專利名稱:系統(tǒng)漏洞掃描方法及設備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡安全技木���,尤其涉及一種系統(tǒng)漏洞掃描方法及設備��。
背景技術(shù):
毎年都有數(shù)以千計的網(wǎng)絡安全漏洞被發(fā)現(xiàn)和公布���,加上攻擊者手段的不斷變化��,網(wǎng)絡安全狀況也在隨著安全漏洞的增加變得日益嚴峻。事實證明�,99%的攻擊事件都利用了未修補的漏洞,使得許多已經(jīng)部署了防火墻���、入侵檢測系統(tǒng)和防病毒軟件的企業(yè)仍然飽受漏洞攻擊之苦����,蒙受巨大的經(jīng)濟損失?���,F(xiàn)有技術(shù)中采用遠程安全掃描器來發(fā)現(xiàn)計算機系統(tǒng)中的網(wǎng)絡安全漏洞。遠程安全掃描器中包含與預設應用服務中眾多漏洞相對應的眾多插件��,插件的個數(shù)等于漏洞的個 數(shù)����。在掃描本地的計算機系統(tǒng)時,遠程安全掃描器調(diào)用與計算機系統(tǒng)中預設應用服務的漏洞相對應的插件����,通過每個插件各自定義的方式,判斷遠程計算機對應的服務是否存在漏洞���。由于現(xiàn)有技術(shù)中的遠程安全掃描器中插件的個數(shù)隨著漏洞的增長而不斷增長���,因此遠程安全掃描器在掃描計算機系統(tǒng)時需要加載的插件數(shù)目是不收斂的����,當插件數(shù)目到達一定程度時����,掃描器引擎需要加載過多的插件,因此會加重掃描器的內(nèi)存負載��,降低漏洞掃描速度�。
發(fā)明內(nèi)容
針對傳統(tǒng)技術(shù)的上述缺陷,本發(fā)明實施例提供一種系統(tǒng)漏洞掃描方法及設備���。本發(fā)明實施例提供一種系統(tǒng)漏洞掃描方法��,包括獲取服務識別信息���;加載XML解析插件,通過所述XML解析插件根據(jù)預設應用服務的標識信息����,調(diào)用并解析XML文件中包含的所述預設應用服務的漏洞判斷規(guī)則;根據(jù)解析得到的所述漏洞判斷規(guī)則以及所述服務識別信息,判斷所述服務識別信息是否滿足所述漏洞判斷規(guī)則�����;若滿足所述漏洞判斷規(guī)則�,則報告所述預設應用服務中存在系統(tǒng)漏洞�。本發(fā)明實施例提供一種系統(tǒng)漏洞掃描設備,包括信息獲取模塊�����,用于獲取服務識別信息����;解析模塊,用于加載XML解析插件�����,通過所述XML解析插件根據(jù)預設應用服務的標識信息�����,調(diào)用并解析XML文件中包含的所述預設應用服務的漏洞判斷規(guī)則�����;判斷模塊,用于根據(jù)解析得到的所述漏洞判斷規(guī)則以及所述服務識別信息���,判斷所述服務識別信息是否滿足所述漏洞判斷規(guī)則����;報告模塊�,用于若滿足所述漏洞判斷規(guī)則,則報告所述預設應用服務中存在系統(tǒng)漏洞�。本發(fā)明實施例提供的方法和設備,通過加載XML解析插件��,XML解析插件對包含有漏洞判斷規(guī)則的XML文件進行解析���,該XML文件中集合了預設應用服務所有漏洞的漏洞判斷規(guī)則��,因此解析該XML文件獲取預設應用服務所有漏洞的漏洞判斷規(guī)則后��,根據(jù)漏洞判斷規(guī)則對系統(tǒng)漏洞進行掃描���,即可掃描得到預設應用服務中存在的系統(tǒng)漏洞,大大減輕了掃描引擎加載插件的負擔���,提高了掃描速度���。
圖I為本發(fā)明系統(tǒng)漏洞掃描方法第一實施例流程圖�����;圖2為本發(fā)明系統(tǒng)漏洞掃描方法第二實施例流程圖;圖3為本發(fā)明系統(tǒng)漏洞掃描方法第三實施例流程圖����;圖4為本發(fā)明系統(tǒng)漏洞掃描方法第四實施例流程圖;
圖5為本發(fā)明系統(tǒng)漏洞掃描方法第五實施例流程圖����;圖6為本發(fā)明系統(tǒng)漏洞掃描設備第一實施例結(jié)構(gòu)示意圖;圖7為本發(fā)明系統(tǒng)漏洞掃描設備第二實施例結(jié)構(gòu)示意圖�����;圖8為系統(tǒng)漏洞掃描設備中四元組判斷単元的結(jié)構(gòu)示意圖��;圖9為本發(fā)明系統(tǒng)漏洞掃描設備第三實施例結(jié)構(gòu)示意圖�。
具體實施例方式圖I為本發(fā)明系統(tǒng)漏洞掃描方法第一實施例流程圖,如圖I所示��,本發(fā)明實施例所提供的漏洞掃描方法由網(wǎng)絡側(cè)的遠程安全掃描器中的系統(tǒng)漏洞掃描裝置來執(zhí)行,對被掃目標主機中的應用服務是否具備漏洞進行掃描��。系統(tǒng)漏洞掃描裝置可以采用軟件和/或硬件的形式來實現(xiàn)��,該方法包括步驟S102���,遠程安全掃描器獲取服務識別信息����;遠程安全掃描器向目標主機發(fā)送獲取服務識別信息的請求信息�,目標主機根據(jù)請求信息返回相應的服務識別信息。服務識別信息含有能夠唯一標識目標主機中應用服務的信息����,還含有漏洞判斷規(guī)則判斷該應用服務中是否存在系統(tǒng)漏洞所需要的信息。例如�,服務識別信息包含目標主機的應用服務的服務名稱、版本號等���,目標主機可以是目標服務器����,也可以是目標客戶端�。步驟S104�,遠程安全掃描器加載XML解析插件�,通過所述XML解析插件根據(jù)預設應用服務的標識信息,調(diào)用并解析XML文件中包含的所述預設應用服務的漏洞判斷規(guī)則��;XML解析插件用于調(diào)用相應的函數(shù)庫��,解析XML文件的接ロ�,獲取XML文件中所包含的文件信息。目標主機中含有多類應用服務��,如郵件應用服務��,遠程登錄應用服務�����、萬維網(wǎng)應用服務等��。