基于滲透檢測的網絡安全運維框架設計與實現

羅 江, 李 林, 孟 坤, 2

(1 北京信息科技大學 計算機學院， 北京 100101； 2 北京信息科技大學 感知與計算智能聯合實驗室， 北京 100101)

引言

網絡安全運維旨在精準、及時地感知并處理各種網絡安全漏洞，防止網絡安全事件的發生或蔓延。隨著互聯網技術的飛速發展，網絡規模及網絡承載的應用呈現出爆發式增長態勢，相應地，網絡資產價值也大幅增加，各類網絡安全威脅[1-2]則更是吸引了各界關注目光。因此，及早發現網絡存在的漏洞已成為影響網絡安全運維效率的關鍵因素，網絡安全漏洞掃描工具成為運維人員實施網絡運維工作的重要工具之一。

網絡安全滲透測試作為發現網絡安全漏洞的關鍵有效技術手段之一，已經研究推出可供運維人員使用的眾多安全漏洞檢測工具，如Canvas[3]、Core Impact[4]和Metasploit[5-6]等，并不斷發展更新。為了提升對新漏洞的發現能力，增加另配第三方插件或攻擊代碼成為各工具的普遍選擇，如Canvas除包含近200類漏洞利用樣本外，還能夠支持第三方插件和新攻擊樣本的添加；Metasploit更是提供了通用的滲透測試平臺，用戶可以定制滲透測試模塊和添加漏洞驗證樣本。此外，提高滲透測試工具的自動化程度，降低網絡安全運維工作的技術門檻則已成為眾多商業產品的慣常設計，Core Impact即是其中的典型代表，不僅能實現定制化模塊和自動化滲透，還具備通過Agent自動清理攻擊現場、恢復到攻擊前狀態的能力，雖然拓展豐富了運維人員的使用體驗，但其昂貴價格和更新效率等問題在一定程度上也影響了實際的應用范圍。縱觀當前主流網絡安全滲透測試工具的發展趨勢，不難發現漏洞利用檢測庫(proof of concept，POC)[7]的發展直接決定了工具實施檢測的準確性和效率，工具使用的便利性將有助于改善運維人員的接受程度。因此，上述2種因素對更加成功工具的研發已呈現出不可或缺的重要性與必要性。具體來說，對于前者，維護并不斷擴大檢測庫的規模和提高漏洞檢測POC的發布效率是現實可行的解決辦法；對于后者，調配符合廣大運維人員操作習慣的界面和功能強大的自動化檢測功能是工具研發的努力方向。

通過調研廣大運維人員的日常操作，基于當前互聯網環境下信息傳播的便利性，本次研究充分借鑒共享思維模式，設計了一種具有可定制、可擴展、多模式的網絡安全運維框架，并針對網絡安全漏洞掃描模塊進行開發實現和性能驗證。該框架通過提供共享模塊可以極大地便捷漏洞利用監測庫維護與更新，通過設計基于網頁的黑箱網絡滲透測試和基于定制模塊的針對性網絡安全滲透測試功能提高運維人員的使用體驗和運維效率。為驗證過程生成框架的可行性，研究對提出的框架進行了開發實現，并針對近期流行的Wanncry和Struts漏洞采用了規模測試，實驗結果表明研究得到的開發工具在效率和運維效果上都具有良好性能。

本文論述將按如下內容依次展開：首先，詳細闡述和分析研究設計的基于滲透測試的共享運維框架，并探討其中包含的實施模式；其次，針對大規模漏洞高效檢測需求，在考察提取運維人員需求的基礎上，利用Python語言對主要模塊設定了綜合研發方案；最后，針對校園網安全運維要求，又將相應工具應用在校園網內，并驗證了論文成果的可行性和操作性能。

