CN116668079A - 网络系统漏洞扫描方法 - Google Patents
网络系统漏洞扫描方法 Download PDFInfo
- Publication number
- CN116668079A CN116668079A CN202310490584.4A CN202310490584A CN116668079A CN 116668079 A CN116668079 A CN 116668079A CN 202310490584 A CN202310490584 A CN 202310490584A CN 116668079 A CN116668079 A CN 116668079A
- Authority
- CN
- China
- Prior art keywords
- scanning
- data
- vulnerability
- user
- plug
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 81
- 230000002159 abnormal effect Effects 0.000 claims abstract description 54
- 230000008569 process Effects 0.000 claims abstract description 31
- 238000004891 communication Methods 0.000 claims abstract description 16
- 230000005540 biological transmission Effects 0.000 claims abstract description 12
- 230000007246 mechanism Effects 0.000 claims abstract description 8
- 238000012544 monitoring process Methods 0.000 claims abstract description 8
- 238000004458 analytical method Methods 0.000 claims abstract description 7
- 230000004044 response Effects 0.000 claims description 9
- 230000005856 abnormality Effects 0.000 claims description 4
- 238000007726 management method Methods 0.000 claims description 4
- 238000005070 sampling Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 8
- 238000012360 testing method Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 238000013515 script Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000004904 shortening Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008261 resistance mechanism Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及信息安全领域,且公开了网络系统漏洞扫描方法,包括以下步骤:Step1:获取网络通信链路属性,对接通信网络,为对应服务器配置传输协议,建立客户端;Step2:建立数据发送与递交的监控机制,部署扫描插件,参与系统扫描,设置数据采集频次,按照设定频次,进行数据采集,并记录数据波动参数;Step3:展开数据发送,运行监控机制,验证递交后数据与原始数据是否匹配;在出现异常数据后,用户可及时介入主动扫描,合理分配资源,全面获取异常来源信息,并进行分析,直接将异常数据对已知漏洞进行数据匹配,随着漏洞库的不断更新,扫描方法不断处于学习过程,进而不断提升漏洞查找能力。
Description
技术领域
本发明涉及信息安全技术领域,具体为网络系统漏洞扫描方法。
背景技术
