主动式网络安全漏洞检测器

• 摘要：

  本发明公开了一种主动式网络安全漏洞检测器,其由检测代理、数据中心和分析控制台三大模块组成,相互协作实现漏洞的检测.其中检测代理收集系统配置信息,并上传到数据中心.分析控制台分析数据中心存放的信息,利用OVAL漏洞定义识别主机漏洞,并进一步应用谓词逻辑理论,进行攻击/漏洞的关联分析,发现漏洞组合带来的安全问题,可视化显示潜在的攻击路径.本发明可成功实现对网络系统的快速、高精度漏洞检测,且对被评估系统的性能影响小,可扩展性强,适用于网络安全的评估与管理.

• 专利类型：

  发明专利

• 申请/专利号：

  CN200510042655.6

• 申请日期：

  2005.05.10

• 公开/公告号：

  CN1694454

• 公开/公告日：

  2005-11-09

• 发明人：

  郑庆华 管晓宏 陈秀真 林晨光 赵婷 姚婷婷

• 申请人：

  西安交通大学

• 主分类号：

  H04L29/06,H,H04,H04L,H04L29

• 分类号：

  H04L29/06,H04L12/24,H,H04,H04L,H04L29,H04L12

• 主权项：

  1、一种主动式网络安全漏洞检测器,其特征在于,基于开放漏洞评估语言OVAL,分布收集系统配置信息、集中漏洞评估分析,实现对网络系统漏洞的检测,从中发现漏洞组合对保护目标的威胁,进一步直观显示威胁保护目标的潜在攻击路径;它包括检测代理、数据中心和分析控制台三部分内容:检测代理分布在待评估网络内的各个主机上,利用OVAL收集各主机的系统特征信息,并将其上传到数据中心,供评估分析使用;分析控制台是漏洞评估的用户接口,主要负责:1)根据评估需要,配置评估目标,选择检测策略和评估条件;2)控制检测系统的启停;3)利用开放漏洞评估语言定义OVALDefinitions,分析检测代理的上报信息,判断系统中存在的已知漏洞;4)基于发现的已知漏洞列表,应用谓词逻辑的攻击/漏洞关联分析模型,分析漏洞组合带来的安全问题;5)可视化显示识别的潜在攻击路径;数据中心采用数据库系统实现漏洞信息的存储和管理,主要包括攻击/漏洞基础知识库、攻击/漏洞关系表、各检测代理上报的系统配置信息和漏洞检测结果,数据中心与漏洞检测代理、分析控制台交互,协同完成漏洞检测;工作流程包括以下步骤:a.分析控制台发送"开始"控制命令,启动检测代理;b.检测代理发送"问候"消息,告知分析控制台准备就绪,等待任务;c.分析控制台接着发送"收集数据请求"信息,通知检测代理收集系统信息;d.检测代理向分析控制台发送"收集数据应答"信息,同时开始收集数据,并送往数据中心;e.当检测代理收集数据完毕时,向分析控制台发送"收集数据结束"通知;f.分析控制台接到"收集数据结束"通知,开始查询数据中心的信息,并根据查询结果进行漏洞判断.