[发明专利]漏洞检测方法及装置

说明书

本发明涉及网络安全技术领域，具体提供了一种漏洞检测方法及装置，该方法包括：调用预置的IAST算法，对应用系统进行安全测试，获得第一测试信息；调用预置的DAST算法，对所述第一测试信息中的各个安全漏洞进行攻击验证，获得第二测试信息；将所述第一测试信息中的各个安全漏洞与所述第二测试信息中已验证为真实的各个安全漏洞进行比对，获得初始漏洞检测信息；调用预置的SAST算法，遍历所述应用系统的所有源代码，获得第三测试信息；将所述初始漏洞检测信息中的所有安全漏洞与所述第三测试信息中的各个安全漏洞进行比对，获得最终漏洞检测信息。在满足漏洞检测覆盖度的基础上，降低误报，提供足够的漏洞信息，提升了漏洞的修复效率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种漏洞检测方法及装置。

背景技术

随着科技的不断发展，许多新兴的互联网信息技术不断涌现，为了方便各类用户进行操作，各种应用系统应运而生。在应用系统运行过程中，经常会出现一些漏洞，这些漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷。攻击者可以利用这些漏洞在未授权的情况下访问或破坏系统。因此，在应用系统投入使用之前，通常需要使用各类安全检测技术来对应用系统的漏洞进行检测，以降低攻击者通过漏洞对系统的破坏概率，提升系统的安全性。

经发明人研究发现，现有的应用程序安全检测技术对漏洞进行检测的过程中，会存在对某些漏洞漏检和误检的情况，从而造成了对应用系统的漏洞检测不全面，或存在较多误报，使得应用系统在投入使用以后具有安全隐患，安全性能不高。

发明内容

本发明所要解决的技术问题是提供一种漏洞检测方法，用于解决由于使用现有的安全检测技术，对应用系统中存在的安全漏洞漏检和误检问题，提高漏洞检出率，获得更多漏洞，并降低漏洞误报率。

本发明还提供了一种漏洞检测装置，用以保证上述方法在实际中的实现及应用。

一种漏洞检测方法，包括：

调用预先设置的交互式应用程序安全测试IAST算法，对应用系统进行安全测试，获得第一测试信息，所述第一测试信息中包含所述应用系统在运行过程中产生的安全漏洞；

调用预先设置的动态应用程序安全测试DAST算法，对所述第一测试信息中的各个安全漏洞进行攻击验证，获得第二测试信息，所述第二测试信息中包含已验证为真实的安全漏洞；

将所述第一测试信息中的各个安全漏洞与所述第二测试信息中已验证为真实的各个安全漏洞进行比对，获得所述应用系统在运行过程中的初始漏洞检测信息，所述初始漏洞检测信息包含所述第一测试信息中经确定为真实的安全漏洞及经确定为误报的安全漏洞；所述真实的安全漏洞为所述第一测试信息中与所述第二测试信息中比对一致的安全漏洞，所述确定为误报的安全漏洞为所述第一测试信息中与所述第二测试信息中未比对一致的安全漏洞；

依据所述初始漏洞检测信息，调用预先设置的静态应用程序安全测试SAST算法，遍历所述应用系统的所有源代码，获得第三测试信息，所述第三测试信息中包含经分析所述源代码所获得的安全漏洞；

将所述初始漏洞检测信息中的所有安全漏洞与所述第三测试信息中的各个安全漏洞进行比对，获得所述应用系统在运行过程中的最终漏洞检测信息，所述最终漏洞检测信息中包含所述初始漏洞检测信息中确定为真实的安全漏洞、所述初始漏洞检测信息中确定为误报的安全漏洞及所述第三测试信息中的待确定安全漏洞。

上述的方法，可选的，所述调用预先设置的动态应用程序安全测试DAST算法，对所述第一测试信息中的各个安全漏洞进行攻击验证，包括：

获取所述第一测试信息中各个安全漏洞的漏洞描述信息；

调用预先设置的所述DAST算法，依据所述第一测试信息中每个安全漏洞的漏洞描述信息，对所述第一测试信息中的各个安全漏洞进行攻击验证。