专利名称:一种在应用安全系统中进行精确风险检测的方法及系统的制作方法
技术领域:
本发明涉及计算机应用安全管理技术领域,尤其涉及一种在计算机应用安全系统中进行风险检测的方法及系统。
背景技术:
随着计算机技术的发展,各种安全问题也从以前的网络、主机层面上升到应用层面。越来越多的安全问题都是发生在WEB应用、数据库应用中,而且造成了越来越大的危害。为了应对这些新的安全威胁趋势,各种组织和个人都在加强应用安全的防护水平,也有各个厂商提出了应用安全的检测、防护产品和方案。应用安全产品包括WEB应用防火墙、数据库审计、WEB应用扫描器、终端安全产品、上网行为监控等。根据组织的应用规模,他们可能部署了大量的应用层安全设备,甚至可以达到上百台。由于存在各种攻击和不正常访问,这些应用安全设备会产生大量的安全事件,如何从这些安全事件中,找出真正的威胁,组织一般没有人力能够逐一处理,找出真正的威胁。
发明内容
本发明要解决的技术问题是,克服现有技术中的不足,提供一种在应用安全系统中进行精确风险检测的方法及系统。为解决该技术问题,本发明的解决方案是提供一种在应用安全系统中进行精确风险检测的方法,包括如下步骤A、从事件中识别出威胁特征,根据威胁特征进行威胁标准化处理,并通过检索得到威胁利用的弱点列表;B、从事件中识别出事件应用目标,并通过检索得到事件应用目标暴漏的弱点列表;C、比较威胁利用的漏洞列表和目标暴露的漏洞列表,根据两个漏洞列表是否存在相同项或相关项来判定事件是否为安全风险,具体为如果两个漏洞列表有单一相同项,则判定事件为风险,且风险可信度为100% ;如果两个漏洞列表有单一相关项,则判定事件为风险,且风险可信度为此相关项的相关度;如果两个漏洞列表有多个相同项或相关项,则判定事件为风险,且风险可信度为多个可信度的最高值。本发明中,步骤A中所述的检索基于一个外部的威胁映射库;威胁映射库中包含各种威胁利用标准化弱点的信息,该信息的分类是基于安全分类标准或基于应用安全厂商对于事件的威胁分类。本发明中,步骤B中所述的检索基于一个外部的资产弱点信息库;资产弱点信息库中包含应用业务资产的弱点暴漏信息,该信息包括事件访问的URI信息、URI参数信息、 数据库信息、数据表信息、存储过程信息及其它与应用业务相关的任何信息。本发明中,还包括对步骤C检测到的风险进行定级的内容通过检索一个外部的资产价值信息库得到应用业务资产价值的信息,根据预置的规则结合风险和资产价值对风险定级。本发明中,所述资产价值包括资产拥有成本、资产收益回报和资产不可用后的恢复代价。进一步地,本发明还提供了一种用于实现前述方法的在应用安全系统中进行精确风险检测的系统,包括用于从各应用安全设备接收日志文件的采集器和用于实现风险检测的风险检测引擎,风险检测引擎中包括分别连接至采集器的威胁识别模块和目标识别模块;其中,威胁识别模块经威胁标准化处理模块连接至风险检测模块,目标识别模块经弱点暴露检索处理模块连接至风险检测模块;威胁标准化处理模块还连接一个外部的威胁映射库,模块经弱点暴露检索处理模块还连接一个外部的资产弱点信息库。作为一种改进,所述目标识别模块经资产价值检索模块连接至风险定级模块,资产价值检索模块还连接一个外部的资产价值信息库。作为一种改进,所述应用安全设备是应用安全扫描器、数据库审计系统或入侵检测系统。作为一种改进,所述资产弱点信息库连接至弱点扫描器。相对于现有技术,本发明的有益效果在于1、可以进行更精确的风险检测,由于是基于应用目标来确定暴漏的弱点列表,这个列表会更准确。2、能够进行风险的可信度估算,当威胁利用的弱点列表和应用目标暴漏的弱点列表仅有相关项时,可以进行风险的可信度估算。
图1为在应用安全系统中进行风险检测的总体流程框图;图2为在应用安全系统中进行风险检测的运行框图。
具体实施例方式首先需要说明的是,本发明涉及数据库技术,是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于应用安全设备、采集器、风险检测引擎,风险检测引擎中的威胁识别模块和目标识别模块、威胁标准化处理模块、风险检测模块、弱点暴露检索处理模块、威胁映射库、资产弱点信息库、资产价值检索模块、风险定级模块、资产价值信息库、应用安全扫描器、数据库审计系统、入侵检测系统、弱点扫描器等,凡本发明申请文件提及的均属此范畴,申请人不再一一列举。为确保理解准确、避免产生歧义或不清楚,首先对本发明涉及的部分术语进行解释如下威胁又称安全威胁,指对应用系统进行的各种恶意、不正当的行为,弱点指应用系统中所固有的缺陷,能够被恶意攻击者利用,对系统造成危害或损失。风险描述在受到各种威胁的情况下,应用系统所处的一种安全状态(可能性)。 