本发明专利技术涉及一种用于使用CVE条目来验证网络设备的漏洞的方法,包括根据每个CVE条目生成CVE树,定义索引的CVE条目,其中,生成包括识别易受攻击配置字段,并针对每个易受攻击配置字段提取包括运算符属性和嵌套CPE记录的易受攻击条件的集合,其中,CVE树设置有运算符属性作为节点以及CPE记录作为来自节点的叶子,其中,解码包括对解码串进行标记解析成为具有预定大小的多个n元语法的序列,并且其中,匹配包括在CVE树中查找多个n元语法的序列,如果当运算符属性对应于OR时,在至少一个CPE记录之间发现匹配,则发出警报,以及如果当运算符属性对应于AND时,在所有CPE记录之间发现匹配,则发出警报。发出警报。发出警报。
【技术实现步骤摘要】
使用CVE条目来验证网络设备的漏洞的方法
[0001]本专利技术涉及通用漏洞和暴露(CVE)管理中的安全方法和安全系统领域。具体而言,本专利技术涉及一种用于使用CVE条目来验证网络设备的漏洞的方法。
技术介绍
[0002]Web应用和Web服务的使用已成为业务流程周期中几乎每个方面不可或缺的一部分。除了在线推广产品和服务外,企业还通过因特网与客户进行互动,而员工正在使用越来越多的基于Web的工具来处理日常任务。Web应用已经成为新软件解决方案最常用的平台。然而,这些有效且具有成本效益的工具会带来新的风险,并且需要更好的或不同的安全措施来弥补开放、快速的开发风格,这种风格使得该技术变得越来越普遍。
[0003]通常用于将计算机和电子设备连接到网络的硬件设备称为网络设备。这些设备通过相同或不同的网络以快速、安全且正确的方式传输数据,并以不同的方式在网络上标识它们自身。例如,网络设备可以通过CDP和LLDP等协议传输简单的横幅字符串,或者通过以太网/IP、CIP、MMS等OT协议传输结构化信息。
[0004]无论如何,网络犯罪分子经常通过利用硬件和软件产品中的漏洞来感染受害者。降低网络相关活动风险的一种方法涉及对网络设备进行监控的活动,这使得组织能够更好地检测并响应安全威胁。
[0005]考虑到必须分析的信息的数量和种类,识别这些通信中涉及的网络设备并非易事。此外,评估可能影响此类网络设备的漏洞是一项更艰巨的任务。为了避免由软件漏洞引起的数据泄露,组织在其IT基础架构内部署漏洞管理系统(VMS)。在主要功能中,VMS会扫描公司内部安装的具有潜在漏洞的软件和硬件产品。为了执行此任务,该系统管理一个包含有已安装产品信息的清单,此外,它将此信息与从私人和公共来源获得的漏洞信息相关联。
[0006]最常用的漏洞信息来源是通用漏洞和暴露(CVE)提要,其中包含已知漏洞的标识和与其相关的信息。通用漏洞和暴露(CVE)是用于公共已知的信息安全漏洞的通用名称(即,CVE标识)的字典。CVE的公共标识使得跨单独的网络安全数据库和工具共享数据变得更加容易,并为评估组织的安全工具的覆盖范围提供了基准。如果来自一个安全工具的报告包含CVE标识,则可以快速且准确地访问一个或多个单独的CVE兼容数据库中的修复信息以补救该问题。通用漏洞和暴露(CVE)系统为公共已知的信息安全漏洞和暴露提供了一种参考方法,可用于评估所述网络设备的上述漏洞。为了识别受漏洞影响的软件和硬件产品,CVE包括一个易受攻击的软件和硬件列表,其中对产品的描述遵循通用平台枚举(CPE)标准的规范。CPE是一种为应用、硬件设备和操作系统指定命名方案的方法。
[0007]MITRE托管的通用漏洞和暴露(CVE)数据库是最大的公共可用漏洞信息来源之一,其中包含信息安全漏洞和暴露列表,旨在为公共已知问题提供通用名称。MITRE托管的CVE的目标是通过这种通用枚举更轻松地在不同的漏洞功能(工具、存储库和服务)之间共享数据。
[0008]推动组织以一致、结构良好的方式评估漏洞,以帮助公司和IT专业人员对用于检
测、预防和报告安全事件的过程进行自动化。使用CVE和CPE等标准可帮助公司和IT专业人员高效地发布和交换信息。此外,VMS采用这些标准为软件产品(清单)分配结构化标识,并搜索与其相关的漏洞(漏洞扫描)。在组织、IT安全解决方案供应商和安全专家中,CVE已成为共享已知漏洞和暴露信息的事实标准。
[0009]标准化尚待实现,并且无论如何,CVE的复杂语法使得难以提供对数据漏洞的结构化且一致的访问。特别是生成CPE很困难,因为虽然它是一种标准格式,但标准化并没有说明CPE中包含哪些信息,因此不同的产品往往遵循不同的标准,其中相同的产品由不同的CPE标识来标识,导致混淆和不一致。此外,从网络协议中提取的源信息因协议而异,这给生成CPE标识的过程增加了另一个痛点。
[0010]CVE数据库的注释版本,称为国家漏洞数据库(NVD),由国家标准和技术研究所(NIST)托管,其范围是根据MITRE提供的信息并通过公共CVE站点定义一些标准化。NIST添加其他信息,例如结构化产品名称和版本,并将条目映射到CWE名称。NVD提要以XML和JSON格式提供,按年文件结构化,作为单个完整数据库文件和反映当年漏洞的增量提要。
[0011]因此,需要根据CVE评估网络设备的漏洞。特别是,希望以简单可靠的方式实现从网络设备和CVE数据库中提取的信息之间的匹配。
技术实现思路
[0012]本专利技术的目的是提供一种根据CVE条目评估漏洞的方法,其能够最小化上述缺点。特别地,需要一种能够管理CVE条目的方法,实现从网络设备提取的信息与CVE数据库之间的匹配。
