IT資產(chǎn)高速探查及漏洞發(fā)現(xiàn)系統(tǒng)的研究

摘 ?要： 為滿足日益發(fā)展的網(wǎng)絡(luò)空間安全對(duì)空間內(nèi)IT資產(chǎn)的分布、存活、設(shè)備運(yùn)行及漏洞分布情況的了解需求，本文提出了采用高速無(wú)感探測(cè)技術(shù)及poc漏洞驗(yàn)證技術(shù)來(lái)實(shí)現(xiàn)對(duì)IT資產(chǎn)的快速梳理及漏洞的精準(zhǔn)定位，實(shí)現(xiàn)了資產(chǎn)與漏洞關(guān)聯(lián)，方便了對(duì)復(fù)雜網(wǎng)絡(luò)資產(chǎn)的管理，簡(jiǎn)化了日常運(yùn)維，為網(wǎng)絡(luò)空間安全快速發(fā)展提供了新的前進(jìn)方向。

關(guān)鍵詞： 高速無(wú)感;資產(chǎn)探查;漏洞Poc

中圖分類號(hào)： TP393.08 ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ?DOI：10.3969/j.issn.1003-6970.2019.12.037

本文著錄格式：秦丞，賀渝鑌. IT資產(chǎn)高速探查及漏洞發(fā)現(xiàn)系統(tǒng)的研究[J]. 軟件，2019，40（12）：167170

Research on High Speed IT Asset Detection and Vulnerability Discovery System

QIN Cheng， HE Yu-bin

（Kunming Power Supply Bureau， Yunnan Power Grid Co.， Ltd.， Kunming 650000）

【Abstract】： In order to meet the growing demand of Cyberspace Security for understanding the distribution， survival， equipment operation and vulnerability distribution of IT assets in space， this paper proposes to use high-speed insensitive detection technology and POC vulnerability verification technology to realize the rapid combing of IT assets and the accurate location of vulnerabilities， and realize the assets and vulnerabilities. Relevance facilitates the management of complex network assets， simplifies the daily operation and maintenance， and provides a new direction for the rapid development of network space security.

【Key words】： High-speed insensitivity; Asset detection; Vulnerability Poc

0 ?引言

美國(guó)男子約翰·瑪瑟利花近10年時(shí)間建立搜索引擎“Shodan”，Shodan搜索引擎的出現(xiàn)向人們展示了網(wǎng)絡(luò)和真實(shí)世界的匯聚是如此之快，數(shù)以百萬(wàn)計(jì)人每天依賴的工業(yè)系統(tǒng)在黑客入侵面前如此不堪一擊。它還揭示了網(wǎng)絡(luò)世界的連接性和復(fù)雜性超出任何人的理解，網(wǎng)絡(luò)中的漏洞比人們之前想象的要大得多。在過(guò)去兩年中，Shodan搜索引擎已收集到近1億臺(tái)工業(yè)設(shè)備的數(shù)據(jù)。

相比于國(guó)外更加面向工業(yè)設(shè)備，國(guó)內(nèi)方面，也有相關(guān)公司針對(duì)全球大約40億數(shù)量的IP進(jìn)行了信息普查工作方面的研究，并出現(xiàn)了網(wǎng)絡(luò)空間搜索的相關(guān)系統(tǒng)，可面向網(wǎng)絡(luò)空間的應(yīng)用組件、網(wǎng)絡(luò)設(shè)備及工控設(shè)備進(jìn)行探測(cè)，也是目前資產(chǎn)探測(cè)及漏洞發(fā)現(xiàn)中較為新興的技術(shù)。

