[发明专利]一种交互式脆弱性评估方法、装置及系统

说明书

技术领域

本发明涉及脆弱性评估领域，特别是指一种交互式脆弱性评估方法、装置及系统。

背景技术

在脆弱性评估的过程中，一般利用基于网络的漏洞扫描器对接入网络的用户主机进行扫描，根据漏洞所包含的特征对扫描结果进行脆弱性评估并将评估结果反馈给用户，这种情况下的脆弱性评估结果通常并未考虑用户环境对脆弱性评估的影响，造成脆弱性评估失真。

发明内容

本发明要解决的技术问题是提供一种交互式脆弱性评估方法、装置及系统，其允许用户对失真的脆弱评估进行调整，使脆弱性评估结果更加准确。

为解决上述技术问题，本发明的实施例提供一种交互式脆弱性评估方法，包括：

对接入的用户主机进行漏洞扫描；

获得脆弱评估值，并将脆弱评估值展示给用户；

将评估调整参数传输到脆弱性评估服务器，以便于脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。

一种交互式脆弱性评估方法，包括：

将网络服务器对接入的用户主机进行漏洞扫描的结果进行脆弱性评估，得到脆弱评估值；

将所述脆弱评估值传输到所述网络服务器，以便于展示给用户；

接收网络服务器发送的评估调整参数；

根据所述评估调整参数对所述脆弱评估值进行调整。

所述脆弱评估值从攻击方式、攻击复杂度、鉴权认证、机密性影响、一致性影响、可用性影响六个方面描述漏洞特征。

所述对所述脆弱评估值进行调整为从附带的损失、系统感染比例、机密性调整、一致性调整、可用性调整五个方面对脆弱性进行评估调整。

一种网络服务器，包括：漏洞扫描模块、用户交互模块和结果展示模块，其中，

漏洞扫描模块用于对接入的用户主机进行漏洞扫描；

结果展示模块用于将脆弱评估值展示给用户；

用户交互模块用于将评估调整参数传输到脆弱性评估服务器，以便于脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。

一种脆弱性评估服务器，包括：标准评估模块和用户交互评估调整模块，其中，

标准评估模块用于将网络服务器对接入的用户主机进行漏洞扫描的结果进行脆弱性评估，得到脆弱评估值；

用户交互评估调整模块用于将所述脆弱评估值传输到所述网络服务器，以便于展示给用户；还用于接收网络服务器发送的评估调整参数；并根据所述评估调整参数对所述脆弱评估值进行调整。

所述标准评估模块从攻击方式、攻击复杂度、鉴权认证、机密性影响、一致性影响、可用性影响六个方面描述漏洞特征。

所述用户交互评估调整模块允许用户从附带的损失、系统感染比例、机密性调整、一致性调整、可用性调整五个方面对脆弱性进行评估调整。

一种交互式脆弱性评估系统，包括：网络服务器和脆弱性评估服务器，其中，

网络服务器对接入的用户主机进行漏洞扫描；

脆弱性评估服务器对网络服务器扫描的结果进行脆弱性评估，得到脆弱评估值；

网络服务器将脆弱评估值展示给用户；

网络服务器将评估调整参数传输到脆弱性评估服务器；

脆弱性评估服务器根据评估调整参数对所述脆弱评估值进行调整。

所述网络服务器包括：漏洞扫描模块、用户交互模块和结果展示模块，所述脆弱性评估服务器包括：标准评估模块和用户交互评估调整模块，其中，

所述漏洞扫描模块对接入的用户主机进行漏洞扫描；

所述标准评估模块对所述漏洞扫描模块扫描的结果进行脆弱性评估，得到脆弱评估值；

所述结果展示模块将脆弱评估值展示给用户；

所述用户交互模块将评估调整参数传输到所述用户交互评估调整模块；

所述用户交互评估调整模块根据评估调整参数对所述脆弱评估值进行调整。

本发明的上述技术方案的有益效果如下：

上述方案中，基于互联网且具有客户/服务器架构，客户端的用户可以执行漏洞扫描，还可以对脆弱性评估参数进行赋值；其中，网络服务器完成漏洞的扫描和漏洞特征的提取，负责用户参数的传送，并将脆弱性评估结果向用户展示；脆弱性评估服务器处理漏洞特征，对脆弱性进行初步赋值；并利用初步赋值数据和用户参数计算最终脆弱评估值，这种方法和系统允许用户对失真的脆弱评估进行调整，使脆弱评估结果更加准确。

附图说明

图1为本发明实施例中交互式脆弱性评估系统结构示意图；