1.一種基于漏洞庫的自動(dòng)化軟件漏洞驗(yàn)證系統(tǒng)，其特征在于，包括目標(biāo)系統(tǒng)掃描模塊、漏洞庫服務(wù)模塊、文本分析器和漏洞攻擊模塊，

所述目標(biāo)系統(tǒng)掃描模塊用于采用Nessus安全掃描軟件對(duì)目標(biāo)操作系統(tǒng)進(jìn)行掃描，掃描的目標(biāo)信息包括系統(tǒng)信息和漏洞信息，所述系統(tǒng)信息包括目標(biāo)操作系統(tǒng)類型和版本信息、目標(biāo)操作系統(tǒng)開啟的服務(wù)信息，所有目標(biāo)信息使用XML格式收集和保存，作為文本分析器的輸入；

所述文本分析器用于獲取所述目標(biāo)信息，對(duì)這些數(shù)據(jù)進(jìn)行解析、組合，使其成為Metasploit框架能夠識(shí)別的數(shù)據(jù)；

所述漏洞庫服務(wù)模塊包含Metasploit框架和漏洞庫，所述Metasploit框架用于為文本分析器提供漏洞庫服務(wù)，同時(shí)用于根據(jù)攻擊任務(wù)對(duì)目標(biāo)發(fā)起攻擊和接收攻擊響應(yīng)；Metasploit框架與漏洞攻擊模塊之間采用XML-RPC協(xié)議進(jìn)行交互；

所述漏洞攻擊模塊用于在接收到解析、組合后的目標(biāo)信息時(shí)構(gòu)建攻擊任務(wù)請(qǐng)求，并發(fā)送攻擊任務(wù)請(qǐng)求給Metasploit框架，攻擊任務(wù)請(qǐng)求中包含攻擊任務(wù)，攻擊任務(wù)中包含攻擊需要的目標(biāo)信息以及所需要的漏洞信息。

2.一種利用權(quán)利要求1所述的系統(tǒng)實(shí)現(xiàn)的自動(dòng)化軟件漏洞驗(yàn)證方法，其特征在于，包括以下步驟：

S1、所述目標(biāo)系統(tǒng)掃描模塊獲取目標(biāo)信息

使用Nessus安全掃描軟件對(duì)目標(biāo)操作系統(tǒng)進(jìn)行掃描，收集的目標(biāo)信息中，系統(tǒng)信息用osInf表示，osInf＝{S,Ver,SP,serv,servB},其中S表示目標(biāo)操作系統(tǒng)類型，Ver為目標(biāo)操作系統(tǒng)版本，SP為目標(biāo)操作系統(tǒng)補(bǔ)丁版本，serv為目標(biāo)操作系統(tǒng)開啟的服務(wù)列表，servB為服務(wù)標(biāo)志信息，Ver為目標(biāo)操作系統(tǒng)版本，Ver和SP組成目標(biāo)操作系統(tǒng)版本信息，serv和servB組成目標(biāo)操作系統(tǒng)開啟的服務(wù)信息；所述漏洞信息用vulnInf＝{vuln_i}表示，vuln_i有多個(gè)，所述文本分析器將系統(tǒng)信息和漏洞信息進(jìn)行解析，將XML格式文件轉(zhuǎn)換為XML-RPC協(xié)議能夠識(shí)別的格式，組合成目標(biāo)信息tarInf，tarInf＝(osInf,vulnInf)，發(fā)送給所述漏洞攻擊模塊；

所述漏洞攻擊模塊發(fā)送攻擊任務(wù)請(qǐng)求給所述漏洞庫服務(wù)模塊的Metasploit框架；

所述漏洞庫服務(wù)模塊的Metasploit框架根據(jù)目標(biāo)系統(tǒng)掃描模塊獲取的目標(biāo)信息，查找到漏洞庫中對(duì)應(yīng)軟件及漏洞的攻擊腳本字段，根據(jù)攻擊腳本字段的存儲(chǔ)路徑執(zhí)行攻擊腳本字段，并依據(jù)漏洞庫中的漏洞類型選取攻擊的類型，如果是本地漏洞，則在目標(biāo)機(jī)運(yùn)行Metasploit框架根據(jù)攻擊任務(wù)執(zhí)行本地攻擊方式，如果是遠(yuǎn)程漏洞，則直接在攻擊機(jī)上使用Metasploit框架根據(jù)攻擊任務(wù)執(zhí)行遠(yuǎn)程攻擊方式；

所述Metasploit框架在發(fā)起遠(yuǎn)程攻擊后，根據(jù)攻擊機(jī)所反饋的響應(yīng)信息，判斷攻擊是否成功，在攻擊成功后，Metasploit框架獲取目標(biāo)操作系統(tǒng)的權(quán)限，進(jìn)入目標(biāo)操作系統(tǒng)并執(zhí)行系統(tǒng)命令；對(duì)于本地執(zhí)行的攻擊，所述Metasploit框架通過目標(biāo)機(jī)上的監(jiān)控程序監(jiān)控目標(biāo)軟件的運(yùn)行情況，Metasploit框架在執(zhí)行本地攻擊后，將攻擊機(jī)所反饋的結(jié)果與漏洞庫中預(yù)先存儲(chǔ)的攻擊效果相比較，若一致，則說明目標(biāo)軟件存在相應(yīng)漏洞，若不一致，則在攻擊過程中創(chuàng)建一個(gè)快照，分析差異，以確認(rèn)目標(biāo)軟件是否受此漏洞影響。

3.如權(quán)利要求2所述的方法，其特征在于，所述監(jiān)控程序?yàn)镃ore Dump或CREDAL。

4.如權(quán)利要求2所述的方法，其特征在于，所述漏洞庫中存儲(chǔ)的漏洞信息來源包括互聯(lián)網(wǎng)上獲取的漏洞數(shù)據(jù)。

5.如權(quán)利要求4所述的方法，其特征在于，所述互聯(lián)網(wǎng)上獲取的漏洞數(shù)據(jù)是通過構(gòu)建爬蟲獲取互聯(lián)網(wǎng)上的最新漏洞信息，所述互聯(lián)網(wǎng)包括漏洞網(wǎng)站CVE、NVD和Exploit-DB。

6.如權(quán)利要求2所述的方法，其特征在于，所述漏洞庫中的漏洞信息包括影響軟件、版本、漏洞類型、攻擊腳本、攻擊效果，由影響軟件及其版本號(hào)用于確定使用的攻擊腳本，漏洞類型用于確定是遠(yuǎn)程漏洞還是本地漏洞，確定漏洞驗(yàn)證的攻擊方式，攻擊效果用于對(duì)發(fā)起攻擊后對(duì)目標(biāo)產(chǎn)生的影響進(jìn)行判斷，攻擊腳本字段實(shí)際存儲(chǔ)的是攻擊腳本所在路徑，在實(shí)際執(zhí)行攻擊腳本時(shí)，通過查找該路徑可獲取對(duì)應(yīng)攻擊腳本。