网络漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等,换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题;
在过去几年的通信网络安全防护检查中,大多采用传统的方法进行检查,例如访问相关设备的维护人员、查看设备的文档等,传统的方法只能发现管理制度、设备操作方式方面的安全风险,无法对网络攻击、信息窃取等非传统安全问题形成有效的预防、抵御机制。另一方面,山于业务的扩展和信息化程度的加速,通信网络内的设备,如路由器、防火墙、交换机、主机服务器的日益增多,并日益趋向复杂化和多样化,如果继续按照以往的方法检查,会耗费巨大的人力成本,并且效率低下;
现有技术1(CN115186272A)公开了一种基于文本特征和函数依赖特征的软件安全漏洞检测方法;具体公开了使用邻接矩阵表征函数依赖关系有向图,通过奇异值分解将邻接矩阵转换成函数依赖关系特征向量;使用局部离群因子检测方法LOF进行异常检测,得到含有安全漏洞的函数。但是,该现有技术无法基于数据的匹配关系,实时考察波动情况,无法反映出网络在面临漏洞时的波动鲁棒性。
现有技术2(CN112488716A)公开了一种异常事件检测系统;具体公开了根据判断值选择最优业务规则子单元的异常事件检测结果作为最终结果,使得检测结果更加准确,支付更加安全。同样的,该现有技术缺乏对数据匹配性的考察,无法体现数据波动情况,无法考察系统的波动鲁棒性。
而现有的网络系统漏洞扫描方法还存在一定的缺陷,例如:
1、在实时扫描的过程中,在保证不过多占用内存的情况下,缺乏对波动数据的及时溯源,并且与主动介入扫描缺乏结合,使得扫描效果较为一般,对扫描目标的识别扫描较为局限,并不全面,并且在主动扫描与实时扫描的过程中,缺乏同步深度学习的措施;
2、对已知的漏洞数据缺乏标签化的记录措施,难以在后续的扫描过程中,对同类漏洞进行快速识别,使得漏洞处理时间较为冗长,难以帮助用户及时解决漏洞问题。
发明内容
(一)解决的技术问题
针对现有技术所存在的上述缺点,本发明提供了网络系统漏洞扫描方法,能够有效地解决现有技术的网络系统漏洞扫描方法在实时扫描的过程中,在保证不过多占用内存的情况下,缺乏对波动数据的及时溯源,并且与主动介入扫描缺乏结合,使得扫描效果较为一般,对扫描目标的识别扫描较为局限,并不全面,并且在主动扫描与实时扫描的过程中,缺乏同步深度学习的措施,对已知的漏洞数据缺乏标签化的记录措施,难以在后续的扫描过程中,对同类漏洞进行快速识别,使得漏洞处理时间较为冗长,难以帮助用户及时解决漏洞的问题。
(二)技术方案
为实现以上目的,本发明通过以下技术方案予以实现,
本发明公开了网络系统漏洞扫描方法,包括以下步骤:
Step1:获取网络通信链路属性,对接通信网络,为对应服务器配置传输协议,建立客户端;
Step2:建立数据发送与递交的监控机制,部署扫描插件,参与系统扫描,设置数据采集频次,按照设定频次,进行数据采集,并记录数据波动参数;
Step3:展开数据发送,运行监控机制,验证递交后数据与原始数据是否匹配;
Step4:出现不匹配情况时,获取数据波动参数,判断问题来源节点,并进行链路标记;
Step5:提取被标记链路信息,并且对标记信息进行数据格式转化,分析异常数据,并添加至漏洞库内;
分析异常数据时,定义点p点的局部异常状态为:
对象p的局部离群因子LOFmin pts(p)定义为:
其中,LOFmin pts(p)为对象p的局部离群因子,lrdmin pts(p)表示p点的局部异常状态,lrdmin pts(o)表示o点的局部异常状态,reach-distmin pts(p,o)表示点o到点p的最小可达距离,Nmin pts(p)表示点p的最小领域点,|Nmin pts(p)|表示点p的邻域点的局部最小可达密度;
局部离群因子LOFmin pts(p)越大,说明p的密度越小于其邻域点密度,异常值的可能性越高,基于对象p存在异常的可能性判断其是否为漏洞;
Step6:对系统端口进行主动介入扫描,获取目标主机开启的端口以及端口上的网络服务;
Step7:将获取的端口信息与漏洞库进行匹配,分析是否有满足匹配条件的漏洞存在;
Step8:扫描分析完毕后将结果返回到客户端,并生成参数报告和解决方案报告;
其中,所述Step2中的数据采集过程中,每进行一次采样,就与最近M次的历史采集值进行相加,然后再选取其平均值作为本次的采集值,公式如下:
式中,P代表采集值平均值;M代表历史采集次数;n代表起始整数;Q代表当前采集值。
更进一步地,所述Step1中的客户端向管理用户提供操作的主界面,包含对应菜单命令、服务器方的安全漏洞类型、插件列表,以及待扫描的目标主机地址与端口号。
