漏洞掃描方法及裝置制造方法
【專利摘要】本發明實施例提供一種漏洞掃描方法及裝置。該方法包括:反向掃描代理模塊獲取客戶端報文;所述反向掃描代理模塊將所述客戶端報文發送給漏洞掃描器,以使所述漏洞掃描器依據所述客戶端報文識別所述客戶端的漏洞;或者所述反向掃描代理模塊依據所述客戶端報文識別所述客戶端的漏洞,并將所述客戶端的漏洞發送給漏洞掃描器;反向掃描代理模塊接收所述漏洞掃描器的控制指令,并依據所述控制指令改變工作方式和/或工作模式,以及更新漏洞規則。本發明實施例通過反向掃描代理模塊獲取客戶端報文,并對客戶端報文進行分析以識別客戶端存在的漏洞,在遠程檢測服務器的安全問題基礎上,增加了對客戶端安全問題的分析,從而實現了對整個網絡環境的安全性檢測。
【專利說明】漏洞掃描方法及裝置
【技術領域】
[0001] 本發明實施例涉及網絡安全領域,尤其涉及一種漏洞掃描方法及裝置。
【背景技術】
[0002] 隨著計算機網絡技術的發展,網絡安全技術也在不斷發展,若服務器存在重大的 漏洞,黑客將通過該漏洞竊取服務器或客戶端的重要性信息,造成嚴重后果,因此,網絡安 全的重要性日益凸顯。
[0003] 現有技術主要通過漏洞掃描器遠程檢測服務器的漏洞來維護網絡安全,具體為 漏洞掃描器作為客戶端向服務器發送連接請求消息,服務器對該連接請求消息做出應答, 并將應答消息發送給漏洞掃描器,漏洞掃描器依據該應答消息分析判斷服務器是否存在漏 洞。
[0004] 由于整個網絡環境不僅包括服務器,還包括與服務器相連接的客戶端,而現有技 術只遠程檢測服務器的安全問題,因此不能檢測整個網絡環境的安全性。
【發明內容】
[0005] 本發明實施例提供一種漏洞掃描方法及裝置,以檢測整個網絡環境的安全性。
[0006] 本發明實施例的一個方面是提供一種漏洞掃描方法,包括:
[0007] 反向掃描代理模塊獲取客戶端報文;
[0008] 所述反向掃描代理模塊將所述客戶端報文發送給漏洞掃描器,以使所述漏洞掃描 器依據所述客戶端報文識別所述客戶端的漏洞,或者所述反向掃描代理模塊依據所述客戶 端報文識別所述客戶端的漏洞,并將所述客戶端的漏洞發送給漏洞掃描器;
[0009] 所述反向掃描代理模塊接收所述漏洞掃描器的控制指令,并依據所述控制指令改 變工作方式和/或工作模式,以及更新漏洞規則。
[0010] 本發明實施例的另一個方面是提供一種反向掃描代理模塊,包括:
[0011] 報文獲取模塊,用于獲取客戶端報文;
[0012] 發送模塊,用于將所述客戶端報文發送給漏洞掃描器,以使所述漏洞掃描器依據 所述客戶端報文識別所述客戶端的漏洞,或者報文識別與發送模塊,用于依據所述客戶端 報文識別所述客戶端的漏洞,并將所述客戶端的漏洞發送給漏洞掃描器;
[0013] 接收控制模塊,用于接收所述漏洞掃描器的控制指令,并依據所述控制指令改變 工作方式和/或工作模式,以及更新漏洞規則。
[0014] 本發明實施例的另一個方面是提供一種漏洞掃描器,包括:
[0015] 接收模塊,用于接收反向掃描代理模塊發送的客戶端報文;或者用于接收反向掃 描代理模塊發送的客戶端的漏洞;
[0016] 報文識別模塊,用于依據所述客戶端報文識別所述客戶端的漏洞;
[0017] 指令發送模塊,用于向所述反向掃描代理模塊發送控制指令,以使所述反向掃描 代理模塊依據所述控制指令改變工作方式和/或工作模式,以及更新漏洞規則。
[0018] 本發明實施例的另一個方面是提供一種漏洞掃描系統,包括所述的反向掃描代理 模塊和所述的漏洞掃描器。
[0019] 本發明實施例提供的漏洞掃描方法及裝置,通過反向掃描代理模塊獲取客戶端報 文,并對客戶端報文進行分析以識別客戶端存在的漏洞,在遠程檢測服務器的安全問題基 礎上,增加了對客戶端安全問題的分析,從而實現了對整個網絡環境的安全性檢測。
【專利附圖】
【附圖說明】
[0020] 圖1為本發明實施例提供的漏洞掃描方法流程圖;
[0021] 圖2為本發明實施例提供的網絡拓撲圖;
