【 摘 要 】 在传统漏洞扫描过程中，我们都可以发现较多的漏洞，通过漏洞探测原理，可以了解到目前主流漏洞扫描技术存在一定的误差。论文详细讲解漏洞探测扫描过程中各项原理及技术，通过关联性分析及软件指纹等结合，以此来提高漏洞的真实性，从而协助网络安全人员对漏洞进行定位及修复。

【 关键词 】 漏洞探测；漏洞扫描；可信度；精细化

Analysis on the Fineness of Vulnerability Discovery

Tan Chun

（Guangxi Tobacco Monopoly Administration GuangxiNanning 530022）

【 Abstract 】 The traditional vulnerability scanning process， we can find more loopholes， through the loophole detection principle， we can understand the current mainstream vulnerability scanning technology there is a certain error， this paper explains in detail the principle of vulnerability detection scanning technology and technology， Through the correlation analysis and software fingerprints and so on， in order to improve the authenticity of the vulnerability， thus helping network security personnel to locate and repair vulnerabilities.

【 Keywords 】 vulnerability detection； vulnerability scanning； credibility； fine

1 引言

随着互联网的快速发展，网络上存在形式各异的漏洞扫描、漏洞探测、漏洞验证等工具。众所周知，漏洞扫描一般通过IP地址或域名的形式进行，针对网络中的系统、网络组件或应用程序等进行安全检测，检测其中的漏洞或安全弱点，漏洞扫描工具通守预设的漏洞特征库对远程主机进行检测，一般检测包含了远程主机的所有信息（按照扫描器的先后顺序，一般为端口、服务、服务类型、服务版本、潜在的攻击路径、攻击数据包构建、发包、查看返回信息等）。现阶段市面上主流的免费、商业化工具它可以扫描网络和网站上的上千个漏洞，提供一个风险列表，以及补救的建议。但检测中发现的上千个漏洞，哪些为真实，是否虚假误报，网络安全管理员可能无从得知。本文介绍一种检测及验证机制，使得传统漏洞扫描工具发现的漏洞可很大程度的提高漏洞的真实性及可靠性，便于网络安全管理员对漏洞进行精细化管理。

2 漏洞扫描技术方式

目前主流的漏洞扫描技术分为三种，即版本扫描、原理扫描及登录式扫描。

2.1 版本扫描

版本扫描通过Banner等信息识别系统或服务的版本信息和漏洞库（CVE等）信息对比分析，判断目标是否存在漏洞。版本判断扫描不会对目标造成影响，安全性高。但是版本识别过程有可能误报，造成漏洞误报。目前大多数产品的远程扫描采用此技术。

2.2 原理扫描

原理扫描是远程漏洞扫描技术的一种，漏洞扫描通过构造特殊包，发送到目标主机，收集目标主机反馈的信息，判断系统是否安装特定的补丁程序，进而判断系统漏洞是否存在。原理扫描误报率极低，开发扫描过程难度较大，大多数产品没有能力采用此技术。

2.3 登录式扫描

登录式扫描通过用户预先预定正确的用户名、密码进而登录至远程目标系统或站点，通过脚本抓取本地信息，信息包括配置、密码加密字符串、已安装的补丁、已打开的端口等，将此信息整理后与漏洞扫描特征库进行正则匹配，以此来发现目标的安全漏洞。此种扫描方式在开展前期需要收集账户密码信息，且发现的问题较多集中在本地层面上，优点在有效降低黑盒式扫描所产生的漏洞误报，减少误报率。

3 漏洞精细化管理

面对与日俱增的IT资产所带来的海量漏洞，安全管理者、网络管理员、安全运维人员应如何行之有效的对所发现的漏洞进行有针对性的修复，是漏洞精细化管理的核心，针对漏洞管理工作，如下提出了几点将有效的将漏洞修补投入产出最大化。

3.1 智能识别

传统漏洞的发现通是基本主机存活、端口判断、服务识别、操作系统判断、漏洞发现等几个步骤。在此过程中，需要通过多种技术进行，如主机存活，可通通过ICMP、TCP、UDP等方式验证；端口判断可采用TCP SYN、TCP Connect、TCP FIN、TCP NULL、TCP XMAS等等；服务识别基于端口对应的服务进行；操作系统通过TTL值等进行判断，漏洞通过包返回值进行判断。以上都为漏洞扫描过程中所采用到的技术及方法，因互联网上资产形式多异，个别系统采用精简式、内核修改、服务修改等方式进行，造成了传统扫描工具误报较高，如目标系统本身为Windows，但实际检测发现的为Unix，此时，所发现的漏洞基本可判断为误报。因此，通过信息重整化技术、开放端口服务的智能识别、检测漏洞特征依赖关系的自动扫描等技术的运用，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令、构造漏洞利用反射数据包等。若模拟攻击成功，则表明目标系统存在安全漏洞。