更进一步地,所述Step1中的通信网络用于和服务器方进行通信连接,发送请求并接收服务器方的响应结果,用户填写登陆服务器方需要的信息后,与服务器方建立连接,取得服务器方的插件个数、参数个数及规则信息。
更进一步地,所述Step2中系统扫描过程中,用户根据自己的需要设置端口扫描过程中最大并发线程数量,并确定扫描目标主机地址,端口号及所用插件的配置信息。
更进一步地,所述Step5中的漏洞类型包括:Finger滥用、Windows攻击、后门、CGI滥用、远程文件访问、RPC、防火墙、FTP、SMTP、获得远程root和拒绝服务。
更进一步地,所述Step5中异常数据的分析方法,包括以下步骤:
Step501:将漏洞的特征码填入数据包中,然后向数据来源目标进行发送;
Step502:采用字符串匹配,对应答数据进行分析;
Step503:在应答数据中查找表明该异常数据的关键字,若与漏洞库中的特征字匹配说明该异常数据为漏洞且存在。
更进一步地,所述Step6中的主动介入扫描过程,包括以下步骤:
Step601:扫描插件接收到用户的登录连接请求后,验证用户登录信息,如果验证通过,则接受用户的连接请求,向用户发送扫描系统配置数据,否则拒绝用户的登录请求,将连接失败的提示发送给用户;
Step602:扫描插件响应用户的启动主动扫描请求,扫描插件初始化各个扫描程序,并根据用户传送来的配置数据,对应调用相应的扫描程序进行扫描;
Step603:向用户发送当前扫描状态数据,在扫描过程,扫描插件将当前正在被扫描的目标主机、当前所使用的扫描程序以及扫描进度信息发送到客户端;
Step604:用户通过客户端查看当前的扫描进度,生产扫描报告。
更进一步地,所述Step604中的扫描报告,用户可根据需要来定制扫描报告内容,服务器根据用户的定制请求,生成相应的报告内容和形式,然后发送到用户端。
更进一步地,所述Step8中的参数报告的配置属性包括指定结果报告的文档名称、文档类型和保存被扫描主机的基本信息,结果报告文档保存为txt、doc或html格式。
更进一步地,所述保存被扫描主机的基本信息包括地址、主机名称、操作系统类型和漏洞数量。
(三)有益效果
采用本发明提供的技术方案,与已知的现有技术相比,具有如下有益效果,
1、本发明通过在系统的日常运行过程中,定期采集数据,并分析波动数据,对异常数据进行溯源,并且定期采集的情况下,可使得用户依照自身需要以及系统性能,进行合理的分配,不过多占用内存,在出现异常数据后,用户可及时介入主动扫描,全面获取异常来源信息,并进行分析,直接将异常数据对已知漏洞进行数据匹配,随着漏洞库的不断更新,扫描方法不断处于学习过程,进而不断提升漏洞查找能力。
2、本发明通过增加对已知的漏洞数据标签化的记录措施,通过将漏洞的特征码填入数据包中,并对异常数据进行发送,进而主动测试已知漏洞是否吻合异常数据,进而缩短对未知漏洞的鉴别时间,并且在后续的扫描过程中,对同类漏洞完成快速识别,缩短漏洞处理时间,从而帮助用户及时解决漏洞问题。
3、本申请基于数据匹配度确定波动情况,可以考察系统在漏洞下的稳定性,进而可以提高波动鲁棒性。
4、本申请采用历史采集值的均值作为本次采集值,可以保留历史波动信息,使系统响应能够体现系统漏洞的历史表现,具有印记性,可以保证后续调整时及时发现历史问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为网络系统漏洞扫描方法的流程示意图;
图2为本发明中的异常数据的分析方法的流程示意图;
图3为本发明中的主动介入扫描过程的流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合实施例对本发明作进一步的描述。
实施例1
本实施例的网络系统漏洞扫描方法,如图1所示,包括以下步骤:
Step1:获取网络通信链路属性,对接通信网络,为对应服务器配置传输协议,建立客户端;
Step2:建立数据发送与递交的监控机制,部署扫描插件,参与系统扫描,设置数据采集频次,按照设定频次,进行数据采集,并记录数据波动参数;
Step3:展开数据发送,运行监控机制,验证递交后数据与原始数据是否匹配;
Step4:出现不匹配情况时,获取数据波动参数,判断问题来源节点,并进行链路标记;
Step5:提取被标记链路信息,并且对标记信息进行数据格式转化,分析异常数据,并添加至漏洞库内;分析异常数据时,定义点p的k-距离(k-distance(p))为p与对象o∈D之间的距离d(p,o),使至少有k个对象o∈D{p}满足d(p,o)<d(p,o),将最小对象数MinPts作为参数,则p的局部异常状态定义为:
