[发明专利]一种基于资产场景属性的漏洞排查方法及系统

说明书

本发明公开了一种基于资产场景属性的漏洞排查方法及系统，方法包括：获取待扫描的资产目标；通过资产表与待扫描的资产目标的对比结果，筛选出存活的资产目标；提取资产表中存活资产目标的资产基础信息；根据存活资产目标的资产基础信息，加载对应漏洞库及与漏洞相关的漏洞匹配策略；根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞，对其漏洞验证策略进行加载，然后进行漏洞扫描及相应漏洞报文的服务指纹探测，输出扫描结果。本发明以资产表为基准，从中提取存活资产目标的资产基础信息，同时结合漏洞库及与漏洞相关的漏洞匹配策略、漏洞验证策略检测漏洞是否存在，通过漏洞检测的动态循环过程，提高扫描的时间效率、同时降低漏洞误报率。

技术领域

本发明涉及网络安全自动化技术领域，具体涉及一种基于资产场景属性的漏洞排查方法及系统。

背景技术

随着信息技术的发展及海量数据的产生，造成网络架构、终端设备种类繁杂，包括主机服务器、网络设备、安全设备、及行业属性的软件应用也更加繁多，大量的应用服务不可避免的存在安全漏洞，漏洞被恶意攻击者利用，造成企业大量数据泄露、资金安全、业务不可持续性运营等风险。

传统的漏洞扫描方法通过资产指纹识别技术获取目标设备终端指纹信息，如获取操作系统类型、网络设备类型、端口开放情况、应用软件服务版本信息等，然后通过匹配漏洞库，从中获取设备终端版本已知的漏洞信息，传统基于终端设备版本匹配获取的漏洞，存在很多的误报情况，如针对某一漏洞打了漏洞补丁，但指纹信息没有改变，再一次扫描该设备时，依然会爆出漏洞。同时远程资产指纹识别的准确率也受到很多因素的影响，如网络的稳定性、被扫描资产的指纹获取方法、安防设备的影响等，通常会造成资产指纹识别的不准确，资产指纹识别的不准确进一步会导致匹配版本获取的漏洞存在严重的误报，如Windows系统中安装了FTP、SSH服务独立软件运行，现有根据要素点概率判定操作系统类型的方式，可能造成Windows系统识别成为Linux系统，从而整个扫描结果存在严重的误报。

目前漏洞库的加载主要包含两种方式，一种是全库加载的方式，即在漏洞扫描引擎启动时，将所有的漏洞库数据及检测策略加载到内存中，进而执行扫描任务。另一种方式是通过先获取扫描目标的指纹信息，然后根据该信息加载对应的漏洞库及检测策略，由于漏洞库及漏洞检测策略数量太多，如一条漏洞信息，通常会对应多条漏洞检测策略，且资产指纹识别存在一定的误报，因此这两种方式都存在扫描的时间效率低及漏洞误报率高的问题。

发明内容

因此，本发明提供的一种基于资产场景属性的漏洞排查方法及系统，克服了现有技术中扫描时间效率低及漏洞误报率高的缺陷。

为达到上述目的，本发明提供如下技术方案：

第一方面，本发明实施例提供一种基于资产场景属性的漏洞排查方法，包括：获取待扫描的资产目标；

通过资产表与待扫描的资产目标的对比结果，筛选出存活的资产目标；

提取资产表中存活资产目标的资产基础信息；

根据存活资产目标的资产基础信息，加载对应的漏洞库及与漏洞相关的漏洞匹配策略；

根据当前已加载漏洞库筛选出的存在漏洞验证策略的漏洞，对其漏洞验证策略进行加载，然后进行漏洞扫描及相应漏洞报文的服务指纹探测，输出扫描结果。

在一实施例中，还包括：当漏洞扫描时且同时未识别到非资产表中其它运行应用服务时，直接输出漏洞扫描报告。

在一实施例中，资产表中包括每个资产设备的指纹信息，指纹信息包括：资产IP、操作系统类型、网络设备厂商信息、数据库信息、应用软件版本信息、系统应用名称。

在一实施例中，还包括：当漏洞扫描时且同时识别到非资产表中运行服务时，识别到该服务的指纹信息并做规范化处理，输出漏洞扫描报告。