專利名稱:一種在應(yīng)用安全系統(tǒng)中進(jìn)行精確風(fēng)險檢測的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)應(yīng)用安全管理技術(shù)領(lǐng)域,尤其涉及一種在計算機(jī)應(yīng)用安全系統(tǒng)中進(jìn)行風(fēng)險檢測的方法及系統(tǒng)。
背景技術(shù):
隨著計算機(jī)技術(shù)的發(fā)展,各種安全問題也從以前的網(wǎng)絡(luò)、主機(jī)層面上升到應(yīng)用層面。越來越多的安全問題都是發(fā)生在WEB應(yīng)用、數(shù)據(jù)庫應(yīng)用中,而且造成了越來越大的危害。為了應(yīng)對這些新的安全威脅趨勢,各種組織和個人都在加強(qiáng)應(yīng)用安全的防護(hù)水平,也有各個廠商提出了應(yīng)用安全的檢測、防護(hù)產(chǎn)品和方案。應(yīng)用安全產(chǎn)品包括WEB應(yīng)用防火墻、數(shù)據(jù)庫審計、WEB應(yīng)用掃描器、終端安全產(chǎn)品、上網(wǎng)行為監(jiān)控等。根據(jù)組織的應(yīng)用規(guī)模,他們可能部署了大量的應(yīng)用層安全設(shè)備,甚至可以達(dá)到上百臺。由于存在各種攻擊和不正常訪問,這些應(yīng)用安全設(shè)備會產(chǎn)生大量的安全事件,如何從這些安全事件中,找出真正的威脅,組織一般沒有人力能夠逐一處理,找出真正的威脅。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是,克服現(xiàn)有技術(shù)中的不足,提供一種在應(yīng)用安全系統(tǒng)中進(jìn)行精確風(fēng)險檢測的方法及系統(tǒng)。為解決該技術(shù)問題,本發(fā)明的解決方案是提供一種在應(yīng)用安全系統(tǒng)中進(jìn)行精確風(fēng)險檢測的方法,包括如下步驟A、從事件中識別出威脅特征,根據(jù)威脅特征進(jìn)行威脅標(biāo)準(zhǔn)化處理,并通過檢索得到威脅利用的弱點列表;B、從事件中識別出事件應(yīng)用目標(biāo),并通過檢索得到事件應(yīng)用目標(biāo)暴漏的弱點列表;C、比較威脅利用的漏洞列表和目標(biāo)暴露的漏洞列表,根據(jù)兩個漏洞列表是否存在相同項或相關(guān)項來判定事件是否為安全風(fēng)險,具體為如果兩個漏洞列表有單一相同項,則判定事件為風(fēng)險,且風(fēng)險可信度為100% ;如果兩個漏洞列表有單一相關(guān)項,則判定事件為風(fēng)險,且風(fēng)險可信度為此相關(guān)項的相關(guān)度;如果兩個漏洞列表有多個相同項或相關(guān)項,則判定事件為風(fēng)險,且風(fēng)險可信度為多個可信度的最高值。本發(fā)明中,步驟A中所述的檢索基于一個外部的威脅映射庫;威脅映射庫中包含各種威脅利用標(biāo)準(zhǔn)化弱點的信息,該信息的分類是基于安全分類標(biāo)準(zhǔn)或基于應(yīng)用安全廠商對于事件的威脅分類。本發(fā)明中,步驟B中所述的檢索基于一個外部的資產(chǎn)弱點信息庫;資產(chǎn)弱點信息庫中包含應(yīng)用業(yè)務(wù)資產(chǎn)的弱點暴漏信息,該信息包括事件訪問的URI信息、URI參數(shù)信息、 數(shù)據(jù)庫信息、數(shù)據(jù)表信息、存儲過程信息及其它與應(yīng)用業(yè)務(wù)相關(guān)的任何信息。