[0022] 圖3是本發明實施例提供的獲得網絡缺陷信息方法流程圖;
[0023] 圖4為本發明實施例提供的反向掃描代理模塊的結構圖;
[0024] 圖5為本發明另一實施例提供的反向掃描代理模塊的結構圖;
[0025] 圖6為本發明另一實施例提供的反向掃描代理模塊的結構圖;
[0026] 圖7為本發明實施例提供的漏洞掃描器的結構圖;
[0027] 圖8為本發明另一實施例提供的漏洞掃描器的結構圖;
[0028] 圖9為本發明實施例提供的漏洞掃描系統的結構圖。
【具體實施方式】
[0029] 圖1為本發明實施例提供的漏洞掃描方法流程圖;圖2為本發明實施例提供的網 絡拓撲圖。本發明實施例提供的漏洞掃描方法具體步驟如下:
[0030] 步驟S101、反向掃描代理模塊獲取客戶端報文;
[0031] 所述反向掃描代理模塊安裝在服務器上;所述反向掃描代理模塊獲取客戶端報文 包括:所述反向掃描代理模塊獲取所述客戶端與所述服務器交互過程中所述客戶端發出的 業務請求報文和應答報文;或者所述反向掃描代理模塊向所述客戶端發送構造測試報文, 獲取所述客戶端對所述構造測試報文的響應報文。
[0032] 如圖2所示,在獲取到服務器管理方的同意后,在服務器22中安裝反向掃描代理 模塊23,反向掃描代理模塊23的工作方式包括無損方式和反向掃描方式,無損方式是指在 服務器22客戶端24交互的過程中,反向掃描代理模塊23獲取該過程中客戶端24發出的 業務請求報文和應答報文;反向掃描方式是指反向掃描代理模塊23構造測試報文,向客戶 端24發送該構造測試報文,并獲取客戶端24對該構造測試報文的響應報文。
[0033] 步驟S102、所述反向掃描代理模塊將所述客戶端報文發送給漏洞掃描器,以使所 述漏洞掃描器依據所述客戶端報文識別所述客戶端的漏洞,或者所述反向掃描代理模塊依 據所述客戶端報文識別所述客戶端的漏洞,并將所述客戶端的漏洞發送給漏洞掃描器;
[0034] 反向掃描代理模塊23在服務器22上的還包括兩種工作模式:代理模式和駐留模 式,代理模式是指反向掃描代理模塊23將獲取到的客戶端24發出的報文直接發送到漏洞 掃描器21,由漏洞掃描器21對客戶端24發出的報文進行分析;駐留模式是指反向掃描代 理模塊23對獲取到的客戶端24發出的報文進行分析獲得中間處理結果,再將該中間處理 結果發送給漏洞掃描器21。
[0035] 步驟S103、所述反向掃描代理模塊接收所述漏洞掃描器的控制指令,并依據所述 控制指令改變工作方式和/或工作模式,以及更新漏洞規則。
[0036] 漏洞掃描器21通過向反向掃描代理模塊23發送控制指令實現對反向掃描代理模 塊23的控制,具體為反向掃描代理模塊23依據控制指令改變工作方式和/或工作模式,以 及更新漏洞規則。
[0037] 本發明實施例通過反向掃描代理模塊獲取客戶端報文,并對客戶端報文進行分析 以識別客戶端存在的漏洞,在遠程檢測服務器的安全問題基礎上,增加了對客戶端安全問 題的分析,從而實現了對整個網絡環境的安全性檢測。
[0038] 在上述實施例的基礎上,所述依據所述客戶端報文識別所述客戶端的漏洞包括: 依據所述業務請求報文、所述應答報文和/或所述響應報文的特征字段識別所述客戶端的 漏洞;或者通過所述業務請求報文、所述應答報文和/或所述響應報文與預設交互報文、預 設報文序列或漏洞特征規則進行匹配識別所述客戶端的漏洞。
[0039] 本發明實施例可以通過上述反向掃描代理模塊23的任一種工作方式和任一種工 作模式相配合的方式獲取客戶端24發出的報文,并對該報文進行分析處理。依據所述客戶 端發出的報文識別所述客戶端的漏洞的執行主體可以是服務器22或漏洞掃描器21,具體 的識別方法包括:1)依據所述業務請求報文、所述應答報文和/或所述響應報文的特征字 段識別所述客戶端的漏洞;2)通過所述業務請求報文、所述應答報文和/或所述響應報文 與預設交互報文、預設報文序列或漏洞特征規則進行匹配識別所述客戶端的漏洞。
