[发明专利]基于漏洞库的自动化软件漏洞验证系统及方法在审
| 申请号: | 201710587095.5 | 申请日: | 2017-07-18 |
| 公开(公告)号: | CN107480531A | 公开(公告)日: | 2017-12-15 |
| 发明(设计)人: | 达小文;吴明杰;毛俐旻;温泉;常承伟;刘健雄 | 申请(专利权)人: | 北京计算机技术及应用研究所 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 中国兵器工业集团公司专利中心11011 | 代理人: | 刘瑞东 |
| 地址: | 100854*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种基于漏洞库的自动化软件漏洞验证系统及方法,属于网络安全技术领域。本发明从网络上获取有关漏洞信息,搜集漏洞攻击脚本等信息,借助现有框架构建本地漏洞库,从漏洞库中选取适合于目标的攻击脚本,远程执行攻击脚本或者将攻击脚本置于目标上执行,识别执行攻击时目标产生的响应,该方法思想类似于模糊测试思想,但是由于漏洞库的验证中测试用例与软件版本准确的对应关系,使得该方法能够快速地触发漏洞,测试效率大幅度提高。此外,由于是直接对目标发起攻击,与黑客攻击方法类似,验证结果具有说服力,并可以实现漏洞的自动化验证。 | ||
| 搜索关键词: | 基于 漏洞 自动化 软件 验证 系统 方法 | ||
【主权项】:
一种基于漏洞库的自动化软件漏洞验证系统,其特征在于,包括目标系统扫描模块、漏洞库服务模块、文本分析器和漏洞攻击模块,所述目标系统扫描模块用于采用Nessus安全扫描软件对目标操作系统进行扫描,扫描的目标信息包括系统信息和漏洞信息,所述系统信息包括目标操作系统类型和版本信息、目标操作系统开启的服务信息,所有目标信息使用XML格式收集和保存,作为文本分析器的输入;所述文本分析器用于获取所述目标信息,对这些数据进行解析、组合,使其成为Metasploit框架能够识别的数据;所述漏洞库服务模块包含Metasploit框架和漏洞库,所述Metasploit框架用于为文本分析器提供漏洞库服务,同时用于根据攻击任务对目标发起攻击和接收攻击响应;Metasploit框架与漏洞攻击模块之间采用XML‑RPC协议进行交互;所述漏洞攻击模块用于在接收到解析、组合后的目标信息时构建攻击任务请求,并发送攻击任务请求给Metasploit框架,攻击任务请求中包含攻击任务,攻击任务中包含攻击需要的目标信息以及所需要的漏洞信息。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京计算机技术及应用研究所,未经北京计算机技术及应用研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710587095.5/,转载请声明来源钻瓜专利网。
- 上一篇:安全检测的方法、装置、系统以及服务器
- 下一篇:基于漏洞扫描的回归测试方法