3.2 漏洞归并

漏洞归并是将所发现的漏洞数据归一化，采用数据挖掘技术，不同评价指标往往具有不同的量纲和量纲单位，这样的情况会影响到数据分析的结果，为了消除指标之间的量纲影响，对漏洞数据进行数据标准化处理，以解决数据指标之间的可比性。漏洞原始数据经过数据标准化处理后，各指标处于同一数量级，可进行综合对比。常见的归一化方法有min-max标准化，也称为离差标准化；Z-score标准化方法，这种方法给予原始数据的均值和标准差进行数据的标准化。

3.3 关联分析

将收集到的漏洞信息标准化存于事件库中，基于CVE、CNVD等第三方构建漏洞库，形成企业自有的漏洞特征库，采用Apriori 及FP-growth关联算法，对软件中漏洞发生情况进行关联，根据特征库中相关规则对事件库中安全事件进行相关性分析，并依据策略库，形成最终漏洞报告，便于管理员对关联结果进行检索查询，让管理员对漏洞及时修补。

3.4 可信度

漏洞可信度是对漏洞可信特性的评估，判断漏洞是否具有作为可信漏洞应具有的可信特性，在漏洞探测过程中，如目标主机存在较多原理扫描漏洞时，该目标主机存在漏洞的可信度即越高，风险也越大。在主流漏洞扫描工具中，常有的一个特性是漏洞风险等级，即所发现的漏洞风险为高、中、低三级别，针对此发现的漏洞，真实与否较难判断，原理层面上漏洞可根据包返回值进行确认，但主流的版本扫描发现的漏洞无法进行验证，针对目标资产，如较多同类漏洞或多种漏洞混合的，可通过可信度系数进行赋值，此所赋的值相对较低。当加入登录式扫描后所发现的漏洞，两者进行关联分析后，可将同类漏洞按数值进而排序，数值越高，漏洞存在的可信度越高，数值越小，漏洞存在的可信度越低。针对部分关联型漏洞，也可采用此种方式，但需要漏洞工具开发者在自身漏洞库特征的基线上加入此特性，即漏洞发现无相关关联性，可采取不预警的形式。

3.5 漏洞加固审计

在实际的漏洞修复过程中往往很难确认自己的漏洞是否真正修复。针对这种情况，通过漏洞加固审计措施，单独调用漏洞扫描器针对此漏洞进行黑白盒测式，黑盒以测试漏洞是否可被利用，白盒验证漏洞服务是否已关闭，补丁是否已安装，是否有关联的服务调用或其他应用程序对接，造成漏洞未完完全全修补。可将此功能嵌入至漏洞管理系统中，通过定时任务调度的方式，对漏洞进行定期审计，以提高管理人工作效率。

4 结束语

在当前市面上形式各异的漏洞扫描工具下，针对企业资产漏洞进行有效管理，是网络管理员及安全人员所必不可少的工作，通过对漏洞进行分类分级，对漏洞进行有效的验证并加入可信度指标，以机器语言进行关联统计，最终输出真实可靠的漏洞，以花最少的代价，修复致命的问题，以提升企业整体安全水平。

参考文献

[1] 罗莉，温锦生. 网络信息安全技术[J].太原科技，2000.

[2] 孙建明.网络安全扫描技术综述[J].广东通信技术，2004，24（8）

[3] 刘三满，郭丽蓉，郭璞.浅析网络安全扫描技术[J].科技情报开发与经济，2005，15（1）.

作者简介：

谭春（1974-），男，广西桂林人，毕业于江苏大学，本科，工学学士，广西壮族自治区烟草专卖局（公司），科技处副处长，助理工程师；工作业绩：2011年建设柳州市烟草公司零售终端销售系统，2012年建设柳州市烟草公司手机订货系统，2014年主持建设区烟草公司统一备份系统，2015年主持建设区烟草公司视频会议系统，2015年主持建设区烟草公司桌面管理系统，主持制定《区烟草公司信息化工作管理制度》。