本發(fā)明中,還包括對步驟C檢測到的風(fēng)險進(jìn)行定級的內(nèi)容通過檢索一個外部的資產(chǎn)價值信息庫得到應(yīng)用業(yè)務(wù)資產(chǎn)價值的信息,根據(jù)預(yù)置的規(guī)則結(jié)合風(fēng)險和資產(chǎn)價值對風(fēng)險定級。本發(fā)明中,所述資產(chǎn)價值包括資產(chǎn)擁有成本、資產(chǎn)收益回報和資產(chǎn)不可用后的恢復(fù)代價。進(jìn)一步地,本發(fā)明還提供了一種用于實現(xiàn)前述方法的在應(yīng)用安全系統(tǒng)中進(jìn)行精確風(fēng)險檢測的系統(tǒng),包括用于從各應(yīng)用安全設(shè)備接收日志文件的采集器和用于實現(xiàn)風(fēng)險檢測的風(fēng)險檢測引擎,風(fēng)險檢測引擎中包括分別連接至采集器的威脅識別模塊和目標(biāo)識別模塊;其中,威脅識別模塊經(jīng)威脅標(biāo)準(zhǔn)化處理模塊連接至風(fēng)險檢測模塊,目標(biāo)識別模塊經(jīng)弱點暴露檢索處理模塊連接至風(fēng)險檢測模塊;威脅標(biāo)準(zhǔn)化處理模塊還連接一個外部的威脅映射庫,模塊經(jīng)弱點暴露檢索處理模塊還連接一個外部的資產(chǎn)弱點信息庫。作為一種改進(jìn),所述目標(biāo)識別模塊經(jīng)資產(chǎn)價值檢索模塊連接至風(fēng)險定級模塊,資產(chǎn)價值檢索模塊還連接一個外部的資產(chǎn)價值信息庫。作為一種改進(jìn),所述應(yīng)用安全設(shè)備是應(yīng)用安全掃描器、數(shù)據(jù)庫審計系統(tǒng)或入侵檢測系統(tǒng)。作為一種改進(jìn),所述資產(chǎn)弱點信息庫連接至弱點掃描器。相對于現(xiàn)有技術(shù),本發(fā)明的有益效果在于1、可以進(jìn)行更精確的風(fēng)險檢測,由于是基于應(yīng)用目標(biāo)來確定暴漏的弱點列表,這個列表會更準(zhǔn)確。2、能夠進(jìn)行風(fēng)險的可信度估算,當(dāng)威脅利用的弱點列表和應(yīng)用目標(biāo)暴漏的弱點列表僅有相關(guān)項時,可以進(jìn)行風(fēng)險的可信度估算。
圖1為在應(yīng)用安全系統(tǒng)中進(jìn)行風(fēng)險檢測的總體流程框圖;圖2為在應(yīng)用安全系統(tǒng)中進(jìn)行風(fēng)險檢測的運(yùn)行框圖。
具體實施例方式首先需要說明的是,本發(fā)明涉及數(shù)據(jù)庫技術(shù),是計算機(jī)技術(shù)在信息安全技術(shù)領(lǐng)域的一種應(yīng)用。在本發(fā)明的實現(xiàn)過程中,會涉及到多個軟件功能模塊的應(yīng)用。申請人認(rèn)為,如在仔細(xì)閱讀申請文件、準(zhǔn)確理解本發(fā)明的實現(xiàn)原理和發(fā)明目的以后,在結(jié)合現(xiàn)有公知技術(shù)的情況下,本領(lǐng)域技術(shù)人員完全可以運(yùn)用其掌握的軟件編程技能實現(xiàn)本發(fā)明。前述軟件功能模塊包括但不限于應(yīng)用安全設(shè)備、采集器、風(fēng)險檢測引擎,風(fēng)險檢測引擎中的威脅識別模塊和目標(biāo)識別模塊、威脅標(biāo)準(zhǔn)化處理模塊、風(fēng)險檢測模塊、弱點暴露檢索處理模塊、威脅映射庫、資產(chǎn)弱點信息庫、資產(chǎn)價值檢索模塊、風(fēng)險定級模塊、資產(chǎn)價值信息庫、應(yīng)用安全掃描器、數(shù)據(jù)庫審計系統(tǒng)、入侵檢測系統(tǒng)、弱點掃描器等,凡本發(fā)明申請文件提及的均屬此范疇,申請人不再一一列舉。