分析漏洞矢量信息包括收集针对由漏洞评估工具执行的测试的信息以检测漏洞。所述测试的属性根据收集的信息来确定并且用于确定是否存在与安全漏洞信息源中的信息的任何匹配。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】
技术介绍
信息安全漏洞是由系统管理员管理的安全风险的主要源之一。一些漏洞会使网络及其系统暴露于对信息的未授权访问或者其它恶意活动。存在许多工具来检测漏洞,并且组织可以使用多个工具来执行这样的操作。【附图说明】参照在下面的图示中示出的示例来详细描述实施例。图1说明了漏洞管理系统;图2说明了提取和匹配的数据的示例;图3说明了可以用作用于漏洞管理系统的平台的计算机系统;并且图4说明了匹配的方法。【具体实施方式】为了简化和说明的目的,主要参照实施例的示例来描述实施例的原理。在下面的描述中,阐释了各种具体细节以提供对实施例的全面理解。显然的是,可以在没有对所有具体细节的限制的情况下来实践实施例。并且,可以在各种组合中一起使用实施例。根据实施例,漏洞管理系统收集关于能够由多个不同的漏洞评估工具执行的测试的信息。收集的信息可以被称为漏洞矢量。测试可以包括由扫描仪执行以检测不同漏洞的操作。扫描仪可以扫描计算机网络中的计算机、网络设备等等以检测漏洞。测试的属性从收集的信息中进行提取并且与来自安全漏洞信息源(例如,公共漏洞与暴露(CVE),作为由组织维护的公知信息安全漏洞与暴露的辞典)的信息进行比较。可以执行该比较以确定漏洞评估工具的测试是否与在由安全漏洞信息源提供的信息中描述的具体漏洞相关联。如果发现匹配,则可以将该匹配存储在漏洞管理数据存储系统中。漏洞管理数据存储系统可以随后被查询以确定关于可以由任意的漏洞评估工具检测的漏洞的额外信息,包括可以指定针对漏洞的优先级和诸如补丁的应急措施的补救信息。漏洞可以包括能够在计算机系统上执行的违反安全策略或者与信息的安全和/或计算机系统的安全相关的规则的动作。例如,策略可以限制用户组仅访问文件系统中的某些目录。规则的示例可以包括命令的远程执行仅能够由具有系统管理员ID的用户执行。如果应用允许某人在非系统管理员ID的情况下执行远程命令,则可能存在漏洞。漏洞的示例可以包括允许由另一用户远程执行命令,与指定的限制相反的未授权的数据访问,促进服务的拒绝(例如,通过泛滥(flooding)),等等。图1示出了漏洞管理系统100,该漏洞管理系统100可以包括漏洞矢量收集器109、属性提取模块110和匹配模块111。例如,漏洞矢量收集器109收集关于可以由漏洞评估工具101 (示出为101a-h)执行以检测漏洞的测试的信息。漏洞矢量收集器109可以从由漏洞评估工具101使用的库或者其它数据结构取回关于测试的信息。该关于测试的信息可以包括描述该测试的描述性文本,该测试的标题,描述签名和规则的信息,以及可以由计算机代码或者脚本构成的逻辑,该计算机代码或者脚本由工具执行以检测漏洞,以及其它信息。在一些实例中,一些信息会是不可用的,例如逻辑,但是剩余的信息可以用于匹配。漏洞评估工具101可以包括运行该测试的扫描仪。扫描仪可以包括由机器可读指令构成的计算机程序以运行该测试。测试可以评估计算机、网络或者应用。扫描仪可以检测不同类型的漏洞,例如与配置设置相关的漏洞,数据库漏洞,应用漏洞,等等。属性提取模块110根据从漏洞评估工具101收集的信息来确定与测试相关联的属性。属性的示例包括易受攻击的或者导致漏洞的系统的标识符,漏洞位置,漏洞类型,日期,等等。漏洞位置可以包括统一资源位置(URL),文件位置,或者其它数据存储位置。漏洞类型是漏洞的种类,例如SQL注入(与数据库漏洞相关),交叉站点脚本(与网络应用漏洞相关),等等。属性提取模块110可以采用一个或多个提取技术来根据从漏洞评估工具101收集的文本和逻辑确定测试的属性。现在描述提取技术的示例。属性可以直接可用为数据库或者某一其它数据结构中的字段,例如识别易受攻击的系统的字段或者指代漏洞类型的种类。模式匹配可以用于确定结构元素,例如能够根据其通过解析来确定网页和属性的统一资源指示符(URI)。