◆夏 凡 方 方 丁中涛 刘宇为 杨剑锋 杨 雪

基于云安全的自动化扫描修复漏洞研究

◆夏 凡 方 方通讯作者丁中涛 刘宇为 杨剑锋 杨 雪

（成都理工大学信息科学与技术学院 四川 610000）

云安全作为新兴网络安全技术已经进入应用与发展阶段，更多政府、高校、企业将系统部署到云平台，大量涉及国计民生、企业运营数据和用户个人信息存储在云上，随之而来的是攻击者不断挖掘云平台可能存在的安全漏洞。目前云平台只能起到防御作用，而不能自动修复漏洞且每天产生海量日志，需要大量的运维人员分析产生的日志。因此基于云安全平台体系提出一种更安全、更易于管理的自动化扫描修复漏洞系统。结合漏洞自动化扫描、自动修复漏洞提高网站的安全性、阻挡防黑客攻击，减轻运维人员的工作量。

云安全；漏洞扫描；自动化修复

云安全（Cloud Security）融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常检测，获取互联网中木马、恶意程序的最新信息，传送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端[1]。本文从云安全自动化扫描漏洞修复出发，分析云安全当前所存在的安全问题，为提高云安全平台的漏洞修复能力以及减少安全日志数量，进一步保障网络安全，提出一种云安全自动化扫描修复漏洞的研究。

由于云平台在企业、政府、高校数据管理、业务协调方面应用较多，产生的安全问题也随之增多。下面是云安全主要存在的问题[2]：

（1）云平台面临的安全风险

由于用户和服务商发生了分离，数据的所有者和保管者分离，引发数据泄露。数据泄露是近年来持续发生的恶性安全事件。云安全作为新兴技术，我国在云服务的安全制度方面尚不完善。

（2）海量攻击日志

许多政府、企业使用了云防御等一系列安全产品。但目前国内的云防御产品仍然存在一些问题，例如每天产生海量的攻击日志，然而很多企业是没有足够的安全人员、甚至没有专业的安全人员去分析攻击日志。分析海量日志不仅是人力财力的消耗，很多政府、企业是无力承担的。

（3）漏洞发现不及时

国内市面上的云防御产品都只是防护一些基本的SQL、XSS、恶意扫描、命令执行、代码执行、webshell等。随着技术的提升，出现了很多的1day漏洞、甚至是0day漏洞。然而由于漏洞发现不及时，造成了信息泄露、挖矿、病毒感染等。

（4）漏洞修复不及时

发现了漏洞，单由于安全运维人员不足或者安全运维人员忘记修复等一些因素，导致漏洞没有修复而产生安全事件。

1 自动化修复漏洞框架介绍

1.1 自动化修复漏洞平台需求分析

近年来层出不穷的网络安全问题衍生了云防御技术，与传统的WAF对比，云防御占据了许多优势[3]。但云防御只是对外部网络的防御，没有解决内部系统存在的漏洞等一系列问题。为了应对云平台存在的安全问题，云安全的自动化修复漏洞平台应该具有以下的功能：

（1）针对云平台构建系统、网络安全漏洞库；

（2）能对被防御网站进行漏洞的自动扫描；

（3）对于自动扫描出的漏洞进行修复；

（4）对外部产生的安全情报及时更新；

（5）网站性能监控。

1.2 自动化修复漏洞总体框架

基于云安全平台的自动化修复漏洞的设计思路是提供一个统一的安全平台，在云安全平台上增加一个自动扫描和自动修复模块，有针对性地对该系统进行漏洞扫描、漏洞修复等防护工作[4-5]。该系统如图1所示。

图1 云安全的自动化修复漏洞框架

（1）自动扫描漏洞

漏洞自动化识别主要是借助自动化扫描系统从系统层和应用层两个层面，对目标系统发起的漏洞检测工作[6]。系统层面的漏洞检测主要从溢出漏洞、口令破解、信息泄露几个方面进行。应用层的漏洞检测主要包含信息泄露、配置错误、认证破解、攻击注入、跨站脚本、跨站请求伪造、错误的重定向等几个方面。

（2）自动化修复漏洞

对云平台自动扫描出的漏洞根据静态分析、动态分析、混合分析[7]进行分类，根据其不同的分类并结合中国国家漏洞库、国家信息安全漏洞共享平台、国家安全漏洞库（CVE）提供的POC验证漏洞，并根据修复建议进行自动化修复。

每天实时更新安全快讯，能自行修复的漏洞，自行修复，不能修复的漏洞每天提醒一下安全运维人员，修复此漏洞。

2 方案实现

该方案主要是在云平台上添加了一个自动化扫描、自动化漏洞修复的功能，图2为内部流程框架图。

图2 自动扫描与修复流程图

Web安全扫描一般分为主动扫描和被动扫描，自动化扫描一般选择被动扫描[4]。被动扫描的原理是设置扫描工具为一个Proxy Server，功能测试通过这个代理服务访问系统，扫描工具可以截获所有的交互数据并进行分析，通过与已知安全问题进行模式匹配，从而发现系统中可能的安全缺陷。

现在市面上自动扫描工具很多，大部分基于TCP协议、ICMP协议以及网络爬虫进行扫描发现、验证漏洞。该方案的自动化扫描工具由注入工具、安全扫描、暴力破解、渗透工具、提权工具等组成，全方位发现并验证漏洞。虽然依靠自动化扫描器并不能发现所有的安全问题，但是它可以在较小投入的情况下持续发现大部分系统的基础安全问题。

自动化修复漏洞基于运行时状态、检测补丁并整合信息安全库收集的修复方法和最新安全快讯，对自动扫描的安全缺陷进行修复以及防范互联网最新病毒、漏洞等安全问题[8]。

例如，通过感应那些异常行为，可以发现从未出现过的病毒。然后可以停止病毒运行，修复系统漏洞。该方案的自动化修复技术主要根据安全信息库收集的修复方法进行漏洞修复，以及达到自动化升级系统、自动打补丁，当发现大面积的病毒时及时根据修复建议对系统进行检测、防范、修复。

安全漏洞信息库包含国家漏洞信息库、安全快讯、seebug的poc库等。

3 结论

本文提出一种基于云安全平台的自动化漏洞修复研究，该方案结合自动扫描、安全快讯、自动修复漏洞框架，对内部网站系统定时进行自动化扫描，对自动扫描出的漏洞结合国家安全库等进行漏洞修复。该方案有效地保证了网站的系统安全并降低了网络运维人员的工作量。

[1]王勇，徐衍龙，刘强.云计算安全模型与架构研究[J].信息安全研究，2018.

[2]周靖哲,陈长松.云计算架构的网络信息安全对策分析[J].信息网络安全，2017(11).

[3]叶子维，郭渊博，琚安康.动静态特征结合的漏洞风险评估及缓解方法[J].计算机应用研究，2018.

[4]李静力,面向高危风险漏洞修复行为的系统研究[J].自动化技术与应用，2017.

[5]Wiik J, Gonzalez JJ,Lipson H F, et al. Dynamics of vulnerability-modeling the life cycle of software vulnerabilities [C] Proc of the 22th International System Dynamics Conference. 2004.

[6]邢斌,高岭,孙骞,杨威.一种自动化的渗透测试系统的设计与实现[J].计算机应用研究，2012.

[7]卢凯，朱广宇，王绍杰.工业控制系统信息安全测试平台研究[J].信息通信技术，2018.

[8]李浩杰，裘国永.基于自动化渗透测试的分析[J].计算机技术与应用，2015(12).