基于云安全的自動化掃描修復漏洞研究

◆夏 凡 方 方 丁中濤 劉宇為 楊劍鋒 楊 雪

基于云安全的自動化掃描修復漏洞研究

◆夏 凡 方 方通訊作者丁中濤 劉宇為 楊劍鋒 楊 雪

（成都理工大學信息科學與技術學院 四川 610000）

云安全作為新興網絡安全技術已經進入應用與發展階段，更多政府、高校、企業將系統部署到云平臺，大量涉及國計民生、企業運營數據和用戶個人信息存儲在云上，隨之而來的是攻擊者不斷挖掘云平臺可能存在的安全漏洞。目前云平臺只能起到防御作用，而不能自動修復漏洞且每天產生海量日志，需要大量的運維人員分析產生的日志。因此基于云安全平臺體系提出一種更安全、更易于管理的自動化掃描修復漏洞系統。結合漏洞自動化掃描、自動修復漏洞提高網站的安全性、阻擋防黑客攻擊，減輕運維人員的工作量。

云安全；漏洞掃描；自動化修復

云安全（Cloud Security）融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常檢測，獲取互聯網中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端[1]。本文從云安全自動化掃描漏洞修復出發，分析云安全當前所存在的安全問題，為提高云安全平臺的漏洞修復能力以及減少安全日志數量，進一步保障網絡安全，提出一種云安全自動化掃描修復漏洞的研究。

由于云平臺在企業、政府、高校數據管理、業務協調方面應用較多，產生的安全問題也隨之增多。下面是云安全主要存在的問題[2]：

（1）云平臺面臨的安全風險

由于用戶和服務商發生了分離，數據的所有者和保管者分離，引發數據泄露。數據泄露是近年來持續發生的惡性安全事件。云安全作為新興技術，我國在云服務的安全制度方面尚不完善。

（2）海量攻擊日志

許多政府、企業使用了云防御等一系列安全產品。但目前國內的云防御產品仍然存在一些問題，例如每天產生海量的攻擊日志，然而很多企業是沒有足夠的安全人員、甚至沒有專業的安全人員去分析攻擊日志。分析海量日志不僅是人力財力的消耗，很多政府、企業是無力承擔的。

（3）漏洞發現不及時

國內市面上的云防御產品都只是防護一些基本的SQL、XSS、惡意掃描、命令執行、代碼執行、webshell等。隨著技術的提升，出現了很多的1day漏洞、甚至是0day漏洞。然而由于漏洞發現不及時，造成了信息泄露、挖礦、病毒感染等。

（4）漏洞修復不及時

發現了漏洞，單由于安全運維人員不足或者安全運維人員忘記修復等一些因素，導致漏洞沒有修復而產生安全事件。

1 自動化修復漏洞框架介紹

1.1 自動化修復漏洞平臺需求分析

近年來層出不窮的網絡安全問題衍生了云防御技術，與傳統的WAF對比，云防御占據了許多優勢[3]。但云防御只是對外部網絡的防御，沒有解決內部系統存在的漏洞等一系列問題。為了應對云平臺存在的安全問題，云安全的自動化修復漏洞平臺應該具有以下的功能：

（1）針對云平臺構建系統、網絡安全漏洞庫；

（2）能對被防御網站進行漏洞的自動掃描；

（3）對于自動掃描出的漏洞進行修復；

（4）對外部產生的安全情報及時更新；

（5）網站性能監控。

1.2 自動化修復漏洞總體框架

基于云安全平臺的自動化修復漏洞的設計思路是提供一個統一的安全平臺，在云安全平臺上增加一個自動掃描和自動修復模塊，有針對性地對該系統進行漏洞掃描、漏洞修復等防護工作[4-5]。該系統如圖1所示。

