本发明专利技术涉及一种基于已知漏洞条目的网络设备漏洞验证方法,通过监控采集多种常见漏洞信息源,及时、全面获取网络设备漏洞信息。同时对监控网络设备提取指纹信息,利用漏洞知识库对被监控的网络设备进行漏洞检测,以判断是否存在漏洞。对于发现的设备漏洞,搜集及自研该漏洞的利用信息、代码和工具,进行渗透攻击测试,以验证漏洞的真实存在。对实际存在的漏洞,提供详细的漏洞报告及安全加固方案。系统由漏洞信息采集、漏洞特征提取、网络资产监控、网络设备指纹、漏洞检测对比、漏洞利用采集、漏洞渗透测试等模块组成,解决了网络设备漏洞检测准确性较低、存在误报漏报的问题,可以实现对网络设备是否存在漏洞的准确评估和验证。络设备是否存在漏洞的准确评估和验证。络设备是否存在漏洞的准确评估和验证。
【技术实现步骤摘要】
一种基于已知漏洞条目的网络设备漏洞验证方法
[0001]本专利技术属于网络安全测试
,尤其涉及应用于渗透测试的一种基于已知漏洞条目的网络设备漏洞验证方法。
技术介绍
[0002]漏洞利用是常见的黑客攻击手段,针对漏洞的监测和管理在网络安全领域受到越来越多的重视。网络设备由于暴露在互联网上,无法避免受到黑客不间断的扫描探测,更容易受到黑客的攻击,所以针对网络设备的漏洞检测和评估是网络安全管理中的一项重要内容。
[0003]目前出现了不少针对网络设备漏洞扫描的技术、系统和装备,为网络设备的漏洞检测和评估提供了一定的支持。但随着网络结构及系统部署越来越复杂,现有的漏洞扫描方法存在的局限性越来越突出。首先是目前漏洞扫描不够准确,难以验证,漏洞扫描在技术上采用传统的匹配方式,依据版本信息来确认漏洞是否存在,如果漏洞已经修复,版本信息未能同步更新,就会导致误报;其次是目前的漏洞扫描不够细致,对具体网络设备的理解不够深入,受扫描路径和扫描策略的影响,不能全面地发现网络设备的漏洞风险;第三是漏洞库的更新也不够及时全面,全球的研究机构随时在发布自己发现的漏洞信息,这些漏洞信息的汇总、特别是更新到漏洞扫描设备中具有一定的滞后性,而漏洞公布到扫描设备更新滞后的这段时间,是漏洞被攻击利用风险最大的阶段。
[0004]为解决网络设备漏洞检测和判断误报漏报、准确性较低的问题,加强对企业运维的网络设备的安全防护,及时、全面发现漏洞信息,对网络设备进行深入、准确的漏洞检测评估及验证具有重要的应用价值。
技术实现思路
r/>[0005]本专利技术提出了一种基于已知漏洞条目的网络设备漏洞验证方法,通过监控多种漏洞信息源,及时、全面获取漏洞信息,更新本地漏洞知识库,同时实时监控本企业运维的网络设备资产信息,将更新的漏洞信息关键字和被监控的网络设备信息进行比对,以判断是否存在漏洞,对于匹配发现的漏洞,搜集漏洞利用信息、代码和工具,必要时自研漏洞利用代码或者工具,进行渗透测试,以验证漏洞的真实存在,并针对漏洞提供详细漏洞报告及安全加固方案,防止被恶意利用;整体系统由漏洞信息采集模块、漏洞特征提取模块、网络资产监控模块、网络设备指纹模块、漏洞检测对比模块、漏洞利用采集模块、漏洞渗透测试模块、漏洞安全加固模块等部分组成;具体包括如下步骤:
[0006]步骤1、监控采集多种网络设备漏洞信息源,实现对网络设备漏洞信息、特别是最新曝光的漏洞信息的采集;
[0007]步骤2、在汇聚网络设备多源漏洞信息基础上,提取漏洞特征,形成表征漏洞的关键字和索引,方便后续检测比对;
[0008]步骤3、实时监控本企业运维的网络设备资产运行和软硬件版本更新信息,获取对
网络设备资产的各类详细指纹信息,形成设备资产信息库;
[0009]步骤4、将更新的漏洞信息特征与所监控的网络设备信息进行比对,以判断是否存在对应漏洞;
