描模塊11用于對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描���;結(jié)果展示模塊13用于將 脆弱評(píng)估值展示給用戶�����;用戶交互模塊12用于將評(píng)估調(diào)整參數(shù)傳輸?shù)酱嗳跣栽u(píng)估服務(wù)器����, 以便于脆弱性評(píng)估服務(wù)器根據(jù)評(píng)估調(diào)整參數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整��。
[0057] 如圖1所示��,本發(fā)明實(shí)施例還提供一種脆弱性評(píng)估服務(wù)器,包括:標(biāo)準(zhǔn)評(píng)估模塊21 和用戶交互評(píng)估調(diào)整模塊22,其中��,
[0058] 標(biāo)準(zhǔn)評(píng)估模塊21用于將網(wǎng)絡(luò)服務(wù)器對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描的結(jié)果進(jìn)行 脆弱性評(píng)估�����,得到脆弱評(píng)估值���;用戶交互評(píng)估調(diào)整模塊22用于將所述脆弱評(píng)估值傳輸?shù)剿?述網(wǎng)絡(luò)服務(wù)器�����,以便于展示給用戶�����;還用于接收網(wǎng)絡(luò)服務(wù)器發(fā)送的評(píng)估調(diào)整參數(shù);并根據(jù) 所述評(píng)估調(diào)整參數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整���。
[0059] 需要說(shuō)明的是��,所述標(biāo)準(zhǔn)評(píng)估模塊21從攻擊方式、攻擊復(fù)雜度�、鑒權(quán)認(rèn)證����、機(jī)密性 影響�����、一致性影響����、可用性影響六個(gè)方面描述漏洞特征;所述用戶交互評(píng)估調(diào)整模塊22允 許用戶從附帶的損失���、系統(tǒng)感染比例����、機(jī)密性調(diào)整����、一致性調(diào)整、可用性調(diào)整五個(gè)方面對(duì)脆 弱性進(jìn)行評(píng)估調(diào)整�。
[0060] 如圖1所示,本發(fā)明實(shí)施例還提供一種交互式脆弱性評(píng)估系統(tǒng)��,包括:網(wǎng)絡(luò)服務(wù)器 1和脆弱性評(píng)估服務(wù)器2,其中�����,
[0061] 網(wǎng)絡(luò)服務(wù)器1對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描;脆弱性評(píng)估服務(wù)器2對(duì)網(wǎng)絡(luò)服務(wù) 器1掃描的結(jié)果進(jìn)行脆弱性評(píng)估��,得到脆弱評(píng)估值���;網(wǎng)絡(luò)服務(wù)器1將脆弱評(píng)估值展示給用 戶�;網(wǎng)絡(luò)服務(wù)器1將評(píng)估調(diào)整參數(shù)傳輸?shù)酱嗳跣栽u(píng)估服務(wù)器2 ;脆弱性評(píng)估服務(wù)器2根據(jù)評(píng) 估調(diào)整參數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整��。
[0062] 進(jìn)一步地���,所述網(wǎng)絡(luò)服務(wù)器1包括:漏洞掃描模塊11�����、用戶交互模塊12和結(jié)果展 示模塊13,所述脆弱性評(píng)估服務(wù)器包括:標(biāo)準(zhǔn)評(píng)估模塊21和用戶交互評(píng)估調(diào)整模塊22,其 中�,
[0063] 所述漏洞掃描模塊11對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描�����;所述標(biāo)準(zhǔn)評(píng)估模塊21對(duì) 所述漏洞掃描模塊11掃描的結(jié)果進(jìn)行脆弱性評(píng)估���,得到脆弱評(píng)估值�����;所述結(jié)果展示模塊13 將脆弱評(píng)估值展示給用戶����;所述用戶交互模塊12將評(píng)估調(diào)整參數(shù)傳輸?shù)剿鲇脩艚换ピu(píng) 估調(diào)整模塊22 ;所述用戶交互評(píng)估調(diào)整模塊22根據(jù)評(píng)估調(diào)整參數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行 調(diào)整�。
[0064] 具體地,在本發(fā)明實(shí)施例中�,該交互式脆弱性評(píng)估方法歸納為以下幾個(gè)步驟:
[0065] (1)、將掃描結(jié)果轉(zhuǎn)化為初次脆弱性評(píng)估值:脆弱性評(píng)估方法服務(wù)器2端的標(biāo)準(zhǔn)評(píng) 估模塊21對(duì)漏洞掃描模塊11的掃描結(jié)果進(jìn)行脆弱性評(píng)估����;
[0066] (2)、將掃描結(jié)果呈現(xiàn)給用戶:網(wǎng)絡(luò)服務(wù)器1端的結(jié)果展示模塊13將標(biāo)準(zhǔn)評(píng)估模塊 21的評(píng)估結(jié)果展示給用戶�;
