專利名稱:一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系統(tǒng)及其處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種漏洞掃描系統(tǒng),特別是涉及一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系 統(tǒng)及其處理方法。
背景技術(shù):
目前,隨著計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全問(wèn)題也日益突出。面對(duì) 各種各樣的網(wǎng)絡(luò)事件和安全問(wèn)題,我們深切感到網(wǎng)絡(luò)安全評(píng)估的重要性和緊迫性。如何評(píng) 估?用什么技術(shù)實(shí)現(xiàn)安全評(píng)估?這越來(lái)越引起人們的廣泛關(guān)注和重視,并成為信息安全技 術(shù)領(lǐng)域研究的熱點(diǎn)問(wèn)題。面對(duì)網(wǎng)絡(luò)安全問(wèn)題,通過(guò)大量分析可以發(fā)現(xiàn),黑客和病毒通常是通過(guò)安全漏洞寄 生和滲入到目標(biāo)系統(tǒng)中,并對(duì)系統(tǒng)進(jìn)行一定的修改和破壞。因此只要能夠找到系統(tǒng)所存在 的安全漏洞并及時(shí)地修復(fù),就可以有效地抵御大部分黑客和病毒的攻擊。漏洞掃描系統(tǒng)的 功能就是針對(duì)計(jì)算機(jī)或者其它網(wǎng)絡(luò)主機(jī)設(shè)備進(jìn)行安全檢測(cè),以找出存在的安全隱患和發(fā)現(xiàn) 可能被黑客利用的安全漏洞,使網(wǎng)絡(luò)管理員預(yù)先知道網(wǎng)絡(luò)的脆弱性所在,并及時(shí)采取補(bǔ)救 措施確保網(wǎng)絡(luò)系統(tǒng)的安全?,F(xiàn)有技術(shù)的漏洞掃描系統(tǒng)的體系結(jié)構(gòu)原理框圖請(qǐng)參見(jiàn)圖1所示該漏洞掃描系統(tǒng) 大部分采用C/S模式,該模式主要由客戶端1'和服務(wù)器端2'組成;其中,客戶端1'由安 全評(píng)估模塊11'、掃描配置模塊12'和結(jié)果報(bào)表管理模塊13'組成,服務(wù)器端2'由掃描 引擎21'、漏洞庫(kù)22'和插件庫(kù)23'組成;客戶端1'和服務(wù)器端2'之間通過(guò)加密通道 3'實(shí)現(xiàn)數(shù)據(jù)傳遞;服務(wù)器端2'與被掃描網(wǎng)絡(luò)4'相連接。該模式工作時(shí),由客戶端1'通 過(guò)掃描配置模塊12'進(jìn)行掃描配置,并將掃描請(qǐng)求文件發(fā)送到服務(wù)器端2';服務(wù)器端2' 的掃描引擎21'根據(jù)掃描配置文件信息調(diào)用相應(yīng)的插件對(duì)被掃描網(wǎng)絡(luò)4'進(jìn)行掃描,并將 從被掃描網(wǎng)絡(luò)4'返回的結(jié)果與漏洞庫(kù)22'中的信息進(jìn)行匹配以確定是否存在相應(yīng)的漏 洞,然后將掃描結(jié)果返回給客戶端1';客戶端1'由安全評(píng)估模塊11'對(duì)返回的掃描結(jié)果 進(jìn)行分析,并完成對(duì)被掃描網(wǎng)絡(luò)4'的安全評(píng)估工作;最后由客戶端Γ的結(jié)果報(bào)表管理模 塊13'對(duì)掃描結(jié)果進(jìn)行處理?,F(xiàn)有技術(shù)的這種漏洞掃描系統(tǒng)的結(jié)構(gòu)原理雖然較為簡(jiǎn)單,但卻存在著幾點(diǎn)較為明 顯的不足首先,這種模式進(jìn)行漏洞掃描比較被動(dòng),一般情況下是用戶需要檢測(cè)系統(tǒng)的安全 性時(shí)才進(jìn)行漏洞掃描,沒(méi)辦法及時(shí)發(fā)現(xiàn)系統(tǒng)的漏洞;其次,該模式?jīng)]辦法對(duì)掃描任務(wù)設(shè)置一 個(gè)有效的調(diào)度機(jī)制,實(shí)現(xiàn)定時(shí)掃描;第三,該模式一般都是把漏洞等級(jí)分為高、中、低,然后 簡(jiǎn)單的給個(gè)權(quán)值,最后再計(jì)算并取加權(quán)平均值,因算法較為粗糙,導(dǎo)致評(píng)估報(bào)告誤差大;第 四,該模式?jīng)]有預(yù)警功能,一般情況下掃描一個(gè)系統(tǒng)或者網(wǎng)絡(luò)的漏洞需要等待較長(zhǎng)的時(shí)間, 用戶一般是等到整個(gè)掃描結(jié)束后才進(jìn)行漏洞的修補(bǔ),如果這個(gè)時(shí)候有針對(duì)相應(yīng)漏洞的入侵 攻擊進(jìn)來(lái),用戶則無(wú)法查知。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)之不足,提供一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描 系統(tǒng)及其處理方法,它根據(jù)傳統(tǒng)漏洞掃描系統(tǒng)在架構(gòu)和評(píng)估算法上存在的不足之處,提出 一個(gè)比較合理的掃描系統(tǒng)模型,同時(shí)采用模糊數(shù)學(xué)的評(píng)估算法對(duì)掃描結(jié)果進(jìn)行安全評(píng)估, 從而提高評(píng)估的準(zhǔn)確性。本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描 系統(tǒng),包括采用C/S架構(gòu)的服務(wù)器端和客戶端,該服務(wù)器端運(yùn)行于Unix或Linux平臺(tái),該客 戶端運(yùn)行于Windows平臺(tái);該服務(wù)器端,包括掃描引擎服務(wù)模塊,用來(lái)接受客戶端的請(qǐng)求,執(zhí)行掃描任務(wù);插件庫(kù),用來(lái)存儲(chǔ)檢驗(yàn)漏洞的插件;漏洞庫(kù),用來(lái)存儲(chǔ)漏洞數(shù)據(jù);掃描歷史記錄存儲(chǔ)區(qū),用來(lái)存儲(chǔ)掃描歷史記錄數(shù)據(jù);在服務(wù)器端中掃描引擎服務(wù)模塊分別與插件庫(kù)、漏洞庫(kù),掃描歷史記錄存儲(chǔ)區(qū)相 連接,掃描引擎服務(wù)模塊根據(jù)客戶端的請(qǐng)求從插件庫(kù)中調(diào)用插件并從掃描歷史記錄存儲(chǔ)區(qū) 中讀取對(duì)應(yīng)的掃描歷史記錄對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描,并把新的掃描信息寫入掃描歷史記錄存儲(chǔ) 區(qū)中,同時(shí)把掃描結(jié)果與漏洞庫(kù)進(jìn)行匹配看是否發(fā)現(xiàn)漏洞,最后把掃描結(jié)果傳送給客戶端;該客戶端,包括掃描配置模塊,提供一個(gè)界面,讓用戶對(duì)掃描會(huì)話的信息進(jìn)行配置,然后把配置信 息組成掃描參數(shù)文件,并加密發(fā)送給服務(wù)器端;掃描報(bào)告處理模塊,根據(jù)中文漏洞庫(kù)中的漏洞信息和掃描結(jié)果信息生成掃描報(bào)
生 P=I ;評(píng)估算法模塊,按照預(yù)置的算法對(duì)掃描結(jié)果進(jìn)行計(jì)算分析,并形成安全評(píng)估報(bào)
生 P=I ;掃描結(jié)果庫(kù),用來(lái)存儲(chǔ)掃描結(jié)果數(shù)據(jù);中文漏洞庫(kù),用來(lái)存儲(chǔ)中文漏洞數(shù)據(jù);在客戶端中評(píng)估算法模塊與掃描結(jié)果庫(kù)相連接,評(píng)估算法模塊從掃描結(jié)果庫(kù)中 調(diào)取掃描結(jié)果并根據(jù)預(yù)置的算法對(duì)掃描結(jié)果進(jìn)行計(jì)算分析,從而形成安全評(píng)估報(bào)告;掃描 報(bào)告處理模塊分別與中文漏洞庫(kù)、掃描結(jié)果庫(kù)相連接,從中文漏洞庫(kù)中提取漏洞信息,從掃 描結(jié)果庫(kù)中調(diào)取掃描結(jié)果信息,并生成掃描報(bào)告。所述的服務(wù)器端,還包括調(diào)度進(jìn)程模塊,用來(lái)接受客戶端的請(qǐng)求,向掃描引擎服務(wù)模塊發(fā)送觸發(fā)掃描指 令;入侵檢測(cè)模塊,用來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)情況,判斷網(wǎng)絡(luò)是否有異常,在有異常時(shí)啟動(dòng)掃描;規(guī)則庫(kù),用來(lái)存儲(chǔ)規(guī)則數(shù)據(jù);在服務(wù)器端中調(diào)度進(jìn)程模塊與掃描引擎服務(wù)模塊相連接,調(diào)度進(jìn)程模塊觸發(fā)掃 描引擎服務(wù)模塊執(zhí)行掃描任務(wù);入侵檢測(cè)模塊與規(guī)則庫(kù)相連接,入侵檢測(cè)模塊對(duì)網(wǎng)絡(luò)情況 進(jìn)行監(jiān)聽(tīng)并將監(jiān)聽(tīng)結(jié)果與規(guī)則庫(kù)里的規(guī)則進(jìn)行比較以判斷網(wǎng)絡(luò)是否發(fā)生異常;所述的客戶端,還包括
預(yù)警模塊,根據(jù)服務(wù)器端的入侵檢測(cè)模塊所發(fā)送的啟動(dòng)掃描指令而產(chǎn)生警報(bào),由 用戶對(duì)當(dāng)前網(wǎng)絡(luò)進(jìn)行掃描或者自動(dòng)啟動(dòng)服務(wù)器端的調(diào)度進(jìn)程模塊進(jìn)行掃描;在服務(wù)器端的入侵檢測(cè)模塊發(fā)現(xiàn)異常時(shí),服務(wù)器端的入侵檢測(cè)模塊向客戶端的預(yù) 警模塊發(fā)送啟動(dòng)掃描指令,客戶端的預(yù)警模塊產(chǎn)生報(bào)警信息,并根據(jù)需要自動(dòng)啟動(dòng)服務(wù)器 端的調(diào)度進(jìn)程模塊進(jìn)行掃描。所述的服務(wù)器端,還包括客戶端驗(yàn)證模塊,用來(lái)接受客戶端的請(qǐng)求對(duì)客戶端證書(shū)進(jìn)行驗(yàn)證,并向客戶端發(fā) 送服務(wù)器端證書(shū);用戶證書(shū)庫(kù),用來(lái)存儲(chǔ)用戶信息和客戶端證書(shū);在服務(wù)器端中客戶端驗(yàn)證模塊與用戶證書(shū)庫(kù)相連接,客戶端驗(yàn)證模塊將接受的 客戶端的驗(yàn)證請(qǐng)求與用戶證書(shū)庫(kù)的客戶端證書(shū)進(jìn)行比對(duì)驗(yàn)證;所述的客戶端,還包括服務(wù)器端驗(yàn)證模塊,用來(lái)向服務(wù)器端發(fā)送客戶端證書(shū),并接收服務(wù)器端證書(shū);服務(wù)證書(shū)庫(kù),用來(lái)存儲(chǔ)服務(wù)器信息和服務(wù)器端證書(shū);在客戶端中服務(wù)器端驗(yàn)證模塊與服務(wù)證書(shū)庫(kù)相連接,服務(wù)器端驗(yàn)證模塊將接收 的服務(wù)器端證書(shū)與服務(wù)證書(shū)庫(kù)中的服務(wù)器端證書(shū)進(jìn)行比對(duì)驗(yàn)證。所述的服務(wù)器端,還包括漏洞擴(kuò)充與漢化模塊,用來(lái)建立中文漏洞庫(kù);在服務(wù)器端中漏洞擴(kuò)充與漢化模塊與中文漏洞庫(kù)相連接。本發(fā)明的一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描的處理方法,包括如下過(guò)程客戶端通過(guò)使用證書(shū)認(rèn)證連接到指定的服務(wù)器端,服務(wù)器端通過(guò)客戶端認(rèn)證;客戶端啟動(dòng)掃描配置模塊對(duì)要掃描的網(wǎng)絡(luò)進(jìn)行配置并把配置信息傳送給服務(wù)器 端;服務(wù)器端啟動(dòng)掃描引擎服務(wù)模塊工作,服務(wù)器端的掃描引擎服務(wù)模塊根據(jù)配置參 數(shù)調(diào)用插件庫(kù)中的插件并讀取掃描歷史記錄存儲(chǔ)區(qū)所對(duì)應(yīng)的掃描歷史記錄對(duì)指定的網(wǎng)絡(luò) 進(jìn)行掃描;服務(wù)器端的掃描引擎服務(wù)模塊把新的掃描信息寫入掃描歷史記錄存儲(chǔ)區(qū)中;同時(shí) 服務(wù)器端的掃描引擎服務(wù)模塊把掃描結(jié)果跟漏洞庫(kù)進(jìn)行匹配看是否發(fā)現(xiàn)漏洞,最后把掃描 結(jié)果傳送給客戶端;客戶端的掃描結(jié)果庫(kù)接受服務(wù)器端的掃描結(jié)果的存儲(chǔ);客戶端的評(píng)估算法模塊從掃描結(jié)果庫(kù)中獲取掃描結(jié)果信息,并根據(jù)預(yù)置的算法對(duì) 掃描結(jié)果進(jìn)行計(jì)算分析,進(jìn)而形成安全評(píng)估報(bào)告;客戶端的掃描報(bào)告處理模塊根據(jù)中文漏洞庫(kù)中的漏洞信息和掃描結(jié)果庫(kù)中獲取 的掃描結(jié)果信息,生成掃描報(bào)告;服務(wù)器端的入侵檢測(cè)模塊在服務(wù)器運(yùn)行后,就時(shí)時(shí)捕獲所監(jiān)聽(tīng)的網(wǎng)絡(luò)上數(shù)據(jù)包的 情況,與規(guī)則庫(kù)里的規(guī)則進(jìn)行匹配,判斷網(wǎng)絡(luò)上是否存在異常情況;當(dāng)網(wǎng)絡(luò)出現(xiàn)有異常情況時(shí),就通知客戶端上的預(yù)警模塊,預(yù)警模塊產(chǎn)生報(bào)警,由用 戶對(duì)當(dāng)前網(wǎng)絡(luò)進(jìn)行掃描或者自動(dòng)啟動(dòng)服務(wù)器端的調(diào)度進(jìn)程模塊,通過(guò)調(diào)度進(jìn)程模塊觸發(fā)掃 描弓I擎服務(wù)模塊對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行掃描。
本發(fā)明的有益效果是由于將漏洞掃描系統(tǒng)和入侵檢測(cè)系統(tǒng)相結(jié)合,并引入預(yù)警 功能和調(diào)度功能,使得該漏洞掃描系統(tǒng)可以根據(jù)用戶的需要,有選擇有目的地對(duì)所要評(píng)估 的網(wǎng)絡(luò)進(jìn)行漏洞掃描和安全評(píng)估;由于引入基于模糊數(shù)學(xué)的安全評(píng)估方法,且該方法能對(duì) 掃描結(jié)果進(jìn)行一個(gè)比較客觀、準(zhǔn)確的安全評(píng)估,使得整個(gè)掃描報(bào)告結(jié)果比較準(zhǔn)確。該系統(tǒng)能 夠自動(dòng)進(jìn)行系統(tǒng)漏洞掃描,形成直觀的掃描報(bào)告結(jié)果,同時(shí)能夠有效地預(yù)防入侵,并且結(jié)合 相關(guān)專家經(jīng)驗(yàn)值時(shí),能使得整個(gè)網(wǎng)絡(luò)安全評(píng)估結(jié)果更加準(zhǔn)確和權(quán)威。以下結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明;但本發(fā)明的一種面向網(wǎng)絡(luò)安 全評(píng)估的漏洞掃描系統(tǒng)及其處理方法不局限于實(shí)施例。
圖1是現(xiàn)有技術(shù)的漏洞掃描系統(tǒng)的結(jié)構(gòu)原理框圖;圖2是本發(fā)明的漏洞掃描系統(tǒng)的結(jié)構(gòu)原理框圖;圖3是本發(fā)明的預(yù)警模塊的流程圖;圖4是本發(fā)明的掃描配置模塊的掃描參數(shù)文件內(nèi)容及傳送過(guò)程示意圖。
具體實(shí)施例方式實(shí)施例,請(qǐng)參見(jiàn)圖2所示,本發(fā)明的一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系統(tǒng),其漏 洞掃描系統(tǒng)包括采用C/S架構(gòu)的服務(wù)器端1和客戶端2,該服務(wù)器端1運(yùn)行于Unix或Linux 平臺(tái),該客戶端2運(yùn)行于Windows平臺(tái);該服務(wù)器端1,包括掃描引擎服務(wù)模塊16,用來(lái)接受客戶端2的請(qǐng)求,執(zhí)行掃描任務(wù);掃描引擎服務(wù)模 塊16的主要作用是負(fù)責(zé)根據(jù)用戶的定制從插件庫(kù)選取特定的插件,協(xié)調(diào)各掃描插件間的 關(guān)系,執(zhí)行掃描程序,將結(jié)果存入掃描歷史記錄中,并負(fù)責(zé)發(fā)送給客戶端;客戶端驗(yàn)證模塊19,用來(lái)接受客戶端2的請(qǐng)求對(duì)客戶端證書(shū)進(jìn)行驗(yàn)證,并向客戶 端2發(fā)送服務(wù)器端證書(shū);服務(wù)器端1首次啟動(dòng)運(yùn)行時(shí),必須進(jìn)行用戶信息設(shè)置,服務(wù)器規(guī)則 設(shè)置,之后會(huì)產(chǎn)生一個(gè)服務(wù)器端證書(shū);該模塊存儲(chǔ)著用戶信息和客戶端2的證書(shū),支持用戶 采用密碼或證書(shū)登陸服務(wù)器;調(diào)度進(jìn)程模塊17,用來(lái)接受客戶端2的請(qǐng)求,向掃描引擎服務(wù)模塊16發(fā)送觸發(fā)掃 描指令;根據(jù)來(lái)自客戶端2的用戶對(duì)掃描任務(wù)調(diào)度信息的配置,該模塊會(huì)定期執(zhí)行相對(duì)應(yīng) 的掃描任務(wù),并自動(dòng)保存掃描結(jié)果;入侵檢測(cè)模塊18,用來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)情況,判斷網(wǎng)絡(luò)是否有異常,在有異常時(shí)啟動(dòng)掃 描;該模塊主要是時(shí)時(shí)捕獲所監(jiān)聽(tīng)的網(wǎng)絡(luò)上數(shù)據(jù)包的情況并進(jìn)行分析,與規(guī)則庫(kù)里的規(guī)則 進(jìn)行匹配,從而判斷網(wǎng)絡(luò)上是否存在異常情況,并及時(shí)啟動(dòng)調(diào)度進(jìn)程模塊;插件庫(kù)11,用來(lái)存儲(chǔ)檢驗(yàn)漏洞的插件;其中,插件與漏洞是一對(duì)一的關(guān)系,即一個(gè) 插件負(fù)責(zé)檢驗(yàn)一個(gè)漏洞,且所有的插件均存放在插件庫(kù)11中,插件根據(jù)各自的類別組織在 一起;漏洞庫(kù)12,用來(lái)存儲(chǔ)漏洞數(shù)據(jù);當(dāng)該模型執(zhí)行外部掃描時(shí),將從目標(biāo)主機(jī)或網(wǎng)絡(luò) 返回的信息與該漏洞庫(kù)12中的信息相匹配,以此來(lái)判斷目標(biāo)主機(jī)或網(wǎng)絡(luò)是否存在相應(yīng)的 漏洞;
規(guī)則庫(kù)13,用來(lái)存儲(chǔ)規(guī)則數(shù)據(jù);用戶證書(shū)庫(kù)14,用來(lái)存儲(chǔ)用戶信息和客戶端證書(shū);掃描歷史記錄存儲(chǔ)區(qū)15,用來(lái)存儲(chǔ)掃描歷史記錄數(shù)據(jù);在服務(wù)器端1中掃描引擎服務(wù)模塊16分別與插件庫(kù)11、漏洞庫(kù)12,掃描歷史記 錄存儲(chǔ)區(qū)15相連接,掃描引擎服務(wù)模塊16根據(jù)客戶端2的請(qǐng)求從插件庫(kù)11中調(diào)用插件并 從掃描歷史記錄存儲(chǔ)區(qū)15中讀取對(duì)應(yīng)的掃描歷史記錄對(duì)目標(biāo)網(wǎng)絡(luò)3進(jìn)行掃描,并把新的掃 描信息寫入掃描歷史記錄存儲(chǔ)區(qū)15中,同時(shí)把掃描結(jié)果與漏洞庫(kù)12進(jìn)行匹配看是否發(fā)現(xiàn) 漏洞,最后把掃描結(jié)果傳送給客戶端2 ;調(diào)度進(jìn)程模塊17與掃描引擎服務(wù)模塊16相連接, 調(diào)度進(jìn)程模塊17觸發(fā)掃描引擎服務(wù)模塊16執(zhí)行掃描任務(wù);入侵檢測(cè)模塊18與規(guī)則庫(kù)13 相連接,入侵檢測(cè)模塊18對(duì)網(wǎng)絡(luò)情況進(jìn)行監(jiān)聽(tīng)并將監(jiān)聽(tīng)結(jié)果與規(guī)則庫(kù)13里的規(guī)則進(jìn)行比 較以判斷目標(biāo)網(wǎng)絡(luò)3是否發(fā)生異常;客戶端驗(yàn)證模塊19與用戶證書(shū)庫(kù)14相連接,客戶端驗(yàn) 證模塊19將接受的客戶端2的驗(yàn)證請(qǐng)求與用戶證書(shū)庫(kù)14的客戶端證書(shū)進(jìn)行比對(duì)驗(yàn)證;該客戶端2,包括服務(wù)器端驗(yàn)證模塊205,用來(lái)向服務(wù)器端1發(fā)送客戶端證書(shū),并接收服務(wù)器端證 書(shū);客戶端2首次連接到服務(wù)器時(shí),會(huì)從服務(wù)器下載證書(shū)并保存在客戶端;每當(dāng)客戶端2與 服務(wù)器端1連接時(shí),都要驗(yàn)證客戶端上所存儲(chǔ)的服務(wù)器端證書(shū)是否與當(dāng)前服務(wù)器端上的證 書(shū)一致,只有二者一致時(shí)連接才能成功;預(yù)警模塊203,根據(jù)服務(wù)器端1的入侵檢測(cè)模塊18所發(fā)送的啟動(dòng)掃描指令而產(chǎn)生 警報(bào),由用戶對(duì)當(dāng)前網(wǎng)絡(luò)進(jìn)行掃描或者自動(dòng)啟動(dòng)服務(wù)器端1的調(diào)度進(jìn)程模塊17進(jìn)行掃描;掃描配置模塊201,提供一個(gè)界面,讓用戶對(duì)掃描會(huì)話的信息進(jìn)行配置,然后把配 置信息組成掃描參數(shù)文件,并加密發(fā)送給服務(wù)器端1 ;掃描報(bào)告處理模塊208,根據(jù)中文漏洞庫(kù)中的漏洞信息和掃描結(jié)果信息生成掃描 報(bào)告209 ;其掃描報(bào)告形式有txt、html等格式;為了使掃描報(bào)告更加直觀化,還能以曲線 圖、餅圖和柱狀圖來(lái)顯示漏洞危害等級(jí)和漏洞家族信息;漏洞擴(kuò)充與漢化模塊204,用來(lái)建立中文漏洞庫(kù);評(píng)估算法模塊206,按照預(yù)置的算法對(duì)掃描結(jié)果進(jìn)行計(jì)算分析,并形成安全評(píng)估報(bào) 告 207 ;掃描結(jié)果庫(kù)202,用來(lái)存儲(chǔ)掃描結(jié)果數(shù)據(jù);中文漏洞庫(kù)210,用來(lái)存儲(chǔ)中文漏洞數(shù)據(jù);服務(wù)證書(shū)庫(kù)211,用來(lái)存儲(chǔ)服務(wù)器信息和服務(wù)器端證書(shū);在客戶端2中服務(wù)器端驗(yàn)證模塊205與服務(wù)證書(shū)庫(kù)211相連接,服務(wù)器端驗(yàn)證模 塊205將接收的服務(wù)器端證書(shū)與服務(wù)證書(shū)庫(kù)211中的服務(wù)器端證書(shū)進(jìn)行比對(duì)驗(yàn)證;評(píng)估算 法模塊206與掃描結(jié)果庫(kù)202相連接,評(píng)估算法模塊206從掃描結(jié)果庫(kù)202中調(diào)取掃描結(jié) 果并根據(jù)預(yù)置的算法對(duì)掃描結(jié)果進(jìn)行計(jì)算分析,從而形成安全評(píng)估報(bào)告207 ;掃描報(bào)告處 理模塊208分別與中文漏洞庫(kù)210、掃描結(jié)果庫(kù)202相連接,從中文漏洞庫(kù)210中提取漏洞 信息,從掃描結(jié)果庫(kù)202中調(diào)取掃描結(jié)果信息,并生成掃描報(bào)告209。本發(fā)明的一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系統(tǒng),上述的預(yù)警模塊203,主要是根 據(jù)服務(wù)器上IDS進(jìn)程即入侵檢測(cè)模塊18是否發(fā)現(xiàn)入侵,若發(fā)現(xiàn)則產(chǎn)生警報(bào),用戶就可以對(duì) 當(dāng)前網(wǎng)絡(luò)進(jìn)行掃描或者由預(yù)警模塊203自動(dòng)啟動(dòng)調(diào)度進(jìn)程模塊17進(jìn)行掃描;其工作流程,請(qǐng)參見(jiàn)圖3所示步驟Si,預(yù)警模塊203根據(jù)入侵檢驗(yàn)?zāi)K18所發(fā)送的啟動(dòng)掃描指令而產(chǎn)生警報(bào), 執(zhí)行步驟S2 ;步驟S2,將掃描任務(wù)入庫(kù),執(zhí)行步驟S3 ;步驟S3,設(shè)置次任務(wù)優(yōu)先級(jí)最高,執(zhí)行步驟S4 ;步驟S4,判斷是否有掃描進(jìn)程正在運(yùn)行,如判斷有掃描進(jìn)程正在運(yùn)行,則執(zhí)行步驟 S5,否則執(zhí)行步驟S7;步驟S5,判斷掃描進(jìn)程是否運(yùn)行完畢,如掃描進(jìn)程運(yùn)行完畢,則執(zhí)行步驟S7,否則 執(zhí)行步驟S6 ;步驟S6,判斷掃描進(jìn)程是否被強(qiáng)行終止,如掃描進(jìn)程被強(qiáng)行終止,則執(zhí)行步驟步驟 S7,否則回到步驟S5 ;步驟S7,啟動(dòng)調(diào)度進(jìn)程模塊17進(jìn)行掃描。本發(fā)明的一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系統(tǒng),主要是提供一個(gè)界面,讓用戶 對(duì)某次掃描會(huì)話的信息進(jìn)行配置,然后把配置信息組成掃描參數(shù)文件,并發(fā)送給服務(wù)器端, 如圖4所示。本發(fā)明的一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系統(tǒng),由上述漏洞擴(kuò)充與漢化模塊 204所建立的中文漏洞庫(kù),其數(shù)據(jù)庫(kù)中的各個(gè)字段如下所示插件ID(PID)描述檢測(cè)某個(gè)漏洞所需插件的ID ;插件名稱(PNAME)描述該插件的名稱即該插件所發(fā)現(xiàn)的漏洞名稱;漏洞描述(DESCRIPTION)描述漏洞相關(guān)信息,使用戶更進(jìn)一步地了解此漏洞;解決方案(SOLUTION):描述漏洞的解決方法;參閱(SEEALS0)描述漏洞補(bǔ)丁下載的鏈接地址;風(fēng)險(xiǎn)等級(jí)(RISKFACT0R)描述漏洞所對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí),用戶根據(jù)此項(xiàng)知道哪些漏 洞對(duì)系統(tǒng)的危害大,需要立即下載補(bǔ)丁 ;參考資源(REFERENCE)描述與此漏洞相關(guān)的參考信息;插件版本(COPYRIGHT)描述該插件所對(duì)應(yīng)的版權(quán)信息;漏洞家族(FAMILY)描述該漏洞所對(duì)應(yīng)的家族信息;漏洞種類(CATEGORY)描述該漏洞所對(duì)應(yīng)的種類;CVE編號(hào)(CVE)描述漏洞的CVE編號(hào);標(biāo)志位(FLAG)描述該插件信息是否被漢化。其中,該中文漏洞庫(kù)的漏洞種類有以下五種Attack、Denial、Info、Manner和 Others。其漏洞家族如表1所示,這些漏洞家族可為后面的系統(tǒng)安全評(píng)估提供一定的參考 作用表1漏洞家族分類表
權(quán)利要求
1.一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系統(tǒng),包括采用C/S架構(gòu)的服務(wù)器端和客戶端, 該服務(wù)器端運(yùn)行于Unix或Linux平臺(tái),該客戶端運(yùn)行于Windows平臺(tái);其特征在于該服務(wù)器端,包括掃描引擎服務(wù)模塊,用來(lái)接受客戶端的請(qǐng)求,執(zhí)行掃描任務(wù); 插件庫(kù),用來(lái)存儲(chǔ)檢驗(yàn)漏洞的插件; 漏洞庫(kù),用來(lái)存儲(chǔ)漏洞數(shù)據(jù); 掃描歷史記錄存儲(chǔ)區(qū),用來(lái)存儲(chǔ)掃描歷史記錄數(shù)據(jù);在服務(wù)器端中掃描引擎服務(wù)模塊分別與插件庫(kù)、漏洞庫(kù),掃描歷史記錄存儲(chǔ)區(qū)相連 接,掃描引擎服務(wù)模塊根據(jù)客戶端的請(qǐng)求從插件庫(kù)中調(diào)用插件并從掃描歷史記錄存儲(chǔ)區(qū)中 讀取對(duì)應(yīng)的掃描歷史記錄對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描,并把新的掃描信息寫入掃描歷史記錄存 儲(chǔ)區(qū)中,同時(shí)把掃描結(jié)果與漏洞庫(kù)進(jìn)行匹配看是否發(fā)現(xiàn)漏洞,最后把掃描結(jié)果傳送給客戶 端;該客戶端,包括掃描配置模塊,提供一個(gè)界面,讓用戶對(duì)掃描會(huì)話的信息進(jìn)行配置,然后把配置信息組 成掃描參數(shù)文件,并加密發(fā)送給服務(wù)器端;掃描報(bào)告處理模塊,根據(jù)中文漏洞庫(kù)中的漏洞信息和掃描結(jié)果信息生成掃描報(bào)告; 評(píng)估算法模塊,按照預(yù)置的算法對(duì)掃描結(jié)果進(jìn)行計(jì)算分析,并形成安全評(píng)估報(bào)告; 掃描結(jié)果庫(kù),用來(lái)存儲(chǔ)掃描結(jié)果數(shù)據(jù); 中文漏洞庫(kù),用來(lái)存儲(chǔ)中文漏洞數(shù)據(jù);在客戶端中評(píng)估算法模塊與掃描結(jié)果庫(kù)相連接,評(píng)估算法模塊從掃描結(jié)果庫(kù)中調(diào)取 掃描結(jié)果并根據(jù)預(yù)置的算法對(duì)掃描結(jié)果進(jìn)行計(jì)算分析,從而形成安全評(píng)估報(bào)告;掃描報(bào)告 處理模塊分別與中文漏洞庫(kù)、掃描結(jié)果庫(kù)相連接,從中文漏洞庫(kù)中提取漏洞信息,從掃描結(jié) 果庫(kù)中調(diào)取掃描結(jié)果信息,并生成掃描報(bào)告。
2.根據(jù)權(quán)利要求1所述的面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系統(tǒng),其特征在于 所述的服務(wù)器端,還包括調(diào)度進(jìn)程模塊,用來(lái)接受客戶端的請(qǐng)求,向掃描引擎服務(wù)模塊發(fā)送觸發(fā)掃描指令; 入侵檢測(cè)模塊,用來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)情況,判斷網(wǎng)絡(luò)是否有異常,在有異常時(shí)啟動(dòng)掃描; 規(guī)則庫(kù),用來(lái)存儲(chǔ)規(guī)則數(shù)據(jù);在服務(wù)器端中調(diào)度進(jìn)程模塊與掃描引擎服務(wù)模塊相連接,調(diào)度進(jìn)程模塊觸發(fā)掃描引 擎服務(wù)模塊執(zhí)行掃描任務(wù);入侵檢測(cè)模塊與規(guī)則庫(kù)相連接,入侵檢測(cè)模塊對(duì)網(wǎng)絡(luò)情況進(jìn)行 監(jiān)聽(tīng)并將監(jiān)聽(tīng)結(jié)果與規(guī)則庫(kù)里的規(guī)則進(jìn)行比較以判斷網(wǎng)絡(luò)是否發(fā)生異常; 所述的客戶端,還包括預(yù)警模塊,根據(jù)服務(wù)器端的入侵檢測(cè)模塊所發(fā)送的啟動(dòng)掃描指令而產(chǎn)生警報(bào),由用戶 對(duì)當(dāng)前網(wǎng)絡(luò)進(jìn)行掃描或者自動(dòng)啟動(dòng)服務(wù)器端的調(diào)度進(jìn)程模塊進(jìn)行掃描;在服務(wù)器端的入侵檢測(cè)模塊發(fā)現(xiàn)異常時(shí),服務(wù)器端的入侵檢測(cè)模塊向客戶端的預(yù)警模 塊發(fā)送啟動(dòng)掃描指令,客戶端的預(yù)警模塊產(chǎn)生報(bào)警信息,并根據(jù)需要自動(dòng)啟動(dòng)服務(wù)器端的 調(diào)度進(jìn)程模塊進(jìn)行掃描。
3.根據(jù)權(quán)利要求1或2所述的面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系統(tǒng),其特征在于 所述的服務(wù)器端,還包括客戶端驗(yàn)證模塊,用來(lái)接受客戶端的請(qǐng)求對(duì)客戶端證書(shū)進(jìn)行驗(yàn)證,并向客戶端發(fā)送服 務(wù)器端證書(shū);用戶證書(shū)庫(kù),用來(lái)存儲(chǔ)用戶信息和客戶端證書(shū);在服務(wù)器端中客戶端驗(yàn)證模塊與用戶證書(shū)庫(kù)相連接,客戶端驗(yàn)證模塊將接受的客戶 端的驗(yàn)證請(qǐng)求與用戶證書(shū)庫(kù)的客戶端證書(shū)進(jìn)行比對(duì)驗(yàn)證; 所述的客戶端,還包括服務(wù)器端驗(yàn)證模塊,用來(lái)向服務(wù)器端發(fā)送客戶端證書(shū),并接收服務(wù)器端證書(shū); 服務(wù)證書(shū)庫(kù),用來(lái)存儲(chǔ)服務(wù)器信息和服務(wù)器端證書(shū);在客戶端中服務(wù)器端驗(yàn)證模塊與服務(wù)證書(shū)庫(kù)相連接,服務(wù)器端驗(yàn)證模塊將接收的服 務(wù)器端證書(shū)與服務(wù)證書(shū)庫(kù)中的服務(wù)器端證書(shū)進(jìn)行比對(duì)驗(yàn)證。
4.根據(jù)權(quán)利要求1所述的面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系統(tǒng),其特征在于所述的服 務(wù)器端,還包括漏洞擴(kuò)充與漢化模塊,用來(lái)建立中文漏洞庫(kù);在服務(wù)器端中漏洞擴(kuò)充與漢化模塊與中文漏洞庫(kù)相連接。
5.一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描的處理方法,其特征在于包括如下過(guò)程 客戶端通過(guò)使用證書(shū)認(rèn)證連接到指定的服務(wù)器端,服務(wù)器端通過(guò)客戶端認(rèn)證; 客戶端啟動(dòng)掃描配置模塊對(duì)要掃描的網(wǎng)絡(luò)進(jìn)行配置并把配置信息傳送給服務(wù)器端; 服務(wù)器端啟動(dòng)掃描引擎服務(wù)模塊工作,服務(wù)器端的掃描引擎服務(wù)模塊根據(jù)配置參數(shù)調(diào)用插件庫(kù)中的插件并讀取掃描歷史記錄存儲(chǔ)區(qū)所對(duì)應(yīng)的掃描歷史記錄對(duì)指定的網(wǎng)絡(luò)進(jìn)行 掃描;服務(wù)器端的掃描引擎服務(wù)模塊把新的掃描信息寫入掃描歷史記錄存儲(chǔ)區(qū)中;同時(shí)服務(wù) 器端的掃描引擎服務(wù)模塊把掃描結(jié)果跟漏洞庫(kù)進(jìn)行匹配看是否發(fā)現(xiàn)漏洞,最后把掃描結(jié)果 傳送給客戶端;客戶端的掃描結(jié)果庫(kù)接受服務(wù)器端的掃描結(jié)果的存儲(chǔ);客戶端的評(píng)估算法模塊從掃描結(jié)果庫(kù)中獲取掃描結(jié)果信息,并根據(jù)預(yù)置的算法對(duì)掃描 結(jié)果進(jìn)行計(jì)算分析,進(jìn)而形成安全評(píng)估報(bào)告;客戶端的掃描報(bào)告處理模塊根據(jù)中文漏洞庫(kù)中的漏洞信息和掃描結(jié)果庫(kù)中獲取的掃 描結(jié)果信息,生成掃描報(bào)告;服務(wù)器端的入侵檢測(cè)模塊在服務(wù)器運(yùn)行后,就時(shí)時(shí)捕獲所監(jiān)聽(tīng)的網(wǎng)絡(luò)上數(shù)據(jù)包的情 況,與規(guī)則庫(kù)里的規(guī)則進(jìn)行匹配,判斷網(wǎng)絡(luò)上是否存在異常情況;當(dāng)網(wǎng)絡(luò)出現(xiàn)有異常情況時(shí),就通知客戶端上的預(yù)警模塊,預(yù)警模塊產(chǎn)生報(bào)警,由用戶對(duì) 當(dāng)前網(wǎng)絡(luò)進(jìn)行掃描或者自動(dòng)啟動(dòng)服務(wù)器端的調(diào)度進(jìn)程模塊,通過(guò)調(diào)度進(jìn)程模塊觸發(fā)掃描引 擎服務(wù)模塊對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行掃描。
全文摘要
本發(fā)明公開(kāi)了一種面向網(wǎng)絡(luò)安全評(píng)估的漏洞掃描系統(tǒng)及其處理方法,包括采用C/S架構(gòu)的服務(wù)器端和客戶端;服務(wù)器端運(yùn)行于Unix或Linux平臺(tái),客戶端運(yùn)行于Windows平臺(tái);服務(wù)器端包括客戶端驗(yàn)證模塊、掃描引擎服務(wù)模塊、調(diào)度進(jìn)程模塊、入侵檢測(cè)模塊等;客戶端包括服務(wù)器驗(yàn)證模塊、掃描配置模塊、預(yù)警模塊、評(píng)估算法模塊、掃描報(bào)告處理模塊、漏洞擴(kuò)充與漢化模塊等;本發(fā)明將漏洞掃描系統(tǒng)和入侵檢測(cè)系統(tǒng)相結(jié)合,并引入預(yù)警功能和調(diào)度功能,使得該系統(tǒng)可以根據(jù)用戶的需要,有選擇有目的地對(duì)所要評(píng)估的網(wǎng)絡(luò)進(jìn)行漏洞掃描和安全評(píng)估,并形成一個(gè)較為客觀、準(zhǔn)確的漏洞掃描報(bào)告。
文檔編號(hào)H04L12/28GK102082659SQ20091011291
公開(kāi)日2011年6月1日 申請(qǐng)日期2009年12月1日 優(yōu)先權(quán)日2009年12月1日
發(fā)明者劉祥南, 吳鴻偉, 高靜峰 申請(qǐng)人:廈門市美亞柏科信息股份有限公司