[发明专利]一种基于区块链的网络安全漏洞收集处理方法

说明书

本发明公开了一种基于区块链的网络安全漏洞收集处理方法，包括：步骤1，收集漏洞信息，通过漏洞自助确认模块判断漏洞信息中是否存在证明信息，证明信息包含但不限于漏洞描述及漏洞验证代码；步骤2，检测漏洞信息是否与区块网络中保留的漏洞信息重复；若所述漏洞信息重复，则通过漏洞状态跟踪模块反馈给信息上报者；若漏洞信息不重复执行以下步骤；步骤3，若漏洞信息中存在漏洞验证代码，判断漏洞验证代码是否属于通用漏洞验证代码；步骤4，若漏洞验证代码不属于通用漏洞验证代码，通过漏洞自动化验证单元对漏洞验证代码进行验证。采用前述方法，能够利用区块链具有的智能合约，实现漏洞自助确认功能来提高漏洞审核效率。

技术领域

本发明涉及网络信息安全领域，尤其涉及一种基于区块链的网络安全漏洞收集处理方法。

背景技术

现有的漏洞收集处理系统是中心化的，即漏洞发现者通过互联网其他第三方提供的工具或者自己的工具挖掘发现漏洞，并将漏洞提交给第三方平台或企事业单位，即漏洞收集平台，漏洞收集平台对收集到的漏洞数据进行确认之后会给予一定奖励。

现有的技术架构下，漏洞收集平台对于漏洞本身定价具有几乎完全的控制权且漏洞收集平台也需要耗费大量人力成本验证漏洞、复测漏洞和漏洞归档处理；网络安全工程师发现的漏洞有无价值、价值多少完全由平台决定；漏洞扫描工具和众测平台作为漏洞收集的两种方式是相互独立运行的，扫描工具发现的漏洞需要整理、验证、编辑再提交到漏洞众测平台才会产生价值，并且现有的漏洞扫描插件只能用来补充主动化扫描工具，无法用来自动化校验漏洞并用来评分；若漏洞信息发生泄露，不清楚是哪个环节出现了问题；漏洞验证工作量巨大，并且中低危漏洞占比大，其中，SQL注入、XSS、远程命令执行、网站弱口令、系统弱口令等传统安全漏洞的占比高；对已经完成修复的漏洞进行公开可能存在敏感信息泄露的风险。

综上所述，现有技术中漏洞收集处理的架构存在漏洞审核校验效率低的问题。

发明内容

本发明提供了一种基于区块链的网络安全漏洞收集处理方法，以解决现有技术中漏洞收集处理的架构存在漏洞审核校验效率低的问题。

一种基于区块链的网络安全漏洞收集处理方法，包括：

步骤1，收集漏洞信息，通过漏洞自助确认模块判断所述漏洞信息中是否存在证明信息，所述证明信息包含但不限于漏洞描述以及漏洞验证代码；

步骤2，通过所述漏洞自助确认模块检测漏洞信息是否与区块网络中保留的漏洞信息重复；若所述漏洞信息重复，则通过漏洞状态跟踪模块反馈给信息上报者；若漏洞信息不重复则执行以下步骤；

步骤3，若所述漏洞信息中存在漏洞验证代码，判断所述漏洞验证代码是否属于通用漏洞验证代码；

步骤4，若所述漏洞验证代码不属于通用漏洞验证代码，通过所述漏洞自助确认模块中的漏洞自动化验证单元对漏洞验证代码进行验证。

进一步地，在一种实现方式中，所述步骤3包括：

步骤4-1，根据所述漏洞自动化验证单元确定漏洞是否真实存在；

步骤4-2，若确定所述漏洞真实存在，通过所述漏洞自助确认模块中的漏洞自动化评分单元对所述漏洞信息进行评分，漏洞状态跟踪模块将所述漏洞信息的相应信息反馈至区块网络，所述相应信息包括当前的处置状态信息、评分分值、评判依据以及评判理由；

步骤4-3，判断所述漏洞信息是否可以被公开；

步骤4-4，若所述漏洞信息不可以被公开，提取漏洞信息中的漏洞IP地址、URL地址、端口号、漏洞类型、厂商名称以及系统名称，并同漏洞信息一并通过漏洞信息加解密模块将信息加密处理后存储到区块网络；

步骤4-5，若所述漏洞信息可以被公开，通过漏洞脱敏模块将所述漏洞信息脱敏之后公开。