基于漏洞库的自动化软件漏洞验证系统及方法与流程

本发明涉及网络安全
技术领域：
，具体涉及一种基于漏洞库的自动化软件漏洞验证系统及方法。
背景技术：
：软件漏洞主要是由于软件开发人员编码不严谨或编码错误所产生。软件漏洞为攻击者入侵打开方便之门，对使用者造成关键信息泄露、财产损失等问题。为提高软件的安全性，对漏洞进行验证可以消除漏洞、减少漏洞危害，漏洞验证是分析软件中存在的缺陷并对缺陷进行确认的一种技术。在漏洞验证方面，目前有基于漏洞扫描，渗透测试，故障注入，形式化以及模型检测的方法等，基于软件漏洞扫描容易产生误报，且许多漏洞单纯通过漏洞扫描，验证的说服力不够；基于渗透测试方法进行验证过多依赖人工参与，效率较低；基于故障注入方法存在生成的测试用例触发效果较差的问题；而基于形式化以及模型检测的方法漏报率较高，且通常需要提供软件源码进行建模，局限性较大。技术实现要素：(一)要解决的技术问题本发明要解决的技术问题是：如何提高漏洞验证的效率，提高验证结果的说服力，并实现漏洞的自动化验证。(二)技术方案为了解决上述技术问题，本发明提供了一种基于漏洞库的自动化软件漏洞验证系统，包括目标系统扫描模块、漏洞库服务模块、文本分析器和漏洞攻击模块，所述目标系统扫描模块用于采用nessus安全扫描软件对目标操作系统进行扫描，扫描的目标信息包括系统信息和漏洞信息，所述系统信息包括目标操作系统类型和版本信息、目标操作系统开启的服务信息，所有目标信息使用xml格式收集和保存，作为文本分析器的输入；所述文本分析器用于获取所述目标信息，对这些数据进行解析、组合，使其成为metasploit框架能够识别的数据；所述漏洞库服务模块包含metasploit框架和漏洞库，所述metasploit框架用于为文本分析器提供漏洞库服务，同时用于根据攻击任务对目标发起攻击和接收攻击响应；metasploit框架与漏洞攻击模块之间采用xml-rpc协议进行交互；所述漏洞攻击模块用于在接收到解析、组合后的目标信息时构建攻击任务请求，并发送攻击任务请求给metasploit框架，攻击任务请求中包含攻击任务，攻击任务中包含攻击需要的目标信息以及所需要的漏洞信息。本发明还提供了一种利用所述的系统实现的自动化软件漏洞验证方法，包括以下步骤：s1、所述目标系统扫描模块获取目标信息使用nessus安全扫描软件对目标操作系统进行扫描，收集的目标信息中，系统信息用osinf表示，osinf＝{s,ver,sp,serv,servb},其中s表示目标操作系统类型，ver为目标操作系统版本，sp为目标操作系统补丁版本，serv为目标操作系统开启的服务列表，servb为服务标志信息，ver为目标操作系统版本，ver和sp组成目标操作系统版本信息，serv和servb组成目标操作系统开启的服务信息；所述漏洞信息用vulninf＝{vuln_i}表示，vuln_i有多个，所述文本分析器将系统信息和漏洞信息进行解析，将xml格式文件转换为xml-rpc协议能够识别的格式，组合成目标信息tarinf，tarinf＝(osinf,vulninf)，发送给所述漏洞攻击模块；所述漏洞攻击模块发送攻击任务请求给所述漏洞库服务模块的metasploit框架；所述漏洞库服务模块的metasploit框架根据目标系统扫描模块获取的目标信息，查找到漏洞库中对应软件及漏洞的攻击脚本字段，根据攻击脚本字段的存储路径执行攻击脚本字段，并依据漏洞库中的漏洞类型选取攻击的类型，如果是本地漏洞，则在目标机运行metasploit框架根据攻击任务执行本地攻击方式，如果是远程漏洞，则直接在攻击机上使用metasploit框架根据攻击任务执行远程攻击方式；所述metasploit框架在发起远程攻击后，根据攻击机所反馈的响应信息，判断攻击是否成功，在攻击成功后，metasploit框架获取目标操作系统的权限，进入目标操作系统并执行系统命令；对于本地执行的攻击，所述metasploit框架通过目标机上的监控程序监控目标软件的运行情况，metasploit框架在执行本地攻击后，将攻击机所反馈的结果与漏洞库中预先存储的攻击效果相比较，若一致，则说明目标软件存在相应漏洞，若不一致，则在攻击过程中创建一个快照，分析差异，以确认目标软件是否受此漏洞影响。