本发明专利技术提供了一种基于开放漏洞评估语言的系统漏洞评估方法、装置和系统。其中基于开放漏洞评估语言的系统漏洞的评估方法包括:采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;根据所漏洞信息和版本更新信息按照开放漏洞评估语言的规则对操作系统的配置数据库进行更新;使用配置数据库对安装操作系统的待检设备进行漏洞扫描,并保存漏洞扫描结果。本发明专利技术的方案可以实时采集最新的漏洞信息和系统版本信息,保证了漏洞评估中所用知识库的实时性,可以及分析漏洞的危害,提高设备的安全性,并且利用OVAL固有的漏洞描述语言,实现了漏洞的描述、监测过程、漏洞评估的标准化、规范化。
【技术实现步骤摘要】
基于开放漏洞评估语言的系统漏洞评估方法、装置和系统
本专利技术涉及网络安全领域,特别是涉及一种基于开放漏洞评估语言的系统漏洞评估方法、装置和系统。
技术介绍
系统漏洞是指操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这些缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制运行于以上操作系统的设备,为用户带来信息安全隐患。 安卓系统(Android)是一个以Linux为基础的半开源操作系统,由于其开源、自由的特点应用越来越广泛,另一方面也成为众多恶意攻击目标。尽管Android本身自带权限管理、应用签名、沙箱等安全机制,然而这种以开发者为中心,靠用户完成的授权机制还存在着各种问题和漏洞,例如应用软件泄露个人隐私信息,第三方恶意软件等。 另外,在发现系统漏洞后,还需要一定的漏洞补丁修复时间,而对于安卓系统而言,由于一般通过开源、设备制造商和通讯运营商来为客户提供特定服务,如果漏洞需要通过下载谷歌补丁进行修复,可能需要更长的时间,因此,需要一种快速有效管理安全配置和增强整体系统安全性的漏洞评估方法。 图1是现有技术中安卓系统安全评估架构图,如图所示,个人计算机上安装有评估所用的客户端,待评估的安卓系统设备中安装有对应的应用软件,作为服务器端。评估人员在个人计算机上的客户端窗口输入各种评估命令,对待评估的安卓系统设备上安装的应用软件以及存储文件进行安全扫描检测。 个人计算机的客户端与安卓系统设备以下工作方式连接:USB方式、WIFI方式、端口地址修改方式。例如采用调试桥(Android Debug Bridge,简称Adb),监听SocketTCP5554等端口的方式让集成开发环境与模拟处理器通讯,进行相关调试。客户端中的知识库中存储目前比较流行的漏洞敏感字节,将扫描结果与知识库中的特殊字符进行匹配,如果出现类似匹配,则在终端窗口列出警告。扫描完毕之后,可查找相应的漏洞利用工具验证是否存在此漏洞,然后进行升级,补丁等。通过这种方式可对安卓设备进行病毒扫描、但是与普通病毒扫描软件不同是,这种解决方案可以方便安卓系统开发人员进行漏洞验证等操作。 然而现有技术知识库中的漏洞信息都是实时性差,更新周期长,而且漏洞的信息由知识库自行定义,比较混乱无法实现社区漏洞信息共享,造成漏洞评估的准确性不高,不能满足系统更新频繁、漏洞评估实时性要求高的要求。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的基于开放漏洞评估语言的系统漏洞评估装置和系统以及相应的基于开放漏洞评估语言的系统漏洞评估方法。 本专利技术一个进一步的目的是要使得利用开放式的漏洞知识库提高漏洞评估的实时性,可以及时对最新的漏洞进行评估。 本专利技术另一个进一步的目的是通过系统漏洞的描述规范化实现安全漏洞的信息的快速、及时、准确传送。 依据本专利技术的一个方面,提供了一种基于开放漏洞评估语言的系统漏洞评估方法。该评估方法包括:采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;根据所漏洞信息和版本更新信息按照开放漏洞评估语言的规则对操作系统的配置数据库进行更新;使用配置数据库对安装操作系统的待检设备进行漏洞扫描,并保存漏洞扫描结果。 可选地,采集漏洞知识库中更新的操作系统的漏洞信息和版本信息包括:监听漏洞知识库的更新组件;使用广播方式捕获更新组件中的漏洞信息和版本信息。 可选地,使用配置数据库对安装操作系统的待检设备进行漏洞扫描包括:对待检设备中安装的软件和/或存储文件与配置数据库中的漏洞特征进行匹配;在出现特征匹配的情况下,根据匹配出的漏洞特征确定待检设备安装的操作系统的漏洞或者错误配置。 可选地,在保存漏洞扫描结果之后还包括:按照漏洞扫描结果生成漏洞分析报告;向待检设备和/或漏洞验证客户端发送漏洞分析报告。 可选地,在保存漏洞扫描结果之后还包括:由漏洞验证客户端对漏洞分析报告的内容进行验证,验证的方式包括以下任意一种或多种:包括设备窗口扫描,结构化查询语言注入攻击测试、分布式拒绝服务攻击测试。 根据本专利技术的另一方面,提供了一种基于开放漏洞评估语言的系统漏洞评估装置。