谭君+周旭+黄羽+李禀津

摘要：随着新型漏洞和攻击的不断增长，信息安全面临严峻挑战。在安全工作中，还在采用邮件、短信、通知等方式对下属单位进行漏洞和威胁情报通报，这对于信息系统安全防护是一个极大的安全隐患。漏洞评估验证分析技术及管理方法的引入，对于提升信息系统安全水平具有重要意义。

【关键词】信息安全漏洞 远程漏洞评估 漏洞模型POC

开展漏洞评估验证技术及管理方法的应用研究，从漏洞追踪、验证、预警、通报、响应、复核等多个方而，研究威胁管理，实现漏洞全周期管理，实时跟踪追溯各单位漏洞响应情况，在信息安全工作范围内，形成有效的联动防御平台。

1 国内外发展现状

随着新型漏洞和攻击的不断增长，信息安全而临严峻挑战。在信息安全工作中，还在采用邮件、短信、通知等方式对下属单位进行漏洞和威胁情报通报。但从近两年信息安全形势来看，各种漏洞频发，通报各单位响应时问周期较长，然而黑客利用漏洞的技术越来越成熟，时问短攻击快，利用通报过程中的时问窗口进行快速攻击，可造成不可估量的损失。并且下属单位由于技术力量薄弱等原因，不能及时、准确地对漏洞进行分析、验证和管理，导致黑客可以利用漏洞进行攻击等。这对于信息系统安全防护是一个极大的安全隐患。漏洞评估验证分析技术及管理方法的引入，对于提升信息系统安全水平具有重要意义。

2 漏洞评估验证模型

2.1 漏洞评估验证模型的设计思路

在设计漏洞评估验证模型之前，需要先了解安全漏洞的生命周期，一个典型的安全漏洞生命周期包括7个部分如图1所示。

漏洞应急是漏洞管理过程中各阶段的工作内容。在漏洞应急中，POC（Proof ofConcept（为观点提供证据））编写、分析验证、漏洞检测尤为关键，而且以上三个阶段的工作更是漏洞评估验证的关键，也是实现漏洞评估验证模型安全需求的主要工作内容，如图2所示。

这个过程f或者说是在编写POC的时候）需要做到安全、有效和无害，尽可能或者避免扫描过程对目标主机产生不可恢复的影响。

2.2 漏洞评估验证模型的设计

2.2.1 漏洞验证模型框架

如图3所示，漏洞评估验证模型设计采用模块化的理念，在基础库的基础上，提供了一些核心框架功能的支持。实现评估验证功能的主体代码则以模块化方式组织，通过功能程序提供给测试者进行使用。同时，为了满足评估验证的不同功能需求，在功能模块中支持对脚本库（script）、工具库（plugin）和资源库（data）的增加、修改、调用，使功能模块变成用户的可控区域。

2.2.2 漏洞评估验证过程

2.2.2.1 验证流程

在漏洞评估验证模型的基础上，设计出一个漏洞验证框架，通过框架只需要完成如下4步工作，即可完成漏洞评估验证。

（1）准备一个并发框架；

（2）将数据放入到框架中；

（3）将处理数据的逻辑放到框架中；

（4）运行，获取处理结果。

在漏洞验证框架中完成评估验证工作时，验证流程如图4所示。

验证时，通过验证命令，将流程中的每一个环节组织起来，编写一条验证命令，就可以完成漏洞评估验证工作。

2.2.2.2 并发处理

多线程，是指从软件或者硬件上实现多个线程并发执行的技术。使用多线程技术可以提高资源使用效率从而提高系统的效率。协程，与线程的抢占式调度不同，它是协作式调度。协程也是单线程，但是它能让原来要使用异步+回调方式的代码，用看似同步的方式写出来。

2.2.2.3 处理逻辑

在漏洞评估验证中，对于数据处理的逻辑，主要在于插件（POC）的加载以及结果验证两方而：

（1）插件（POC）加载。因为数据的获取方式不同，处理数据的逻辑也不同，因此需要根据不同的数据加载不同的插件。

设计漏洞评估验证模型时，需要支持不同路径的插件：

1.加载默认插件：插件存放在脚本库（script）中，通过“命令+插件名”，可加载script文件夹下的脚本；

2.加载任意路径插件：插件存放在其他路径下，通过“命令+/路径/插件名”，可加载任意径路下的脚本。

（2）结果判断。结果判断通常需要在POC中完成，在编写POC的结果判断时：

1.在代码中添加函数POC（）；

2.添加逻辑使验证成功（漏洞存在）时retum True，验证失败时retum False；

3.针对一些复杂的需求，POCO函数可以使用多种返回值来控制验证状态和输出。

2.2.2.4 數据获取

设计漏洞评估验证模型时，数据来源需要考虑以下几方而：

（1）单一目标。验证单一目标时，可以在插件（POC）中定义需要验证目标的url或者IP，验证时直接调用该插件即可完成对应目标的验证。

（2）文件列表。当相同类型的目标较多时，无需对POC进行逐一更改，通过命令读取目标文件列表，完成批量验证工作。

（3）第三方引擎。评估验证程序拟支持主流空问搜索引擎的API，通过简单的参数调用直接从搜索引擎中直接获取目标，并结合本地脚本进行扫描。主要目的在于预留第三方扫描引擎接口。

3 总结分析

通过对漏洞评估验证模型的研究，开展漏洞分析技术与漏洞验证框架研究，研究构建了漏洞验证分析模型，并对己发现漏洞的细节进行深入分析，提供了漏洞验证框架支持POC验证。为漏洞修补处理措施提供了依据，解决了政府不能及时、准确地对漏洞进行分析、验证的问题。

参考文献

[1]邹湘河，漏洞检测与风险评估技术研究[J].电子科技大学，2005.

[2]王建红，基于网络的安全评估技术研究与设计[J].中原工学院，2011.

[3]钱伟，网站评估渗透系统的研究与实现[J].复旦大学，2011.

[4]张凤荔，冯波.基于关联性的漏洞评估方法[J].电子科技大学，2014.

[5]马驰，高岭，孙骞，何林，高学玲，基于模糊理论的漏洞危害等级评估[J].西北大学， 2014.endprint