1 共享模式下的網絡安全運維工具平臺設計

1.1 網絡安全運維發展需求與特點

互聯網在便捷信息交互的同時，也為網絡安全威脅的爆炸式蔓延提供了可能，因此，對漏洞的快速識別在網絡安全運維中至關重要。然而，考慮到滲透測試將會對業務系統造成性能或安全性影響的事實狀況，全資產檢測方法不僅可能帶來資源的浪費，更重要地，勢必影響核心資產漏洞的檢出效率，進而延遲應急策略的高效部署。因此，較為可行的工具應能夠讓運維人員充分利用自身掌握的業務資產分布信息，使其能夠在短時間內根據需求定制得到個性化掃描工具。而這就需要能夠批量化、離散化地處理大量的網絡設備的工具平臺。綜上分析可知，本文研究設計的工具平臺就在于提供可定制、高效的運維掃描工具，進而為網絡安全運維水平的優化升級創建重要的技術支撐。

1.2 基于滲透測試的共享模式網絡安全運維平臺S7Scan

安全運維的核心在于及時發現目標系統漏洞，發現漏洞需依賴滲透測試所需的檢測庫或漏洞情報庫。因此，研究設計了以漏洞測試檢測庫為核心的網絡安全運維平臺，在漏洞檢測庫的支持下，運維人員不僅可以根據需求定制高效的漏洞掃描工具，還能夠方便地把在運維過程中形成的檢測經驗或漏洞檢測規范提交到平臺中的漏洞檢測庫，進而用作其它運維人員的應用借鑒和參考。

研發過程中，共享模式的網絡安全運維平臺設計架構如圖1所示。漏洞測試庫(POC)、通用漏洞庫(CVE)和安全事件告警信息庫構成了平臺的數據支撐，為上層工具的使用打造了基礎實施條件。數據支撐層采用模塊化設計，與其它層面邏輯獨立，數據一方面來自平臺的主動采集，更多地來自使用該平臺支持整合運維過程中構成的經驗素材。其中，POC主要支撐漏洞掃描、滲透測試及策略管理模塊，可以為其提供伴隨及時的漏洞利用標準化腳本，提高對新漏洞的發現效率；CVE和安全事件告警信息主要用于網絡管理、策略配置和滲透測試時開展非滲透測試式的漏洞檢測。此外，該平臺還配備2種工作模式，分別是：在線檢測模式和本地定制模式。運維人員可以根據各自了解的網絡資產狀況，通過網絡管理工具開放相應權限，并定制關聯檢測內容推進安全運維檢測。網絡管理工具在輔助推進安全運維檢測的同時，還一并鏈接了提交運維過程中形成的POC、CVE及告警文件的功能，能極大提高相關經驗的傳播效率。

圖1 共享模式的網絡安全運維平臺設計

Fig.1Thedesignofnetworksecurityoperationandmaintenanceplatformwithasharedmode

為了保證POC文件的安全性，研究還考慮了滅火檢測模塊，對于所有提交的POC文件都將在沙箱中完成安全性檢測。

通過調查，研究中發現上述框架具備了可定制、可擴展、多模式的特點，能夠較好地滿足網絡安全運維人員的自身需求，并通過設計共享機制可以提高運維和漏洞發現效率。多種工作模式方便了運維人員快速操作，通過設立對各種操作系統、平臺兼容的接入條件，在某種程度上降低了運維人員的技術要求，為行業研發人員專注于漏洞檢測算法POC的設計改進創造了便利條件。

2 可定制、高效滲透測試漏洞檢測核心模塊

基于上述設計提出的網絡安全運維共享平臺框架，研究針對其核心掃描模塊進行了研發與測試。該項成果具備了快速掃描，多模式工作特點，能高效地運行漏洞利用的POC導入、定制化網段掃描，對目標系統綜合漏洞檢測[8]、掃描結果判斷和導出等多種功能。此外，還保持了與其它工具的良好兼容性，如敏感目錄掃描、端口掃描、C段掃描、信息收集、社會工程學字典等,因而能全方位地幫助網絡安全運維人員發現各類潛在漏洞。

2.1 語言平臺

S7scan框架是基于Python語言開發。Python語言應用廣泛，具有大量支持庫和完整文檔的補充機制，相對于其他語言來說，更加適合于編寫這類漏洞掃描檢測工具[9]。

2.2 功能模塊

滲透檢測運維框架S7scan主要分為3類功能: 信息收集、敏感信息掃描、及漏洞檢測和綜合利用，總共由whois、passwd、subnet、webdir、portscan、exploit、crypto 這7個子模塊組成，具體如圖2所示。

