一種針對云計算IaaS層高危安全漏洞檢測方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)信息安全領(lǐng)域,尤其涉及一種針對云計算IaaS層高危安全漏洞檢測方法和系統(tǒng)。
【背景技術(shù)】
[0002]Internet上的服務(wù)類型包括平臺即服務(wù)(Platform as a Service,PaaS)、軟件即服務(wù)(Software as a Service,SaaS)和基礎(chǔ)設(shè)施即服務(wù)本(IaaS,Infrastructure as aService)。其中PaaS提供了用戶可以訪問的完整或部分的應(yīng)用程序開發(fā);SaaS則提供了完整的可直接使用的應(yīng)用程序,比如通過Internet管理企業(yè)資源;IaaS提供了如存儲和數(shù)據(jù)庫類的相關(guān)服務(wù)。
[0003]IaaS通常分為三種應(yīng)用模式:公有云、私有云和混合云。如AmazonEC2在基礎(chǔ)設(shè)施云中使用公共服務(wù)器池(公有云),更加私有化的服務(wù)會使用企業(yè)內(nèi)部數(shù)據(jù)中心的一組公用或私有服務(wù)器池(私有云)。如果在企業(yè)數(shù)據(jù)中心環(huán)境中開發(fā)軟件,那么這兩種類型公有云、私有云、混合云都能使用,而且使用EC2臨時擴展資源的成本也很低,如一比方說開發(fā)和測試,混合云。結(jié)合使用兩者可以更快地開發(fā)應(yīng)用程序和服務(wù),縮短開發(fā)和測試周期。
[0004]IaaS在應(yīng)用過程中存在較多的安全漏洞,例如服務(wù)商提供的是一個共享的基礎(chǔ)設(shè)施,也就是說一些組件或功能,例如CPU緩存、GPU等對于該系統(tǒng)的使用者而言并不是完全隔離的,這樣就會產(chǎn)生一個問題,即當(dāng)一個攻擊者得逞時,全部服務(wù)器都向攻擊者敞開了大門,即使使用了hypervisor,有些客戶機操作系統(tǒng)也能夠獲得基礎(chǔ)平臺不受控制的訪問權(quán)。
[0005]IaaS層的相關(guān)漏洞通常是被動式的發(fā)現(xiàn),現(xiàn)有的技術(shù)手段不能主動的檢測IaaS層存在的相關(guān)漏洞,云計算環(huán)境中存在一定的安全風(fēng)險。
[0006]為保證IaaS層在云計算中安全運行,需要一種能檢測IaaS層安全漏洞的方法和系統(tǒng)。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是針對現(xiàn)有技術(shù)的不足,提出一種針對云計算IaaS層高危安全漏洞檢測方法和系統(tǒng),該系統(tǒng)和方法能及時發(fā)現(xiàn)云計算IaaS層可能存在的漏洞并予以修補,能夠增加IaaS服務(wù)的安全性,有效防止可能的黑客攻擊,避免不必要的損失。
[0008]本發(fā)明所述的一種針對云計算IaaS層高危安全漏洞檢測系統(tǒng)包括控制模塊、業(yè)務(wù)模塊和數(shù)據(jù)模塊。
[0009]所述控制模塊為用戶提供WEB控制界面,是用戶操作的入口。
[0010]所述業(yè)務(wù)模塊包括系統(tǒng)管理模塊和掃描模塊兩個部分,業(yè)務(wù)模塊主要完成對IaaS層漏洞掃描和掃描管理;其中,
所述系統(tǒng)管理模塊是連接WEB控制界面與掃描執(zhí)行部件的橋梁,主要針對WEB控制界面下發(fā)的任務(wù)進行管理調(diào)度,將任務(wù)下發(fā)給掃描模塊進行掃描,同時將收到的掃描結(jié)果返回到WEB界面;系統(tǒng)管理模塊對掃描結(jié)果生成的報表、日志以及數(shù)據(jù)庫信息進行管理; 所述掃描模塊是最終執(zhí)行掃描的核心部件,接收來自系統(tǒng)管理模塊下發(fā)的掃描任務(wù),根據(jù)任務(wù)的要求從掃描策略庫中配置相應(yīng)的掃描策略,調(diào)用漏洞掃描插件庫中的相應(yīng)插件對被掃目標進行掃描,實現(xiàn)對被掃描目標的基本信息探測、端口掃描和漏洞掃描,同時將掃描結(jié)果記錄于結(jié)果數(shù)據(jù)庫。
[0011]所述數(shù)據(jù)模塊為實現(xiàn)對漏洞檢測期間所有相關(guān)數(shù)據(jù)信息的處理的集合,數(shù)據(jù)模塊包含漏洞掃描插件庫、掃描策略庫、漏洞知識庫、任務(wù)列表庫、結(jié)果數(shù)據(jù)庫和報表數(shù)據(jù)庫;其中,
漏洞掃描插件庫是針對于多種類別漏洞形成的一套網(wǎng)絡(luò)漏洞測試程序,每一個程序均為一個針對于某種特定類別漏洞的可自行定義的插件,針對不同IaaS云平臺的漏洞掃描插件開發(fā)完成后,存儲在漏洞掃描插件庫;
掃描策略庫主要用于記錄用戶掃描策略的數(shù)據(jù)庫,用戶根據(jù)掃描需求采用不同的掃描策略;
掃描策略庫主要提供具有代表性的典型掃描策略基礎(chǔ)上,允許用戶根據(jù)掃描需求自行設(shè)定掃描策略;
漏洞知識庫為所有被掃描目標創(chuàng)建的知識庫文件,知識庫文件按照掃描目標接收掃描時的IP地址起名,內(nèi)容為通過掃描獲得的被掃描目標的相關(guān)信息;
任務(wù)列表庫,用于記錄任務(wù)列表的數(shù)據(jù)庫;
結(jié)果數(shù)據(jù)庫,用于記錄掃描結(jié)果的數(shù)據(jù)庫;
所述控制模塊、業(yè)務(wù)模塊及數(shù)據(jù)模塊三個模塊均安裝于服務(wù)器中,所述控制模塊、業(yè)務(wù)模塊及數(shù)據(jù)模塊三個模塊之間采用加密的通信協(xié)議進行彼此通信。
[0012]在所述的一種針對云計算IaaS層高危安全漏洞檢測系統(tǒng)中,所述掃描模塊是以掃描策略庫和漏洞知識庫為基礎(chǔ),通過調(diào)用漏洞掃描插件執(zhí)行安全漏洞掃描任務(wù)并將掃描存儲在結(jié)果數(shù)據(jù)庫中。
[0013]所述掃描模塊的掃描類別按功能可分為:基本信息探測、端口掃描及漏洞掃描。
[0014]所述漏洞掃描包括弱口令、后門、溢出等高危漏洞。
[0015]所述掃描模塊以插件形式進行設(shè)計,由此掃描模塊更新更加方便,只需要更新插件庫中相應(yīng)插件即可更新掃描功能的整體探測功能,易于系統(tǒng)升級和擴展。
[0016]掃描模塊提供任務(wù)啟動、停止和刪除基本任務(wù)管理的通用接口,通過所述通用接口與業(yè)務(wù)模塊的系統(tǒng)管理模塊進行交互,方便用戶通過系統(tǒng)管理模塊間接管理任務(wù)的執(zhí)行。
[0017]根據(jù)掃描模塊在漏洞檢測系統(tǒng)中的定位,掃描模塊按功能分為:目標基本信息探測子模塊,端口信息探測子模塊,系統(tǒng)漏洞掃描子模塊,掃描管理子模塊和結(jié)果記錄子模塊;其中,
目標基本信息探測子模塊主要用于掃描模塊探測掃描目標信息,通過目標信息的探測可以獲得目標是否可達,以避免不必要的空掃描,目標基本信息探測子模塊是掃描模塊信息收集的初級階段,其效果直接影響到后續(xù)的掃描。
[0018]端口信息探測子模塊主要用于掃描模塊探測目標端口基本信息,通過目標端口探測可以得知目標主機系統(tǒng)開放的端口及啟動的網(wǎng)絡(luò)服務(wù),根據(jù)參數(shù)設(shè)定進行相應(yīng)的TCP的1-1024或1-65535端口探測,掃描端口開放狀態(tài),統(tǒng)計掃描目標服務(wù)開放狀態(tài),為后續(xù)的系統(tǒng)漏洞掃描提供參考信息。
[0019]系統(tǒng)漏洞掃描子模塊主要用于掃描模塊實現(xiàn)系統(tǒng)漏洞探測及插件功能,系統(tǒng)漏洞探測是建立在端口信息探測的基礎(chǔ)之上的,支持對常見的高風(fēng)險的漏洞及針對IaaS云平臺漏洞的掃描,所有的掃描過程均由掃描插件完成,插件負責(zé)向目標發(fā)送探測信息,收集回復(fù)信息并對其進行分析處理,判斷漏洞存在與否。采用掃描插件機制,有利于整個掃描模塊的可擴展性,在掃描模塊中添加新插件即可更新掃描模塊所能掃描的漏洞種類,便于整個模塊及系統(tǒng)的整體式升級和擴展。
[0020]掃描管理子模塊主要用于掃描模塊提供掃描過程的管理接口,包括掃描任務(wù)的開始、停止和刪除。通過這些接口與系統(tǒng)管理模塊進行交互,方便用戶對于掃描任務(wù)的整體管理。
[0021]結(jié)果記錄子模塊主要用于掃描模塊在完成掃描功能后,負責(zé)將掃描結(jié)果以掃描報告的形式記錄下來,方便其他模塊調(diào)用并提供給用戶查看。
[0022]本發(fā)明的優(yōu)點在于:本發(fā)明所述的系統(tǒng)能及時發(fā)現(xiàn)云計算IaaS層可能存在的漏洞并予以修補,能夠增加IaaS服務(wù)的安全性,有效防止可能的黑客攻擊,避免不必要的損失;通過將掃描模塊設(shè)計為插件形式,使得掃描模塊更新更加方便,另外采用掃描插件機制,有利于整個掃描模塊的可擴展性,在掃描模塊中添加新插件即可更新掃描模塊所能掃描的漏洞種類,便于整個模塊及系統(tǒng)的整體式升級和擴展。
【附圖說明】
[0023]圖1為一種針對云計算IaaS層高危安全漏洞檢測系統(tǒng)整體架構(gòu)示意圖;
圖2為一種針對云計算IaaS層高危安全漏洞檢測系統(tǒng)的掃描模塊整體架構(gòu)示意圖;
圖3為一種針對云計算IaaS層高危安全漏洞檢測方法檢測示例示意圖。
【具體實施方式】
[0024]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白,下文將結(jié)合附圖對本發(fā)明技術(shù)方案作進一步詳細說明。需要說明的是,在不沖突的情況下,本申請的實施例和實施例中的特征可以任意相互組合。
[0025]如圖1所示,本發(fā)明所述的一種針對云計算IaaS層高危安全漏洞檢測系統(tǒng)包括控制模塊、業(yè)務(wù)模塊和數(shù)據(jù)模塊;
所述控制模塊為用戶提供WEB控制界面,是用戶操作的入口;
所述業(yè)務(wù)模塊包括系統(tǒng)管理模塊和掃描模塊兩個部分,業(yè)務(wù)模塊主要完成對IaaS層漏洞掃描和掃描管理;其中,
所述系統(tǒng)管理模塊是連接WEB控制界面與掃描執(zhí)行部件的橋梁,主要針對WEB控制界面下發(fā)的任務(wù)進行管理調(diào)度,將任務(wù)下發(fā)給掃描模塊進行掃描,同時將收到的掃描結(jié)果返回到WEB界面;系統(tǒng)管理模塊對掃描結(jié)果生成的報表、日志以及數(shù)據(jù)庫信息進行管理;
所述掃描模塊是最終執(zhí)行掃描的核心部件,接收來自系統(tǒng)管理模塊下發(fā)的掃描任務(wù),根據(jù)任務(wù)的要求從掃描策略庫中配置相應(yīng)的掃描策略,調(diào)用漏洞掃描插件庫中的相應(yīng)插件對被掃目標進行掃描,實現(xiàn)對被掃描目標的基本信息探測、端口掃描和漏洞掃描,同時將掃描結(jié)果記錄于結(jié)果數(shù)據(jù)庫。
[0026]所述數(shù)據(jù)模塊為實現(xiàn)對漏洞檢測期間所有相關(guān)數(shù)據(jù)信息的處理的集合,數(shù)據(jù)模塊包含漏洞掃描插件庫、掃描策略庫、漏洞知識庫、任務(wù)列表庫、結(jié)果數(shù)據(jù)庫和報表數(shù)據(jù)庫;其中,
漏洞掃描插件庫是針對于多種類別漏洞形成的一套網(wǎng)絡(luò)漏洞測試程序,每一個程序均為一個針對于某種特定類別漏洞的可自行定義的插件,針對不同IaaS云平臺的漏洞掃描插件開發(fā)完成后,存儲在漏洞掃描插件庫;
掃描策略庫主要用于記錄用戶掃描策略的數(shù)據(jù)庫,用戶根據(jù)掃描需求采用不同的掃描策略;
掃描策略庫主要提供具有代表性的典型掃描策略基礎(chǔ)上,允許用戶根據(jù)掃描需求自行設(shè)定掃描策略;
漏洞知識庫為所有被掃描目標創(chuàng)建的知識庫文件,知識庫文件按照掃描目標接收掃描時的IP地址起名,內(nèi)容為通過掃描獲得的被掃描目標的相關(guān)信息;
任務(wù)列表庫,用于記錄任務(wù)列表的數(shù)據(jù)庫;
結(jié)果數(shù)據(jù)庫,用于記錄掃描結(jié)果的數(shù)據(jù)庫;
所述控制模塊、業(yè)務(wù)模塊及數(shù)據(jù)模塊三個模塊均安裝于服務(wù)器中,所述控制模塊、業(yè)務(wù)模塊及數(shù)據(jù)模塊三個模塊之間采用加密的通信協(xié)議進行彼此通信。
[00