[0040] 方法1),若客戶端24發出的業務請求報文的User-Agent字段內容為:
[0041] Mozilla/5. 0 (Xll ;Ubuntu ;Linux x86_64 ;rv: 24. 0) Gecko/20 100 10 1 Firefox/24. 0 ;或
[0042] Mozilla/5. 0(Windows NT 6. 0 ;W0W64 ;rv:24.0)Gecko/20100101 Firefox/24. 0 ; 或
[0043] Opera/9. 80(Windows NT 6. 1 ;U ;es-ES)Presto/2. 9. 181Version/12. 00 ;
[0044] 則通過該字段可以分析出客戶端24所用瀏覽器的版本、瀏覽器的型號、客戶端24 的操作系統類型等信息,通過業界公知漏洞庫中的漏洞特征信息與該User-Agent字段中 分析出的相應信息進行匹配,判斷該客戶端24是否存在漏洞。
[0045] 在現有的漏洞庫中,基于獲取不同信息所關聯漏洞的緊密程度,漏洞數量的多少, 作為優先級順序,做數據檢索,比如先通過瀏覽器的版本檢索,判斷客戶端可能存在如下的 漏洞:
[0046] Mozilla Firefox/Thunderbird/SeaMonkey 瀏覽器引擎內存安全漏洞 (CVE-2013-5609);
[0047] Mozilla Firefox/Thunderbird/SeaMonkey 瀏覽器引擎內存安全漏洞 (CVE-2013-5610);
[0048] 再通過0S版本檢索,客戶端可能存在如下漏洞:
[0049] windows 內核信息泄露漏洞(MS13-048)、Microsoft windows LPC 和 LPC 端口拒 絕服務漏洞。
[0050] 另外,本發明實施例不限制檢測User-Agent字段,還可以檢測客戶端24發出的報 文的其他字段。
[0051] 方法2)對于已知的漏洞類型,可預先存儲其特定請求的典型消息格式及交互序 列,例如針對Opera Web瀏覽器多個畸形HTML解析拒絕服務漏洞,反向掃描代理模塊可以 預先保存該漏洞的典型消息或序列,具體為畸形請求報文,將獲取的客戶端報文與該畸形 請求報文進行匹配;或者反向掃描代理模塊通過反向掃描方式向客戶端發送構造測試報 文,檢測客戶端是否會返回該畸形請求報文。為保障準確率,多次匹配命中后即可判定客戶 端瀏覽器具有此類漏洞。不同漏洞的典型消息或序列特征可具體定義。
[0052] 本發明實施例提供了兩種用于識別客戶端漏洞的方式。
[0053] 圖3是本發明實施例提供的獲得網絡缺陷信息方法流程圖。在上述實施例的基礎 上,還包括:所述反向掃描代理模塊或所述漏洞掃描器獲取所述服務器的漏洞;所述反向 掃描代理模塊或所述漏洞掃描器依據所述服務器的漏洞和所述客戶端的漏洞獲得網絡缺 陷信息。
[0054] 所述網絡缺陷信息包括網絡缺陷密度和網絡安全等級;所述依據所述服務器的漏 洞和所述客戶端的漏洞獲得網絡缺陷信息包括如下步驟:
[0055] 步驟S301、依據至少一種第一劃分規則對所述服務器的漏洞和所述客戶端的漏洞 進行劃分獲得網絡缺陷類型集合,所述網絡缺陷類型集合至少包括一類網絡缺陷;
[0056] 所述依據至少一種第一劃分規則對所述服務器的漏洞和所述客戶端的漏洞 進行劃分獲得網絡缺陷類型集合包括:依據所述至少一種第一劃分規則中的第m種第 一劃分規則將所述服務器的漏洞和所述客戶端的漏洞劃分為由n類網絡缺陷組成的
【權利要求】
1. 一種漏洞掃描方法,其特征在于,包括: 反向掃描代理模塊獲取客戶端報文; 所述反向掃描代理模塊將所述客戶端報文發送給漏洞掃描器,以使所述漏洞掃描器依 據所述客戶端報文識別所述客戶端的漏洞,或者所述反向掃描代理模塊依據所述客戶端報 文識別所述客戶端的漏洞,并將所述客戶端的漏洞發送給漏洞掃描器; 所述反向掃描代理模塊接收所述漏洞掃描器的控制指令,并依據所述控制指令改變工 作方式和/或工作模式,以及更新漏洞規則。