对象p的局部离群因子(LOF)定义为:
对象q称为p的k个近邻,表示为Nk(p),LOFminpts(p)值表示点p的邻域内其他点的局部可达密度与点p的局部可达密度之比的平均数,局部离群因子越大,说明p的密度越小于其邻域点密度,异常值的可能性越高,基于对象p存在异常的可能性判断其是否为漏洞;
Step6:对系统端口进行主动介入扫描,获取目标主机开启的端口以及端口上的网络服务;
Step7:将获取的端口信息与漏洞库进行匹配,分析是否有满足匹配条件的漏洞存在;
Step8:扫描分析完毕后将结果返回到客户端,并生成参数报告和解决方案报告;
将当前的采集值与上一次的采集值进行比较,如果两者之间存在着一定的差距,且其差值不在规定的变化范围之内,断定当前的采集值为无效值,仍然选择上一次的采集值,而差值最大变化范围主要是由两个因素决定的,分别是被测量的最大变化率以及采样周期,对偶然脉冲的干扰进行一定程度的消除,所述Step2中的数据采集过程中,每进行一次采样,就与最近M次的历史采集值进行相加,然后再选取其平均值作为本次的采集值,公式如下:
式中,P代表采集值平均值;M代表历史采集次数;n代表起始整数;Q代表当前采集值。
所述Step1中的客户端向管理用户提供操作的主界面,包含对应菜单命令、服务器方的安全漏洞类型、插件列表,以及待扫描的目标主机地址与端口号。
所述Step1中的通信网络用于和服务器方进行通信连接,发送请求并接收服务器方的响应结果,用户填写登陆服务器方需要的信息后,与服务器方建立连接,取得服务器方的插件个数、参数个数及规则信息。
所述Step2中系统扫描过程中,用户根据自己的需要设置端口扫描过程中最大并发线程数量,并确定扫描目标主机地址,端口号及所用插件的配置信息。
所述Step5中的漏洞类型包括:Finger滥用、Windows攻击、后门、CGI滥用、远程文件访问、RPC、防火墙、FTP、SMTP、获得远程root和拒绝服务。
所述Step8中的参数报告的配置属性包括指定结果报告的文档名称、文档类型和保存被扫描主机的基本信息,结果报告文档保存为txt、doc或html格式。
所述保存被扫描主机的基本信息包括地址、主机名称、操作系统类型和漏洞数量。
本实施例在具体实施时,在系统的日常运行过程中,定期采集数据,并分析波动数据,对异常数据进行溯源,并且定期采集的情况下,可使得用户依照自身需要以及系统性能,进行合理的分配,不过多占用内存,在出现异常数据后,用户可及时介入主动扫描,全面获取异常来源信息,并进行分析,直接将异常数据对已知漏洞进行数据匹配,随着漏洞库的不断更新,扫描方法不断处于学习过程,进而不断提升漏洞查找能力。
实施例2
本实施例还提供一种异常数据的分析方法,如图2所示,所述Step5中异常数据的分析方法,包括以下步骤:
Step501:将漏洞的特征码填入数据包中,然后向数据来源目标进行发送;
Step502:采用字符串匹配,对应答数据进行分析;
Step503:在应答数据中查找表明该异常数据的关键字,若与漏洞库中的特征字匹配说明该异常数据为漏洞且存在。
本实施例在具体实施时,对已知的漏洞数据标签化的记录措施,通过将漏洞的特征码填入数据包中,并对异常数据进行发送,进而主动测试已知漏洞是否吻合异常数据,进而缩短对未知漏洞的鉴别时间,并且在后续的扫描过程中,对同类漏洞完成快速识别,缩短漏洞处理时间,从而帮助用户及时解决漏洞问题;
其中对CGI的扫描主要是利用WEB服务器配置或设计上的缺陷来实现,通过向目标端口(默认是80端口)发送特殊的URL请求,然后解析应答数据进行判断。CGI漏洞针对的是利用HTTP协议提供WWW服务的目标主机,扫描的端口默认是80端口,探测过程是一个标准的向服务器发起连接请求的过程。在利用Sockets建立连接后,扫描程序向目标端口发送请求。在程序中“请求对象”的内容就是事先构造好的漏洞特征码。在本系统中,具体分析每个CG1漏洞返回信息的特征,采用状态码与返回信息相结合的方式接收特征码。例如对于那些能给攻击者提供WEB服务目录的CGI漏洞,因为漏洞造成的后果会导致泄露目标主机的目录信息,该信息中包含目录路径字符串,所以可同时将返回数据包中是否存在“200”或“202”及“<DIR>”作为漏洞判别的依据;
