软件安全漏洞检测装置和方法

文档序号:6340751阅读:151来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
专利名称:软件安全漏洞检测装置和方法
技术领域
本发明涉及计算机领域,特别涉及一种大型设计软件安全漏洞检测装置和方法。
背景技术
信息时代,网络泄密日益增多,网络安全也越来越受到关注,大到国家秘密,小到个人隐私都会受到网络失密的风险和威胁,在国际互联网上会经常发生利用软件漏洞使互联终端受到攻击的实例,如何避免此类事件就需要对软件漏洞进行检测,目前还没有有效的手段完全杜绝此类现象,但是针对软件本身事先做安全漏洞检测成为避免类似事件发生的一种手段日益受到重视。

发明内容
本发明所要解决的技术问题在于,提供一种在计算机局域网中,利用已经初步建立并逐步完善的专用漏洞库、测试用例库,重要信息系统以及重要信息系统中使用的专用应用系统软件、通用应用软件以及在通用软件基础上二次开发的应用系统软件为测试对象,把系统安全性分析测试所需的漏洞挖掘、漏洞分析验证、渗透性测试等过程流程化、系统化、平台化的装置和方法。本发明所要解决的技术问题是通过如下技术方案实现的一种软件安全漏洞检测装置,包括测试环境、系统安全性分析和测试管理平台、专用漏洞库和测试用例库。测试环境包括目标系统和测试终端,安全性测试服务人员能够根据目标系统的环境和版本在测试用例库中选择、调度相应的攻击脚本来进行渗透性测试工作。系统安全性分析和测试管理平台包括漏洞发现系统、漏洞验证和分析系统、渗透性测试系统、漏洞库、测试用例库、报告输出系统、用户及权限管理系统、系统管理平台等。专用漏洞库和测试用例库不仅包含历史上发生严重安全问题的漏洞信息,还将包含本项目发现的大型设计软件的安全漏洞信息, 同时构成一个能够针对大型设计软件漏洞的渗透测试工具和测试用例库。漏洞发现系统组件负责对目标系统进行漏洞挖掘,系统将集成针对COM组件、文件格式、网络协议和数据等多种模糊测试工具方法集以及其他已知漏洞挖掘技术,采用各种不同形式的带有攻击破坏目的的“畸形”数据对目标系统进行测试,用以触发目标系统可能存在的、能够产生异常行为的安全漏洞,并向管理平台报告,记录所发现漏洞的详细信息。它集成Com组件模糊测试模块、文件格式模糊测试模块、网络协议和数据模糊测试模块,能够覆盖通用和专用的应用系统。漏洞分析和验证系统负责对所发现的目标系统的安全漏洞进行分析和验证工作,系统将二进制代码进行安全调试,采用反汇编形式,分析软件的功能原理,分析软件的漏洞, 精确定位漏洞产生的原理、位置。漏洞验证系统主要依赖漏洞专用调试器,进行漏洞的分析和验证,专用调试器以完全图形化的方式进行操作,能够显示漏洞程序的反汇编代码,能够控制程序的单步运行。渗透性测试系统负责针对已发现的安全漏洞,根据漏洞所在系统的特性调用相应的Siellcode代码和不同的注入技术,采取模拟攻击的形式对目标系统进行渗透测试,以检验安全漏洞是否真实存在。测试用例库和渗透性测试验证管理系统对测试用例库进行管理和维护,包括入库管理、批量导入导出管理、条件查询、统计分析以及数据备份和恢复等。,用户及权限管理系统负责对使用本管理平台的用户进行集中管理,包括用户管理、权限管理等功能。通过用户管理和授权管理功能,授权用户能够在授权范围内进行系统安全性分析测试的相关工作,系统将自动生成管理日志,对用户登录的时间、从事的操作(如新建任务、继续执行任务、任务成果入库、报表导入导出等操作)进行详尽的日志记录。系统管理组件是系统安全性分析和测试管理平台的综合管理系统,用户通过Web方式登录系统管理平台能够新建、继续执行漏洞发现、漏洞分析验证、渗透性测试任务,并能够将各项任务的成果存入相应的数据库中,同时能够将各项任务的结果以报表形式输出,并能对数据库内容进行查询、统计、分析等操作。本发明还提供一种配置大型设计软件安全漏洞检测的系统,包括系统安全性分析和测试管理平台服务端、数据库服务器、客户端浏览器组成。