技術領域

本發明涉及的是一種網絡安全技術領域的系統，具體是一種基于權限提升的網絡脆弱性分析系統。

背景技術

隨著計算機技術的不斷發展，運行其上的軟件日益復雜，而且計算機網絡技術的不斷增強也使得遠程訪問越來越頻繁，這些都使得系統的脆弱性大量出現。網絡安全問題的根源在于網絡脆弱性，只有清楚的了解網絡自身的脆弱點，才能更合理的配置資源、制定策略，實現對網絡安全的保護。網絡脆弱性的分析已經成為信息安全研究領域的重要課題。

通過對國內外文獻的檢索發現，Oleg?Sheyner等人在Automated?Generation?andAnalysis?of?Attack?Graphs中詳細介紹了一種模型檢測方法，用于分析小型網絡安全。它可以判斷目標狀態是否可以達到，若可以則給出到達路徑。但是生成的網絡攻擊圖存在很多冗余和重復路徑，且系統狀態空間過大，待考察的狀態呈指數增長，生成網絡攻擊圖所需的存儲空間以及時間都較大，無法在大規模網絡上推廣應用。另外，Skybox?Security公司在2004年發布了一款名叫Skybox?View的網絡攻擊圖生成工具，但是它只能利用本公司開發的漏洞數據庫，對外兼容性不好。

發明內容

本發明針對現有技術存在的上述不足，提供一種基于權限提升的網絡脆弱性分析系統，用于從全局整體的角度分析網絡系統的安全隱患，即通過生成的攻擊圖識別信息系統中同一主機或不同主機之間漏洞組合帶來的安全問題。基于網絡連通性、漏洞、系統配置等信息，自動生成網絡攻擊圖，即網絡系統中潛在的攻擊路徑集合，幫助管理員識別漏洞組合對系統安全的影響，了解整個系統的安全狀況。

本發明是通過以下技術方案實現的，本發明包括：漏洞檢測模塊、攻擊信息知識庫、網絡攻擊圖生成模塊和攻擊圖可視化模塊，其中：漏洞檢測模塊與網絡攻擊圖生成模塊連接并傳輸漏洞信息、網絡連通信息和主機信息，攻擊信息知識庫與網絡攻擊圖生成模塊連接并傳輸漏洞利用信息，網絡攻擊圖生成模塊與攻擊圖可視化模塊連接并輸出整個信息系統的網絡攻擊圖。

所述的漏洞檢測模塊包括：系統定制模塊、系統測試模塊、數據處理模塊和Socket通信模塊，其中：服務器控制臺端的系統定制模塊與其Socket通信模塊相連并傳輸指定的目標服務器、監聽端口信息，服務器控制臺端的Socket通信模塊向其系統定制模塊輸入連接狀態信息，數據處理模塊與系統定制模塊相連并傳輸識別的漏洞信息，服務器控制臺端的Socket通信模塊與數據處理模塊相連并傳輸識別的漏洞編號，客戶代理檢測器端的系統定制模塊與其Socket通信模塊和系統測試模塊相連，分別傳輸端口信息和漏洞參數設置信息，系統測試模塊與其Socket通信模塊相連并輸出漏洞編碼、連接工作狀態等信息，服務器控制臺端和客戶代理檢測器端的通信模塊負責客戶端檢測代理和服務器端控制臺之間的信息傳遞。

所述的系統定制模塊提供指定IP或IP段的主機掃描，設置連接端口，顯示連接狀態和錯誤報告、結果匯總顯示功能，檢測代理端系統定制模塊用于設置監聽端口、漏洞掃描的參數，如漏洞類型、定義狀態。

所述的系統測試模塊用于測試特定系統上存在的安全漏洞，通過系統測試，將測試結果和OVAL定義(開放弱點評估定義)進行對比，進而確定系統中存在的安全漏洞，然后通過Socket通信將信息上傳到服務器端控制臺。經數據處理后寫入后臺數據庫中，為網絡攻擊圖生成模塊提供漏洞信息、網絡連通信息和主機信息。

所述的系統測試指：經過系統定制，檢測器按照特定系統對應的OVAL定義文件中所列出的測試項目對系統執行測試，并給出格式化的漏洞檢測結果。

所述的OVAL定義是指三種由XML語言描述的信息：OVAL漏洞定義(確定系統是否存在特定的系統漏洞)、OVAL補丁定義(確定系統是否存在特定的安全補丁)、OVAL順從(Compliance)定義(確定系統的配置信息)。它詳細定義了狀態機的信息，可以使系統測試實現自動化。

所述的數據處理模塊以CVE漏洞庫作為數據庫，供查詢詳細的漏洞信息，并以HTML格式和樹形結構顯示處理后的漏洞信息。

所述的通信模塊采用Socket安全套結字多線程實現。

所述的數據處理是指：根據系統測試結果，查詢CVE漏洞庫，得到詳細的漏洞信息。

所述的攻擊信息知識庫中存儲漏洞攻擊信息，該漏洞攻擊信息包括該漏洞的利用前提條件和由此造成的后果。