圖2 S7scan核心模塊Fig. 2 S7scan core module

由圖2可知，S7scan框架中各核心模塊的功能設計可做如下闡釋解析。

(1)whois。主要通過一些公共的whois查詢接口去收集網站的注冊名和郵箱，在該操作中收集的個人信息可以用于生成社會工程學字典。

(2)passwd。該子模塊利用python中的itertools 模塊可以對個人的英文名、昵稱、伴侶姓名、名字簡寫、手機號、qq號、關鍵數字、舊密碼、網站域名、郵箱等和一些常出現的弱口令進行排列組合，用來生成較具針對性的社會工程學字典，而在步驟(1)中收集的郵箱和域名可以再添加到該步驟中，這個模塊可以協助運維人員檢測網絡中是否存在使用弱密碼的網站，弱口令問題在高校中較為嚴重，難以從根本上清理與杜絕。

(3)webdir，敏感目錄掃描模塊。該模塊可以掃描網站是否有敏感目錄或者文件泄露，比如網站后臺、數據庫文件、備份文件等都是比較敏感的文件，一旦泄露出去，可能就會遭受潛在的威脅[10]。在滲透檢測運維框架S7scan中還增配5 000條常見敏感文件的字典，而且支持多線程、協程和多線程+多進程的這3種模式的設定掃描，在配置文件中修改webdir_mode即可, 可以根據當前網絡情況和主機情況選擇不同模式。

(4)portscan。該子模塊調用了Python的Namp庫[11]， 可以提供對單個ip掃描的一些常見端口，掃描端口情況可以在配置文件中按需修改，還可以在某個網段中掃描某一個端口的開放情況。

(5)subnet，C段掃描子模塊。調用nmap模塊的ping功能，對一個網段中的所有主機發送ping包，可以用來檢測網段中存活的主機ip,方便進一步的漏洞檢測設計操作。

(6)exploit，漏洞綜合利用模塊。這是一個核心的模塊，漏洞的POC都存放到core/scripts目錄下，可以自行添加POC。模塊運用-l和-q這2個參數對POC實現搜索與展示。 exploit模塊可以指定某個POC對單個ip進行掃描，也可以用所有的POC對單個ip進行集中式掃描，發現更多的漏洞。利用exploit的-m參數可以用一個POC對一個網段進行批量掃描,將一個POC快速轉換為批量檢測掃描的工具。現如今，scripts目錄下只有8個POC用于測試，通過實踐中不斷收集添加新型漏洞的POC，可以優質定制專屬個人的滲透測試工具。另外，webdir、portscan和exploit都可用來支持json文件的規范導出。

(7)crypto。這是一個輔助模塊，設有一些常見的解碼轉換功能，如凱撒、摩斯、柵欄、base64等。

在前文研究基礎上可知，上述功能模塊可以完成絕大多數的網絡安全運維工作，基于上述模塊的運維工作流程如圖3所示。

由圖3可知，運維工作的流程環節內容可基本概述為：首先,通過whois收集網站用戶郵箱、姓名之類的信息，通過這些信息調用passwd生成社會工程學字典。該字典可以用于網站目錄掃描時爆破路徑以及爆破網站后臺用戶名密碼來測試網站是否存在弱口令漏洞；其次，通過目錄掃描，端口掃描和C段掃描可以確認一個網段中開放的主機以及主機開放的服務類型等信息；最后，調用POC針對開放的主機或開放的服務對網絡資產進行綜合的檢測和利用。

圖3 S7scan核心模塊的相互關系及運維工作流程

Fig.3TherelationshipbetweenthecoremodulesofS7scanandtheoperationandmaintenanceprocess

