WO2016095591A1

WO2016095591A1 - 漏洞扫描方法及装置

Info

Publication number: WO2016095591A1
Application number: PCT/CN2015/091030
Authority: WO
Inventors: 李瀛
Original assignee: 北京神州绿盟信息安全科技股份有限公司; 北京神州绿盟科技有限公司
Priority date: 2014-12-19
Filing date: 2015-09-29
Publication date: 2016-06-23
Also published as: US20170270304A1; JP6411661B2; US10642985B2; JP2018503900A; CN104506522B; CN104506522A

Abstract

本发明实施例提供一种漏洞扫描方法及装置。该方法包括：反向扫描代理模块获取客户端报文；所述反向扫描代理模块将所述客户端报文发送给漏洞扫描器，以使所述漏洞扫描器依据所述客户端报文识别所述客户端的漏洞；或者所述反向扫描代理模块依据所述客户端报文识别所述客户端的漏洞，并将所述客户端的漏洞发送给漏洞扫描器；反向扫描代理模块接收所述漏洞扫描器的控制指令，并依据所述控制指令改变工作方式和/或工作模式，以及更新漏洞规则。本发明实施例通过反向扫描代理模块获取客户端报文，并对客户端报文进行分析以识别客户端存在的漏洞，在远程检测服务器的安全问题基础上，增加了对客户端安全问题的分析，从而实现了对整个网络环境的安全性检测。

Description

漏洞扫描方法及装置

技术领域

本发明实施例涉及网络安全领域，尤其涉及一种漏洞扫描方法及装置。

背景技术

随着计算机网络技术的发展，网络安全技术也在不断发展，若服务器存在重大的漏洞，黑客将通过该漏洞窃取服务器或客户端的重要性信息，造成严重后果，因此，网络安全的重要性日益凸显。

现有技术主要通过漏洞扫描器远程检测服务器的漏洞来维护网络安全，具体为漏洞扫描器作为客户端向服务器发送连接请求消息，服务器对该连接请求消息做出应答，并将应答消息发送给漏洞扫描器，漏洞扫描器依据该应答消息分析判断服务器是否存在漏洞。

由于整个网络环境不仅包括服务器，还包括与服务器相连接的客户端，而现有技术只远程检测服务器的安全问题，因此不能检测整个网络环境的安全性。

发明内容

本发明实施例提供一种漏洞扫描方法及装置，以检测整个网络环境的安全性。

本发明实施例的一个方面是提供一种漏洞扫描方法，包括：

反向扫描代理模块获取客户端报文；

所述反向扫描代理模块将所述客户端报文发送给漏洞扫描器，以使所述漏洞扫描器依据所述客户端报文识别所述客户端的漏洞，或者所述反向扫描代理模块依据所述客户端报文识别所述客户端的漏洞，并将所述客户端的漏洞发送给漏洞扫描器；

所述反向扫描代理模块接收所述漏洞扫描器的控制指令，并依据所述控制指令改变工作方式和/或工作模式，以及更新漏洞规则。

本发明实施例的另一个方面是提供一种反向扫描代理模块，包括：

报文获取模块，用于获取客户端报文；

发送模块，用于将所述客户端报文发送给漏洞扫描器，以使所述漏洞扫描器依据所述客户端报文识别所述客户端的漏洞，或者报文识别与发送模块，用于依据所述客户端报文识别所述客户端的漏洞，并将所述客户端的漏洞发送给漏洞扫描器；

接收控制模块，用于接收所述漏洞扫描器的控制指令，并依据所述控制指令改变工作方式和/或工作模式，以及更新漏洞规则。

本发明实施例的另一个方面是提供一种漏洞扫描器，包括：

接收模块，用于接收反向扫描代理模块发送的客户端报文；或者用于接收反向扫描代理模块发送的客户端的漏洞；

报文识别模块，用于依据所述客户端报文识别所述客户端的漏洞；

指令发送模块，用于向所述反向扫描代理模块发送控制指令，以使所述反向扫描代理模块依据所述控制指令改变工作方式和/或工作模式，以及更新漏洞规则。

本发明实施例的另一个方面是提供一种漏洞扫描系统，包括所述的反向扫描代理模块和所述的漏洞扫描器。

本发明实施例提供的漏洞扫描方法及装置，通过反向扫描代理模块获取客户端报文，并对客户端报文进行分析以识别客户端存在的漏洞，在远程检测服务器的安全问题基础上，增加了对客户端安全问题的分析，从而实现了对整个网络环境的安全性检测。

