电子系统漏洞评估技术方案

用于评估电子设备的系统中的漏洞的方法和装置，包括确定以可用的格式安装的计算机程序的版本的有区别的特点，以区分该版本与至少一个另外的版本；识别在由该有区别的版本使用的代码或数据中的导致对恶意活动的漏洞的缺陷的指示；维持有区别的特点与指示之间的映射；扫描系统是否存在有区别的版本；确定易受攻击的部分被该有区别的版本使用；以及作为响应，根据映射用漏洞指示符指示电子设备易受恶意活动的攻击；指派与已安装实例相关联的风险值；以及发出识别漏洞并指示与已安装实例相关联的风险值的警报信号。进一步控制扫描，以防止敏感代码和数据暴露。

Electronic system vulnerability assessment

【技术实现步骤摘要】
【国外来华专利技术】电子系统漏洞评估
本技术涉及用于操作系统电子系统以评估一个或多个系统设备或逻辑组件(诸如软件和固件)对恶意代码的漏洞的装置和方法。
技术介绍
一般公认的是，所有电子设备和逻辑组件都具有对恶意代码(诸如病毒、蠕虫、特洛伊木马等)的一定程度的漏洞。在软件或硬件组件的生存期内，经常会发现新的漏洞，例如，当它们被恶意者发现并利用时，或者当它们被与系统安全性相关的人员发现时。对于电子系统的开发人员来说，一项挑战是检测此类新发现的漏洞影响已安装的系统的潜能，评估其对设备、组件或更广泛的系统的潜在影响，并设计防止或缓解此类影响的手段。
技术实现思路
在各种实施方式中，本技术中的第一方法提供了一种用于评估电子设备的系统中的电子设备的漏洞的机器实现的方法，该方法包括：确定以可用的格式安装的计算机程序的至少一个版本的有区别的特点，以区分该格式的计算机程序的所述至少一个版本与该格式的计算机程序的至少一个另外的版本；识别在由计算机程序的所述至少一个版本使用的代码和数据中的至少一者的一部分中的导致对恶意活动的漏洞的缺陷的至少一个指示；维持计算机程序的所述至少一个版本与所述至少一个指示之间的映射；扫描系统是否存在电子设备的系统中的计算机程序的所述至少一个版本的有区别的特点；确定被计算机程序的所述至少一个版本使用的代码和数据中的至少一者的所述部分；响应于确定电子设备具有计算机程序的所述至少一个版本的至少一个已安装实例，根据映射用至少一个漏洞指示符指示电子设备易受恶意活动攻击；为所述至少一个漏洞指示符指派与已安装实例相关联的风险值；以及发出识别该漏洞并指示与已安装实例相关联的风险值的警报信号。在各种实施方式中，本技术中的第二方法提供了一种用于电子设备的系统中的本地电子设备的机器实现的漏洞检测方法，包括：确定以可用的形式安装在至少一个本地电子设备上的某格式的计算机程序的至少一个版本的有区别的特点，以区分该格式的计算机程序的至少一个版本与该格式的计算机程序的至少一个另外的版本；进行以下中的至少一项：在远程设备处生成代码和数据中的至少一者的一部分中的导致对恶意活动的漏洞的缺陷的至少一个指示，以及在本地设备处接收代码和数据中的至少一者的一部分中的导致对恶意活动的漏洞的缺陷的至少一个指示；确定该部分被至少一个版本使用；维持所述计算机程序的所述至少一个版本与所述至少一个指示之间的映射；创建包括有区别的特点和指示的第一扫描规则；确定扫描仪的信任级别；创建包括信任级别的第二扫描规则；将第一和第二扫描规则存储在本地设备和远程设备中的至少一个中；根据所存储的第一扫描规则仅扫描根据第二扫描规则中的信任级别可用的本地设备上的存储装置的部分，以检测其上处于已安装状态和将要安装状态中的至少一个状态的至少一个可用计算机程序中有区别的特点的实例，扫描动作由本地设备和远程设备中的至少一个执行；以及响应于根据第一扫描规则的有区别的特点确定电子设备具有计算机程序的至少一个版本的已安装实例，根据该指示发出指示电子设备易受恶意活动攻击的警报信号。附图说明现在将参考附图仅以示例的方式描述所公开的技术的实施方式，其中：图1示出了根据本技术的一种实施方式的操作方法；图2示出了根据本技术的实施方式的另一种操作方法；图3示出了根据本技术的实施方式的系统的组件(其可以包括硬件、软件和固件实体的任意组合)。图4示出了在链接的(linked-in)库实体中发现的漏洞的示例；图5示出了本技术的第一变体的现实世界示例；以及图6示出了本技术的第二变体的现实世界示例。具体实施方式在典型的现代系统环境中，通常会将许多种类的电子设备联网以搜集、处理、存储和分析数据。