漏洞扫描与补丁管理系统的设计与实现
网络安全漏洞扫描工具的设计与实现
网络安全漏洞扫描工具的设计与实现网络安全一直是各个行业以及个人关注的重点,而网络安全漏洞一直是网络安全的薄弱环节。
为了及时发现并修复漏洞,网络安全漏洞扫描工具应运而生。
本文将介绍一款基于Python语言开发的网络安全漏洞扫描工具的设计与实现。
一、需求分析在设计和实现漏洞扫描工具之前,我们需要分析其主要需求:1.支持多种漏洞扫描方式,包括端口扫描、Web应用程序漏洞扫描等;2.支持多种漏洞检测方法,包括漏洞匹配、漏洞利用等;3.具有可扩展性和可定制性,可以定制新的漏洞检测脚本和扫描方式;4.提供漏洞报告,便于用户查看和分析漏洞情况。
二、设计方案基于以上需求,我们设计了一款名为“NetVulner”的网络安全漏洞扫描工具,其主要设计方案如下:1.采用Python语言开发,具有良好的跨平台性和可移植性;2.支持多种扫描方式,包括端口扫描、Web应用程序扫描、漏洞利用等;3.支持多种漏洞检测方法,包括漏洞匹配、漏洞利用等;4.具有可扩展性和可定制性,用户可以自己编写插件脚本,添加新的扫描方式和漏洞检测方法;5.提供漏洞报告,报告内容包括漏洞详情、严重性等信息,便于用户查看和分析。
三、实现细节1.架构设计NetVulner的整体架构设计采用了模块化的方式,根据功能不同拆分成多个模块,方便维护和扩展。
主要的模块包括:扫描引擎模块、漏洞检测模块、报告生成模块等。
2.扫描引擎模块扫描引擎模块是NetVulner的核心,主要负责扫描目标主机,并将扫描结果传递给漏洞检测模块。
我们采用了nmap工具进行端口扫描,并利用requests库模拟HTTP请求,对Web应用程序进行漏洞扫描。
同时,为了增加扫描精度和速度,我们采用了多线程和协程的方式进行扫描,并对扫描过程中的错误进行了处理,保证扫描结果的准确性。
3.漏洞检测模块漏洞检测模块是NetVulner的关键模块之一,主要负责根据扫描结果,检测目标主机上的漏洞。
我们采用了Metasploit框架中的漏洞模块作为基础,根据漏洞模块的特征和漏洞利用方式,编写相应的检测脚本。
漏洞管理系统的设计与应用
二、系统建设情 况
1漏洞管理产 品定义 .
目前 ,从 技术和 管理两个 角度 来看 ,漏 洞管 理 已经 不
用户工f . l 站 文件睢务器 螂件服务器 WE 服务器 数据库骧务器 太鼙糖务罱 B
仅仅 局 限于 传统方 式下对 漏洞进 行扫描 ,它是一 套有 效避
维普资讯
相对 于传 统的漏 洞扫描 系统而 言 ,漏洞 管理系统 实现 了由
工作作为近两年银行科技工作的重点。本 文将 以漏} 管理系 漏 洞扫描 到漏洞 管理 的转变 。它从漏洞 生命周 期 出发,提 同 供 一套有 效 的漏 洞管理 工作流 程 ,将 网络资产 按照重要 性 进行分 类 , 自动 周期升 级 并对 网络资产 进行评 估 。根 据评
十 l J
在不 同阶段 采取 不 同的措施 。 安 全稳定运行成为当今银行信息化管理工作 中的重头 从漏 洞的 整个生命周 期着手 ,
戏。 论 外 监 章 还 银 身, 将 息 全 障 无 是 部 管 位 是 行本 都 信 安 保
统为例 ,介绍其在银行信息安全建设 中的设计与应用 。
( )多维 、细粒度 的统计 分析 5
漏洞扫描 系统通 过完整 的报表 系统 ,从宏观和 微观 角度 对风险进行分析 。宏观 角度 ,系统多视角反映网络的整 体安 全状况 ,对 漏洞分布、危害、漏 洞 T 1 、主机信息等进行 OP 0
进行管理 。通 过对 资产管理的使用 ,用户可方便地 掌握风险 细粒度的统计分析 ,并通过柱状 图、饼 图等形 式,直观 ,清 分布情 况、定位风 险和 高效实施风 险降低或规避措施 。
e h oo y& Ap l a in c n lg pi t c o
匿 蔓囡圃
Web应用安全漏洞扫描工具的设计与实现的开题报告
