专利名称:一种基于静态和动态分析技术的主机系统安全评估方法
技术领域:
本发明涉及信息安全技术领域的安全评估方法,特别是涉及一种基于静态和动态 分析技术的主机系统安全评估方法。
背景技术:
电力行业作为国家重要基础行业之一,随着电力信息化的深入,信息安全问题已 严重威胁到电网的安全、稳定运行。为了防范对电力信息系统及网络的恶意攻击侵害及由 此引起的电力系统事故,全国电力二次系统安全防护专家组和工作组提出了《全国电力二 次系统安全防护总体方案》,国家电力监管委员会通过了《电力二次系统安全防护规定》(电 监会5号令),其中很重要的一点是提出了电力二次系统安全风险评估和安全加固的概念。主机系统作为电力信息系统运行的承载平台和信息资产的存储中心,其安全性直 接关系到电力信息系统的安全可靠运行。现有主机安全评估主要依赖人工分析和漏洞扫描,耗时费力,侧重于帐户安全、补 丁漏洞等常规安全性检测,难以发现深层次的逻辑安全性风险。
发明内容
针对现有技术的不足,本发明提出的是一种基于静态和动态分析技术的主机系统 安全评估方法,通过静态和动态分析两种方法分析主机系统的安全性。本发明实现的技术方案如下1)将分析器接入被评估主机系统所处的网络中,上传静态安全数据采集器,采集 主机系统静态安全数据,包括概要文件参数、服务列表、进程信息;2)静态安全数据采集器向分析器返回主机系统静态安全数据,将上述主机系统静 态安全数据与标准安全配置数据进行对比,若一致则表示主机系统安全,若不一致则转入 步骤3);3)若主机系统开放的服务多于标准安全配置开放的服务,则针对标准安全配置之 外的服务进行动态分析。所述静态是指主机系统的配置文件及所包含的信息等安全属性,这些安全属性在 主机系统运行期间不会发生变化,除非人为进行修改配置;所述静态分析是指按照标准安 全设置对配置文件及所包含的信息进行比对分析,如主机系统审计设置为未开启,则表明 其审计设置不符合安全要求;所述动态是指主机系统在运行期间会发生变化的安全属性;所述动态分析是指根 据主机系统对外提供的服务确定采取哪些分析方法,如主机系统开放了 Web服务,则相对 应的进行SQL注入、目录遍历等分析,且在分析过程中根据主机系统响应的不同改变分析步骤。在对主机系统进行评估是,分析器先将静态数据采集器上传到主机系统上,采集 主机系统安全相关配置文件等静态安全数据,并传回分析器进行分析。确定主机系统是否
3存活、操作系统语言、版本、IP地址等基本信息、帐户信息、网络配置、共享、开放的服务服 务、关键文件的权限信息和补丁与漏洞情况信息、数据库系统详细版本、监听器服务设置、 账户口令安全性、初始化参数设置安全性、帐户口令策略、存储过程的权限设置、启动帐户 权限、非必需服务、日志审计策略和认证模式和表空间的使用情况等,根据这些安全项的逐 一分析,可以确定主机系统基本设置和部分安全漏洞。所述数据采集器在工作时上传至主机系统之上;静态安全数据采集时不影响主机 系统正常运行,不改变主机系统任何配置;动态分析基于静态分析结果之上,主要采用漏洞 特征匹配的方法进行分析。静态分析中针对以下安全属性进行分析(1)是否开放了不安全的文件夹共享;(2)关键文件(如可执行系统文件或脚本文件)的权限是否被设置为任何人都可 读、写、执行;(3)数据库监听器是否设置口令保护;(4)是否启用帐户口令保护策略,如未设置口令复杂度、最大错误登录次数等;(5)是否启用日志审计;(6)数据库中高风险存储过程是否未禁用(如SQL SERVER数据库中的xp_ cmdshell)或权限设置为不安全的任何人可执行的权限(如Oracle数据库中的UTL_FILE、 UTL_TCP、UTL_SMTP、UTL_HTTP、DBMS_L0B、DBMS_J0B 等)。根据静态数据分析结果,针对主机系统开放的服务,逐一进行动态分析。