近幾年來(lái)在以“互聯(lián)網(wǎng)+”模式的催生下，以及“物聯(lián)網(wǎng)”的飛速發(fā)展，網(wǎng)絡(luò)空間所覆蓋的行業(yè)領(lǐng)域及應(yīng)用邊界在不斷擴(kuò)大，導(dǎo)致原有網(wǎng)絡(luò)空間資源的安全監(jiān)控及防護(hù)手段所存在著滯后性及不完善性已日益凸顯，如：缺少高效、精準(zhǔn)的技術(shù)手段，無(wú)法及時(shí)獲取系統(tǒng)和設(shè)備所開(kāi)放的組件、服務(wù)和端口情況，以至無(wú)法實(shí)時(shí)、準(zhǔn)確獲取網(wǎng)絡(luò)設(shè)備狀態(tài)信息及所存在威脅風(fēng)險(xiǎn)所覆蓋或影響的范圍，同時(shí)無(wú)法實(shí)現(xiàn)對(duì)威脅產(chǎn)生源頭的有效追溯，這類問(wèn)題越來(lái)越明顯，在此基礎(chǔ)上，本文進(jìn)行了資產(chǎn)高速探測(cè)技術(shù)及漏洞發(fā)現(xiàn)技術(shù)的研究，希望通過(guò)研究解決傳統(tǒng)資產(chǎn)探測(cè)中存在的問(wèn)題。

1 ?高速無(wú)感探測(cè)技術(shù)研究

1.1 ?無(wú)狀態(tài)掃描

傳統(tǒng)資產(chǎn)探測(cè)技術(shù)都采用TCP發(fā)包技術(shù)，整個(gè)過(guò)程涉及到TCP三次握手連接的建立，持續(xù)時(shí)間長(zhǎng)，發(fā)包量大，當(dāng)出現(xiàn)請(qǐng)求連接失敗時(shí)，涉及到丟棄包的處理，易造成網(wǎng)絡(luò)堵塞[1-3]。

圖1 ?傳統(tǒng)資產(chǎn)探測(cè)技術(shù)示意圖

Fig.1 ?Sketch Map of Traditional Asset

Detection Technology

為了實(shí)現(xiàn)更快速的探測(cè)，本文研究使用無(wú)狀態(tài)掃描技術(shù)，無(wú)狀態(tài)掃描是指在掃描過(guò)程中，無(wú)需關(guān)心連接狀態(tài)，不占用系統(tǒng)TCP/IP協(xié)議棧資源，忽略SYN、ACK、FIN、TIMEWAIT等狀態(tài)，僅通過(guò)一次發(fā)包的回包來(lái)判斷端口開(kāi)放性的一種掃描技術(shù)。由于掃描過(guò)程中一般僅向目標(biāo)端口發(fā)送TCP三次握手中的SYN包，然后根據(jù)端口回包判斷此端口的開(kāi)放性，因此這種掃描技術(shù)又被稱為半連接掃描。此種掃描技術(shù)無(wú)須維護(hù)連接狀態(tài)，端口開(kāi)放性判斷邏輯簡(jiǎn)單，僅需要一個(gè)Bitmap結(jié)合回包內(nèi)容即可完成端口開(kāi)放性的判斷，可以最大限度的利用服務(wù)器的CPU和帶寬資源，以最快速度完成端口開(kāi)放性檢測(cè)。

圖2 ?無(wú)狀態(tài)掃描技術(shù)示意圖

Fig.2 ?Sketch of stateless scanning technology

1.2 ?IP列表拆分

傳統(tǒng)掃描系統(tǒng)在進(jìn)行網(wǎng)絡(luò)掃描時(shí)，會(huì)依據(jù)IP地址進(jìn)行按序掃描，而一些安全設(shè)備通常具有防掃描機(jī)制，會(huì)根據(jù)掃描的順序性來(lái)判斷，如果單一IP請(qǐng)求過(guò)多并帶有一定規(guī)則性，則很容易被判定為攻擊行為，后續(xù)的連接請(qǐng)求將會(huì)被阻斷，探測(cè)準(zhǔn)確率也會(huì)因此下降。最常見(jiàn)的情況為對(duì)一個(gè)地址進(jìn)行探測(cè)，一段時(shí)間后該地址提示訪問(wèn)被拒絕[4]。

圖3 ?傳統(tǒng)掃描技術(shù)示意圖

Fig.3 ?Sketch of traditional scanning techniques

為了避免大量發(fā)包對(duì)正常業(yè)務(wù)造成影響，本文采用IP列表拆分技術(shù)，對(duì)探測(cè)的ip列表進(jìn)行拆分，打亂順序進(jìn)行掃描，掃描完成后將再次重新排列組合，避免掃描被安全設(shè)備的防御機(jī)制所阻斷。

