[发明专利]一种在应用安全系统中进行精确风险检测的方法及系统

说明书

技术领域

本发明涉及计算机应用安全管理技术领域，尤其涉及一种在计算机应用安全系统中进行风险检测的方法及系统。 

技术背景

随着计算机技术的发展，各种安全问题也从以前的网络、主机层面上升到应用层面。越来越多的安全问题都是发生在WEB应用、数据库应用中，而且造成了越来越大的危害。 

为了应对这些新的安全威胁趋势，各种组织和个人都在加强应用安全的防护水平，也有各个厂商提出了应用安全的检测、防护产品和方案。应用安全产品包括WEB应用防火墙、数据库审计、WEB应用扫描器、终端安全产品、上网行为监控等。 

根据组织的应用规模，他们可能部署了大量的应用层安全设备，甚至可以达到上百台。由于存在各种攻击和不正常访问，这些应用安全设备会产生大量的安全事件，如何从这些安全事件中，找出真正的威胁，组织一般没有人力能够逐一处理，找出真正的威胁。 

发明内容

本发明要解决的技术问题是，克服现有技术中的不足，提供一种在应用安全系统中进行精确风险检测的方法及系统。 

为解决该技术问题，本发明的解决方案是： 

提供一种在应用安全系统中进行精确风险检测的方法，包括如下步骤： 

A、从事件中识别出威胁特征，根据威胁特征进行威胁标准化处理，并通过检索得到威胁利用的弱点列表； 

B、从事件中识别出事件应用目标，并通过检索得到事件应用目标暴漏的弱点列表；

C、比较威胁利用的漏洞列表和目标暴露的漏洞列表，根据两个漏洞列表是否存在相同项或相关项来判定事件是否为安全风险，具体为：如果两个漏洞列表有单一相同项，则判定事件为风险，且风险可信度为100％；如果两个漏洞列表有单一相关项，则判定事件为风险，且风险可信度为此相关项的相关度；如果两个漏洞列表有多个相同项或相关项，则判定事件为风险，且风险可信度为多个可信度的最高值。 

本发明中，步骤A中所述的检索基于一个外部的威胁映射库；威胁映射库中包含各种威胁利用标准化弱点的信息，该信息的分类是基于安全分类标准或基于应用安全厂商 对于事件的威胁分类。 

本发明中，步骤B中所述的检索基于一个外部的资产弱点信息库；资产弱点信息库中包含应用业务资产的弱点暴漏信息，该信息包括事件访问的URI信息、URI参数信息、数据库信息、数据表信息、存储过程信息及其它与应用业务相关的任何信息。 

本发明中，还包括对步骤C检测到的风险进行定级的内容：通过检索一个外部的资产价值信息库得到应用业务资产价值的信息，根据预置的规则结合风险和资产价值对风险定级。 

本发明中，所述资产价值包括资产拥有成本、资产收益回报和资产不可用后的恢复代价。 

进一步地，本发明还提供了一种用于实现前述方法的在应用安全系统中进行精确风险检测的系统，包括用于从各应用安全设备接收日志文件的采集器和用于实现风险检测的风险检测引擎，风险检测引擎中包括分别连接至采集器的威胁识别模块和目标识别模块；其中，威胁识别模块经威胁标准化处理模块连接至风险检测模块，目标识别模块经弱点暴露检索处理模块连接至风险检测模块；威胁标准化处理模块还连接一个外部的威胁映射库，模块经弱点暴露检索处理模块还连接一个外部的资产弱点信息库。 

作为一种改进，所述目标识别模块经资产价值检索模块连接至风险定级模块，资产价值检索模块还连接一个外部的资产价值信息库。 

作为一种改进，所述应用安全设备是应用安全扫描器、数据库审计系统或入侵检测系统。 

作为一种改进，所述资产弱点信息库连接至弱点扫描器。 

相对于现有技术，本发明的有益效果在于： 

1、可以进行更精确的风险检测，由于是基于应用目标来确定暴漏的弱点列表，这个列表会更准确。 

2、能够进行风险的可信度估算，当威胁利用的弱点列表和应用目标暴漏的弱点列表仅有相关项时，可以进行风险的可信度估算。 

附图说明

图1为在应用安全系统中进行风险检测的总体流程框图； 

图2为在应用安全系统中进行风险检测的运行框图。 

具体实施方式