本发明专利技术公开了一种基于威胁情报的操作系统漏洞分析检测方法及系统,本发明专利技术方法包括根据漏洞信息发布平台提供的安全漏洞信息更新安全漏洞信息数据库;结合被检测的操作系统所安装并使用的产品及其版本信息,将其与安全漏洞信息数据库中记录的安全漏洞信息进行对比,分析出被检测的操作系统存在的安全隐患。本发明专利技术可利用国内外公开的威胁情报数据构建安全漏洞信息数据库,结合被检测的操作系统上所安装并使用的产品及其版本信息数据,通过产品版本号比对的方式分析出被检测的操作系统存在的安全隐患,具有漏洞检测准确可靠、时效性强的优点,并可根据面临的安全隐患实施修复方案。
【技术实现步骤摘要】
基于威胁情报的操作系统漏洞分析检测方法及系统
本专利技术涉及操作系统安全漏洞检测技术,具体涉及一种基于威胁情报的操作系统漏洞分析检测方法及系统。
技术介绍
操作系统安全漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题也会长期存在。因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。现有的操作系统漏洞分析技术主要包括:网络安全扫描技术和渗透测试技术,这些技术目前已有相应的开源、商业产品或工具,例如绿盟安全扫描软件、nessus、openvas、metasploit等。网络安全扫描技术是一种重要的网络安全技术。安全扫描技术与防火墙技术、入侵检测系统互相配合,能够有效的提高网络安全性,通过对网络的扫描,网络安全管理员可以了解操作系统的安全配置、运行服务的安全配置,及时的发现存在的安全隐患,客观的评估操作系统的面临的风险等级,在黑客攻击前进行防范。渗透测试技术是一种由客户驱动,利用测试人员所掌握的攻击技术尽可能的模拟真正的黑客对系统进行不造成任何损失的攻击性检测,最终获取目标系统访问控制权的技术。其目的在于提前发现安全问题,减少和控制安全风险,其方法主要有黑盒测试、白盒测试、灰盒测试。其渗透测试流程主要包括:前提交互阶段、情报搜集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透攻击阶段、总体评估阶段。而针对操作系统的漏洞层出不穷,由用户个体对操作系统进行安全扫描和渗透测试是不现实的。同时,各种国内外漏洞信息平台会定时发布漏洞威胁情报,利用这些威胁情报对现行的操作系统进行安全评估,是切实可行的。目前,仍然没有相关的工具或系统能够基于威胁情报实现完整的收集、分析和预警功能。现有的操作系统漏洞分析技术包括网络安全扫描技术和渗透测试分析技术,然而现有的网络安全扫描技术存在以下问题:(1)存在误报,现有的网络安全扫描技术是通过嗅探网络服务在运行时留下的指纹痕迹来获取相关的服务信息,这种方式很大程度上存在误差,从而影响到获取的操作系统网络服务信息的精确性,进而使最终的扫描分析报告结果存在准确性误差。(2)不够全面,操作系统在运行时会根据业务需求来提供服务,而很多存在安全隐患的服务在操作系统在正常的业务部署后处于静默状态,而这部分处于静默状态的服务并不会在网络上留下指纹,导致其无法被现有的网络安全扫描技术所发现,因此最终的扫描报告结果并不会指出这些服务所存在的安全隐患。(3)不够精准,系统供应商在对其操作系统产品、集成的软件产品进行安全更新时,通常以迭代的方式进行,整个安全更新过程是一个动态的过程,每一次安全更新带来的产品差异、系统差异通常很小,现有的网络安全更新技术无法精确的定位到这些产品差异,并且很难针对所有产品对应的所有的版本建立起一个精确的、完整的安全漏洞数据库,应此最终的扫描报告受此影响也很难做出精准的分析。而现有的渗透测试分析技术,渗透测试发现能否发现问题主要有以下因素:(1)渗透测试的深度受限于经费和目的:①操作系统的漏洞影藏在操作系统的各个方面,很难做到全面。②个人的能力对测试的结果有大的影响。(2)渗透测试工具:①渗透测试的结果受各种系统、应用的配置参数的影响,而这种系统、应用的配置参数的配置通常是操作系统对外提供的功能接口,其最终的状态掌握在操作系统用户手中,并且这些状态可能会随着用户需求进行改变,因此同一个应用、软件在不同配置状态对渗透测试结果都有很大的影响,而现有的渗透测试分析技术无法结合这些要素进行评判。②只能对操作系统暴露的攻击面进行测试,无法发现操作系统内攻击路径之外的所有问题。因此,目前的安全渗透测试对操作系统的安全漏洞分析检测存在以下问题:(1)不够全面,从渗透测试工具角度上看无法面面俱到,从人为的因素讲,一个人是无法精通操作系统各个软件和应用的,因此也无法做到针对每一个产品和应用提出深层次威胁建模和测试。(2)深度不够,从渗透测试过程的角度上看,每一条渗透测试中利用的攻击路径都是人为结合渗透测试工具进行的,因此最终的攻击路径都是固定的,受限与目的和经费,因为渗透测试的目的是获取目标主机的控制权限,对于一些攻击路径之外的安全漏洞来说,并不一定会被发现,同样经费也是制约渗透测试深度的一个重要原因。
技术实现思路
