[发明专利]一种基于攻击库的漏洞验证系统与方法

说明书

技术领域

本发明属于网络安全技术领域，涉及一种基于攻击库的漏洞验证系统与方法。

背景技术

由于软件在功能设计、编码实现中存在不足，导致软件不可避免地存在安全漏洞，随着攻击技术的不断发展，漏洞成为影响软件安全的首要因素，漏洞的存在为攻击者恶意入侵大开方便之门，成为木马、病毒等恶意代码肆意传播的入口和途径。为提高软件安全性，对软件进行漏洞检验以减低软件安全风险，由于软件漏洞扫描易产生误报，因此需对漏洞扫描结果进行验证。

漏洞验证是根据漏洞检测中获得的安全漏洞的具体情况，构造相应的情景环境展示漏洞的存在和它的危险性。情景环境是在一个受控环境下的模拟攻击演示，根据漏洞进行相应利用，在不危害系统安全的情况下，说明漏洞的存在及其危险性。

漏洞验证以漏洞扫描结果为基础，针对漏洞的承载平台、漏洞类型、触发条件等个性特征设计验证方法，由测试人员手动编写漏洞验证利用脚本，验证目标对象漏洞的真实存在性以及漏洞被利用的危害性。目前的漏洞验证方法需针对不同目标的漏洞及漏洞形成原因的不同进行特殊设计。通过查阅漏洞验证文献及技术博客，有研究人员对不同类型漏洞进行研究，例如上海交通大学徐启杰的论文《基于Win32平台的漏洞挖掘和漏洞利用技术研究》中，基于Win32平台的溢出类漏洞进行分析和验证。而上海交通大学周璐发表的论文《安全协议的漏洞分析及自动验证工具》中，提出了针对安全协议的漏洞检测方法，设计了一种基于模型检测方法的安全协议正确性分析工具，实现了对给定的安全协议进行检测、并输出可能的安全漏洞的功能。分析现有资料和技术，已有针对各类不同漏洞的验证手段和方法，包括软件、协议、操作系统等各类目标，但从实践的角度看，目前的漏洞验证存在以下不足：

由于不同漏洞的目标承载平台、成因等存在不同，针对不同漏洞的验证方法也有所不同，需要测试人员具有较高素质，对各种平台、软件等目标有所了解，并且对各类编程语言和实现技术需熟练掌握，对研究人员能力提出较高要求。这一状况导致漏洞验证工作实现较难。

缺乏有效的漏洞验证方法，需要验证人员手工进行验证脚本编写或方法设计，人工参与程度较高，无法满足自主化的漏洞验证要求。

发明内容

针对现有验证方法存在的上述问题，本发明提出一种基于攻击库的漏洞验证系统与方法，所述漏洞验证系统，对提交的领导样本进行自动验证，分析漏洞是否存在以及漏洞的危害。

为达到上述目的，本发明采用以下技术方案：

一种通过基于攻击库的漏洞验证系统，其特征在于，所述系统包括漏洞分选器、虚拟处理器、结果分析器以及最终形成的攻击库。其中，

分选器：接收漏洞样本，负责对样本进行筛选分类。由类型判定模块、参数配置模块及分发模块组成。类型判定模块用于分析样本所运行环境的类型；参数配置模块用以对漏洞运行参数进行控制或配置；分发模块负责将通过类型判定和参数配置的漏洞样本分发给相应的虚拟机。

虚拟处理器：由统一处理模块、虚拟机及虚拟机代理模块构成。统一处理模块接收漏洞样本并分发给对应的虚拟机；虚拟机是漏洞样本运行的虚拟环境，不同的虚拟机安装不同操作系统，并安装相应应用软件；虚拟机代理模块内置在每台虚拟机中，负责处理软件漏洞样本并收集结果反馈给结果分析器。

虚拟机代理器包括：

环境信息收集子模块：收集当前系统中的安装的应用软件信息。

环境验证子模块：从环境信息收集子模块获取测试环境中的软件列表信息，验证漏洞样本所需要的测试目标软件及其相关版本号在不在相应的测试环境中。

样本检测子模块：监视漏洞样本的运行，给出测试结果。

异常信息收集子模块：收集样本运行中的异常信息，用于分析样本行为。

环境信息控制子模块：若测试环境安装了新的软件，则该子模块负责向环境验证子模块发送请求，进而要求环境信息收集子模块重新获取系统软件列表信息。

结果分析器：对虚拟机代理模块上报的漏洞样本进行分析，根据漏洞影响目标、成因、位置等分析漏洞具体内容。

攻击库：漏洞样本经验证有效后，将漏洞相关信息及编写的验证脚本共同存入并形成攻击库。

利用所述系统进行漏洞验证的方法，其特征在于包括以下步骤：

步骤1：收集漏洞样本。

通过安全网站或论坛、自主研究或其他渠道收集漏洞样本。将收集的不可直接利用的漏洞样本进行构造，形成可用的漏洞样本。对收集和改造的漏洞样本进行统一的命名。

步骤2：漏洞分解处理。