一种基于漏洞指纹识别的应用安全检测任务自动编排方法技术

本发明专利技术公开了一种基于漏洞指纹识别的应用安全检测任务自动编排方法，主要包括一个应用漏洞指纹知识库、三个工作模块以及一套工具链；应用漏洞指纹知识库：汇总分析、发现的应用漏洞指纹，用于对应用漏洞标记和检测；三个工作模块包括：应用漏洞指纹识别模块；通过与漏洞指纹知识库匹配完成漏洞识别；应用检测任务编排模块；能将不同漏洞数据集和安全检测技术整合到一起，完成任务编排配置；本方法通过漏洞指纹识别，解决应用安全检测任务人工判断检测时机滞后，提供自动化执行操作减少人工工作量，提高检测效率，解决应用安全响应过程中人员短缺、改进警报分类质量和速度、减少响应时间、降低安全人员工作压力等问题。降低安全人员工作压力等问题。降低安全人员工作压力等问题。

【技术实现步骤摘要】
一种基于漏洞指纹识别的应用安全检测任务自动编排方法


[0001]本专利技术属于应用开发
，具体涉及一种基于漏洞指纹识别的应用安全检测任务自动编排方法。

技术介绍

[0002]应用开发安全检测则靠构建安全工具链，整合白盒源代码安全审计系统、黑盒应用安全检测系统和灰盒交互式测试系统，并且将人工深度渗透测试报告与系统检测信息相结合，进行横向验证，以此来保障检测结果的有效性和准确性。并通过编程规约和培训开发人员，保证代码都是以良好的安全习惯进行编写，减少安全问题。
[0003]白盒审计工具。项目代码打包Zip和rar等压缩包的方式本地上传扫描、开发集成环境Eclipse、IntelliJ Idea、Android Studio等一键提交检测分析，方便开发人员在开发过程随时提交代码检测。支持从代码版本管理工具SVN、GIT上获取源代码进行源代码缺陷分析，可以定时从代码仓库自动提取代码进行安全检测，自动发送报告给项目负责人和安全人员，方便系统代码安全跟进对扫描结果可按照漏洞类型或者危害等级分类展示，且针对某一漏洞可进行跟踪审计。使用了二次审计分析技术，可设置规则支持用户自定义函数白名单功能，检测过程中自动识别白名单函数进行路径裁剪，减少误报。对审计结果可生成报告，促进整改，形成代码安全审计闭环。
[0004]黑盒审计工具。采用应用动态模糊测试技术、应用漏洞智能识别技术、应用漏洞动态验证技术、主动探寻应用服务端漏洞等技术，实现对应用的安全风险监测、评估和动态管理。结合独立的漏洞库对监测到的漏洞给出安全评估报告，报告包含漏洞描述、危害、修复建议等内容。应用安全风险评估系统对提高应用安全监测水平，应用测试/安全管理人员对应用系统进行安全评估、安全加固起到了很重要的辅助作用。
[0005]灰盒交互式检测工具。通过交互式安全检测工具，可以快速搭建企业内部众测环境，支持业务逻辑漏洞自动化扫描,帮助安全人员更透明、更简单的完成测试。提供常用漏洞的检测和利用技术手段，便于对目标特定漏洞的的验证和利用，能够高效完成渗透测试。结合自动化的渗透测试、交互式测试特点，能够帮助非专业的人员完成对目标的渗透测试检测。系统集成一系列高效的安全测试、渗透工具，有效减低安全检测成本，能够高效、全方位的检测网络中的各类脆弱性风险，提供专业、有效的安全分析和修补建议，减小受攻击面，保障业务系统安全。
[0006]开源组件代码风险检测工具。建立软件成分分析系统，进行开源代码风险管控，精准识别软件组件的安全性、代码及许可合规性，实时展示应用的代码安全状况和对第三方组件的安全管控，适用于软件安全开发生命周期的开发阶段与测试阶段使用，是OWASP Top10中“A9:2017
‑
使用含有已知漏洞的组件”的有效解决方案。
[0007]通常的应用安全检测采用这些工具人工进行检测，在实施的环节和频次、检测范围和深度靠人工分析判断，存在为了降低工作量缩减范围和深度，例如只做增量检测；存在检测时间、时机以人的工作时间安排有空才去检测，忙于开发则不检测；还有以下一些弊
端。
[0008](1)采用离散的开源工具进行检测数据无法互联互通，无法进行流程管控形成安全闭环；引用诸多安全标准没有体系，引用太多忙不过来，引用太少担心不及格；非国产化自主知识产权检测工具，无安全保障。
[0009](2)应用开发整体安全管控流程复杂，缺少流程自动化平台支撑且与现有流程的不兼容导致很难有效管控；
[0010](3)企业缺少安全管控所需的知识库，如：安全威胁库，安全需求库、安全设计库、安全组件库、安全用例库及安全加固知识库等必要的积累，效率和落地性成为阻力；
[0011](4)企业缺少专业的安全开发管控专业人才，无法与业务人员、开发人员、运维人员及管理层进行有效沟通，内部协作模式无法形成；
[0012](5)企业缺少对安全活动评价及审计能力，导致针对开展的安全活动无法确定实施效果及进行有效改进，最终演变成走形式。