[0013]因此,根据本专利技术,描述了一种用于使用CVE条目来验证网络设备的漏洞的方法。
[0014]一种使用CVE条目来验证网络设备的漏洞的方法,包括:
[0015]由计算机化数据处理单元对每个CVE条目进行索引,定义索引的CVE条目;
[0016]由计算机化数据处理单元对与网络设备相关的计算机网络上的网络分组进行解码,定义与网络设备的身份相关的解码串;
[0017]由计算机化数据处理单元将解码串与索引的CVE条目进行匹配,如果发现匹配则发出警报;
[0018]其中,索引包括根据每个CVE条目生成CVE树,定义索引的CVE条目,
[0019]其中,生成包括识别易受攻击配置字段,并针对每个易受攻击配置字段提取包括运算符属性和嵌套CPE记录的易受攻击条件的集合,其中,CVE树设置有运算符属性作为节点以及CPE记录作为来自节点的叶子,
[0020]其中,解码包括以具有预定大小的多个n元语法(n
‑
grams)的序列对解码串进行标记解析,并且
[0021]其中,匹配包括在CVE树中查找多个n元语法的序列,如果当运算符属性对应于OR时,在至少一个CPE记录之间发现匹配,则发出警报,以及如果当运算符属性对应于AND时,在所有CPE记录之间发现匹配,则发出警报。
[0022]因此,根据本专利技术的方法,允许对任意CVE条目进行索引,并且将与网络设备相关的网络分组与索引的CVE条目进行快速匹配。
[0023]在实施例中,生成包括标识易受攻击配置字段,并进一步针对每个易受攻击配置
字段提取至少一个主运算符属性和易受攻击条件的多个嵌套集合,并且
[0024]其中,CVE树设置有主运算符属性作为节点以及易受攻击条件的每个集合作为来自节点的叶子。
[0025]因此,即使具有复杂的结构,也定义了具有多个分支的CVE树。
[0026]在实施例中,生成还包括通过名称属性对每个CPE记录进行分割,定义分割CPE记录,分割CPE记录设置有第一个名称属性作为CPE父节点,以及每个后续名称属性分别作为来自前一个名称属性的CPE叶子以及作为后一个名称属性的CPE节点,并且
[0027]其中,CVE树中的每个CPE记录本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于使用CVE条目来验证网络设备的漏洞的方法,其特征在于,包括:由计算机化数据处理单元对每个所述CVE条目进行索引,定义索引的CVE条目;由所述计算机化数据处理单元对与所述网络设备相关的计算机网络上的网络分组进行解码,定义与所述网络设备的身份相关的解码串;由所述计算机化数据处理单元将所述解码串与所述索引的CVE条目进行匹配,如果发现匹配,则发出警报;其中,所述索引包括根据每个所述CVE条目生成CVE树,定义所述索引的CVE条目,其中,所述生成包括识别易受攻击配置字段,并针对每个所述易受攻击配置字段提取包括运算符属性和嵌套CPE记录的易受攻击条件的集合,其中,所述CVE树被设置有所述运算符属性作为节点,以及所述CPE记录作为来自所述节点的叶子,其中,所述解码包括以具有预定大小的多个n元语法的序列对所述解码串进行标记解析,并且其中,所述匹配包括在所述CVE树中查找所述多个n元语法的序列,如果当所述运算符属性对应于OR时,在至少一个所述CPE记录之间发现匹配,则发出所述警报,以及如果当所述运算符属性对应于AND时,在所有所述CPE记录之间发现匹配,则发出所述警报。2.根据权利要求1所述的用于使用CVE条目来验证网络设备的漏洞的方法,其特征在于,所述生成包括标识所述易受攻击配置字段,并进一步针对每个所述易受攻击配置字段,提取至少一个主运算符属性和易受攻击条件的多个嵌套集合,并且其中,所述CVE树被设置有所述主运算符属性作为节点,以及所述易受攻击条件的每个集合作为来自所述节点的叶子。3.根据权利要求1或2所述的用于使用CVE条目来验证网络设备的漏洞的方法,其特征在于,所述生成还包括通过名称属性对每个所述CPE记录进行分割,定义分割CPE记录,所述分割CPE记录被设置有第一个所述名称属性作为CPE父节点,以及每个后续所述名称属性分别作为来自前一个所述名称属性的CPE叶子并且作为后一个所述名称属性的CPE节点,并且其中,所述CVE树中的每个所述CPE记录被所述相关的分割CPE记录取代,其中最后一个所述名称属性作为来自所述运算符属性的CPE叶子。4.根据权利要求3所述的用于使用CVE条目来验证网络设备的漏洞的方法,其特征在于,所述匹配包括从第一个所述名称属性开始在所述CVE树中查找所述多个n元语法的序列,如果当所述运算符属性对应于OR时,在至少一个所述分割CPE记录的所有名称属性之间发现匹配,则发出所述警报,以及如果当所述运算符属性对应于AND时,在所有所述分割CPE记录的所有名称属性之间发现匹配,则发出所述警报。5.根据权利要求3或4所述的用于使用CVE条目来验证网络设备的漏洞的方法,其特征在于,所述匹配包括从第一个所述名称属性开始并回溯所述CVE树...
【专利技术属性】
技术研发人员:亚历山德拉,
申请(专利权)人:诺佐米网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。