该系统漏洞评估装置包括:监听模块,用于采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;数据更新模块,用于根据漏洞信息和版本更新信息按照开放漏洞评估语言的规则对操作系统的配置数据库进行更新;扫描模块,用于使用配置数据库对安装操作系统的待检设备进行漏洞扫描,并保存漏洞扫描结果。 可选地,监听模块还用于:监听漏洞知识库的更新组件;使用广播方式捕获更新组件中的漏洞信息和版本信息。 可选地,扫描模块还用于:对待检设备中安装的软件和/或存储文件与配置数据库中的漏洞特征进行匹配;在出现特征匹配的情况下,根据匹配出的漏洞特征确定待检设备安装的操作系统的漏洞或者错误配置。 可选地,上述评估装置还包括:报告生成模块,用于按照漏洞扫描结果生成漏洞分析报告,并向待检设备和/或漏洞验证客户端发送漏洞分析报告。 根据本专利技术的另一方面,还提供了一种基于开放漏洞评估语言的系统漏洞评估系统,该系统包括以上任一种基于开放漏洞评估语言的系统漏洞评估装置,用于对安装操作系统的待检设备进行漏洞扫描;漏洞验证客户端,用于接收漏洞评估装置的评估结果,并对漏洞评估装置的评估结果进行验证,验证的方式包括以下任意一种或多种:包括设备窗口扫描,结构化查询语言注入攻击测试、分布式拒绝服务攻击测试。 本专利技术的基于开放漏洞评估语言的系统漏洞评估方法由于可以实时采集最新的漏洞信息和系统版本信息,保证了漏洞评估中所用知识库的实时性,可以及分析漏洞的危害,提高设备的安全性,而且漏洞评估知识库基于开放漏洞评估语言(Open Vulnerabilityand Assessment Language,简称OVAL)的架构搭建,利用OVAL固有的漏洞描述语言,查看待测设备中漏洞补丁安装情况,从而实现了漏洞的描述、监测过程、漏洞评估的标准化、规范化,并且可以实现网络整体安全态势的评估。 进一步地,本专利技术的开放漏洞评估语言的系统漏洞评估方法还可以利用客户端查看评估结果,并扫描、检测、验证系统的漏洞,进一步保证操作系统的安全。 上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的【具体实施方式】。 根据下文结合附图对本专利技术具体实施例的详细描述,本领域技术人员将会更加明了本专利技术的上述以及其他目的、优点和特征。 【附图说明】 通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中: 图1是是现有技术中安卓系统安全评估架构图; 图2是根据本专利技术一个实施例的基于开放漏洞评估语言的系统漏洞评估系统的架构图; 图3是根据本专利技术一个实施例的基于开放漏洞评估语言的系统漏洞评估装置的示意图;以及 图4是根据本专利技术一个实施例的基于开放漏洞评估语言的系统漏洞评本文档来自技高网...
【技术保护点】
一种基于开放漏洞评估语言的系统漏洞评估方法,其特征在于包括:采集漏洞知识库中更新的操作系统的漏洞信息和版本信息;根据所述漏洞信息和版本更新信息按照开放漏洞评估语言的规则对所述操作系统的配置数据库进行更新;使用所述配置数据库对安装所述操作系统的待检设备进行漏洞扫描,并保存所述漏洞扫描结果。
【技术特征摘要】
1.一种基于开放漏洞评估语言的系统漏洞评估方法,其特征在于包括: 采集漏洞知识库中更新的操作系统的漏洞信息和版本信息; 根据所述漏洞信息和版本更新信息按照开放漏洞评估语言的规则对所述操作系统的配置数据库进行更新; 使用所述配置数据库对安装所述操作系统的待检设备进行漏洞扫描,并保存所述漏洞扫描结果。2.根据权利要求1所述的方法,其特征在于,采集漏洞知识库中更新的操作系统的漏洞信息和版本信息包括: 监听所述漏洞知识库的更新组件; 使用广播方式捕获所述更新组件中的漏洞信息和版本信息。3.根据权利要求1所述的方法,其特征在于,使用所述配置数据库对安装所述操作系统的待检设备进行漏洞扫描包括: 对所述待检设备中安装的软件和/或存储文件与所述配置数据库中的漏洞特征进行匹配; 在出现特征匹配的情况下,根据匹配出的漏洞特征确定所述待检设备安装的操作系统的漏洞或者错误配置。4.根据权利要求1至3中任一项所述的方法,其特征在于,在保存所述漏洞扫描结果之后还包括: 按照所述漏洞扫描结果生成漏洞分析报告; 向所述待检设备和/或漏洞验证客户端发送所述漏洞分析报告。5.根据权利要求4所述的方法,其特征在于,在保存所述漏洞扫描结果之后还包括: 由所述漏洞验证客户端对所述漏洞分析报告的内容进行验证, 所述验证的方式包括以下任意一种或多种:包括设备窗口扫描、结构化查询语言注入攻击测试、分布式拒绝服务攻击测试。6.一种基于开放漏洞评估语言的系统漏洞评估装置,其...
【专利技术属性】
技术研发人员:郭荣春,刘思华,李子延,黄仕伟,吕雪澄,于蓉,
申请(专利权)人:中标软件有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。