【 摘 要 】 在傳統(tǒng)漏洞掃描過(guò)程中，我們都可以發(fā)現(xiàn)較多的漏洞，通過(guò)漏洞探測(cè)原理，可以了解到目前主流漏洞掃描技術(shù)存在一定的誤差。論文詳細(xì)講解漏洞探測(cè)掃描過(guò)程中各項(xiàng)原理及技術(shù)，通過(guò)關(guān)聯(lián)性分析及軟件指紋等結(jié)合，以此來(lái)提高漏洞的真實(shí)性，從而協(xié)助網(wǎng)絡(luò)安全人員對(duì)漏洞進(jìn)行定位及修復(fù)。

【 關(guān)鍵詞 】 漏洞探測(cè)；漏洞掃描；可信度；精細(xì)化

Analysis on the Fineness of Vulnerability Discovery

Tan Chun

（Guangxi Tobacco Monopoly Administration GuangxiNanning 530022）

【 Abstract 】 The traditional vulnerability scanning process， we can find more loopholes， through the loophole detection principle， we can understand the current mainstream vulnerability scanning technology there is a certain error， this paper explains in detail the principle of vulnerability detection scanning technology and technology， Through the correlation analysis and software fingerprints and so on， in order to improve the authenticity of the vulnerability， thus helping network security personnel to locate and repair vulnerabilities.

【 Keywords 】 vulnerability detection； vulnerability scanning； credibility； fine

1 引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)上存在形式各異的漏洞掃描、漏洞探測(cè)、漏洞驗(yàn)證等工具。眾所周知，漏洞掃描一般通過(guò)IP地址或域名的形式進(jìn)行，針對(duì)網(wǎng)絡(luò)中的系統(tǒng)、網(wǎng)絡(luò)組件或應(yīng)用程序等進(jìn)行安全檢測(cè)，檢測(cè)其中的漏洞或安全弱點(diǎn)，漏洞掃描工具通守預(yù)設(shè)的漏洞特征庫(kù)對(duì)遠(yuǎn)程主機(jī)進(jìn)行檢測(cè)，一般檢測(cè)包含了遠(yuǎn)程主機(jī)的所有信息（按照掃描器的先后順序，一般為端口、服務(wù)、服務(wù)類(lèi)型、服務(wù)版本、潛在的攻擊路徑、攻擊數(shù)據(jù)包構(gòu)建、發(fā)包、查看返回信息等）?，F(xiàn)階段市面上主流的免費(fèi)、商業(yè)化工具它可以掃描網(wǎng)絡(luò)和網(wǎng)站上的上千個(gè)漏洞，提供一個(gè)風(fēng)險(xiǎn)列表，以及補(bǔ)救的建議。但檢測(cè)中發(fā)現(xiàn)的上千個(gè)漏洞，哪些為真實(shí)，是否虛假誤報(bào)，網(wǎng)絡(luò)安全管理員可能無(wú)從得知。本文介紹一種檢測(cè)及驗(yàn)證機(jī)制，使得傳統(tǒng)漏洞掃描工具發(fā)現(xiàn)的漏洞可很大程度的提高漏洞的真實(shí)性及可靠性，便于網(wǎng)絡(luò)安全管理員對(duì)漏洞進(jìn)行精細(xì)化管理。

2 漏洞掃描技術(shù)方式

目前主流的漏洞掃描技術(shù)分為三種，即版本掃描、原理掃描及登錄式掃描。

2.1 版本掃描

版本掃描通過(guò)Banner等信息識(shí)別系統(tǒng)或服務(wù)的版本信息和漏洞庫(kù)（CVE等）信息對(duì)比分析，判斷目標(biāo)是否存在漏洞。版本判斷掃描不會(huì)對(duì)目標(biāo)造成影響，安全性高。但是版本識(shí)別過(guò)程有可能誤報(bào)，造成漏洞誤報(bào)。目前大多數(shù)產(chǎn)品的遠(yuǎn)程掃描采用此技術(shù)。

2.2 原理掃描

原理掃描是遠(yuǎn)程漏洞掃描技術(shù)的一種，漏洞掃描通過(guò)構(gòu)造特殊包，發(fā)送到目標(biāo)主機(jī)，收集目標(biāo)主機(jī)反饋的信息，判斷系統(tǒng)是否安裝特定的補(bǔ)丁程序，進(jìn)而判斷系統(tǒng)漏洞是否存在。原理掃描誤報(bào)率極低，開(kāi)發(fā)掃描過(guò)程難度較大，大多數(shù)產(chǎn)品沒(méi)有能力采用此技術(shù)。

