专利名称:系统漏洞扫描方法及设备的制作方法
技术领域:
本发明涉及网络安全技木,尤其涉及一种系统漏洞扫描方法及设备。
背景技术:
毎年都有数以千计的网络安全漏洞被发现和公布,加上攻击者手段的不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明,99%的攻击事件都利用了未修补的漏洞,使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦,蒙受巨大的经济损失。现有技术中采用远程安全扫描器来发现计算机系统中的网络安全漏洞。远程安全扫描器中包含与预设应用服务中众多漏洞相对应的众多插件,插件的个数等于漏洞的个 数。在扫描本地的计算机系统时,远程安全扫描器调用与计算机系统中预设应用服务的漏洞相对应的插件,通过每个插件各自定义的方式,判断远程计算机对应的服务是否存在漏洞。由于现有技术中的远程安全扫描器中插件的个数随着漏洞的增长而不断增长,因此远程安全扫描器在扫描计算机系统时需要加载的插件数目是不收敛的,当插件数目到达一定程度时,扫描器引擎需要加载过多的插件,因此会加重扫描器的内存负载,降低漏洞扫描速度。
发明内容
针对传统技术的上述缺陷,本发明实施例提供一种系统漏洞扫描方法及设备。本发明实施例提供一种系统漏洞扫描方法,包括获取服务识别信息;加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件中包含的所述预设应用服务的漏洞判断规则;根据解析得到的所述漏洞判断规则以及所述服务识别信息,判断所述服务识别信息是否满足所述漏洞判断规则;若满足所述漏洞判断规则,则报告所述预设应用服务中存在系统漏洞。本发明实施例提供一种系统漏洞扫描设备,包括信息获取模块,用于获取服务识别信息;解析模块,用于加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件中包含的所述预设应用服务的漏洞判断规则;判断模块,用于根据解析得到的所述漏洞判断规则以及所述服务识别信息,判断所述服务识别信息是否满足所述漏洞判断规则;报告模块,用于若满足所述漏洞判断规则,则报告所述预设应用服务中存在系统漏洞。本发明实施例提供的方法和设备,通过加载XML解析插件,XML解析插件对包含有漏洞判断规则的XML文件进行解析,该XML文件中集合了预设应用服务所有漏洞的漏洞判断规则,因此解析该XML文件获取预设应用服务所有漏洞的漏洞判断规则后,根据漏洞判断规则对系统漏洞进行扫描,即可扫描得到预设应用服务中存在的系统漏洞,大大减轻了扫描引擎加载插件的负担,提高了扫描速度。
图I为本发明系统漏洞扫描方法第一实施例流程图;图2为本发明系统漏洞扫描方法第二实施例流程图;图3为本发明系统漏洞扫描方法第三实施例流程图;图4为本发明系统漏洞扫描方法第四实施例流程图;
图5为本发明系统漏洞扫描方法第五实施例流程图;图6为本发明系统漏洞扫描设备第一实施例结构示意图;图7为本发明系统漏洞扫描设备第二实施例结构示意图;图8为系统漏洞扫描设备中四元组判断単元的结构示意图;图9为本发明系统漏洞扫描设备第三实施例结构示意图。
具体实施例方式图I为本发明系统漏洞扫描方法第一实施例流程图,如图I所示,本发明实施例所提供的漏洞扫描方法由网络侧的远程安全扫描器中的系统漏洞扫描装置来执行,对被扫目标主机中的应用服务是否具备漏洞进行扫描。系统漏洞扫描装置可以采用软件和/或硬件的形式来实现,该方法包括步骤S102,远程安全扫描器获取服务识别信息;远程安全扫描器向目标主机发送获取服务识别信息的请求信息,目标主机根据请求信息返回相应的服务识别信息。服务识别信息含有能够唯一标识目标主机中应用服务的信息,还含有漏洞判断规则判断该应用服务中是否存在系统漏洞所需要的信息。例如,服务识别信息包含目标主机的应用服务的服务名称、版本号等,目标主机可以是目标服务器,也可以是目标客户端。步骤S104,远程安全扫描器加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件中包含的所述预设应用服务的漏洞判断规则;XML解析插件用于调用相应的函数库,解析XML文件的接ロ,获取XML文件中所包含的文件信息。目标主机中含有多类应用服务,如邮件应用服务,远程登录应用服务、万维网应用服务等。预设应用服务是指用户在扫描时,选择的目标主机中需要被扫描的应用服务。预设应用服务的标识信息是指能够唯一标识该应用服务的信息,如服务名称、月艮务序列号等。每类应用服务对应一个相应的XML文件,XML文件中记录了该类应用服务中所有漏洞的漏洞判断规则。漏洞判断规则是指判定该应用服务中存在漏洞所需要满足的条件。远程安全扫描器加载XML解析插件,XML解析插件根据用户选择的预设应用服务的标识信息,调用与预设应用服务相对应的XML文件,该XML文件中包含预设应用服务中所有漏洞的漏洞判断规则。XML解析插件调用相应的函数库,通过解析XML文件的接ロ,获得该XML文件中的漏洞判断规则。步骤S106,根据解析得到的所述漏洞判断规则以及所述服务识别信息,判断所述服务识别信息是否满足所述漏洞判断规则;远程安全扫描器根据解析预设应用服务所对应的XML文件所获得的漏洞判断规贝1J,判断目标主机返回的服务识别信息是否符合该漏洞判断规则,例如,判断服务识别信息中的版本号是否落入了漏洞判断规则中的漏洞版本号区间。步骤S108,若满足所述漏洞判断规则,则报告所述预设应用服务中存在系统漏洞。若服务识别信息满足预设应用服务的漏洞判断规则,则说明该预设应用服务中存 在系统漏洞。上报该系统漏洞的信息至远程安全扫描器的引擎,远程安全扫描器输出该系统漏洞的信息至显示界面,系统漏洞的信息包括该系统漏洞的服务名称,版本号等信息。本实施例的技术方案中,远程安全扫描器通过获取目标主机的服务识别信息,カロ载XML解析插件,解析用户需要扫描的预设应用服务所对应的XML文件,得到该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,判断目标主机的服务识别信息是否满足漏洞判断规则,若满足则说明目标主机中存在系统漏洞。实现了远程安全扫描器只加载ー个XML解析插件来分析ー个XML文件,获取该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,即可根据该漏洞判断规则来扫描目标主机判断目标主机的预设应用服务中是否存在系统漏洞,因此远程安全扫描器无需加载大量的漏洞插件即可扫描系统漏洞,大大减轻了扫描引擎的负担,加快了扫描速度。图2为本发明系统漏洞扫描方法第二实施例流程图,如图2所示,本实施例中的目标主机为服务器,具体适用于远程安全扫描器扫描目标服务器中系统漏洞的情況。该方法包括步骤S202,远程安全扫描器向目标服务器发送服务识别请求,所述服务识别请求中携帯有需要扫描的预设应用服务的标识信息,并接收所述目标服务器返回的与所述预设应用服务对应的服务识别信息;远程安全扫描器在扫描目标主机时,用户可以选择需要被扫描的预设应用服务,远程安全扫描器通过不同的端ロ向目标服务器发送服务识别请求,请求获取目标服务器中预设应用服务的服务识别信息。例如,远程安全扫描器通过80端ロ向目标服务器发送web服务的服务识别请求,请求获取目标服务器中web服务的服务识别信息。目标服务器中含有多类应用服务,按照类型可以分为万维网WWW服务,网页web服务、文件传输协议ftp服务,数据库database服务,简单邮件传输协议smtp服务,消息访问协议imap服务,第三版邮局通讯协议pop3服务,远程登录telnet服务,网络新闻传输协议nntp服务等。预设应用服务为用户选择的目标服务器中需要被扫描的应用服务。服务识别请求中携帯有能够唯一标识该预设应用服务的标识信息,例如应用服务的服务名称或序列号。远程安全扫描器接收目标服务器根据预设应用服务的标识信息返回的服务识别信息。服务识别信息中包含能够唯一标识目标主机中预设应用服务的信息,同时还含有漏洞判断规则判断该预设应用服务中是否存在系统漏洞时所需要的信息,例如服务名称、版本号等。
步骤S204,远程安全扫描器加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件,其中,所述XML文件包含所述预设应用服务的漏洞判断规则;远程安全扫描器加载XML解析插件,XML解析插件根据预设应用服务的标识信息来调用相应的XML文件,该XML文件中包含了预设应用服务中所有漏洞的漏洞判断规则。XML解析插件解析XML文件的接ロ,获取XML文件中的漏洞判断规则。步骤S206,远程安全扫描器根据所述服务识别信息生成应用服务四元组信息,所述应用服务四元组信息包含端口号、协议类型、服务名称以及版本号;远程安全扫描器将目标服务器返回的服务识别信息存储于信息共享库中,该信息共享库用于存储目标服务器各类应用服务的信息。远程安全扫描器根据信息共享库中的服务识别信息,生成该预设应用服务的应用服务四元组信息,其中,应用服务四元组信息包括了预设应用服务的端口号、协议类型、服务名称以及版本号。端ロ号是指服务器中的套接字应用程序接ロ(Socket接ロ),在套接字应用程序接ロ技术中,服务器采用不同的端ロ来提供不同的服务,例如TCP/IP协议规定Web服务采用80号端ロ,FTP服务采用21号端ロ,邮件服务采用25号端ロ。协议类型是指不同的服务所采用的通信协议,如web服务使用HTTP协议。步骤S208,远程安全扫描器根据解析得到的所述漏洞判断规则以及应用服务四元组信息,判断应用服务四元组信息是否满足所述漏洞判断规则;步骤S210,远程安全扫描器若满足所述漏洞判断规则,则报告所述预设应用服务中存在系统漏洞。若应用服务四元组信息满足漏洞判断规则,则说明预设应用服务中存在系统漏洞,上报该漏洞的漏洞信息至远程安全扫描器的引擎,远程安全扫描器输出该漏洞信息至显示界面。本实施例的技术方案中,远程安全扫描器通过获取目标服务器的服务识别信息,加载XML解析插件,解析用户需要扫描的预设应用服务所对应的XML文件,得到该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,判断目标服务器的服务识别信息是否满足漏洞判断规则,若满足则说明目标服务器中存在系统漏洞。实现了远程安全扫描器只加载ー个XML解析插件来分析ー个XML文件,获取该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,即可根据该漏洞判断规则来扫描目标服务器判断目标服务器的预设应用服务中是否存在系统漏洞,因此远程安全扫描器无需加载大量的漏洞插件即可扫描系统漏洞,大大减轻了扫描引擎的负担,加快了扫描速度。图3为本发明系统漏洞扫描方法第三实施例流程图,本实施例基于图2所示实施例实现,该方法包括步骤S302,远程安全扫描器向目标服务器发送服务识别请求,所述服务识别请求中携帯有需要扫描的预设应用服务的标识信息,并接收所述目标服务器返回的与所述预设应用服务对应的服务识别信息;步骤S304,远程安全扫描器加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件,其中,所述XML文件包含所述预设应用服务的漏洞判断规则,所述漏洞判断规则包括所述预设应用服务的漏洞服务名称以及漏洞版本号区间;步骤S306,根据所述服务识别信息生成应用服务四元组信息,所述应用服务四元组信息包含端口号、协议类型、服务名称以及版本号;步骤S302、S304、S306的处理流程參见图2中实施例,此处不再赘述。步骤S308,根据述漏洞判断规则的多个漏洞服务名称,与应用服务四元组信息中的服务名称进行正则匹配;通过正则表达式的方式,根据从XML文件中解析得到的漏洞判断规则的漏洞服务名称,去与应用服务四元组信息中的服务名称进行正则匹配,若匹配成功则进入步骤S310,若服务名称匹配不成功,说明目标服务器的预设应用服务不存在系统漏洞,结束本流程。步骤S310,若服务名称匹配成功,则判断所述应用服务四元组信息中的版本号是否落入所述漏洞判断规则中的漏洞版本号区间;应用服务四元组信息中的服务名称与漏洞服务名称匹配相同,判断该服务名称对应的版本号是否落入到漏洞服务名称对应的漏洞版本号区间之内,若是则说明应用服务四元组信息满足漏洞判断规则,进入步骤S312。步骤S312,满足所述漏洞判断规则,则报告所述预设应用服务中存在系统漏洞。上报系统漏洞的信息至远程安全扫描器引擎,远程安全扫描器将系统漏洞的信息输出至显不界面。具体地,以用户选择web服务作为预设应用服务扫描为例向目标服务器的80端ロ发送超文本传输协议获取HTTP GET请求(即服务识别请求),HTTP GET请求中携帯的预设应用服务名称为web服务,目标服务器响应HTTP GET请求,并在回应的数据包(即服务识别信息)中包含了 web服务的版本信息,如服务名称为APACHE,版本号为2. I,将该服务识别信息保存在信息共享数据库中。XML解析插件根据预设应用服务的名称(web服务),调用对应的XML文件,文件名称为web. xml ο在web. xml中包含了 web服务的多个漏洞的漏洞判断规则。其中web服务的A漏洞判断规则为appver name= “APACHE”,ver= “2· 0, 2. I”,其中name为漏洞服务名称,能够唯一标识该应用服务;ver为漏洞版本号范围。根据信息共享数据库中保存web服务的服务识别信息,生成的web服务四元组信息端口号为80,协议类型为HTTP,服务名称为APACHE,版本号为2. I。根据web. xml中漏洞判断规则的多个漏洞服务名称,去与web服务四元组信息中的服务名称进行正则匹配,web服务A漏洞判断规则的漏洞服务名称为APACHE,与web服务四元组信息中服务名称相同,即匹配成功。然后判断web服务四元组信息中服务名称为APACHE的版本号2. I是否落入到漏洞判断规则中A漏洞判断规则的漏洞版本号区间[2. O,2.2]之内。由于2. 0〈2. 1〈2. 2,因此目标服务器中的web服务存在系统漏洞A。输出A漏洞的信息至显示设备,具体包括A漏洞的服务名称、版本号等信息。本实施例的技术方案中,远程安全扫描器通过获取目标服务器的服务识别信息,加载XML解析插件,解析用户需要扫描的预设应用服务所对应的XML文件,得到该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,判断目标服务器的服务识别信息是否满足漏洞判断规则,若满足则说明目标服务器中存在系统漏洞。实现了远程安全扫描器只加 载ー个XML解析插件来分析ー个XML文件,获取该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,即可根据该漏洞判断规则来扫描目标服务器判断目标服务器的预设应用服务中是否存在系统漏洞,因此远程安全扫描器无需加载大量的漏洞插件即可扫描系统漏洞,大大减轻了扫描引擎的负担,加快了扫描速度。图4为本发明系统漏洞扫描方法第四实施例流程图,如图4所示,本实施例的目标主机为客户端,本发明实施例所提供的漏洞扫描方法由网络侧的远程安全扫描器中的系统漏洞扫描装置来执行,对被扫目标主机中的应用服务是否具备漏洞进行扫描。系统漏洞扫描装置可以采用软件和/或硬件的形式来实现,该方法包括步骤S402,远程安全扫描器向目标客户端发送服务识别请求信息,获取所述目标客户端根据所述服务识别请求信息返回的服务识别信息,其中,所述服务识别信息为所述目标客户端的注册表;远程安全扫描器向目标客户端发送服务识别请求信息,调用服务信息块(ServerMessage Block,简称SMB)的接ロ,获取目标客户端返回的注册表。服务识别请求信息用于请求获取目标客户端的注册表,注册表中包含目标客户端所有应用服务的信息。 步骤S404,远程安全扫描器加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件,其中,所述XML文件包含所述预设应用服务中所有漏洞的漏洞判断规则,所述漏洞判断规则中包括所述预设应用服务的注册表路径以及所述漏洞版本号区间;远程安全扫描器加载XML解析插件,XML解析插件根据预设应用服务的标识信息,如应用服务的服务名称或序列号,调用与预设应用服务相对应的XML文件。该XML文件中包含预设应用服务所有漏洞的漏洞判断规则。XML解析插件调用相应的函数库,解析XML文件的接ロ,获取XML文件中的漏洞判断规则,包括预设应用服务的注册表路径,以及漏洞版本号区间。步骤S406,远程安全扫描器根据解析所述XML文件得到所述注册表路径,查询所述目标客户端的注册表,获取所述注册表路径下所述预设应用服务的版本号;根据解析得到的预设应用服务的注册表路径,查询目标客户端注册表中该注册表路径下的预设应用服务的版本号。步骤S408,判断所述预设应用服务的版本号是否落入所述漏洞版本号区间;判断目标客户端注册表中注册表路径下预设应用服务的版本号是否落入到漏洞判断规则的漏洞版本号区间之内,若是则满足该漏洞判断规则,进入步骤S410。若否则不满足该漏洞判断规则,说明目标客户端的预设应用服务不存在系统漏洞,本流程结束。步骤S410,满足所述漏洞判断规则,则报告所述预设应用服务中存在系统漏洞。上报该系统漏洞至远程安全扫描器的引擎,远程安全扫描器输出该系统漏洞的信息至显不界面。本实施例的技术方案中,远程安全扫描器通过获取目标客户端的注册表,加载XML解析插件,解析用户需要扫描的预设应用服务所对应的XML文件,得到该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,查询目标客户端的注册表获取漏洞判断规则中的注册表路径所指向的注册表中预设应用程序的版本号,判断该版本号是否落入漏洞版本号区间,若是则说明目标客户端中存在系统漏洞。实现了远程安全扫描器只加载ー个XML解析插件来分析ー个XML文件,获取该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,即可根据该漏洞判断规则来扫描目标客户端判断目标客户端的预设应用服务中是否存在系统漏洞,因此远程安全扫描器无需加载大量的漏洞插件即可扫描系统漏洞,大大减轻了扫描引擎的负担,加快了扫描速度。