快速補丁掃描引擎的實現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息技術(shù)領(lǐng)域��,具體地�,涉及一種快速補丁掃描引擎的實現(xiàn)方法。
【背景技術(shù)】
[0002]伴隨著計算機網(wǎng)絡(luò)技術(shù)在各方面越來越多的應(yīng)用����,蠕蟲、病毒等網(wǎng)絡(luò)攻擊事件頻繁爆發(fā)�����,網(wǎng)絡(luò)安全問題日益突出�����,大部分的網(wǎng)絡(luò)攻擊都是基于操作系統(tǒng)或應(yīng)用程序的漏洞進行的�����。這些蠕蟲可以在幾分鐘,甚至更短的時間內(nèi)����,感染網(wǎng)絡(luò)中大量的漏洞主機。目前�,各種軟件的漏洞已經(jīng)成為大規(guī)模網(wǎng)絡(luò)與信息安全事件和重大信息泄露事件的主要原因之一。針對計算機漏洞帶來的危害�,安裝相應(yīng)的補丁是最有效、也是最經(jīng)濟的防范措施��。對于互聯(lián)網(wǎng)上數(shù)目眾多的主機節(jié)點和日益復雜的各種應(yīng)用���,很難確保補丁被及時的安裝�����,而且補丁實施基本是需求方到發(fā)布方去下載補丁程序并安裝的過程,而不是發(fā)布方主動為需求方提供補丁程序并進行針對性的部署��,因此補丁實施更依賴于非專業(yè)的需求方�����。對于主機數(shù)目眾多���、應(yīng)用種類繁雜的大型網(wǎng)絡(luò)����,不能及時跟蹤補丁的更新,不能實施有效的部署�����,將極大地威脅到網(wǎng)絡(luò)與信息安全����,造成不可挽回的損失。
[0003]研宄表明����,操作系統(tǒng)和應(yīng)用軟件的漏洞,經(jīng)常成為安全攻擊的入口��。系統(tǒng)漏洞����,也叫系統(tǒng)脆弱性(Vulnerability),是計算機系統(tǒng)在硬件�、軟件、協(xié)議的設(shè)計與實現(xiàn)過程中或系統(tǒng)安全策略上存在的缺陷和不足�����。非法用戶可利用系統(tǒng)安全漏洞獲得計算機系統(tǒng)的額外權(quán)限,在未經(jīng)授權(quán)的情況下訪問或提高其訪問權(quán)���,破壞系統(tǒng)�,危害計算機系統(tǒng)安全�����。系統(tǒng)安全漏洞是針對計算機安全而言的���,廣義的系統(tǒng)安全漏洞是一切導致威脅�、損壞計算機系統(tǒng)安全的因素���。每個平臺無論是硬件還是軟件都存在漏洞�����,沒有絕對安全的系統(tǒng)。
[0004]對于每個存在漏洞的系統(tǒng)��,及時安裝補丁都是非常必要的防范機制��,可以有效防止系統(tǒng)被攻擊或破壞。目前多數(shù)補丁管理軟件采取的是客戶端與服務(wù)器(C/S)的方式����,用戶要進行漏洞修復,必須登錄補丁服務(wù)器進行更新����。然而,在補丁發(fā)布后����,由于用戶安全意識薄弱和軟件更新的復雜性等原因,往往導致用戶不能及時安裝補丁��,而大部分的網(wǎng)絡(luò)攻擊正是利用這段時間進行的���。例如�����,Gkantsidis等人的實驗顯示在補丁公布后的24小時內(nèi)�,只有80%不同的用戶會進行補丁的下載和安裝����?��?蛻舳伺c服務(wù)器的補丁發(fā)布模式,嚴重影響了補丁的發(fā)布效率���,無法與快速傳播的蠕蟲相抗衡�����。
[0005]目前����,補丁發(fā)布廣泛采用的都是Client / Server體系����。例如,微軟的Windows更新�����,使用的是WSUS (Windows Server Update Services)進行補丁的管理�����。首先用戶向服務(wù)器發(fā)出補丁下載請求,決定哪些補丁需要進行下載����,接著從分發(fā)服務(wù)器進行補丁的下載�����,最后是補丁的安裝�����。它的基本原理是客戶端必須登錄到服務(wù)器上���,才可以進行軟件的更新�����,是一種客戶端與服務(wù)器直接相連的補丁發(fā)布方式��。
[0006]按照這種補丁發(fā)布模式�,當用戶量很少時�,是可以在很短時間內(nèi)完成軟件的更新。但如果需要下載的補丁較大�����,客戶端數(shù)目眾多,在同一時間段內(nèi)有數(shù)百萬的計算機登錄到服務(wù)器上進行軟件的更新��,將會給服務(wù)器帶來難以承受的負荷�����,不僅會減緩傳播速度���,也會堵塞網(wǎng)絡(luò)的流通��。