預設應用服務是指用戶在掃描時�,選擇的目標主機中需要被掃描的應用服務�。預設應用服務的標識信息是指能夠唯一標識該應用服務的信息,如服務名稱�、月艮務序列號等。每類應用服務對應一個相應的XML文件��,XML文件中記錄了該類應用服務中所有漏洞的漏洞判斷規(guī)則。漏洞判斷規(guī)則是指判定該應用服務中存在漏洞所需要滿足的條件�。遠程安全掃描器加載XML解析插件,XML解析插件根據(jù)用戶選擇的預設應用服務的標識信息����,調(diào)用與預設應用服務相對應的XML文件,該XML文件中包含預設應用服務中所有漏洞的漏洞判斷規(guī)則����。XML解析插件調(diào)用相應的函數(shù)庫,通過解析XML文件的接ロ�,獲得該XML文件中的漏洞判斷規(guī)則。步驟S106�����,根據(jù)解析得到的所述漏洞判斷規(guī)則以及所述服務識別信息��,判斷所述服務識別信息是否滿足所述漏洞判斷規(guī)則�;遠程安全掃描器根據(jù)解析預設應用服務所對應的XML文件所獲得的漏洞判斷規(guī)貝1J,判斷目標主機返回的服務識別信息是否符合該漏洞判斷規(guī)則�����,例如����,判斷服務識別信息中的版本號是否落入了漏洞判斷規(guī)則中的漏洞版本號區(qū)間���。步驟S108,若滿足所述漏洞判斷規(guī)則��,則報告所述預設應用服務中存在系統(tǒng)漏洞���。若服務識別信息滿足預設應用服務的漏洞判斷規(guī)則����,則說明該預設應用服務中存 在系統(tǒng)漏洞�。上報該系統(tǒng)漏洞的信息至遠程安全掃描器的引擎,遠程安全掃描器輸出該系統(tǒng)漏洞的信息至顯示界面���,系統(tǒng)漏洞的信息包括該系統(tǒng)漏洞的服務名稱,版本號等信息�����。本實施例的技術(shù)方案中���,遠程安全掃描器通過獲取目標主機的服務識別信息��,カロ載XML解析插件����,解析用戶需要掃描的預設應用服務所對應的XML文件,得到該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則��,判斷目標主機的服務識別信息是否滿足漏洞判斷規(guī)則�����,若滿足則說明目標主機中存在系統(tǒng)漏洞�。實現(xiàn)了遠程安全掃描器只加載ー個XML解析插件來分析ー個XML文件,獲取該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則����,即可根據(jù)該漏洞判斷規(guī)則來掃描目標主機判斷目標主機的預設應用服務中是否存在系統(tǒng)漏洞,因此遠程安全掃描器無需加載大量的漏洞插件即可掃描系統(tǒng)漏洞����,大大減輕了掃描引擎的負擔,加快了掃描速度����。圖2為本發(fā)明系統(tǒng)漏洞掃描方法第二實施例流程圖,如圖2所示,本實施例中的目標主機為服務器�����,具體適用于遠程安全掃描器掃描目標服務器中系統(tǒng)漏洞的情況����。該方法包括步驟S202,遠程安全掃描器向目標服務器發(fā)送服務識別請求���,所述服務識別請求中攜帯有需要掃描的預設應用服務的標識信息���,并接收所述目標服務器返回的與所述預設應用服務對應的服務識別信息;遠程安全掃描器在掃描目標主機時��,用戶可以選擇需要被掃描的預設應用服務�,遠程安全掃描器通過不同的端ロ向目標服務器發(fā)送服務識別請求,請求獲取目標服務器中預設應用服務的服務識別信息��。例如�����,遠程安全掃描器通過80端ロ向目標服務器發(fā)送web服務的服務識別請求��,請求獲取目標服務器中web服務的服務識別信息���。目標服務器中含有多類應用服務�����,按照類型可以分為萬維網(wǎng)WWW服務���,網(wǎng)頁web服務、文件傳輸協(xié)議ftp服務,數(shù)據(jù)庫database服務,簡單郵件傳輸協(xié)議smtp服務,消息訪問協(xié)議imap服務�����,第三版郵局通訊協(xié)議pop3服務�,遠程登錄telnet服務,網(wǎng)絡新聞傳輸協(xié)議nntp服務等��。預設應用服務為用戶選擇的目標服務器中需要被掃描的應用服務�。服務識別請求中攜帯有能夠唯一標識該預設應用服務的標識信息,例如應用服務的服務名稱或序列號��。遠程安全掃描器接收目標服務器根據(jù)預設應用服務的標識信息返回的服務識別信息�。服務識別信息中包含能夠唯一標識目標主機中預設應用服務的信息,同時還含有漏洞判斷規(guī)則判斷該預設應用服務中是否存在系統(tǒng)漏洞時所需要的信息�����,例如服務名稱、版本號等�。
步驟S204,遠程安全掃描器加載XML解析插件�,通過所述XML解析插件根據(jù)預設應用服務的標識信息,調(diào)用并解析XML文件���,其中��,所述XML文件包含所述預設應用服務的漏洞判斷規(guī)則�;遠程安全掃描器加載XML解析插件�,XML解析插件根據(jù)預設應用服務的標識信息來調(diào)用相應的XML文件,該XML文件中包含了預設應用服務中所有漏洞的漏洞判斷規(guī)則����。XML解析插件解析XML文件的接ロ,獲取XML文件中的漏洞判斷規(guī)則���。步驟S206�,遠程安全掃描器根據(jù)所述服務識別信息生成應用服務四元組信息��,所述應用服務四元組信息包含端口號��、協(xié)議類型�����、服務名稱以及版本號���;遠程安全掃描器將目標服務器返回的服務識別信息存儲于信息共享庫中��,該信息共享庫用于存儲目標服務器各類應用服務的信息����。遠程安全掃描器根據(jù)信息共享庫中的服務識別信息�,生成該預設應用服務的應用服務四元組信息,其中�����,應用服務四元組信息包括了預設應用服務的端口號��、協(xié)議類型�����、服務名稱以及版本號��。