圖4 ?IP拆分示意圖

Fig.4 ?IP splitting schematic

1.3 ?引用指紋庫(kù)

為了實(shí)現(xiàn)對(duì)資產(chǎn)組件探測(cè)的準(zhǔn)確率，本文研究引用IT資產(chǎn)指紋庫(kù)，進(jìn)行資產(chǎn)檢測(cè)時(shí)，首先探測(cè)目標(biāo)系統(tǒng)的存活主機(jī)，對(duì)存活主機(jī)進(jìn)行端口掃描，確定系統(tǒng)開(kāi)放的端口，同時(shí)根據(jù)協(xié)議指紋技術(shù)識(shí)別出主機(jī)的操作系統(tǒng)類型。然后對(duì)開(kāi)放的端口進(jìn)行網(wǎng)絡(luò)服務(wù)類型的識(shí)別，確定其提供的網(wǎng)絡(luò)服務(wù)。根據(jù)目標(biāo)系統(tǒng)的操作系統(tǒng)平臺(tái)和提供的網(wǎng)絡(luò)服務(wù)，調(diào)用漏洞資料庫(kù)中已知的各種漏洞進(jìn)行逐一檢測(cè)，通過(guò)對(duì)探測(cè)響應(yīng)數(shù)據(jù)包的分析判斷是否存在漏洞[5-7]。

端口指紋庫(kù)：研究引用端口指紋庫(kù)進(jìn)而獲得組件的軟硬件類型、設(shè)備類型、廠商、品牌、型號(hào)等豐富信息。

操作系統(tǒng)指紋庫(kù)：據(jù) TCP/IP 協(xié)議棧指紋識(shí)別不同的操作系統(tǒng)。雖然 RFC 對(duì) TCP/IP 協(xié)議有著詳細(xì)的描述，但其中依然存在著描述不明確或描述明確但沒(méi)有做強(qiáng)制約定的地方。因此不同操作系統(tǒng)不同版本在 TCP/IP 協(xié)議棧的實(shí)現(xiàn)方案上都會(huì)有其特殊的處理方式，引用指紋庫(kù)可以實(shí)現(xiàn)多種類別數(shù)據(jù)庫(kù)的探測(cè)。

Web組件指紋庫(kù)：HTTP協(xié)議作為應(yīng)用層協(xié)議，其上構(gòu)建著種類繁多的Web組件。對(duì)這些 Web 組件的識(shí)別既能夠幫助更精確、高效的完成漏洞應(yīng)急任務(wù)，有可以作為重要的輔助信息完成對(duì)目標(biāo)主機(jī)用途的研判。研究引用web逐漸指紋庫(kù)可以識(shí)別引擎具備上百種Web組件的識(shí)別能力。其中包括 Web 編程語(yǔ)言（ASP、Python、JSP等）、Web容器（Nginx、Squid、Tengine等）、Web應(yīng)用（織夢(mèng)CMS、phpwind、Wordpress等）、Web框架（Django、Tornado、ThinkPHP等）、前端框架（jQuery、Bootstrap等）等。

2 ?漏洞掃描技術(shù)研究

2.1 ?Poc漏洞驗(yàn)證

現(xiàn)有的網(wǎng)絡(luò)漏洞掃描器主要是利用特征匹配的原理來(lái)識(shí)別各種已知的漏洞。掃描器發(fā)送含有某一漏洞特征探測(cè)碼的數(shù)據(jù)包，根據(jù)返回?cái)?shù)據(jù)包中是否含有該漏洞的響應(yīng)特征碼來(lái)判斷是否存在漏洞[8]。例如，對(duì)于IIS中的Uncode目錄遍歷漏洞，掃描器只要發(fā)送含有特征代碼%c1%1c的探測(cè)包;http：// x.x.x.x/scrlpts/..%c1%1c../winnt/system32/cmdexe？/c+ dir，如果應(yīng)答數(shù)據(jù)包中含有200 OK則可以斷定該漏洞存在。這樣的驗(yàn)證方式存在兩個(gè)明顯弊端，一個(gè)是驗(yàn)證漏洞需要發(fā)送大量的數(shù)據(jù)包，容易被安全設(shè)備和服務(wù)器認(rèn)定為攻擊行為而對(duì)IP進(jìn)行阻斷;另一個(gè)方面，通過(guò)單純的發(fā)送帶有某個(gè)驗(yàn)證規(guī)則的數(shù)據(jù)包，驗(yàn)證的準(zhǔn)確率低，易產(chǎn)生誤報(bào)。