[0010]步骤5、对于匹配发现存在漏洞的网络设备,搜集对应漏洞的原理分析、利用信息、利用代码、利用工具,必要时自研漏洞利用代码或者工具;
[0011]步骤6、制订渗透策略和渗透路径,对目标设备进行渗透测试,以验证对应漏洞的真实存在;
[0012]步骤7、对于真实存在漏洞的网络设备,进一步编写漏洞详细报告,并提供针对漏洞的安全加固,防止漏洞被恶意利用。
[0013]1、监控采集多种网络设备漏洞信息源,实现对网络设备漏洞信息、特别是最新曝光的漏洞信息的采集;CVE漏洞列表是最常用的漏洞信息来源,国家信息安全漏洞共享平台CNVD也是重要的漏洞参考来源,还有不少安全机构也在及时更新发布自己的漏洞研究成果;通过爬虫等方式,定期对这些常用漏洞发布网站进行扫描采集,形成及时、全面的网络设备漏洞条目。
[0014]2、在汇聚网络设备多源漏洞信息基础上,提取漏洞特征,形成表征漏洞的关键字和索引,方便后续检测比对;来自不同来源的漏洞信息资源,进行数据处理融合之后,更新进漏洞知识库;对漏洞信息进行不同维度的特征提取,包括操作系统、应用版本信息、触发类型、影响程度、原理描述等关键字和索引信息,这些特征用于方便对后续网络设备的漏洞检测比对。
[0015]3、实时监控本企业网络设备资产运行和软硬件版本更新信息,获取对网络设备资产的各类详细指纹信息,形成设备资产信息库;针对企业网络设备安全运维要求,对所有网络设备统一进行资产管理,实时监测设备的运行状态,感知设备上运行的软硬件版本信息、以及版本更新升级信息,通过网络资产态势感知平台,形成网络设备指纹信息知识库,作为网络漏洞监测中设备监测的重点。
[0016]4、将更新的漏洞信息特征与所监控的网络设备信息进行比对,以判断是否存在对应漏洞;借助网络设备漏洞知识库,以及各漏洞条目提取的特征,确定漏洞与开启服务之间的关系、服务与开放端口之间的关系、操作系统与漏洞之间的关系、系统环境与漏洞之间的关系等,从而对企业网络资源开展信息比对,以确定企业网络设备是否存在对应漏洞,以及漏洞危害程度等因素。
[0017]5、对于匹配发现存在漏洞的网络设备,搜集对应漏洞的原理分析、利用信息、利用代码、利用工具,必要时自研漏洞利用代码或者工具;现有渗透测试评估技术方案中主要通过POC(ProofofConcept,概念验证),公开发布的漏洞信息中,有时会有一段漏洞证明的代码,有时是一段说明或者一个攻击的样例,还有一些会给出EXP(Exploit,渗透利用)代码或者工具;在验证漏洞的真实存在,需要搜集不同研究机构针对该漏洞发布的这些信息和资源;有些漏洞只有极为简短的说明,没有POC和EXP资源,为了验证漏洞的存在,则需要自研开发POC或者EXP。
[0018]6、制订渗透策略和渗透路径,对目标设备进行渗透测试,以验证对应漏洞的真实存在;在复杂环境下,特别是组合漏洞的利用方面,渗透步骤的顺序、渗透路径的选择等因素非常重要;一般0DAY漏洞具有较强的攻击利用价值,但多个漏洞的组合也可能达到更强
的杀伤力;如“弱口令漏洞”+“提权漏洞”的组合,使得攻击方可以获取对目标设备设备的完全控制权;但如果没有弱口令漏洞,无法获取访问权限,提权漏洞也无法利用,并且弱口令漏洞利用的攻击顺序需要在提权漏洞利用之前完成。
[0019]7、对于真实存在漏洞的网络设备,进一步编写漏洞详细报告,并提供针对漏洞的安全加固方案,防止漏洞被恶意利用;针对已验证真实存在的漏洞,分析该漏洞形成原因、触发条件、影响系统、危害程度、渗透方式、利用方式、加固方式等形成详细的漏洞报告,并提供临时安全加固方案,待官方提供补丁之后,及时进行补丁修补。