端ロ號是指服務器中的套接字應用程序接ロ(Socket接ロ),在套接字應用程序接ロ技術(shù)中���,服務器采用不同的端ロ來提供不同的服務���,例如TCP/IP協(xié)議規(guī)定Web服務采用80號端ロ,F(xiàn)TP服務采用21號端ロ�,郵件服務采用25號端ロ。協(xié)議類型是指不同的服務所采用的通信協(xié)議�,如web服務使用HTTP協(xié)議。步驟S208�����,遠程安全掃描器根據(jù)解析得到的所述漏洞判斷規(guī)則以及應用服務四元組信息��,判斷應用服務四元組信息是否滿足所述漏洞判斷規(guī)則����;步驟S210,遠程安全掃描器若滿足所述漏洞判斷規(guī)則���,則報告所述預設應用服務中存在系統(tǒng)漏洞�。若應用服務四元組信息滿足漏洞判斷規(guī)則�,則說明預設應用服務中存在系統(tǒng)漏洞���,上報該漏洞的漏洞信息至遠程安全掃描器的引擎,遠程安全掃描器輸出該漏洞信息至顯示界面�。本實施例的技術(shù)方案中���,遠程安全掃描器通過獲取目標服務器的服務識別信息����,加載XML解析插件��,解析用戶需要掃描的預設應用服務所對應的XML文件����,得到該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則,判斷目標服務器的服務識別信息是否滿足漏洞判斷規(guī)則��,若滿足則說明目標服務器中存在系統(tǒng)漏洞��。實現(xiàn)了遠程安全掃描器只加載ー個XML解析插件來分析ー個XML文件��,獲取該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則��,即可根據(jù)該漏洞判斷規(guī)則來掃描目標服務器判斷目標服務器的預設應用服務中是否存在系統(tǒng)漏洞�,因此遠程安全掃描器無需加載大量的漏洞插件即可掃描系統(tǒng)漏洞��,大大減輕了掃描引擎的負擔�����,加快了掃描速度�。圖3為本發(fā)明系統(tǒng)漏洞掃描方法第三實施例流程圖��,本實施例基于圖2所示實施例實現(xiàn)��,該方法包括步驟S302���,遠程安全掃描器向目標服務器發(fā)送服務識別請求��,所述服務識別請求中攜帯有需要掃描的預設應用服務的標識信息�,并接收所述目標服務器返回的與所述預設應用服務對應的服務識別信息�;步驟S304,遠程安全掃描器加載XML解析插件�,通過所述XML解析插件根據(jù)預設應用服務的標識信息,調(diào)用并解析XML文件���,其中�����,所述XML文件包含所述預設應用服務的漏洞判斷規(guī)則��,所述漏洞判斷規(guī)則包括所述預設應用服務的漏洞服務名稱以及漏洞版本號區(qū)間�;步驟S306,根據(jù)所述服務識別信息生成應用服務四元組信息����,所述應用服務四元組信息包含端口號��、協(xié)議類型����、服務名稱以及版本號;步驟S302��、S304��、S306的處理流程參見圖2中實施例��,此處不再贅述�。步驟S308,根據(jù)述漏洞判斷規(guī)則的多個漏洞服務名稱��,與應用服務四元組信息中的服務名稱進行正則匹配��;通過正則表達式的方式,根據(jù)從XML文件中解析得到的漏洞判斷規(guī)則的漏洞服務名稱�����,去與應用服務四元組信息中的服務名稱進行正則匹配���,若匹配成功則進入步驟S310�,若服務名稱匹配不成功�,說明目標服務器的預設應用服務不存在系統(tǒng)漏洞,結(jié)束本流程�����。步驟S310��,若服務名稱匹配成功����,則判斷所述應用服務四元組信息中的版本號是否落入所述漏洞判斷規(guī)則中的漏洞版本號區(qū)間;應用服務四元組信息中的服務名稱與漏洞服務名稱匹配相同�,判斷該服務名稱對應的版本號是否落入到漏洞服務名稱對應的漏洞版本號區(qū)間之內(nèi),若是則說明應用服務四元組信息滿足漏洞判斷規(guī)則���,進入步驟S312�����。步驟S312�����,滿足所述漏洞判斷規(guī)則����,則報告所述預設應用服務中存在系統(tǒng)漏洞。上報系統(tǒng)漏洞的信息至遠程安全掃描器引擎����,遠程安全掃描器將系統(tǒng)漏洞的信息輸出至顯不界面�����。具體地��,以用戶選擇web服務作為預設應用服務掃描為例向目標服務器的80端ロ發(fā)送超文本傳輸協(xié)議獲取HTTP GET請求(即服務識別請求)����,HTTP GET請求中攜帯的預設應用服務名稱為web服務,目標服務器響應HTTP GET請求,并在回應的數(shù)據(jù)包(即服務識別信息)中包含了 web服務的版本信息�,如服務名稱為APACHE,版本號為2. I�����,將該服務識別信息保存在信息共享數(shù)據(jù)庫中�����。XML解析插件根據(jù)預設應用服務的名稱(web服務)�����,調(diào)用對應的XML文件���,文件名稱為web. xml ο在web. xml中包含了 web服務的多個漏洞的漏洞判斷規(guī)則��。其中web服務的A漏洞判斷規(guī)則為appver name= “APACHE”�����,ver= “2· 0, 2. I”,其中name為漏洞服務名稱��,能夠唯一標識該應用服務�;ver為漏洞版本號范圍。根據(jù)信息共享數(shù)據(jù)庫中保存web服務的服務識別信息����,生成的web服務四元組信息端口號為80,協(xié)議類型為HTTP�,服務名稱為APACHE,版本號為2. I���。根據(jù)web. xml中漏洞判斷規(guī)則的多個漏洞服務名稱�����,去與web服務四元組信息中的服務名稱進行正則匹配�����,web服務A漏洞判斷規(guī)則的漏洞服務名稱為APACHE,與web服務四元組信息中服務名稱相同��,即匹配成功���。