◆夏 凡 方 方 丁中濤 劉宇為 楊劍鋒 楊 雪

基于云安全的自動(dòng)化掃描修復(fù)漏洞研究

◆夏 凡 方 方通訊作者丁中濤 劉宇為 楊劍鋒 楊 雪

（成都理工大學(xué)信息科學(xué)與技術(shù)學(xué)院 四川 610000）

云安全作為新興網(wǎng)絡(luò)安全技術(shù)已經(jīng)進(jìn)入應(yīng)用與發(fā)展階段，更多政府、高校、企業(yè)將系統(tǒng)部署到云平臺(tái)，大量涉及國(guó)計(jì)民生、企業(yè)運(yùn)營(yíng)數(shù)據(jù)和用戶個(gè)人信息存儲(chǔ)在云上，隨之而來(lái)的是攻擊者不斷挖掘云平臺(tái)可能存在的安全漏洞。目前云平臺(tái)只能起到防御作用，而不能自動(dòng)修復(fù)漏洞且每天產(chǎn)生海量日志，需要大量的運(yùn)維人員分析產(chǎn)生的日志。因此基于云安全平臺(tái)體系提出一種更安全、更易于管理的自動(dòng)化掃描修復(fù)漏洞系統(tǒng)。結(jié)合漏洞自動(dòng)化掃描、自動(dòng)修復(fù)漏洞提高網(wǎng)站的安全性、阻擋防黑客攻擊，減輕運(yùn)維人員的工作量。

云安全；漏洞掃描；自動(dòng)化修復(fù)

云安全（Cloud Security）融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過(guò)網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常檢測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端[1]。本文從云安全自動(dòng)化掃描漏洞修復(fù)出發(fā)，分析云安全當(dāng)前所存在的安全問題，為提高云安全平臺(tái)的漏洞修復(fù)能力以及減少安全日志數(shù)量，進(jìn)一步保障網(wǎng)絡(luò)安全，提出一種云安全自動(dòng)化掃描修復(fù)漏洞的研究。

由于云平臺(tái)在企業(yè)、政府、高校數(shù)據(jù)管理、業(yè)務(wù)協(xié)調(diào)方面應(yīng)用較多，產(chǎn)生的安全問題也隨之增多。下面是云安全主要存在的問題[2]：

（1）云平臺(tái)面臨的安全風(fēng)險(xiǎn)

由于用戶和服務(wù)商發(fā)生了分離，數(shù)據(jù)的所有者和保管者分離，引發(fā)數(shù)據(jù)泄露。數(shù)據(jù)泄露是近年來(lái)持續(xù)發(fā)生的惡性安全事件。云安全作為新興技術(shù)，我國(guó)在云服務(wù)的安全制度方面尚不完善。

（2）海量攻擊日志

許多政府、企業(yè)使用了云防御等一系列安全產(chǎn)品。但目前國(guó)內(nèi)的云防御產(chǎn)品仍然存在一些問題，例如每天產(chǎn)生海量的攻擊日志，然而很多企業(yè)是沒有足夠的安全人員、甚至沒有專業(yè)的安全人員去分析攻擊日志。分析海量日志不僅是人力財(cái)力的消耗，很多政府、企業(yè)是無(wú)力承擔(dān)的。

（3）漏洞發(fā)現(xiàn)不及時(shí)

國(guó)內(nèi)市面上的云防御產(chǎn)品都只是防護(hù)一些基本的SQL、XSS、惡意掃描、命令執(zhí)行、代碼執(zhí)行、webshell等。隨著技術(shù)的提升，出現(xiàn)了很多的1day漏洞、甚至是0day漏洞。然而由于漏洞發(fā)現(xiàn)不及時(shí)，造成了信息泄露、挖礦、病毒感染等。

（4）漏洞修復(fù)不及時(shí)

發(fā)現(xiàn)了漏洞，單由于安全運(yùn)維人員不足或者安全運(yùn)維人員忘記修復(fù)等一些因素，導(dǎo)致漏洞沒有修復(fù)而產(chǎn)生安全事件。