此外,考虑到RITT网络漏洞扫描系统工作在Windows平台,且扫描系统所使用的数据库规模不是特别大,对其性能无太多要求,故采用Windows平台上Access数据库。在Windows平台上访问数据库的技术比较多,在本系统中使用ADO来实现漏洞数据库的访问与控制,ADO技术是基于OLE DB的访问接口,它继承了OLE DB技术的优点,并且ADO对OLEDB的接口作了封装,定义了ADO对象,使程序开发得到简化,ADO技术属于数据库访问的高层接口。ADO使用户能够编写应用程序,通过OLE DBprovider访问和操作数据库服务器中的数据。ADO最主要的优点是易于使用、速度快、内存支出少和磁盘遗迹小。ADO在关键的应用方案中使用最少的网络流量,并且在前端和数据源之间使用最少的层数,所有这些都是为了提供轻量级、高性能的接口。
实施例3
本实施例中,如图3所示,所述Step6中的主动介入扫描过程,包括以下步骤:
Step601:扫描插件接收到用户的登录连接请求后,验证用户登录信息,如果验证通过,则接受用户的连接请求,向用户发送扫描系统配置数据,否则拒绝用户的登录请求,将连接失败的提示发送给用户;
Step602:扫描插件响应用户的启动主动扫描请求,扫描插件初始化各个扫描程序,并根据用户传送来的配置数据,对应调用相应的扫描程序进行扫描;
Step603:向用户发送当前扫描状态数据,在扫描过程,扫描插件将当前正在被扫描的目标主机、当前所使用的扫描程序以及扫描进度信息发送到客户端;
Step604:用户通过客户端查看当前的扫描进度,生产扫描报告。
所述Step604中的扫描报告,用户可根据需要来定制扫描报告内容,服务器根据用户的定制请求,生成相应的报告内容和形式,然后发送到用户端。
本实施例在具体实施时,每个插件的执行都通过服务器端的扫描插件解释器完成,插件解释器可独立编译运行,不仅提高了运行速度,还方便脚本自身的扩展,插件一般是以动态链接库的方式制作,插件程序只能依附宿主程序运行,不能独立运行。用户可以自由地增加或删除现有插件,而应用程序不需要重新编译和链接,最简单的使用插件的方法是采用动态链接库来实现和主程序的协作,最简单的使用插件的方法是采用动态链接库来实现和主程序的协作,针对扫描插件提供了编写插件的接口,所有脚本测试插件都被保存在特定的文件夹内,针对扫描到的漏洞,扫描引擎动态调用相应的测试插件,通过向目标系统的指定端口发送特定的报文,然后根据返回值来分析判断此主机端口是否开放或者存在漏洞,用户可以针对新出现的漏洞编写相应的测试脚本。
实施例4
本实施例中,漏洞数据库包含了各种操作系统的各种漏洞信息。集中了常见的各类系统漏洞特征和相应的应对措施、网络系统当前的脆弱性状态、和系统漏洞分析与应对措施相关的系统安全配置策略、以及如何检测漏洞的指令。由于新的漏洞会不断出现,该数据库需要经常更新,以便能够检测到新发现的漏洞。由于一条被发现的漏洞需要一系列程序化的认证工作,通常要经过一定的时间才能正式成为CVE中的一个条目,因此CVE中所描述的漏洞数目要比当前己经发现的数目要少,它不包括目前所有的漏洞。如果某一个插件所检测的漏洞是在CVE中己有的条目,则用一个CVE名字来标识,从而使得建立的漏洞库与CVE兼容,对每一条漏洞的说明仅仅靠CVE中的描述信息是不够的,因此本系统的漏洞信息主要是建立在与CVE严格兼容的漏洞库,并结合插件库的信息。
综上所述,本发明在系统的日常运行过程中,定期采集数据,并分析波动数据,对异常数据进行溯源,并且定期采集的情况下,可使得用户依照自身需要以及系统性能,进行合理的分配,不过多占用内存,在出现异常数据后,用户可及时介入主动扫描,全面获取异常来源信息,并进行分析,直接将异常数据对已知漏洞进行数据匹配,随着漏洞库的不断更新,扫描方法不断处于学习过程,进而不断提升漏洞查找能力;
对已知的漏洞数据标签化的记录措施,通过将漏洞的特征码填入数据包中,并对异常数据进行发送,进而主动测试已知漏洞是否吻合异常数据,进而缩短对未知漏洞的鉴别时间,并且在后续的扫描过程中,对同类漏洞完成快速识别,缩短漏洞处理时间,通过向目标端口(默认是80端口)发送特殊的URL请求,然后解析应答数据进行判断。CGI漏洞针对的是利用HTTP协议提供WWW服务的目标主机,扫描的端口默认是80端口,探测过程是一个标准的向服务器发起连接请求的过程。在利用Sockets建立连接后,扫描程序向目标端口发送请求。在程序中“请求对象”的内容就是事先构造好的漏洞特征码。在本系统中,具体分析每个CG1漏洞返回信息的特征,采用状态码与返回信息相结合的方式接收特征码。例如对于那些能给攻击者提供WEB服务目录的CGI漏洞,因为漏洞造成的后果会导致泄露目标主机的目录信息,该信息中包含目录路径字符串,所以可同时将返回数据包中是否存在“200”或“202”及“<DIR>”作为漏洞判别的依据;