常常在地理上分布广泛的这些设备典型地通过可以是有线或无线的通信介质用固件或软件进行初始配置以及随后的更新。近年来，物联网(IoT)的现象得到发展，从而使以前孤立且缺乏本地处理能力的设备被提供有连接性和本地处理功能。在IoT环境中，不同类型的设备(传感器、致动器等)可以嵌入常规的电器(诸如空调设备、冰箱、加热器等)中，并且可以通过互联网与许多协作的设备和系统连接。在这样的环境中，恶意者可以利用软件和固件中的漏洞来获取利润或造成伤害。现在参考图1，示出了根据本技术的实施方式的操作方法100。该处理开始于开始(START)步骤102，并且在步骤104处，找到程序或数据实体的版本的有区别的特点。程序实体可以包括例如链接库、远程可调用过程等。数据实体可以包括例如密码密钥串，恶意活动造成的密码密钥串的损坏在许多方面都会是破坏性的。特点可以像命名程序或数据实体的版本的文字常量字符串一样简单，或者它可以是许多可能的更复杂特点中的任何一个，诸如代码中的水印。有区别的特点可以是例如正则表达式，或者也可以包含“无关”元素。因此，例如，特点模式可以包括代码或数据中的多个实体(诸如字节或其它位模式)，而不必是连续的。此外，有区别的特点可以包括离散的模式，它们彼此之间的接近度可以包括区分性的识别特征。在步骤106处，识别程序或数据实体的至少一个版本中的漏洞(例如，通过参考已知漏洞的数据库，诸如通用漏洞和暴露储存库CVE)，并且在步骤108处，将版本的有区别的特点与识别出的漏洞相关联。如本领域技术人员将清楚的那样，这些步骤不一定按此顺序执行-它们可以不同地排序，并且实际上，在一些系统中，步骤可以并行执行。在步骤110处，扫描系统以定位包含有区别的特点的任何系统实体-在测试步骤112处的肯定结果指示系统实体中的至少一个实体使用了与识别出的漏洞相关联的程序或数据实体的版本。有区别的特点可以附加地覆盖一系列版本，使得可以扫描并检测若干易受攻击的实体。如果在测试步骤112处没有发现有区别的特点，那么处理的这个实例在结束(END)步骤120处完成，并且处理被释放以返回到开始步骤102以继续进行另外的迭代。如果在测试步骤112处发现有区别的特点，那么在可选的测试步骤114处，可以确定程序或数据实体的版本的已安装实例是否使用了程序或数据实体的易受攻击的部分。如果测试步骤114的结果是否定的，那么无需采取进一步的动作，处理的这个实例在结束步骤120处完成，并且处理被释放以返回到开始步骤102以继续进行另外的迭代。如果测试步骤114的结果为肯定，指示程序或数据实体的易受攻击的部分被该程序或数据实体的版本的已安装实例使用，那么在步骤116处，指派与识别出的漏洞相关联的风险值。风险值可以例如从通用漏洞评分系统(CVSS)得出。在步骤118处，发出警报，使得可以采取适当的动作，通常是通过操作者动作或通过自动化校正或缓解处理。然后，处理的这个实例在结束步骤120处完成，并且处理被释放以返回到开始步骤102以进行另外的迭代。现在参考图2，示出了根据本技术的一个实施方式的另一种操作方法200。该技术的这一方面解决了对访问控制进行精炼的要求。如本领域技术人员将认识到的那样，有必要部署所有可能的手段来保护敏感数据资产，诸如个人可识别信息、密码密钥等。此类数据资产可能本文档来自技高网...

【技术保护点】
1.一种用于评估电子设备的系统中的电子设备的漏洞的机器实现的方法，包括：/n确定以可用的格式安装的计算机程序的至少一个版本的有区别的特点，以区分该格式的计算机程序的所述至少一个版本与该格式的计算机程序的至少一个另外的版本；/n识别在由计算机程序的所述至少一个版本使用的代码和数据中的至少一者的部分中的导致对恶意活动的漏洞的缺陷的至少一个指示；/n维持计算机程序的所述至少一个版本与所述至少一个指示之间的映射；/n扫描所述系统是否存在所述电子设备的系统中的计算机程序的所述至少一个版本的所述有区别的特点；/n确定被所述计算机程序的所述至少一个版本使用的代码和数据中的至少一者的所述部分；/n响应于确定电子设备具有所述计算机程序的所述至少一个版本的至少一个已安装实例，根据所述映射用至少一个漏洞指示符指示所述电子设备易受所述恶意活动攻击；/n为所述至少一个漏洞指示符指派与所述已安装实例相关联的风险值；以及/n发出识别到所述漏洞并指示与所述已安装实例相关联的所述风险值的警报信号。/n

