分布網(wǎng)絡(luò)漏洞掃描系統(tǒng)

摘 要：以往所使用的網(wǎng)絡(luò)漏洞掃描器，主要基于單機(jī)系統(tǒng)，因而其適用于結(jié)構(gòu)相對簡單、規(guī)模較小的網(wǎng)絡(luò)環(huán)境中。但是，隨著國內(nèi)網(wǎng)絡(luò)規(guī)模的急劇擴(kuò)大，網(wǎng)絡(luò)構(gòu)成逐漸趨于復(fù)雜化?，F(xiàn)階段，漏洞檢測是維護(hù)網(wǎng)絡(luò)安全極為重要的方式。本文先對分布網(wǎng)絡(luò)漏洞掃描系統(tǒng)的拓?fù)渑c體系結(jié)構(gòu)進(jìn)行分析，并進(jìn)一步研究掃描代理的邏輯組成等相關(guān)內(nèi)容。

關(guān)鍵詞：分布式；網(wǎng)絡(luò)漏洞掃描系統(tǒng)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.07 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1004-7344（2018）33-0309-02

1 引 言

網(wǎng)絡(luò)實(shí)際應(yīng)用過程中通常會(huì)被細(xì)分為幾個(gè)虛擬子網(wǎng)，進(jìn)而提高網(wǎng)絡(luò)的可用性。同時(shí)，內(nèi)部網(wǎng)大多設(shè)有虛擬專用網(wǎng)以及防火墻，以求提高網(wǎng)絡(luò)運(yùn)行的安全效果。雖然應(yīng)用這些技術(shù)能夠顯著改善網(wǎng)絡(luò)的可用性，但在一定程度上增加了網(wǎng)絡(luò)管理的難度，對于以往所用的掃描器也起到了一定的限制。為了有效提高網(wǎng)絡(luò)漏洞掃描的精確性與時(shí)效性，目前要注重分布網(wǎng)絡(luò)漏洞掃描技術(shù)的應(yīng)用，進(jìn)而實(shí)現(xiàn)對不同網(wǎng)絡(luò)接點(diǎn)的安全監(jiān)控與檢測。

2 概 述

2.1 分布網(wǎng)絡(luò)漏洞掃描系統(tǒng)應(yīng)用的必要性

計(jì)算機(jī)系統(tǒng)具體應(yīng)用過程中存在著諸多的安全問題，這主要?dú)w結(jié)于系統(tǒng)具有一定的脆弱性。對于安全漏洞而言，它是硬件或者是軟件、安全策略等方面出現(xiàn)錯(cuò)誤而導(dǎo)致的問題與缺陷。別人可以利用這一缺陷，在系統(tǒng)末授權(quán)的前提下進(jìn)行系統(tǒng)的訪問與破壞，進(jìn)而導(dǎo)致系統(tǒng)的使用受到影響。一般來說，系統(tǒng)一旦存在脆弱性，能夠?qū)艽蠓秶木W(wǎng)絡(luò)造成影響，這種影響不僅體現(xiàn)在路由器、客戶以及服務(wù)器程序方面，同時(shí)也體現(xiàn)在操作系統(tǒng)以及防火墻等方面?？梢哉f任何安全問題出現(xiàn)的原因都是因?yàn)榘踩┒此斐?，因而要對系統(tǒng)弱點(diǎn)進(jìn)行事先的檢測，爭取將損失降到最低。網(wǎng)絡(luò)漏洞不會(huì)自己突然出現(xiàn)，而是要依靠人去發(fā)現(xiàn)，這也表明了網(wǎng)絡(luò)漏洞的檢測是一個(gè)變化著的、動(dòng)態(tài)的過程。系統(tǒng)的脆弱性會(huì)隨著系統(tǒng)的增大而更加明顯，并且系統(tǒng)越復(fù)雜，那么系統(tǒng)就會(huì)變得越脆弱。如果發(fā)現(xiàn)了系統(tǒng)存在的一個(gè)或者是多個(gè)漏洞，系統(tǒng)的安全性就會(huì)受到嚴(yán)重的威脅。因而，對于分布網(wǎng)絡(luò)安全漏洞檢測技術(shù)來說，其主要作用就是進(jìn)行計(jì)算機(jī)系統(tǒng)或者是其他網(wǎng)絡(luò)設(shè)備的安全測試。通過測試能夠及時(shí)尋找到系統(tǒng)存在的安全隱患，及時(shí)排除掉黑客可能會(huì)利用的系統(tǒng)缺陷。以往所使用的網(wǎng)絡(luò)掃描器不適用于大型的、復(fù)雜的網(wǎng)絡(luò)環(huán)境，并且對于掃描行動(dòng)也不能進(jìn)行統(tǒng)一的組織與管理。因而，面對目前逐漸復(fù)雜的網(wǎng)絡(luò)環(huán)境，要加強(qiáng)對分布漏洞掃描系統(tǒng)的研究與應(yīng)用，有效提高網(wǎng)絡(luò)安全效果。