此外,考虑到RITT网络漏洞扫描系统工作在Windows平台,且扫描系统所使用的数据库规模不是特别大,对其性能无太多要求,故采用Windows平台上Access数据库。在Windows平台上访问数据库的技术比较多,在本系统中使用ADO来实现漏洞数据库的访问与控制,ADO技术是基于OLE DB的访问接口,它继承了OLE DB技术的优点,并且ADO对OLEDB的接口作了封装,定义了ADO对象,使程序开发得到简化,ADO技术属于数据库访问的高层接口。ADO使用户能够编写应用程序,通过OLE DBprovider访问和操作数据库服务器中的数据。ADO最主要的优点是易于使用、速度快、内存支出少和磁盘遗迹小。ADO在关键的应用方案中使用最少的网络流量,并且在前端和数据源之间使用最少的层数,所有这些都是为了提供轻量级、高性能的接口;
每个插件的执行都通过服务器端的扫描插件解释器完成,插件解释器可独立编译运行,不仅提高了运行速度,还方便脚本自身的扩展,插件一般是以动态链接库的方式制作,插件程序只能依附宿主程序运行,不能独立运行。用户可以自由地增加或删除现有插件,而应用程序不需要重新编译和链接,最简单的使用插件的方法是采用动态链接库来实现和主程序的协作,最简单的使用插件的方法是采用动态链接库来实现和主程序的协作,针对扫描插件提供了编写插件的接口,所有脚本测试插件都被保存在特定的文件夹内,针对扫描到的漏洞,扫描引擎动态调用相应的测试插件,通过向目标系统的指定端口发送特定的报文,然后根据返回值来分析判断此主机端口是否开放或者存在漏洞,用户可以针对新出现的漏洞编写相应的测试脚本。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.网络系统漏洞扫描方法,其特征在于,其特征在于,包括以下步骤:
Step1:获取网络通信链路属性,对接通信网络,为对应服务器配置传输协议,建立客户端;
Step2:建立数据发送与递交的监控机制,部署扫描插件,参与系统扫描,设置数据采集频次,按照设定频次,进行数据采集,每进行一次采样,就与最近M次的历史采集值进行相加,然后再选取其平均值作为本次的采集值,公式如下:
其中,P代表采集值平均值、M代表历史采集次数、n代表起始整数、Q代表当前采集值;
记录数据波动参数;
Step3:展开数据发送,运行监控机制,验证递交后数据与原始数据是否匹配;
Step4:出现不匹配情况时,获取数据波动参数,判断问题来源节点,并进行链路标记;
Step5:提取被标记链路信息,对标记信息进行数据格式转化,分析异常数据并添加至漏洞库内;分析异常数据时,对象p的局部异常状态为:
对象p的局部离群因子LOFminpts(p)定义为:
其中,LOFminpts(p)为对象p的局部离群因子,lrdminpts(p)表示p点的局部异常状态,lrdminpts(o)表示o点的局部异常状态,reach-distminpts(p,o)表示点o到对象p的最小可达距离,Nminpts(p)表示对象p的最小领域点,|Nminpts(p)|表示对象p的邻域点的局部最小可达密度;
局部离群因子LOFminpts(p)越大,说明对象p的密度越小于其邻域点密度,存在异常的可能性越高,基于对象p存在异常的可能性判断其是否为漏洞;
Step6:对系统端口进行主动介入扫描,获取目标主机开启的端口以及端口上的网络服务;
Step7:将获取的端口信息与漏洞库进行匹配,分析是否有满足匹配条件的漏洞存在;
Step8:扫描分析完毕后将结果返回到客户端,并生成参数报告和解决方案报告。
2.根据权利要求1所述的网络系统漏洞扫描方法,其特征在于,Step1中的客户端向管理用户提供操作的主界面,包含对应菜单命令、服务器方的安全漏洞类型、插件列表,以及待扫描的目标主机地址与端口号。
3.根据权利要求1所述的网络系统漏洞扫描方法,其特征在于,Step1中的通信网络用于和服务器方进行通信连接,发送请求并接收服务器方的响应结果,用户填写登陆服务器方需要的信息后,与服务器方建立连接,取得服务器方的插件个数、参数个数及规则信息。
4.根据权利要求1所述的网络系统漏洞扫描方法,其特征在于,Step2中系统扫描过程中,用户根据自己的需要设置端口扫描过程中最大并发线程数量,并确定扫描目标主机地址,端口号及所用插件的配置信息。
5.根据权利要求1所述的网络系统漏洞扫描方法,其特征在于,Step5中的漏洞类型包括:Finger滥用、Windows攻击、后门、CGI滥用、远程文件访问、RPC、防火墙、FTP、SMTP、获得远程root和拒绝服务。