Web应用安全漏洞扫描工具的设计与实现的开题报告题目:Web应用安全漏洞扫描工具的设计与实现一、研究背景及意义随着Web应用的发展,Web应用安全问题也日益突出,各种类型的漏洞不断出现。
黑客攻击、数据泄露等安全问题的发生给企业和个人带来了不可估量的经济损失和信息泄露风险。
因此,如何有效地发现和解决Web应用的安全问题,成为了人们关注的重点之一。
Web应用安全漏洞扫描工具可以对Web应用进行全面的安全扫描,并发现其中存在的漏洞。
它可以帮助企业或个人发现并解决Web应用中存在的安全问题,降低安全风险。
因此,设计和实现一款高效、准确、易用的Web应用安全漏洞扫描工具具有重要的实际意义和应用价值。
二、研究内容与目标本文拟研究如何设计和实现一款基于Web应用的安全漏洞扫描工具,包括以下内容:1.研究Web应用漏洞的类型和传播方式,如SQL注入、跨站脚本等。
2.研究Web应用安全漏洞扫描的技术和方法,如爬虫技术、Fuzzing 技术等。
3.设计和实现一款基于Web应用的安全漏洞扫描工具,包括对输入、链接、表单等进行安全测试、自动化爬虫实现站点映射、基于漏洞特征的Fuzzing等。
4.进行测试和验证,评估工具的准确性、可用性和性能指标等。
三、研究方法本文采用文献法、实验法、案例分析法等研究方法,具体如下:1.通过查找相关文献,了解Web应用漏洞类型和传播方式,熟悉现有的安全漏洞扫描工具。
2.设计并实现一款基于Web应用的安全漏洞扫描工具,借助Fuzzing技术和自动化爬虫实现站点映射,对Web应用进行测试。
3.通过实验,对工具的准确性、可用性和性能指标等进行测试分析,评估工具的优点和不足,提出改进方案。
四、预期结果及贡献通过本次研究,预期实现以下结果和贡献:1.实现一款基于Web应用的安全漏洞扫描工具,帮助企业或个人发现并解决Web应用中存在的安全问题。
2.提出一种基于漏洞特征的Fuzzing方法,增加漏洞扫描的准确性和可靠性。
漏洞扫描与安全检测系统的设计与实现
漏洞扫描与安全检测系统的设计与实现随着互联网的普及和信息技术的迅猛发展,网络安全问题日益凸显。
针对网络系统可能存在的漏洞和安全隐患,漏洞扫描与安全检测系统应运而生。
通过对系统进行全面、深入的扫描和检测,可以识别出漏洞和安全风险,提供有针对性的安全解决方案。
一、系统设计1. 系统架构漏洞扫描与安全检测系统主要包含三个模块:漏洞扫描模块、风险评估模块和报告生成模块。
漏洞扫描模块负责对目标系统进行端口扫描和漏洞扫描,风险评估模块对扫描结果进行评估,报告生成模块将评估结果以易读易懂的方式展示给用户。
2. 数据收集与管理漏洞扫描与安全检测系统需要收集目标系统的相关信息,包括IP地址、端口等。
此外,系统还需要收集最新的漏洞信息和安全规则。
为了保证数据的准确性和更新性,可以设置定期的数据更新任务,将新发现的漏洞和安全规则进行更新。
3. 扫描引擎与算法漏洞扫描与安全检测系统的核心是扫描引擎。
扫描引擎要能够对各种漏洞进行检测,并生成相应的报告。
常见的扫描技术包括端口扫描、DAEMON扫描、漏洞扫描等。
在扫描过程中,可以利用漏洞数据库和安全规则进行匹配,提高扫描效果和准确性。
二、系统实现1. 系统部署与配置漏洞扫描与安全检测系统可以部署在云服务器上,也可以在本地服务器上进行部署。
部署完成后,需要进行相应的配置,包括添加目标系统的信息、设置扫描算法和规则等。
2. 漏洞扫描与检测系统根据用户的配置进行扫描和检测。
首先进行端口扫描,确定目标系统开放的端口。
然后根据端口信息进行漏洞扫描,利用漏洞库和安全规则对目标系统进行检测。
扫描完成后,系统会生成扫描报告。
3. 风险评估与报告生成扫描报告需要按照一定的格式生成,以便于用户直观地了解扫描结果。
报告中应包含扫描的详细信息、发现的漏洞和安全风险以及相应的修复建议。
同时,还可以提供风险等级评估,帮助用户了解各个漏洞的危害程度,以便进行优先处理。
