技术领域
[0001] 本
发明涉及一种网络安全检测方法,尤其涉及一种针对网络目标的自动化安全检测方法。
背景技术
[0002] 在信息社会,信息安全被视为“非传统安全”的核心内容和安全体系的关键因素,倍受政府和企业的关注,在利益的驱使下,信息系统的安全受到了前所未有的挑战,在不可能离开信息化的今天,所有信息系统所有者能做的就是和信息安全事件的制造者进行一轮又一轮的对抗;信息系统的安全关注点从信息化应用之初的
操作系统漏洞安全发展到WEB安全,继而发展到目前关注的
云计算和
物联网信息安全,在这个背景下的检测防护手段必须进行相关的革新。
[0003] 目前国内外有针对信息系统安全检查的方法相对传统,虽然品牌众多,但原理一致,都是通过针对主机漏洞或WEB漏洞的扫描器进行已知漏洞的匹配扫描,发现漏洞的时候进行修复操作,当信息系统安全问题不是由漏洞引起的时候只能通过信息安全人员的手工检查,凭借经验发现问题进而解决,其缺点非常明显,具体如下:1)检查的资源仅限于当前目标的web应用程序,不能全面反映信息系统目前面临的安全威胁,且不适合多种类型应用的复杂环境;2)效率低下,检测结果作为信息安全工程师的参考依据,人工分析的效率非常低下,且需要不同专业工程师进行协作,在重大信息系统或多系统同时检测时更是无
力解决;3)误判率高,测试的准确率来之工程师的能力
水平、责任态度和检测深度,通过人工检测误判率高是必然的问题;4)成本高,由于目前国内外具备渗透测试的信息安全从业人员相对较少,人力资源成本过高,加上人工检测效率的低下,安全检测的总成本非常高,很少有系统所有者愿意支付高昂的
费用,导致系统安全问题越积越多。
[0004] 由上可见,目前信息安全检测手段存在单一化、效率低、误判率高、成本高等问题,导致产业的推广遇到了
瓶颈。
发明内容
[0005] 本发明所要解决的技术问题是提供一种针对网络目标的自动化安全检测方法,具有检测手段多样化、效率高、误判率低和成本低的优点,并且易于推广应用。
[0006] 本发明为解决上述技术问题而采用的技术方案是提供一种针对网络目标的自动化安全检测方法,包括如下步骤:a)在主
服务器中部署多线程监听模
块,用于接收用户从系统客户端发出的检查
请求信息;b)在主服务器中部署目标分析模块,用于接收多线程监听模块发出的指令,并根据目标系统的特性进行目标分析,检测目标所使用的端口、开发脚本语言、社工和应用特性;c)在主服务器中部署目标检测模块用于接收目标分析模块的结果特性进行分类检测;d)在主服务器中部署数字序列,根据目标检测模块结果输出检测序列。
[0007] 上述的针对网络目标的自动化安全检测方法,其中,所述步骤a)中检查请求信息包括用户ID、ip地址、域名、邮箱、姓名和手机号码,所述检查请求信息按照项目属组编号。
[0008] 上述的针对网络目标的自动化安全检测方法,其中,所述步骤b)中目标分析模块生成的分析序列为:[Z1·····Zn,W],其中, An为目标检测模块的序列编号,Rn为目标检测模块的权重,Yn为目标检测模块间的依赖关系参数。
[0009] 上述的针对网络目标的自动化安全检测方法,其中,所述步骤c)中采用分布式结构部署目标检测模块,所述目标检测模块包括信息收集模块、协议收集模块、主机类漏洞发现模块、WEB漏洞发现模块和密码暴力破解模块。
[0010] 上述的针对网络目标的自动化安全检测方法,其中,所述主服务器中还部署有配置核查模块、自动渗透模块、脚本测试模块和报表输出模块。
[0011] 上述的针对网络目标的自动化安全检测方法,其中,所述信息收集模块包括如下处理过程:c1)获取当前目标的类型,包括域名解析数据、IP地址和域名;c2)获取WHOIS信息、DNS服务商信息、管理员邮箱电话号码和注册地址;c3)收集当前目标是否使用知名CMS
框架;c4)收集当前目标的开放端口;c5)收集当前目标服务信息,所述当前目标服务信息包括
中间件信息;c6)检查当前目标存在的子域名信息。
[0012] 上述的针对网络目标的自动化安全检测方法,其中,所述主服务器设置web服务程序,用于提交用户检测请求、提供下载报表以及查看比对历史检测结果。
[0013] 上述的针对网络目标的自动化安全检测方法,其中,所述主服务器上设置分布式
数据库,用于存储安全检查各个阶段所产生的数据,并使用分布式存储的机制,将数据库实时同步至各个