為確保理解準(zhǔn)確、避免產(chǎn)生歧義或不清楚,首先對本發(fā)明涉及的部分術(shù)語進(jìn)行解釋如下威脅又稱安全威脅,指對應(yīng)用系統(tǒng)進(jìn)行的各種惡意、不正當(dāng)?shù)男袨椋觞c指應(yīng)用系統(tǒng)中所固有的缺陷,能夠被惡意攻擊者利用,對系統(tǒng)造成危害或損失。風(fēng)險描述在受到各種威脅的情況下,應(yīng)用系統(tǒng)所處的一種安全狀態(tài)(可能性)。 一般是通過檢測威脅的有效性來進(jìn)行。本發(fā)明中的基本原理是,采集器從各種應(yīng)用安全設(shè)備接收信息后進(jìn)行分析處理, 風(fēng)險檢測引擎再進(jìn)行風(fēng)險檢測。在本發(fā)明中,各個應(yīng)用安全設(shè)備的告警通過日志的形式發(fā)送給采集器,采集器對日志進(jìn)行分析處理后,成為一個安全事件。安全事件包括攻擊威脅信息、目標(biāo)信息,這些信息由采集器對日志進(jìn)行分析得到。安全事件由采集器送給風(fēng)險檢測引擎進(jìn)行風(fēng)險檢測。安全事件的威脅信息可以用來確定此威脅利用了哪些弱點,而目標(biāo)信息可以用來確定目標(biāo)對應(yīng)的應(yīng)用。通過查詢一個應(yīng)用弱點信息庫,可以得到此目標(biāo)應(yīng)用所暴露的弱點。然后通過對比安全事件所利用的弱點、目標(biāo)應(yīng)用所暴露的弱點,我們可以判定此安全事件是否為一個風(fēng)險。另外,通過對目標(biāo)應(yīng)用的價值評估,我們可以進(jìn)一步進(jìn)行風(fēng)險定級。下面結(jié)合具體實例對本發(fā)明進(jìn)行詳細(xì)描述。圖1中描述了在安全事件中進(jìn)行風(fēng)險檢測的過程,具體的過程如下201接收事件風(fēng)險檢測引擎100接收事件104。202威脅識別根據(jù)事件104中的各種字段信息,識別出事件的威脅信息。203標(biāo)準(zhǔn)化威脅利用的漏洞列表根據(jù)識別出來的威脅信息,通過查詢威脅映射庫,得到標(biāo)準(zhǔn)化的事件利用的弱點列表110。204目標(biāo)識別根據(jù)事件的各種字段信息,識別出目標(biāo)應(yīng)用業(yè)務(wù)資產(chǎn)信息。205檢索目標(biāo)暴漏的漏洞列表根據(jù)事件目標(biāo)去檢索資產(chǎn)弱點信息庫,得到此事件目標(biāo)上暴漏的弱點列表。206風(fēng)險檢測根據(jù)事件利用的弱點列表、事件目標(biāo)暴漏的弱點列表進(jìn)行比較,確定事件是否是一個風(fēng)險。207風(fēng)險定級當(dāng)事件被確定為一個風(fēng)險后,根據(jù)此事件目標(biāo)檢索出資產(chǎn)價值,通過價值評估后,對風(fēng)險進(jìn)行定級處理,得到定級后的風(fēng)險,可以繼續(xù)進(jìn)行后續(xù)處理。圖二描述了本發(fā)明中的風(fēng)險檢測引擎的一個具體例子,以及相關(guān)的其他實體部分、交互的信息。首先使用各種應(yīng)用安全設(shè)備101,如應(yīng)用安全掃描器、數(shù)據(jù)庫審計系統(tǒng)、入侵檢測系統(tǒng)(IDS)等,把日志102發(fā)送到采集器103。這些日志可能描述了也可能是應(yīng)用安全設(shè)備 101檢測到的一些攻擊行為,也可能是應(yīng)用安全設(shè)備101檢測到的可疑訪問行為,也可能是某些設(shè)備上一些狀態(tài)的變化情況等。