6.根据权利要求1所述的网络系统漏洞扫描方法,其特征在于,Step5中异常数据的分析方法,包括以下步骤:
Step501:将漏洞的特征码填入数据包中,然后向数据来源目标进行发送;
Step502:采用字符串匹配,对应答数据进行分析;
Step503:在应答数据中查找表明该异常数据的关键字,若与漏洞库中的特征字匹配说明该异常数据为漏洞且存在。
7.根据权利要求1所述的网络系统漏洞扫描方法,其特征在于,Step6中的主动介入扫描过程,包括以下步骤:
Step601:扫描插件接收到用户的登录连接请求后,验证用户登录信息,如果验证通过,则接受用户的连接请求,向用户发送扫描系统配置数据,否则拒绝用户的登录请求,将连接失败的提示发送给用户;
Step602:扫描插件响应用户的启动主动扫描请求,扫描插件初始化各个扫描程序,并根据用户传送来的配置数据,对应调用相应的扫描程序进行扫描;
Step603:向用户发送当前扫描状态数据,在扫描过程,扫描插件将当前正在被扫描的目标主机、当前所使用的扫描程序以及扫描进度信息发送到客户端;
Step604:用户通过客户端查看当前的扫描进度,生产扫描报告。
8.根据权利要求7所述的网络系统漏洞扫描方法,其特征在于,Step604中的扫描报告,用户可根据需要来定制扫描报告内容,服务器根据用户的定制请求,生成相应的报告内容和形式,然后发送到用户端。
9.根据权利要求1所述的网络系统漏洞扫描方法,其特征在于,Step8中的参数报告的配置属性包括指定结果报告的文档名称、文档类型和保存被扫描主机的基本信息,结果报告文档保存为txt、doc或html格式。
10.根据权利要求9所述的网络系统漏洞扫描方法,其特征在于,保存被扫描主机的基本信息包括地址、主机名称、操作系统类型和漏洞数量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310490584.4A CN116668079A (zh) | 2023-05-04 | 2023-05-04 | 网络系统漏洞扫描方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310490584.4A CN116668079A (zh) | 2023-05-04 | 2023-05-04 | 网络系统漏洞扫描方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116668079A true CN116668079A (zh) | 2023-08-29 |
Family
ID=87721487
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310490584.4A Pending CN116668079A (zh) | 2023-05-04 | 2023-05-04 | 网络系统漏洞扫描方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116668079A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117592060A (zh) * | 2024-01-18 | 2024-02-23 | 中诚华隆计算机技术有限公司 | 一种处理器网络安全漏洞检测方法及系统 |
| CN117614741A (zh) * | 2024-01-18 | 2024-02-27 | 中诚华隆计算机技术有限公司 | 一种网络安全漏洞位置检测方法及系统 |
-
2023
- 2023-05-04 CN CN202310490584.4A patent/CN116668079A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117592060A (zh) * | 2024-01-18 | 2024-02-23 | 中诚华隆计算机技术有限公司 | 一种处理器网络安全漏洞检测方法及系统 |
| CN117614741A (zh) * | 2024-01-18 | 2024-02-27 | 中诚华隆计算机技术有限公司 | 一种网络安全漏洞位置检测方法及系统 |
| CN117614741B (zh) * | 2024-01-18 | 2024-04-02 | 中诚华隆计算机技术有限公司 | 一种网络安全漏洞位置检测方法及系统 |