2.2 網(wǎng)絡(luò)系統(tǒng)漏洞的形成

總體而言，系統(tǒng)漏洞主要來源于以下三個(gè)方面：①程序員有意無意間的疏忽所產(chǎn)生的漏洞。系統(tǒng)研發(fā)人員在進(jìn)行某個(gè)功能的研發(fā)工作時(shí)，往往會(huì)設(shè)計(jì)出相應(yīng)的后門程序，以求為后續(xù)工作提供方便。但是，如果在軟件開發(fā)流程結(jié)束之后不能對這些程序進(jìn)行及時(shí)的刪除，一旦被那些別有用心的人知道就會(huì)產(chǎn)生較大的漏洞。這些漏洞很難被工作人員發(fā)現(xiàn)，并且漏洞的危害性極大，不利于工作人員進(jìn)行修補(bǔ)。②網(wǎng)絡(luò)協(xié)議自身存在著一定的缺陷，進(jìn)而造成系統(tǒng)漏洞的形成。對于網(wǎng)絡(luò)協(xié)議而言，它是計(jì)算機(jī)通信建立的規(guī)則與標(biāo)準(zhǔn)，在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)與開發(fā)工作時(shí)，主要偏重功能性與開放性，然而對于網(wǎng)絡(luò)的安全性沒有引起足夠的重視，進(jìn)而導(dǎo)致了大量的漏洞被挖掘，造成了網(wǎng)絡(luò)系統(tǒng)存在著大量的安全隱患。③錯(cuò)誤配置問題也可能造成漏洞，這同時(shí)也是漏洞最易出現(xiàn)的原因。

3 基于網(wǎng)絡(luò)的漏洞掃描技術(shù)

漏洞掃描系統(tǒng)主要包含兩種方式：①基于主機(jī)的漏洞掃描；②基于網(wǎng)絡(luò)的漏洞掃描。對于這兩種不同的方式來說，前者應(yīng)用過程中對于管理員的管理工作極為不利，并且所用設(shè)備的價(jià)格相對較高。如果掃描的范圍較大，那么部署起來較為麻煩。但是，基于網(wǎng)絡(luò)的漏洞掃描系統(tǒng)能夠很好的解決上述問題，該系統(tǒng)不僅成本低，并且維護(hù)工作較為便利，現(xiàn)階段已經(jīng)成為了一種主流的掃描工具。網(wǎng)絡(luò)漏洞掃描技術(shù)應(yīng)用環(huán)節(jié)中需要知道某一漏洞的相關(guān)特征，并在此基礎(chǔ)上進(jìn)行目標(biāo)主機(jī)端口等檢測。漏洞掃描環(huán)節(jié)需要經(jīng)歷四個(gè)步驟，首先要對目標(biāo)進(jìn)行鎖定，其次要對目標(biāo)信息進(jìn)行探測，隨后要進(jìn)行數(shù)據(jù)交互以及特征匹配，最后要完成掃描結(jié)果的統(tǒng)計(jì)與分析。①對于目標(biāo)鎖定環(huán)節(jié)來說，主要是明確待掃描目標(biāo)IP，這一環(huán)節(jié)也是整個(gè)掃描工作中最為費(fèi)時(shí)、費(fèi)力的環(huán)節(jié)。②對于目標(biāo)信息探測而言，它是整個(gè)掃描工作中最為關(guān)鍵的一步。這一環(huán)節(jié)中，要對目標(biāo)主機(jī)開放端口、目標(biāo)地址在線與否以及應(yīng)用安裝等信息進(jìn)行明確。同時(shí)，探測工作中要防止出現(xiàn)無效的操作，進(jìn)而有效提高掃描工作的效率。此外，對于數(shù)據(jù)交互以及特征匹配環(huán)節(jié)來說，它是網(wǎng)絡(luò)漏洞掃描的重要內(nèi)容。這一過程中掃描程序需要參考獲取到的基本信息，將特制的數(shù)據(jù)包及時(shí)的發(fā)送給目標(biāo)，同時(shí)還要和目標(biāo)主機(jī)之間進(jìn)行一系列的數(shù)據(jù)交互，最終參考反饋數(shù)據(jù)以及目標(biāo)狀態(tài)，進(jìn)行漏洞的匹配工作。③要進(jìn)行掃描結(jié)果的統(tǒng)計(jì)與分析。這一過程中要提供解決問題的方案，并且要制定針對性的打補(bǔ)丁、防御措施。

