[发明专利]主动式网络安全漏洞检测器

摘要

本发明公开了一种主动式网络安全漏洞检测器，其由检测代理、数据中心和分析控制台三大模块组成，相互协作实现漏洞的检测。其中检测代理收集系统配置信息，并上传到数据中心。分析控制台分析数据中心存放的信息，利用OVAL漏洞定义识别主机漏洞，并进一步应用谓词逻辑理论，进行攻击/漏洞的关联分析，发现漏洞组合带来的安全问题，可视化显示潜在的攻击路径。本发明可成功实现对网络系统的快速、高精度漏洞检测，且对被评估系统的性能影响小，可扩展性强，适用于网络安全的评估与管理。

主权项

1、一种主动式网络安全漏洞检测器，其特征在于，基于开放漏洞评估语言OVAL，分布收集系统配置信息、集中漏洞评估分析，实现对网络系统漏洞的检测，从中发现漏洞组合对保护目标的威胁，进一步直观显示威胁保护目标的潜在攻击路径；它包括检测代理、数据中心和分析控制台三部分内容：检测代理分布在待评估网络内的各个主机上，利用OVAL收集各主机的系统特征信息，并将其上传到数据中心，供评估分析使用；分析控制台是漏洞评估的用户接口，主要负责：1)根据评估需要，配置评估目标，选择检测策略和评估条件；2)控制检测系统的启停；3)利用开放漏洞评估语言定义OVAL Definitions，分析检测代理的上报信息，判断系统中存在的已知漏洞；4)基于发现的已知漏洞列表，应用谓词逻辑的攻击/漏洞关联分析模型，分析漏洞组合带来的安全问题；5)可视化显示识别的潜在攻击路径；数据中心采用数据库系统实现漏洞信息的存储和管理，主要包括攻击/漏洞基础知识库、攻击/漏洞关系表、各检测代理上报的系统配置信息和漏洞检测结果，数据中心与漏洞检测代理、分析控制台交互，协同完成漏洞检测；工作流程包括以下步骤：a.分析控制台发送“开始”控制命令，启动检测代理；b.检测代理发送“问候”消息，告知分析控制台准备就绪，等待任务；c.分析控制台接着发送“收集数据请求”信息，通知检测代理收集系统信息；d.检测代理向分析控制台发送“收集数据应答”信息，同时开始收集数据，并送往数据中心；e.当检测代理收集数据完毕时，向分析控制台发送“收集数据结束”通知；f.分析控制台接到“收集数据结束”通知，开始查询数据中心的信息，并根据查询结果进行漏洞判断。