[0007]根據(jù)目前補丁的發(fā)布策略���,研宄發(fā)現(xiàn)從補丁發(fā)布到用戶完成更新,中間可能會延誤很長一段時間�����。然而在這段時間內(nèi)���,攻擊者就有可能利用補丁來生成新的漏洞��。APEG(Automatic patch-based exploit generat1n)�,是一種基于補丁的漏洞利用自動生成技術(shù),通過研宄發(fā)現(xiàn)���,它很容易在目前的補丁發(fā)布方案中實現(xiàn)�,用于攻擊未打補丁���,帶有漏洞的系統(tǒng)。簡單的說���,APEG就是對于程序P與打了補丁的程序P'進行逆向工程分析�����,定位它們之間的區(qū)別所在����,自動生成漏洞�,威脅用戶安全的一種技術(shù)。惡意用戶在接收到補丁后的幾分鐘之內(nèi)�����,可以利用APEG找出漏洞��,編寫蠕蟲代碼,對還未安裝補丁的用戶發(fā)動攻擊���。然而�,根據(jù)目前的補丁發(fā)布方式�,在幾分鐘之內(nèi)使所有用戶都安裝上補丁是根本辦不到的。
[0008]根據(jù)目前蠕蟲的傳播速度����,知道要想真正有效的發(fā)揮補丁的修復作用,保障系統(tǒng)的安全�����,就必須趕在蠕蟲大范圍傳播之前��,給系統(tǒng)安裝上補丁���,這是一個蠕蟲與補丁賽跑的過程���,誰的速度快,誰就可以最終阻止對方的入侵����。
[0009]分析目前軟件補丁分發(fā)的情況����,可以發(fā)現(xiàn)如下問題:(1)目前的補丁的發(fā)布速度過于緩慢�����,無法有效的進行補丁的傳播�;(2)基于C/S的補丁發(fā)布模式,使得在同一段時間訪問服務(wù)器的用戶量過多�����,會造成服務(wù)器繁忙�,導致更新不能及時有效的完成����;(3)用戶的安全防范意識差,很多用戶不愿意���,或不能夠及時的更新系統(tǒng)�,使得網(wǎng)絡(luò)中的很多主機長期處于無人管理狀態(tài)�����;(4)惡意蠕蟲具有傳播迅速的特點,使得軟件補丁無法及時地應(yīng)用在主機上�����,導致蠕蟲不斷的威脅網(wǎng)絡(luò)的安全��。因此����,傳統(tǒng)的防病毒技術(shù)、入侵檢測技術(shù)和防火墻技術(shù)在與這種高速傳播的網(wǎng)絡(luò)蠕蟲對抗中始終處于劣勢��。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的目的在于����,針對上述問題,提出一種快速補丁掃描引擎的實現(xiàn)方法�����,以實現(xiàn)提高補丁獲取速度并保證終端及時打補丁的優(yōu)點�。
[0011]為實現(xiàn)上述目的,本發(fā)明采用的技術(shù)方案是:
一種快速補丁掃描引擎的實現(xiàn)方法���,包括以下步驟:
步驟一�、補丁掃描引擎實時監(jiān)控補丁發(fā)布網(wǎng)站,并在監(jiān)控到補丁發(fā)布網(wǎng)站發(fā)布補丁后第一時間將軟件補丁索引包下載����;
步驟二、分析上述下載的軟件補丁索引包�����,通過MD5散列算法對比軟件補丁與官網(wǎng)數(shù)據(jù)的一致性�����;
步驟三����、將上述步驟二分析對比無誤的軟件補丁安裝包通過基于P2P的智能流量負載系統(tǒng)���,分發(fā)到終端上��;
步驟四���、終端的補丁掃描引擎利用多核CPU的纖程并發(fā)機制,同時對上述步驟三分發(fā)的多個補丁進行掃描�,并快速的使用HASH算法進行補丁分析和匹配�,并對終端進行補丁掃描����,確保終端安裝最新的補丁。
[0012]優(yōu)選的����,上述步驟四中終端的補丁掃描引擎,采用多線程和CPU親和力技術(shù)針對多核CPU做應(yīng)用層面的優(yōu)化�,采用Cache在微架構(gòu)層面進行優(yōu)化。
[0013]優(yōu)選的上述步驟一中的補丁掃描引擎內(nèi)置性能監(jiān)控平衡探測器�����,從而根據(jù)硬件的性能智能的提高和放慢補丁掃描速度���。
[0014]本發(fā)明的技術(shù)方案具有以下有益效果:
本發(fā)明的技術(shù)方案的補丁掃描引擎在獲取到軟件的補丁信息之后��,會對補丁進行一次預先的優(yōu)化分析�,得出補丁里面的