圖1 云安全的自動化修復漏洞框架

（1）自動掃描漏洞

漏洞自動化識別主要是借助自動化掃描系統從系統層和應用層兩個層面，對目標系統發起的漏洞檢測工作[6]。系統層面的漏洞檢測主要從溢出漏洞、口令破解、信息泄露幾個方面進行。應用層的漏洞檢測主要包含信息泄露、配置錯誤、認證破解、攻擊注入、跨站腳本、跨站請求偽造、錯誤的重定向等幾個方面。

（2）自動化修復漏洞

對云平臺自動掃描出的漏洞根據靜態分析、動態分析、混合分析[7]進行分類，根據其不同的分類并結合中國國家漏洞庫、國家信息安全漏洞共享平臺、國家安全漏洞庫（CVE）提供的POC驗證漏洞，并根據修復建議進行自動化修復。

每天實時更新安全快訊，能自行修復的漏洞，自行修復，不能修復的漏洞每天提醒一下安全運維人員，修復此漏洞。

2 方案實現

該方案主要是在云平臺上添加了一個自動化掃描、自動化漏洞修復的功能，圖2為內部流程框架圖。

圖2 自動掃描與修復流程圖

Web安全掃描一般分為主動掃描和被動掃描，自動化掃描一般選擇被動掃描[4]。被動掃描的原理是設置掃描工具為一個Proxy Server，功能測試通過這個代理服務訪問系統，掃描工具可以截獲所有的交互數據并進行分析，通過與已知安全問題進行模式匹配，從而發現系統中可能的安全缺陷。

現在市面上自動掃描工具很多，大部分基于TCP協議、ICMP協議以及網絡爬蟲進行掃描發現、驗證漏洞。該方案的自動化掃描工具由注入工具、安全掃描、暴力破解、滲透工具、提權工具等組成，全方位發現并驗證漏洞。雖然依靠自動化掃描器并不能發現所有的安全問題，但是它可以在較小投入的情況下持續發現大部分系統的基礎安全問題。

自動化修復漏洞基于運行時狀態、檢測補丁并整合信息安全庫收集的修復方法和最新安全快訊，對自動掃描的安全缺陷進行修復以及防范互聯網最新病毒、漏洞等安全問題[8]。

例如，通過感應那些異常行為，可以發現從未出現過的病毒。然后可以停止病毒運行，修復系統漏洞。該方案的自動化修復技術主要根據安全信息庫收集的修復方法進行漏洞修復，以及達到自動化升級系統、自動打補丁，當發現大面積的病毒時及時根據修復建議對系統進行檢測、防范、修復。

安全漏洞信息庫包含國家漏洞信息庫、安全快訊、seebug的poc庫等。

3 結論

本文提出一種基于云安全平臺的自動化漏洞修復研究，該方案結合自動掃描、安全快訊、自動修復漏洞框架，對內部網站系統定時進行自動化掃描，對自動掃描出的漏洞結合國家安全庫等進行漏洞修復。該方案有效地保證了網站的系統安全并降低了網絡運維人員的工作量。

[1]王勇，徐衍龍，劉強.云計算安全模型與架構研究[J].信息安全研究，2018.

[2]周靖哲,陳長松.云計算架構的網絡信息安全對策分析[J].信息網絡安全，2017(11).

[3]葉子維，郭淵博，琚安康.動靜態特征結合的漏洞風險評估及緩解方法[J].計算機應用研究，2018.

[4]李靜力,面向高危風險漏洞修復行為的系統研究[J].自動化技術與應用，2017.

[5]Wiik J, Gonzalez JJ,Lipson H F, et al. Dynamics of vulnerability-modeling the life cycle of software vulnerabilities [C] Proc of the 22th International System Dynamics Conference. 2004.

[6]邢斌,高嶺,孫騫,楊威.一種自動化的滲透測試系統的設計與實現[J].計算機應用研究，2012.

[7]盧凱，朱廣宇，王紹杰.工業控制系統信息安全測試平臺研究[J].信息通信技術，2018.

[8]李浩杰，裘國永.基于自動化滲透測試的分析[J].計算機技術與應用，2015(12).