一般是通过检测威胁的有效性来进行。本发明中的基本原理是,采集器从各种应用安全设备接收信息后进行分析处理, 风险检测引擎再进行风险检测。在本发明中,各个应用安全设备的告警通过日志的形式发送给采集器,采集器对日志进行分析处理后,成为一个安全事件。安全事件包括攻击威胁信息、目标信息,这些信息由采集器对日志进行分析得到。安全事件由采集器送给风险检测引擎进行风险检测。安全事件的威胁信息可以用来确定此威胁利用了哪些弱点,而目标信息可以用来确定目标对应的应用。通过查询一个应用弱点信息库,可以得到此目标应用所暴露的弱点。然后通过对比安全事件所利用的弱点、目标应用所暴露的弱点,我们可以判定此安全事件是否为一个风险。另外,通过对目标应用的价值评估,我们可以进一步进行风险定级。下面结合具体实例对本发明进行详细描述。图1中描述了在安全事件中进行风险检测的过程,具体的过程如下201接收事件风险检测引擎100接收事件104。202威胁识别根据事件104中的各种字段信息,识别出事件的威胁信息。203标准化威胁利用的漏洞列表根据识别出来的威胁信息,通过查询威胁映射库,得到标准化的事件利用的弱点列表110。204目标识别根据事件的各种字段信息,识别出目标应用业务资产信息。205检索目标暴漏的漏洞列表根据事件目标去检索资产弱点信息库,得到此事件目标上暴漏的弱点列表。206风险检测根据事件利用的弱点列表、事件目标暴漏的弱点列表进行比较,确定事件是否是一个风险。207风险定级当事件被确定为一个风险后,根据此事件目标检索出资产价值,通过价值评估后,对风险进行定级处理,得到定级后的风险,可以继续进行后续处理。图二描述了本发明中的风险检测引擎的一个具体例子,以及相关的其他实体部分、交互的信息。首先使用各种应用安全设备101,如应用安全扫描器、数据库审计系统、入侵检测系统(IDS)等,把日志102发送到采集器103。这些日志可能描述了也可能是应用安全设备 101检测到的一些攻击行为,也可能是应用安全设备101检测到的可疑访问行为,也可能是某些设备上一些状态的变化情况等。这些日志102经过采集器103的解析、分析、标准化处理,形成了事件104。事件 104中包括了威胁信息、目标信息。采集器103形成事件104后,把事件104送给风险检测引擎100。风险检测引擎100基于收到的事件104进行风险检测,最终得到风险事件114。风险检测引擎100收到事件104后,首先交由威胁识别模块105进行识别处理,以识别事件 104中的威胁特征106。比如来自安恒WEB应用防火墙的日志,通过采集器的解析后,事件 104中就会包含一个“攻击类型”的字段,这个字段的值可能是类似“SQL注入攻击”或者 “XSS脚本注入攻击”等,这个信息就可以被威胁识别模块105识别为威胁特征106。
以上得到的威胁特征106,由威胁标准化处理模块109进行威胁标准化处理。经过标准化处理后,每个威胁特征106,都被标准化为一些标准的、知名的、统一的利用的弱点列表 110。威胁标准化处理模块109通过检索一个外部的威胁映射库120来确定事件104所利用的弱点列表110。威胁映射库120是包含了各种威胁是如何利用标准化弱点的信息。 这些信息可以来自各种安全分类标准,比如WEB应用安全领域的OWASP分类;也可以来自应用安全厂商的官方文档说明,如具体某个应用安全防火墙厂商对于每个告警日志的说明; 也可以来自安全专家的经验总结。事件104还包括一些目标字段信息,比如目标IP地址、目标网站DNS域名、目标网站主机名、访问的URL等。风险检测引擎100收到事件104后,通过目标识别模块107来进行事件的目标分析。事件的这些目标信息被目标识别模块107处理后,得到了事件目标 108,事件目标108 —般表示一种应用资产或者业务资产,比如某个WEB网站,或者某个业务 URL,或者某个业务数据库表等。以上识别到的事件目标108,由弱点暴露检索处理模块111进行弱点暴露检索处理,经过检索查找这个事件目标108上所暴露的弱点列表112。弱点暴漏检索处理模块111通过一个外部的资产弱点信息库121来查询到事件目标上所暴漏的弱点列表112。资产弱点信息库121包含了每个应用业务资产的弱点暴漏信息。这些信息可以有多种方式得到。一种常见的方式如图1中所述。通过弱点扫描器123,如安恒WebScan扫描器、IBM 的AppScan扫描器等,对目标应用业务资产,如TOB网站进行扫描分析,得到扫描结果124, 通过一个扫描结果导入125工具,对扫描到的弱点信息进行标准化处理,然后录入到资产弱点信息库121中。