买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：广州锦高信息科技有限公司

摘要：本申请公开了一种基于载荷库的漏洞扫描方法和系统，涉及数据安全领域，该方法包括：控制检测服务器实时获取大数据流数据；在大数据流数据中掺入载荷服务器发布的预设漏洞数据，以形成漏洞检测数据流，其中，预设漏洞数据为载荷服务器的载荷库中包括的漏洞数据，预设漏洞数据中设置有预设标识位，预设标识位包括发布顺序标识位和漏洞类型标识位，预设漏洞数据是基于载荷库的既定释放策略生成的，载荷库中包括SQL注入代码、XSS脚本和缓冲区溢出数据；通过检测服务器对漏洞检测数据流，采用当前系统漏洞检测算法进行检测以获取检测结果；基于检测结果进行漏洞修复，以更新检测服务器和运行服务器的当前系统漏洞检测算法。

主权项：1.一种基于载荷库的漏洞扫描方法，其特征在于，包括：控制检测服务器实时获取大数据流数据；在所述大数据流数据中掺入载荷服务器发布的预设漏洞数据，以形成漏洞检测数据流，其中，所述预设漏洞数据为所述载荷服务器的载荷库中包括的漏洞数据，所述预设漏洞数据中设置有预设标识位，所述预设标识位包括发布顺序标识位和漏洞类型标识位，所述预设漏洞数据在未被安全检测到的情况下，对系统无损伤效应，所述预设漏洞数据是基于所述载荷库的既定释放策略生成的，所述载荷库中包括SQL注入代码、XSS脚本和缓冲区溢出数据；通过检测服务器对所述漏洞检测数据流，采用当前系统漏洞检测算法进行检测以获取检测结果；基于所述检测结果进行漏洞修复，以更新所述检测服务器和运行服务器的当前系统漏洞检测算法，其中，所述运行服务器为系统正常运行时数据进行交互的服务器，所述检测服务器为系统用于系统漏洞检测算法升级对应的服务器；还包括：控制所述载荷服务器基于爬虫技术在公共漏洞和暴露数据库、开放网络应用项目和安全论坛社区中获取攻击漏洞数据；在所述攻击漏洞数据中加入第一生命周期控制字段，以生成所述载荷库中的漏洞数据，其中，所述第一生命周期控制字段用于控制所述攻击漏洞数据在所述载荷服务器中的生存周期，所述第一生命周期是根据所述攻击漏洞数据的公开时间确定的；还包括：在所述漏洞数据中加入第二生命周期控制字段以生成所述预设漏洞数据，其中，所述第二生命周期用于控制所述预设漏洞数据在所述检测服务器的生存周期；还包括：基于下式确定所述第二生命周期L：L＝L0×S×T其中，L0是基础生命周期，S为严重性调整系数，T为类型调整系数，所述基础生命周期是基于所述运行服务器的安全等级确定的，所述严重性调整系数是基于漏洞的严重性评分确定的，所述类型调整系数是基于漏洞类型的复杂程度确定的；还包括：根据影响子分数、影响分数和开发复杂性子分数计算基础分数；基于所述基础分数和时间环境度量计算所述漏洞的严重性评分；所述根据影响子分数、影响分数和开发复杂性子分数计算基础分数，包括：根据下式计算所述影响子分数Impact：Impact＝1-[1-ConfImpact×1-IntegImpact×1-AvailImpact]其中：ConfImpact、IntegImpact和AvailImpact分别是对机密性、完整性和可用性的影响子分数；根据下式计算所述影响分数ImpactScore：ImpactScore＝a1×Impact其中，a1为第一权重系数；根据下式计算所述开发复杂性子分数Exploitability：Exploitability＝a2×AttackVector×AttackComplexity×PrivilegesRequired×UserInteraction其中，a2为第二权重系数，AttackVector为攻击向量，AttackComplexity为攻击复杂度，PrivilegesRequired为特权要求值，UserInteraction为用户交互值；根据下式计算所述基础分数BaseScore:BaseScore＝min[ImpactScore+Exploitability,10]如果漏洞没有影响机密性、完整性和可用性，设置所述基础分数BaseScore为0。

全文数据：

权利要求：

百度查询： 广州锦高信息科技有限公司 一种基于载荷库的漏洞扫描方法和系统