静态分析 中针对以下安全属性进行分析(1)若开放了 ftp服务,则加载常用的帐户口令字典表,检测是否存在不安全的 帐户;根据服务返回的banner信息分析ftp服务的版本,并确定该版本存在的已知安全漏 洞;(2)若开放了 Telnet服务,则加载常用的帐户口令字典表,检测是否存在不安全 的帐户;根据服务返回的banner信息分析Telnet服务的版本,并确定该版本存在的已知安 全漏洞;(3)若开放了 Web服务,则相对应的进行SQL注入、目录遍历、上传漏洞,若存在上 传漏洞,则可上传模拟的恶意代码,测试是否可以进行远程控制、权限提升等;(4)若开放了 SMTP/P0P3服务,则利用邮件系统帐户列表、加载常用的口令字典 表,检测是否存在不安全的帐户;根据服务返回的banner信息分析SMTP/P0P3服务的版本, 并确定该版本存在的已知安全漏洞;(5)若为WindowsNT系列操作系统,则加载常用的帐户口令字典表,检测是否存在 不安全的帐户;根据微软官方网站提供的补丁清单信息检查系统补丁升级情况;(6)若开放了 SQL SERVER服务,则加载常用的帐户口令字典表,检测是否存在不 安全的帐户;根据服务返回的banner信息分析SQL SERVER数据库的版本,并确定该版本存 在的已知安全漏洞;尝试利用存储过程xp_CmdShell执行系统命令,测试是否可以进行远 程控制、权限提升等;(7)若开放了 ORACLE服务,则加载常用的帐户口令字典表,检测是否存在不安全 的帐户;根据服务返回的banner信息分析ORACLE数据库的版本,并确定该版本存在的已知安全漏洞;若监听器服务未设置口令保护,则连接服务,测试是否可修改服务配置或停止服 务。根据以上静态和动态分析结果,确定主机系统存在的安全风险。数据采集器是指一个具备采集系统信息功能的程序,针对不同类型的主机系统有 相应类别的数据采集器。分析器是指一个具备对数据采集器返回信息进行安全性分析功能的程序。通过本方法对主机系统安全性进行安全评估时具体包括以下步骤1)上传静态数据采集器,采集主机系统概要文件参数、服务列表、进程信息等静态 安全数据;2)采集器返回主机系统静态安全数据,分析器进行综合关联分析,确定动态分析 方案;3)根据静态安全数据分析结果,对主机系统的服务响应、漏洞匹配、深度逻辑安全 等进行动态分析;4)通过静态和动态两种方法分析主机系统是否存在安全风险。本发明的进一步方案可以是在分析器中增加自动分析主机系统类别的模块,智能的确定相匹配的静态数据采集器。本发明的进一步方案可以是上传静态数据采集器目前采用的是通用传输协议,可增加可选加密安全特性,防 止泄漏用户名口令等敏感信息。本发明的进一步方案可以是在分析器中增加对网络环境进行安全分析的模块,可实现在对主机系统进行安全 评估时综合分析所处网络环境的安全性,使分析结果更具全面性。本发明的进一步方案可以是静态数据采集器增加反向渗透测试功能,形成正向评估与反向渗透相结合的漏洞 深度检测方法。
图1本发明方法示意图。
具体实施例方式以下结合附图对本发明作进一步说明。本方法通过上传静态数据采集器,采集主机系统概要文件参数、服务列表、进程信 息等静态安全数据,静态数据采集器返回静态安全数据后,远程分析器进行综合关联分析, 根据静态安全数据分析结果,对主机系统的服务响应、漏洞匹配、深度逻辑安全等进行动态 分析。所需分析的数据包括以下方面1)操作系统语言、版本、IP地址等基本信息、帐户信息、网络配置、共享、服务、关 键文件的权限信息和补丁与漏洞情况信息;2)数据库系统详细版本、监听器服务安全性、账户口令安全性、初始化参数设置安全性、帐户口令策略、存储过程的权限设置、启动帐户权限、非必需服务、日志审计策略和认 证模式和表空间的使用情况。3)服务响应、漏洞匹配,深度逻辑安全问题,包括ftp、Telnet、Web、SMTP/P0P3、 Windows NT、SQL SERVER 和 ORACLE 等服务安全性。综合上述静态和动态分析,确定主机系统是否存在安全风险。一个典型的对UNIX数据库服务器进行评估的示例在评估其安全性时,过程如下1)设定主机IP地址、登录帐户信息、操作系统和数据库类型、登录类型,然后由分 析器上传针对UNIX操作系统的静态数据采集器;2)数据采集器采集UNXI系统中与安全相关的配置文件和相关信息,并返回至分 析器;3)分析器对静态安全数据分析后确定主机系统基本信息和安全配置参数,并与标 准安全配置参数进行比对,确定存在的安全风险,部分分析举例a)关键文件(如可执行系统文件或脚本文件)的权限设置为任何人都可读、写、执 行;b)是否存在不安全的帐户,若root帐户是否存在弱口令;c)是否启用帐户口令策略,如未设置口令复杂度、最大错误登录次数等;d)是否启用日志审计,则表明该主机系统不安全。4)根据UNIX服务器和数据库服务器提供的服务,逐一采用相对应的分析方法进 行分析,部分分析举例a)根据获取的帐户信息动态加载字典空间,将帐户信息作为字典空间的参数之 一,选择几种常用的加解密算法进行帐户安全性分析;b)根据获取的Web服务基本信息,进行特定版本漏洞匹配,尝试绕过认证。若开放 上传功能,则尝试则上传模拟的恶意代码,以便进一步分析是否可以进行远程控制、权限提