[0020]基于已知漏洞条目的网络设备漏洞验证方法,通过监控多种漏洞信息源,及时、全面获取漏洞信息,同时实时监控本企业网络设备资产信息,通过漏洞信息特征和和被监控的网络设备信息特征进行比对,以判断是否存在漏洞,对于匹配发现的漏洞,通过搜集或者自研POC和EXP进行渗透测试,来验证漏洞的真实存在;解决了网络设备漏洞检测和判断误报漏报、准确性较低的问题,通过对网本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于已知漏洞条目的网络设备漏洞验证方法,其特征在于:通过监控多种漏洞信息源,及时、全面获取漏洞信息,更新本地漏洞知识库,同时实时监控本企业网络设备资产信息,对更新后的漏洞信息提取特征,和被监控的网络设备信息进行比对,以判断是否存在漏洞,对于匹配发现的漏洞,搜集漏洞利用信息、代码和工具,必要时自研漏洞利用代码或者工具,进行渗透测试,以验证漏洞的真实存在,并针对存在漏洞的设备提供安全加固方案,防止漏洞被恶意利用;整体系统由漏洞信息采集模块、漏洞特征提取模块、网络资产监控模块、网络设备指纹模块、漏洞检测对比模块、漏洞利用工具模块、漏洞渗透测试模块、漏洞安全加固模块等部分组成,具体包括如下步骤:步骤1、监控采集多种网络设备漏洞信息源,实现对网络设备漏洞信息、特别是最新曝光的漏洞信息的采集;步骤2、在汇聚网络设备多源漏洞信息基础上,提取漏洞特征,形成表征漏洞的关键字和索引,方便后续检测比对;步骤3、实时监控本企业网络设备资产运行和软硬件版本更新信息,获取对网络设备资产的各类详细指纹信息,形成设备资产信息库;步骤4、将更新的漏洞信息特征与所监控的网络设备信息进行比对,以判断是否存在对应漏洞;步骤5、对于匹配发现存在漏洞的网络设备,搜集对应漏洞的原理分析、利用信息、利用代码、利用工具,必要时自研漏洞利用代码或者工具;步骤6、制订渗透策略和渗透路径,对目标设备进行渗透测试,以验证对应漏洞的真实存在;步骤7、对于真实存在漏洞的网络设备,进一步编写漏洞详细报告,并提供针对漏洞的安全加固,防止漏洞被恶意利用。2.如权利要求1所述的一种基于已知漏洞条目的网络设备漏洞验证方法,其特征在于,所述步骤1中,监控采集多种网络设备漏洞信息源,实现对网络设备漏洞信息、特别是最新曝光的漏洞信息的采集;CVE漏洞列表是最常用的漏洞信息来源,国家信息安全漏洞共享平台CNVD也是重要的漏洞参考来源,还有不少安全机构也在及时更新发布自己的漏洞研究成果;通过爬虫等方式,定期对这些常用漏洞发布网站进行扫描采集,形成及时、全面的网络设备漏洞条目。3.如权利要求1所述的一种基于已知漏洞条目的网络设备漏洞验证方法,其特征在于,所述步骤2中,在汇聚网络设备多源漏洞信息基础上,提取漏洞特征,形成表征漏洞的关键字和索引,方便后续检测比对;来自不同来源的漏洞信息资源,进行数据处理融合之后,更新进漏洞知识库;对漏洞信息进行不同维度的特征提取,包括操作系统、应用版本信息、触发类型、影响程度、原理描述等关键字和索引信息,这些特征用于方便对后续网络设备的漏洞检测比对。4.如权利要求1所述的一种基于已知漏洞条目的网络设备漏洞验证方法,其特征在于,所述步骤3中,实时监控本企业网络设备资产运行和软硬件版本更新信息,获取对网络设备资产的各类详细指纹信息,形成设备资产指纹信息库;针对企业网络设备安全运维要求,对所有网络设备统一进行资产管理,实时监测设备的运行状态,感知设备上运行的软硬件版本信息、以及版本更新升级信息,通过网络资产态势感知平台,形成...
【专利技术属性】
技术研发人员:晏培,高峻,张军,段雪江,王彦丰,
申请(专利权)人:中京天裕科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。