遠程漏洞評估方法與設計

譚君+周旭+黃羽+李稟津

摘要：隨著新型漏洞和攻擊的不斷增長，信息安全面臨嚴峻挑戰。在安全工作中，還在采用郵件、短信、通知等方式對下屬單位進行漏洞和威脅情報通報，這對于信息系統安全防護是一個極大的安全隱患。漏洞評估驗證分析技術及管理方法的引入，對于提升信息系統安全水平具有重要意義。

【關鍵詞】信息安全漏洞 遠程漏洞評估 漏洞模型POC

開展漏洞評估驗證技術及管理方法的應用研究，從漏洞追蹤、驗證、預警、通報、響應、復核等多個方而，研究威脅管理，實現漏洞全周期管理，實時跟蹤追溯各單位漏洞響應情況，在信息安全工作范圍內，形成有效的聯動防御平臺。

1 國內外發展現狀

隨著新型漏洞和攻擊的不斷增長，信息安全而臨嚴峻挑戰。在信息安全工作中，還在采用郵件、短信、通知等方式對下屬單位進行漏洞和威脅情報通報。但從近兩年信息安全形勢來看，各種漏洞頻發，通報各單位響應時問周期較長，然而黑客利用漏洞的技術越來越成熟，時問短攻擊快，利用通報過程中的時問窗口進行快速攻擊，可造成不可估量的損失。并且下屬單位由于技術力量薄弱等原因，不能及時、準確地對漏洞進行分析、驗證和管理，導致黑客可以利用漏洞進行攻擊等。這對于信息系統安全防護是一個極大的安全隱患。漏洞評估驗證分析技術及管理方法的引入，對于提升信息系統安全水平具有重要意義。

2 漏洞評估驗證模型

2.1 漏洞評估驗證模型的設計思路

在設計漏洞評估驗證模型之前，需要先了解安全漏洞的生命周期，一個典型的安全漏洞生命周期包括7個部分如圖1所示。

漏洞應急是漏洞管理過程中各階段的工作內容。在漏洞應急中，POC（Proof ofConcept（為觀點提供證據））編寫、分析驗證、漏洞檢測尤為關鍵，而且以上三個階段的工作更是漏洞評估驗證的關鍵，也是實現漏洞評估驗證模型安全需求的主要工作內容，如圖2所示。

這個過程f或者說是在編寫POC的時候）需要做到安全、有效和無害，盡可能或者避免掃描過程對目標主機產生不可恢復的影響。

2.2 漏洞評估驗證模型的設計

2.2.1 漏洞驗證模型框架

如圖3所示，漏洞評估驗證模型設計采用模塊化的理念，在基礎庫的基礎上，提供了一些核心框架功能的支持。實現評估驗證功能的主體代碼則以模塊化方式組織，通過功能程序提供給測試者進行使用。同時，為了滿足評估驗證的不同功能需求，在功能模塊中支持對腳本庫（script）、工具庫（plugin）和資源庫（data）的增加、修改、調用，使功能模塊變成用戶的可控區域。

2.2.2 漏洞評估驗證過程

2.2.2.1 驗證流程

在漏洞評估驗證模型的基礎上，設計出一個漏洞驗證框架，通過框架只需要完成如下4步工作，即可完成漏洞評估驗證。

（1）準備一個并發框架；

（2）將數據放入到框架中；

（3）將處理數據的邏輯放到框架中；

（4）運行，獲取處理結果。

在漏洞驗證框架中完成評估驗證工作時，驗證流程如圖4所示。

驗證時，通過驗證命令，將流程中的每一個環節組織起來，編寫一條驗證命令，就可以完成漏洞評估驗證工作。

2.2.2.2 并發處理

多線程，是指從軟件或者硬件上實現多個線程并發執行的技術。使用多線程技術可以提高資源使用效率從而提高系統的效率。協程，與線程的搶占式調度不同，它是協作式調度。協程也是單線程，但是它能讓原來要使用異步+回調方式的代碼，用看似同步的方式寫出來。

2.2.2.3 處理邏輯

在漏洞評估驗證中，對于數據處理的邏輯，主要在于插件（POC）的加載以及結果驗證兩方而：

（1）插件（POC）加載。因為數據的獲取方式不同，處理數據的邏輯也不同，因此需要根據不同的數據加載不同的插件。

設計漏洞評估驗證模型時，需要支持不同路徑的插件：

1.加載默認插件：插件存放在腳本庫（script）中，通過“命令+插件名”，可加載script文件夾下的腳本；

2.加載任意路徑插件：插件存放在其他路徑下，通過“命令+/路徑/插件名”，可加載任意徑路下的腳本。

（2）結果判斷。結果判斷通常需要在POC中完成，在編寫POC的結果判斷時：

1.在代碼中添加函數POC（）；

2.添加邏輯使驗證成功（漏洞存在）時retum True，驗證失敗時retum False；

3.針對一些復雜的需求，POCO函數可以使用多種返回值來控制驗證狀態和輸出。

2.2.2.4 數據獲取

設計漏洞評估驗證模型時，數據來源需要考慮以下幾方而：

（1）單一目標。驗證單一目標時，可以在插件（POC）中定義需要驗證目標的url或者IP，驗證時直接調用該插件即可完成對應目標的驗證。

（2）文件列表。當相同類型的目標較多時，無需對POC進行逐一更改，通過命令讀取目標文件列表，完成批量驗證工作。

（3）第三方引擎。評估驗證程序擬支持主流空問搜索引擎的API，通過簡單的參數調用直接從搜索引擎中直接獲取目標，并結合本地腳本進行掃描。主要目的在于預留第三方掃描引擎接口。

3 總結分析

通過對漏洞評估驗證模型的研究，開展漏洞分析技術與漏洞驗證框架研究，研究構建了漏洞驗證分析模型，并對己發現漏洞的細節進行深入分析，提供了漏洞驗證框架支持POC驗證。為漏洞修補處理措施提供了依據，解決了政府不能及時、準確地對漏洞進行分析、驗證的問題。

參考文獻

[1]鄒湘河，漏洞檢測與風險評估技術研究[J].電子科技大學，2005.

[2]王建紅，基于網絡的安全評估技術研究與設計[J].中原工學院，2011.

[3]錢偉，網站評估滲透系統的研究與實現[J].復旦大學，2011.

[4]張鳳荔，馮波.基于關聯性的漏洞評估方法[J].電子科技大學，2014.

[5]馬馳，高嶺，孫騫，何林，高學玲，基于模糊理論的漏洞危害等級評估[J].西北大學， 2014.endprint