漏洞检测方法及系统技术方案

技术编号：41211969 阅读：3 留言：0更新日期：2024-05-09 23:35

本发明专利技术涉及软件测试技术领域，尤其涉及一种漏洞检测方法；包括步骤S1，确定检测范围；步骤S2，选取校准文件；步骤S3，确定疑似漏洞文件；步骤S4,漏洞分类；步骤S5，文件储存；本发明专利技术通过在历史数据库中选择与执行文件内容匹配的历史执行文件作为校准文件，并对执行文件的路径来源进行分析，对于来源不明的执行文件初步判定为疑似漏洞文件，并通过对疑似漏洞文件进行代码匹配，检测是否输入新增代码，通过对新增代码段进行漏洞匹配，以判定漏洞级别，对高危漏洞及时拦截，实现对恶意文件的实时监测和拦截，通过筛选出存在新增代码的执行文件进行漏洞匹配，减少对整体执行文件的计算时间，以增加检测的实时性。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及软件测试，尤其涉及一种漏洞检测方法及系统。

技术介绍

1、漏洞检测的目的是发现软件、系统或网络中的潜在安全漏洞，以及时进行修复，防止攻击者利用这些漏洞进行恶意活动，常见的漏洞包括固件更新漏洞、命令注入漏洞、信息泄露漏洞、缓冲区溢出漏洞等，常见的漏洞检测方法包括使用漏洞扫描工具对目标系统主动扫描，输入目标程序并监视其执行状态，以捕获程序异常行为并发现漏洞，以及通过对软件及系统的静态属性进行分析，发现其中的漏洞等，然而，如何根据系统特点和需求，定制漏洞扫描策略，越来越成为各技术人员关注的话题。

2、中国专利公开号：cn114048488b，公开了一种漏洞检测方法及系统，其技术点是通过在应用运行阶段，运行植入的检测代码，实现基于iast对待检测应用进行漏洞检测；由此可见，现有的漏洞检测方法中，缺乏一种对执行过程进行预检测，以缩小漏洞检测范围，减小对全部执行文件漏洞检测的计算，以及时拦截含有高危漏洞的执行文件，提高漏洞检测的实时性与效率。

技术实现思路

1、为此，本专利技术提供一种漏洞检测方法，用以克服现有技术中由于漏洞检测范围较大，使执行文件计算量较大以及计算时间较长，导致漏洞检测效率低的问题。

2、为实现上述目的，本专利技术提供一种漏洞检测方法。

3、步骤s1，确定目标检测范围内的若干执行文件进行主动扫描与检测，获取各所述执行文件对应的文件类型信息、文件路径信息、组成代码、文件传输信息，所述文件传输信息包括文件位置起点与文件位置终点；</p>

4、步骤s2，对任意一所述执行文件，获取其对应的文件类型信息文件与传输信息，并在历史数据库中选取匹配的历史执行文件作为校准文件；

5、步骤s3，获取所述步骤s2中确定的该校准文件的标准路径信息与所述执行文件对应的当前路径信息进行匹配判定，确定当前检测的执行文件是否为疑似漏洞文件；

6、步骤s4，获取所述步骤s3中检测出的全部疑似漏洞文件，对于任意一所述疑似漏洞文件，根据对应的校准文件中的标准代码段进行代码匹配，根据代码匹配结果确定是否将对应的执行文件储存至所述历史数据库中，以及确定执行文件的差异代码段，根据差异代码段的字符长度确定对应的疑似漏洞文件是否为漏洞文件，对漏洞文件进行漏洞扫描，根据扫描结果将各漏洞分为可规避漏洞与不可规避漏洞；

7、步骤s5，根据漏洞类型将执行文件分为可规避漏洞文件与不可规避漏洞文件，将可修复漏洞文件储存至第一寄存器，将不可修复漏洞文件储存至第二寄存器。

8、进一步地，在所述步骤s3中，对于当前检测的所述执行文件与对应的校准文件，获取所述执行文件的文件路径信息记作当前路径信息，获取该校准文件的标准路径信息并与当前路径信息进行匹配判定，

9、若该校准文件的标准路径信息与所述执行文件对应的当前路径信息一致，则判定当前检测的所述执行文件未出现漏洞，在该执行文件完成执行操作时，将该执行文件储存至所述历史数据库中，并对下一执行文件与对应的校准文件进行匹配判定；

10、若该校准文件的标准路径信息与所述执行文件对应的当前路径信息不一致，则判定当前检测的所述执行文件为疑似漏洞文件，并继续对下一执行文件与对应的校准文件进行匹配判定。

