[发明专利]基于多模式匹配的安全漏洞在线发现方法

说明书

本发明涉及一种基于多模式匹配的安全漏洞在线发现方法，属于网络安全技术领域。本发明具有如下优点：综合性：本发明具有对已知漏洞和未知漏洞的综合在线发现的能力，已知漏洞方面通过软件版本特征匹配及漏洞匹配方式进行发现，未知漏洞方面通过漏洞模式匹配进行在线发现。准确性：本发明通过多模式匹配方式提高已知漏洞和未知漏洞的在线发现能力。已知漏洞方面，结合版本特征匹配和插件扫描方式进行综合漏洞发现，未知漏洞方面运用漏洞模式匹配规则进行漏洞定位，结合模糊用例生成准确发现漏洞，均提高了发现准确度。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于多模式匹配的安全漏洞在线发现方法。

背景技术

近年来，随着计算机技术的飞速发展和互联网的广泛应用，信息技术越来越深入到人们日常生活的各个方面，成为人们日常生活中最重要的部分。网络给社会带来巨大变革和发展的同时，也遭受着非常严峻的安全威胁，网络、应用的安全漏洞成为制约网络发展、影响社会发展的重要因素。

信息系统的威胁都是以目标的安全漏洞为突破点。信息系统安全漏洞产生原因有多种，可能由于开发人员自身的安全意识薄弱、安全技能不足，或系统安全框架存在缺陷，也可能由于内部人员有意或无意的操作造成安全问题。对系统进行安全提升的重要方法就是研究安全漏洞发现技术。

安全漏洞发现包括对未知漏洞的挖掘和已知漏洞的识别。未知漏洞挖掘技术指通过人工或辅助工具对目标进行分析测试，对目标运行流程、参数传递、执行逻辑等进行挖掘，了解系统内部可能造成安全漏洞的特点。对已知漏洞来说，一般通过漏洞检测脚本匹配方式识别目标系统中存在的安全漏洞。

传统的安全漏洞挖掘技术主要包括静态分析技术和动态分析技术。静态分析技术通过分析软件程序代码词法、语法和静态语义，检测程序中存在的潜在漏洞，静态分析方法主要有以下几种检测方法：

1)模型检测。模型检测是一种验证有限状态的并发系统的方法，基本思想是对有限状态的系统构造状态机或者有向图等抽象出模型，再对模型进行遍历以验证系统的某一性质。

2)符号执行。符号执行是一种符号化定义数据，并为程序每条路径给出符号表达方式，对特定路径输入符号，经处理输出符号，从而判断程序行为是否错误，达到分析错误的目的。

3)类型推断。类型推断可以检查类型错误，选择合适的操作，根据情况确定必要的类型转换。

4)数据流分析。数据流分析是从程序代码中收集程序的语义信息并通过代数的方法在编译时确定变量的定义和使用。

5)约束分析。约束分析将程序分析过程分为约束产生和约束求解两个阶段，前者利用约束产生规则建立变量类型或分析状态之间的约束系统，后者利用约束系统进行求解。

动态分析技术将测试用例作为输入，通过运行可执行文件，并通过程序运行的输出发现程序缺陷的过程。

然而，现有的软件漏洞发现技术独立运用某种单一技术无法准确查找漏洞定位，存在较高漏报或误报。因此，设计一种高效、准确度高的安全漏洞发现方法，成为了亟待解决的技术问题。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种高效、准确度高的安全漏洞发现方法。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于多模式匹配的安全漏洞在线发现方法，包括以下步骤：

步骤1：判断待测软件目标是否已存在，是转步骤2，否转步骤3；

步骤2：一方面，检测待测软件目标的版本特征值，进行软件版本模式匹配，匹配漏洞库中的已知漏洞；另一方面，使用漏洞扫描插件匹配触发规则进行漏洞扫描检测，更新漏洞库；