[发明专利]基于漏洞库的自动化软件漏洞验证系统及方法

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于漏洞库的自动化软件漏洞验证系统及方法。

背景技术

软件漏洞主要是由于软件开发人员编码不严谨或编码错误所产生。软件漏洞为攻击者入侵打开方便之门，对使用者造成关键信息泄露、财产损失等问题。为提高软件的安全性，对漏洞进行验证可以消除漏洞、减少漏洞危害，漏洞验证是分析软件中存在的缺陷并对缺陷进行确认的一种技术。在漏洞验证方面，目前有基于漏洞扫描，渗透测试，故障注入，形式化以及模型检测的方法等，基于软件漏洞扫描容易产生误报，且许多漏洞单纯通过漏洞扫描，验证的说服力不够；基于渗透测试方法进行验证过多依赖人工参与，效率较低；基于故障注入方法存在生成的测试用例触发效果较差的问题；而基于形式化以及模型检测的方法漏报率较高，且通常需要提供软件源码进行建模，局限性较大。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何提高漏洞验证的效率，提高验证结果的说服力，并实现漏洞的自动化验证。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于漏洞库的自动化软件漏洞验证系统，包括目标系统扫描模块、漏洞库服务模块、文本分析器和漏洞攻击模块，

所述目标系统扫描模块用于采用Nessus安全扫描软件对目标操作系统进行扫描，扫描的目标信息包括系统信息和漏洞信息，所述系统信息包括目标操作系统类型和版本信息、目标操作系统开启的服务信息，所有目标信息使用XML格式收集和保存，作为文本分析器的输入；

所述文本分析器用于获取所述目标信息，对这些数据进行解析、组合，使其成为Metasploit框架能够识别的数据；

所述漏洞库服务模块包含Metasploit框架和漏洞库，所述Metasploit框架用于为文本分析器提供漏洞库服务，同时用于根据攻击任务对目标发起攻击和接收攻击响应；Metasploit框架与漏洞攻击模块之间采用XML-RPC协议进行交互；

所述漏洞攻击模块用于在接收到解析、组合后的目标信息时构建攻击任务请求，并发送攻击任务请求给Metasploit框架，攻击任务请求中包含攻击任务，攻击任务中包含攻击需要的目标信息以及所需要的漏洞信息。

本发明还提供了一种利用所述的系统实现的自动化软件漏洞验证方法，包括以下步骤：

S1、所述目标系统扫描模块获取目标信息

使用Nessus安全扫描软件对目标操作系统进行扫描，收集的目标信息中，系统信息用osInf表示，osInf＝{S,Ver,SP,serv,servB},其中S表示目标操作系统类型，Ver为目标操作系统版本，SP为目标操作系统补丁版本，serv为目标操作系统开启的服务列表，servB为服务标志信息，Ver为目标操作系统版本，Ver和SP组成目标操作系统版本信息，serv和servB组成目标操作系统开启的服务信息；所述漏洞信息用vulnInf＝{vuln_i}表示，vuln_i有多个，所述文本分析器将系统信息和漏洞信息进行解析，将XML格式文件转换为XML-RPC协议能够识别的格式，组合成目标信息tarInf，tarInf＝(osInf,vulnInf)，发送给所述漏洞攻击模块；

所述漏洞攻击模块发送攻击任务请求给所述漏洞库服务模块的Metasploit框架；

所述漏洞库服务模块的Metasploit框架根据目标系统扫描模块获取的目标信息，查找到漏洞库中对应软件及漏洞的攻击脚本字段，根据攻击脚本字段的存储路径执行攻击脚本字段，并依据漏洞库中的漏洞类型选取攻击的类型，如果是本地漏洞，则在目标机运行Metasploit框架根据攻击任务执行本地攻击方式，如果是远程漏洞，则直接在攻击机上使用Metasploit框架根据攻击任务执行远程攻击方式；

所述Metasploit框架在发起远程攻击后，根据攻击机所反馈的响应信息，判断攻击是否成功，在攻击成功后，Metasploit框架获取目标操作系统的权限，进入目标操作系统并执行系统命令；对于本地执行的攻击，所述Metasploit框架通过目标机上的监控程序监控目标软件的运行情况，Metasploit框架在执行本地攻击后，将攻击机所反馈的结果与漏洞库中预先存储的攻击效果相比较，若一致，则说明目标软件存在相应漏洞，若不一致，则在攻击过程中创建一个快照，分析差异，以确认目标软件是否受此漏洞影响。

优选地，所述监控程序为Core Dump或CREDAL。