[发明专利]一种漏洞攻击验证方法、漏洞攻击验证系统及存储介质

说明书

本发明涉及一种漏洞攻击验证方法、漏洞攻击验证系统及存储介质，其中，漏洞攻击验证方法首先采集移动终端的基本信息，其次根据所采集的基本信息匹配包含攻击样本及标签的工具包，而后将匹配到的工具包安装至所述移动终端，并在所述移动终端上运行所述工具包；最后根据所述工具包的运行结果和/或返回的异常数据确定是否存在安全漏洞。本发明所提供的漏洞攻击验证方法，可直接匹配最适合移动终端的工具包，通过工具包中的攻击样本攻击移动终端，根据最终结果(比如系统或系统内的软件出错重启等等)和/或返回异常数据信息，确定是否确实存在安全漏洞，相比人工审核及验证，提高了验证方便性。

技术领域

本发明涉及移动终端安全技术领域，特别是涉及一种漏洞攻击验证方法、漏洞攻击验证系统及存储介质。

背景技术

随着互联网技术与移动终端技术的快速发展，移动终端承载的业务和能够安装的应用程序越多越多，与之同步的不良发展，黑客的攻击手段亦是越来越多元化，致使移动终端潜伏着诸多问题，比如：数据被破坏、不经授权的恶意访问、数据丢失、恶意软件主动运行等等。

而且与传动的PC操作系统不同，移动终端操作系统呈现显著的碎片化现象，比如，虽然大多数移动终端使用的皆是Android系统，但不同厂商所使用的Android系统却不尽相同(操作系统通常是由终端厂商独立完成的)。这也就导致移动终端操作系统的安全性面临情况更为复杂的挑战，安全漏洞层出不穷，比如Android系统出现过的签名漏洞、提权漏洞、挂马漏洞、静默安装/卸载漏洞、短信欺诈漏洞、后台发送消息漏洞及后台拨打电话漏洞等等；再比如iOS系统出现过的字符串漏洞、锁屏漏洞、充电器漏洞等等。

漏洞检测及漏洞验证是后续终端厂商纠正漏洞的重要依据，其中漏洞验证具体是指：验证攻击样本(攻击样本对攻击事件中的目标代码分析得到)是否利用了软件漏洞进行攻击。

现有的漏洞验证方式通常是基于安全众测平台完成，首先接收用户提交的安全漏洞，然后通过人工审核和验证的方式进行所述安全漏洞是否确实存在的验证，这种方式方便性较低的问题。

因此，现有技术还有待改进。

发明内容

基于此，有必要针对上述技术问题，提供一种漏洞攻击验证方法、漏洞攻击验证系统及存储介质，旨在改善现有技术中人工进行审核并进行漏洞验证的方式方便性较低的问题。

本发明的技术方案如下：

一种漏洞攻击验证方法，用于验证移动终端的至少一个安全漏洞，其包括：

采集移动终端的基本信息，所述基本信息包括：移动终端运行的系统版本、CPU类型及移动终端品牌中的至少一个；

根据所采集的基本信息匹配包含攻击样本及标签的工具包，所述标签存储有如下信息中的至少一个：适用的系统版本、适用的CPU类型及适用的移动终端品牌，且所述标签中的信息与所述基本信息相适配；

将匹配到的工具包安装至所述移动终端，并在所述移动终端上运行所述工具包；

根据所述工具包的运行结果和/或返回的异常数据确定是否存在安全漏洞。

在进一步地优选方案中，所述根据所采集的基本信息匹配包含攻击样本及标签的工具包的步骤之前还包括：接收用户输入的安全漏洞类型；

所述根据所采集的基本信息匹配包含攻击样本及标签的工具包的步骤具体为：根据所采集的基本信息以及所接收的安全漏洞类型，匹配包含攻击样本及标签的工具包，所述标签还包括：适用的安全漏洞类型。

在进一步地优选方案中，所述基本信息包括：移动终端运行的系统版本、CPU类型及移动终端品牌；所述标签存储有：适用的系统版本、适用的CPU类型及适用的移动终端品牌；