【技术特征摘要】
【国外来华专利技术】20170620 GB 1709841.91.一种用于评估电子设备的系统中的电子设备的漏洞的机器实现的方法，包括：
确定以可用的格式安装的计算机程序的至少一个版本的有区别的特点，以区分该格式的计算机程序的所述至少一个版本与该格式的计算机程序的至少一个另外的版本；
识别在由计算机程序的所述至少一个版本使用的代码和数据中的至少一者的部分中的导致对恶意活动的漏洞的缺陷的至少一个指示；
维持计算机程序的所述至少一个版本与所述至少一个指示之间的映射；
扫描所述系统是否存在所述电子设备的系统中的计算机程序的所述至少一个版本的所述有区别的特点；
确定被所述计算机程序的所述至少一个版本使用的代码和数据中的至少一者的所述部分；
响应于确定电子设备具有所述计算机程序的所述至少一个版本的至少一个已安装实例，根据所述映射用至少一个漏洞指示符指示所述电子设备易受所述恶意活动攻击；
为所述至少一个漏洞指示符指派与所述已安装实例相关联的风险值；以及
发出识别到所述漏洞并指示与所述已安装实例相关联的所述风险值的警报信号。


2.一种用于电子设备的系统中的本地电子设备的机器实现的漏洞检测方法，包括：
确定以可用的形式安装在至少一个本地电子设备上的某格式的计算机程序的至少一个版本的有区别的特点，以区分该格式的所述计算机程序的所述至少一个版本与该格式的所述计算机程序的至少一个另外的版本；
以下中的至少一项：在远程设备处生成在代码和数据中的至少一者的部分中的导致对恶意活动的漏洞的缺陷的至少一个指示，以及在所述本地设备处接收在代码和数据中的至少一者的部分中的导致对恶意活动的漏洞的缺陷的至少一个指示；
确定所述部分被所述至少一个版本使用；
维持所述计算机程序的所述至少一个版本与所述至少一个指示之间的映射；
创建包括所述有区别的特点和所述指示的第一扫描规则；
确定扫描仪的信任级别；
创建包括所述信任级别的第二扫描规则；
将所述第一扫描规则和所述第二扫描规则存储在所述本地设备和远程设备中的至少一个中；
根据存储的所述第一扫描规则仅扫描根据所述第二扫描规则中的所述信任级别可用的所述本地设备上的存储装置的部分，以检测其上的处于已安装状态和将要安装状态中的至少一个状态的至少一个可用的计算机程序中的所述有区别的特点的实例，扫描动作由所述本地设备和所述远程设备中的至少一个执行；以及
响应于根据所述第一扫描规则的所述有区别的特点确定所述电子设备具有所述计算机程序的所述至少一个版本的已安装实例，根据所述指示发出指示所述电子设备易受所述恶意活动攻击的警报信号。


3.如权利要求1或权利要求2所述的方法，所述确定有区别的特点包括找到版本指示符的明文实例、版本指示符的编码和对于所述版本和一系列版本中的至少一个唯一的符号序列中的至少一个。


4.如前述权利要求中任一项所述的方法，所述缺陷的指示包括可利用的程序数据构造的指示。


5.如权利要求4所述的方法，所述可利用的程序数据构造包括堆栈。


6.如前述权利要求中任一项所述的方法，所述代码和数据中的至少一者包括对象、本地代码过程、远程调用的过程、用于定义存储器的一部分的数据定义和密码密钥结构中的至少一个。


7.如前述权利要求中任一项所述的方法，所述维持映射包括在本地易失性存储装置、本地非易失性存储装置、远程易失性存储装置和远程非易失性存储装置中的至少一个中维持映射。


8.如从属于权利要求2时的权利要求3至7中任一项所述的方法，所述信任级别包括访问控制层次结构中的访问控制级别、存储器特权密钥和高于用户许可级别的管理员许可级别中的一个。


9...

【专利技术属性】
技术研发人员：J·E·奈斯达特，M·梅利亚克，R·沙逊，
申请(专利权)人：阿姆有限公司，阿姆IP有限公司，
类型：发明
国别省市：英国;GB