CN110532770A

CN110532770A - 一种融合主动与被动的脆弱性扫描方法

Info

Publication number: CN110532770A
Application number: CN201910831340.1A
Authority: CN
Inventors: 蒋发群; 肖小剑; 沈颖
Original assignee: Beijing Venus Information Security Technology Co Ltd; Venustech Group Inc
Current assignee: Beijing Venus Information Security Technology Co Ltd; Venustech Group Inc
Priority date: 2019-09-04
Filing date: 2019-09-04
Publication date: 2019-12-03

Abstract

本发明公开了一种融合主动与被动的脆弱性扫描方法，通过主动扫描的方法得到各种主机的服务版本与相应的系统信息；通过被动扫描对网络流量进行分析以判断各主机的服务版本与相应的系统信息；以算法对这两种扫描的结果进行融合；根据版本与系统的信息以判断相应主机的漏洞信息；通过主动扫描的方法得到各种主机的服务版本与相应的系统信息，通过被动扫描对网络流量进行分析以判断各主机的服务版本与相应的系统信息，然后以一定的算法对这两种扫描的结果进行融合，然后根据版本与系统的信息以判断相应主机的漏洞信息，这种方法解决了目前市面上流行的产品在很多场景扫描能力不足的问题，同时也解决了单纯被动扫描有大量漏报，一定程度误报的问题。

Description

一种融合主动与被动的脆弱性扫描方法

技术领域

本发明属于网络安全技术领域，具体涉及一种融合主动与被动的脆弱性扫描方法。

背景技术

脆弱性扫描在计算机网络及物联网安全整体防御体系中处于事前的位置，有着相当重要的地位。脆弱性扫描分为主动扫描与被动扫描。

主动扫描的方法是由扫描器发送一系列的包，按照一定的策略，通过版本匹配或者回应包内容的分析或者回应包的状态来判别是否有某某漏洞；主动扫描方法是目前的主流方法。

但主动扫描的方法在以下的一些场景中存在一定的缺陷：大型局域网的子网因为网络部署不可达、被扫描环境如工控环境或者网络比较脆弱、被扫描网络相当复杂(如混合IPV6与IPV4网、如混合工控生产层与办公层的网络等)、被扫描的网络有防护等；在这样的场景中要么是主动扫描的方法造成系统崩溃，要么就是扫描时间无限长，要么是扫描结果不正确或者没有什么结果。

被动扫描的方法就是把扫描器部署在扫描目标网络的入口处，通过对网络流入流出的包进行分析，从而得到该网络中各主机的相关信息，进而通过各种匹配以得到该主机的相关漏洞，目前通常的做法是判断主机的ID或者操作系统信息，这种方法应用在某些专利与论文里；该种方法确实实现简单，并且也能扫描到漏洞，但是会有很大的误报。

被动扫描方法主要是通过对网络流量进行分析以判断各主机的服务版本号，然后根据版本号的信息以判断相应主机的漏洞信息；但是被动扫描的方法由于采用指纹的简单或者网络中的某些资产不活跃而存在大量误报与漏报的可能。

发明内容

本发明的目的在于提供一种融合主动与被动的脆弱性扫描方法，以解决上述背景技术中提出的主动扫描的方法存在着扫描时间无限长，扫描结果不正确或者没有什么结果问题；被动扫描的方法由于采用指纹的简单或者网络中的某些资产不活跃而存在大量误报与漏报的可能。

为实现上述目的，本发明提供如下技术方案：一种融合主动与被动的脆弱性扫描方法，方法如下：

步骤一：通过主动扫描的方法得到各种主机的服务版本与相应的系统信息；

步骤二：通过被动扫描对网络流量进行分析以判断各主机的服务版本与相应的系统信息；

步骤三：以算法对这两种扫描的结果进行融合；

步骤四：根据版本与系统的信息以判断相应主机的漏洞信息。

作为本发明的一种优选的技术方案，总体结构包括扫描中心和分析中心。

作为本发明的一种优选的技术方案，所述扫描中心包括主动扫描子系统、被动扫描子系统；所述分析中心包括资产整合子系统、漏洞匹配子系统。

作为本发明的一种优选的技术方案，所述被动扫描子系统由捕包模块、协议解析模块、服务指纹库模块、服务检测模块、发送模块、漏洞检测模块构成。

作为本发明的一种优选的技术方案，服务检测模块以多个进程或者线程进行检测。

作为本发明的一种优选的技术方案，还包括预处理模块，该模块用于对信息进行过滤，去除冗余的信息。

与现有技术相比，本发明的有益效果是：

(1)通过主动扫描的方法得到各种主机的服务版本与相应的系统信息，通过被动扫描对网络流量进行分析以判断各主机的服务版本与相应的系统信息，然后以一定的算法对这两种扫描的结果进行融合，然后根据版本与系统的信息以判断相应主机的漏洞信息，这种方法解决了目前市面上流行的产品在很多场景扫描能力不足的问题，同时也解决了单纯被动扫描有大量漏报，一定程度误报的问题。