然后判斷web服務四元組信息中服務名稱為APACHE的版本號2. I是否落入到漏洞判斷規(guī)則中A漏洞判斷規(guī)則的漏洞版本號區(qū)間[2. O,2.2]之內(nèi)��。由于2. 0〈2. 1〈2. 2���,因此目標服務器中的web服務存在系統(tǒng)漏洞A��。輸出A漏洞的信息至顯示設備���,具體包括A漏洞的服務名稱、版本號等信息���。本實施例的技術(shù)方案中�����,遠程安全掃描器通過獲取目標服務器的服務識別信息�����,加載XML解析插件����,解析用戶需要掃描的預設應用服務所對應的XML文件��,得到該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則��,判斷目標服務器的服務識別信息是否滿足漏洞判斷規(guī)則����,若滿足則說明目標服務器中存在系統(tǒng)漏洞��。實現(xiàn)了遠程安全掃描器只加 載ー個XML解析插件來分析ー個XML文件���,獲取該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則,即可根據(jù)該漏洞判斷規(guī)則來掃描目標服務器判斷目標服務器的預設應用服務中是否存在系統(tǒng)漏洞���,因此遠程安全掃描器無需加載大量的漏洞插件即可掃描系統(tǒng)漏洞��,大大減輕了掃描引擎的負擔����,加快了掃描速度����。圖4為本發(fā)明系統(tǒng)漏洞掃描方法第四實施例流程圖,如圖4所示��,本實施例的目標主機為客戶端���,本發(fā)明實施例所提供的漏洞掃描方法由網(wǎng)絡側(cè)的遠程安全掃描器中的系統(tǒng)漏洞掃描裝置來執(zhí)行,對被掃目標主機中的應用服務是否具備漏洞進行掃描����。系統(tǒng)漏洞掃描裝置可以采用軟件和/或硬件的形式來實現(xiàn)��,該方法包括步驟S402�����,遠程安全掃描器向目標客戶端發(fā)送服務識別請求信息����,獲取所述目標客戶端根據(jù)所述服務識別請求信息返回的服務識別信息�,其中,所述服務識別信息為所述目標客戶端的注冊表���;遠程安全掃描器向目標客戶端發(fā)送服務識別請求信息����,調(diào)用服務信息塊(ServerMessage Block���,簡稱SMB)的接ロ���,獲取目標客戶端返回的注冊表。服務識別請求信息用于請求獲取目標客戶端的注冊表�,注冊表中包含目標客戶端所有應用服務的信息��。 步驟S404�,遠程安全掃描器加載XML解析插件�����,通過所述XML解析插件根據(jù)預設應用服務的標識信息�,調(diào)用并解析XML文件,其中�,所述XML文件包含所述預設應用服務中所有漏洞的漏洞判斷規(guī)則,所述漏洞判斷規(guī)則中包括所述預設應用服務的注冊表路徑以及所述漏洞版本號區(qū)間�����;遠程安全掃描器加載XML解析插件�,XML解析插件根據(jù)預設應用服務的標識信息,如應用服務的服務名稱或序列號���,調(diào)用與預設應用服務相對應的XML文件�����。該XML文件中包含預設應用服務所有漏洞的漏洞判斷規(guī)則���。XML解析插件調(diào)用相應的函數(shù)庫,解析XML文件的接ロ����,獲取XML文件中的漏洞判斷規(guī)則,包括預設應用服務的注冊表路徑�����,以及漏洞版本號區(qū)間���。步驟S406����,遠程安全掃描器根據(jù)解析所述XML文件得到所述注冊表路徑��,查詢所述目標客戶端的注冊表����,獲取所述注冊表路徑下所述預設應用服務的版本號;根據(jù)解析得到的預設應用服務的注冊表路徑����,查詢目標客戶端注冊表中該注冊表路徑下的預設應用服務的版本號。步驟S408�����,判斷所述預設應用服務的版本號是否落入所述漏洞版本號區(qū)間;判斷目標客戶端注冊表中注冊表路徑下預設應用服務的版本號是否落入到漏洞判斷規(guī)則的漏洞版本號區(qū)間之內(nèi)�����,若是則滿足該漏洞判斷規(guī)則�,進入步驟S410。若否則不滿足該漏洞判斷規(guī)則���,說明目標客戶端的預設應用服務不存在系統(tǒng)漏洞�����,本流程結(jié)束���。步驟S410,滿足所述漏洞判斷規(guī)則�����,則報告所述預設應用服務中存在系統(tǒng)漏洞����。上報該系統(tǒng)漏洞至遠程安全掃描器的引擎�,遠程安全掃描器輸出該系統(tǒng)漏洞的信息至顯不界面��。本實施例的技術(shù)方案中����,遠程安全掃描器通過獲取目標客戶端的注冊表�����,加載XML解析插件���,解析用戶需要掃描的預設應用服務所對應的XML文件�����,得到該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則�����,查詢目標客戶端的注冊表獲取漏洞判斷規(guī)則中的注冊表路徑所指向的注冊表中預設應用程序的版本號���,判斷該版本號是否落入漏洞版本號區(qū)間,若是則說明目標客戶端中存在系統(tǒng)漏洞。實現(xiàn)了遠程安全掃描器只加載ー個XML解析插件來分析ー個XML文件�,獲取該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則,即可根據(jù)該漏洞判斷規(guī)則來掃描目標客戶端判斷目標客戶端的預設應用服務中是否存在系統(tǒng)漏洞�,因此遠程安全掃描器無需加載大量的漏洞插件即可掃描系統(tǒng)漏洞,大大減輕了掃描引擎的負擔�����,加快了掃描速度�����。圖5為本發(fā)明系統(tǒng)漏洞掃描方法第五實施例流程圖�����,如圖5所示���,本實施例基于圖4所示實施例實現(xiàn)����,該方法包括步驟S502�����,遠程安全掃描器向目標客戶端發(fā)送服務識別請求信息,獲取所述目標客戶端根據(jù)所述服務識別請求信息返回的服務識別信息��,其中�����,所述服務識別信息為所述目標客戶端的注冊表�;具體處理流程參見圖4中實施例,此處不再贅述���。