图5为本发明系统漏洞扫描方法第五实施例流程图,如图5所示,本实施例基于图4所示实施例实现,该方法包括步骤S502,远程安全扫描器向目标客户端发送服务识别请求信息,获取所述目标客户端根据所述服务识别请求信息返回的服务识别信息,其中,所述服务识别信息为所述目标客户端的注册表;具体处理流程參见图4中实施例,此处不再赘述。步骤S504,远程安全扫描器加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件,其中,所述XML文件包含所述预设应用服务的漏洞判断规则,XML文件中的漏洞判断规则包括主判断条件和辅助判断条件。其中主判断条件包括预设应用服务的注册表路径、漏洞版本号区间、漏洞编号ID以及漏洞可信度,辅助的判断条件包括是否安装了补丁;步骤S506,根据解析XML文件得到的注册表路径,查询目标客户端的注册表,获取注册表路径下所述预设应用服务的信息,包括版本号,安装补丁序列号;步骤S508,判断目标客户端的注册表中的信息同时满足漏洞判断规则的主判断条件和辅助判断条件,则认定目标客户端的预设应用服务存在系统漏洞;若满足主判断条件,不满足辅助判断条件,则认定不存在系统漏洞;若满足主判断条件,而无法判断是否满足辅助判断条件,则认定存在系统漏洞,但漏洞可信度减I ;若目标客户端的注册表中的信息同时满足漏洞判断规则的主判断条件和辅助判断条件,则认定目标客户端的预设应用服务存在系统漏洞,进入步骤S510 ;若满足主判断条件,不满足辅助判断条件,则认定不存在系统漏洞,结束本流程;若满足主判断条件,而无法判断是否满足辅助判断条件,则认定存在系统漏洞,但漏洞可信度减I进入步骤S510。步骤S510,报告所述预设应用服务中存在系统漏洞的信息以及可信度。上报预设应用服务中存在系统漏洞,输出该系统漏洞的信息到显示界面,包括漏洞服务名称、漏洞ID、漏洞的可信度。具体地,以目标客户端的IE作为预设应用服务进行扫描为例调用SMB的接ロ,获取目标客户端的注册表。加载XML解析插件,XML解析插件根据用户选择扫描的预设应用程序即IE,调用与IE相对应的XML文件,该XML文件的文件名为ie. xml,ie. xml中包含了 IE浏览器的漏洞判断规则,该漏洞判断规则包括主判断条件和辅助判断条件。主判断条件为vulid一90034”,trust= “15”,regpath= ^HKLM\SOFTffARE\MICR0S0FT\INTERNET EXPL0RER\VERSI0N”,ver= “6. 9,9. 0”,辅助判断条件为kb<> “KB2565774”。其中 vulid 为漏洞编号 ID, trust为可信度,regpath为注册表路径,ver为漏洞版本区间,kb为补丁序列号。根据regpath的值查询目标客户端的注册表,获取注册表路径下IE的信息,包括版本号为7. 0,安装补丁序列号为KB2565774。
判断目标客户端的注册表中IE的信息是否满足i e. xml的漏洞判断规则,
6.0<7. 0<9. O满足漏洞判断规则的主判断条件,安装补丁序列号与辅助判断条件中的补丁序列号相同,不满足辅助判断条件。因此目标客户端的IE浏览器不存在系统漏洞,结束本流程。本实施例的技术方案中,远程安全扫描器通过获取目标客户端的注册表,加载XML解析插件,解析用户需要扫描的预设应用服务所对应的XML文件,得到该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,查询目标客户端的注册表获取漏洞判断规则中的注册表路径所指向的注册表中预设应用程序的版本号,判断该版本号是否落入漏洞版本号区间,若是则说明目标客户端中存在系统漏洞。实现了远程安全扫描器只加载ー个XML解析插件来分析ー个XML文件,获取该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,即可根据该漏洞判断规则来扫描目标客户端判断目标客户端的预设应用服务中是否存在系统漏洞,因此远程安全扫描器无需加载大量的漏洞插件即可扫描系统漏洞,大大减轻了扫描引擎的负担,加快了扫描速度。 图6为本发明系统漏洞扫描设备第一实施例结构示意图,如图6所示,该系统漏洞扫描设备包括信息获取模块11、解析模块12、判断模块13、报告模块14,其中信息获取模块11用于获取服务识别信息;信息获取模块11将获取到的服务识别信息发送至判断模块13。解析模块12获取用户发送的预设应用服务标识信息,如预设应用服务的服务名称、服务序列号等,加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件,其中,所述XML文件包含所述预设应用服务的漏洞判断规则。