這些日志102經(jīng)過采集器103的解析、分析、標(biāo)準(zhǔn)化處理,形成了事件104。事件 104中包括了威脅信息、目標(biāo)信息。采集器103形成事件104后,把事件104送給風(fēng)險檢測引擎100。風(fēng)險檢測引擎100基于收到的事件104進(jìn)行風(fēng)險檢測,最終得到風(fēng)險事件114。風(fēng)險檢測引擎100收到事件104后,首先交由威脅識別模塊105進(jìn)行識別處理,以識別事件 104中的威脅特征106。比如來自安恒WEB應(yīng)用防火墻的日志,通過采集器的解析后,事件 104中就會包含一個“攻擊類型”的字段,這個字段的值可能是類似“SQL注入攻擊”或者 “XSS腳本注入攻擊”等,這個信息就可以被威脅識別模塊105識別為威脅特征106。
以上得到的威脅特征106,由威脅標(biāo)準(zhǔn)化處理模塊109進(jìn)行威脅標(biāo)準(zhǔn)化處理。經(jīng)過標(biāo)準(zhǔn)化處理后,每個威脅特征106,都被標(biāo)準(zhǔn)化為一些標(biāo)準(zhǔn)的、知名的、統(tǒng)一的利用的弱點列表 110。威脅標(biāo)準(zhǔn)化處理模塊109通過檢索一個外部的威脅映射庫120來確定事件104所利用的弱點列表110。威脅映射庫120是包含了各種威脅是如何利用標(biāo)準(zhǔn)化弱點的信息。 這些信息可以來自各種安全分類標(biāo)準(zhǔn),比如WEB應(yīng)用安全領(lǐng)域的OWASP分類;也可以來自應(yīng)用安全廠商的官方文檔說明,如具體某個應(yīng)用安全防火墻廠商對于每個告警日志的說明; 也可以來自安全專家的經(jīng)驗總結(jié)。事件104還包括一些目標(biāo)字段信息,比如目標(biāo)IP地址、目標(biāo)網(wǎng)站DNS域名、目標(biāo)網(wǎng)站主機(jī)名、訪問的URL等。風(fēng)險檢測引擎100收到事件104后,通過目標(biāo)識別模塊107來進(jìn)行事件的目標(biāo)分析。事件的這些目標(biāo)信息被目標(biāo)識別模塊107處理后,得到了事件目標(biāo) 108,事件目標(biāo)108 —般表示一種應(yīng)用資產(chǎn)或者業(yè)務(wù)資產(chǎn),比如某個WEB網(wǎng)站,或者某個業(yè)務(wù) URL,或者某個業(yè)務(wù)數(shù)據(jù)庫表等。以上識別到的事件目標(biāo)108,由弱點暴露檢索處理模塊111進(jìn)行弱點暴露檢索處理,經(jīng)過檢索查找這個事件目標(biāo)108上所暴露的弱點列表112。弱點暴漏檢索處理模塊111通過一個外部的資產(chǎn)弱點信息庫121來查詢到事件目標(biāo)上所暴漏的弱點列表112。資產(chǎn)弱點信息庫121包含了每個應(yīng)用業(yè)務(wù)資產(chǎn)的弱點暴漏信息。這些信息可以有多種方式得到。一種常見的方式如圖1中所述。通過弱點掃描器123,如安恒WebScan掃描器、IBM 的AppScan掃描器等,對目標(biāo)應(yīng)用業(yè)務(wù)資產(chǎn),如TOB網(wǎng)站進(jìn)行掃描分析,得到掃描結(jié)果124, 通過一個掃描結(jié)果導(dǎo)入125工具,對掃描到的弱點信息進(jìn)行標(biāo)準(zhǔn)化處理,然后錄入到資產(chǎn)弱點信息庫121中。