优选地，所述监控程序为coredump或credal。优选地，所述漏洞库中存储的漏洞信息来源包括互联网上获取的漏洞数据。优选地，所述互联网上获取的漏洞数据是通过构建爬虫获取互联网上的最新漏洞信息，所述互联网包括漏洞网站cve、nvd和exploit-db。优选地，所述漏洞库中的漏洞信息包括影响软件、版本、漏洞类型、攻击脚本、攻击效果，由影响软件及其版本号用于确定使用的攻击脚本，漏洞类型用于确定是远程漏洞还是本地漏洞，确定漏洞验证的攻击方式，攻击效果用于对发起攻击后对目标产生的影响进行判断，攻击脚本字段实际存储的是攻击脚本所在路径，在实际执行攻击脚本时，通过查找该路径可获取对应攻击脚本。(三)有益效果本发明从网络上获取有关漏洞信息，搜集漏洞攻击脚本等信息，借助现有框架构建本地漏洞库，从漏洞库中选取适合于目标的攻击脚本，远程执行攻击脚本或者将攻击脚本置于目标上执行，识别执行攻击时目标产生的响应，该方法思想类似于模糊测试思想，但是由于漏洞库的验证中测试用例与软件版本准确的对应关系，使得该方法能够快速地触发漏洞，测试效率大幅度提高。此外，由于是直接对目标发起攻击，与黑客攻击方法类似，验证结果具有说服力，并可以实现漏洞的自动化验证。附图说明图1为本发明的基于漏洞库的自动化软件漏洞验证系统架构框图；图2为本发明的基于漏洞库的自动化软件漏洞验证方法实施场景示意图。具体实施方式为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。本发明的基于漏洞库的自动化软件漏洞验证方案，主要思路是：从网络上获取有关漏洞信息，搜集漏洞攻击脚本等信息，借助现有框架构建本地漏洞库，从漏洞库中选取适合于目标的攻击脚本，远程执行攻击脚本或者将攻击脚本置于目标上执行，识别执行攻击时目标产生的响应。可以看出基于漏洞库的漏洞验证与模糊测试思想有点相似，但是由于漏洞库的验证中测试用例与软件版本准确的对应关系，使得能够快速地触发漏洞，测试效率大幅度提高。本发明的基于漏洞库的自动化软件漏洞验证系统架构如图1所示，包括目标系统扫描模块、漏洞库服务模块、文本分析器、漏洞攻击模块。目标系统扫描模块采用nessus安全扫描软件，扫描的目标信息具体包括系统信息和漏洞信息，所述系统信息包括目标操作系统类型和版本信息、目标操作系统开启的服务信息。所有上述信息使用xml格式收集和保存，作为文本分析器的输入。漏洞库服务模块在metasploit框架的基础上构建，后端包含构建的漏洞库，metasploit框架不仅为文本分析器提供漏洞库服务，同时用于发起攻击和接收攻击响应。文本分析器作用是获取目标信息和及目标的漏洞信息，对这些数据进行解析、组合，使其成为metasploit框架能够识别的数据，metasploit框架与漏洞攻击模块之间采用xml-rpc协议进行交互。漏洞攻击模块在接收到解析、组合后的目标信息时构建攻击任务请求，并发送攻击任务请求给metasploit框架，攻击任务包含在攻击任务请求中，攻击任务中包含攻击需要的目标信息以及所需要的漏洞信息(如表1所示)，metasploit框架根据攻击任务对目标发起攻击。基于漏洞库的自动化漏洞验证中，对于漏洞库的构建，漏洞库为攻击提供最基本的数据支撑，通过构建完备的漏洞库可以使得漏洞验证工作尽可能简单，从而做到自动化的漏洞验证。本发明中漏洞信息来源包括两方面，一是互联网上获取的漏洞数据，二是自建漏洞信息库。构建爬虫获取互联网上最新漏洞信息，如权威漏洞网站cve、nvd、exploit-db上搜集漏洞的相关信息，包括漏洞危害、影响软件及版本、攻击脚本等等，重点获取操作系统、服务器、数据库、浏览器以及其他重要组件相关漏洞。