管理平台服务端提供漏洞发现系统、漏洞分析验证系统、渗透性测试系统、报告输出系统、漏洞库管理系统、测试用例库和渗透性测试验证管理系统以及用户及权限管理系统、系统管理平台等功能;数据库服务器为漏洞库、测试用例库和渗透性测试验证等提供海量的数据存储能力和数据库管理能力; 安全研究分析人员通过浏览器访问管理平台服务端,进行系统安全性分析工作。一种软件安全漏洞检测方法中未知漏洞的挖掘分析验证和渗透测试方法,步骤如下步骤1 将目标系统接入测试网络,或者将本发明接入目标系统所在的网络,利用 FUZZ工具集进行FraZ发现;步骤2 利用调试工具进行漏洞分析(1)如果发现漏洞,则根据漏洞所在系统的特性调用相应的SieIlcode代码和不同的注入技术,采取模拟攻击的形式对目标系统进行渗透测试,以检验安全漏洞是否真实存在;(2)如果安全漏洞真的存在,则生产相应的测试工具,并将新发现的漏洞写入漏洞库,将测试用例写入测试用例库;步骤3 输出漏洞发现报告、漏洞分析验证报告、渗透性测试报告及系统漏洞修复建议。一种软件安全漏洞检测方法中已知漏洞的挖掘分析验证和渗透测试方法,步骤如下步骤1 将目标系统接入测试网络,或者将本发明接入目标系统所在的网络,进行漏洞扫描;步骤2 如果发现漏洞,则根据漏洞所在系统的特性调用相应的Siellcode代码和不同的注入技术,采取模拟攻击的形式对目标系统进行渗透测试,以检验安全漏洞是否真实存在;步骤3 输出漏洞发现报告、漏洞分析验证报告、渗透性测试报告及系统漏洞修复建议。利用本装置及其提供的软件安全漏洞检测方法,能够在软件使用之前查找漏洞, 并能给出相应的策略,较好的满足了当今社会对信息安全的重视,具有较高的使用价值。


图1为本发明大型设计软件安全漏洞检测装置整体结构框图;图2为本发明大型设计软件安全漏洞检测的系统结构图;图3为未知漏洞的挖掘分析验证和渗透测试流程图;图4为已知漏洞的挖掘分析验证和渗透测试流程图。
具体实施例方式下面结合说明书附图具体说明本发明,如图1所示,一种大型设计软件安全漏洞检测装置,测试人员通过测试终端和目标系统相连,可以将目标系统接入测试网络,也可以将本产品接入目标系统所在的生产系统。安全性测试服务人员能够根据目标系统的环境和版本在测试用例库中选择、调度相应的攻击脚本来进行渗透性测试工作。系统安全性分析和测试管理平台是本发明的核心,包括漏洞发现系统、漏洞验证和分析系统、渗透性测试系统、漏洞库、测试用例库、报告输出系统、用户及权限管理系统、系统管理平台等。专用漏洞库和测试用例库不仅包含历史上发生严重安全问题的漏洞信息,还将包含新发现的大型设计软件的安全漏洞信息,同时构成一个能够针对大型设计软件漏洞的渗透测试工具和测试用例库。漏洞发现系统组件负责对目标系统进行漏洞挖掘,系统将集成针对COM组件、文件格式、网络协议和数据等多种模糊测试工具方法集以及其他已知漏洞挖掘技术,采用各种不同形式的带有攻击破坏目的的“畸形”数据对目标系统进行测试,用以触发目标系统可能存在的、能够产生异常行为的安全漏洞,并向管理平台报告,记录所发现漏洞的详细信息。 漏洞分析和验证系统负责对所发现的目标系统的安全漏洞进行分析和验证工作,系统将二进制代码进行安全调试,采用反汇编形式,分析软件的功能原理,分析软件的漏洞,精确定位漏洞产生的原理、位置。漏洞验证系统主要依赖漏洞专用调试器,进行漏洞的分析和验证,专用调试器以完全图形化的方式进行操作,能够显示漏洞程序的反汇编代码,能够控制程序的单步运行。渗透性测试系统负责针对已发现的安全漏洞,根据漏洞所在系统的特性调用相应的Siellcode代码和不同的注入技术,采取模拟攻击的形式对目标系统进行渗透测试,以检验安全漏洞是否真实存在。测试用例库和渗透性测试验证管理系统对测试用例库进行管理和维护。用户及权限管理系统负责对使用本管理平台的用户进行集中管理。通过用户管理和授权管理功能,授权用户能够在授权范围内进行系统安全性分析测试的相关工作,系统将自动生成管理日志。系统管理组件是系统安全性分析和测试管理平台的综合管理系统,用户通过Web方式登录系统管理平台能够新建、继续执行漏洞发现、漏洞分析验证、渗透性测试任务,并能够将各项任务的成果存入相应的数据库中,同时能够将各项任务的结果以报表形式输出,并能对数据库内容进行查询、统计、分析等操作。