可以在描述性文本中搜索针对漏洞类型或者产品名称的值或者模式的列表。在可以应用于测试的标题的另一示例中,可以从标题中去除先前识别的属性的值并且可以将剩余部分假定为非识别的属性。例如,一旦从标题中去除URI和攻击类型,该测试就可以指代系统或者产品名称。这能够学习用于进一步搜索字段值的新模式。匹配模块111确定在可以由漏洞评估工具101执行的测试与在安全漏洞信息源101中的信息之间是否存在任何匹配。安全漏洞信息源102可以包括维持与已知漏洞相关联的信息并且使该信息可用的信息源。安全漏洞信息源102可以是由产业非常认可并且使用的可靠源。安全漏洞信息源102可以编译来自多个源的信息以便操作为针对已知漏洞的资源库。在一个示例中,安全漏洞信息源102是CVE。CVE是由MITRE组织维护的公知的信息安全漏洞与暴露的辞典。CVE或者另一类型的安全漏洞信息源102可以包括针对漏洞的条目。该条目可以包括由描述漏洞的概况组成的文本;描述对系统及其用户的影响的漏洞影响;对忠告,解决方案和工具的指代;易受攻击的软件和版本;和/或技术细节。匹配模块111可以使用由属性提取模块110确定的测试的属性,用于与安全漏洞信息源102中的条目进行比较。例如,属性可以用于查询安全漏洞信息源102中的条目用于匹配。例如,针对由漏洞评估工具1la执行的特定测试,系统名称、漏洞位置和漏洞类型由属性提取模块110确定。匹配模块111确定是否也在安全漏洞信息源102中的条目中发现了这三个属性。如果在条目中发现了所有三个属性,则该条目被认为匹配。诸如单纯字符串搜索或者有限状态自动机器的字符串搜索技术可以用于识别匹配。在一个示例中,即使在安全漏洞信息源102的条目中不能够识别所有属性,但是仍然可以识别匹配。例如,系统名称、漏洞位置和漏洞类型是与条目进行比较的属性。如果在条目中仅发现两个属性,则可以仍然认为该条目匹配。在另一示例中,对于属性的部分匹配可以被认为针对该属性的匹配。例如,从由漏洞评估工具1la提供的测试的描述提取的URL部分地匹配安全漏洞信息源102中的条目中的漏洞位置。如果大部分字符匹配,则该部分匹配可以被认为匹配。在另一示例中,漏洞类型的等级分类用于确定匹配。例如,如果条目的父亲或者孩子具有匹配属性,则该条目可以被认为匹配。在另一示例中,如果采用模糊匹配函数,则确定匹配的水平。如果该水平高于阈值,则假定结果是匹配,并且如果低于阈值,则可以呈现潜在的匹配用于进一步的手动验证。如果匹配被识别,则可以将针对匹配条目的匹配条目ID和针对匹配条目的其它信息存储在漏洞管理数据存储系统103中。并且,也可以将针对与匹配条目相对应的测试的信息存储在漏洞管理数据存储系统103中。漏洞管理数据存储系统103可以包括数据库或者某一其它类型的数据存储系统。存储在漏洞管理数据存储系统103中的针对匹配条目的信息可以用于漏洞管理、补丁管理、漏洞警报以及入侵检测。例如,如果检测到漏洞,则漏洞管理系统100可以向系统管理员发送警报,并且该警报可以包括从漏洞管理数据存储系统103取回的与检测的漏洞相关的信息。漏洞管理系统100也可以基于存储在漏洞管理数据存储系统103中的信息来生成报告。在另一示例中,针对检测的漏洞,从漏洞管理数据存储系统103取回CVE IDo CVE ID在互联网或者数据库的搜索中使用以便识别本文档来自技高网...
【技术保护点】
一种分析漏洞矢量信息的方法,包括:收集针对由漏洞评估工具执行的测试的信息以检测漏洞;根据收集的信息确定所述测试的属性;由处理器将所述属性与安全漏洞信息源中描述漏洞的条目进行比较;根据所述比较确定针对所述漏洞中的一个漏洞所述属性是否匹配所述安全漏洞信息源中的条目中的一个条目;并且如果确定了匹配条目,则将来自所述匹配条目的信息与所述收集的信息一起存储在漏洞管理数据存储系统中。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:B·费埃尔,O·谢扎夫,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。