附图说明

图1为本发明实施例提供的漏洞扫描方法流程图；

图2为本发明实施例提供的网络拓扑图；

图3是本发明实施例提供的获得网络缺陷信息方法流程图；

图4为本发明实施例提供的反向扫描代理模块的结构图；

图5为本发明另一实施例提供的反向扫描代理模块的结构图；

图6为本发明另一实施例提供的反向扫描代理模块的结构图；

图7为本发明实施例提供的漏洞扫描器的结构图；

图8为本发明另一实施例提供的漏洞扫描器的结构图；

图9为本发明实施例提供的漏洞扫描系统的结构图。

具体实施方式

图1为本发明实施例提供的漏洞扫描方法流程图；图2为本发明实施例提供的网络拓扑图。本发明实施例提供的漏洞扫描方法具体步骤如下：

步骤S101、反向扫描代理模块获取客户端报文；

所述反向扫描代理模块安装在服务器上；所述反向扫描代理模块获取客户端报文包括：所述反向扫描代理模块获取所述客户端与所述服务器交互过程中所述客户端发出的业务请求报文和应答报文；或者所述反向扫描代理模块向所述客户端发送构造测试报文，获取所述客户端对所述构造测试报文的响应报文。

如图2所示，在获取到服务器管理方的同意后，在服务器22中安装反向扫描代理模块23，反向扫描代理模块23的工作方式包括无损方式和反向扫描方式，无损方式是指在服务器22客户端24交互的过程中，反向扫描代理模块23获取该过程中客户端24发出的业务请求报文和应答报文；反向扫描方式是指反向扫描代理模块23构造测试报文，向客户端24发送该构造测试报文，并获取客户端24对该构造测试报文的响应报文。

步骤S102、所述反向扫描代理模块将所述客户端报文发送给漏洞扫描器，以使所述漏洞扫描器依据所述客户端报文识别所述客户端的漏洞，或者所述反向扫描代理模块依据所述客户端报文识别所述客户端的漏洞，并将所述客户端的漏洞发送给漏洞扫描器；

反向扫描代理模块23在服务器22上的还包括两种工作模式：代理模式和驻留模式，代理模式是指反向扫描代理模块23将获取到的客户端24发出的报文直接发送到漏洞扫描器21，由漏洞扫描器21对客户端24发出的报文进行分析；驻留模式是指反向扫描代理模块23对获取到的客户端24发出的报文进行分析获得中间处理结果，再将该中间处理结果发送给漏洞扫描器21。

步骤S103、所述反向扫描代理模块接收所述漏洞扫描器的控制指令，并依据所述控制指令改变工作方式和/或工作模式，以及更新漏洞规则。

漏洞扫描器21通过向反向扫描代理模块23发送控制指令实现对反向扫描代理模块23的控制，具体为反向扫描代理模块23依据控制指令改变工作方式和/或工作模式，以及更新漏洞规则。

本发明实施例通过反向扫描代理模块获取客户端报文，并对客户端报文进行分析以识别客户端存在的漏洞，在远程检测服务器的安全问题基础上，增加了对客户端安全问题的分析，从而实现了对整个网络环境的安全性检测。

在上述实施例的基础上，所述依据所述客户端报文识别所述客户端的漏洞包括：依据所述业务请求报文、所述应答报文和/或所述响应报文的特征字段识别所述客户端的漏洞；或者通过所述业务请求报文、所述应答报文和/或所述响应报文与预设交互报文、预设报文序列或漏洞特征规则进行匹配识别所述客户端的漏洞。

