一种基于分布式扫描引擎的脆弱性分析方法技术

本发明专利技术公开了一种基于分布式扫描引擎的脆弱性分析方法，该方法通过建立管理系统对漏洞数据进行统一处理形成漏洞闭环管理流程，具体包括以下步骤：步骤S1、漏洞发现；步骤S2、漏洞研判；步骤S3、漏洞修复；步骤S4、漏洞验证。本发明专利技术通过建立一套完整的网络安全漏洞管理体系支撑系统，将漏扫设备数据、等保测评发现的漏洞数据、渗透测试发现的漏洞数据等进行数据统一规范化处理，形成漏洞管理处置流程和闭环工作流程，并及时采取修补措施，消除安全隐患，降低安全风险。降低安全风险。降低安全风险。

【技术实现步骤摘要】
一种基于分布式扫描引擎的脆弱性分析方法


[0001]本专利技术涉及一种脆弱性分析方法，尤其涉及一种基于分布式扫描引擎的脆弱性分析方法，属于网络安全


技术介绍

[0002]近年来，全球网络安全形式十分严峻，个人信息与商业数据遭遇大规模泄露与违规利用，针对关键信息基础设施的恶意网络攻击频发。2017年5月12日，全球范围爆发针对Windows操作系统的勒索软件(WannaCry)感染事件，改勒索软件利用Windows SMB服务漏洞进行攻击，全球100多个国家数十万用户中招，国内的企业、学校、医疗、电力、能源、银行、交通等多个行业均遭受不同程度的影响；2019年1月研究人员发现英特尔CPU存在严重漏洞，导致攻击者能直接访问核心内存中的敏感信息，包括用户账号密码、文件等，影响近90％采用英特尔处理器的服务器和存储，亚马逊、微软、谷歌等云计算服务商也深受影响。
[0003]近年来，信息化建设进入了高速发展阶段，网络系统日趋复杂，网络安全形势十分严峻。各个机构虽然构建了覆盖五网三级的安全防御体系，但是缺少对网络安全漏洞有效的管理手段。

技术实现思路

[0004]为了解决上述技术所存在的不足之处，本专利技术提供了一种基于分布式扫描引擎的脆弱性分析方法，不仅可以灵活地扩展新出现的资产安全检测、工控漏洞扫描等引擎模块，还可以通过扫描结果与合规库进行关联分析，生成满足规范要求的漏洞扫描报告和缺陷修复报告。
[0005]为了解决以上技术问题，本专利技术采用的技术方案是：一种基于分布式扫描引擎的脆弱性分析方法，该方法通过建立管理系统对漏洞数据进行统一处理形成漏洞闭环管理流程，具体包括以下步骤：
[0006]步骤S1、漏洞发现；
[0007]步骤S2、漏洞研判；
[0008]步骤S3、漏洞修复；
[0009]步骤S4、漏洞验证。
[0010]优选的，步骤S1、漏洞发现分为两部分：
[0011]S11、自主扫描引擎发现包括以下两部分：
[0012]A、资产发现
[0013]a.扫描引擎通过使用ICMP ECHO请求或发送TCP数据包到一个或多个端口，在有效的端口扫描中发现设备，响应这些数据包的系统被标记为处于活动状态，并将被加入随后的扫描阶段；
[0014]b.当在DMZ中或其他任何受严格保护的区域中扫描资产时，引擎会使用在a阶段查找到的端口扫描结果，从而确定哪些主机处于活动状态，如果在一项资产中发现任何端口
处于开放状态，则系统将标记此资产为“存活”；
[0015]B、漏洞评估
[0016]c.漏洞评估通过插件实现，插件是用脚本语言编写好的子程序，通常系统先制定扫描策略，然后扫描程序根据策略调用一系列插件来执行漏洞扫描，检测出系统中存在的一个或者多个漏洞；
[0017]d.支持CVE、BID、EDB、CNNVD漏洞标准，并提供详细的漏洞信息，包括漏洞的真实利用信息。
[0018]S12、第三方扫描引擎发现包括以下两部分：
[0019]e.通过API接入主流第三方漏洞扫描引擎，通过API控制引擎，并得到漏洞扫描结果；
[0020]f.通过导入第三方漏洞扫描结果数据，将数据传递到平台内做数据分析，分析原则是通过与漏洞库进行对比，然后再调用自主引擎发起扫描与之做对比，然后得出最终扫描报告。
[0021]优选的，步骤S2、漏洞研判为对发现的漏洞进行研判，平均每个漏洞会进行系统版本检测、补丁系统比对、漏洞攻击验证三个步骤，最终确定是否为真实漏洞，具体包括以下步骤：
[0022]S21、通过引擎扫描发现的漏洞会进一步识别漏洞的类型、版本；
[0023]S22、将通过查找的漏洞涉及的具体版本匹配补丁库中的修复方案，补丁库不仅提供补丁下载，同样也提供各个版本漏洞的修复方案；
[0024]S23、漏洞攻击针对的是插件，通过系统预制web类型漏洞、以及部分主机漏洞的攻击脚本，在已经识别的漏洞和相应版本的基础上，进行具体的POC验证，如果POC验证成功，说明该漏洞是能被实际利用的。
[0025]优选的，步骤S3、漏洞修复包括工单派送、补丁库；
[0026]其中，工单派送：漏洞修复环节通过工单的形式进行管理，由安全管理员创建工单，选择需要修复的漏洞，设定紧急程度和计划时间，然后指定接单人；接单人登录系统会接到系统的消息通知，进行工单的关闭、延期处理，安全管理员作为派单人员对工单进行催单、审核；
[0027]补丁库：补丁库是对漏洞修复的修复依据，漏洞修复过程中系统会提示如何修复，期间会提示补丁下载地址，在内网环境下直接下载使用，能有效提高修复过程中的效率。
[0028]优选的，步骤S4、漏洞验证包括以下部分：
[0029]漏洞利用：使用渗透模块尝试和目标机器建立会话，在建立会话的过程中，不同的风险等级会使用不同的渗透模块；
[0030]收集证据：建立会话之后，默认为收集到目标的系统信息、安装的系统服务、屏幕截图、用户凭证，证据收集完成后，通过会话销毁痕迹；
[0031]提权：在目标机器上建立会话后，可操作的权限取决于建立会话的渗透模块利用的连接用户，如果此用户只是普通用户，将无法使用一些高级的系统命令，为此，需要提升当前用户的权限，运行更高级的系统命令；
[0032]远程跳板：将控制的目标机器作为数据的中转点，发起新的渗透测试，使用远程跳板后，能做到不和最终目标机器接触，而完成渗透测试工作。
[0033]优选的，管理系统包括展示层、业务应用层、接口层、数据存储层；
[0034]展示层用于实现资产信息、漏洞信息的展示；
[0035]业务应用层包括资产管理、检测管理、补丁管理、漏洞管理、任务管理、工单管理、报告管理、系统管理；
[0036]接口层通过接口对接数据处理，同时能兼容漏洞扫描引擎；
[0037]数据存储层用于对系统所用数据进行存储，包括以下模块：