為了解決傳統(tǒng)掃漏洞驗(yàn)證方式存在的問(wèn)題，本文研究采用的PoC漏洞驗(yàn)證技術(shù)，所謂PoC即漏洞驗(yàn)證程序，在計(jì)算機(jī)術(shù)語(yǔ)中是一段可以證明某個(gè)漏洞存在的代碼，通過(guò)運(yùn)行這段代碼，會(huì)輸出一個(gè)結(jié)果，表明漏洞是否存在。常見(jiàn)的PoC有struts2驗(yàn)證PoC，頭部信息如下所示：

def poc（url）：

register_openers（）

datagen， header = multipart_encode（{"image1"： open（"tmp.txt"， "rb"）}）

header["User-Agent"]="Mozilla/5.0 （Macintosh; Intel Mac OS X 10_12_3） AppleWebKit/ 537.36 （KHTML， like Gecko） Chrome/56.0.2924.87 Safari/537.36"

request = urllib2.Request（url，datagen，headers=header）

response = urllib2.urlopen（request）

body=response.read（）

PoC的驗(yàn)證原理大多是模擬計(jì)算機(jī)去訪問(wèn)可能存在漏洞的地址，再根據(jù)響應(yīng)結(jié)果判斷漏洞是否存在，這樣即使是進(jìn)行批量驗(yàn)證，也會(huì)由于其模擬正常人為訪問(wèn)而不會(huì)造成安全設(shè)備的攔截。另外成熟的PoC通用性很強(qiáng)，可以針對(duì)不同版本的組件進(jìn)行漏洞的驗(yàn)證。最重要的一點(diǎn)PoC基本都是開(kāi)源的，有許多經(jīng)驗(yàn)豐富的滲透測(cè)試人員的程序員進(jìn)行長(zhǎng)期更新和維護(hù)，這很大程度上保證了PoC代碼驗(yàn)證的準(zhǔn)確性和對(duì)新出漏洞的更新速度。采用對(duì)接豐富完善的PoC代碼庫(kù)，滿足對(duì)多種漏洞的驗(yàn)證需求，并且PoC驗(yàn)證程序大多使用Python語(yǔ)言編寫，入門簡(jiǎn)單，開(kāi)發(fā)效率高，有非常強(qiáng)大的第三方庫(kù)，大大降低了開(kāi)發(fā)周期，高級(jí)語(yǔ)言，編寫程序時(shí)不需要考慮內(nèi)存管理一類的底層細(xì)節(jié)。可移植性高，可擴(kuò)展，可嵌入，可以把Python程序嵌入C/C++，這些都方便了使用者編寫針對(duì)特定漏洞的PoC。

2.2 ?Poc漏洞關(guān)聯(lián)

漏洞驗(yàn)證作為掃描過(guò)程中最耗時(shí)的部分，常常成為漏洞應(yīng)急和漏洞常規(guī)普查中的關(guān)鍵節(jié)點(diǎn)。要加快漏洞驗(yàn)證的速度，減少需要驗(yàn)證的目標(biāo)數(shù)量就成了最直接有效的一種方法。為了實(shí)現(xiàn)漏洞的資產(chǎn)的數(shù)據(jù)關(guān)聯(lián)，本文研究使用漏洞關(guān)聯(lián)技術(shù)，在進(jìn)行漏洞驗(yàn)證時(shí)，將漏洞都帶有與之相關(guān)的組件的特征信息嵌入其中，當(dāng)一個(gè)新的漏洞出來(lái)的時(shí)候，有可能漏洞發(fā)布者并沒(méi)有指明漏洞影響的版本號(hào)，這個(gè)時(shí)候通過(guò)漏洞詳情明確該漏洞影響的版本具體有那個(gè)或者那些，將其版本信息寫入PoC程序中，將與之相關(guān)的資產(chǎn)組件分布情況也羅列出來(lái)。如果不明確漏洞影響，在漏洞驗(yàn)證的同時(shí)既不能關(guān)聯(lián)漏洞，又浪費(fèi)大量時(shí)間。所以使用漏洞關(guān)聯(lián)技術(shù)能有效縮小漏洞驗(yàn)證的目標(biāo)范圍，大大加快漏洞驗(yàn)證速度，提升漏洞檢測(cè)效率，并實(shí)現(xiàn)漏洞與資產(chǎn)組件的互相關(guān)聯(lián)。