2. 根據權利要求1所述的方法,其特征在于,所述反向掃描代理模塊安裝在服務器上; 所述反向掃描代理模塊獲取客戶端報文包括: 所述反向掃描代理模塊獲取所述客戶端與所述服務器交互過程中所述客戶端發出的 業務請求報文和應答報文;或者 所述反向掃描代理模塊向所述客戶端發送構造測試報文,獲取所述客戶端對所述構造 測試報文的響應報文。
3. 根據權利要求2所述的方法,其特征在于,所述依據所述客戶端報文識別所述客戶 端的漏洞包括: 依據所述業務請求報文、所述應答報文和/或所述響應報文的特征字段識別所述客戶 端的漏洞;或者 通過所述業務請求報文、所述應答報文和/或所述響應報文與預設交互報文、預設報 文序列或漏洞特征規則進行匹配識別所述客戶端的漏洞。
4. 根據權利要求1-3任一項所述的方法,其特征在于,還包括: 所述反向掃描代理模塊或所述漏洞掃描器獲取所述服務器的漏洞; 所述反向掃描代理模塊或所述漏洞掃描器依據所述服務器的漏洞和所述客戶端的漏 洞獲得網絡缺陷信息。
5. 根據權利要求4所述的方法,其特征在于,所述網絡缺陷信息包括網絡缺陷密度和 網絡安全等級; 所述依據所述服務器的漏洞和所述客戶端的漏洞獲得網絡缺陷信息包括: 依據至少一種第一劃分規則對所述服務器的漏洞和所述客戶端的漏洞進行劃分獲得 網絡缺陷類型集合,所述網絡缺陷類型集合至少包括一類網絡缺陷; 依據至少一種第二劃分規則對所述服務器和所述客戶端構成的網絡區域進行劃分獲 得網絡子區域集合,所述網絡子區域集合至少包括一個網絡子區域; 依據所述網絡缺陷類型集合和所述網絡子區域集合獲得網絡缺陷密度; 依據所述網絡缺陷密度獲得網絡安全等級。
6. 根據權利要求5所述的方法,其特征在于,所述依據至少一種第一劃分規則對所述 服務器的漏洞和所述客戶端的漏洞進行劃分獲得網絡缺陷類型集合包括: 依據所述至少一種第一劃分規則中的第m種第一劃分規則將所述服務器的漏洞和所 述客戶端的漏洞劃分為由n類網絡缺陷組成的第一集合K1 , m彡l,n彡1,f表示依據所述第m種第一劃分規則劃分所述漏洞后獲得的第 i+1類網絡缺陷,對于i、je[〇,n-l]且i乒j,滿足4' <矣0,<門<=0, u^ru^mu...uci=Ki; 確定所述第一劃分規則中將所述漏洞劃分為小于或者等于N類網絡缺陷的第一目標 劃分規則,由所述第一目標劃分規則劃分所述漏洞獲得的第一集合構成所述網絡缺陷類型 集合4 ,其中,F(n)是n的映射函數,表示將所述漏洞劃分為n彡N類 網絡缺陷的第一目標劃分規則,U=式' 表示將所述漏洞劃分為n彡N類網絡缺陷的 集合。
7. 根據權利要求5所述的方法,其特征在于,所述依據至少一種第二劃分規則對所述 服務器和所述客戶端構成的網絡區域進行劃分獲得網絡子區域集合包括: 依據所述至少一種第二劃分規則中的第t種第二劃分規則將所述網絡區域劃分為第 二集合= A.....P\.....P.U},t彡1,S彡1,p】表示依據所述第t種第二劃分規則 劃分所述網絡區域后獲得的第s+1個網絡子區域,對于i、je[0,S-1]且i乒j,滿足廠;'、 矣0,A門4=0,4Up:UplU...UK-i= // ; 由T個所述第二劃分規則分別對所述網絡區域劃分后獲得的第二集合構成所述網絡 子區域集合P=U^1U=p(,G(t)表示依據所述第t種第二劃分規則劃分所述網絡區域后 獲得的所述網絡子區域的個數。
8. 根據權利要求6或7所述的方法,其特征在于,所述網絡缺陷密度包括網絡子區域內 網絡缺陷密度和網絡子區域內設備缺陷密度; 所述依據所述網絡缺陷類型集合和所述網絡子區域集合獲得網絡缺陷密度包括: 依據所述網絡缺陷類型集合Jp =Ul1UwwU=X和所述網絡子區域集合P= 獲得所述網絡子區域內網絡缺陷密度1^ = (f)),其中, Jp =Ul1Ur:F(",UL-W,P:ULU=A,%(V)用于在K范圍內篩選C, 用于計算)的數量; 依據所述網絡缺陷類型集合必=Ul1UywUGf和所述網絡子區域集合P=IX1U= />:獲得所述網絡子區域內設備缺陷密度C= C(^< (A)),其中, = &,,(¥)用于在C范圍內篩選< C%, (A))用于計算4 (A:)的數量。