判断模块13,用于根据解析得到的所述漏洞判断规则以及所述服务识别信息,判断所述服务识别信息是否满足所述漏洞判断规则;判断模块13根据信息获取模块11发送的服务识别信息以及解析模块12发送的漏洞判断规则,判断预设应用服务的服务识别信息是否满足漏洞判断规则,若是则通知报告模块14,上报预设应用服务的系统漏洞。本发明各实施例提供的系统漏洞扫描设备用于执行本发明实施例提供的系统漏洞扫描方法,具备相应的功能模块。本实施例的技术方案中,远程安全扫描器通过获取目标主机的服务识别信息,カロ载XML解析插件,解析用户需要扫描的预设应用服务所对应的XML文件,得到该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,判断目标主机的服务识别信息是否满足漏洞判断规则,若满足则说明目标主机中存在系统漏洞。实现了远程安全扫描器只加载ー个XML解析插件来分析ー个XML文件,获取该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,即可根据该漏洞判断规则来扫描目标主机判断目标主机的预设应用服务中是否存在系统漏洞,因此远程安全扫描器无需加载大量的漏洞插件即可扫描系统漏洞,大大减轻了扫描引擎的负担,加快了扫描速度。图7为本发明系统漏洞扫描设备第二实施例结构示意图,本实施例基于图6所示的实施例而实现,本实施例中系统漏洞扫描设备扫描的目标主机为服务器,如图7所示,该系统漏洞扫描设备包括信息获取模块21、解析模块22、判断模块23、报告模块24,信息获取模块21包括第一请求获取単元211 ;判断模块23包括四元组生成単元231、四元组判断单元232,其中信息获取模块21、解析模块22、判断模块23以及报告模块24的功能实现方式參见上述实施例,此处不再赘述。第一请求获取単元211用于向目标服务器发送服务识别请求,所述服务识别请求中携帯有需要扫描的预设应用服务的标识信息,并接收所述目标服务器返回的与所述预设应用服务对应的服务识别信息。四元组生成単元231用于根据所述服务识别信息生成应用服务四元组信息,所述应用服务四元组信息包含端口号、协议类型、服务名称以及版本号;四元组判断単元232用于根据解析得到的所述漏洞判断规则以及应用服务四元组信息,判断应用服务四元组信息是否满足所述漏洞判断规则。若满足漏洞判断规则,通知报告模块24上报漏洞信息。本实施例的技术方案中,远程安全扫描器通过获取目标服务器的服务识别信息,加载XML解析插件,解析用户需要扫描的预设应用服务所对应的XML文件,得到该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,判断目标服务器的服务识别信息是否满足漏洞判断规则,若满足则说明目标服务器中存在系统漏洞。实现了远程安全扫描器只加载ー个XML解析插件来分析ー个XML文件,获取该XML文件中包含的预设应用服务所有漏 洞的漏洞判断规则,即可根据该漏洞判断规则来扫描目标服务器判断目标服务器的预设应用服务中是否存在系统漏洞,因此远程安全扫描器无需加载大量的漏洞插件即可扫描系统漏洞,大大减轻了扫描引擎的负担,加快了扫描速度。在另ー实施例中,如图8所示,图8为系统漏洞扫描设备中四元组判断单元的结构示意图,四元组判断単元232包括名称判断子単元2321和版本判断子単元2322,其中XML文件中的漏洞判断规则包括预设应用服务的漏洞服务名称以及漏洞版本号,其中名称判断子単元2321用于根据漏洞判断规则的多个漏洞服务名称,与应用服务四元组信息中的服务名称进行正则匹配;版本判断子単元2322用于当服务名称匹配成功时,判断所述应用服务四元组信息中的版本号是否落入所述漏洞判断规则中的漏洞版本号区间,若是则满足所述漏洞判断规则。图9为本发明系统漏洞扫描设备第三实施例结构不意图,本实施例基于图6所不的实施例而实现,本实施例中系统漏洞扫描设备扫描的目标主机为客户端,如图9所示,该系统漏洞扫描设备包括信息获取模块31、解析模块32、判断模块33、报告模块34,信息获取模块31还包括第二请求获取単元311 ;判断模块包括版本号获取单元331、版本号判断单元332,其中信息获取模块31、解析模块32、判断模块33以及报告模块34的功能实现方式參见上述实施例,此处不再赘述。第二请求获取単元311用于向目标客户端发送服务识别请求信息,获取所述目标客户端根据所述服务识别请求信息返回的服务识别信息,其中,所述服务识别信息为所述目标客户端的注册表;漏洞判断规则中包括所述预设应用服务的注册表路径以及所述漏洞版本号区间;版本号获取单元331用于根据解析所述XML文件得到所述注册表路径,查询所述目标客户端的注册表,获取所述注册表路径下所述预设应用服务的版本号;版本号判断単元332用于判断所述预设应用服务的版本号是否落入所述漏洞版本号区间,若是则满足所述漏洞判断规则。