[发明专利]一种漏洞扫描方法及系统

说明书

技术领域

本发明涉及计算机网络信息安全技术领域，特别涉及一种漏洞扫描方法及系统。

背景技术

近年来，网页漏洞扫描技术与针对各类应用系统和网络环境的漏洞扫描技术蓬勃发展，市场上出现了众多厂商、众多品牌的漏洞扫描服务产品，这些产品实现了针对各类异构系统（即被扫描对象）的漏扫服务，但同时也引发了一个重大问题：多种异构系统漏洞扫描产品的漏扫结果不能整合分析与评价，进而无法给予用户一种综合性且有价值的结论报告，不能指导用户实现全应用领域的安全维护工作。

现有的针对漏洞扫描服务结果的分析方法基本实现步骤如下：

1、面向各类异构系统，使用与其相匹配的漏扫产品，分别进行漏洞扫描服务；

2、漏扫服务结束后，获取各服务结果；

3、罗列各漏扫服务结果，进而直接生成无相关性或相关性很小的漏扫服务结果报告。

现有的针对异构系统漏扫服务结果的报告，并没有对每个漏扫结果进行深入处理，各漏扫结果之间相关性很小甚至无相关性，不能实现统一标准化的漏扫结果评价，因此无法形成最终有指导意义的，导致比较起来非常困难，不能实现指导用户安全维护工作的目的。因此，迫切需要探索一种新的解决方案，能够对漏扫结果进行深入处理，从而得到对安全维护工作具有实际指导意义的漏扫报告。

发明内容

鉴于上述问题，本发明实施例提供一种漏洞扫描方法及系统，可以针对各类异构系统选择匹配的漏洞扫描产品，并在扫描结束后对异构系统的漏扫结果实现整体合并分析与评价，输出评价报告，以达到指导系统安全维护工作的目的。

本发明实施例采用了如下技术方案：

本发明一个实施例提供了一种漏洞扫描方法，所述方法包括：

依据被扫描对象的类型，为各异构网络匹配对应的漏洞扫描方式，并确定针对各异构网络的漏洞扫描任务；

按照所述漏洞扫描方式对异构系统执行所述漏洞扫描任务；

收集各漏洞扫描任务的执行结果，作为原始信息；

对所述原始信息进行解析，得到各类资源及各类安全问题，并将资源与安全问题相关联；

对资源及安全问题分别进行量化处理；

根据各类安全问题预置权重值，计算针对各类资源的安全指数；

将解析得到的各类资源信息及各类安全问题信息、资源信息与安全问题关联关系、以及针对各类资源的安全指数作为漏洞扫描报告的内容，生成漏洞扫描报告。

所述获取各漏洞扫描任务的执行结果包括：

异构网络的设备驱动层提取各类设备漏洞扫描服务的结果文件；

从各异构网络的驱动层收集全部漏洞扫描服务的结果文件。

所述对所述原始信息进行解析，得到各类资源信息及各类安全问题信息具体为：

从原始信息中析取并按照统一标准标识出各类资源及各类安全问题；

所述资源类别包括主机、数据库和其它硬件装置；所述安全问题类别包括系统漏洞、网页漏洞、基线检查漏洞、合规检查漏洞和代码漏洞。

所述对资源及安全问题分别进行量化处理具体为：

对各类资源按照安全等级进行量化赋值处理；并且，对各类安全问题按照安全等级进行量化赋值处理。

所述根据各类安全问题预置权重值，计算针对各类资源的安全指数包括：

根据各类安全问题预置权重值，针对各类资源分别计算同一类资源对应同一类安全问题的安全指数；

针对各类资源，分别计算同一类资源对应各类安全问题的安全指数。

所述根据各类安全问题预置权重值，针对各类资源分别计算同一类资源对应同一类安全问题的安全指数的计算公式为：

其中，Q_i(G）为i类资源G类安全问题的安全指数，G表示安全问题的类别，G_weight为该类安全问题的预置权重值，为从原始信息中解析出属于i类资源及该类安全问题的、相关联的各资源A与安全问题V的乘积之和；

所述针对各类资源，分别计算同一类资源对应各类安全问题的安全指数的计算公式为：

Q＝Σ(Q(G))

其中，G表示安全问题的类别。

所述方法还包括：

从所述原始信息中解析出会话信息，将会话信息按会话进行存储，并作为漏洞扫描报告的内容，以指导安全维护分析，所述会话信息包括持续时间和使用模板。

另外，本发明实施例还提供了一种漏洞扫描系统，所述系统包括：