譚君+周旭+黃羽+李稟津

摘要：隨著新型漏洞和攻擊的不斷增長(zhǎng)，信息安全面臨嚴(yán)峻挑戰(zhàn)。在安全工作中，還在采用郵件、短信、通知等方式對(duì)下屬單位進(jìn)行漏洞和威脅情報(bào)通報(bào)，這對(duì)于信息系統(tǒng)安全防護(hù)是一個(gè)極大的安全隱患。漏洞評(píng)估驗(yàn)證分析技術(shù)及管理方法的引入，對(duì)于提升信息系統(tǒng)安全水平具有重要意義。

【關(guān)鍵詞】信息安全漏洞 遠(yuǎn)程漏洞評(píng)估 漏洞模型POC

開(kāi)展漏洞評(píng)估驗(yàn)證技術(shù)及管理方法的應(yīng)用研究，從漏洞追蹤、驗(yàn)證、預(yù)警、通報(bào)、響應(yīng)、復(fù)核等多個(gè)方而，研究威脅管理，實(shí)現(xiàn)漏洞全周期管理，實(shí)時(shí)跟蹤追溯各單位漏洞響應(yīng)情況，在信息安全工作范圍內(nèi)，形成有效的聯(lián)動(dòng)防御平臺(tái)。

1 國(guó)內(nèi)外發(fā)展現(xiàn)狀

隨著新型漏洞和攻擊的不斷增長(zhǎng)，信息安全而臨嚴(yán)峻挑戰(zhàn)。在信息安全工作中，還在采用郵件、短信、通知等方式對(duì)下屬單位進(jìn)行漏洞和威脅情報(bào)通報(bào)。但從近兩年信息安全形勢(shì)來(lái)看，各種漏洞頻發(fā)，通報(bào)各單位響應(yīng)時(shí)問(wèn)周期較長(zhǎng)，然而黑客利用漏洞的技術(shù)越來(lái)越成熟，時(shí)問(wèn)短攻擊快，利用通報(bào)過(guò)程中的時(shí)問(wèn)窗口進(jìn)行快速攻擊，可造成不可估量的損失。并且下屬單位由于技術(shù)力量薄弱等原因，不能及時(shí)、準(zhǔn)確地對(duì)漏洞進(jìn)行分析、驗(yàn)證和管理，導(dǎo)致黑客可以利用漏洞進(jìn)行攻擊等。這對(duì)于信息系統(tǒng)安全防護(hù)是一個(gè)極大的安全隱患。漏洞評(píng)估驗(yàn)證分析技術(shù)及管理方法的引入，對(duì)于提升信息系統(tǒng)安全水平具有重要意義。

2 漏洞評(píng)估驗(yàn)證模型

2.1 漏洞評(píng)估驗(yàn)證模型的設(shè)計(jì)思路

在設(shè)計(jì)漏洞評(píng)估驗(yàn)證模型之前，需要先了解安全漏洞的生命周期，一個(gè)典型的安全漏洞生命周期包括7個(gè)部分如圖1所示。

漏洞應(yīng)急是漏洞管理過(guò)程中各階段的工作內(nèi)容。在漏洞應(yīng)急中，POC（Proof ofConcept（為觀點(diǎn)提供證據(jù)））編寫(xiě)、分析驗(yàn)證、漏洞檢測(cè)尤為關(guān)鍵，而且以上三個(gè)階段的工作更是漏洞評(píng)估驗(yàn)證的關(guān)鍵，也是實(shí)現(xiàn)漏洞評(píng)估驗(yàn)證模型安全需求的主要工作內(nèi)容，如圖2所示。

這個(gè)過(guò)程f或者說(shuō)是在編寫(xiě)POC的時(shí)候）需要做到安全、有效和無(wú)害，盡可能或者避免掃描過(guò)程對(duì)目標(biāo)主機(jī)產(chǎn)生不可恢復(fù)的影響。

2.2 漏洞評(píng)估驗(yàn)證模型的設(shè)計(jì)

2.2.1 漏洞驗(yàn)證模型框架

如圖3所示，漏洞評(píng)估驗(yàn)證模型設(shè)計(jì)采用模塊化的理念，在基礎(chǔ)庫(kù)的基礎(chǔ)上，提供了一些核心框架功能的支持。實(shí)現(xiàn)評(píng)估驗(yàn)證功能的主體代碼則以模塊化方式組織，通過(guò)功能程序提供給測(cè)試者進(jìn)行使用。同時(shí)，為了滿足評(píng)估驗(yàn)證的不同功能需求，在功能模塊中支持對(duì)腳本庫(kù)（script）、工具庫(kù)（plugin）和資源庫(kù)（data）的增加、修改、調(diào)用，使功能模塊變成用戶的可控區(qū)域。

2.2.2 漏洞評(píng)估驗(yàn)證過(guò)程

2.2.2.1 驗(yàn)證流程

在漏洞評(píng)估驗(yàn)證模型的基礎(chǔ)上，設(shè)計(jì)出一個(gè)漏洞驗(yàn)證框架，通過(guò)框架只需要完成如下4步工作，即可完成漏洞評(píng)估驗(yàn)證。