另外一种常见的方式是通过人工对目标应用资产进行安全评估、渗透测试等方式,发现目标应用资产暴漏的弱点信息,然后录入到资产弱点信息库121中。当分析检测引擎100得到了事件104利用的弱点列表110信息、事件104目标上暴漏的弱点列表112信息后,就可以进行风险检测了。风险检测模块113通过比较事件104利用的弱点列表110、事件104目标暴漏的弱点列表112,如果发现有相同的弱点存在,就可以确定事件104为一个安全风险114 ;如果发现没有相同的弱点存在,就可以确定事件104是一个可疑的威胁事件。另外,上面得到的事件目标108,可以通过资产价值检索可以得到此目标应用资产价值,由资产价值检索模块115通过查询外部的一个资产价值信息库122得到目标应用资产价值。资产价值信息库122记录了每一个应用业务的价值信息,这些信息一般是通过人工方式维护的,如通过业务评估分析得出每一个应用、业务资产价值116。如果风险检测模块113把此事件104检测为一个风险114,则可以进一步对此风险 114进行定级。风险定级模块117可以将风险114、资产价值116联系起来,根据各种预置的定级算法来确定风险的等级,就得到了定级后的风险118。这些定级后的风险118就可以被用于进行后续处理119。
权利要求
1.一种在应用安全系统中进行精确风险检测的方法,其特征在于,包括如下步骤A、从事件中识别出威胁特征,根据威胁特征进行威胁标准化处理,并通过检索得到威胁利用的弱点列表;B、从事件中识别出事件应用目标,并通过检索得到事件应用目标暴漏的弱点列表;C、比较威胁利用的漏洞列表和目标暴露的漏洞列表,根据两个漏洞列表是否存在相同项或相关项来判定事件是否为安全风险,具体为如果两个漏洞列表有单一相同项,则判定事件为风险,且风险可信度为100% ;如果两个漏洞列表有单一相关项,则判定事件为风险, 且风险可信度为此相关项的相关度;如果两个漏洞列表有多个相同项或相关项,则判定事件为风险,且风险可信度为多个可信度的最高值。
2.根据权利要求1所述的方法,其特征在于,步骤A中所述的检索基于一个外部的威胁映射库;威胁映射库中包含各种威胁利用标准化弱点的信息,该信息的分类是基于安全分类标准或基于应用安全厂商对于事件的威胁分类。
3.根据权利要求1所述的方法,其特征在于,步骤B中所述的检索基于一个外部的资产弱点信息库;资产弱点信息库中包含应用业务资产的弱点暴漏信息,该信息包括事件访问的URI信息、URI参数信息、数据库信息、数据表信息、存储过程信息及其它与应用业务相关的任何信息。
4.根据权利要求1所述的方法,其特征在于,还包括对步骤C检测到的风险进行定级的内容通过检索一个外部的资产价值信息库得到应用业务资产价值的信息,根据预置的规则结合风险和资产价值对风险定级。
5.根据权利要求4所述的方法,其特征在于,所述资产价值包括资产拥有成本、资产收益回报和资产不可用后的恢复代价。
6.一种用于实现权利要求1所述方法的在应用安全系统中进行精确风险检测的系统, 其特征在于,包括用于从各应用安全设备接收日志文件的采集器和用于实现风险检测的风险检测引擎,风险检测引擎中包括分别连接至采集器的威胁识别模块和目标识别模块;其中,威胁识别模块经威胁标准化处理模块连接至风险检测模块,目标识别模块经弱点暴露检索处理模块连接至风险检测模块;威胁标准化处理模块还连接一个外部的威胁映射库, 模块经弱点暴露检索处理模块还连接一个外部的资产弱点信息库。
7.根据权利要求6所述的系统,其特征在于,所述目标识别模块经资产价值检索模块连接至风险定级模块,资产价值检索模块还连接一个外部的资产价值信息库。
8.根据权利要求6所述的系统,其特征在于,所述应用安全设备是应用安全扫描器、数据库审计系统或入侵检测系统。
9.根据权利要求6所述的系统,其特征在于,所述资产弱点信息库连接至弱点扫描器。
全文摘要
本发明涉及计算机应用安全管理技术,旨在提供一种在应用安全系统中进行精确风险检测的方法及系统。该方法包括从事件中识别出威胁特征,根据威胁特征进行威胁标准化处理,并通过检索得到威胁利用的弱点列表;从事件中识别出事件应用目标,并通过检索得到事件应用目标暴漏的弱点列表;比较威胁利用的漏洞列表和目标暴露的漏洞列表,根据两个漏洞列表是否存在相同项或相关项来判定事件是否为安全风险。本发明可以进行更精确的风险检测,当威胁利用的弱点列表和应用目标暴漏的弱点列表仅有相关项时,可以进行风险的可信度估算。
文档编号H04L12/24GK102546641SQ20121001111
公开日2012年7月4日 申请日期2012年1月14日 优先权日2012年1月14日
发明者杨永清, 范渊, 谈修竹 申请人:杭州安恒信息技术有限公司