如图2所示,一种配置大型设计软件安全漏洞检测的系统,包括系统安全性分析和测试管理平台服务端、数据库服务器、客户端浏览器组成。安全研究分析人员通过浏览器访问管理平台服务端,进行系统安全性分析工作。管理平台服务端提供漏洞发现系统、漏洞分析验证系统、渗透性测试系统、报告输出系统、漏洞库管理系统、测试用例库和渗透性测试验证管理系统以及用户及权限管理系统、系统管理平台等功能。数据库服务器为漏洞库、 测试用例库和渗透性测试验证等提供海量的数据存储能力和数据库管理能力。一种软件安全漏洞检测方法中未知漏洞的挖掘分析验证和渗透测试方法,参照说明书附图3所示,步骤如下步骤1 将目标系统接入测试网络,或者将本发明接入目标系统所在的网络,利用 FUZZ工具集进行FraZ发现;步骤2 利用调试工具进行漏洞分析(1)如果发现漏洞,则根据漏洞所在系统的特性调用相应的SieIlcode代码和不同的注入技术,采取模拟攻击的形式对目标系统进行渗透测试,以检验安全漏洞是否真实存在;(2)如果安全漏洞真的存在,则生产相应的测试工具,并将新发现的漏洞写入漏洞库,将测试用例写入测试用例库;步骤3 输出漏洞发现报告、漏洞分析验证报告、渗透性测试报告及系统漏洞修复建议。一种软件安全漏洞检测方法中已知漏洞的挖掘分析验证和渗透测试方法,参照说明书附图4所示,步骤如下步骤1 将目标系统接入测试网络,或者将本发明接入目标系统所在的网络,进行漏洞扫描;步骤2 如果发现漏洞,则根据漏洞所在系统的特性调用相应的Siellcode代码和不同的注入技术,采取模拟攻击的形式对目标系统进行渗透测试,以检验安全漏洞是否真实存在。如果安全漏洞真的存在,则生产相应的测试工具,并将新发现的漏洞写入漏洞库, 将测试用例写入测试用例库,步骤3 输出漏洞发现报告、漏洞分析验证报告、渗透性测试报告及系统漏洞修复建议。利用本装置及其提供的软件安全漏洞检测方法,能够在软件使用之前查找漏洞, 并能给出相应的策略,较好的满足了当今社会对信息安全的重视,具有较高的使用价值。本发明还有其他一些变形或者改进。例如客户端模块可以是一个、二个或者更多, 客户端模块、中央管理模块可以全部装于同一计算机上,亦可以分别装于不同计算机上。如果本技术领域的技术人员受到本发明的启发做出的显而易见的非实质性的改变或者改进, 均属于本发明权利要求书的保护范围。
权利要求
1.一种软件安全漏洞检测装置,其特征在于包括测试环境、系统安全性分析和测试管理平台、专用漏洞库和测试用例库,试环境包括目标系统和测试终端,系统安全性分析和测试管理平台包括漏洞发现系统、漏洞验证和分析系统、渗透性测试系统、漏洞库、测试用例库、报告输出系统、用户及权限管理系统、系统管理平台等。
2.根据权利要求1所述的软件安全漏洞检测装置,其特征在于专用漏洞库和测试用例库不仅包含历史上发生严重安全问题的漏洞信息,还将包含本项目发现的大型设计软件的安全漏洞信息,同时构成一个能够针对大型设计软件漏洞的渗透测试工具和测试用例库。
3.根据权利要求1所述的软件安全漏洞检测装置,其特征在于漏洞发现系统包括集成Com组件模糊测试模块、文件格式模糊测试模块、网络协议和数据模糊测试模块,能够覆盖通用和专用的应用系统。
4.根据权利要求3所述的软件安全漏洞检测装置,其特征在于漏洞发现系统负责对目标系统进行漏洞挖掘,系统将集成针对COM组件、文件格式、网络协议和数据等多种模糊测试工具方法集以及其他已知漏洞挖掘技术,采用各种不同形式的带有攻击破坏目的的 “畸形”数据对目标系统进行测试,用以触发目标系统可能存在的、能够产生异常行为的安全漏洞,并向管理平台报告,记录所发现漏洞的详细信息。
5.根据权利要求1所述的软件安全漏洞检测装置,其特征在于漏洞验证和分析系统负责对所发现的目标系统的安全漏洞进行分析和验证工作,系统将二进制代码进行安全调试,采用反汇编形式,分析软件的功能原理,分析软件的漏洞,精确定位漏洞产生的原理、位置;漏洞验证系统主要依赖漏洞专用调试器,进行漏洞的分析和验证,专用调试器以完全图形化的方式进行操作,能够显示漏洞程序的反汇编代码,能够控制程序的单步运行。