1 自動(dòng)化修復(fù)漏洞框架介紹

1.1 自動(dòng)化修復(fù)漏洞平臺(tái)需求分析

近年來(lái)層出不窮的網(wǎng)絡(luò)安全問題衍生了云防御技術(shù)，與傳統(tǒng)的WAF對(duì)比，云防御占據(jù)了許多優(yōu)勢(shì)[3]。但云防御只是對(duì)外部網(wǎng)絡(luò)的防御，沒有解決內(nèi)部系統(tǒng)存在的漏洞等一系列問題。為了應(yīng)對(duì)云平臺(tái)存在的安全問題，云安全的自動(dòng)化修復(fù)漏洞平臺(tái)應(yīng)該具有以下的功能：

（1）針對(duì)云平臺(tái)構(gòu)建系統(tǒng)、網(wǎng)絡(luò)安全漏洞庫(kù)；

（2）能對(duì)被防御網(wǎng)站進(jìn)行漏洞的自動(dòng)掃描；

（3）對(duì)于自動(dòng)掃描出的漏洞進(jìn)行修復(fù)；

（4）對(duì)外部產(chǎn)生的安全情報(bào)及時(shí)更新；

（5）網(wǎng)站性能監(jiān)控。

1.2 自動(dòng)化修復(fù)漏洞總體框架

基于云安全平臺(tái)的自動(dòng)化修復(fù)漏洞的設(shè)計(jì)思路是提供一個(gè)統(tǒng)一的安全平臺(tái)，在云安全平臺(tái)上增加一個(gè)自動(dòng)掃描和自動(dòng)修復(fù)模塊，有針對(duì)性地對(duì)該系統(tǒng)進(jìn)行漏洞掃描、漏洞修復(fù)等防護(hù)工作[4-5]。該系統(tǒng)如圖1所示。

圖1 云安全的自動(dòng)化修復(fù)漏洞框架

（1）自動(dòng)掃描漏洞

漏洞自動(dòng)化識(shí)別主要是借助自動(dòng)化掃描系統(tǒng)從系統(tǒng)層和應(yīng)用層兩個(gè)層面，對(duì)目標(biāo)系統(tǒng)發(fā)起的漏洞檢測(cè)工作[6]。系統(tǒng)層面的漏洞檢測(cè)主要從溢出漏洞、口令破解、信息泄露幾個(gè)方面進(jìn)行。應(yīng)用層的漏洞檢測(cè)主要包含信息泄露、配置錯(cuò)誤、認(rèn)證破解、攻擊注入、跨站腳本、跨站請(qǐng)求偽造、錯(cuò)誤的重定向等幾個(gè)方面。

（2）自動(dòng)化修復(fù)漏洞

對(duì)云平臺(tái)自動(dòng)掃描出的漏洞根據(jù)靜態(tài)分析、動(dòng)態(tài)分析、混合分析[7]進(jìn)行分類，根據(jù)其不同的分類并結(jié)合中國(guó)國(guó)家漏洞庫(kù)、國(guó)家信息安全漏洞共享平臺(tái)、國(guó)家安全漏洞庫(kù)（CVE）提供的POC驗(yàn)證漏洞，并根據(jù)修復(fù)建議進(jìn)行自動(dòng)化修復(fù)。

每天實(shí)時(shí)更新安全快訊，能自行修復(fù)的漏洞，自行修復(fù)，不能修復(fù)的漏洞每天提醒一下安全運(yùn)維人員，修復(fù)此漏洞。

2 方案實(shí)現(xiàn)

該方案主要是在云平臺(tái)上添加了一個(gè)自動(dòng)化掃描、自動(dòng)化漏洞修復(fù)的功能，圖2為內(nèi)部流程框架圖。

圖2 自動(dòng)掃描與修復(fù)流程圖

Web安全掃描一般分為主動(dòng)掃描和被動(dòng)掃描，自動(dòng)化掃描一般選擇被動(dòng)掃描[4]。被動(dòng)掃描的原理是設(shè)置掃描工具為一個(gè)Proxy Server，功能測(cè)試通過(guò)這個(gè)代理服務(wù)訪問系統(tǒng)，掃描工具可以截獲所有的交互數(shù)據(jù)并進(jìn)行分析，通過(guò)與已知安全問題進(jìn)行模式匹配，從而發(fā)現(xiàn)系統(tǒng)中可能的安全缺陷。