自建漏洞信息库是团队在针对私有软件测试工作中积累的测试数据，其中包含与权威漏洞库中相同的信息，普通软件的攻击脚本对于私有软件不适用，私有软件的攻击脚本需要有经验的安全工程师在特定软件环境下编写。将上述漏洞信息经过简单处理后存于漏洞库中，漏洞库中至少包含攻击验证时所需的主要漏洞信息，其中包括漏洞影响软件、版本、漏洞类型(远程或本地)、攻击脚本、攻击效果。根据漏洞影响软件匹配目标，并由影响软件及其版本号准确地确定使用的攻击脚本，根据漏洞类型是远程或本地漏洞，确定漏洞验证的攻击方式，攻击效果用于对发起攻击后对目标产生的影响进行判断。攻击脚本字段实际存储的是脚本所在路径，在实际执行攻击脚本时，通过查找该路径获取该攻击脚本。漏洞库模型建立如表1所示。表1漏洞库模型漏洞字段宽度实例影响软件(influence)var(30)tomcat版本(version)var(20)7.0漏洞类型(type)var(10)remote攻击脚本(exploit)var(50)/usr/exploit/tomcat/7.0/1/攻击效果(impact)var(50)远程命令执行本发明的基于漏洞库的自动化软件漏洞验证方法具体实施步骤依次为目标扫描，发起攻击，攻击结果收集，如图2所示。具体实施步骤如下：s1、目标系统扫描模块获取目标信息使用nessus漏洞扫描软件对目标扫描，收集的目标信息主要为系统信息、漏洞信息。系统信息用osinf表示，osinf＝{s,ver,sp,serv,servb},其中s表示操作系统类型，ver为操作系统版本，sp为补丁版本，serv为服务列表，servb为服务标志信息；漏洞信息用vulninf＝{vuln_i}表示，vuln_i通常有多个。文本分析器将两者进行解析，将xml格式文件转换为xml-rpc协议能够识别的格式、组合成目标信息tarinf，tarinf＝(osinf,vulninf)，发送给漏洞攻击模块。s2、所述漏洞攻击模块发送攻击任务请求给所述漏洞库服务模块的metasploit框架；s3、漏洞库服务模块发起攻击执行漏洞攻击将会导致目标产生异常或致命错误，因此在发起攻击前，为系统创建快照，当系统崩溃之后，使得能够快速的恢复系统。漏洞库服务模块的metasploit框架根据目标系统扫描模块获取的测试目标信息，查找到漏洞库中对应软件及漏洞的攻击脚本字段，根据攻击脚本的存储路径执行攻击脚本，并依据漏洞库中漏洞类型选取攻击的类型(本地漏洞和远程漏洞)，如果是本地漏洞，则需要测试人员在目标机运行metasploit框架根据攻击任务执行本地攻击方式，如果是远程漏洞，则直接在攻击机上使用metasploit框架根据攻击任务执行远程攻击方式。s4、攻击结果收集metasploit框架在发起远程攻击后，根据攻击机所反馈的响应信息，判断攻击是否成功。在攻击成功后，metasploit框架将会获取目标操作系统的权限，能够进入目标操作系统并执行系统命令。对于本地执行的一些攻击，通过目标机上监控程序监控目标软件的运行情况，监控程序有coredump,credal。metasploit框架执行本地攻击后，将攻击机所反馈的结果与漏洞库中应有的攻击效果相比较，若一致，则说明目标软件确实存在该漏洞，若不一致，则在攻击过程中创建一个快照，在后续进一步分析其差异，确认该目标软件是否受此漏洞影响。本发明的漏洞验证是根据目标系统情况，依靠现有的丰富的漏洞数据，对目标系统进行针对性的攻击尝试。本方法可以充分使用前人研究的漏洞库，提高漏洞验证的效率，此外，由于是直接对目标发起攻击，与黑客攻击方法类似，验证结果具有说服力，并可以实现漏洞的自动化验证。以上所述仅是本发明的优选实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。当前第1页12