技术实现思路

[0013]本专利技术的目的在于提供一种基于漏洞指纹识别的应用安全检测任务自动编排方法，以解决上述
技术介绍
中提出的问题。
[0014]为实现上述目的，本专利技术提供如下技术方案：一种基于漏洞指纹识别的应用安全检测任务自动编排方法，主要包括一个应用漏洞指纹知识库、三个工作模块以及一套工具链；
[0015]应用漏洞指纹知识库：汇总分析、发现的应用漏洞指纹，用于对应用漏洞标记和检测；
[0016]三个工作模块包括：应用漏洞指纹识别模块；通过与漏洞指纹知识库匹配完成漏洞识别；
[0017]应用检测任务编排模块；能将不同漏洞数据集和安全检测技术整合到一起，完成任务编排配置；
[0018]自动化应用检测执行模块；利用任务编排的结果进行应用安全检测任务的自动执行，按定时任务、按应用版本、按检测CWE分类进行自动化检测，旨在最小化事件响应过程中重复性任务的人工干预，帮助加速问题的解决；
[0019]一套工具链包括：安全需求分析工具、威胁建模分析系统、源代码审计、黑盒测试工具、交互式检测工具、开源组件安全检测工具、安全防御组件；
[0020]具体步骤为：
[0021]1)通过应用漏洞情报、应用安全检测获取应用漏洞信息；
[0022]2)对应用漏洞信息进行漏洞指纹提取，创建增加应用漏洞指纹知识库；
[0023]3)对检测目标应用系统进行应用漏洞指纹匹配确定发现的指纹；
[0024]4)根据发现的指纹和编排的任务去触发应用安全检测任务执行；
[0025]5)应用安全检测任务根据编排逐步自动执行相应检测，并将检测结果继续上报，重复执行第1)步操作流程，直到没有新的应用漏洞指纹匹配发现才终止。
[0026]优选的，应用漏洞指纹知识库包括：CWE编号、不同语言示例代码、形式化逻辑描述特征代码、与该CWE编号相关的CVE编号、与该CVE编号相关的应用属性信息。
[0027]优选的，应用漏洞指纹识别包括示例代码模糊匹配计算匹配度、特征字符串匹配检测、汇编代码语言逻辑检测、对比应用漏洞检验检测。
[0028]优选的，版本信息、前端技术、Web服务器、应用服务器、开发语言、操作系统信息、CDN信息、WAF信息、IP及域名信息、端口信息和系统架构一起作为应用漏洞指纹相应特征字段来标识表征不同的应用漏洞。
[0029]优选的，应用检测任务编排模块的任务编排通过剧本来进行表述；支撑剧本执行的引擎是工作流引擎；为了方便管理人员维护剧本，还包括一套可视化的剧本编辑器。
[0030]优选的，自动化应用检测执行模块的自动化应用检测使用的循环为：1)观察上一个任务输出并确定发生了什么；2)根据应用漏洞指纹确定观察的方向，并添加上下文来确定观察的含义；3)根据业务的风险容忍度和能力决定适当的检测目标；4)根据目标采取检测行动，并应用到观察过程中，然后重复。
[0031]与现有技术相比，本专利技术的有益效果是：本方法本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于漏洞指纹识别的应用安全检测任务自动编排方法，其特征在于：主要包括一个应用漏洞指纹知识库、三个工作模块以及一套工具链；应用漏洞指纹知识库：汇总分析、发现的应用漏洞指纹，用于对应用漏洞标记和检测；三个工作模块包括：应用漏洞指纹识别模块；通过与漏洞指纹知识库匹配完成漏洞识别；应用检测任务编排模块；能将不同漏洞数据集和安全检测技术整合到一起，完成任务编排配置；自动化应用检测执行模块；利用任务编排的结果进行应用安全检测任务的自动执行，按定时任务、按应用版本、按检测CWE分类进行自动化检测，旨在最小化事件响应过程中重复性任务的人工干预，帮助加速问题的解决；一套工具链包括：安全需求分析工具、威胁建模分析系统、源代码审计、黑盒测试工具、交互式检测工具、开源组件安全检测工具、安全防御组件；具体步骤为：1)通过应用漏洞情报、应用安全检测获取应用漏洞信息；2)对应用漏洞信息进行漏洞指纹提取，创建增加应用漏洞指纹知识库；3)对检测目标应用系统进行应用漏洞指纹匹配确定发现的指纹；4)根据发现的指纹和编排的任务去触发应用安全检测任务执行；5)应用安全检测任务根据编排逐步自动执行相应检测，并将检测结果继续上报，重复执行第1)步操作流程，直到没有新的应用漏洞指纹匹配发现才终止。2.根据权利要求1所述的一种基于漏洞指纹识别的应用安全检测任务自动编排方法，其特征在于：应用漏洞指纹知识库包括：...

【专利技术属性】
技术研发人员：李新建，邹鑫灏，郭著松，潘伟，王承涛，严智，
申请(专利权)人：深圳海云安网络安全技术有限公司，
类型：发明
国别省市：