CN109743333A - 一种全方位分析企业网络安全漏洞的系统 - Google Patents
一种全方位分析企业网络安全漏洞的系统 Download PDFInfo
- Publication number
- CN109743333A CN109743333A CN201910145169.9A CN201910145169A CN109743333A CN 109743333 A CN109743333 A CN 109743333A CN 201910145169 A CN201910145169 A CN 201910145169A CN 109743333 A CN109743333 A CN 109743333A
- Authority
- CN
- China
- Prior art keywords
- module
- data
- variation
- client
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种全方位分析企业网络安全漏洞的系统,其特征在于:包括以下模块:数据输入模块、客户端扫描模块、数据记录模块、动态变异模块、拼接模块和异常状态监控模块,其中,动态变异模块:重新执行目标客户端,根据数据记录模块中记录的系统调用次数,挂起目标客户端,并修改所记录偏移地址的内存数值,对该内存数值进行动态变异,本发明可以高效的对多重校验或者动态加密算法的网络协议进行检测,并且可以有效的查出通过运维手段改变的服务端口。
Description
技术领域
本发明涉及信息安全的技术领域,具体是一种全方位分析企业网络安全漏洞的系统。
背景技术
如何合理的运用各种安全技术对安全事件进行有效的管理,把系统面临的风险控制在可以接受的范围之内,是确保信息系统长时间处于较高安全水平的关键。现有的网络安全漏洞检测一般采用模糊测试挖掘漏洞、查找bug。模糊测试的思路很简单:生成变异数据并且输入到需要测试的应用程序中,如果程序出现异常或者崩溃,则说明该应用程序存 在一个潜在的漏洞。如今,已经有很大数量的软件漏洞是由模糊测试的方法挖掘出来。在网络协议以及服务器端口漏洞挖掘方面,也已经有许多运用模糊测试的原理,进行漏洞挖掘的方法及工具。然而该方法具有操作复杂、覆盖范围狭窄等缺点,从而无法检测具有多重校验或者动态加密算法的网络协议,并且运维人员通过运维手段,改变服务所走的端口,也无法被模糊测试所检测。
发明内容
本发明的目的在于提供一种全方位分析企业网络安全漏洞的系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种全方位分析企业网络安全漏洞的系统,包括以下模块:
数据输入模块:构造一个具有特征码的正常数据,并且该数据输入至目标客户端;
客户端扫描模块:调用系统扫描工具,对客户端的内存空间及网络端口进行扫描;
数据记录模块:对返回的数据中的端口及对应的服务指纹信息进行提取和记录,并且
记录客户端扫描模块中特征数据的数量以及偏移位置,同时记录目标客户端已执行系统调用的次数;
动态变异模块:重新执行目标客户端,根据数据记录模块中记录的系统调用次数,挂起目标客户端,并修改所记录偏移地址的内存数值,对该内存数值进行动态变异;
拼接模块:用于将提取的服务端口与对应主机的ip地址进行拼接;
异常状态监控模块:监控目标客户端的后续发包流程以及Nmap扫描端口服务结果,并将数据发给目标服务端。
作为本发明进一步的方案:所述动态变异模块中的动态变异为简单随机变异、简单变异、普通变异、重点变异和完全变异中的一种或任意组合。
作为本发明进一步的方案:所述拼接模块以IP:PROT的形式对ip地址和端口进行拼接。
作为本发明进一步的方案:所述数据记录模块中的返回的数据中的端口及对应的服务指纹信息包括PORT字段中的端口号、SERVICE字段中的服务类型和VERSION字段中的服务名称和版本号。
作为本发明进一步的方案:所述动态变异模块中数据变异的时间位于程序外部输入之后和内部数据包封装之前的中间动态运行时,所述中数据变异的时间跳过客户端程序的输入检测以及异常处理过程,通过客户端的加密、压缩、校验等流程与服务端通信。
与现有技术相比,本发明的有益效果是:本发明可以高效的对多重校验或者动态加密算法的网络协议进行检测,并且可以有效的查出通过运维手段改变的服务端口。
附图说明
图1为一种全方位分析企业网络安全漏洞的系统的整体结构示意图。
图2为本发明中动态变异模块的整体结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1和图2,本发明实施例中,一种全方位分析企业网络安全漏洞的系统,包括以下模块:
数据输入模块:构造一个具有特征码的正常数据,比如构造一个输入字符流为tAInT,
作为输入数据中一部分。特别指出该字符流,以二进制形式存在,并非一定要可见字符,只是为了方便手工调试,这里使用了Ascii码作为特征码。将具有特征码的特征数据,通过系统消息发送函数SendMessage,输入到BFSERP客户端,并且该数据输入至目标客户端;
客户端扫描模块:调用系统扫描工具,对客户端的内存空间及网络端口进行扫描,网
络端口扫描工具选用Nmap工具包对网络端口进行扫描,Nmap是一种应用广泛的网络扫描和嗅探工具包,其可以扫描出网络端口的各种状态数据;
数据记录模块:对返回的数据中的端口及对应的服务指纹信息进行提取和记录,并且
记录客户端扫描模块中特征数据的数量以及偏移位置,同时记录目标客户端已执行系统调用的次数,其中提取服务指纹信息的目的是为了针对性的调用数据库中对应服务名称的插件脚本,用以降低服务资源开销;
动态变异模块:首先设置触发条件为执行SendMessage次数3次和拷贝特征数据次数
3次,接着采用线程注入的方法,劫持目标客户端所使用的系统调用,在执行SendMessage接口之后,挂起目标线程,之后使用系统的内存操作函数ReadProcessMemory扫描内存,记录扫描结果中特征数据的数量、偏移位置信息。继续执行目标线程,直到BFSERP客户端进程中特征数据的数量大于或等于3个,或者已执行的系统调用SendMessage3次最后将系统调用执行次数信息和特征数据的数量、偏移位置信息,发送给系统的动态变异模块进行处理,使用内存操作函数WriteProcessMemory,修改对应的偏移位置中内存数值。变异时采取偏移地址由小到大,变异数值由小到大的方式,避免重复变异。其中变异方法是按字节长度,对内存中原始值通过某种替换,变成一个新数据。该变异共有5种可选方式:
简单随机变异:对于固定字符和0字符,可以采用随即简单替换,具有漏洞概率较小,
一旦有漏洞也可以通过该替换挖掘出来;
简单变异:对于需要快速检测的固定字符和0字符,采用简单替换,直接替换为17,
即0x11;
普通变异:对于简单字符和相似字符,可以采用普通替换方式,即分别替换为:本字
符加1、本字符减1、0、255等4个数;
重点变异:对于部分可视字符和特殊字符,可以采用重点替换,替换为2^(0~16)-1
等17个数;
完全变异:对于需求较高的网络软件,可以采用完全替换,替换为0~255等256个数;
所述动态变异模块中数据变异的时间位于程序外部输入之后、内部数据包封装之前的中间动态运行时,所述中数据变异的时间跳过客户端程序的输入检测以及异常处理过程,通过客户端的加密、压缩、校验等流程与服务端通信。
拼接模块:用于将提取的服务端口与对应主机的ip地址进行拼接,所述拼接模块以IP:PROT的形式对ip地址和端口进行拼接,拼接后形成的IP:port字符串将作为主机扫描的参数,对端口服务进行渗透测试,从而使脚本的针对性更强,提高了系统的效率;
异常状态监控模块:根据提取的端口的服务指纹信息调用数据库中对应服务名称的插件脚本,对IP:port字符串中的服务进行漏洞扫描,并将端口服务结果发给目标服务端以确定该目标服务器是否具有经过运维手段改变的服务端口;
目标服务端异常状态一共有系统进程关闭,调用系统异常,目标程序异常输出等三种异常现象。因此针对三种不同的异常情况,采用三种不同的异常监听方法进行检测。1)定时扫描系统进程列表,当BFSERP服务端进程不存在时,视为严重异常。2)劫持系统异常调用,当BFSERP服务端调用系统异常时,视为物理异常。3)对控制台程序,采用管道通信的方法,扫描目标程序输出;对UI界面程序,采用系统钩子的方法,监听目标程序输出。由于BFSERP服务端为控制台程序,所以采用管道通信的方法,使用CreatePipe创建命名。
监控目标客户端的后续发包流程并将数据发给目标服务端,当达到记录条件,记录变异数据方式以及发送的数据包内容,报告一个潜在漏洞,并且重新执行目标客户端,直到数值处理模块中动态变异数据的情况全部尝试完成或者监控模块监控到异常行为,则结束。
实际使用时,为了降低开销,所述数据记录模块中的返回的数据中的端口及对应的服务指纹信息包括PORT字段中的端口号、SERVICE字段中的服务类型和VERSION字段中的服务名称和版本号。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (5)
1.一种全方位分析企业网络安全漏洞的系统,其特征在于:包括以下模块:
数据输入模块:构造一个具有特征码的正常数据,并且该数据输入至目标客户端;
客户端扫描模块:调用系统扫描工具,对客户端的内存空间及网络端口进行扫描;
数据记录模块:对返回的数据中的端口及对应的服务指纹信息进行提取和记录,并且
记录客户端扫描模块中特征数据的数量以及偏移位置,同时记录目标客户端已执行系统调用的次数;
动态变异模块:重新执行目标客户端,根据数据记录模块中记录的系统调用次数,挂起目标客户端,并修改所记录偏移地址的内存数值,对该内存数值进行动态变异;
拼接模块:用于将提取的服务端口与对应主机的ip地址进行拼接;
异常状态监控模块:监控目标客户端的后续发包流程以及Nmap扫描端口服务结果,并将数据发给目标服务端。
2.根据权利要求1所述的一种全方位分析企业网络安全漏洞的系统,其特征在于:所述动态变异模块中的动态变异为简单随机变异、简单变异、普通变异、重点变异和完全变异中的一种或任意组合。
3.根据权利要求1所述的一种全方位分析企业网络安全漏洞的系统,其特征在于:所述拼接模块以IP:PROT的形式对ip地址和端口进行拼接。
4.根据权利要求1所述的一种全方位分析企业网络安全漏洞的系统,其特征在于:所述数据记录模块中的返回的数据中的端口及对应的服务指纹信息包括PORT字段中的端口号、SERVICE字段中的服务类型和VERSION字段中的服务名称和版本号。
5.根据权利要求1所述的一种全方位分析企业网络安全漏洞的系统,其特征在于:所述动态变异模块中数据变异的时间位于程序外部输入之后和内部数据包封装之前的中间动态运行时,所述中数据变异的时间跳过客户端程序的输入检测以及异常处理过程,通过客户端的加密、压缩、校验等流程与服务端通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910145169.9A CN109743333A (zh) | 2019-02-27 | 2019-02-27 | 一种全方位分析企业网络安全漏洞的系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910145169.9A CN109743333A (zh) | 2019-02-27 | 2019-02-27 | 一种全方位分析企业网络安全漏洞的系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109743333A true CN109743333A (zh) | 2019-05-10 |
Family
ID=66368604
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910145169.9A Pending CN109743333A (zh) | 2019-02-27 | 2019-02-27 | 一种全方位分析企业网络安全漏洞的系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109743333A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112153044A (zh) * | 2020-09-23 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201789524U (zh) * | 2010-05-25 | 2011-04-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的装置 |