支点上。
[0014] 上述的针对网络目标的自动化安全检测方法,其中,所述主服务器上设有定时复查模块,用于定时分析分布式数据库中的数据,如在检查中发现可利用的资源,则系统服务端中的目标检测模块开启新的线程进行分类检测。
[0015] 本发明对比
现有技术有如下的有益效果:本发明提供的针对网络目标的自动化安全检测方法,通过设置多线程监听模块和目标分析模块,采用不同的目标检测模块进行分类检测,从而具有检测手段多样化、效率高、误判率低和成本低的优点,易于推广应用。
附图说明
[0016] 图1为本发明针对网络目标的自动化安全检测系统架构示意图;
[0017] 图2为本发明针对网络目标的自动化安全检测流程示意图。
具体实施方式
[0018] 下面结合附图和
实施例对本发明作进一步的描述。
[0019] 图1为本发明针对网络目标的自动化安全检测系统架构示意图;图2为本发明针对网络目标的自动化安全检测流程示意图。
[0020] 请参见图1和图2,本发明提供的针对网络目标的自动化安全检测方法包括如下步骤:
[0021] 步骤S1:在系统服务端中建立多线程监听模块mult-server-listener;用于接收客户端发送的检查请求信息,包括如ip地址、域名、邮箱、姓名、手机号码等一系列的可用信息;根据提交用户的ID建立项目属组,并根据属组进行任务下发,建立项目属组编号X[X1·Xn](X可人为定义,亦可根据先后顺序排列),X作为属组编号,伴随整个检查工作的生命周期,同时多线程监听模块mult-server-listener在该任务尚未结束前,不接受同用户提交的同项目目标检查任务,当且仅当该任务正常或强终结后,多线程监听模块mult-server-listener才会接收相同目标的新任务,该设计有几点优势,其一、防止因用户的误操作带来系统资源的过度浪费;其二、方便用户对历史检查数据进行挖掘分析。
[0022] 步骤S2:在系统服务端中建立目标分析模块target-analysis;用于分析对应的客户端所提交的检测目标所属类型,检测目标所使用的端口、开发脚本语言、社工和应用特性。所属类型有如:主服务器、数据库服务器、网络设备、web
应用服务器、中间件、特定企业、特定人员;根据不同的类型设置不同的操作处理流程及
指定对应的目标检测模块。通过步骤S1接收到的数据,在target-analysis为每一个处理模块进行序列编号以便接下来根据编号进行任务处理工作,序列编号方法为:[A1······An](序号在系统设计时由开发工程师生成),每一个目标检测模块根据其特性分配权重[R1······Rn](部分权重可以相同),根据目标检测模块间可能存在的依赖关系设定依赖关系参数[Y1······Yn],设定系统中的特权模块(必须优先执行的,多特权模块的情况下并行处理),设定参数为[Z1······Zn];生成的分析序列的计算公式为: 其目标分析序列即为:[Z1·····Zn,W];该设计有几点优势,其一、智能化处理,根据不同目标下发不同的计算处理指令,节约处理资源,效率高;其二、目标
定位准确,检测结果精准。
[0023] 步骤S3:在系统服务端中建立目标检测模块target-scan,target-scan包括若干子模块,用于各种目标类型的细致检测,如:信息收集模块、漏洞发现模块、暴力破解模块、配置核查模块、自动渗透模块、脚本测试模块、报表输出模块等;通过步骤S2中target-analysis模块分析的序列结果分配相应的模块执行操作,该过程为线性处理,当target-scan接收到步骤S2中target-analysis模块的分析序列为Wn时,同步获取当前检查任务的属组编号Xn,即刻开始功能性处理,其生成结果赋予相应内容标记T[T1······Tn],以信息收集模块为例:1、反查Xn编号获取当前目标的类型,如:域名解析数据、IP地址、同IP地址的不同域名;2、获取WHOIS信息、DNS服务商信息、管理员邮箱电话号码注册地址等信息;3、收集当前目标是否使用知名CMS框架及其他信息;4、收集当前目标的开放端口;5、收集当前目标服务信息,如:中间件信息;6、检查当前目标存在的子域名的相关信息;该设计有几点优势,其一、检测模块分布式部署,效率高;其二、检测模块独立设计,准确率高;其三、开放
接口,降低模块间的耦合度。