另外一種常見的方式是通過人工對目標(biāo)應(yīng)用資產(chǎn)進(jìn)行安全評估、滲透測試等方式,發(fā)現(xiàn)目標(biāo)應(yīng)用資產(chǎn)暴漏的弱點信息,然后錄入到資產(chǎn)弱點信息庫121中。當(dāng)分析檢測引擎100得到了事件104利用的弱點列表110信息、事件104目標(biāo)上暴漏的弱點列表112信息后,就可以進(jìn)行風(fēng)險檢測了。風(fēng)險檢測模塊113通過比較事件104利用的弱點列表110、事件104目標(biāo)暴漏的弱點列表112,如果發(fā)現(xiàn)有相同的弱點存在,就可以確定事件104為一個安全風(fēng)險114 ;如果發(fā)現(xiàn)沒有相同的弱點存在,就可以確定事件104是一個可疑的威脅事件。另外,上面得到的事件目標(biāo)108,可以通過資產(chǎn)價值檢索可以得到此目標(biāo)應(yīng)用資產(chǎn)價值,由資產(chǎn)價值檢索模塊115通過查詢外部的一個資產(chǎn)價值信息庫122得到目標(biāo)應(yīng)用資產(chǎn)價值。資產(chǎn)價值信息庫122記錄了每一個應(yīng)用業(yè)務(wù)的價值信息,這些信息一般是通過人工方式維護(hù)的,如通過業(yè)務(wù)評估分析得出每一個應(yīng)用、業(yè)務(wù)資產(chǎn)價值116。如果風(fēng)險檢測模塊113把此事件104檢測為一個風(fēng)險114,則可以進(jìn)一步對此風(fēng)險 114進(jìn)行定級。風(fēng)險定級模塊117可以將風(fēng)險114、資產(chǎn)價值116聯(lián)系起來,根據(jù)各種預(yù)置的定級算法來確定風(fēng)險的等級,就得到了定級后的風(fēng)險118。這些定級后的風(fēng)險118就可以被用于進(jìn)行后續(xù)處理119。
權(quán)利要求
1.一種在應(yīng)用安全系統(tǒng)中進(jìn)行精確風(fēng)險檢測的方法,其特征在于,包括如下步驟A、從事件中識別出威脅特征,根據(jù)威脅特征進(jìn)行威脅標(biāo)準(zhǔn)化處理,并通過檢索得到威脅利用的弱點列表;B、從事件中識別出事件應(yīng)用目標(biāo),并通過檢索得到事件應(yīng)用目標(biāo)暴漏的弱點列表;C、比較威脅利用的漏洞列表和目標(biāo)暴露的漏洞列表,根據(jù)兩個漏洞列表是否存在相同項或相關(guān)項來判定事件是否為安全風(fēng)險,具體為如果兩個漏洞列表有單一相同項,則判定事件為風(fēng)險,且風(fēng)險可信度為100% ;如果兩個漏洞列表有單一相關(guān)項,則判定事件為風(fēng)險, 且風(fēng)險可信度為此相關(guān)項的相關(guān)度;如果兩個漏洞列表有多個相同項或相關(guān)項,則判定事件為風(fēng)險,且風(fēng)險可信度為多個可信度的最高值。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟A中所述的檢索基于一個外部的威脅映射庫;威脅映射庫中包含各種威脅利用標(biāo)準(zhǔn)化弱點的信息,該信息的分類是基于安全分類標(biāo)準(zhǔn)或基于應(yīng)用安全廠商對于事件的威脅分類。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟B中所述的檢索基于一個外部的資產(chǎn)弱點信息庫;資產(chǎn)弱點信息庫中包含應(yīng)用業(yè)務(wù)資產(chǎn)的弱點暴漏信息,該信息包括事件訪問的URI信息、URI參數(shù)信息、數(shù)據(jù)庫信息、數(shù)據(jù)表信息、存儲過程信息及其它與應(yīng)用業(yè)務(wù)相關(guān)的任何信息。