升等;c)根据获取的数据库基本信息,选择相对应的漏洞特征进行匹配,并对部分漏洞 进行关联分析,进行组合式的安全性分析。若获取数据库登录权限,则遍历表空间,寻找存 储帐户、财务等敏感数据的数据表,分析其中的关键数据是否加密、加密算法强度等安全保 护情况。综合上述分析结果,分析该UNIX主机系统是否存在安全风险。
权利要求
一种基于静态和动态分析技术的主机系统安全评估方法,其特征在于,包含如下步骤1)将分析器接入被评估主机系统所处的网络中,上传静态安全数据采集器,采集主机系统静态安全数据,包括概要文件参数、服务列表、进程信息;2)静态安全数据采集器向分析器返回主机系统静态安全数据,将上述主机系统静态安全数据与标准安全配置数据进行对比,若一致则表示主机系统安全,若不一致则转入步骤3);3)若主机系统开放的服务多于标准安全配置开放的服务,则针对标准安全配置之外的服务进行动态分析;4)上述动态分析依据主机系统开放的标准安全配置之外的服务而确定,具体为若开放了ftp、Telnet或者SMTP/POP3服务,则加载常用的帐户口令字典表,检测是否存在不安全的帐户;根据服务返回的banner信息分析ftp、Telnet或者SMTP/POP3服务的版本,并确定该版本存在的已知安全漏洞;若开放了Web服务,则相对应的进行SQL注入、目录遍历、上传漏洞,若存在上传漏洞,则上传模拟的恶意代码,测试是否可以进行远程控制、权限提升;若为Windows NT系列操作系统,则加载常用的帐户口令字典表,检测是否存在不安全的帐户;根据微软官方网站提供的补丁清单信息检查系统补丁升级情况;若开放了SQL SERVER服务,则加载常用的帐户口令字典表,检测是否存在不安全的帐户;根据服务返回的banner信息分析SQL SERVER数据库的版本,并确定该版本存在的已知安全漏洞;尝试利用存储过程xp_cmdshell执行系统命令,测试是否可以进行远程控制、权限提升;若开放了ORACLE服务,则加载常用的帐户口令字典表,检测是否存在不安全的帐户;根据服务返回的banner信息分析ORACLE数据库的版本,并确定该版本存在的已知安全漏洞;若监听器服务未设置口令保护,则连接服务,测试是否可修改服务配置或停止服务。
2.根据权利要求1所述的一种基于静态和动态分析技术的主机系统安全评估方法,其 特征在于,所述步骤1)主机系统包括操作系统和数据库系统,概要文件包括但不限于以下 方面1)操作系统语言、版本、IP地址基本信息、帐户信息、网络配置、共享、服务、关键文件 的权限信息和补丁与漏洞情况信息;2)数据库系统详细版本、监听器服务安全性、账户口令安全性、初始化参数设置安全 性、帐户口令策略、存储过程的权限设置、启动帐户权限、非必需服务、日志审计策略和认证 模式和表空间的使用情况。
3.根据权利要求1所述的一种基于静态和动态分析技术的主机系统安全评估方法,其 特征在于,所述步骤2)中由分析服务器对静态数据采集器返回的数据进行分析,确定所需 进行动态分析的具体内容,提高动态分析的针对性和命中率。
全文摘要
本发明公开了一种基于静态和动态分析技术的主机系统安全评估方法,分析评估主机系统是否存在安全风险。本系统包括静态数据采集器、动态数据采集器、远程分析服务器。通过本方法对主机系统安全性进行安全评估时的流程是通过上传静态数据采集器,采集主机系统概要文件参数、服务列表、进程信息等静态安全数据,远程分析器进行综合关联分析,根据静态安全数据分析结果,对主机系统的服务响应、漏洞匹配、深度逻辑安全等进行动态分析,通过静态和动态分析技术相结合的方法,确定主机系统是否存在安全风险。
文档编号G06F21/00GK101894230SQ20101022603
公开日2010年11月24日 申请日期2010年7月14日 优先权日2010年7月14日
发明者从正海, 余勇, 唐汗青, 朱世顺, 杨维永, 林为民, 郭骞 申请人:国网电力科学研究院;南京南瑞集团公司