名称、漏洞严重程度、漏洞攻击向量、漏洞修补数据、漏洞作用的组件以及组件的基础数据。
可选的,实际漏洞确定模块440,具体用于:
基于所述漏洞验证代码对所述待识别系统进行测试渗透,得到测试漏洞标识;
将所述测试漏洞标识与所述参考漏洞标识进行匹配,以验证所述待识别系统中是否含有参考漏洞标识对应的参考漏洞;
根据验证结果,确定所述待识别系统的实际漏洞。
本发明实施例所提供的系统漏洞识别装置,可执行本发明任意实施例所提供的系统漏洞识别方法,具备执行各系统漏洞识别方法相应的功能模块和有益效果。
本发明的技术方案中,所涉及的系统基础数据、漏洞关联数据和漏洞对应关系等的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。
实施例五
图4是本发明实施例五提供的一种实现系统漏洞识别方法的电子设备的结构示意图。电子设备10旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图4所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如系统漏洞识别方法。
在一些实施例中,系统漏洞识别方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的系统漏洞识别方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行系统漏洞识别方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种系统漏洞识别方法,其特征在于,包括:
根据待识别系统的系统基础数据,对所述待识别系统进行漏洞评估;
若漏洞评估结果为异常,则获取所述待识别系统的漏洞关联数据;
基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据所述漏洞关联数据,从漏洞信息集合中确定所述待识别系统的参考漏洞标识,并从漏洞验证代码库中确定所述待识别系统的漏洞验证代码;
采用所述漏洞验证代码验证所述待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定所述待识别系统的实际漏洞。
2.根据权利要求1所述的方法,其特征在于,所述根据所述漏洞关联数据,从漏洞信息集合中确定所述待识别系统的参考漏洞标识,并从漏洞验证代码库中确定所述待识别系统的漏洞验证代码,包括:
根据所述漏洞关联数据,确定所述待识别系统所属的漏洞类型;
根据所述漏洞类型,从所述漏洞信息集合中获取所述漏洞类型所包括的候选漏洞标识;
基于所述漏洞关联数据和所述候选漏洞标识,从所述候选漏洞标识中确定所述参考漏洞标识,并从所述漏洞验证代码库中确定所述参考漏洞标识对应的漏洞验证代码。
3.根据权利要求2所述的方法,其特征在于,所述基于所述漏洞关联数据和所述候选漏洞标识,从所述候选漏洞标识中确定所述参考漏洞标识,并从所述漏洞验证代码库中确定所述参考漏洞标识对应的漏洞验证代码,包括:
根据所述候选漏洞标识从所述漏洞对应关系中确定候选漏洞标准数据;
确定所述候选漏洞标准数据和所述漏洞关联数据之间的漏洞相似度;
根据所述漏洞相似度,从所述候选漏洞标识中确定所述参考漏洞标识;
根据所述参考漏洞标识从所述漏洞验证代码库中确定所述漏洞验证代码。
4.根据权利要求3所述的方法,其特征在于,所述确定所述候选漏洞标准数据和所述漏洞关联数据之间的漏洞相似度,包括:
分别对所述候选漏洞标准数据和所述漏洞关联数据进行向量转化,得到候选漏洞标准向量和漏洞关联向量;
相应的,所述确定所述候选漏洞标准数据和所述漏洞关联数据之间的漏洞相似度,包括:
基于所述候选漏洞标准向量和所述漏洞关联向量,确定所述候选漏洞标准数据和所述漏洞关联数据之间的漏洞相似度。
5.根据权利要求2所述的方法,其特征在于,所述根据所述漏洞关联数据,确定所述待识别系统所属的漏洞类型,包括:
将所述漏洞关联数据输入至训练好的漏洞类型识别模型中,得到所述待识别系统的漏洞类型;
其中,所述漏洞类型识别模型为FastText模型;所述漏洞关联数据包括如下至少一项:漏洞名称、漏洞严重程度、漏洞攻击向量、漏洞修补数据、漏洞作用的组件以及组件的基础数据。
6.根据权利要求1所述的方法,其特征在于,所述采用所述漏洞验证代码验证所述待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定所述待识别系统的实际漏洞,包括:
基于所述漏洞验证代码对所述待识别系统进行测试渗透,得到测试漏洞标识;
将所述测试漏洞标识与所述参考漏洞标识进行匹配,以验证所述待识别系统中是否含有参考漏洞标识对应的参考漏洞;
根据验证结果,确定所述待识别系统的实际漏洞。
7.一种系统漏洞识别装置,其特征在于,包括:
漏洞评估模块,用于根据待识别系统的系统基础数据,对所述待识别系统进行漏洞评估;
漏洞关联数据获取模块,用于若漏洞评估结果为异常,则获取所述待识别系统的漏洞关联数据;
标识代码确定模块,用于基于漏洞信息集合CVE、漏洞组件集合CPE和漏洞验证代码库EXP三者之间的漏洞对应关系,根据所述漏洞关联数据,从漏洞信息集合中确定所述待识别系统的参考漏洞标识,并从漏洞验证代码库中确定所述待识别系统的漏洞验证代码;
实际漏洞确定模块,用于采用所述漏洞验证代码验证所述待识别系统中是否含有参考漏洞标识对应的参考漏洞,并根据验证结果从参考漏洞中确定所述待识别系统的实际漏洞。
8.根据权利要求7所述的装置,其特征在于,所述标识代码确定模块,包括:
漏洞类型确定单元,用于根据所述漏洞关联数据,确定所述待识别系统所属的漏洞类型;