| CN117592060B (zh) * | 2024-01-18 | 2024-04-12 | 中诚华隆计算机技术有限公司 | 一种处理器网络安全漏洞检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Comparetti et al. | Prospex: Protocol specification extraction | |
| US11736499B2 (en) | Systems and methods for detecting injection exploits | |
| US10248782B2 (en) | Systems and methods for access control to web applications and identification of web browsers | |
| Vekshin et al. | Doh insight: Detecting dns over https by machine learning | |
| CN116668079A (zh) | 网络系统漏洞扫描方法 | |
| US9451036B2 (en) | Method and apparatus for fingerprinting systems and operating systems in a network | |
| Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
| Park et al. | Towards automated application signature generation for traffic identification | |
| Caballero et al. | Automatic protocol reverse-engineering: Message format extraction and field semantics inference | |
| US7792049B2 (en) | Techniques for modeling and evaluating protocol interactions | |
| US20100235917A1 (en) | System and method for detecting server vulnerability | |
| US20080235801A1 (en) | Combining assessment models and client targeting to identify network security vulnerabilities | |
| CN109274637A (zh) | 确定分布式拒绝服务攻击的系统和方法 | |
| CN114050979B (zh) | 一种工业控制协议安全测试系统及装置 | |
| CN104956372A (zh) | 使用运行时和静态代码分析来确定动态安全扫描的覆盖率 | |
| CN108667770A (zh) | 一种网站的漏洞测试方法、服务器及系统 | |
| CN108351941B (zh) | 分析装置、分析方法、以及计算机可读存储介质 | |
| CN106230857A (zh) | 一种面向工控系统的主动式漏洞检测系统和检测方法 | |
| KR20180075881A (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
| CN115208634A (zh) | 一种网络资产的监管引擎 | |
| CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
| Fei et al. | The abnormal detection for network traffic of power iot based on device portrait | |
| Shi et al. | The penetration testing framework for large-scale network based on network fingerprint | |
| CN115098151A (zh) | 一种细粒度的内网设备固件版本探测方法 | |
| CN111327588A (zh) | 一种网络访问安全检测方法、系统、终端和可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |