[发明专利]基于威胁情报的操作系统漏洞分析检测方法及系统

权利要求书

1.一种基于威胁情报的操作系统漏洞分析检测方法，其特征在于，包括：

1)根据漏洞信息发布平台提供的安全漏洞信息更新安全漏洞信息数据库；

2)结合被检测的操作系统所安装并使用的产品及其版本信息，将其与安全漏洞信息数据库中记录的安全漏洞信息进行对比，分析出被检测的操作系统存在的安全隐患。

2.根据权利要求1所述的基于威胁情报的操作系统漏洞分析检测方法，其特征在于，步骤1)包括：

1.1)收集漏洞信息发布平台更新的安全漏洞信息；

1.2)针对收集得到的安全漏洞信息，首先基于对应的操作系统核实安全漏洞信息使用的软硬件环境、应用的版本、漏洞修复版本，针对有漏洞验证程序的安全漏洞还包括执行漏洞验证程序生成验证结果；然后针对该安全漏洞对应的操作系统，利用数据样本采集工具针对某一个具体版本的操作系统进行样本信息采集，将这些样本数据与自身的威胁情报数据库进行比对分析得到漏洞信息分析结果；

1.3)根据漏洞信息分析结果生成详细的漏洞影响分析报告及安全漏洞修复方案，并将漏洞影响分析报告及安全漏洞修复方案加入安全漏洞信息数据库。

3.根据权利要求2所述的基于威胁情报的操作系统漏洞分析检测方法，其特征在于，所述安全漏洞信息数据库中每一条安全漏洞信息包含下述信息：安全漏洞编号、漏洞描述、危害程度、影响产品、影响版本、修复版本、补丁信息、影响状态以及验证程序，其中影响状态包括终结状态和未终结状态两类状态，终结状态包括、忽略以及不受影响三种状态，未终结状态包括未修复、等待上游补丁以及评估中三种状态。

4.根据权利要求1所述的基于威胁情报的操作系统漏洞分析检测方法，其特征在于，步骤2)包括：

2.1)在被检测的操作系统上运行样本采集程序，获取操作系统样本数据，包括操作系统上搭载的产品的操作系统样本信息列表，所述操作系统样本信息列表包含被检测的操作系统上已安装、已部署的应用名称及其版本号；

2.2)通过解析获取的操作系统样本信息列表并查询安全漏洞信息数据库，获取每个产品所有的安全漏洞信息，并通过对比操作系统样本信息列表中记录的版本号和这些安全漏洞信息对应的修复版本即得出是否此安全漏洞的影响的分析结果。

5.根据权利要求4所述的基于威胁情报的操作系统漏洞分析检测方法，其特征在于，步骤2.2)通过解析获取的操作系统样本信息列表并查询安全漏洞信息数据库时，针对每个产品采用的漏洞分析匹配的步骤包括：

2.2.1)执行规则一：判断此产品是否有对应的安全漏洞信息条目，如果有则跳转执行步骤2.2.2)，如果没有，则跳出分析匹配规则并退出；

2.2.2)执行规则二：判断此产品对应的该漏洞信息是否有修复状态，如果修复状态处于“忽略”、“不受影响”，给出“忽略”或者“不受影响”的分析结果并跳出分析匹配规则，结束并退出；如果修复状态处于其它状态，则跳转执行步骤2.2.3)；

2.2.3)执行规则三，判断此产品对应的该漏洞信息是否有修复版本，如果有则跳转执行步骤2.2.4)；如果没有，给出“未修复”的分析结果并跳出分析匹配规则，结束并退出；

2.2.4)执行规则四:判断此产品的安装版本是否大于或者等于对应漏洞信息的修复版本，如果大于或者等于修复版本，则给出“已修复”的分析结果，并跳出分析匹配规则，结束并退出；否则跳转执行步骤2.2.5)；

2.2.5)执行规则五，判断此产品的安装版本是否处于影响版本之内，如果在，则给出“未修复”的分析结果、给出修复版本、给出修复资料的下载链接并跳出分析匹配规则，否则给出“不受影响”的分析结果，给出修复版本、影响版本域并跳出分析匹配规则。

6.根据权利要求1所述的基于威胁情报的操作系统漏洞分析检测方法，其特征在于，步骤2)之后还包括将分析结果以安全威胁分析报告输出给用户的步骤。