[0024] 步骤S4:根据渗透安全工程师的检查手段定义编号序列J[J1······Jn](不同编号代表不同的渗透检查手段),Jn所涉及内容进行标签定义t,根据步骤S3的检查结果所对应的内容标记T和J所对应的t进行匹配,实际匹配的检查序列为:
[0025]
[0026] 将检查思路数字模拟化,根据thought-list进行J所代表的检查内容进行相关命令执行;
[0027] 步骤S5:从上一步收到检查序列之后,首先使用rpc-mapper函数对任务进行分析,经过rpc-mapper函数分析,如该任务可以被分解为多个子任务并允许并行处理,则进一步检查当前集群中可以处理当前任务的rpc主机,获取其rpc的主机地址和端口信息及rpc执行格式,由rpc-mapper函数将任务分发至多个rpc主机来执行,具体执行步骤如下:
[0028] 1.确定分布式计算的执行的最大rpc主机数maxt,单一rpc主机可执行的平均计算量maxc,单一rpc主机可执行的最小计算量maxm;
[0029] 2.经过rpc-mapper函数中的conM方法来计算当前任务的计算量:X;
[0030] 3.由rpc-mapper函数中的conH方法来计算应使用rpc主机的数量,计算方法为:
[0031] If X<=maxm:
[0032] conH=1
[0033] Return conH
[0034] Elif X>maxm:
[0035] conH=X/maxln
[0036] Return conH
[0037] If conH>maxt:
[0038] Exec Job(conH-maxt);then exec Job(maxt)
[0039] Else:exec job(conH)
[0040] 执行完成后,将执行结果发送至result_commit函数,进行整合、去重,最后将结果写入数据库;
[0041] 步骤S6:建立分布式数据库had-dbbase,用于存储安全检查各个阶段所产生的数据,并使用分布式存储的机制,将数据库实时同步至各个支点上;
[0042] 步骤S7:在系统服务端建立一个定时复查模块clock-check,用于定时分析分布式数据库had-dbbase中的数据,如在检查中发现可利用的资源,则系统服务端中的目标检测模块target-scan将开启新的线程,通过继续执行步骤S5操作,更加细致的检查目标;
[0043] 步骤S8:在系统服务端建立一个web服务应用程序BP-WebServer,用于提供用户一个提交检查目标、查询检查结果的统一浏览接口;
[0044] 步骤S9:BP-WebServer提供下载报表的功能,方便用户阅览和保存检查的结果。
[0045] 综上所述,本发明提供的针对网络目标的自动化安全检测方法,通过设置多线程监听模块和目标分析模块,采用不同的目标检测模块进行分类检测,通过模拟安全工程师的思维和渗透方法来实现的一个安全工作平台,考虑到计算量大、任务多、分析过程复杂和存储读取快等要求,采用分布式技术处理计算,将各个功能模块分布在不同的集群中,针对数据量大和读取速度要求,采用文档型数据库和实时备份技术,以模拟渗透工程师的思路为渗透引擎的核心模块,实现自动化渗透和引擎的扩展。具体优点如下:1、整个安全检测的过程通过调度模块控制,无需人工干预,自动化检测目标的方法;2、采用分布式执行指令,采用目标分析模块核心
算法进行执行序列优化,将各个功能组件模块化,便于部署和扩展;3、先进的目标检测模块target-scan,创新的检索探测目标信息方法,为进一步安全渗透检查提供可靠全面的数据;4、自定义的
人机交互模式,创新的利用脚本执行替代人工渗透的手法;5、自行设计的rpc-mapper函数分析方法,有效分析多线程任务执行选择机制,合理利用资源,优化效率;6、采用分布式的存储,降低数据库的存储压力、提高读写效率,提高数据库的安全性;7、系统设计了行业创新的复查模块clock-check设计,通过不同时段的分析检索,当发现数据有差异时,采用数据触发事件的机制,系统会为当前敏感数据新开辟资源来执行特定的检测。
[0046] 虽然本发明已以较佳实施例揭示如上,然其并非用以限定本发明,任何本领域技术人员,在不脱离本发明的精神和范围内,当可作些许的
修改和完善,因此本发明的保护范围当以
权利要求书所界定的为准。
