[发明专利]一种基于静态和动态分析技术的主机系统安全评估方法

权利要求书

1.一种基于静态和动态分析技术的主机系统安全评估方法，其特征在于，包含如下步骤：

1)将分析器接入被评估主机系统所处的网络中，上传静态安全数据采集器，采集主机系统静态安全数据，包括概要文件参数、服务列表、进程信息；

2)静态安全数据采集器向分析器返回主机系统静态安全数据，将上述主机系统静态安全数据与标准安全配置数据进行对比，若一致则表示主机系统安全，若不一致则转入步骤3)；

3)若主机系统开放的服务多于标准安全配置开放的服务，则针对标准安全配置之外的服务进行动态分析；

4)上述动态分析依据主机系统开放的标准安全配置之外的服务而确定，具体为：

若开放了ftp、Telnet或者SMTP/POP3服务，则加载常用的帐户口令字典表，检测是否存在不安全的帐户；根据服务返回的banner信息分析ftp、Telnet或者SMTP/POP3服务的版本，并确定该版本存在的已知安全漏洞；

若开放了Web服务，则相对应的进行SQL注入、目录遍历、上传漏洞，若存在上传漏洞，则上传模拟的恶意代码，测试是否可以进行远程控制、权限提升；

若为Windows NT系列操作系统，则加载常用的帐户口令字典表，检测是否存在不安全的帐户；根据微软官方网站提供的补丁清单信息检查系统补丁升级情况；

若开放了SQL SERVER服务，则加载常用的帐户口令字典表，检测是否存在不安全的帐户；根据服务返回的banner信息分析SQL SERVER数据库的版本，并确定该版本存在的已知安全漏洞；尝试利用存储过程xp_cmdshell执行系统命令，测试是否可以进行远程控制、权限提升；

若开放了ORACLE服务，则加载常用的帐户口令字典表，检测是否存在不安全的帐户；根据服务返回的banner信息分析ORACLE数据库的版本，并确定该版本存在的已知安全漏洞；若监听器服务未设置口令保护，则连接服务，测试是否可修改服务配置或停止服务。

2.根据权利要求1所述的一种基于静态和动态分析技术的主机系统安全评估方法，其特征在于，所述步骤1)主机系统包括操作系统和数据库系统，概要文件包括但不限于以下方面：

1)操作系统语言、版本、IP地址基本信息、帐户信息、网络配置、共享、服务、关键文件的权限信息和补丁与漏洞情况信息；

2)数据库系统详细版本、监听器服务安全性、账户口令安全性、初始化参数设置安全性、帐户口令策略、存储过程的权限设置、启动帐户权限、非必需服务、日志审计策略和认证模式和表空间的使用情况。

3.根据权利要求1所述的一种基于静态和动态分析技术的主机系统安全评估方法，其特征在于，所述步骤2)中由分析服务器对静态数据采集器返回的数据进行分析，确定所需进行动态分析的具体内容，提高动态分析的针对性和命中率。