本发明实施例可以通过上述反向扫描代理模块23的任一种工作方式和任一种工作模式相配合的方式获取客户端24发出的报文，并对该报文进行分析处理。依据所述客户端发出的报文识别所述客户端的漏洞的执行主体可以是服务器22或漏洞扫描器21，具体的识别方法包括：1)依据所述业务请求报文、所述应答报文和/或所述响应报文的特征字段识别所述客户端的漏洞；2)通过所述业务请求报文、所述应答报文和/或所述响应报文与预设交互报文、预设报文序列或漏洞特征规则进行匹配识别所述客户端的漏洞。

方法1)，若客户端24发出的业务请求报文的User-Agent字段内容为：

Mozilla/5.0(X11；Ubuntu；Linux x86_64；rv:24.0)Gecko/20100101Firefox/24.0；或

Mozilla/5.0(Windows NT 6.0；WOW64；rv:24.0)Gecko/20100101Firefox/24.0；或

Opera/9.80(Windows NT 6.1；U；es-ES)Presto/2.9.181 Version/12.00；

则通过该字段可以分析出客户端24所用浏览器的版本、浏览器的型号、客户端24的操作系统类型等信息，通过业界公知漏洞库中的漏洞特征信息与该User-Agent字段中分析出的相应信息进行匹配，判断该客户端24是否存在漏洞。

在现有的漏洞库中，基于获取不同信息所关联漏洞的紧密程度，漏洞数量的多少，作为优先级顺序，做数据检索，比如先通过浏览器的版本检索，判断客户端可能存在如下的漏洞：

Mozilla Firefox/Thunderbird/SeaMonkey浏览器引擎内存安全漏洞(CVE-2013-5609)；

Mozilla Firefox/Thunderbird/SeaMonkey浏览器引擎内存安全漏洞(CVE-2013-5610)；

再通过OS版本检索，客户端可能存在如下漏洞：

windows内核信息泄露漏洞(MS13-048)、Microsoft windows LPC和LPC端口拒绝服务漏洞。

另外，本发明实施例不限制检测User-Agent字段，还可以检测客户端24发出的报文的其他字段。

方法2)对于已知的漏洞类型，可预先存储其特定请求的典型消息格式及交互序列，例如针对Opera Web浏览器多个畸形HTML解析拒绝服务漏洞，反向扫描代理模块可以预先保存该漏洞的典型消息或序列，具体为畸形请求报文，将获取的客户端报文与该畸形请求报文进行匹配；或者反向扫描代理模块通过反向扫描方式向客户端发送构造测试报文，检测客户端是否会返回该畸形请求报文。为保障准确率，多次匹配命中后即可判定客户端浏览器具有此类漏洞。不同漏洞的典型消息或序列特征可具体定义。

本发明实施例提供了两种用于识别客户端漏洞的方式。

图3是本发明实施例提供的获得网络缺陷信息方法流程图。在上述实施例的基础上，还包括：所述反向扫描代理模块或所述漏洞扫描器获取所述服务器的漏洞；所述反向扫描代理模块或所述漏洞扫描器依据所述服务器的漏洞和所述客户端的漏洞获得网络缺陷信息。

所述网络缺陷信息包括网络缺陷密度和网络安全等级；所述依据所述服务器的漏洞和所述客户端的漏洞获得网络缺陷信息包括如下步骤：

步骤S301、依据至少一种第一划分规则对所述服务器的漏洞和所述客户端的漏洞进行划分获得网络缺陷类型集合，所述网络缺陷类型集合至少包括一类网络缺陷；

所述依据至少一种第一划分规则对所述服务器的漏洞和所述客户端的漏洞进行划分获得网络缺陷类型集合包括：依据所述至少一种第一划分规则中的第m种第一划分规则将所述服务器的漏洞和所述客户端的漏洞划分为由n类网络缺陷组成的第一集合