4 分布漏洞掃描系統(tǒng)拓?fù)湟约绑w系結(jié)構(gòu)分析

對于分布式結(jié)構(gòu)來說，其部署過程中需要集中管理中心和掃描引擎進(jìn)行有效的配合，最終才能得到這一結(jié)構(gòu)。登錄集中管理中心以及掃描引擎之后，二者在功能界面的顯示方面存在著較大的差異：①集中管理中心不僅可以進(jìn)行系統(tǒng)的管理，同時(shí)可以調(diào)度任務(wù)以及執(zhí)行掃描任務(wù)。②對于掃描引擎而言，其功能主要是執(zhí)行掃描任務(wù)。一般來說，分布式結(jié)構(gòu)部署有著三種不同的方式：①將集中管理中心全部部署到集中管理中心的下方位置；②將集中管理中心以及掃描引起進(jìn)行合理組合，并將其部署到集中管理中心的下方；③在集中管理中心下方，全部部署成掃描引擎。分布漏洞掃描系統(tǒng)可以分為六大模塊，根據(jù)功能的不同包含u-key/用戶登錄模塊以及界面交互模塊，同時(shí)還包括了智能調(diào)度模塊以及掃描引擎等模塊。①對于插入u-key模塊，只有在認(rèn)證成功之后才能進(jìn)行系統(tǒng)的登錄。②智能調(diào)度模塊在接收到數(shù)據(jù)包之后，要利用分布式心跳單元進(jìn)行信息獲取，所獲取的信息包含運(yùn)行狀態(tài)信息以及心跳信息。通過對心跳信息進(jìn)行處理，可以實(shí)現(xiàn)對數(shù)據(jù)庫的實(shí)時(shí)更新，同時(shí)在界面生成相應(yīng)的分布式拓?fù)鋱D。

