| 发明名称 | 一种基于静态和动态分析技术的主机系统安全评估方法 | ||
| 摘要 | 本发明公开了一种基于静态和动态分析技术的主机系统安全评估方法,分析评估主机系统是否存在安全风险。本系统包括:静态数据采集器、动态数据采集器、远程分析服务器。通过本方法对主机系统安全性进行安全评估时的流程是通过上传静态数据采集器,采集主机系统概要文件参数、服务列表、进程信息等静态安全数据,远程分析器进行综合关联分析,根据静态安全数据分析结果,对主机系统的服务响应、漏洞匹配、深度逻辑安全等进行动态分析,通过静态和动态分析技术相结合的方法,确定主机系统是否存在安全风险。 | ||
| 申请公布号 | CN101894230B | 申请公布日期 | 2013.04.10 |
| 申请号 | CN201010226032.5 | 申请日期 | 2010.07.14 |
| 申请人 | 国网电力科学研究院;南京南瑞集团公司;国家电网公司 | 发明人 | 朱世顺;郭骞;唐汗青;林为民;余勇;从正海;杨维永 |
| 分类号 | G06F21/57(2013.01)I;H04L12/24(2006.01)I | 主分类号 | G06F21/57(2013.01)I |
| 代理机构 | 南京知识律师事务所 32207 | 代理人 | 汪旭东 |
| 主权项 | 一种基于静态和动态分析技术的主机系统安全评估方法,其特征在于,包含如下步骤:1)将分析器接入被评估主机系统所处的网络中,上传静态数据采集器,采集主机系统静态安全数据,包括概要文件参数、服务列表、进程信息;2)静态数据采集器向分析器返回主机系统静态安全数据,将上述主机系统静态安全数据与标准安全配置数据进行对比,若一致则表示主机系统安全,若不一致则转入步骤3);3)若主机系统开放的服务多于标准安全配置开放的服务,则针对标准安全配置之外的服务进行动态分析;4)上述动态分析依据主机系统开放的标准安全配置之外的服务而确定,具体为:若开放了ftp、Telnet或者SMTP/POP3服务,则加载常用的帐户口令字典表,检测是否存在不安全的帐户;根据服务返回的banner信息分析ftp、Telnet或者SMTP/POP3服务的版本,并确定该版本存在的已知安全漏洞;若开放了Web服务,则相对应的进行SQL注入、目录遍历、上传漏洞,若存在漏洞,则上传模拟的恶意代码,测试是否可以进行远程控制、权限提升;若为Windows NT系列操作系统,则加载常用的帐户口令字典表,检测是否存在不安全的帐户;根据微软官方网站提供的补丁清单信息检查系统补丁升级情况;若开放了SQL SERVER服务,则加载常用的帐户口令字典表,检测是否存在不安全的帐户;根据服务返回的banner信息分析SQL SERVER数据库的版本,并确定该版本存在的已知安全漏洞;尝试利用存储过程xp_cmdshell执行系统命令,测试是否可以进行远程控制、权限提升;若开放了ORACLE服务,则加载常用的帐户口令字典表,检测是否存在不安全的帐户;根据服务返回的banner信息分析ORACLE数据库的版本,并确定该版本存在的已知安全漏洞;若监听器服务未设置口令保护,则连接服务,测试是否可修改服务配置或停止服务。 | ||
| 地址 | 210003 江苏省南京市鼓楼区南瑞路8号 | ||