（1）準(zhǔn)備一個(gè)并發(fā)框架；

（2）將數(shù)據(jù)放入到框架中；

（3）將處理數(shù)據(jù)的邏輯放到框架中；

（4）運(yùn)行，獲取處理結(jié)果。

在漏洞驗(yàn)證框架中完成評(píng)估驗(yàn)證工作時(shí)，驗(yàn)證流程如圖4所示。

驗(yàn)證時(shí)，通過(guò)驗(yàn)證命令，將流程中的每一個(gè)環(huán)節(jié)組織起來(lái)，編寫(xiě)一條驗(yàn)證命令，就可以完成漏洞評(píng)估驗(yàn)證工作。

2.2.2.2 并發(fā)處理

多線程，是指從軟件或者硬件上實(shí)現(xiàn)多個(gè)線程并發(fā)執(zhí)行的技術(shù)。使用多線程技術(shù)可以提高資源使用效率從而提高系統(tǒng)的效率。協(xié)程，與線程的搶占式調(diào)度不同，它是協(xié)作式調(diào)度。協(xié)程也是單線程，但是它能讓原來(lái)要使用異步+回調(diào)方式的代碼，用看似同步的方式寫(xiě)出來(lái)。

2.2.2.3 處理邏輯

在漏洞評(píng)估驗(yàn)證中，對(duì)于數(shù)據(jù)處理的邏輯，主要在于插件（POC）的加載以及結(jié)果驗(yàn)證兩方而：

（1）插件（POC）加載。因?yàn)閿?shù)據(jù)的獲取方式不同，處理數(shù)據(jù)的邏輯也不同，因此需要根據(jù)不同的數(shù)據(jù)加載不同的插件。

設(shè)計(jì)漏洞評(píng)估驗(yàn)證模型時(shí)，需要支持不同路徑的插件：

1.加載默認(rèn)插件：插件存放在腳本庫(kù)（script）中，通過(guò)“命令+插件名”，可加載script文件夾下的腳本；

2.加載任意路徑插件：插件存放在其他路徑下，通過(guò)“命令+/路徑/插件名”，可加載任意徑路下的腳本。

（2）結(jié)果判斷。結(jié)果判斷通常需要在POC中完成，在編寫(xiě)POC的結(jié)果判斷時(shí)：

1.在代碼中添加函數(shù)POC（）；

2.添加邏輯使驗(yàn)證成功（漏洞存在）時(shí)retum True，驗(yàn)證失敗時(shí)retum False；

3.針對(duì)一些復(fù)雜的需求，POCO函數(shù)可以使用多種返回值來(lái)控制驗(yàn)證狀態(tài)和輸出。

2.2.2.4 數(shù)據(jù)獲取

設(shè)計(jì)漏洞評(píng)估驗(yàn)證模型時(shí)，數(shù)據(jù)來(lái)源需要考慮以下幾方而：

（1）單一目標(biāo)。驗(yàn)證單一目標(biāo)時(shí)，可以在插件（POC）中定義需要驗(yàn)證目標(biāo)的url或者IP，驗(yàn)證時(shí)直接調(diào)用該插件即可完成對(duì)應(yīng)目標(biāo)的驗(yàn)證。

（2）文件列表。當(dāng)相同類型的目標(biāo)較多時(shí)，無(wú)需對(duì)POC進(jìn)行逐一更改，通過(guò)命令讀取目標(biāo)文件列表，完成批量驗(yàn)證工作。

（3）第三方引擎。評(píng)估驗(yàn)證程序擬支持主流空問(wèn)搜索引擎的API，通過(guò)簡(jiǎn)單的參數(shù)調(diào)用直接從搜索引擎中直接獲取目標(biāo)，并結(jié)合本地腳本進(jìn)行掃描。主要目的在于預(yù)留第三方掃描引擎接口。

3 總結(jié)分析

通過(guò)對(duì)漏洞評(píng)估驗(yàn)證模型的研究，開(kāi)展漏洞分析技術(shù)與漏洞驗(yàn)證框架研究，研究構(gòu)建了漏洞驗(yàn)證分析模型，并對(duì)己發(fā)現(xiàn)漏洞的細(xì)節(jié)進(jìn)行深入分析，提供了漏洞驗(yàn)證框架支持POC驗(yàn)證。為漏洞修補(bǔ)處理措施提供了依據(jù)，解決了政府不能及時(shí)、準(zhǔn)確地對(duì)漏洞進(jìn)行分析、驗(yàn)證的問(wèn)題。

參考文獻(xiàn)

[1]鄒湘河，漏洞檢測(cè)與風(fēng)險(xiǎn)評(píng)估技術(shù)研究[J].電子科技大學(xué)，2005.

[2]王建紅，基于網(wǎng)絡(luò)的安全評(píng)估技術(shù)研究與設(shè)計(jì)[J].中原工學(xué)院，2011.

[3]錢(qián)偉，網(wǎng)站評(píng)估滲透系統(tǒng)的研究與實(shí)現(xiàn)[J].復(fù)旦大學(xué)，2011.

[4]張鳳荔，馮波.基于關(guān)聯(lián)性的漏洞評(píng)估方法[J].電子科技大學(xué)，2014.

[5]馬馳，高嶺，孫騫，何林，高學(xué)玲，基于模糊理論的漏洞危害等級(jí)評(píng)估[J].西北大學(xué)， 2014.endprint