[发明专利]一种基于被动扫描的逻辑漏洞检测方法

说明书

本发明针对常规漏洞如SQL注入、SSRF、SSTI、XSS的检测技术已趋于完善，对于常规漏洞的检测率已经在于可接受范围内的背景下，旨在填补自动化扫描器在逻辑漏洞检测这一空白领域，通过技术论证，模型建立和编码实践，可将逻辑漏洞检测在DevOps中左移，不仅能快速有效的发现逻辑漏洞，而且降低开发及修复成本，并极大减少人力成本。

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于被动扫描的逻辑漏洞检测方法。旨在填补自动化扫描器在逻辑漏洞检测这一空白领域。结合该方法，可将逻辑漏洞检测在DevOps中左移，不仅能快速有效的发现逻辑漏洞，同时降低开发及修复成本，并极大减少人力成本。

背景技术

常规漏洞如SQL注入、SSRF、SSTI、XSS的检测技术已趋于完善，比如在DevOps中主要就有SAST、IAST、DAST。对于常规漏洞的检测率已经在于可接受范围内。除此之外，安全防护产品也会特别关注常规漏洞，常见的WAF、防火墙、SDLP等等，会对常规漏洞的关键字进行过滤、拦截甚至阻断IP。近年来，《网络安全法》、《数据安全法》对敏感信息数据安全有明确的要求，重大的信息泄露事件将上升到法律层面。根据近年来漏洞统计数据，常规漏洞的数量逐渐减少，逻辑漏洞的数量在逐渐上升，逻辑漏洞已逐渐成为信息泄露主要原因。但逻辑漏洞因其独特性，没有明显的关键字特征，安全防护产品也无法对这类漏洞进行有效防护；再加之逻辑漏洞与业务场景紧密相关，往往无法通过单一的网络请求判断，可能关联多个数据请求才可能复现一个逻辑漏洞。因此，目前逻辑漏洞挖掘只能通过人为的安全排查。

本发明通过技术论证，模型建立，最后编码实践，解决这一痛点、难点。其中涉及的算法包括RDC(Removing Dynamic Content)，FH（Fuzzy Hashing），SIMHash(SimailerHashing)以及TF-IDF(term frequency–inverse document frequency)。

发明内容

本发明为达到逻辑漏洞检测目的，需要以中间人攻击方式接入到客户端与服务器通信流量中，通过使用三种不同账号状态，分别为未登录状态的账号、A用户权限的账号、B用户权限的账号，去请求同一个API报文，根据返回的内容差异进行评估，计算可能存在逻辑漏洞的概率以及可能存在敏感信息泄露的内容，再综合所处业务场景最后得出一个风险值。首先需要阐述其中所涉及到的算法原理：

1、RDC(Removing Dynamic Content):

RDC为去动态内容算法，主要用于去除页面无效的动态响应内容，减少对FH以及SIMHash算法的输入干扰。其核心计算公式可归纳如下：

R_n表示第N次请求返回去动态值。需要请后两次请求的返回内容近似相同，可得到一个去动态相似的值

2、FH（Fuzzy Hashing）

将页面内容通过模糊哈希计算取值

3、SIMHash(Simailer Hashing)

计算两个文本内容的哈夫曼长度

4、TF-IDF(term frequency–inverse document frequency)

TF-IDF有两部分算法组成，词频（term frequency，tf）指的是某一个给定的词语在该文件中出现的频率。这个数字是对词数（term count）的归一化，以防止它偏向长的文件。（同一个词语在长文件里可能会比短文件有更高的词数，而不管该词语重要与否。）对于在某一特定文件里的词语t_ij来说，它的重要性可表示为：

以上式子中n_ij是该词在文件d_j中的出现次数，而分母则是在文件d_j中所有字词的出现次数之和

逆向文件频率（inverse document frequency，idf）是一个词语普遍重要性的度量。某一特定词语的idf，可以由总文件数目除以包含该词语之文件的数目，再将得到的商取以10为底的对数得到：