現(xiàn)在市面上自動(dòng)掃描工具很多，大部分基于TCP協(xié)議、ICMP協(xié)議以及網(wǎng)絡(luò)爬蟲進(jìn)行掃描發(fā)現(xiàn)、驗(yàn)證漏洞。該方案的自動(dòng)化掃描工具由注入工具、安全掃描、暴力破解、滲透工具、提權(quán)工具等組成，全方位發(fā)現(xiàn)并驗(yàn)證漏洞。雖然依靠自動(dòng)化掃描器并不能發(fā)現(xiàn)所有的安全問題，但是它可以在較小投入的情況下持續(xù)發(fā)現(xiàn)大部分系統(tǒng)的基礎(chǔ)安全問題。

自動(dòng)化修復(fù)漏洞基于運(yùn)行時(shí)狀態(tài)、檢測(cè)補(bǔ)丁并整合信息安全庫(kù)收集的修復(fù)方法和最新安全快訊，對(duì)自動(dòng)掃描的安全缺陷進(jìn)行修復(fù)以及防范互聯(lián)網(wǎng)最新病毒、漏洞等安全問題[8]。

例如，通過(guò)感應(yīng)那些異常行為，可以發(fā)現(xiàn)從未出現(xiàn)過(guò)的病毒。然后可以停止病毒運(yùn)行，修復(fù)系統(tǒng)漏洞。該方案的自動(dòng)化修復(fù)技術(shù)主要根據(jù)安全信息庫(kù)收集的修復(fù)方法進(jìn)行漏洞修復(fù)，以及達(dá)到自動(dòng)化升級(jí)系統(tǒng)、自動(dòng)打補(bǔ)丁，當(dāng)發(fā)現(xiàn)大面積的病毒時(shí)及時(shí)根據(jù)修復(fù)建議對(duì)系統(tǒng)進(jìn)行檢測(cè)、防范、修復(fù)。

安全漏洞信息庫(kù)包含國(guó)家漏洞信息庫(kù)、安全快訊、seebug的poc庫(kù)等。

3 結(jié)論

本文提出一種基于云安全平臺(tái)的自動(dòng)化漏洞修復(fù)研究，該方案結(jié)合自動(dòng)掃描、安全快訊、自動(dòng)修復(fù)漏洞框架，對(duì)內(nèi)部網(wǎng)站系統(tǒng)定時(shí)進(jìn)行自動(dòng)化掃描，對(duì)自動(dòng)掃描出的漏洞結(jié)合國(guó)家安全庫(kù)等進(jìn)行漏洞修復(fù)。該方案有效地保證了網(wǎng)站的系統(tǒng)安全并降低了網(wǎng)絡(luò)運(yùn)維人員的工作量。

[1]王勇，徐衍龍，劉強(qiáng).云計(jì)算安全模型與架構(gòu)研究[J].信息安全研究，2018.

[2]周靖哲,陳長(zhǎng)松.云計(jì)算架構(gòu)的網(wǎng)絡(luò)信息安全對(duì)策分析[J].信息網(wǎng)絡(luò)安全，2017(11).

[3]葉子維，郭淵博，琚安康.動(dòng)靜態(tài)特征結(jié)合的漏洞風(fēng)險(xiǎn)評(píng)估及緩解方法[J].計(jì)算機(jī)應(yīng)用研究，2018.

[4]李靜力,面向高危風(fēng)險(xiǎn)漏洞修復(fù)行為的系統(tǒng)研究[J].自動(dòng)化技術(shù)與應(yīng)用，2017.

[5]Wiik J, Gonzalez JJ,Lipson H F, et al. Dynamics of vulnerability-modeling the life cycle of software vulnerabilities [C] Proc of the 22th International System Dynamics Conference. 2004.

[6]邢斌,高嶺,孫騫,楊威.一種自動(dòng)化的滲透測(cè)試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2012.

[7]盧凱，朱廣宇，王紹杰.工業(yè)控制系統(tǒng)信息安全測(cè)試平臺(tái)研究[J].信息通信技術(shù)，2018.

[8]李浩杰，裘國(guó)永.基于自動(dòng)化滲透測(cè)試的分析[J].計(jì)算機(jī)技術(shù)與應(yīng)用，2015(12).