11、进一步地，在所述步骤s4中，获取所述步骤s3中检测出的全部疑似漏洞文件，并对对应的代码段进行匹配判定，对于任意一所述疑似漏洞文件，提取其组成代码，并删除所述组成代码中的标准变量代码段，得到所述疑似漏洞文件的待检测代码段，并获取所述校准文件的标准代码段，将待检测代码段与标准代码段进行代码匹配，并确定所述校准文件与所述疑似漏洞文件中的各不匹配的差异代码段进行标记，标记为疑似漏洞代码段，直至完成对该疑似漏洞文件对应的代码段的匹配判定，对该疑似漏洞文件进行判定，

12、若所述疑似漏洞文件中不存在疑似漏洞代码段，则判定该疑似漏洞文件不存在漏洞，在该执行文件完成执行操作时，将该执行文件储存至所述历史数据库中，并对下一所述疑似漏洞文件对应的代码段进行判定；

13、若所述疑似漏洞文件中存在疑似漏洞代码段，则对该疑似漏洞文件中的各疑似漏洞代码段进行漏洞检测判定，以确定该疑似漏洞文件是否存在漏洞。

14、进一步地，若判定所述疑似漏洞文件中存在疑似漏洞代码段，对于该疑似漏洞文件中的任一疑似漏洞代码段进行长度判定，获取该疑似漏洞代码段的字符长度记作实时字符长度，获取该疑似漏洞文件对应校准文件中对应的代码段记作标准字符长度，将该疑似漏洞代码段的实时字符长度与标准字符长度进行对比，

15、若实时字符长度小于等于标准字符长度，判定该疑似漏洞代码段正常，继续对该疑似漏洞文件中的下一疑似漏洞代码段进行判定，直至对完成对该疑似漏洞文件中存在的疑似漏洞代码段的长度判定，再次对该疑似漏洞文件进行上述提取其组成代码，对对应的代码段进行匹配判定的操作；

16、若实时字符长度大于等于标准字符长度，判定该疑似漏洞代码段为漏洞，以及当前检测的所述执行文件为漏洞文件，获取该漏洞文件中的任一漏洞，并将其分别与漏洞资源数据库中的各预设内存漏洞进行匹配，以对该漏洞进行分类。

17、进一步地，在所述步骤s4中，在判定实时字符长度大于等于标准字符长度时，判定该疑似漏洞代码段为漏洞，以及当前检测的所述执行文件为漏洞文件，对于任一所述漏洞文件，获取该漏洞文件中的任一漏洞，并将其分别与漏洞资源数据库中的各预设内存漏洞进行匹配，

18、若所述漏洞资源数据库中存在与所述漏洞匹配的预设内存漏洞，判定该漏洞为可规避漏洞；

19、若所述漏洞资源数据库中不存在与所述漏洞匹配的预设内存漏洞，判定该漏洞为不可规避漏洞。

20、进一步地，对于任一所述漏洞文件，获取该漏洞文件中的各漏洞，并分别与漏洞资源数据库中的各预设内存漏洞进行匹配，分别根据漏洞资源数据库对该漏洞文件中的各漏洞进行判定，

21、若存在预设内存漏洞与该漏洞文件中的一漏洞匹配时，判定该漏洞为可规避漏洞；

22、若不存在预设内存漏洞与该漏洞文件中的各漏洞匹配时，判定该漏洞为不可规避漏洞。

23、进一步地，在所述步骤s2中，获取任意一执行文件的文件类型信息与文件传输信息，使该执行文件的文件类型信息、文件传输信息与所述历史数据库中的各历史执行文件对应的文件类型进行匹配，

24、若历史数据库中存在与该执行文件的文件类型信息、文件传输信息均对应的历史执行文件，将对应的各历史执行文件记作待选取文件，根据标准时间差值对累计时间差值进行判定，以对待选取文件进行筛选，筛选出可选取文件；

25、若历史数据库中不存在与该执行文件的文件类型信息、文件传输信息均对应的历史执行文件，则判定该执行文件为漏洞文件。

26、进一步地，在所述步骤s2中，设定有选取待选取文件的标准时间差值，在判定历史数据库中存在与该执行文件的文件类型信息、文件传输信息均对应的历史执行文件时，将对应的各历史本文档来自技高网...

