漏洞检测方法及装置制造方法及图纸

本发明专利技术涉及网络安全技术领域，具体提供了一种漏洞检测方法及装置，该方法包括：调用预置的IAST算法，对应用系统进行安全测试，获得第一测试信息；调用预置的DAST算法，对所述第一测试信息中的各个安全漏洞进行攻击验证，获得第二测试信息；将所述第一测试信息中的各个安全漏洞与所述第二测试信息中已验证为真实的各个安全漏洞进行比对，获得初始漏洞检测信息；调用预置的SAST算法，遍历所述应用系统的所有源代码，获得第三测试信息；将所述初始漏洞检测信息中的所有安全漏洞与所述第三测试信息中的各个安全漏洞进行比对，获得最终漏洞检测信息。在满足漏洞检测覆盖度的基础上，降低误报，提供足够的漏洞信息，提升了漏洞的修复效率。

Leak detection method and device

【技术实现步骤摘要】
漏洞检测方法及装置
本专利技术涉及网络安全
，尤其涉及一种漏洞检测方法及装置。
技术介绍
随着科技的不断发展，许多新兴的互联网信息技术不断涌现，为了方便各类用户进行操作，各种应用系统应运而生。在应用系统运行过程中，经常会出现一些漏洞，这些漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷。攻击者可以利用这些漏洞在未授权的情况下访问或破坏系统。因此，在应用系统投入使用之前，通常需要使用各类安全检测技术来对应用系统的漏洞进行检测，以降低攻击者通过漏洞对系统的破坏概率，提升系统的安全性。经专利技术人研究发现，现有的应用程序安全检测技术对漏洞进行检测的过程中，会存在对某些漏洞漏检和误检的情况，从而造成了对应用系统的漏洞检测不全面，或存在较多误报，使得应用系统在投入使用以后具有安全隐患，安全性能不高。
技术实现思路
本专利技术所要解决的技术问题是提供一种漏洞检测方法，用于解决由于使用现有的安全检测技术，对应用系统中存在的安全漏洞漏检和误检问题，提高漏洞检出率，获得更多漏洞，并降低漏洞误报率。本专利技术还本文档来自技高网...

【技术保护点】
1.一种漏洞检测方法，其特征在于，包括：/n调用预先设置的交互式应用程序安全测试IAST算法，对应用系统进行安全测试，获得第一测试信息，所述第一测试信息中包含所述应用系统在运行过程中产生的安全漏洞；/n调用预先设置的动态应用程序安全测试DAST算法，对所述第一测试信息中的各个安全漏洞进行攻击验证，获得第二测试信息，所述第二测试信息中包含已验证为真实的安全漏洞；/n将所述第一测试信息中的各个安全漏洞与所述第二测试信息中已验证为真实的各个安全漏洞进行比对，获得所述应用系统在运行过程中的初始漏洞检测信息，所述初始漏洞检测信息包含所述第一测试信息中经确定为真实的安全漏洞及经确定为误报的安全漏洞；所述真...

【技术特征摘要】
1.一种漏洞检测方法，其特征在于，包括：
调用预先设置的交互式应用程序安全测试IAST算法，对应用系统进行安全测试，获得第一测试信息，所述第一测试信息中包含所述应用系统在运行过程中产生的安全漏洞；
调用预先设置的动态应用程序安全测试DAST算法，对所述第一测试信息中的各个安全漏洞进行攻击验证，获得第二测试信息，所述第二测试信息中包含已验证为真实的安全漏洞；
将所述第一测试信息中的各个安全漏洞与所述第二测试信息中已验证为真实的各个安全漏洞进行比对，获得所述应用系统在运行过程中的初始漏洞检测信息，所述初始漏洞检测信息包含所述第一测试信息中经确定为真实的安全漏洞及经确定为误报的安全漏洞；所述真实的安全漏洞为所述第一测试信息中与所述第二测试信息中比对一致的安全漏洞，所述确定为误报的安全漏洞为所述第一测试信息中与所述第二测试信息中未比对一致的安全漏洞；
依据所述初始漏洞检测信息，调用预先设置的静态应用程序安全测试SAST算法，遍历所述应用系统的所有源代码，获得第三测试信息，所述第三测试信息中包含经分析所述源代码所获得的安全漏洞；
将所述初始漏洞检测信息中的所有安全漏洞与所述第三测试信息中的各个安全漏洞进行比对，获得所述应用系统在运行过程中的最终漏洞检测信息，所述最终漏洞检测信息中包含所述初始漏洞检测信息中确定为真实的安全漏洞、所述初始漏洞检测信息中确定为误报的安全漏洞及所述第三测试信息中的待确定安全漏洞。


2.根据权利要求1所述的方法，其特征在于，所述调用预先设置的动态应用程序安全测试DAST算法，对所述第一测试信息中的各个安全漏洞进行攻击验证，包括：
获取所述第一测试信息中各个安全漏洞的漏洞描述信息；
调用预先设置的所述DAST算法，依据所述第一测试信息中每个安全漏洞的漏洞描述信息，对所述第一测试信息中的各个安全漏洞进行攻击验证。


3.根据权利要求1所述的方法，其特征在于，将所述第一测试信息中的各个安全漏洞与所述第二测试信息中已验证为真实的各个安全漏洞进行比对，获得所述应用系统在运行过程中的初始漏洞检测信息，包括：
分别提取所述第一测试信息中的每个安全漏洞的第一标识信息，及所述第二测试信息中已验证为真实的各个安全漏洞的第二标识信息；
采用预设的哈希值算法分别对每个所述第一标识信息及每个所述第二标识信息进行计算，得到每个所述第一标识信息对应的第一哈希值与每个所述第二标识信息对应的第二哈希值；
将每个所述第一哈希值分别与各个所述第二哈希值进行比对；
将比对成功的所述第一哈希值所对应的安全漏洞确定为真实的安全漏洞，将未比对成功的所述第一哈希值所对应的安全漏洞确定为误报的安全漏洞；
依据所述确定为真实的各个安全漏洞及所述确定为误报的各个安全漏洞，获得所述初始漏洞检测信息。


4.根据权利要求1所述的方法，其特征在于，将所述初始漏洞检测信息中的所有安全漏洞与所述第三测试信息中的各个安全漏洞进行比对，获得所述应用系统在运行过程中的最终漏洞检测信息，包括：
获取所述初始漏洞检测信息中所有安全漏洞的第一漏洞标识，及所述第三测试信息中的各个安全漏洞的第二漏洞标识；
将每个所述第一漏洞标识分别与各个所述第二漏洞标识进行比对；
当比对成功的所述第一漏洞标识对应的安全漏洞为真实的安全漏洞时，则将其对应的所述第二漏洞标识所对应的安全漏洞确定为真实的安全漏洞，当比对成功的所述第一漏洞标识对应的安全漏洞为误报的安全漏洞时，则将其对应的所述第二漏洞标识所对应的安全漏洞确定为误报的安全漏洞；
将未比对成功的所述第二漏洞标识所对应的安全漏洞确定为待确定的安全漏洞；
依据所述确定为真实的各个安全漏洞、确定为误报的各个安全漏洞及确定为待确定的各个安全漏洞，获得所述最终漏洞检测信息。


5.根据权利要求1所述的方法，其特征在于，还包括：
按预设的修复策略，对所述最终漏洞检测信息中确定为...

【专利技术属性】
技术研发人员：秦旭果，韩秀文，王照文，邹帮山，
申请(专利权)人：吉林亿联银行股份有限公司，
类型：发明
国别省市：吉林;22