2.3 登錄式掃描

登錄式掃描通過(guò)用戶預(yù)先預(yù)定正確的用戶名、密碼進(jìn)而登錄至遠(yuǎn)程目標(biāo)系統(tǒng)或站點(diǎn)，通過(guò)腳本抓取本地信息，信息包括配置、密碼加密字符串、已安裝的補(bǔ)丁、已打開(kāi)的端口等，將此信息整理后與漏洞掃描特征庫(kù)進(jìn)行正則匹配，以此來(lái)發(fā)現(xiàn)目標(biāo)的安全漏洞。此種掃描方式在開(kāi)展前期需要收集賬戶密碼信息，且發(fā)現(xiàn)的問(wèn)題較多集中在本地層面上，優(yōu)點(diǎn)在有效降低黑盒式掃描所產(chǎn)生的漏洞誤報(bào)，減少誤報(bào)率。

3 漏洞精細(xì)化管理

面對(duì)與日俱增的IT資產(chǎn)所帶來(lái)的海量漏洞，安全管理者、網(wǎng)絡(luò)管理員、安全運(yùn)維人員應(yīng)如何行之有效的對(duì)所發(fā)現(xiàn)的漏洞進(jìn)行有針對(duì)性的修復(fù)，是漏洞精細(xì)化管理的核心，針對(duì)漏洞管理工作，如下提出了幾點(diǎn)將有效的將漏洞修補(bǔ)投入產(chǎn)出最大化。

3.1 智能識(shí)別

傳統(tǒng)漏洞的發(fā)現(xiàn)通是基本主機(jī)存活、端口判斷、服務(wù)識(shí)別、操作系統(tǒng)判斷、漏洞發(fā)現(xiàn)等幾個(gè)步驟。在此過(guò)程中，需要通過(guò)多種技術(shù)進(jìn)行，如主機(jī)存活，可通通過(guò)ICMP、TCP、UDP等方式驗(yàn)證；端口判斷可采用TCP SYN、TCP Connect、TCP FIN、TCP NULL、TCP XMAS等等；服務(wù)識(shí)別基于端口對(duì)應(yīng)的服務(wù)進(jìn)行；操作系統(tǒng)通過(guò)TTL值等進(jìn)行判斷，漏洞通過(guò)包返回值進(jìn)行判斷。以上都為漏洞掃描過(guò)程中所采用到的技術(shù)及方法，因互聯(lián)網(wǎng)上資產(chǎn)形式多異，個(gè)別系統(tǒng)采用精簡(jiǎn)式、內(nèi)核修改、服務(wù)修改等方式進(jìn)行，造成了傳統(tǒng)掃描工具誤報(bào)較高，如目標(biāo)系統(tǒng)本身為Windows，但實(shí)際檢測(cè)發(fā)現(xiàn)的為Unix，此時(shí)，所發(fā)現(xiàn)的漏洞基本可判斷為誤報(bào)。因此，通過(guò)信息重整化技術(shù)、開(kāi)放端口服務(wù)的智能識(shí)別、檢測(cè)漏洞特征依賴關(guān)系的自動(dòng)掃描等技術(shù)的運(yùn)用，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令、構(gòu)造漏洞利用反射數(shù)據(jù)包等。若模擬攻擊成功，則表明目標(biāo)系統(tǒng)存在安全漏洞。

3.2 漏洞歸并

漏洞歸并是將所發(fā)現(xiàn)的漏洞數(shù)據(jù)歸一化，采用數(shù)據(jù)挖掘技術(shù)，不同評(píng)價(jià)指標(biāo)往往具有不同的量綱和量綱單位，這樣的情況會(huì)影響到數(shù)據(jù)分析的結(jié)果，為了消除指標(biāo)之間的量綱影響，對(duì)漏洞數(shù)據(jù)進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化處理，以解決數(shù)據(jù)指標(biāo)之間的可比性。漏洞原始數(shù)據(jù)經(jīng)過(guò)數(shù)據(jù)標(biāo)準(zhǔn)化處理后，各指標(biāo)處于同一數(shù)量級(jí)，可進(jìn)行綜合對(duì)比。常見(jiàn)的歸一化方法有min-max標(biāo)準(zhǔn)化，也稱為離差標(biāo)準(zhǔn)化；Z-score標(biāo)準(zhǔn)化方法，這種方法給予原始數(shù)據(jù)的均值和標(biāo)準(zhǔn)差進(jìn)行數(shù)據(jù)的標(biāo)準(zhǔn)化。

3.3 關(guān)聯(lián)分析

將收集到的漏洞信息標(biāo)準(zhǔn)化存于事件庫(kù)中，基于CVE、CNVD等第三方構(gòu)建漏洞庫(kù)，形成企業(yè)自有的漏洞特征庫(kù)，采用Apriori 及FP-growth關(guān)聯(lián)算法，對(duì)軟件中漏洞發(fā)生情況進(jìn)行關(guān)聯(lián)，根據(jù)特征庫(kù)中相關(guān)規(guī)則對(duì)事件庫(kù)中安全事件進(jìn)行相關(guān)性分析，并依據(jù)策略庫(kù)，形成最終漏洞報(bào)告，便于管理員對(duì)關(guān)聯(lián)結(jié)果進(jìn)行檢索查詢，讓管理員對(duì)漏洞及時(shí)修補(bǔ)。