3 試驗驗證分析

針對某校園網，這里對研發設計的S7scan進行了全面測試，通過比較分析，即可發現S7scan具備了規范性，能夠達到較高的性能。關于鑒定分析結果，可表述如下：

(1)規范性。使用現在流行的Python語言，方便更多用戶的開發和管理。同時，推出的友好界面和用法實例，在降低使用難度的同時,也可導出規范的json文件。

(2)高效性。滲透測試是一個復雜多樣的任務，滲透檢測運維框架S7scan集成信息收集、敏感信息掃描、漏洞綜合利用，各個模塊可以互相聯系，比如whois信息可以用于社會工程學字典生成，目錄掃描、端口掃描可以用于進一步的漏洞檢測和利用。常規工具一般只能加載一個程序對單個對象進行測試，滲透檢測運維框架S7scan可以快速實現批量掃描的功能，對單個對象使用多于一個POC，對一個網段使用POC批量檢測，極大地提高了滲透測試的效率。而且，研究運用主要功能模塊，將文中設計工具與手工檢測的操作性能展開了衡量比照，可得結果見表1。

表1 每個功能用手工和工具的時間差別Tab. 1 The time difference between the handwork and the tools for each function

(3)靈活可定制性。根據不同的用戶生成不同的社會工程學字典，可提供選擇多種掃描模式、多種掃描功能，用戶可以有針對性地獨創漏洞庫，打造各類定制化的漏洞利用工具，位置即在scripts目錄內。如圖4所示，運維人員通過指定可控網段和POC集合獲得定點化的網絡漏洞掃描，能夠在更大程度上提高運維效率。

圖4 用phpcms9.6.0注入POC對某高校一個網段掃描情況

Fig.4Usingphpcms9.6.0-sqlitoinjectPOCtoanetworksegmentscanofauniversity

4 結束語

當前互聯網規模和互聯網承載的資產越來越多，漏洞類型呈現出指數增加趨勢，而且被發現和被利用的頻率也越來越高，且在互聯網的支撐下更是影響巨大，給網絡安全運維帶來了嚴峻挑戰。本文針對網絡安全運維需要，充分考慮了網絡安全運維人員熟識其所管理網絡資產詳情的特點，借鑒共享經濟模式，設計并實現了一種基于網絡安全滲透測試的工具平臺S7scan，具備了優秀的漏洞掃描框架、能批量對網段進行潛在漏洞發現和檢測，能夠極大提高運維效率。通過提供共享漏洞檢測庫模塊，還進一步提高了優秀運維成果的使用范圍和效率，為及時發現、提前預防奠定了基礎。盡管S7scan設計之初僅是為了協助高校網絡安全運維人員主動發現

潛在安全漏洞，但其已具備了在其他網絡應用場景下應用能力，并且可以應用于網絡安全課程的學生實驗平臺。隨著該平臺應用范圍的推廣，后續研究將會逐步完善該平臺的POC漏洞庫，因而將會在未來的網絡安全運維和網絡安全人才培養方面發揮更大的作用。

[1] 吳翰清. 白帽子講Web 安全[M]. 北京: 電子工業出版社,2012.

[2] 鐘晨鳴，徐少培. Web前端黑客技術揭秘[M]. 北京：電子工業出版社，2013.

[3] Immunity Inc. Canvas[EB/OL]. [2017-11-27]. http://www.immunitysec.com.

[4] Core Security Technologies. CoreImpact[EB/OL]. [2017-11-27]. http://www.coresecurity.com.

[5] KENNEDY D, O'GORMAN J, KEAMS D,等. Metasploit滲透測試指南[M]. 修訂版. 諸葛建偉，王珩，陸宇翔，等譯. 北京：電子工業出版社 2017.

[6] 諸葛建偉，陳力波，孫松柏，等. Metasploit滲透測試魔鬼訓練營[M]. 北京：機械工業出版社，2013.

[7] 裴蘭珍,羅赟騫,景劼,等. 網絡安全漏洞滲透測試框架綜述[J]. 電子信息對抗技術，2016，31(2)：10-13，22.

[8] 吳倩倩. 綜合型漏洞掃描系統的研究與設計[D]. 北京：華北電力大學，2015.

[9] SEITZ J. Python黑帽子-黑客與滲透測試編程之道[M]. 孫松柏， 李聰，潤秋，譯. 北京：電子工業出版社，2015.

[10]尹彥濤. Web漏洞掃描系統設計與實現[D]. 青島：中國海洋大學，2014.

[11]尚廣明. Nmap滲透測試指南[J]. 信息安全與通信保密，2015(11)：81.