6.根据权利要求1所述的软件安全漏洞检测装置,其特征在于渗透性测试系统负责针对已发现的安全漏洞,根据漏洞所在系统的特性调用相应的Siellcode代码和不同的注入技术,采取模拟攻击的形式对目标系统进行渗透测试,以检验安全漏洞是否真实存在。
7.根据权利要求1所述的系统安全性分析和测试管理平台,其特征在于用户及权限管理系统负责对使用本管理平台的用户进行集中管理,包括用户管理、权限管理等功能;通过用户管理和授权管理功能,授权用户能够在授权范围内进行系统安全性分析测试的相关工作,系统将自动生成管理日志,对用户登录的时间、从事的操作进行详尽的日志记录。
8.一种配置软件安全漏洞检测装置的系统,其特征在于包括系统安全性分析和测试管理平台服务端、数据库服务器、客户端浏览器组成,管理平台服务端提供漏洞发现系统、 漏洞分析验证系统、渗透性测试系统、报告输出系统、漏洞库管理系统、测试用例库和渗透性测试验证管理系统以及用户及权限管理系统、系统管理平台等功能;数据库服务器为漏洞库、测试用例库和渗透性测试验证等提供海量的数据存储能力和数据库管理能力;安全研究分析人员通过浏览器访问管理平台服务端,进行系统安全性分析工作。
9.一种大型设计软件安全漏洞检测方法中未知漏洞的挖掘分析验证和渗透测试方法, 步骤如下步骤1 将目标系统接入测试网络,或者将本发明接入目标系统所在的网络,利用FraZ 工具集进行FraZ发现;步骤2 利用调试工具进行漏洞分析(1)如果发现漏洞,则根据漏洞所在系统的特性调用相应的Siellcode代码和不同的注入技术,采取模拟攻击的形式对目标系统进行渗透测试,以检验安全漏洞是否真实存在;(2)如果安全漏洞真的存在,则生产相应的测试工具,并将新发现的漏洞写入漏洞库, 将测试用例写入测试用例库;步骤3 输出漏洞发现报告、漏洞分析验证报告、渗透性测试报告及系统漏洞修复建议。
10. 一种大型设计软件安全漏洞检测方法中已知漏洞的挖掘分析验证和渗透测试方法,步骤如下步骤1 将目标系统接入测试网络,或者将本发明接入目标系统所在的网络,进行漏洞扫描;步骤2 如果发现漏洞,则根据漏洞所在系统的特性调用相应的SieIlcode代码和不同的注入技术,采取模拟攻击的形式对目标系统进行渗透测试,以检验安全漏洞是否真实存在;步骤3 输出漏洞发现报告、漏洞分析验证报告、渗透性测试报告及系统漏洞修复建议。
全文摘要
本发明涉及计算机领域,特别涉及一种专用信息系统的安全漏洞检测装置和方法。测试人员通过测试终端和目标系统相连,可以将目标系统接入测试网络,也可以将本产品接入目标系统所在的生产系统。系统安全性分析和测试管理平台是本发明的核心,包括漏洞发现系统、漏洞验证和分析系统、渗透性测试系统、漏洞库、测试用例库、报告输出系统、用户及权限管理系统、系统管理平台等。利用本装置及其提供的软件安全漏洞检测方法,能够在软件使用之前查找漏洞,并能给出相应的策略,较好的满足了当今社会对信息安全的重视,具有较高的使用价值。
文档编号G06F11/36GK102541729SQ20101061554
公开日2012年7月4日 申请日期2010年12月31日 优先权日2010年12月31日
发明者任长伟, 孟庆浩, 张朝, 林奇, 田志民, 罗雪莱, 范久文 申请人:航空工业信息中心
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:田志民;林奇;张朝;范久文;任长伟;罗雪莱;孟庆浩
  • 技术所有人:航空工业信息中心
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
垫圈内径检测装置相关技术
压力检测装置相关技术
检测技术与自动化装置相关技术
防雷装置检测相关技术
防雷装置检测资格证相关技术
防雷装置检测报告相关技术
流量检测装置相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2