[发明专利]一种在应用安全系统中进行精确风险检测的方法及系统

权利要求书

1.一种在应用安全系统中进行精确风险检测的方法，其特征在于，包括如下步骤：

A、从事件中识别出威胁特征，根据威胁特征进行威胁标准化处理，并通过检索得到威胁利用的弱点列表；

B、从事件中识别出事件应用目标，并通过检索得到事件应用目标暴漏的弱点列表；

C、比较威胁利用的漏洞列表和目标暴露的漏洞列表，根据两个漏洞列表是否存在相同项或相关项来判定事件是否为安全风险，具体为：如果两个漏洞列表有单一相同项，则判定事件为风险，且风险可信度为100％；如果两个漏洞列表有单一相关项，则判定事件为风险，且风险可信度为此相关项的相关度；如果两个漏洞列表有多个相同项或相关项，则判定事件为风险，且风险可信度为多个可信度的最高值。

2.根据权利要求1所述的方法，其特征在于，步骤A中所述的检索基于一个外部的威胁映射库；威胁映射库中包含各种威胁利用标准化弱点的信息，该信息的分类是基于安全分类标准或基于应用安全厂商对于事件的威胁分类。

3.根据权利要求1所述的方法，其特征在于，步骤B中所述的检索基于一个外部的资产弱点信息库；资产弱点信息库中包含应用业务资产的弱点暴漏信息，该信息包括事件访问的URI信息、URI参数信息、数据库信息、数据表信息、存储过程信息及其它与应用业务相关的任何信息。

4.根据权利要求1所述的方法，其特征在于，还包括对步骤C检测到的风险进行定级的内容：通过检索一个外部的资产价值信息库得到应用业务资产价值的信息，根据预置的规则结合风险和资产价值对风险定级。

5.根据权利要求4所述的方法，其特征在于，所述资产价值包括资产拥有成本、资产收益回报和资产不可用后的恢复代价。

6.一种用于实现权利要求1所述方法的在应用安全系统中进行精确风险检测的系统，其特征在于，包括用于从各应用安全设备接收日志文件的采集器和用于实现风险检测的风险检测引擎，风险检测引擎中包括分别连接至采集器的威胁识别模块和目标识别模块；其中，威胁识别模块经威胁标准化处理模块连接至风险检测模块，目标识别模块经弱点暴露检索处理模块连接至风险检测模块；威胁标准化处理模块还连接一个外部的威胁映射库，模块经弱点暴露检索处理模块还连接一个外部的资产弱点信息库。

7.根据权利要求6所述的系统，其特征在于，所述目标识别模块经资产价值检索模块连接至风险定级模块，资产价值检索模块还连接一个外部的资产价值信息库。

8.根据权利要求6所述的系统，其特征在于，所述应用安全设备是应用安全扫描器、数据库审计系统或入侵检测系统。

9.根据权利要求6所述的系统，其特征在于，所述资产弱点信息库连接至弱点扫描器。