Design and Implementation of Security Vulnerability Detecting System
(1 空军工程大学工程学院,陕西西安 710038)(2 信息工程大学电子技术学院,河南郑州 450004)
王前1,余静2,陈性元2,谢寿生1
Wang, Qian1,Yu Jing2,Chen, Xingyuan2,Xie, Shou-Sheng1花生油
摘要:随着网络技术的迅速发展,网络安全已经成为人们关注的焦点。安全隐患检测技术可以协助决策者及早发现网络的脆弱性,防患于未然。文章描述了安全隐患检测系统的原理和体系结构,给出了服务器、客户端的实现机制,以及数据库的设计,最后讨论了该系统实现中的关键技术及其解决方法。
中图分类号:TP393.08文献标识码:A
Abstract:Network security becomes more and more important with the development of network technology. Security vulnerability detecting technology can help administrator to find vulnerability of net
work as soon as possible. This paper describes the principle,structure, and sub-systems of security vulnerability detecting system. Key technology is introduced in the end. Keywords:Network security,Vulnerability detecting,Penetrating testing,Security assessment
1 引言白菊醋
随着计算机网络和通讯技术的快速发展,利用开放的网络环境进行全球通信已成为时代发展的趋势。但是网络在提供便利的共享资源的同时也带来了各种各样的安全风险。网络系统的不安全性是由于其存在可以被渗透的脆弱性,即安全隐患。恶意的攻击者能够利用系统的脆弱性,通过已授权的手段和方式获取对资源的非法访问,对系统安全造成损害[1]。
安全隐患检测技术可以协助决策者及早发现网络上可能存在的安全隐患,为用户制定系统安全策略提供依据,监督网络系统安全策略的实施,排除安全隐患,防患于未然,提高网络系统的抗攻击能力[2]。
2 体系结构
安全隐患检测系统综合运用漏洞检测、渗透测试、安全评估等技术,根据用户制定的安全策略,在对目标系统进行全面漏洞扫描的基础上,对系统进行渗透攻击,并对测试结果进行分析,最后对系统存在的安全漏洞提出修补建议,并对网络系统的安全状况给出综合评价。 安全隐患检测系统采用基于C/S模型的远程检测技术。服务器实现安全隐患的检测,客户端实现对服务器的管理。客户端和服务器使用SSL进行通信,即方便了用户管理和使用,又提高了系统的安全性。其体系结构图如图1所示:
2.1 客户端
客户端主要由策略管理子系统、安全评估子系统和结果报告子系统组成。
⑴策略管理子系统
策略管理子系统使用GUI(图形界面)或网页界面实现可视化的策略管理,根据需要设基金项目:“十五”国防预研基金资助项目
图1 安全隐患检测系统体系结构图
置检测策略,配置扫描参数,实现不同内容、不同级别、不同程度、不同层次的漏洞检测。
⑵安全评估子系统
安全评估子系统根据检测结果库提供的数据,选取评估指标,采用定性和定量相结合的评估方法,对目标系统的安全状况给出评价。
⑶结果报告子系统
结果报告子系统根据安全评估子系统提供的信息,生成各种形式的统计图表,不但提供目标网络存在的安全漏洞和这些安全漏洞的危险级别,同时还给出安全解决建议,防范恶意攻击者利用这些安全漏洞入侵系统。结果报告子系统支持饼状图、柱状图和HTML三种报告形式,以直观、清晰的方式从总体上分析网络上的漏洞分类,方便决策者制定安全策略。
放血刀2.2 服务器
服务器对网络系统实施脆弱性检测,包括网络漏洞检测子系统、网络渗透测试子系统。网络漏洞检测的范围可以是单个设备或主机系统,也可以是特定的局域网络。网络渗透测试则是利用漏洞检测的结果,结合完备的网络攻击技术,对网络设备实施渗透攻击行为,以此检测目标的安全性。
⑴漏洞检测子系统
漏洞检测子系统主要是检测主机或者网络的端口开放情况、安全漏洞、错误配置等信息。漏洞检测利用TCP/IP协议的原理和缺陷,对目标系统进行端口扫描,在端口扫描的基础上,根据端口的开放情况以及系统的一些基本信息,采取不同的漏洞检测方法,出可能会被黑客利用的漏洞。
⑵渗透测试子系统
渗透测试子系统接受来自客户端的渗透测试策略,调用渗透测试用例库中的测试用例,完成对被测网络及安全设备的渗透攻击测试,对测试状态进行监控和收集测试数据,并将测试结果传输到客户端,为安全分析做进一步处理。
2.3 数据库
⑴漏洞知识库
漏洞库是漏洞检测子系统的核心,它存储了常见的各类系统漏洞特征、相应的解决方案和应对措施,以及与系统漏洞分析和实施应对相关的系统安全配置策略。漏洞库信息是漏洞
检测的主要判断依据,漏洞库信息不但应具备完整性和有效性,也应具有简易性的特点,便于对漏洞
库进行添加配制,从而实现对漏洞库的即时更新。CVE将众所周知的安全漏洞的名称标准化,使不同的漏洞库和安全工具更容易共享数据,使得在其他数据库中搜索信息更容易。在设计漏洞库时,定义与CVE标准兼容的漏洞相关数据的描述。漏洞库结构如表1所示:
表1 漏洞库结构
漏洞名称 系统安全漏洞的名称
漏洞描述 此漏洞作用机理的详细信息