3 ?大數(shù)據(jù)技術(shù)研究

研究IT資產(chǎn)探查和漏洞發(fā)現(xiàn)，是針對(duì)海量數(shù)據(jù)的批量操作，為了實(shí)現(xiàn)對(duì)大量數(shù)據(jù)的迅速響應(yīng)和使用者對(duì)數(shù)據(jù)快速增刪查改的功能，本文研究使用大數(shù)據(jù)處理技術(shù)。

3.1 ?大數(shù)據(jù)分布存儲(chǔ)

IT資產(chǎn)探測(cè)的網(wǎng)絡(luò)設(shè)備數(shù)量巨大，采集信息的種類多，為滿足大數(shù)據(jù)的存儲(chǔ)要求，本文研究采用MongoDB數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ)。MongoDB是一個(gè)基于分布式文件存儲(chǔ)的數(shù)據(jù)庫(kù)[9-10]。由C++語(yǔ)言編寫。旨在為WEB應(yīng)用提供可擴(kuò)展的高性能數(shù)據(jù)存儲(chǔ)解決方案。MongoDB是一個(gè)介于關(guān)系數(shù)據(jù)庫(kù)和非關(guān)系數(shù)據(jù)庫(kù)之間的軟件，是非關(guān)系數(shù)據(jù)庫(kù)當(dāng)中功能最豐富，最像關(guān)系數(shù)據(jù)庫(kù)的。支持的數(shù)據(jù)結(jié)構(gòu)非常松散，是類似json的bson格式，因此可以存儲(chǔ)比較復(fù)雜的數(shù)據(jù)類型。Mongo最大的特點(diǎn)是他支持的查詢語(yǔ)言非常強(qiáng)大，其語(yǔ)法有點(diǎn)類似于面向?qū)ο蟮牟樵冋Z(yǔ)言，幾乎可以實(shí)現(xiàn)類似關(guān)系數(shù)據(jù)庫(kù)單表查詢的絕大部分功能，而且還支持對(duì)數(shù)據(jù)建立索引。它的特點(diǎn)是高性能、易部署、易使用，存儲(chǔ)數(shù)據(jù)非常方便。利用MongoDB分布式的各種優(yōu)點(diǎn)，可用于存儲(chǔ)各種類型網(wǎng)絡(luò)設(shè)備及應(yīng)用相關(guān)的數(shù)據(jù)及結(jié)果數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)等大的數(shù)據(jù)內(nèi)容

3.2 ?大數(shù)據(jù)深入分析

基于MongoDB中存儲(chǔ)的網(wǎng)絡(luò)組件大數(shù)據(jù)庫(kù)，深入研究各個(gè)組件和各種協(xié)議的安全性，例如對(duì)不同版本的SSL/TLS協(xié)議進(jìn)行深入分析，分析是否存在缺少邊界檢查的問(wèn)題，這個(gè)問(wèn)題會(huì)造成緩存區(qū)的超讀，從而引發(fā)著名的心臟滴血漏洞。通過(guò)對(duì)大數(shù)據(jù)的深入分析，可以對(duì)IT資產(chǎn)組件的安全性做出快速精確的分析，加快響應(yīng)速度，方便對(duì)數(shù)據(jù)的檢索。