m≥1，n≥1，

表示依据所述第m种第一划分规则划分所述漏洞后获得的第i+1类网络缺陷，对于i、j∈[0,n-1]且i≠j，满足

确定所述第一划分规则中将所述漏洞划分为小于或者等于N类网络缺陷的第一目标划分规则，由所述第一目标划分规则划分所述漏洞获得的第一集合构成所述网络缺陷类型集合

其中，F(n)是n的映射函数，表示将所述漏洞划分为n≤N类网络缺陷的第一目标划分规则，

表示将所述漏洞划分为n≤N类网络缺陷的集合。

该步骤中的所述漏洞指的是服务器22和客户端24的漏洞的集合。对所述漏洞进行划分，依据的划分规则为第一划分规则，且第一划分规则有多个，假设依据该第一划分规则中第m种第一划分规则将所述漏洞划分为由n类网络缺陷组成的第一集合

m≥1，n≥1，

并不是每一种第一划分规则划分所述漏洞后都获得n类网络缺陷，n是一个变值，除第m种第一划分规则之外，其他的第一划分规则划分所述漏洞后获得的网络缺陷可能大于n，可能小于n，也可能等于n；将N作为网络缺陷类型数的阈值，选出第一划分规则中将所述漏洞划分为小于或者等于N类网络缺陷的第一目标划分规则，由所述第一目标划分规则划分所述漏洞获得的第一集合构成所述网络缺陷类型集合

表示将所述漏洞划分为n≤N类网络缺陷的集合。

步骤S302、依据至少一种第二划分规则对所述服务器和所述客户端构成的网络区域进行划分获得网络子区域集合，所述网络子区域集合至少包括一个网络子区域；

所述依据至少一种第二划分规则对所述服务器和所述客户端构成的网络区域进行划分获得网络子区域集合包括：依据所述至少一种第二划分规则中的第t种第二划分规则将所述网络区域划分为第二集合

t≥1，S≥1,

表示依据所述第t种第二划分规则划分所述网络区域后获得的第s+1个网络子区域，对于i、j∈[0,S-1]且i≠j，满足

由T个所述第二划分规则分别对所述网络区域划分后获得的第二集合构成所述网络子区域集合

G(t)表示依据所述第t种第二划分规则划分所述网络区域后获得的所述网络子区域的个数。

该步骤中的网络区域是指由服务器和客户端组成的网络区域，对网络区域进行划分，划分的依据是第二划分规则，第二划分规则中的第t种第二划分规则将所述网络区域划分为第二集合

t≥1，S≥1,

假设第t种第二划分规则是客户端的浏览器类型，则

表示客户端的浏览器类型为IE浏览器的网络子区域，

表示客户端的浏览器类型为Fire Fox的网络子区域，

表示客户端的浏览器类型为Opera的网络子区域…直到

表示客户端的浏览器类型为搜狗浏览器的网络子区域；不同的第二划分规则划分网络区域后获得的第二集合并不相同，本发明实施例将各个第二划分规则划分网络区域后获得的第二集合构成所述网络子区域集合

步骤S303、依据所述网络缺陷类型集合和所述网络子区域集合获得网络缺陷密度；

所述网络缺陷密度包括网络子区域内网络缺陷密度和网络子区域内设备缺陷密度；

网络子区域内网络缺陷密度表示特定网络子区域内某一类网络缺陷的密度，网络子区域内设备缺陷密度表示特定网络子区域内存在某一类网络缺陷的客户端的个数，即网络子区域内网络缺陷密度和网络子区域内设备缺陷密度是从两个角度衡量网络缺陷密度的量。

所述依据所述网络缺陷类型集合和所述网络子区域集合获得网络缺陷密度包括：依据所述网络缺陷类型集合

和所述网络子区域集合

获得所述网络子区域内网络缺陷密度

其中，

用于在

范围内筛选

用于计算

的数量；

依据所述网络缺陷类型集合

和所述网络子区域集合

获得所述网络子区域内设备缺陷密度

其中，

用于在

范围内筛选

用于计算

的数量。

步骤S304、依据所述网络缺陷密度获得网络安全等级。

所述网络安全等级包括第一网络安全等级和第二网络安全等级；

若网络缺陷密度越大，则该网络子区域的网络安全等级越低，若网络缺陷密度越小，则该网络子区域的网络安全等级越高；由于步骤S303中包括了用来衡量网络缺陷密度的两种方式，相应的网络安全等级对应的也有两种：第一网络安全等级和第二网络安全等级，具体的，第一网络安全等级与网络子区域内网络缺陷密度对应，第二网络安全等级与网络子区域内设备缺陷密度对应，第一网络安全等级和第二网络安全等级也是从两个角度衡量网络安全等级的量。

所述依据所述网络缺陷密度获得网络安全等级包括：

依据所述网络子区域内网络缺陷密度

获得所述第一网络安全等级

其中，

Y₁是

的单调递减函数；

依据所述网络子区域内设备缺陷密度

获得所述第二网络安全等级

其中，

Y₂是

的单调递减函数。

本发明实施例依据不同的第一划分规则对服务器和客户端的漏洞进行划分获得网络缺陷类型集合，依据不同的第二划分规则对服务器和客户端构成的网络区域进行划分获得网络子区域集合，依据所述网络缺陷类型集合和所述网络子区域集合获得网络缺陷密度，依据所述网络缺陷密度获得网络安全等级，实现了对网络安全等级的定量描述。

在上述实施例的基础上，所述

为

所述

为

其中，α₁、β₁、α₂、β₂是常数。

由于网络缺陷密度越大，网络子区域的网络安全等级越低，网络缺陷密度越小，网络子区域的网络安全等级越高，即网络安全等级与网络缺陷密度成反比，在上述实施例中，通过单调递减函数Y₁和Y₂体现网络安全等级与网络缺陷密度之间的关系，本发明实施例优选用

和

来体现单调递减函数Y₁和Y₂，其中，α₁、β₁、α₂、β₂是常数。

所述网络缺陷信息还包括网络缺陷密度分布和网络安全等级分布,所述网络缺陷密度分布包括所述网络子区域内网络缺陷密度的分布函数和所述网络子区域内设备缺陷密度的分布函数，所述网络安全等级分布包括所述第一网络安全等级的分布和所述第二网络安全等级的分布；其中，所述网络子区域内网络缺陷密度的分布函数

所述网络子区域内设备缺陷密度的分布函数

所述第一网络安全等级的分布

所述第二网络安全等级的分布

上述实施例通过第一网络安全等级和第二网络安全等级体现网络的安全性，本发明实施例通过第一网络安全等级的分布和第二网络安全等级的分布来体现网络的安全性。

本发明实施例具体限定了网络安全等级与网络缺陷密度之间的关系，同时增加了通过网络安全等级的分布来判断网络安全性的方式。

图4为本发明实施例提供的反向扫描代理模块的结构图；图5为本发明另一实施例提供的反向扫描代理模块的结构图；图6为本发明另一实施例提供的反向扫描代理模块的结构图。本发明实施例提供的反向扫描代理模块可以执行漏洞扫描方法实施例提供的处理流程，如图4、5所示，反向扫描代理模块23包括报文获取模块231、发送模块232或者报文识别与发送模块233，以及接收控制模块235，其中，报文获取模块231用于获取客户端报文；发送模块232用于将所述客户端报文发送给漏洞扫描器，以使所述漏洞扫描器依据所述客户端报文识别所述客户端的漏洞；报文识别与发送模块233用于依据所述客户端报文识别所述客户端的漏洞，并将所述客户端的漏洞发送给漏洞扫描器；接收控制模块235用于接收所述漏洞扫描器的控制指令，并依据所述控制指令改变工作方式和/或工作模式，以及更新漏洞规则。

所述反向扫描代理模块23安装在服务器上；所述报文获取模块231具体用于获取所述客户端与所述服务器交互过程中所述客户端发出的业务请求报文和应答报文；或者所述发送模块232还用于向所述客户端发送构造测试报文；所述报文获取模块231具体用于获取所述客户端对所述构造测试报文的响应报文。

所述报文识别与发送模块233具体用于依据所述业务请求报文、所述应答报文和/或所述响应报文的特征字段识别所述客户端的漏洞；或者通过所述业务请求报文、所述应答报文和/或所述响应报文与预设交互报文、预设报文序列或漏洞特征规则进行匹配识别所述客户端的漏洞。

所述报文获取模块231还用于获取所述服务器的漏洞；如图6所示，反向扫描代理模块23还包括第一网络缺陷分析模块234，用于依据所述服务器的漏洞和所述客户端的漏洞获得网络缺陷信息。

图7为本发明实施例提供的漏洞扫描器的结构图；图8为本发明另一实施例提供的漏洞扫描器的结构图。本发明实施例提供的漏洞扫描器可以执行漏洞扫描方法实施例提供的处理流程，如图7所示，漏洞扫描器21包括接收模块211、报文识别模块212和指令发送模块214，其中，接收模块211用于接收反向扫描代理模块发送的客户端报文；或者用于接收反向扫描代理模块发送的客户端的漏洞；报文识别模块212用于依据所述客户端报文识别所述客户端的漏洞；指令发送模块214用于向所述反向扫描代理模块发送控制指令，以使所述反向扫描代理模块依据所述控制指令改变工作方式和/或工作模式，以及更新漏洞规则。

所述报文识别模块212具体用于依据所述业务请求报文、所述应答报文和/或所述响应报文的特征字段识别所述客户端的漏洞；或者通过所述业务请求报文、所述应答报文和/或所述响应报文与预设交互报文、预设报文序列或漏洞特征规则进行匹配识别所述客户端的漏洞。

所述接收模块211还用于获取服务器的漏洞；如图8所示，漏洞扫描器21还包括第二网络缺陷分析模块213，用于依据所述服务器的漏洞和所述客户端的漏洞获得网络缺陷信息。

图9为本发明实施例提供的漏洞扫描系统的结构图；本发明实施例提供的漏洞扫描系统可以执行漏洞扫描方法实施例提供的处理流程，如图9所示，漏洞扫描系统90包括反向扫描代理模块23和漏洞扫描器21。

本发明实施例提供的漏洞扫描系统可以执行漏洞扫描方法实施例提供的处理流程。

综上所述，本发明实施例通过反向扫描代理模块获取客户端报文，并对客户端报文进行分析以识别客户端存在的漏洞，在远程检测服务器的安全问题基础上，增加了对客户端安全问题的分析，从而实现了对整个网络环境的安全性检测；另外，依据不同的第一划分规则对服务器和客户端的漏洞进行划分获得网络缺陷类型集合，依据不同的第二划分规则对服务器和客户端构成的网络区域进行划分获得网络子区域集合，依据所述网络缺陷类型集合和所述网络子区域集合获得网络缺陷密度，依据所述网络缺陷密度获得网络安全等级，实现了对网络安全等级的定量描述；具体限定了网络安全等级与网络缺陷密度之间的关系，同时增加了通过网络安全等级的分布来判断网络安全性的方式。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

一种漏洞扫描方法，其特征在于，包括：

反向扫描代理模块获取客户端报文；

所述反向扫描代理模块将所述客户端报文发送给漏洞扫描器，以使所述漏洞扫描器依据所述客户端报文识别所述客户端的漏洞，或者所述反向扫描代理模块依据所述客户端报文识别所述客户端的漏洞，并将所述客户端的漏洞发送给漏洞扫描器；

所述反向扫描代理模块接收所述漏洞扫描器的控制指令，并依据所述控制指令改变工作方式和/或工作模式，以及更新漏洞规则。
根据权利要求1所述的方法，其特征在于，所述反向扫描代理模块安装在服务器上；

所述反向扫描代理模块获取客户端报文包括：

所述反向扫描代理模块获取所述客户端与所述服务器交互过程中所述客户端发出的业务请求报文和应答报文；或者

所述反向扫描代理模块向所述客户端发送构造测试报文，获取所述客户端对所述构造测试报文的响应报文。
根据权利要求2所述的方法，其特征在于，所述依据所述客户端报文识别所述客户端的漏洞包括：

依据所述业务请求报文、所述应答报文和/或所述响应报文的特征字段识别所述客户端的漏洞；或者

通过所述业务请求报文、所述应答报文和/或所述响应报文与预设交互报文、预设报文序列或漏洞特征规则进行匹配识别所述客户端的漏洞。
根据权利要求1-3任一项所述的方法，其特征在于，还包括：

所述反向扫描代理模块或所述漏洞扫描器获取所述服务器的漏洞；

所述反向扫描代理模块或所述漏洞扫描器依据所述服务器的漏洞和所述客户端的漏洞获得网络缺陷信息。
根据权利要求4所述的方法，其特征在于，所述网络缺陷信息包括网络缺陷密度和网络安全等级；

所述依据所述服务器的漏洞和所述客户端的漏洞获得网络缺陷信息包括：

依据至少一种第一划分规则对所述服务器的漏洞和所述客户端的漏洞进行划分获得网络缺陷类型集合，所述网络缺陷类型集合至少包括一类网络缺陷；

依据至少一种第二划分规则对所述服务器和所述客户端构成的网络区域进行划分获得网络子区域集合，所述网络子区域集合至少包括一个网络子区域；

依据所述网络缺陷类型集合和所述网络子区域集合获得网络缺陷密度；

依据所述网络缺陷密度获得网络安全等级。
根据权利要求5所述的方法，其特征在于，所述依据至少一种第一划分规则对所述服务器的漏洞和所述客户端的漏洞进行划分获得网络缺陷类型集合包括：

依据所述至少一种第一划分规则中的第m种第一划分规则将所述服务器的漏洞和所述客户端的漏洞划分为由n类网络缺陷组成的第一集合
m≥1，n≥1，
表示依据所述第m种第一划分规则划分所述漏洞后获得的第i+1类网络缺陷，对于i、j∈[0,n-1]且i≠j，满足

确定所述第一划分规则中将所述漏洞划分为小于或者等于N类网络缺陷的第一目标划分规则，由所述第一目标划分规则划分所述漏洞获得的第一集合构成所述网络缺陷类型集合
其中，F(n)是n的映射函数，表示将所述漏洞划分为n≤N类网络缺陷的第一目标划分规则，
表示将所述漏洞划分为n≤N类网络缺陷的集合。
根据权利要求5所述的方法，其特征在于，所述依据至少一种第二划分规则对所述服务器和所述客户端构成的网络区域进行划分获得网络子区域集合包括：

依据所述至少一种第二划分规则中的第t种第二划分规则将所述网络区域划分为第二集合
t≥1，S≥1,
表示依据所述第t种第二划分规则划分所述网络区域后获得的第s+1个网络子区域，对于i、j∈[0,S-1]且i≠j，满足

由T个所述第二划分规则分别对所述网络区域划分后获得的第二集合构成所述网络子区域集合
G(t)表示依据所述第t种第二划分规则划分所述网络区域后获得的所述网络子区域的个数。
根据权利要求6或7所述的方法，其特征在于，所述网络缺陷密度包括网络子区域内网络缺陷密度和网络子区域内设备缺陷密度；

所述依据所述网络缺陷类型集合和所述网络子区域集合获得网络缺陷密度包括：

依据所述网络缺陷类型集合
和所述网络子区域集合
获得所述网络子区域内网络缺陷密度
其中，

用于在
范围内筛选

用于计算
的数量；

依据所述网络缺陷类型集合
和所述网络子区域集合
获得所述网络子区域内设备缺陷密度
其中，

用于在
范围内筛选

用于计算
的数量。
根据权利要求8所述的方法，其特征在于，所述网络安全等级包括第一网络安全等级和第二网络安全等级；

所述依据所述网络缺陷密度获得网络安全等级包括：

依据所述网络子区域内网络缺陷密度
获得所述第一网络安全等级
其中，
Y₁是
的单调递减函数；

依据所述网络子区域内设备缺陷密度
获得所述第二网络安全等级
其中，
Y₂是
的单调递减函数。
根据权利要求9所述的方法，其特征在于，所述
为
所述
为其中，α₁、β₁、α₂、β₂是常数。
根据权利要求9或10所述的方法，其特征在于，所述网络缺陷信息还包括网络缺陷密度分布和网络安全等级分布,所述网络缺陷密度分布包括所述网络子区域内网络缺陷密度的分布函数和所述网络子区域内设备缺陷密度的分布函数，所述网络安全等级分布包括所述第一网络安全等级的分布和所述第二网络安全等级的分布；

其中，所述网络子区域内网络缺陷密度的分布函数
所述网络子区域内设备缺陷密度的分布函数

所述第一网络安全等级的分布
所述第二网络安全等级的分布
一种反向扫描代理模块，其特征在于，包括：

报文获取模块，用于获取客户端报文；

发送模块，用于将所述客户端报文发送给漏洞扫描器，以使所述漏洞扫描器依据所述客户端报文识别所述客户端的漏洞，或者报文识别与发送模块，用于依据所述客户端报文识别所述客户端的漏洞，并将所述客户端的漏洞发送给漏洞扫描器；

接收控制模块，用于接收所述漏洞扫描器的控制指令，并依据所述控制指令改变工作方式和/或工作模式，以及更新漏洞规则。
根据权利要求12所述的反向扫描代理模块，其特征在于，所述反向扫描代理模块安装在服务器上；

所述报文获取模块具体用于获取所述客户端与所述服务器交互过程中所述客户端发出的业务请求报文和应答报文；或者

所述发送模块还用于向所述客户端发送构造测试报文；所述报文获取模块具体用于获取所述客户端对所述构造测试报文的响应报文。
根据权利要求13所述的反向扫描代理模块，其特征在于，所述报文识别与发送模块具体用于依据所述业务请求报文、所述应答报文和/或所述响应报文的特征字段识别所述客户端的漏洞；或者通过所述业务请求报文、所述应答报文和/或所述响应报文与预设交互报文、预设报文序列或漏洞特征规则进行匹配识别所述客户端的漏洞。
根据权利要求14所述的反向扫描代理模块，其特征在于，所述报文获取模块还用于获取所述服务器的漏洞；

所述反向扫描代理模块还包括第一网络缺陷分析模块，用于依据所述服务器的漏洞和所述客户端的漏洞获得网络缺陷信息。
一种漏洞扫描器，其特征在于，包括：

接收模块，用于接收反向扫描代理模块发送的客户端报文；或者用于接收反向扫描代理模块发送的客户端的漏洞；

报文识别模块，用于依据所述客户端报文识别所述客户端的漏洞；

指令发送模块，用于向所述反向扫描代理模块发送控制指令，以使所述反向扫描代理模块依据所述控制指令改变工作方式和/或工作模式，以及更新漏洞规则。
根据权利要求16所述的漏洞扫描器，其特征在于，所述报文识别模块具体用于依据所述业务请求报文、所述应答报文和/或所述响应报文的特征字段识别所述客户端的漏洞；或者通过所述业务请求报文、所述应答报文和/或所述响应报文与预设交互报文、预设报文序列或漏洞特征规则进行匹配识别所述客户端的漏洞。
根据权利要求17所述的漏洞扫描器，其特征在于，所述接收模块还用于获取服务器的漏洞；

所述漏洞扫描器还包括第二网络缺陷分析模块，用于依据所述服务器的漏洞和所述客户端的漏洞获得网络缺陷信息。
一种漏洞扫描系统，其特征在于，包括如权利要求12-15任一项所述的反向扫描代理模块，以及如权利要求16-18任一项所述的漏洞扫描器。