本专利技术要解决的技术问题:针对现有的安全漏洞扫描技术存在误报、漏报、无法发现非网络服务产品存在的安全漏洞及渗透问题,以及现有渗透测试技术对所发现的安全隐患不够深入、不够全面的问题,提供一种基于威胁情报的操作系统漏洞分析检测方法及系统,本专利技术可利用国内外公开的威胁情报数据构建安全漏洞信息数据库,结合被检测的操作系统上所安装并使用的产品及其版本信息数据,通过产品版本号比对的方式分析出被检测的操作系统存在的安全隐患,具有漏洞检测准确可靠、时效性强的优点,并可根据面临的安全隐患实施修复方案。为了解决上述技术问题,本专利技术采用的技术方案为:一种基于威胁情报的操作系统漏洞分析检测方法,包括:1)根据漏洞信息发布平台提供的安全漏洞信息更新安全漏洞信息数据库;2)结合被检测的操作系统所安装并使用的产品及其版本信息,将其与安全漏洞信息数据库中记录的安全漏洞信息进行对比,分析出被检测的操作系统存在的安全隐患。可选地,步骤1)包括:1.1)收集漏洞信息发布平台更新的安全漏洞信息;1.2)针对收集得到的安全漏洞信息,首先基于对应的操作系统核实安全漏洞信息使用的软硬件环境、应用的版本、漏洞修复版本,针对有漏洞验证程序的安全漏洞还包括执行漏洞验证程序生成验证结果;然后针对该安全漏洞对应的操作系统,利用数据样本采集工具针对某一个具体版本的操作系统进行样本信息采集,将这些样本数据与自身的威胁情报数据库进行比对分析得到漏洞信息分析结果;1.3)根据漏洞信息分析结果生成详细的漏洞影响分析报告及安全漏洞修复方案,并将漏洞影响分析报告及安全漏洞修复方案加入安全漏洞信息数据库。可选地,所述安全漏洞信息数据库中每一条安全漏洞信息包含下述信息:安全漏洞编号、漏洞描述、危害程度、影响产品、影响版本、修复版本、补丁信息、影响状态以及验证程序,其中影响状态包括终结状态和未终结状态两类状态,终结状态包括、忽略以及不受影响三种状态,未终结状态包括未修复、等待上游补丁以及评估中三种状态。可选地,步骤2)包括:2.1)在被检测的操作系统上运行样本采集程序,获取操作系统样本数据,包括操作系统上搭载的产品的操作系统样本信息列表,所述操作系统样本信息列表包含被检测的操作系统上已安装、已部署的应用名称及其版本号;2.2)通过解析获本文档来自技高网...
【技术保护点】
1.一种基于威胁情报的操作系统漏洞分析检测方法,其特征在于,包括:/n1)根据漏洞信息发布平台提供的安全漏洞信息更新安全漏洞信息数据库;/n2)结合被检测的操作系统所安装并使用的产品及其版本信息,将其与安全漏洞信息数据库中记录的安全漏洞信息进行对比,分析出被检测的操作系统存在的安全隐患。/n
【技术特征摘要】
1.一种基于威胁情报的操作系统漏洞分析检测方法,其特征在于,包括:
1)根据漏洞信息发布平台提供的安全漏洞信息更新安全漏洞信息数据库;
2)结合被检测的操作系统所安装并使用的产品及其版本信息,将其与安全漏洞信息数据库中记录的安全漏洞信息进行对比,分析出被检测的操作系统存在的安全隐患。
2.根据权利要求1所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,步骤1)包括:
1.1)收集漏洞信息发布平台更新的安全漏洞信息;
1.2)针对收集得到的安全漏洞信息,首先基于对应的操作系统核实安全漏洞信息使用的软硬件环境、应用的版本、漏洞修复版本,针对有漏洞验证程序的安全漏洞还包括执行漏洞验证程序生成验证结果;然后针对该安全漏洞对应的操作系统,利用数据样本采集工具针对某一个具体版本的操作系统进行样本信息采集,将这些样本数据与自身的威胁情报数据库进行比对分析得到漏洞信息分析结果;
1.3)根据漏洞信息分析结果生成详细的漏洞影响分析报告及安全漏洞修复方案,并将漏洞影响分析报告及安全漏洞修复方案加入安全漏洞信息数据库。
3.根据权利要求2所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,所述安全漏洞信息数据库中每一条安全漏洞信息包含下述信息:安全漏洞编号、漏洞描述、危害程度、影响产品、影响版本、修复版本、补丁信息、影响状态以及验证程序,其中影响状态包括终结状态和未终结状态两类状态,终结状态包括、忽略以及不受影响三种状态,未终结状态包括未修复、等待上游补丁以及评估中三种状态。
4.根据权利要求1所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,步骤2)包括:
2.1)在被检测的操作系统上运行样本采集程序,获取操作系统样本数据,包括操作系统上搭载的产品的操作系统样本信息列表,所述操作系统样本信息列表包含被检测的操作系统上已安装、已部署的应用名称及其版本号;
2.2)通过解析获取的操作系统样本信息列表并查询安全漏洞信息数据库,获取每个产品所有的安全漏洞信息,并通过对比操作系统样本信息列表中记录的版本号和这些安全漏洞信息对应的修复版本即得出是否此安全漏洞的影响的分析结果。
5.根据权利要求4所述的基于威胁情报的操作系统漏洞分析检测方法,其特征在于,步骤2.2)通过解析获取的操作系统样本信息列表并查询安全漏洞信息数据库时,针对每个产品采用的漏洞分析匹配的步骤包括:
2.2.1)执行规则一:判断此产品是否有对应的安全漏洞信息条目,如果有则跳转执行步骤2.2.2),如果没有,则跳出分析匹配规则并退出;<...
【专利技术属性】
技术研发人员:蹇松雷,黄辰林,谭郁松,丁滟,董攀,李宝,任怡,王晓川,谭霜,张建锋,阳国贵,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。