[0067] (3)、反饋用戶數(shù)據(jù):網(wǎng)絡(luò)服務(wù)器1端的用戶交互模塊12將評(píng)估調(diào)整參數(shù)傳輸給用 戶交互評(píng)估調(diào)整模塊22 ;
[0068] (4)�����、對(duì)脆弱評(píng)估值進(jìn)行調(diào)整:該脆弱性評(píng)估方法服務(wù)器2端的用戶交互評(píng)估調(diào)整 模塊22利用用戶交互模塊12傳輸?shù)脑u(píng)估調(diào)整參數(shù)對(duì)脆弱評(píng)估值進(jìn)行調(diào)整��。
[0069] 該脆弱性評(píng)估方法服務(wù)器2端的標(biāo)準(zhǔn)評(píng)估模塊21從攻擊方式��、攻擊復(fù)雜度����、鑒權(quán) 認(rèn)證����、機(jī)密性影響�、一致性影響、可用性影響六個(gè)方面描述漏洞特征���。
[0070] 該脆弱性評(píng)估方法服務(wù)器2端的用戶交互評(píng)估調(diào)整模塊22允許用戶從附帶的損 失���、系統(tǒng)感染比例、機(jī)密性調(diào)整����、一致性調(diào)整、可用性調(diào)整五個(gè)方面對(duì)脆弱性進(jìn)行評(píng)估調(diào)整��。
[0071] 上述決策支持方法具體如下:
[0072] 步驟1�,將掃描結(jié)果轉(zhuǎn)化為初次脆弱性評(píng)估值:
[0073] 根據(jù)掃描結(jié)果的漏洞特征從六個(gè)方面進(jìn)行量化賦值。
【主權(quán)項(xiàng)】
1. 一種交互式脆弱性評(píng)估方法���,其特征在于����,包括: 對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描; 獲得脆弱評(píng)估值�����,并將脆弱評(píng)估值展示給用戶��; 將評(píng)估調(diào)整參數(shù)傳輸?shù)酱嗳跣栽u(píng)估服務(wù)器��,W便于脆弱性評(píng)估服務(wù)器根據(jù)評(píng)估調(diào)整參 數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整��。
2. -種交互式脆弱性評(píng)估方法����,其特征在于��,包括: 將網(wǎng)絡(luò)服務(wù)器對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描的結(jié)果進(jìn)行脆弱性評(píng)估�����,得到脆弱評(píng)估 值���; 將所述脆弱評(píng)估值傳輸?shù)剿鼍W(wǎng)絡(luò)服務(wù)器����,W便于展示給用戶; 接收網(wǎng)絡(luò)服務(wù)器發(fā)送的評(píng)估調(diào)整參數(shù)����; 根據(jù)所述評(píng)估調(diào)整參數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整。
3. 根據(jù)權(quán)利要求2所述方法��,其特征在于�, 所述脆弱評(píng)估值從攻擊方式、攻擊復(fù)雜度�����、鑒權(quán)認(rèn)證�、機(jī)密性影響、一致性影響��、可用性 影響六個(gè)方面描述漏洞特征�����。
4. 根據(jù)權(quán)利要求2所述方法����,其特征在于, 所述對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整為從附帶的損失、系統(tǒng)感染比例�����、機(jī)密性調(diào)整�����、一致性 調(diào)整�����、可用性調(diào)整五個(gè)方面對(duì)脆弱性進(jìn)行評(píng)估調(diào)整�。
5. -種網(wǎng)絡(luò)服務(wù)器����,其特征在于,包括�����;漏洞掃描模塊�、用戶交互模塊和結(jié)果展示模 塊,其中����, 漏洞掃描模塊用于對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描����; 結(jié)果展示模塊用于將脆弱評(píng)估值展示給用戶�����; 用戶交互模塊用于將評(píng)估調(diào)整參數(shù)傳輸?shù)酱嗳跣栽u(píng)估服務(wù)器���,W便于脆弱性評(píng)估服務(wù) 器根據(jù)評(píng)估調(diào)整參數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整���。
6. -種脆弱性評(píng)估服務(wù)器,其特征在于�,包括:標(biāo)準(zhǔn)評(píng)估模塊和用戶交互評(píng)估調(diào)整模 塊,其中���, 標(biāo)準(zhǔn)評(píng)估模塊用于將網(wǎng)絡(luò)服務(wù)器對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描的結(jié)果進(jìn)行脆弱性 評(píng)估�,得到脆弱評(píng)估值�����; 用戶交互評(píng)估調(diào)整模塊用于將所述脆弱評(píng)估值傳輸?shù)剿鼍W(wǎng)絡(luò)服務(wù)器��,W便于展示給 用戶;還用于接收網(wǎng)絡(luò)服務(wù)器發(fā)送的評(píng)估調(diào)整參數(shù)��;并根據(jù)所述評(píng)估調(diào)整參數(shù)對(duì)所述脆弱 評(píng)估值進(jìn)行調(diào)整���。