本实施例的技术方案中,远程安全扫描器通过获取目标客户端的注册表,加载XML解析插件,解析用户需要扫描的预设应用服务所对应的XML文件,得到该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,查询目标客户端的注册表获取漏洞判断规则中的注册表路径所指向的注册表中预设应用程序的版本号,判断该版本号是否落入漏洞版本号区间,若是则说明目标客户端中存在系统漏洞。实现了远程安全扫描器只加载ー个XML解析插件来分析ー个XML文件,获取该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,即可根据该漏洞判断规则来扫描目标客户端判断目标客户端的预设应用服务中是否存在系统漏洞,因此远程安全扫描器无需加载大量的漏洞插件即可扫描系统漏洞,大大减轻了扫描引擎的负担,加快了扫描速度。在另ー实施例中,系统漏洞扫描设备扫描的目标主机为客户端,判断模块33还包括补丁序列号获取单元333以及补丁序列号判断単元334,其中XML文件中的漏洞判断规则包括主判断条件和辅助判断条件。其中主判断条件包括预设应用服务的注册表路径、漏洞版本号区间、漏洞编号ID以及漏洞可信度,辅助的判断条件包括是否安装了补丁。补丁序列号获取单元135用于根据解析XML文件得到注册表路径,查询目标客户端的注册表,获取所述注册表路径下所述预设应用服务的安装补丁序列号;补丁序列号判断単元136用于根据安装补丁序列号判断目标客户端是否安装了补、丁,若是则满足漏洞判断规则中的辅助判断条件。若目标客户端的注册表中预设应用服务的版本号以及安装补丁序列号同时满足漏洞判断规则的主判断条件和辅助判断条件,则认定目标客户端的预设应用服务存在系统漏洞;若满足主判断条件,不满足辅助判断条件,则认定不存在系统漏洞;若满足主判断条件,而无法判断是否满足辅助判断条件,则认定存在系统漏洞,但漏洞可信度减I。报告模块14用于报告目标客户端的预设应用服务中存在系统漏洞,输出该系统漏洞的信息至显示界面,漏洞的信息包括漏洞服务名称、漏洞ID、漏洞的可信度。本实施例的技术方案中,远程安全扫描器通过获取目标客户端的注册表,加载XML解析插件,解析用户需要扫描的预设应用服务所对应的XML文件,得到该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,查询目标客户端的注册表获取漏洞判断规则中的注册表路径所指向的注册表中预设应用程序的版本号,判断该版本号是否落入漏洞版本号区间,若是则说明目标客户端中存在系统漏洞。实现了远程安全扫描器只加载ー个XML解析插件来分析ー个XML文件,获取该XML文件中包含的预设应用服务所有漏洞的漏洞判断规则,即可根据该漏洞判断规则来扫描目标客户端判断目标客户端的预设应用服务中是否存在系统漏洞,因此远程安全扫描器无需加载大量的漏洞插件即可扫描系统漏洞,大大减轻了扫描引擎的负担,加快了扫描速度。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于ー计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管參照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种系统漏洞扫描方法,其特征在于,包括 获取服务识别信息; 加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件中包含的所述预设应用服务的漏洞判断规则; 根据解析得到的所述漏洞判断规则以及所述服务识别信息,判断所述服务识别信息是否满足所述漏洞判断规则; 若满足所述漏洞判断规则,则报告所述预设应用服务中存在系统漏洞。
2.根据权利要求I所述的方法,其特征在于,获取服务识别信息包括 向目标服务器发送服务识别请求,所述服务识别请求中携帯有需要扫描的预设应用服务的标识信息,并接收所述目标服务器返回的与所述预设应用服务对应的服务识别信息。
3.根据权利要求2所述的方法,其特征在于,根据解析得到的所述漏洞判断规则以及所述服务识别信息,判断所述服务识别信息是否满足所述漏洞判断规则包括 根据所述服务识别信息生成应用服务四元组信息,所述应用服务四元组信息包含端ロ号、协议类型、服务名称以及版本号; 根据解析得到的所述漏洞判断规则以及应用服务四元组信息,判断应用服务四元组信息是否满足所述漏洞判断规则。