CVE编号 给出了一个国际标准的编号
发布时间 系统安全漏洞发布的时间
更新时间 系统安全漏洞被更新、添入数据库中的时间
危害程度 此漏洞对系统安全造成危害的信息
受影响的操作系统 此漏洞可能会对哪些操作系统造成危害
磨头受影响的应用软件 此漏洞可能会对哪些应用软件造成危害
爬梯安全装置
漏洞利用 目前可以利用此漏洞实施攻击技术的信息
解决方案 此漏洞的补救方法,补丁的相关信息和补丁下载网址
⑵渗透测试用例库
渗透测试用例库是一个由渗透测试方法和测试用例组成的多级分类插件库,是按照被测目标系统的类型、测试性质与目的、测试危害级别、攻击阶段等方面进行分类的渗透性测试程序和工具库。测试用例包括自主开发的渗透测试程序,商用或开发源代码渗透性测试工具,以及恶意代码等。每一个测试用例由测试用例描述、测试程序、测试输入以及期望输出等数据表项组成,通过渗透测试模块的调用,对目标实施渗透攻击测试。
⑶检测结果库
检测结果库用于记录漏洞检测和渗透攻击的测试结果,以进行测试结果的管理,便于查询和维护。
3 系统部分实现
3.1 多线程
在进行端口扫描时,应用多线程技术提高扫描速率。所谓多线程,就是在一个进程中同时处理多个任务[3]。根据扫描主机的配置情况和扫描的范围自定义扫描所开启的线程数,开启多个线程同时对目标主机端口进行探测。
当两个或两个以上的线程同时访问同一个数据时,采用同步类和同步访问类来解决这个问题。临界区同步类CCriticalSection允许在某一时刻只有一个线程访问数据集,从而实现各个线程能扫描同一主机选定范围内所有的端口并且不重复。信号同步类CSemaphore允许多个线程同时使用同一个资源,从而实现逐一对选定范围内的各个IP进行扫描。
3.2 CGI漏洞扫描
CGI是外部应用程序与Web服务器交互的标推接口,CGI的安全性关系着Web的安全性。CGI是来自Web浏览器的HTTP请求,当提交了该请求后如果存在漏洞就会返回HTTP头及识别码,该识别码如果包括200 OK就认为存在该CGI漏洞。
CGI漏洞扫描类CCgiScan中主要有三个功能函数,分别是HasWebService()、GetWebInfo()和StartScan()。这三个函数相互依赖,具有一定的关联性,它们的功能及相关性叙述如下:
⑴ HasWebService函数:
此函数用于建立会话句柄、连接句柄,然后建立发送句柄,并发送请求,如果请求没有失败,则可断定目标主机开启了Web服务功能,此处建立的会话句柄和连接句柄将用于后面
的两个函数中。
⑵ GetWebInfo函数:
此函数用于获取目标主机的Web服务信息,包括:Web服务程序名称、应答内容类型、应答内容长度、主页名称。
⑶ StartScan函数:
此函数根据CCgiScan类的成员变量CString strDestHost和CString strCGIFileName 来分别获得将要扫描的目标主机的IP地址及所用的CGI漏洞文件名称,然后利用HasWebService函数中建立的连接句柄来建立发送句柄,再根据漏洞文件中的漏洞代码依次构造HTTP请求报,向目标主机发送后检查返回码,如果返回码是“200 OK”,即认为目标主机存在此项漏洞。
4 结语
安全隐患检测系统可及时发现系统的薄弱环节,并对系统的安全状况给出评价。本文详述了安全隐患
检测系统的体系结构,并分析了其中的关键技术。今后将进一步完善安全隐患检测系统的功能,为网络管理员提供有力工具。
参考文献
[1] Bishop M,Bailey D. A critical analysis of vulnerability taxonomies. Department
of Computer Science, University of California at Davis: Technical Report CSE-96-11,1996.
[2] Nessus[EB/OL].太阳能锅炉
[3] Jeff Prosise著.MFC Windows程序设计(第2版)[M].北京:清华大学出版社,2001. 作者简介:王前,(1978- ),女,河南信阳人,博士生,主要从事计算机网络安全研究。Email:wangqianzz@126;余静,(1964-),女,副教授,主要从事信息安全管理研究;陈性元,(1963-),男,教授,主要从事计算机网络安全、分布式操作系统研究;谢寿生,(1959- ),男,四川成都人,教授,空军工程大学工程学院博士生导师,空军级专家,主要从事推进系统控制与状态监控研究。
Author Resume: WangQian, female, born in 1978, now studying in the Engineering Institute, AFEU, present research direction: computer network security technology. (1,710038 空军工程大学工程
学院)(2,450004 信息工程大学电子技术学院)王前1,余静2,陈性元2,谢寿生1
(1. The Engineering Institute,AFEU.,Xi’an 710038,China;
2. Institute of Electronic Technology,the PLA Information Engineering University,Zhengzhou 450004,China)
通信方式:(450004 信息工程大学电子技术学院三系十队)徐静转王前
:wangqianzz@126;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议