步驟S504,遠程安全掃描器加載XML解析插件���,通過所述XML解析插件根據(jù)預設應用服務的標識信息����,調(diào)用并解析XML文件�����,其中�,所述XML文件包含所述預設應用服務的漏洞判斷規(guī)則,XML文件中的漏洞判斷規(guī)則包括主判斷條件和輔助判斷條件����。其中主判斷條件包括預設應用服務的注冊表路徑�����、漏洞版本號區(qū)間�����、漏洞編號ID以及漏洞可信度����,輔助的判斷條件包括是否安裝了補?����?����;步驟S506�,根據(jù)解析XML文件得到的注冊表路徑,查詢目標客戶端的注冊表����,獲取注冊表路徑下所述預設應用服務的信息���,包括版本號,安裝補丁序列號��;步驟S508�,判斷目標客戶端的注冊表中的信息同時滿足漏洞判斷規(guī)則的主判斷條件和輔助判斷條件,則認定目標客戶端的預設應用服務存在系統(tǒng)漏洞�����;若滿足主判斷條件�,不滿足輔助判斷條件,則認定不存在系統(tǒng)漏洞�����;若滿足主判斷條件����,而無法判斷是否滿足輔助判斷條件���,則認定存在系統(tǒng)漏洞�,但漏洞可信度減I ;若目標客戶端的注冊表中的信息同時滿足漏洞判斷規(guī)則的主判斷條件和輔助判斷條件�,則認定目標客戶端的預設應用服務存在系統(tǒng)漏洞���,進入步驟S510 ;若滿足主判斷條件,不滿足輔助判斷條件�,則認定不存在系統(tǒng)漏洞,結(jié)束本流程�����;若滿足主判斷條件����,而無法判斷是否滿足輔助判斷條件,則認定存在系統(tǒng)漏洞���,但漏洞可信度減I進入步驟S510���。步驟S510,報告所述預設應用服務中存在系統(tǒng)漏洞的信息以及可信度��。上報預設應用服務中存在系統(tǒng)漏洞�����,輸出該系統(tǒng)漏洞的信息到顯示界面�����,包括漏洞服務名稱、漏洞ID�、漏洞的可信度。具體地���,以目標客戶端的IE作為預設應用服務進行掃描為例調(diào)用SMB的接ロ�,獲取目標客戶端的注冊表�����。加載XML解析插件����,XML解析插件根據(jù)用戶選擇掃描的預設應用程序即IE,調(diào)用與IE相對應的XML文件���,該XML文件的文件名為ie. xml,ie. xml中包含了 IE瀏覽器的漏洞判斷規(guī)則,該漏洞判斷規(guī)則包括主判斷條件和輔助判斷條件����。主判斷條件為vulid一90034”,trust= “15”��,regpath= ^HKLM\SOFTffARE\MICR0S0FT\INTERNET EXPL0RER\VERSI0N”,ver= “6. 9��,9. 0”�,輔助判斷條件為kb<> “KB2565774”。其中 vulid 為漏洞編號 ID, trust為可信度�,regpath為注冊表路徑,ver為漏洞版本區(qū)間�����,kb為補丁序列號�����。根據(jù)regpath的值查詢目標客戶端的注冊表����,獲取注冊表路徑下IE的信息,包括版本號為7. 0�,安裝補丁序列號為KB2565774。
判斷目標客戶端的注冊表中IE的信息是否滿足i e. xml的漏洞判斷規(guī)則���,
6.0<7. 0<9. O滿足漏洞判斷規(guī)則的主判斷條件�����,安裝補丁序列號與輔助判斷條件中的補丁序列號相同��,不滿足輔助判斷條件�。因此目標客戶端的IE瀏覽器不存在系統(tǒng)漏洞,結(jié)束本流程��。本實施例的技術(shù)方案中����,遠程安全掃描器通過獲取目標客戶端的注冊表,加載XML解析插件���,解析用戶需要掃描的預設應用服務所對應的XML文件�����,得到該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則��,查詢目標客戶端的注冊表獲取漏洞判斷規(guī)則中的注冊表路徑所指向的注冊表中預設應用程序的版本號�,判斷該版本號是否落入漏洞版本號區(qū)間�,若是則說明目標客戶端中存在系統(tǒng)漏洞�。實現(xiàn)了遠程安全掃描器只加載ー個XML解析插件來分析ー個XML文件,獲取該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則����,即可根據(jù)該漏洞判斷規(guī)則來掃描目標客戶端判斷目標客戶端的預設應用服務中是否存在系統(tǒng)漏洞�����,因此遠程安全掃描器無需加載大量的漏洞插件即可掃描系統(tǒng)漏洞����,大大減輕了掃描引擎的負擔�����,加快了掃描速度�����。 圖6為本發(fā)明系統(tǒng)漏洞掃描設備第一實施例結(jié)構(gòu)示意圖�����,如圖6所示����,該系統(tǒng)漏洞掃描設備包括信息獲取模塊11、解析模塊12、判斷模塊13�、報告模塊14,其中信息獲取模塊11用于獲取服務識別信息����;信息獲取模塊11將獲取到的服務識別信息發(fā)送至判斷模塊13。解析模塊12獲取用戶發(fā)送的預設應用服務標識信息���,如預設應用服務的服務名稱�����、服務序列號等�,加載XML解析插件�,通過所述XML解析插件根據(jù)預設應用服務的標識信息,調(diào)用并解析XML文件����,其中,所述XML文件包含所述預設應用服務的漏洞判斷規(guī)則���。判斷模塊13��,用于根據(jù)解析得到的所述漏洞判斷規(guī)則以及所述服務識別信息�����,判斷所述服務識別信息是否滿足所述漏洞判斷規(guī)則����;判斷模塊13根據(jù)信息獲取模塊11發(fā)送的服務識別信息以及解析模塊12發(fā)送的漏洞判斷規(guī)則��,判斷預設應用服務的服務識別信息是否滿足漏洞判斷規(guī)則�,若是則通知報告模塊14,上報預設應用服務的系統(tǒng)漏洞�。