9. 根據權利要求8所述的方法,其特征在于,所述網絡安全等級包括第一網絡安全等 級和第二網絡安全等級; 所述依據所述網絡缺陷密度獲得網絡安全等級包括: 依據所述網絡子區域內網絡缺陷密度<=+ = 獲得所述第一網絡安全等級
是常數。
11. 根據權利要求9或10所述的方法,其特征在于,所述網絡缺陷信息還包括網絡缺陷 密度分布和網絡安全等級分布,所述網絡缺陷密度分布包括所述網絡子區域內網絡缺陷 密度的分布函數和所述網絡子區域內設備缺陷密度的分布函數,所述網絡安全等級分布包 括所述第一網絡安全等級的分布和所述第二網絡安全等級的分布; 其中,所述網絡子區域內網絡缺陷密度的分布函數<~_所述網絡子區域 內設備缺陷密度的分布函數<,=;
12. -種反向掃描代理模塊,其特征在于,包括: 報文獲取模塊,用于獲取客戶端報文; 發送模塊,用于將所述客戶端報文發送給漏洞掃描器,以使所述漏洞掃描器依據所述 客戶端報文識別所述客戶端的漏洞,或者報文識別與發送模塊,用于依據所述客戶端報文 識別所述客戶端的漏洞,并將所述客戶端的漏洞發送給漏洞掃描器; 接收控制模塊,用于接收所述漏洞掃描器的控制指令,并依據所述控制指令改變工作 方式和/或工作模式,以及更新漏洞規則。
13. 根據權利要求12所述的反向掃描代理模塊,其特征在于,所述反向掃描代理模塊 安裝在服務器上; 所述報文獲取模塊具體用于獲取所述客戶端與所述服務器交互過程中所述客戶端發 出的業務請求報文和應答報文;或者 所述發送模塊還用于向所述客戶端發送構造測試報文;所述報文獲取模塊具體用于獲 取所述客戶端對所述構造測試報文的響應報文。
14. 根據權利要求13所述的反向掃描代理模塊,其特征在于,所述報文識別與發送模 塊具體用于依據所述業務請求報文、所述應答報文和/或所述響應報文的特征字段識別所 述客戶端的漏洞;或者通過所述業務請求報文、所述應答報文和/或所述響應報文與預設 交互報文、預設報文序列或漏洞特征規則進行匹配識別所述客戶端的漏洞。
15. 根據權利要求14所述的反向掃描代理模塊,其特征在于,所述報文獲取模塊還用 于獲取所述服務器的漏洞; 所述反向掃描代理模塊還包括第一網絡缺陷分析模塊,用于依據所述服務器的漏洞和 所述客戶端的漏洞獲得網絡缺陷信息。
16. -種漏洞掃描器,其特征在于,包括: 接收模塊,用于接收反向掃描代理模塊發送的客戶端報文;或者用于接收反向掃描代 理模塊發送的客戶端的漏洞; 報文識別模塊,用于依據所述客戶端報文識別所述客戶端的漏洞; 指令發送模塊,用于向所述反向掃描代理模塊發送控制指令,以使所述反向掃描代理 模塊依據所述控制指令改變工作方式和/或工作模式,以及更新漏洞規則。
17. 根據權利要求16所述的漏洞掃描器,其特征在于,所述報文識別模塊具體用于依 據所述業務請求報文、所述應答報文和/或所述響應報文的特征字段識別所述客戶端的漏 洞;或者通過所述業務請求報文、所述應答報文和/或所述響應報文與預設交互報文、預設 報文序列或漏洞特征規則進行匹配識別所述客戶端的漏洞。
18. 根據權利要求17所述的漏洞掃描器,其特征在于,所述接收模塊還用于獲取服務 器的漏洞; 所述漏洞掃描器還包括第二網絡缺陷分析模塊,用于依據所述服務器的漏洞和所述客 戶端的漏洞獲得網絡缺陷信息。
19. 一種漏洞掃描系統,其特征在于,包括如權利要求12-15任一項所述的反向掃描代 理模塊,以及如權利要求16-18任一項所述的漏洞掃描器。
【文檔編號】H04L29/06GK104506522SQ201410802136
【公開日】2015年4月8日 申請日期:2014年12月19日 優先權日:2014年12月19日
【發明者】李瀛 申請人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司