[0038]资源池模块：自动分析出各个引擎负荷状态，调用其他引擎分担任务，同时也能调用多个引擎对同一个资产进行扫描，脆弱性发现；
[0039]POC研判引擎模块：对扫描发现的漏洞进行研判渗透工作，进一步验证该漏洞的威胁程度和修复优先级。
[0040]优选的，资产管理包括资产的增加、修改、删除、导入、导出、发现，统称测绘，其中资产信息包括主机ip、操作系统、主机名称；
[0041]检测管理即对探针的管理，探针通过使用ICMP ECHO请求或发送TCP数据包到一个或多个端口，在有效的端口扫描中发现设备，响应这些数据包的系统被标记为处于活动状态，并将被加入随后的扫描阶段。
[0042]优选的，补丁管理为定期更新各个厂商所发布的已发现漏洞的修复补丁，并将补丁下载到系统以便修复漏洞时使用；
[0043]漏洞管理为：系统通过探针对资产进行扫描并发现已知漏洞，然后对扫描发现的漏洞进行研判渗透工作，进一步验证该漏洞的威胁程度和修本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于分布式扫描引擎的脆弱性分析方法，其特征在于：该方法通过建立管理系统对漏洞数据进行统一处理形成漏洞闭环管理流程，具体包括以下步骤：步骤S1、漏洞发现；步骤S2、漏洞研判；步骤S3、漏洞修复；步骤S4、漏洞验证。2.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法，其特征在于：所述步骤S1、漏洞发现分为两部分：S11、自主扫描引擎发现包括以下两部分：A、资产发现a.扫描引擎通过使用ICMP ECHO请求或发送TCP数据包到一个或多个端口，在有效的端口扫描中发现设备，响应这些数据包的系统被标记为处于活动状态，并将被加入随后的扫描阶段；b.当在DMZ中或其他任何受严格保护的区域中扫描资产时，引擎会使用在a阶段查找到的端口扫描结果，从而确定哪些主机处于活动状态，如果在一项资产中发现任何端口处于开放状态，则系统将标记此资产为“存活”；B、漏洞评估c.漏洞评估通过插件实现，插件是用脚本语言编写好的子程序，通常系统先制定扫描策略，然后扫描程序根据策略调用一系列插件来执行漏洞扫描，检测出系统中存在的一个或者多个漏洞；d.支持CVE、BID、EDB、CNNVD漏洞标准，并提供详细的漏洞信息，包括漏洞的真实利用信息。S12、第三方扫描引擎发现包括以下两部分：e.通过API接入主流第三方漏洞扫描引擎，通过API控制引擎，并得到漏洞扫描结果；f.通过导入第三方漏洞扫描结果数据，将数据传递到平台内做数据分析，分析原则是通过与漏洞库进行对比，然后再调用自主引擎发起扫描与之做对比，然后得出最终扫描报告。3.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法，其特征在于：所述步骤S2、漏洞研判为对发现的漏洞进行研判，平均每个漏洞会进行系统版本检测、补丁系统比对、漏洞攻击验证三个步骤，最终确定是否为真实漏洞，具体包括以下步骤：S21、通过引擎扫描发现的漏洞会进一步识别漏洞的类型、版本；S22、将通过查找的漏洞涉及的具体版本匹配补丁库中的修复方案，补丁库不仅提供补丁下载，同样也提供各个版本漏洞的修复方案；S23、漏洞攻击针对的是插件，通过系统预制web类型漏洞、以及部分主机漏洞的攻击脚本，在已经识别的漏洞和相应版本的基础上，进行具体的POC验证，如果POC验证成功，说明该漏洞是能被实际利用的。4.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法，其特征在于：所述步骤S3、漏洞修复包括工单派送、补丁库；其中，工单派送：漏洞修复环节通过工单的形式进行管理，由安全管理员创建工单，选
择需要修复的漏洞，设定紧急程度和计划时间，然后指定接单人；接单人登录系统会接到系统的消息通知，进行工单的关闭、延期处理，安全管理员作为派单人员对工单进行催单、审核；补丁库：补丁库是对漏洞修复的修复依据，漏洞修复过程中系统会提示如何修复，期间会提示补丁下载地址，在内网环境下直接下载使用，能有效提高修复过程中的效率。5.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法，其特征在于：所述步骤S4、漏洞验证包括以下部分：漏洞利用：使...

【专利技术属性】
技术研发人员：李忆平，白东鑫，董铖，李哲，庞景秋，齐井春，李绍俊，陈兴钰，崔放，
申请(专利权)人：长春嘉诚信息技术股份有限公司，
类型：发明
国别省市：