本發(fā)明各實施例提供的系統(tǒng)漏洞掃描設備用于執(zhí)行本發(fā)明實施例提供的系統(tǒng)漏洞掃描方法,具備相應的功能模塊�。本實施例的技術(shù)方案中,遠程安全掃描器通過獲取目標主機的服務識別信息�,カロ載XML解析插件,解析用戶需要掃描的預設應用服務所對應的XML文件�����,得到該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則�,判斷目標主機的服務識別信息是否滿足漏洞判斷規(guī)則,若滿足則說明目標主機中存在系統(tǒng)漏洞�。實現(xiàn)了遠程安全掃描器只加載ー個XML解析插件來分析ー個XML文件,獲取該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則��,即可根據(jù)該漏洞判斷規(guī)則來掃描目標主機判斷目標主機的預設應用服務中是否存在系統(tǒng)漏洞,因此遠程安全掃描器無需加載大量的漏洞插件即可掃描系統(tǒng)漏洞��,大大減輕了掃描引擎的負擔�,加快了掃描速度。圖7為本發(fā)明系統(tǒng)漏洞掃描設備第二實施例結(jié)構(gòu)示意圖��,本實施例基于圖6所示的實施例而實現(xiàn)���,本實施例中系統(tǒng)漏洞掃描設備掃描的目標主機為服務器���,如圖7所示,該系統(tǒng)漏洞掃描設備包括信息獲取模塊21����、解析模塊22、判斷模塊23����、報告模塊24,信息獲取模塊21包括第一請求獲取単元211 ;判斷模塊23包括四元組生成単元231�����、四元組判斷單元232��,其中信息獲取模塊21、解析模塊22���、判斷模塊23以及報告模塊24的功能實現(xiàn)方式參見上述實施例�,此處不再贅述��。第一請求獲取単元211用于向目標服務器發(fā)送服務識別請求��,所述服務識別請求中攜帯有需要掃描的預設應用服務的標識信息�,并接收所述目標服務器返回的與所述預設應用服務對應的服務識別信息��。四元組生成単元231用于根據(jù)所述服務識別信息生成應用服務四元組信息����,所述應用服務四元組信息包含端口號、協(xié)議類型���、服務名稱以及版本號����;四元組判斷単元232用于根據(jù)解析得到的所述漏洞判斷規(guī)則以及應用服務四元組信息����,判斷應用服務四元組信息是否滿足所述漏洞判斷規(guī)則�。若滿足漏洞判斷規(guī)則����,通知報告模塊24上報漏洞信息。本實施例的技術(shù)方案中����,遠程安全掃描器通過獲取目標服務器的服務識別信息,加載XML解析插件���,解析用戶需要掃描的預設應用服務所對應的XML文件�,得到該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則�����,判斷目標服務器的服務識別信息是否滿足漏洞判斷規(guī)則�����,若滿足則說明目標服務器中存在系統(tǒng)漏洞�。實現(xiàn)了遠程安全掃描器只加載ー個XML解析插件來分析ー個XML文件,獲取該XML文件中包含的預設應用服務所有漏 洞的漏洞判斷規(guī)則��,即可根據(jù)該漏洞判斷規(guī)則來掃描目標服務器判斷目標服務器的預設應用服務中是否存在系統(tǒng)漏洞�����,因此遠程安全掃描器無需加載大量的漏洞插件即可掃描系統(tǒng)漏洞,大大減輕了掃描引擎的負擔�����,加快了掃描速度�����。在另ー實施例中�����,如圖8所示�����,圖8為系統(tǒng)漏洞掃描設備中四元組判斷單元的結(jié)構(gòu)示意圖��,四元組判斷単元232包括名稱判斷子単元2321和版本判斷子単元2322��,其中XML文件中的漏洞判斷規(guī)則包括預設應用服務的漏洞服務名稱以及漏洞版本號�����,其中名稱判斷子単元2321用于根據(jù)漏洞判斷規(guī)則的多個漏洞服務名稱�,與應用服務四元組信息中的服務名稱進行正則匹配;版本判斷子単元2322用于當服務名稱匹配成功時�����,判斷所述應用服務四元組信息中的版本號是否落入所述漏洞判斷規(guī)則中的漏洞版本號區(qū)間�,若是則滿足所述漏洞判斷規(guī)則。圖9為本發(fā)明系統(tǒng)漏洞掃描設備第三實施例結(jié)構(gòu)不意圖,本實施例基于圖6所不的實施例而實現(xiàn)�,本實施例中系統(tǒng)漏洞掃描設備掃描的目標主機為客戶端,如圖9所示�����,該系統(tǒng)漏洞掃描設備包括信息獲取模塊31���、解析模塊32�����、判斷模塊33���、報告模塊34,信息獲取模塊31還包括第二請求獲取単元311 ;判斷模塊包括版本號獲取單元331、版本號判斷單元332�,其中信息獲取模塊31、解析模塊32�����、判斷模塊33以及報告模塊34的功能實現(xiàn)方式參見上述實施例��,此處不再贅述����。第二請求獲取単元311用于向目標客戶端發(fā)送服務識別請求信息,獲取所述目標客戶端根據(jù)所述服務識別請求信息返回的服務識別信息�����,其中���,所述服務識別信息為所述目標客戶端的注冊表;漏洞判斷規(guī)則中包括所述預設應用服務的注冊表路徑以及所述漏洞版本號區(qū)間�;版本號獲取單元331用于根據(jù)解析所述XML文件得到所述注冊表路徑,查詢所述目標客戶端的注冊表�,獲取所述注冊表路徑下所述預設應用服務的版本號;版本號判斷単元332用于判斷所述預設應用服務的版本號是否落入所述漏洞版本號區(qū)間���,若是則滿足所述漏洞判斷規(guī)則����。