4.根据权利要求3所述的方法,其特征在于,所述漏洞判断规则包括所述预设应用服务的漏洞服务名称以及漏洞版本号区间; 根据解析得到的所述漏洞判断规则以及应用服务四元组信息,判断应用服务四元组信息是否满足所述漏洞判断规则包括 根据所述漏洞判断规则的多个漏洞服务名称,与所述应用服务四元组信息中的服务名称进行正则匹配;若服务名称匹配成功,则判断所述应用服务四元组信息中的版本号是否落入所述漏洞判断规则中的漏洞版本号区间,若是则满足所述漏洞判断规则。
5.根据权利要求I所述的方法,其特征在于 获取服务识别信息包括 向目标客户端发送服务识别请求信息,获取所述目标客户端根据所述服务识别请求信息返回的服务识别信息,其中,所述服务识别信息为所述目标客户端的注册表; 所述漏洞判断规则中包括所述预设应用服务的注册表路径以及所述漏洞版本号区间; 则根据解析得到的所述漏洞判断规则以及所述服务识别信息,判断所述服务识别信息是否满足所述漏洞判断规则包括 根据解析所述XML文件得到所述注册表路径,查询所述目标客户端的注册表,获取所述注册表路径下所述预设应用服务的版本号; 判断所述预设应用服务的版本号是否落入所述漏洞版本号区间,若是则满足所述漏洞判断规则。
6.一种系统漏洞扫描设备,其特征在于,包括 信息获取模块,用于获取服务识别信息; 解析模块,用于加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件中包含的所述预设应用服务的漏洞判断规则;判断模块,用于根据解析得到的所述漏洞判断规则以及所述服务识别信息,判断所述服务识别信息是否满足所述漏洞判断规则; 报告模块,用于若满足所述漏洞判断规则,则报告所述预设应用服务中存在系统漏洞。
7.根据权利要求6所述的设备,其特征在于,所述信息获取模块包括 第一请求获取単元,用于向目标服务器发送服务识别请求,所述服务识别请求中携帯有需要扫描的预设应用服务的标识信息,并接收所述目标服务器返回的与所述预设应用服务对应的服务识别信息。
8.根据权利要求7所述的设备,其特征在于,所述判断模块包括 四元组生成単元,用于根据所述服务识别信息生成应用服务四元组信息,所述应用服务四元组信息包含端口号、协议类型、服务名称以及版本号; 四元组判断単元,用于根据解析得到的所述漏洞判断规则以及应用服务四元组信息,判断应用服务四元组信息是否满足所述漏洞判断规则。
9.根据权利要求8所述的设备,其特征在干,所述漏洞判断规则包括所述预设应用服务的漏洞服务名称以及漏洞版本号区间; 所述四元组判断单元包括 名称判断子単元,用于根据所述漏洞判断规则的多个漏洞服务名称,与所述应用服务四元组信息中的服务名称进行正则匹配; 版本判断子単元,若服务名称匹配成功,则判断所述应用服务四元组信息中的版本号是否落入所述漏洞判断规则中的漏洞版本号区间,若是则满足所述漏洞判断规则。
10.根据权利要求6所述的设备,其特征在于,所述信息获取模块包括 第二请求获取単元,用于向目标客户端发送服务识别请求信息,获取所述目标客户端根据所述服务识别请求信息返回的服务识别信息,其中,所述服务识别信息为所述目标客户端的注册■表; 所述漏洞判断规则中包括所述预设应用服务的注册表路径以及所述漏洞版本号区间; 所述判断模块包括 版本号获取单元,用于根据解析所述XML文件得到所述注册表路径,查询所述目标客户端的注册表,获取所述注册表路径下所述预设应用服务的版本号; 版本号判断単元,用于判断所述预设应用服务的版本号是否落入所述漏洞版本号区间,若是则满足所述漏洞判断规则。
全文摘要
本发明提供一种系统漏洞扫描方法及设备,包括获取服务识别信息;加载XML解析插件,通过所述XML解析插件根据预设应用服务的标识信息,调用并解析XML文件,其中,所述XML文件包含所述预设应用服务的漏洞判断规则;根据解析得到的所述漏洞判断规则以及所述服务识别信息,判断所述服务识别信息是否满足所述漏洞判断规则;若满足所述漏洞判断规则,则报告所述预设应用服务中存在系统漏洞。通过加载XML解析插件,XML解析插件对包含有漏洞判断规则的XML文件进行解析,并根据漏洞判断规则对系统漏洞进行扫描,提高了漏洞扫描速度。
文档编号H04L29/06GK102710642SQ201210179929
公开日2012年10月3日 申请日期2012年6月1日 优先权日2012年6月1日
发明者李振环, 王琰, 郭大兴 申请人:北京神州绿盟信息安全科技股份有限公司