CN103209173A (zh) * | 2013-03-08 | 2013-07-17 | 北京理工大学 | 一种网络协议漏洞挖掘方法 |
WO2016186975A1 (en) * | 2015-05-15 | 2016-11-24 | Virsec Systems, Inc. | Detection of sql injection attacks |
CN107295023A (zh) * | 2017-08-23 | 2017-10-24 | 四川长虹电器股份有限公司 | 一种网络安全漏洞扫描系统及方法 |
CN109347892A (zh) * | 2018-08-03 | 2019-02-15 | 北京奇安信科技有限公司 | 一种互联网工业资产扫描处理方法及装置 |
-
2019
- 2019-02-27 CN CN201910145169.9A patent/CN109743333A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201789524U (zh) * | 2010-05-25 | 2011-04-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的装置 |
CN103209173A (zh) * | 2013-03-08 | 2013-07-17 | 北京理工大学 | 一种网络协议漏洞挖掘方法 |
WO2016186975A1 (en) * | 2015-05-15 | 2016-11-24 | Virsec Systems, Inc. | Detection of sql injection attacks |
CN107295023A (zh) * | 2017-08-23 | 2017-10-24 | 四川长虹电器股份有限公司 | 一种网络安全漏洞扫描系统及方法 |
CN109347892A (zh) * | 2018-08-03 | 2019-02-15 | 北京奇安信科技有限公司 | 一种互联网工业资产扫描处理方法及装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112153044A (zh) * | 2020-09-23 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
CN112153044B (zh) * | 2020-09-23 | 2021-11-12 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8732516B2 (en) | Method and system for providing customer controlled notifications in a managed network services system | |
CN103209173B (zh) | 一种网络协议漏洞挖掘方法 | |
JP2017538376A (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
CN108304704A (zh) | 权限控制方法、装置、计算机设备和存储介质 | |
CN113360475B (zh) | 基于内网终端的数据运维方法、装置、设备及存储介质 | |
CN111783096A (zh) | 检测安全漏洞的方法和装置 | |
CN115174279B (zh) | 一种以太坊智能合约漏洞实时检测方法、终端及存储介质 | |
CN106209503A (zh) | Rpc接口测试方法及系统 | |
Ládi et al. | Message format and field semantics inference for binary protocols using recorded network traffic | |
CN110232279A (zh) | 一种漏洞检测方法及装置 | |
CN114785613A (zh) | 一种基于自动编排处理安全告警事件的方法及系统 | |
CN101426008B (zh) | 一种基于回显的审计方法及系统 | |
CN109743333A (zh) | 一种全方位分析企业网络安全漏洞的系统 | |
CN112528296B (zh) | 漏洞检测方法、装置和存储介质及电子设备 | |
CN107741891B (zh) | 对象的析构方法、介质、装置和计算设备 | |
CN106953874B (zh) | 网站防篡改方法及装置 | |
CN115225531B (zh) | 数据库防火墙测试方法、装置、电子设备及介质 | |
US20210390178A1 (en) | Information processing device and information processing program | |
CN110399724A (zh) | 一种基于电力工控系统典型漏洞特征的动态模糊测试技术 | |
CN111079140A (zh) | 用于防作弊的方法、设备和系统 | |
CN108933678A (zh) | 运维审计系统 | |
CN114036505A (zh) | 安全运维分析服务器、安全运维分析方法、计算机设备 | |
Morais et al. | Generating attack scenarios for the system security validation | |
CN113014587A (zh) | 一种api检测方法、装置、电子设备及存储介质 | |
CN111314278A (zh) | 一种基于Ethernet IP工控协议的安全检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190510 |
|
RJ01 | Rejection of invention patent application after publication |