遠程漏洞評估方法與設計

譚君+周旭+黃羽+李稟津

摘要：隨著新型漏洞和攻擊的不斷增長，信息安全面臨嚴峻挑戰(zhàn)。在安全工作中，還在采用郵件、短信、通知等方式對下屬單位進行漏洞和威脅情報通報，這對于信息系統(tǒng)安全防護是一個極大的安全隱患。漏洞評估驗證分析技術及管理方法的引入，對于提升信息系統(tǒng)安全水平具有重要意義。

【關鍵詞】信息安全漏洞 遠程漏洞評估 漏洞模型POC

開展漏洞評估驗證技術及管理方法的應用研究，從漏洞追蹤、驗證、預警、通報、響應、復核等多個方而，研究威脅管理，實現(xiàn)漏洞全周期管理，實時跟蹤追溯各單位漏洞響應情況，在信息安全工作范圍內(nèi)，形成有效的聯(lián)動防御平臺。

1 國內(nèi)外發(fā)展現(xiàn)狀

隨著新型漏洞和攻擊的不斷增長，信息安全而臨嚴峻挑戰(zhàn)。在信息安全工作中，還在采用郵件、短信、通知等方式對下屬單位進行漏洞和威脅情報通報。但從近兩年信息安全形勢來看，各種漏洞頻發(fā)，通報各單位響應時問周期較長，然而黑客利用漏洞的技術越來越成熟，時問短攻擊快，利用通報過程中的時問窗口進行快速攻擊，可造成不可估量的損失。并且下屬單位由于技術力量薄弱等原因，不能及時、準確地對漏洞進行分析、驗證和管理，導致黑客可以利用漏洞進行攻擊等。這對于信息系統(tǒng)安全防護是一個極大的安全隱患。漏洞評估驗證分析技術及管理方法的引入，對于提升信息系統(tǒng)安全水平具有重要意義。

2 漏洞評估驗證模型

2.1 漏洞評估驗證模型的設計思路

在設計漏洞評估驗證模型之前，需要先了解安全漏洞的生命周期，一個典型的安全漏洞生命周期包括7個部分如圖1所示。

漏洞應急是漏洞管理過程中各階段的工作內(nèi)容。在漏洞應急中，POC（Proof ofConcept（為觀點提供證據(jù)））編寫、分析驗證、漏洞檢測尤為關鍵，而且以上三個階段的工作更是漏洞評估驗證的關鍵，也是實現(xiàn)漏洞評估驗證模型安全需求的主要工作內(nèi)容，如圖2所示。

這個過程f或者說是在編寫POC的時候）需要做到安全、有效和無害，盡可能或者避免掃描過程對目標主機產(chǎn)生不可恢復的影響。

2.2 漏洞評估驗證模型的設計

2.2.1 漏洞驗證模型框架

如圖3所示，漏洞評估驗證模型設計采用模塊化的理念，在基礎庫的基礎上，提供了一些核心框架功能的支持。實現(xiàn)評估驗證功能的主體代碼則以模塊化方式組織，通過功能程序提供給測試者進行使用。同時，為了滿足評估驗證的不同功能需求，在功能模塊中支持對腳本庫（script）、工具庫（plugin）和資源庫（data）的增加、修改、調(diào)用，使功能模塊變成用戶的可控區(qū)域。

2.2.2 漏洞評估驗證過程

2.2.2.1 驗證流程

在漏洞評估驗證模型的基礎上，設計出一個漏洞驗證框架，通過框架只需要完成如下4步工作，即可完成漏洞評估驗證。

（1）準備一個并發(fā)框架；

（2）將數(shù)據(jù)放入到框架中；

（3）將處理數(shù)據(jù)的邏輯放到框架中；

（4）運行，獲取處理結果。

在漏洞驗證框架中完成評估驗證工作時，驗證流程如圖4所示。

驗證時，通過驗證命令，將流程中的每一個環(huán)節(jié)組織起來，編寫一條驗證命令，就可以完成漏洞評估驗證工作。

2.2.2.2 并發(fā)處理

多線程，是指從軟件或者硬件上實現(xiàn)多個線程并發(fā)執(zhí)行的技術。使用多線程技術可以提高資源使用效率從而提高系統(tǒng)的效率。協(xié)程，與線程的搶占式調(diào)度不同，它是協(xié)作式調(diào)度。協(xié)程也是單線程，但是它能讓原來要使用異步+回調(diào)方式的代碼，用看似同步的方式寫出來。

2.2.2.3 處理邏輯

在漏洞評估驗證中，對于數(shù)據(jù)處理的邏輯，主要在于插件（POC）的加載以及結果驗證兩方而：

（1）插件（POC）加載。因為數(shù)據(jù)的獲取方式不同，處理數(shù)據(jù)的邏輯也不同，因此需要根據(jù)不同的數(shù)據(jù)加載不同的插件。

設計漏洞評估驗證模型時，需要支持不同路徑的插件：

1.加載默認插件：插件存放在腳本庫（script）中，通過“命令+插件名”，可加載script文件夾下的腳本；

2.加載任意路徑插件：插件存放在其他路徑下，通過“命令+/路徑/插件名”，可加載任意徑路下的腳本。

（2）結果判斷。結果判斷通常需要在POC中完成，在編寫POC的結果判斷時：

1.在代碼中添加函數(shù)POC（）；

2.添加邏輯使驗證成功（漏洞存在）時retum True，驗證失敗時retum False；

3.針對一些復雜的需求，POCO函數(shù)可以使用多種返回值來控制驗證狀態(tài)和輸出。

2.2.2.4 數(shù)據(jù)獲取

設計漏洞評估驗證模型時，數(shù)據(jù)來源需要考慮以下幾方而：

（1）單一目標。驗證單一目標時，可以在插件（POC）中定義需要驗證目標的url或者IP，驗證時直接調(diào)用該插件即可完成對應目標的驗證。

（2）文件列表。當相同類型的目標較多時，無需對POC進行逐一更改，通過命令讀取目標文件列表，完成批量驗證工作。

（3）第三方引擎。評估驗證程序擬支持主流空問搜索引擎的API，通過簡單的參數(shù)調(diào)用直接從搜索引擎中直接獲取目標，并結合本地腳本進行掃描。主要目的在于預留第三方掃描引擎接口。

3 總結分析

通過對漏洞評估驗證模型的研究，開展漏洞分析技術與漏洞驗證框架研究，研究構建了漏洞驗證分析模型，并對己發(fā)現(xiàn)漏洞的細節(jié)進行深入分析，提供了漏洞驗證框架支持POC驗證。為漏洞修補處理措施提供了依據(jù)，解決了政府不能及時、準確地對漏洞進行分析、驗證的問題。

參考文獻

[1]鄒湘河，漏洞檢測與風險評估技術研究[J].電子科技大學，2005.

[2]王建紅，基于網(wǎng)絡的安全評估技術研究與設計[J].中原工學院，2011.

[3]錢偉，網(wǎng)站評估滲透系統(tǒng)的研究與實現(xiàn)[J].復旦大學，2011.

[4]張鳳荔，馮波.基于關聯(lián)性的漏洞評估方法[J].電子科技大學，2014.

[5]馬馳，高嶺，孫騫，何林，高學玲，基于模糊理論的漏洞危害等級評估[J].西北大學， 2014.endprint