5 掃描代理的邏輯組成

掃描代理是網(wǎng)絡(luò)漏洞檢測子系統(tǒng)的一個(gè)主要組成部分，并且由它來進(jìn)行具體的掃描任務(wù)。掃描代理主要包含兩部分：前端、后端。掃描代理前端主要是進(jìn)行信息之間的傳遞，并且可以將中心管理子系統(tǒng)傳來的信息及時(shí)的傳送到后端，這一過程中的信息包含了用戶掃描請求以及控制信息等。此外，它還可以將掃描結(jié)果及時(shí)的發(fā)給到中心管理子系統(tǒng)。對于掃描代理后端而言，它的主要功能就是進(jìn)行目標(biāo)主機(jī)信息的收集，并且根據(jù)收集來的信息進(jìn)行漏洞掃描插件的調(diào)動(dòng)，最終完成網(wǎng)絡(luò)漏洞掃描。之后，還要對并生成掃描報(bào)告。該報(bào)告中包括了脆弱點(diǎn)以及漏洞危險(xiǎn)級別等信息，并且報(bào)告還要說明漏洞的修補(bǔ)方案。掃描代理后端的組成部分較為復(fù)雜，其中主要有控制管理模塊以及信息收集模塊，同時(shí)后端還應(yīng)包含分析模塊以及報(bào)告生成模塊、插件庫等等。對于控制管理模塊來說，它是掃描代理后端的重要核心，該模塊的功能體現(xiàn)在接收掃描請求，并且能夠?qū)β┒磼呙璨寮龀黾皶r(shí)的調(diào)用，最終完成外部掃描以及入侵模擬。其次，信息收集模塊主要是進(jìn)行目標(biāo)主機(jī)信息的收集。需要注意的是，安全漏洞數(shù)據(jù)在漏洞庫內(nèi)部的存儲(chǔ)主要以規(guī)格化的方式進(jìn)行，這樣一來就可以為后續(xù)的查詢、增加以及刪除、修改等管理提供便利，并且也便于匹配原則的制定。

6 漏洞庫設(shè)計(jì)以及掃描插件的調(diào)用分析

在進(jìn)行網(wǎng)絡(luò)漏洞的掃描時(shí)，為了有效提高掃描環(huán)節(jié)的效率與質(zhì)量，需要將漏洞庫中的相關(guān)漏洞數(shù)據(jù)進(jìn)行分類。此外，還要根據(jù)漏洞風(fēng)險(xiǎn)等級的不同，將漏洞分為九個(gè)不同的級別。這樣一來，管理人員就能對漏洞的危險(xiǎn)性進(jìn)行全面的了解，同時(shí)也可以采取針對性措施予以應(yīng)對。另外，在進(jìn)行漏洞掃描插件的功能設(shè)計(jì)工作時(shí)，要對其在漏洞庫中的分類做出分析，并且漏洞掃描插件的調(diào)用需要遵循狀態(tài)轉(zhuǎn)換推理機(jī)制。也就是說，在進(jìn)行執(zhí)行程序的選擇時(shí)，需要對已知事物進(jìn)行事先分析。具體轉(zhuǎn)換時(shí)，要對上一狀態(tài)的信息做出一定的判斷。掃描系統(tǒng)應(yīng)用時(shí)首先要進(jìn)行的是操作系統(tǒng)識(shí)別以及端口掃描，之后在調(diào)用相應(yīng)的插件進(jìn)行掃描活動(dòng)。在進(jìn)行網(wǎng)絡(luò)攻擊的抵御過程中，網(wǎng)絡(luò)漏洞掃描系統(tǒng)是一道重要的保障，因而要對其應(yīng)用引起重視。

7 結(jié)束語

對于分布漏洞掃描系統(tǒng)來說，它的核心是分布式代理，并且它的構(gòu)建需要面向異構(gòu)網(wǎng)絡(luò)平臺(tái)。由于受到掃描代理分布性特點(diǎn)的影響，因而該系統(tǒng)能夠?qū)?fù)雜的網(wǎng)絡(luò)環(huán)境有良好的適應(yīng)性，并且可以完成快速、有效的安全測試。此外，對于插件化的掃描系統(tǒng)而言，其能夠?yàn)楣δ軘U(kuò)充和擴(kuò)展提供便利?，F(xiàn)階段，要注重分布網(wǎng)絡(luò)漏洞掃描系統(tǒng)的應(yīng)用，不斷改善網(wǎng)絡(luò)安全環(huán)境。

參考文獻(xiàn)

[1]王志琦.一種分布式漏洞掃描系統(tǒng)的設(shè)計(jì)[J].信息技術(shù)與信息化，2007（6）：45～49.

[2]占善華.分布式漏洞掃描模型研究與應(yīng)用[D].廣東：廣東工業(yè)大學(xué)，2013.

[3]張玉清.安全掃描技術(shù)[M].北京：清華大學(xué)出版社，2004.

收稿日期：2018-10-2