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括對步驟C檢測到的風(fēng)險進(jìn)行定級的內(nèi)容通過檢索一個外部的資產(chǎn)價值信息庫得到應(yīng)用業(yè)務(wù)資產(chǎn)價值的信息,根據(jù)預(yù)置的規(guī)則結(jié)合風(fēng)險和資產(chǎn)價值對風(fēng)險定級。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述資產(chǎn)價值包括資產(chǎn)擁有成本、資產(chǎn)收益回報和資產(chǎn)不可用后的恢復(fù)代價。
6.一種用于實現(xiàn)權(quán)利要求1所述方法的在應(yīng)用安全系統(tǒng)中進(jìn)行精確風(fēng)險檢測的系統(tǒng), 其特征在于,包括用于從各應(yīng)用安全設(shè)備接收日志文件的采集器和用于實現(xiàn)風(fēng)險檢測的風(fēng)險檢測引擎,風(fēng)險檢測引擎中包括分別連接至采集器的威脅識別模塊和目標(biāo)識別模塊;其中,威脅識別模塊經(jīng)威脅標(biāo)準(zhǔn)化處理模塊連接至風(fēng)險檢測模塊,目標(biāo)識別模塊經(jīng)弱點暴露檢索處理模塊連接至風(fēng)險檢測模塊;威脅標(biāo)準(zhǔn)化處理模塊還連接一個外部的威脅映射庫, 模塊經(jīng)弱點暴露檢索處理模塊還連接一個外部的資產(chǎn)弱點信息庫。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述目標(biāo)識別模塊經(jīng)資產(chǎn)價值檢索模塊連接至風(fēng)險定級模塊,資產(chǎn)價值檢索模塊還連接一個外部的資產(chǎn)價值信息庫。
8.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述應(yīng)用安全設(shè)備是應(yīng)用安全掃描器、數(shù)據(jù)庫審計系統(tǒng)或入侵檢測系統(tǒng)。
9.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述資產(chǎn)弱點信息庫連接至弱點掃描器。
全文摘要
本發(fā)明涉及計算機(jī)應(yīng)用安全管理技術(shù),旨在提供一種在應(yīng)用安全系統(tǒng)中進(jìn)行精確風(fēng)險檢測的方法及系統(tǒng)。該方法包括從事件中識別出威脅特征,根據(jù)威脅特征進(jìn)行威脅標(biāo)準(zhǔn)化處理,并通過檢索得到威脅利用的弱點列表;從事件中識別出事件應(yīng)用目標(biāo),并通過檢索得到事件應(yīng)用目標(biāo)暴漏的弱點列表;比較威脅利用的漏洞列表和目標(biāo)暴露的漏洞列表,根據(jù)兩個漏洞列表是否存在相同項或相關(guān)項來判定事件是否為安全風(fēng)險。本發(fā)明可以進(jìn)行更精確的風(fēng)險檢測,當(dāng)威脅利用的弱點列表和應(yīng)用目標(biāo)暴漏的弱點列表僅有相關(guān)項時,可以進(jìn)行風(fēng)險的可信度估算。
文檔編號H04L12/24GK102546641SQ20121001111
公開日2012年7月4日 申請日期2012年1月14日 優(yōu)先權(quán)日2012年1月14日
發(fā)明者楊永清, 范淵, 談修竹 申請人:杭州安恒信息技術(shù)有限公司