【技术保护点】

1.一种漏洞检测方法，其特征在于，包括，

2.根据权利要求1所述的漏洞检测方法，其特征在于，在所述步骤S3中，对于当前检测的所述执行文件与对应的校准文件，获取所述执行文件的文件路径信息记作当前路径信息，获取该校准文件的标准路径信息并与当前路径信息进行匹配判定，

3.根据权利要求2所述的漏洞检测方法，其特征在于，在所述步骤S4中，获取所述步骤S3中检测出的全部疑似漏洞文件，并对对应的代码段进行匹配判定，对于任意一所述疑似漏洞文件，提取其组成代码，并删除所述组成代码中的标准变量代码段，得到所述疑似漏洞文件的待检测代码段，并获取所述校准文件的标准代码段，将待检测代码段与标准代码段进行代码匹配，并确定所述校准文件与所述疑似漏洞文件中的各不匹配的差异代码段进行标记，标记为疑似漏洞代码段，直至完成对该疑似漏洞文件对应的代码段的匹配判定，对该疑似漏洞文件进行判定，

4.根据权利要求3所述的漏洞检测方法，其特征在于，在所述步骤S4中，若判定所述疑似漏洞文件中存在疑似漏洞代码段，对于该疑似漏洞文件中的任一疑似漏洞代码段进行长度判定，获取该疑似漏洞代码段的字符长度

5.根据权利要求4所述的漏洞检测方法，其特征在于，在所述步骤S4中，在判定实时字符长度大于等于标准字符长度时，判定该疑似漏洞代码段为漏洞，以及当前检测的所述执行文件为漏洞文件，对于任一所述漏洞文件，获取该漏洞文件中的任一漏洞，并将其分别与漏洞资源数据库中的各预设内存漏洞进行匹配，

6.根据权利要求5所述的漏洞检测方法，其特征在于，获取各漏洞文件中各漏洞的分类结果，对各所述漏洞文件进行分类，分为可修复漏洞文件与不可修复漏洞文件。

7.根据权利要求1所述的漏洞检测方法，其特征在于，在所述步骤S2中，获取任意一执行文件的文件类型信息与文件传输信息，使该执行文件的文件类型信息、文件传输信息与所述历史数据库中的各历史执行文件对应的文件类型进行匹配，

8.根据权利要求7所述的漏洞检测方法，其特征在于，在所述步骤S2中，设定有选取待选取文件的标准时间差值，在判定历史数据库中存在与该执行文件的文件类型信息、文件传输信息均对应的历史执行文件时，将对应的各历史执行文件记作待选取文件，获取任一所述待选取文件对应的执行时间信息记作历史执行时间进行筛选，获取该执行文件的当前执行时间，根据所述待选取文件的历史执行时间与该执行文件的当前执行时间计算累计时间差值，根据标准时间差值对累计时间差值进行判定，

9.根据权利要求8所述的漏洞检测方法，其特征在于，在判定累计时间差值小于等于标准时间差值时，将对应的待选取文件记作可选取文件，分别计算该执行文件与各可选取文件的内容相似度，并选择内容相似度最高的可选取文件记作该执行文件对应的校准文件。

10.一种漏洞检测系统，基于权利要求1-9所述的漏洞检测方法，其特征在于，包括，

...

【技术特征摘要】

1.一种漏洞检测方法，其特征在于，包括，

2.根据权利要求1所述的漏洞检测方法，其特征在于，在所述步骤s3中，对于当前检测的所述执行文件与对应的校准文件，获取所述执行文件的文件路径信息记作当前路径信息，获取该校准文件的标准路径信息并与当前路径信息进行匹配判定，

3.根据权利要求2所述的漏洞检测方法，其特征在于，在所述步骤s4中，获取所述步骤s3中检测出的全部疑似漏洞文件，并对对应的代码段进行匹配判定，对于任意一所述疑似漏洞文件，提取其组成代码，并删除所述组成代码中的标准变量代码段，得到所述疑似漏洞文件的待检测代码段，并获取所述校准文件的标准代码段，将待检测代码段与标准代码段进行代码匹配，并确定所述校准文件与所述疑似漏洞文件中的各不匹配的差异代码段进行标记，标记为疑似漏洞代码段，直至完成对该疑似漏洞文件对应的代码段的匹配判定，对该疑似漏洞文件进行判定，

4.根据权利要求3所述的漏洞检测方法，其特征在于，在所述步骤s4中，若判定所述疑似漏洞文件中存在疑似漏洞代码段，对于该疑似漏洞文件中的任一疑似漏洞代码段进行长度判定，获取该疑似漏洞代码段的字符长度记作实时字符长度，获取该疑似漏洞文件对应校准文件中对应的代码段记作标准字符长度，将该疑似漏洞代码段的实时字符长度与标准字符长度进行对比，

5.根据权利要求4所述的漏洞检测方法，其特征在于，在所述步骤s4中，在判定实时字符长度大于等于标准字符长度时，判定该疑似漏洞代码段为漏洞，以及当前检测的所述执行文...

【专利技术属性】
技术研发人员：付斌，赵春健，王雪冬，
申请(专利权)人：北京国信网联科技有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人