7. 根據(jù)權(quán)利要求6所述的脆弱性評(píng)估服務(wù)器��,其特征在于����, 所述標(biāo)準(zhǔn)評(píng)估模塊從攻擊方式�、攻擊復(fù)雜度、鑒權(quán)認(rèn)證��、機(jī)密性影響����、一致性影響�、可用 性影響六個(gè)方面描述漏洞特征。
8. 根據(jù)權(quán)利要求2所述的脆弱性評(píng)估服務(wù)器����,其特征在于, 所述用戶交互評(píng)估調(diào)整模塊允許用戶從附帶的損失��、系統(tǒng)感染比例、機(jī)密性調(diào)整��、一致 性調(diào)整���、可用性調(diào)整五個(gè)方面對(duì)脆弱性進(jìn)行評(píng)估調(diào)整���。
9. 一種交互式脆弱性評(píng)估系統(tǒng),其特征在于�����,包括����;網(wǎng)絡(luò)服務(wù)器和脆弱性評(píng)估服務(wù)器, 其中�����, 網(wǎng)絡(luò)服務(wù)器對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描����; 脆弱性評(píng)估服務(wù)器對(duì)網(wǎng)絡(luò)服務(wù)器掃描的結(jié)果進(jìn)行脆弱性評(píng)估,得到脆弱評(píng)估值�; 網(wǎng)絡(luò)服務(wù)器將脆弱評(píng)估值展示給用戶�����; 網(wǎng)絡(luò)服務(wù)器將評(píng)估調(diào)整參數(shù)傳輸?shù)酱嗳跣栽u(píng)估服務(wù)器�����; 脆弱性評(píng)估服務(wù)器根據(jù)評(píng)估調(diào)整參數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整��。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)��,其特征在于�,所述網(wǎng)絡(luò)服務(wù)器包括�����;漏洞掃描模塊���、用 戶交互模塊和結(jié)果展示模塊,所述脆弱性評(píng)估服務(wù)器包括:標(biāo)準(zhǔn)評(píng)估模塊和用戶交互評(píng)估 調(diào)整模塊�,其中, 所述漏洞掃描模塊對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描�; 所述標(biāo)準(zhǔn)評(píng)估模塊對(duì)所述漏洞掃描模塊掃描的結(jié)果進(jìn)行脆弱性評(píng)估,得到脆弱評(píng)估 值����; 所述結(jié)果展示模塊將脆弱評(píng)估值展示給用戶��; 所述用戶交互模塊將評(píng)估調(diào)整參數(shù)傳輸?shù)剿鲇脩艚换ピu(píng)估調(diào)整模塊���; 所述用戶交互評(píng)估調(diào)整模塊根據(jù)評(píng)估調(diào)整參數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整。
【專(zhuān)利摘要】本發(fā)明提供一種交互式脆弱性評(píng)估方法���、裝置及系統(tǒng)����,涉及脆弱性評(píng)估領(lǐng)域�,其允許用戶對(duì)失真的脆弱評(píng)估進(jìn)行調(diào)整,使脆弱性評(píng)估結(jié)果更加準(zhǔn)確��。方法包括:對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描�;獲得脆弱評(píng)估值,并將脆弱評(píng)估值展示給用戶�����;將評(píng)估調(diào)整參數(shù)傳輸?shù)酱嗳跣栽u(píng)估服務(wù)器��,以便于脆弱性評(píng)估服務(wù)器根據(jù)評(píng)估調(diào)整參數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整���。系統(tǒng)包括:網(wǎng)絡(luò)服務(wù)器和脆弱性評(píng)估服務(wù)器����,其中,網(wǎng)絡(luò)服務(wù)器對(duì)接入的用戶主機(jī)進(jìn)行漏洞掃描��;脆弱性評(píng)估服務(wù)器對(duì)網(wǎng)絡(luò)服務(wù)器掃描的結(jié)果進(jìn)行脆弱性評(píng)估�,得到脆弱評(píng)估值;網(wǎng)絡(luò)服務(wù)器將脆弱評(píng)估值展示給用戶���;網(wǎng)絡(luò)服務(wù)器將評(píng)估調(diào)整參數(shù)傳輸?shù)酱嗳跣栽u(píng)估服務(wù)器���;脆弱性評(píng)估服務(wù)器根據(jù)評(píng)估調(diào)整參數(shù)對(duì)所述脆弱評(píng)估值進(jìn)行調(diào)整。
【IPC分類(lèi)】H04L12-26, H04L29-06
【公開(kāi)號(hào)】CN104660588
【申請(qǐng)?zhí)枴緾N201510023140
【發(fā)明人】林福宏, 劉倩, 周賢偉, 胡津源, 宋寧寧, 張煜, 許海濤
【申請(qǐng)人】北京科技大學(xué)
【公開(kāi)日】2015年5月27日
【申請(qǐng)日】2015年1月16日