(2)根据各服务的版本号在漏洞信息库中进行搜索，以匹配到影响相应版本的漏洞，把相应的扫描结果存到结果表里，方便观察调用；

(3)通过设计的预处理模块，可对信息进行过滤，去除冗余的信息，提高扫描的效率。

附图说明

图1为本发明的融合主动与被动的脆弱性扫描方法的总体结构图；

图2为本发明的融合主动与被动的脆弱性扫描方法的主动扫描子系统流程图；

图3为本发明的融合主动与被动的脆弱性扫描方法的被动扫描子系统流程图；

图4为本发明的融合主动与被动的脆弱性扫描方法的SVM训练的流程图；

图5为本发明的融合主动与被动的脆弱性扫描方法的BP神经网络训练的流程图；

图6为本发明的融合主动与被动的脆弱性扫描方法的决策模块的流程图；

图7为本发明的漏洞检测模块流程图；

图8为本发明的根据误差、各层梯度、输出函数反复进行训练学习图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1、图2、图3、图4、图5、图6、图7和图8，本发明提供一种技术方案：一种融合主动与被动的脆弱性扫描方法，方法如下：

步骤三：以算法对这两种扫描的结果进行融合；

总体结构包括扫描中心和分析中心；扫描中心包括主动扫描子系统、被动扫描子系统；分析中心包括资产整合子系统、漏洞匹配子系统。其中，

主动扫描子系统

在传统的模式下，主要以主动发包的模式得到资产的信息，然后把相应的信息发送到分析中心的资产整合子系统；

在封闭或者保护的模式下，通过AGENT收集资产的信息，把相应的信息发送到分析中心的资产整合子系统。

被动扫描子系统

被动扫描子系统捕包模块、协议解析模块、服务指纹库模块、服务检测模块、发送模块、漏洞检测模块构成。其中，

1.捕包模块

以旁路的模式部署在网络入口处；采用修改网卡驱动、数据包捕获函数库或者套接字，从网络上捕获数据包；在采用修改网卡驱动捕获数据包时，将网卡设置为“杂凑”模式；在采用套接字捕获数据包时，将网卡设置为“杂凑”模式，且将套接字类型选择为SOCK_RAW；捕包模块的起先设置捕包模式，如基于修改驱动的零拷贝技术，或者基于libpcap，或者原始套接字；然后设置过滤规则，如对整个网络的或者本机的，或者针对某类协议的；之后开始捕获数据。

2.协议解析模块

协议解析模块就是把原始数据包根据各协议的格式层层去头，得到相应的payload；具体实施方式如下：对网络层的IP协议进行解析；对网络层、传输层非IP的协议进行解析；获得相应的数据；然后把这些数据转给服务检测模块。

3.服务指纹库模块

把各计算机服务的区别性特征构成服务的指纹；单一指纹以一定的规则来进行表达；由多个单一服务指纹构成服务指纹库；指纹库在系统中以不同的存储模式行使其功能，在前端以数据库记录的模式，在引擎中以文件模式，在引擎运行时又以内存模式。

4.服务检测模块

把经过协议解析后的数据与服务指纹库进行匹配；当匹配到某服务就把以下信息记录到数据库中：IP地址、服务名、服务版本；把协议解析后的PAYLOAD与服务指纹库按一定的算法相匹配；如果匹配到，就把IP地址、服务名、服务版本作为一条记录写到数据库服务结果表中。

5.漏洞检测模块

根据各服务的版本号在漏洞信息库中进行搜索，以匹配到影响相应版本的漏洞，把相应的扫描结果存到结果表里；检测模块以多个进程或者线程进行检测；根据各服务的版本号在漏洞信息库中进行搜索，以匹配到影响相应版本的漏洞，把相应的扫描结果存到结果表里。

发送模块是把相应的资产信息发送到分析中心的资产整合子系统。

资产整合子系统

被动与主动扫描系统所用的指纹是不同的，尤其是操作系统层面，因此所扫描的结果也会有不一致。

因此该子系统就是根据一定的算法把两个扫描的结果融合在一起，该算法与决策模块所用算法相同。

在针对信息物联网、工业物联网扫描时，网络情况相当复杂，比如网络延迟、网络不可达、网络太大、网络防护，也就是说在正常情况下提取的有效特征有可能在这样的场景下效果不太好，但同时相对来说，我们能使用的测试场景相对来说不是特别多，因此我们采用SVM算法融合BP神经网络来把主动扫描与被动扫描融合起来。