3.4 可信度

漏洞可信度是對(duì)漏洞可信特性的評(píng)估，判斷漏洞是否具有作為可信漏洞應(yīng)具有的可信特性，在漏洞探測(cè)過(guò)程中，如目標(biāo)主機(jī)存在較多原理掃描漏洞時(shí)，該目標(biāo)主機(jī)存在漏洞的可信度即越高，風(fēng)險(xiǎn)也越大。在主流漏洞掃描工具中，常有的一個(gè)特性是漏洞風(fēng)險(xiǎn)等級(jí)，即所發(fā)現(xiàn)的漏洞風(fēng)險(xiǎn)為高、中、低三級(jí)別，針對(duì)此發(fā)現(xiàn)的漏洞，真實(shí)與否較難判斷，原理層面上漏洞可根據(jù)包返回值進(jìn)行確認(rèn)，但主流的版本掃描發(fā)現(xiàn)的漏洞無(wú)法進(jìn)行驗(yàn)證，針對(duì)目標(biāo)資產(chǎn)，如較多同類(lèi)漏洞或多種漏洞混合的，可通過(guò)可信度系數(shù)進(jìn)行賦值，此所賦的值相對(duì)較低。當(dāng)加入登錄式掃描后所發(fā)現(xiàn)的漏洞，兩者進(jìn)行關(guān)聯(lián)分析后，可將同類(lèi)漏洞按數(shù)值進(jìn)而排序，數(shù)值越高，漏洞存在的可信度越高，數(shù)值越小，漏洞存在的可信度越低。針對(duì)部分關(guān)聯(lián)型漏洞，也可采用此種方式，但需要漏洞工具開(kāi)發(fā)者在自身漏洞庫(kù)特征的基線上加入此特性，即漏洞發(fā)現(xiàn)無(wú)相關(guān)關(guān)聯(lián)性，可采取不預(yù)警的形式。

3.5 漏洞加固審計(jì)

在實(shí)際的漏洞修復(fù)過(guò)程中往往很難確認(rèn)自己的漏洞是否真正修復(fù)。針對(duì)這種情況，通過(guò)漏洞加固審計(jì)措施，單獨(dú)調(diào)用漏洞掃描器針對(duì)此漏洞進(jìn)行黑白盒測(cè)式，黑盒以測(cè)試漏洞是否可被利用，白盒驗(yàn)證漏洞服務(wù)是否已關(guān)閉，補(bǔ)丁是否已安裝，是否有關(guān)聯(lián)的服務(wù)調(diào)用或其他應(yīng)用程序?qū)樱斐陕┒次赐晖耆扪a(bǔ)。可將此功能嵌入至漏洞管理系統(tǒng)中，通過(guò)定時(shí)任務(wù)調(diào)度的方式，對(duì)漏洞進(jìn)行定期審計(jì)，以提高管理人工作效率。

4 結(jié)束語(yǔ)

在當(dāng)前市面上形式各異的漏洞掃描工具下，針對(duì)企業(yè)資產(chǎn)漏洞進(jìn)行有效管理，是網(wǎng)絡(luò)管理員及安全人員所必不可少的工作，通過(guò)對(duì)漏洞進(jìn)行分類(lèi)分級(jí)，對(duì)漏洞進(jìn)行有效的驗(yàn)證并加入可信度指標(biāo)，以機(jī)器語(yǔ)言進(jìn)行關(guān)聯(lián)統(tǒng)計(jì)，最終輸出真實(shí)可靠的漏洞，以花最少的代價(jià)，修復(fù)致命的問(wèn)題，以提升企業(yè)整體安全水平。

參考文獻(xiàn)

[1] 羅莉，溫錦生. 網(wǎng)絡(luò)信息安全技術(shù)[J].太原科技，2000.

[2] 孫建明.網(wǎng)絡(luò)安全掃描技術(shù)綜述[J].廣東通信技術(shù)，2004，24（8）

[3] 劉三滿，郭麗蓉，郭璞.淺析網(wǎng)絡(luò)安全掃描技術(shù)[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)，2005，15（1）.

作者簡(jiǎn)介：

譚春（1974-），男，廣西桂林人，畢業(yè)于江蘇大學(xué)，本科，工學(xué)學(xué)士，廣西壯族自治區(qū)煙草專賣(mài)局（公司），科技處副處長(zhǎng)，助理工程師；工作業(yè)績(jī)：2011年建設(shè)柳州市煙草公司零售終端銷(xiāo)售系統(tǒng)，2012年建設(shè)柳州市煙草公司手機(jī)訂貨系統(tǒng)，2014年主持建設(shè)區(qū)煙草公司統(tǒng)一備份系統(tǒng)，2015年主持建設(shè)區(qū)煙草公司視頻會(huì)議系統(tǒng)，2015年主持建設(shè)區(qū)煙草公司桌面管理系統(tǒng)，主持制定《區(qū)煙草公司信息化工作管理制度》。