本實施例的技術(shù)方案中,遠程安全掃描器通過獲取目標客戶端的注冊表�����,加載XML解析插件��,解析用戶需要掃描的預設應用服務所對應的XML文件���,得到該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則���,查詢目標客戶端的注冊表獲取漏洞判斷規(guī)則中的注冊表路徑所指向的注冊表中預設應用程序的版本號,判斷該版本號是否落入漏洞版本號區(qū)間��,若是則說明目標客戶端中存在系統(tǒng)漏洞��。實現(xiàn)了遠程安全掃描器只加載ー個XML解析插件來分析ー個XML文件��,獲取該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則��,即可根據(jù)該漏洞判斷規(guī)則來掃描目標客戶端判斷目標客戶端的預設應用服務中是否存在系統(tǒng)漏洞����,因此遠程安全掃描器無需加載大量的漏洞插件即可掃描系統(tǒng)漏洞���,大大減輕了掃描引擎的負擔,加快了掃描速度���。在另ー實施例中��,系統(tǒng)漏洞掃描設備掃描的目標主機為客戶端�,判斷模塊33還包括補丁序列號獲取單元333以及補丁序列號判斷単元334�����,其中XML文件中的漏洞判斷規(guī)則包括主判斷條件和輔助判斷條件����。其中主判斷條件包括預設應用服務的注冊表路徑、漏洞版本號區(qū)間�����、漏洞編號ID以及漏洞可信度���,輔助的判斷條件包括是否安裝了補丁。補丁序列號獲取單元135用于根據(jù)解析XML文件得到注冊表路徑,查詢目標客戶端的注冊表���,獲取所述注冊表路徑下所述預設應用服務的安裝補丁序列號����;補丁序列號判斷単元136用于根據(jù)安裝補丁序列號判斷目標客戶端是否安裝了補�、丁,若是則滿足漏洞判斷規(guī)則中的輔助判斷條件����。若目標客戶端的注冊表中預設應用服務的版本號以及安裝補丁序列號同時滿足漏洞判斷規(guī)則的主判斷條件和輔助判斷條件,則認定目標客戶端的預設應用服務存在系統(tǒng)漏洞���;若滿足主判斷條件�����,不滿足輔助判斷條件���,則認定不存在系統(tǒng)漏洞;若滿足主判斷條件��,而無法判斷是否滿足輔助判斷條件��,則認定存在系統(tǒng)漏洞,但漏洞可信度減I�����。報告模塊14用于報告目標客戶端的預設應用服務中存在系統(tǒng)漏洞�,輸出該系統(tǒng)漏洞的信息至顯示界面,漏洞的信息包括漏洞服務名稱�����、漏洞ID�����、漏洞的可信度��。本實施例的技術(shù)方案中����,遠程安全掃描器通過獲取目標客戶端的注冊表,加載XML解析插件�,解析用戶需要掃描的預設應用服務所對應的XML文件,得到該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則���,查詢目標客戶端的注冊表獲取漏洞判斷規(guī)則中的注冊表路徑所指向的注冊表中預設應用程序的版本號����,判斷該版本號是否落入漏洞版本號區(qū)間����,若是則說明目標客戶端中存在系統(tǒng)漏洞。實現(xiàn)了遠程安全掃描器只加載ー個XML解析插件來分析ー個XML文件����,獲取該XML文件中包含的預設應用服務所有漏洞的漏洞判斷規(guī)則,即可根據(jù)該漏洞判斷規(guī)則來掃描目標客戶端判斷目標客戶端的預設應用服務中是否存在系統(tǒng)漏洞�,因此遠程安全掃描器無需加載大量的漏洞插件即可掃描系統(tǒng)漏洞,大大減輕了掃描引擎的負擔����,加快了掃描速度。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成�����,前述的程序可以存儲于ー計算機可讀取存儲介質(zhì)中����,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟�;而前述的存儲介質(zhì)包括R0M�、RAM�、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。最后應說明的是以上各實施例僅用以說明本發(fā)明的技術(shù)方案�,而非對其限制;盡管參照前述各實施例對本發(fā)明進行了詳細的說明�����,本領(lǐng)域的普通技術(shù)人員應當理解其依然可以對前述各實施例所記載的技術(shù)方案進行修改����,或者對其中部分或者全部技術(shù)特征進行等同替換;而這些修改或者替換�����,并不使相應技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍����。
權(quán)利要求
1.一種系統(tǒng)漏洞掃描方法,其特征在于����,包括 獲取服務識別信息; 加載XML解析插件����,通過所述XML解析插件根據(jù)預設應用服務的標識信息���,調(diào)用并解析XML文件中包含的所述預設應用服務的漏洞判斷規(guī)則����; 根據(jù)解析得到的所述漏洞判斷規(guī)則以及所述服務識別信息,判斷所述服務識別信息是否滿足所述漏洞判斷規(guī)則��; 若滿足所述漏洞判斷規(guī)則�����,則報告所述預設應用服務中存在系統(tǒng)漏洞�。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于�,獲取服務識別信息包括 向目標服務器發(fā)送服務識別請求,所述服務識別請求中攜帯有需要掃描的預設應用服務的標識信息�����,并接收所述目標服務器返回的與所述預設應用服務對應的服務識別信息�����。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于�,根據(jù)解析得到的所述漏洞判斷規(guī)則以及所述服務識別信息,判斷所述服務識別信息是否滿足所述漏洞判斷規(guī)則包括 根據(jù)所述服務識別信息生成應用服務四元組信息�����,所述應用服務四元組信息包含端ロ號����、協(xié)議類型、服務名稱以及版本號��; 根據(jù)解析得到的所述漏洞判斷規(guī)則以及應用服務四元組信息�,判斷應用服務四元組信息是否滿足所述漏洞判斷規(guī)則。