SVM算法如下：

其中W和b是平面系数，y_i代表样本的分类标记，x_i则是训练样本；该优化问题利用拉格朗日乘子法和KKT条件转化为对偶问题。

W为平面系数，二维空间时，是一两个元素的向量，当扩展到n维空间时，为n维向量如：W＝[W1,W2,...,Wn]，W^T为W的转置。

||W||为超平面的范数。

其中a_i为拉格朗日乘子，该优化问题可利用SMO方法进行求解，但因为上述目标函数假设数据完全线性可分，但事实上，现实往往不那么完美，因此在二次规划问题中引入松弛变量和惩罚参数：

C为惩罚因子，ε_i是离群程度，由错分点到对应类别支持向量所在平面的距离表示，正确分类样本点的ε_i＝0，惩罚项由所有的离群点所确定，将该模型进行高维映射所得到的对偶问题形式为：

本文所选的核函数为高斯函数

通过以上SVM算法就可构成训练模块与预测模块，训练模块位于后台运行，通过训练模块得到SVM分类器模型，也就是说通过SVM训练模块，就可以得到a_i向量，同时也得到了每个样本的权重，当然在这个训练过程中，对于被动与主动特征相当接近难以区分时，我们根据情况可以调整样本权重(虽然常规SVM不需要这样做，但我们更关心样本权重，因为经过转化，这会构成BP神经网络向量的初始值)。

虽然，我们可以通过SVM样本向量离分类面的远近来确定样本权重，但一方面有一定的不准确性，同时有些资产属性是通过几个特征组合而成的，因此我们就把SVM各个特征经过归一化处理后构成BP神经网络的初始向量特征(通常而言，BP神经网络这个向量特征是通过经验设置的)，我们引入SVM来学习这个初始特征，这样就可以加快BP神经网络的收敛速度；其中，特征指各服务或者操作系统的指纹，有可能一个服务特征是由多个子特征构成，操作系统特征尤甚，但在算法训练过程中，这个SVM特征实际上是各个具体特征的编号，这样能节约内存与提高速度。

BP神经网络算法如下：

为所述前馈多层网络的每层神经元的权值Wi,j设置成经过对SVM训练后样本权重归一化等处理的特征，其中，所述前馈多层网络共有n层，每层有n个神经元，i＝1，2，…，n，j＝1，2，…，n，每一个资产属性对应层的神经元；

向所述前馈多层网络输入样本X，并设置对应的期望输出Y，其中，X＝(X₁,X₂,…,X_n,1)；Y＝[0|1]；

计算所述前馈多层网络的第k层第i个神经元的输出其中，W_i,n+1＝－θ，θ为阈值，1≤K≤n；

计算所述前馈多层网络输出层的学习误差和输出层之外其它层的学习误差其中，以及修正权值Wi,j和阈值θ，其中， ΔW_i,j(t)＝W_i,j(t)-W_i,j(t-1)。

通过以上的学习算法得到了每个资产属性的权值如(a_i,1),(b_i,-1)。

决策模块

a_i代表主动扫描子系统的资产属性权重，b_i代表被动扫描子系统的资产属性权重；如果一个资产属性由单个特征决定，那可以根据a_i与b_i的大小来确定属于哪个类别；如果一个资产属性由多个特征决定，那么可以根据(表示由n个特征指纹构成)与(表示由m个特征指纹构成)的大小来确定属于哪个类别。

漏洞检测子系统

根据各服务的版本号在漏洞信息库中进行搜索，以匹配到影响相应版本的漏洞，把相应的扫描结果存到结果表里；检测模块以多个进程或者线程进行检测。

还包括预处理模块，该模块用于对信息进行过滤，去除冗余的信息。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种融合主动与被动的脆弱性扫描方法，其特征在于，方法如下：

步骤三：以算法对这两种扫描的结果进行融合；

2.根据权利要求1所述的一种融合主动与被动的脆弱性扫描方法，其特征在于：总体结构包括扫描中心和分析中心。

3.根据权利要求2所述的一种融合主动与被动的脆弱性扫描方法，其特征在于：所述扫描中心包括主动扫描子系统、被动扫描子系统；所述分析中心包括资产整合子系统、漏洞匹配子系统。

4.根据权利要求3所述的一种融合主动与被动的脆弱性扫描方法，其特征在于：所述被动扫描子系统由捕包模块、协议解析模块、服务指纹库模块、服务检测模块、发送模块、漏洞检测模块构成。

5.根据权利要求4所述的一种融合主动与被动的脆弱性扫描方法，其特征在于：服务检测模块以多个进程或者线程进行检测。

6.根据权利要求4所述的一种融合主动与被动的脆弱性扫描方法，其特征在于：还包括预处理模块，该模块用于对信息进行过滤，去除冗余的信息。