技術領域

本發明涉及網絡安全技術領域，具體涉及一種基于漏洞庫的自動化軟件漏洞驗證系統及方法。

背景技術

軟件漏洞主要是由于軟件開發人員編碼不嚴謹或編碼錯誤所產生。軟件漏洞為攻擊者入侵打開方便之門，對使用者造成關鍵信息泄露、財產損失等問題。為提高軟件的安全性，對漏洞進行驗證可以消除漏洞、減少漏洞危害，漏洞驗證是分析軟件中存在的缺陷并對缺陷進行確認的一種技術。在漏洞驗證方面，目前有基于漏洞掃描，滲透測試，故障注入，形式化以及模型檢測的方法等，基于軟件漏洞掃描容易產生誤報，且許多漏洞單純通過漏洞掃描，驗證的說服力不夠；基于滲透測試方法進行驗證過多依賴人工參與，效率較低；基于故障注入方法存在生成的測試用例觸發效果較差的問題；而基于形式化以及模型檢測的方法漏報率較高，且通常需要提供軟件源碼進行建模，局限性較大。

發明內容

(一)要解決的技術問題

本發明要解決的技術問題是：如何提高漏洞驗證的效率，提高驗證結果的說服力，并實現漏洞的自動化驗證。

(二)技術方案

為了解決上述技術問題，本發明提供了一種基于漏洞庫的自動化軟件漏洞驗證系統，包括目標系統掃描模塊、漏洞庫服務模塊、文本分析器和漏洞攻擊模塊，

所述目標系統掃描模塊用于采用Nessus安全掃描軟件對目標操作系統進行掃描，掃描的目標信息包括系統信息和漏洞信息，所述系統信息包括目標操作系統類型和版本信息、目標操作系統開啟的服務信息，所有目標信息使用XML格式收集和保存，作為文本分析器的輸入；

所述文本分析器用于獲取所述目標信息，對這些數據進行解析、組合，使其成為Metasploit框架能夠識別的數據；

所述漏洞庫服務模塊包含Metasploit框架和漏洞庫，所述Metasploit框架用于為文本分析器提供漏洞庫服務，同時用于根據攻擊任務對目標發起攻擊和接收攻擊響應；Metasploit框架與漏洞攻擊模塊之間采用XML-RPC協議進行交互；

所述漏洞攻擊模塊用于在接收到解析、組合后的目標信息時構建攻擊任務請求，并發送攻擊任務請求給Metasploit框架，攻擊任務請求中包含攻擊任務，攻擊任務中包含攻擊需要的目標信息以及所需要的漏洞信息。

本發明還提供了一種利用所述的系統實現的自動化軟件漏洞驗證方法，包括以下步驟：

S1、所述目標系統掃描模塊獲取目標信息

使用Nessus安全掃描軟件對目標操作系統進行掃描，收集的目標信息中，系統信息用osInf表示，osInf＝{S,Ver,SP,serv,servB},其中S表示目標操作系統類型，Ver為目標操作系統版本，SP為目標操作系統補丁版本，serv為目標操作系統開啟的服務列表，servB為服務標志信息，Ver為目標操作系統版本，Ver和SP組成目標操作系統版本信息，serv和servB組成目標操作系統開啟的服務信息；所述漏洞信息用vulnInf＝{vuln_i}表示，vuln_i有多個，所述文本分析器將系統信息和漏洞信息進行解析，將XML格式文件轉換為XML-RPC協議能夠識別的格式，組合成目標信息tarInf，tarInf＝(osInf,vulnInf)，發送給所述漏洞攻擊模塊；

所述漏洞攻擊模塊發送攻擊任務請求給所述漏洞庫服務模塊的Metasploit框架；

所述漏洞庫服務模塊的Metasploit框架根據目標系統掃描模塊獲取的目標信息，查找到漏洞庫中對應軟件及漏洞的攻擊腳本字段，根據攻擊腳本字段的存儲路徑執行攻擊腳本字段，并依據漏洞庫中的漏洞類型選取攻擊的類型，如果是本地漏洞，則在目標機運行Metasploit框架根據攻擊任務執行本地攻擊方式，如果是遠程漏洞，則直接在攻擊機上使用Metasploit框架根據攻擊任務執行遠程攻擊方式；

所述Metasploit框架在發起遠程攻擊后，根據攻擊機所反饋的響應信息，判斷攻擊是否成功，在攻擊成功后，Metasploit框架獲取目標操作系統的權限，進入目標操作系統并執行系統命令；對于本地執行的攻擊，所述Metasploit框架通過目標機上的監控程序監控目標軟件的運行情況，Metasploit框架在執行本地攻擊后，將攻擊機所反饋的結果與漏洞庫中預先存儲的攻擊效果相比較，若一致，則說明目標軟件存在相應漏洞，若不一致，則在攻擊過程中創建一個快照，分析差異，以確認目標軟件是否受此漏洞影響。

優選地，所述監控程序為Core Dump或CREDAL。