能模块示意图;
图5是本申请实施例一中安全态势展示子系统功能模块示意图。
【具体实施方式】
[0015]本发明提供了一种基于多源数据融合的Web应用安全态势评估系统,解决了现有的安全检测和评估方法存在的漏洞扫描效率低且精度差、容易出现较多的漏洞误报信息和无法检测的情况、漏洞扫描系统的时效性和扩展性差、呈现方式不合理的技术问题,实现了利用本系统能够高效、准确的完成漏洞扫描,且减少了漏洞误报信息和无法检测的情况,漏洞扫描系统的时效性和扩展性较好、呈现方式合理的技术效果。
[0016]本申请实施中的技术方案为解决上述技术问题。总体思路如下:
采用了将基于多源数据融合的Web应用安全态势评估系统设计为包括:漏洞信息采集子系统、Web应用生态环境检测子系统、Web应用安全态势评估子系统、安全态势展示子系统,其中,所述漏洞信息采集子系统用于采集公开的权威漏洞数据库、开放标准的漏洞扩展信息和Web应用相关系统厂商安全公告中的漏洞信息,生成漏洞基因信息数据库;所述Web应用生态环境检测子系统用于检测部署Web应用的主机、网络环境,以及开发和部署Web应用过程中所安装的应用程序和第三方插件信息,生成Web应用生态环境数据库;所述Web应用安全态势评估子系统用于融合漏洞基因信息数据库、生态环境数据库和安全设备检测结果并进行关联分析,评估Web应用安全态势;所述安全态势展示子系统用于根据所述Web应用安全态势评估子系统的评估结果,以可视化形式直观展示Web应用的安全态势的技术方案,即,本系统通过采集公开的权威漏洞数据库信息、主流的开放标准的漏洞扩展信息和厂商安全公告信息完善漏洞的基础信息,建立漏洞的关联关系;并通过远程和本地检测的方式,深度精确的检测Web应用系统的生态环境信息,建立Web应用系统相关资产的关联性;结合漏洞信息、Web应用系统生态环境信息和现有漏洞扫描技术的扫描结果对整个Web应用系统的安全态势进行评估,并通过可视化技术实现评估结果的直观展示,为Web应用系统的安全防护工作提供预警和决策支持,且融合了多个漏洞库以及漏洞的扩展信息,使得漏洞的描述信息更立体,更有利于对漏洞进行深入的关联性影响分析,且漏洞信息库更新不依赖于现有检测系统和设备的厂家,更新更及时;通过远程和本地对Web应用系统的部署环境进行相互验证式检测,能够更准确的获取Web应用系统的生态环境信息,提高对Web应用安全态势评估的全面性,减少漏洞信息的误报;最终评估结果通过可视化技术进行直观展示,减少人工对评估结果分析和研判的工作量,及时全面的为Web应用的安全防护提供决策支持,所以,有效解决了现有的安全检测和评估方法存在的漏洞扫描效率低且精度差、容易出现较多的漏洞误报信息和无法检测的情况、漏洞扫描系统的时效性和扩展性差、呈现方式不合理的技术问题,进而实现了利用本系统能够高效、准确的完成漏洞扫描,且减少了漏洞误报信息和无法检测的情况,漏洞扫描系统的时效性和扩展性较好、呈现方式合理的技术效果。
[0017]为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
[0018]实施例一:
在实施例一中,提供了一种基于多源数据融合的Web应用安全态势评估系统,请参考图1-图5,所述系统包括:
漏洞信息采集子系统、Web应用生态环境检测子系统、Web应用安全态势评估子系统、安全态势展示子系统,其中,所述漏洞信息采集子系统用于采集公开的权威漏洞数据库、开放标准的漏洞扩展信息和Web应用相关系统厂商安全公告中的漏洞信息,生成漏洞基因信息数据库;所述Web应用生态环境检测子系统用于检测部署Web应用的主机、网络环境,以及开发和部署Web应用过程中所安装的应用程序和第三方插件信息,生成Web应用生态环境数据库;所述Web应用安全态势评估子系统用于融合漏洞基因信息数据库、生态环境数据库和安全设备检测结果并进行关联分析,评估Web应用安全态势;所述安全态势展示子系统用于根据所述Web应用安全态势评估子系统的评估结果,以可视化形式直观展示Web应用的安全态势。
[0019]其中,在本申请实施例中,所述漏洞信息采集子系统包括:权威漏洞数据库信息采集模块、开放标准的漏洞扩展信息采集模块、厂商安全公告信息采集模块和分类信息结构化处理主模块,所述漏洞信息采集子系统实现步骤为:
(1)通过公开的权威漏洞数据库采集Web应用相关的最新漏洞的CVE_ID、CIA偏向、攻击向量、权限、中文信息、漏洞位置、利用方式、漏洞影响信息;
(2)通过Web应用系统厂商的安全公告信息采集最新漏洞的CVE_ID、Vendor_ID信息;
(3)根据CVE_ID、Vend0r_ID检索开放标准的漏洞扩展信息采集漏洞相关的漏洞分类、漏洞描述、攻击模式、受影响系统信息;
(4)分类信息结构化处理主模块对前述三个步骤的信息采集数据进行逻辑化关联分析整理,通过对漏洞信息的全方位收集和规范化整理,形成完备的漏洞基因信息。
[0020]其中,在本申请实施例中,所述Web应用生态环境检测子系统包括:远程扫描模块、本地检测模块和数据关联分析模块,所述Web应用生态环境检测子系统实现步骤为:
(1)远程扫描模块通过扫描插件远程扫描Web应用所在主机的网络环境,确定开放的服务和端口信息;
(2)本地检测模块作为独立运行的程序模块,部署于被检测目标系统的主机上,用于检测部署Web应用相关的系统厂商信息和使用的第三方插件信息,精确检测相关程序的名称和版本信息;
(3)数据关联分析模块对前述两个步骤检测的信息进行关联分析,获取当前Web应用部署环境的生态信息。
[0021]其中,在本申请实施例中,所述Web应用安全态势评估子系统通过安全态势关联分析模块实现,具体实现步骤为:
(1)安全态势关联分析模块对漏洞基因信息和Web应用部署环境的生态信息的数据进行关联分析,将漏洞信息对应到实际部署的Web应用系统;
(2)融合安全漏洞检测设备的检测结果,获取当前Web应用系统准确的漏洞信息;
(3)依据漏洞基因信息中的信息,从漏洞严重性、漏洞CIA偏向、漏洞攻击模式和漏洞影响范围进行安全态势评估。
[0022]其中,在本申请实施例中,所述安全态势展示子系统通过态势展示处理模块实现,所述态势展示处理模块根据所述Web应用安全态势评估子系统的评估结果,对评估结果从漏洞数量和分类、漏洞CIA偏向、漏洞影响范围、漏洞预警四个方面进行直观的可视化展不O
[0023]其中,在本申请实施例中,本方案生成的漏洞信息更全面、漏洞检测结果更精确,能为Web应用的安全防护提供及时、全面的决策支持信息。
[0024]本实施例所涉及的基于多源数据融合的Web应用安全态势评估系统其结构如图1所示,该系统由漏洞信息采集子系统VIC、Web应用生态环境检测子系统AED、Web应用安全态势评估子系统ASSA、安全态势展示子系统ASSD构成。
[0025]漏洞信息采集子系统VIC如图2所示,基于权威漏洞数据库和主流的开放标准(CVE, NVD, CNNVD、CPE、CWE、CAPEC, CVSS),使用 Python、Sqlite, openCVSS 开源技术进行开发,支持与第三方安全引用(CVSS、0SVDB、0VAL)和Web应用系统厂商安全公告(Microsoft、IBM、Apache、Bro I and)的关联;为适应现在企事业单位存在的内外网物理隔离的网络部署现状,该子系统可以独立运行,以支持漏洞信息的离线获取并支持跨系统平台的使用(Windows、Linux)。
[0026]VIC子系统包括权威漏洞数据库信息采集模块、开放标准的漏洞扩展信息采集模块、厂商安全公告信息采集模块和分类信息结构化处理主模块Vic Coreo其主要功能实现步骤为:
(1)通过公开的权威漏洞数据库采集Web应用相关的最新漏洞的CVE_ID、CIA偏向、攻击向量、权限、中文信息、、漏洞位置、利用方式、漏洞影响信息;
(2)通过Web应用系统厂商的安全公告信息采集最新漏洞的CVE_ID、Vendor_ID信息;
(3)根据CVE_ID、Vend0r_ID检索开放标准的漏洞扩展信息采集漏洞相关的漏洞分类、漏洞描述、攻击模式、受影响系统信息。
[0027](4) VIC Core对前述三个步骤的信息采集数据进行逻辑化关联分析整理,通过对漏洞信息的全方位收集和规范化整理,形成完备的漏洞基因信息VIC Correlated DB。
[0028]Web应用生态环境检测子系统AED如图3所示,使用Python、Sqlite开源技术进行开发;AED子系统包括远程扫描模块、本地检测模块和数据关联分析模块AED Engine ;其主要功能实现步骤为:
(1)远程扫描模块通过扫描插件远程扫描Web应用所在主机的网络环境,确定开放的服务和端口信息;
(2)本地检测模块作为独立运行的程序模