4.根據(jù)權(quán)利要求3所述的方法���,其特征在于�,所述漏洞判斷規(guī)則包括所述預設應用服務的漏洞服務名稱以及漏洞版本號區(qū)間����; 根據(jù)解析得到的所述漏洞判斷規(guī)則以及應用服務四元組信息,判斷應用服務四元組信息是否滿足所述漏洞判斷規(guī)則包括 根據(jù)所述漏洞判斷規(guī)則的多個漏洞服務名稱�����,與所述應用服務四元組信息中的服務名稱進行正則匹配;若服務名稱匹配成功��,則判斷所述應用服務四元組信息中的版本號是否落入所述漏洞判斷規(guī)則中的漏洞版本號區(qū)間�,若是則滿足所述漏洞判斷規(guī)則。
5.根據(jù)權(quán)利要求I所述的方法��,其特征在于 獲取服務識別信息包括 向目標客戶端發(fā)送服務識別請求信息�����,獲取所述目標客戶端根據(jù)所述服務識別請求信息返回的服務識別信息�,其中���,所述服務識別信息為所述目標客戶端的注冊表�; 所述漏洞判斷規(guī)則中包括所述預設應用服務的注冊表路徑以及所述漏洞版本號區(qū)間�����; 則根據(jù)解析得到的所述漏洞判斷規(guī)則以及所述服務識別信息���,判斷所述服務識別信息是否滿足所述漏洞判斷規(guī)則包括 根據(jù)解析所述XML文件得到所述注冊表路徑���,查詢所述目標客戶端的注冊表���,獲取所述注冊表路徑下所述預設應用服務的版本號; 判斷所述預設應用服務的版本號是否落入所述漏洞版本號區(qū)間�����,若是則滿足所述漏洞判斷規(guī)則�����。
6.一種系統(tǒng)漏洞掃描設備���,其特征在于�,包括 信息獲取模塊�����,用于獲取服務識別信息��; 解析模塊�����,用于加載XML解析插件,通過所述XML解析插件根據(jù)預設應用服務的標識信息�����,調(diào)用并解析XML文件中包含的所述預設應用服務的漏洞判斷規(guī)則��;判斷模塊���,用于根據(jù)解析得到的所述漏洞判斷規(guī)則以及所述服務識別信息��,判斷所述服務識別信息是否滿足所述漏洞判斷規(guī)則���; 報告模塊�,用于若滿足所述漏洞判斷規(guī)則,則報告所述預設應用服務中存在系統(tǒng)漏洞���。
7.根據(jù)權(quán)利要求6所述的設備�����,其特征在于���,所述信息獲取模塊包括 第一請求獲取単元,用于向目標服務器發(fā)送服務識別請求,所述服務識別請求中攜帯有需要掃描的預設應用服務的標識信息����,并接收所述目標服務器返回的與所述預設應用服務對應的服務識別信息。
8.根據(jù)權(quán)利要求7所述的設備�,其特征在于,所述判斷模塊包括 四元組生成単元�����,用于根據(jù)所述服務識別信息生成應用服務四元組信息�,所述應用服務四元組信息包含端口號、協(xié)議類型��、服務名稱以及版本號����; 四元組判斷単元,用于根據(jù)解析得到的所述漏洞判斷規(guī)則以及應用服務四元組信息�,判斷應用服務四元組信息是否滿足所述漏洞判斷規(guī)則。
9.根據(jù)權(quán)利要求8所述的設備�����,其特征在干�,所述漏洞判斷規(guī)則包括所述預設應用服務的漏洞服務名稱以及漏洞版本號區(qū)間�����; 所述四元組判斷單元包括 名稱判斷子単元�����,用于根據(jù)所述漏洞判斷規(guī)則的多個漏洞服務名稱�����,與所述應用服務四元組信息中的服務名稱進行正則匹配�; 版本判斷子単元�,若服務名稱匹配成功,則判斷所述應用服務四元組信息中的版本號是否落入所述漏洞判斷規(guī)則中的漏洞版本號區(qū)間�,若是則滿足所述漏洞判斷規(guī)則。
10.根據(jù)權(quán)利要求6所述的設備����,其特征在于����,所述信息獲取模塊包括 第二請求獲取単元,用于向目標客戶端發(fā)送服務識別請求信息�,獲取所述目標客戶端根據(jù)所述服務識別請求信息返回的服務識別信息����,其中��,所述服務識別信息為所述目標客戶端的注冊■表�; 所述漏洞判斷規(guī)則中包括所述預設應用服務的注冊表路徑以及所述漏洞版本號區(qū)間; 所述判斷模塊包括 版本號獲取單元�,用于根據(jù)解析所述XML文件得到所述注冊表路徑,查詢所述目標客戶端的注冊表�,獲取所述注冊表路徑下所述預設應用服務的版本號; 版本號判斷単元��,用于判斷所述預設應用服務的版本號是否落入所述漏洞版本號區(qū)間�,若是則滿足所述漏洞判斷規(guī)則。
全文摘要
本發(fā)明提供一種系統(tǒng)漏洞掃描方法及設備����,包括獲取服務識別信息;加載XML解析插件�,通過所述XML解析插件根據(jù)預設應用服務的標識信息,調(diào)用并解析XML文件�,其中,所述XML文件包含所述預設應用服務的漏洞判斷規(guī)則��;根據(jù)解析得到的所述漏洞判斷規(guī)則以及所述服務識別信息��,判斷所述服務識別信息是否滿足所述漏洞判斷規(guī)則;若滿足所述漏洞判斷規(guī)則�����,則報告所述預設應用服務中存在系統(tǒng)漏洞�����。通過加載XML解析插件���,XML解析插件對包含有漏洞判斷規(guī)則的XML文件進行解析���,并根據(jù)漏洞判斷規(guī)則對系統(tǒng)漏洞進行掃描,提高了漏洞掃描速度����。
文檔編號H04L29/06GK102710642SQ201210179929
公開日2012年10月3日 申請日期2012年6月1日 優(yōu)先權(quán)日2012年6月1日
發(fā)明者李振環(huán), 王琰, 郭大興 申請人:北京神州綠盟信息安全科技股份有限公司