[发明专利]自动化漏洞验证方法及相关设备

说明书

本申请提供一种自动化漏洞验证方法及相关设备，应用于自动化漏洞验证系统，自动化漏洞验证系统包括应用系统和应用系统的镜像系统。该方法包括：对应用系统进行检测，得到开源组件的台账信息，并根据台账信息得到待验证信息列表；基于待验证信息列表和应用系统的镜像系统进行验证，得到应用系统的漏洞验证结果信息，并根据漏洞验证结果信息对台账信息进行更新。进行后续进一步的验证，能够准确判断应用系统使用的漏洞组件版本是否受漏洞影响，通过对已有的台账信息中的可能受漏洞影响的应用系统进行定向验证提升了验证效率，再根据漏洞验证结果信息对台账信息进行更新，进一步确保了应用系统的安全资产信息的准确性。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种自动化漏洞验证方法及相关设备。

背景技术

针对于信息安全漏洞，当前有开源组件检测工具，它基于源代码检测的方式，可以判断出应用系统是否使用了漏洞组件版本，如判断出应用系统使用了分布式服务框架Dubbo 2.6.8版本，如此版本在漏洞影响范围内则认为此组件版本为漏洞组件，但没有后续的验证流程，比如分布式服务框架Dubbo 2.6.8虽然在漏洞影响范围内，但是针对此组件没有使用Hessian协议的应用系统是不受此漏洞影响的。

基于上述情况，现有技术无法判断是否存在漏洞，如果根据组件漏洞库判断为应用系统使用了漏洞组件导致判断不准确，缺少进一步的验证测试。

发明内容

有鉴于此，本申请的目的在于提出一种自动化漏洞验证方法及相关设备，用以解决上述技术问题。

基于上述目的，本申请的第一方面提供了一种自动化漏洞验证方法，应用于自动化漏洞验证系统，所述自动化漏洞验证系统包括应用系统和应用系统的镜像系统；

所述方法包括：

对所述应用系统进行检测，得到台账信息，并根据所述台账信息得到待验证信息列表；

基于所述待验证信息列表和所述应用系统的镜像系统进行验证，得到所述应用系统的漏洞验证结果信息，并根据所述漏洞验证结果信息对所述台账信息进行更新。

本申请的第二方面提供了一种自动化漏洞验证系统，自动化漏洞验证系统包括应用系统和应用系统的镜像系统；

漏洞检测模块，被配置为对所述应用系统进行检测，得到台账信息，并根据所述台账信息得到待验证信息列表；

漏洞验证模块，被配置为基于所述待验证信息列表和所述应用系统的镜像系统进行验证，得到所述应用系统的漏洞验证结果信息，并根据所述漏洞验证结果信息对所述台账信息进行更新。

本申请的第三方面提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现第一方面所述的方法。

本申请的第四方面提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行第一方面所述方法。

从上面所述可以看出，本申请提供的自动化漏洞验证方法及相关设备，通过对应用系统进行检测，得到台账信息，并根据台账信息得到待验证信息列表，初步筛选出可能受漏洞影响的系统范围，再通过基于待验证信息列表和应用系统的镜像系统进行验证，得到应用系统的漏洞验证结果信息，进行后续进一步的验证，能够准确判断应用系统使用的漏洞组件版本是否受漏洞影响，通过对已有的台账信息中的可能受漏洞影响的应用系统进行定向验证提升了验证效率，再根据漏洞验证结果信息对台账信息进行更新，进一步确保了应用系统的安全资产信息的准确性。

附图说明

为了更清楚地说明本申请或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。