候选漏洞标识确定单元,用于根据所述漏洞类型,从所述漏洞信息集合中获取所述漏洞类型所包括的候选漏洞标识;
漏洞验证代码确定单元,用于基于所述漏洞关联数据和所述候选漏洞标识,从所述候选漏洞标识中确定所述参考漏洞标识,并从所述漏洞验证代码库中确定所述参考漏洞标识对应的漏洞验证代码。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6任一项所述的一种系统漏洞识别方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6任一项所述的一种系统漏洞识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311799332.6A CN117828608A (zh) | 2023-12-25 | 2023-12-25 | 系统漏洞识别方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311799332.6A CN117828608A (zh) | 2023-12-25 | 2023-12-25 | 系统漏洞识别方法、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117828608A true CN117828608A (zh) | 2024-04-05 |
Family
ID=90522286
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311799332.6A Pending CN117828608A (zh) | 2023-12-25 | 2023-12-25 | 系统漏洞识别方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117828608A (zh) |
-
2023
- 2023-12-25 CN CN202311799332.6A patent/CN117828608A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11250137B2 (en) | Vulnerability assessment based on machine inference | |
US20230379352A1 (en) | Mapping a vulnerability to a stage of an attack chain taxonomy | |
KR101568224B1 (ko) | 소프트웨어 취약점 분석방법 및 분석장치 | |
CN112131882A (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
US11212297B2 (en) | Access classification device, access classification method, and recording medium | |
WO2021174812A1 (zh) | 用于画像的数据的清洗方法、装置、介质及电子设备 | |
US11556640B1 (en) | Systems and methods for automated cybersecurity analysis of extracted binary string sets | |
JP6708794B2 (ja) | 判定装置、判定方法、および、判定プログラム | |
CN110765459A (zh) | 一种恶意脚本检测方法、装置和存储介质 | |
CN110929264A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
CN115146282A (zh) | 基于ast的源代码异常检测方法及其装置 | |
CN111988341A (zh) | 数据处理方法、装置、计算机系统和存储介质 | |
JPWO2019225216A1 (ja) | 判定方法、判定装置および判定プログラム | |
CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 | |
CN110808947B (zh) | 一种自动化的脆弱性量化评估方法及系统 | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN117828608A (zh) | 系统漏洞识别方法、装置、设备及介质 | |
CN114444087A (zh) | 一种越权漏洞检测方法、装置、电子设备及存储介质 | |
CN115310082A (zh) | 信息处理方法、装置、电子设备及存储介质 | |
Moreno-Vera et al. | Cream skimming the underground: Identifying relevant information points from online forums | |
Gawron et al. | Automatic detection of vulnerabilities for advanced security analytics | |
CN111934949A (zh) | 一种基于数据库注入测试的安全测试系统 | |
CN114969759B (zh) | 工业机器人系统的资产安全评估方法、装置、终端及介质 | |
TWI726455B (zh) | 滲透測試個案建議方法及系統 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |