淺析漏洞精細化管理

【 摘 要 】 在傳統漏洞掃描過程中，我們都可以發現較多的漏洞，通過漏洞探測原理，可以了解到目前主流漏洞掃描技術存在一定的誤差。論文詳細講解漏洞探測掃描過程中各項原理及技術，通過關聯性分析及軟件指紋等結合，以此來提高漏洞的真實性，從而協助網絡安全人員對漏洞進行定位及修復。

【 關鍵詞 】 漏洞探測；漏洞掃描；可信度；精細化

Analysis on the Fineness of Vulnerability Discovery

Tan Chun

（Guangxi Tobacco Monopoly Administration GuangxiNanning 530022）

【 Abstract 】 The traditional vulnerability scanning process， we can find more loopholes， through the loophole detection principle， we can understand the current mainstream vulnerability scanning technology there is a certain error， this paper explains in detail the principle of vulnerability detection scanning technology and technology， Through the correlation analysis and software fingerprints and so on， in order to improve the authenticity of the vulnerability， thus helping network security personnel to locate and repair vulnerabilities.

【 Keywords 】 vulnerability detection； vulnerability scanning； credibility； fine

1 引言

隨著互聯網的快速發展，網絡上存在形式各異的漏洞掃描、漏洞探測、漏洞驗證等工具。眾所周知，漏洞掃描一般通過IP地址或域名的形式進行，針對網絡中的系統、網絡組件或應用程序等進行安全檢測，檢測其中的漏洞或安全弱點，漏洞掃描工具通守預設的漏洞特征庫對遠程主機進行檢測，一般檢測包含了遠程主機的所有信息（按照掃描器的先后順序，一般為端口、服務、服務類型、服務版本、潛在的攻擊路徑、攻擊數據包構建、發包、查看返回信息等）。現階段市面上主流的免費、商業化工具它可以掃描網絡和網站上的上千個漏洞，提供一個風險列表，以及補救的建議。但檢測中發現的上千個漏洞，哪些為真實，是否虛假誤報，網絡安全管理員可能無從得知。本文介紹一種檢測及驗證機制，使得傳統漏洞掃描工具發現的漏洞可很大程度的提高漏洞的真實性及可靠性，便于網絡安全管理員對漏洞進行精細化管理。

2 漏洞掃描技術方式

目前主流的漏洞掃描技術分為三種，即版本掃描、原理掃描及登錄式掃描。

2.1 版本掃描

版本掃描通過Banner等信息識別系統或服務的版本信息和漏洞庫（CVE等）信息對比分析，判斷目標是否存在漏洞。版本判斷掃描不會對目標造成影響，安全性高。但是版本識別過程有可能誤報，造成漏洞誤報。目前大多數產品的遠程掃描采用此技術。

2.2 原理掃描

原理掃描是遠程漏洞掃描技術的一種，漏洞掃描通過構造特殊包，發送到目標主機，收集目標主機反饋的信息，判斷系統是否安裝特定的補丁程序，進而判斷系統漏洞是否存在。原理掃描誤報率極低，開發掃描過程難度較大，大多數產品沒有能力采用此技術。

2.3 登錄式掃描

登錄式掃描通過用戶預先預定正確的用戶名、密碼進而登錄至遠程目標系統或站點，通過腳本抓取本地信息，信息包括配置、密碼加密字符串、已安裝的補丁、已打開的端口等，將此信息整理后與漏洞掃描特征庫進行正則匹配，以此來發現目標的安全漏洞。此種掃描方式在開展前期需要收集賬戶密碼信息，且發現的問題較多集中在本地層面上，優點在有效降低黑盒式掃描所產生的漏洞誤報，減少誤報率。

3 漏洞精細化管理

面對與日俱增的IT資產所帶來的海量漏洞，安全管理者、網絡管理員、安全運維人員應如何行之有效的對所發現的漏洞進行有針對性的修復，是漏洞精細化管理的核心，針對漏洞管理工作，如下提出了幾點將有效的將漏洞修補投入產出最大化。

3.1 智能識別

傳統漏洞的發現通是基本主機存活、端口判斷、服務識別、操作系統判斷、漏洞發現等幾個步驟。在此過程中，需要通過多種技術進行，如主機存活，可通通過ICMP、TCP、UDP等方式驗證；端口判斷可采用TCP SYN、TCP Connect、TCP FIN、TCP NULL、TCP XMAS等等；服務識別基于端口對應的服務進行；操作系統通過TTL值等進行判斷，漏洞通過包返回值進行判斷。以上都為漏洞掃描過程中所采用到的技術及方法，因互聯網上資產形式多異，個別系統采用精簡式、內核修改、服務修改等方式進行，造成了傳統掃描工具誤報較高，如目標系統本身為Windows，但實際檢測發現的為Unix，此時，所發現的漏洞基本可判斷為誤報。因此，通過信息重整化技術、開放端口服務的智能識別、檢測漏洞特征依賴關系的自動掃描等技術的運用，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令、構造漏洞利用反射數據包等。若模擬攻擊成功，則表明目標系統存在安全漏洞。

3.2 漏洞歸并

漏洞歸并是將所發現的漏洞數據歸一化，采用數據挖掘技術，不同評價指標往往具有不同的量綱和量綱單位，這樣的情況會影響到數據分析的結果，為了消除指標之間的量綱影響，對漏洞數據進行數據標準化處理，以解決數據指標之間的可比性。漏洞原始數據經過數據標準化處理后，各指標處于同一數量級，可進行綜合對比。常見的歸一化方法有min-max標準化，也稱為離差標準化；Z-score標準化方法，這種方法給予原始數據的均值和標準差進行數據的標準化。

3.3 關聯分析

將收集到的漏洞信息標準化存于事件庫中，基于CVE、CNVD等第三方構建漏洞庫，形成企業自有的漏洞特征庫，采用Apriori 及FP-growth關聯算法，對軟件中漏洞發生情況進行關聯，根據特征庫中相關規則對事件庫中安全事件進行相關性分析，并依據策略庫，形成最終漏洞報告，便于管理員對關聯結果進行檢索查詢，讓管理員對漏洞及時修補。

3.4 可信度

漏洞可信度是對漏洞可信特性的評估，判斷漏洞是否具有作為可信漏洞應具有的可信特性，在漏洞探測過程中，如目標主機存在較多原理掃描漏洞時，該目標主機存在漏洞的可信度即越高，風險也越大。在主流漏洞掃描工具中，常有的一個特性是漏洞風險等級，即所發現的漏洞風險為高、中、低三級別，針對此發現的漏洞，真實與否較難判斷，原理層面上漏洞可根據包返回值進行確認，但主流的版本掃描發現的漏洞無法進行驗證，針對目標資產，如較多同類漏洞或多種漏洞混合的，可通過可信度系數進行賦值，此所賦的值相對較低。當加入登錄式掃描后所發現的漏洞，兩者進行關聯分析后，可將同類漏洞按數值進而排序，數值越高，漏洞存在的可信度越高，數值越小，漏洞存在的可信度越低。針對部分關聯型漏洞，也可采用此種方式，但需要漏洞工具開發者在自身漏洞庫特征的基線上加入此特性，即漏洞發現無相關關聯性，可采取不預警的形式。

3.5 漏洞加固審計

在實際的漏洞修復過程中往往很難確認自己的漏洞是否真正修復。針對這種情況，通過漏洞加固審計措施，單獨調用漏洞掃描器針對此漏洞進行黑白盒測式，黑盒以測試漏洞是否可被利用，白盒驗證漏洞服務是否已關閉，補丁是否已安裝，是否有關聯的服務調用或其他應用程序對接，造成漏洞未完完全全修補。可將此功能嵌入至漏洞管理系統中，通過定時任務調度的方式，對漏洞進行定期審計，以提高管理人工作效率。

4 結束語

在當前市面上形式各異的漏洞掃描工具下，針對企業資產漏洞進行有效管理，是網絡管理員及安全人員所必不可少的工作，通過對漏洞進行分類分級，對漏洞進行有效的驗證并加入可信度指標，以機器語言進行關聯統計，最終輸出真實可靠的漏洞，以花最少的代價，修復致命的問題，以提升企業整體安全水平。

參考文獻

[1] 羅莉，溫錦生. 網絡信息安全技術[J].太原科技，2000.

[2] 孫建明.網絡安全掃描技術綜述[J].廣東通信技術，2004，24（8）

[3] 劉三滿，郭麗蓉，郭璞.淺析網絡安全掃描技術[J].科技情報開發與經濟，2005，15（1）.

作者簡介：

譚春（1974-），男，廣西桂林人，畢業于江蘇大學，本科，工學學士，廣西壯族自治區煙草專賣局（公司），科技處副處長，助理工程師；工作業績：2011年建設柳州市煙草公司零售終端銷售系統，2012年建設柳州市煙草公司手機訂貨系統，2014年主持建設區煙草公司統一備份系統，2015年主持建設區煙草公司視頻會議系統，2015年主持建設區煙草公司桌面管理系統，主持制定《區煙草公司信息化工作管理制度》。