3.3 ?數(shù)據(jù)實(shí)時(shí)檢索

MongoDB中存儲(chǔ)的數(shù)據(jù)進(jìn)過(guò)深入分析之后，需要快速實(shí)現(xiàn)對(duì)分析后數(shù)據(jù)的實(shí)時(shí)檢索，本文研究使用ElasticSearch檢索技術(shù)，ElasticSearch 是一個(gè)分布式、高擴(kuò)展、高實(shí)時(shí)的搜索與數(shù)據(jù)分析引擎。它能很方便的使大量數(shù)據(jù)具有搜索、分析和探索的能力。充分利用ElasticSearch的水平伸縮性，能使數(shù)據(jù)在生產(chǎn)環(huán)境變得更有價(jià)值。ElasticSearch 的實(shí)現(xiàn)原理主要分為以下幾個(gè)步驟，首先用戶將數(shù)據(jù)提交到Elastic Search數(shù)據(jù)庫(kù)中，再通過(guò)分詞控制器去將對(duì)應(yīng)的語(yǔ)句分詞，將其權(quán)重和分詞結(jié)果一并存入數(shù)據(jù)，當(dāng)用戶搜索數(shù)據(jù)時(shí)候，再根據(jù)權(quán)重將結(jié)果排名，打分，再將返回結(jié)果呈現(xiàn)給用戶。在資產(chǎn)探查和漏洞掃描中，依靠 Elasticsearch強(qiáng)大的數(shù)據(jù)檢索能力

實(shí)現(xiàn)大數(shù)據(jù)深入分析結(jié)果的實(shí)時(shí)檢索。

圖5 ?數(shù)據(jù)實(shí)時(shí)檢索示意圖

Fig.5 ?Schematic diagram of real-time data retrieval

4 ?結(jié)語(yǔ)

本文通過(guò)對(duì)高速無(wú)感探測(cè)技術(shù)及漏洞PoC驗(yàn)證技術(shù)的研究，結(jié)合大數(shù)據(jù)分析，為網(wǎng)絡(luò)空間組件安全的研究提出了新的解決思路，在發(fā)展中有廣闊的應(yīng)用前景。

參考文獻(xiàn)

[1]王宸東， 郭淵博， 甄帥輝， 等. 網(wǎng)絡(luò)資產(chǎn)探測(cè)技術(shù)研究[J]. 計(jì)算機(jī)科學(xué)， 2018， 45（12）： 24-31.

[2]肖宇峰， 何明， 汪來(lái)富. 電信運(yùn)營(yíng)商網(wǎng)絡(luò)資產(chǎn)安全管理技術(shù)的應(yīng)用研究與實(shí)踐[J]. 廣東通信技術(shù)， 2018， 38（07）： 32-41+51.

[3]陳錦春. 基于加權(quán)余弦相似度的網(wǎng)絡(luò)資產(chǎn)資源預(yù)匹配方案[J]. 電信技術(shù)， 2018（02）： 46-49.

[4]賀鳴. 對(duì)廣電網(wǎng)絡(luò)資產(chǎn)的會(huì)計(jì)核算處理方法研究[J]. 納稅， 2017（34）： 94.

[5]夏智偉， 李樂(lè)成. 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)研究與設(shè)計(jì)[J]. 信息通信， 2017（05）： 147-148.

[6]傅濤. 基于源碼與二進(jìn)制文件的漏洞挖掘技術(shù)[J]. 軟件， 2018， 39（7）： 95-97.

[7]印杰， 李千目. 軟件代碼漏洞的電子取證技術(shù)綜述[J]. 軟件， 2015， 36（12）： 49-59.

[8]唐菁敏， 王紅彬， 王朝陽(yáng)， 等. 基于SSM+ZD的漏洞管理平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件， 2018， 39（2）： 139-142.

[9]謝華成， 馬學(xué)文. MongoDB 數(shù)據(jù)庫(kù)下文件型數(shù)據(jù)存儲(chǔ)研究[J]. 軟件， 2015， 36（11）： 12-14.

[10]白長(zhǎng)清， 劉敏. MongoDB 在氣象傳感器數(shù)據(jù)處理中的應(yīng)用[J]. 軟件， 2015， 36（11）： 34-37.