三、系统优化与升级1. 持续漏洞库更新为了保持漏洞库的准确性和实时性,系统应定期更新漏洞库,并及时添加新发现的漏洞信息和安全规则。
企业安全漏洞扫描与管理系统解决方案
企业安全漏洞扫描与管理系统解决方案目录一. 网络现状以及需求分析 (3)1.1 网络现状 (3)1.2 网络安全风险分析 (3)1.3 网络安全需求 (3)二. 解决方案 (4)2.1 系统选型 (4)2.2 扫描系统部署 (4)2.3 天镜主要功能 (5)2.3.1 资产发现与管理 (5)2.3.2 脆弱性扫描与分析 (6)2.3.3 脆弱性风险评估 (6)2.3.4 弱点修复指导 (7)2.3.5 安全策略审核 (7)2.3.6 构建统一管理体系 (8)2.4 产品技术特点 (8)2.4.1 全面 (8)2.4.2 准确 (10)2.4.3 快速 (10)2.4.4 自主 (10)三. 选型建议 (11)一. 网络现状以及需求分析1.1 网络现状XX 公司网络结构为三级网络结构,连接全国其它各省 XX 公司的网络,下接XX省各地市县 XX 公司的网络。
具体分为办公网络和生产网络,其中生产网络为 XX公司最重要的网络。
目前在办公网络和生产网络中有多台重要服务器、终端,在各个网络的边界部署有网络互联设备如交换机和路由器等等,同时还部署了边界保护设备防火墙以及网络区域保护设备入侵检测系统等安全防护设备。
1.2 网络安全风险分析虽然 XX 公司已经部署了诸如防火墙、入侵检测系统等安全防护工具,但网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。
入侵者通常都是通过一些程序来探测网络中系统中存在的一些安全漏洞,然后通过发现的安全漏洞,采取相关技术进行攻击。
1.3 网络安全需求面对XX网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,制定符合XXXX 网络应用的安全策略显然是不现实的。
解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全分析评估系统。
检测现有网络中的边界设备(如路由器交换机)、网络安全设备(防火墙、入侵检测系统)、服务器(包括内部网络系统的各种应用服务器)、主机、数据库等进行扫描,预先查找出存在的漏洞,从而进行及时的修补,对网络设备等存在的不安全配置重新进行安全配置。
高校网络安全管理系统的设计与实现
高校网络安全管理系统的设计与实现摘要:随着信息技术的快速发展,高校的网络安全问题日益突出。
为了保障高校网络环境的安全与稳定运行,设计和实现一套高校网络安全管理系统势在必行。
本文将介绍该系统的设计目标、功能模块以及实施策略,并探讨其在高校网络安全管理中的应用前景。
一、引言在信息化时代,高校网络已经成为教学、科研和管理工作的重要工具。
然而,网络安全问题日益突出,高校面临着恶意入侵、数据泄露以及网络威胁等风险。
为了提高高校网络安全管理水平,设计一套高效、稳定、可靠的网络安全管理系统具有重要意义。
二、设计目标1. 提供全面的网络安全防护高校网络安全管理系统应该提供全面的网络安全防护措施,包括入侵检测、流量监控、威胁防御等功能。
通过对网络流量进行实时监测和分析,系统能够及时发现并阻止网络攻击行为,确保高校网络安全。
2. 实现用户行为监控和管理高校网络安全管理系统应该能够监控和管理用户的网络行为。
通过对用户的网络访问情况进行记录和分析,可以及时发现和防范恶意行为,提高网络安全性。
同时,合理规范用户行为,提高网络资源的利用效率。
3. 支持灵活的权限管理高校网络安全管理系统应该具备灵活的权限管理功能,可以根据不同用户的需求和角色分配不同的权限。
通过设置访问权限、操作权限等,确保网络资源的安全和合理使用。
三、系统功能模块1. 网络流量监控模块该模块负责对高校网络流量进行实时监控和分析,检测可能存在的威胁行为。
通过采集网络数据包、分析网络流量,可以发现异常行为并及时进行阻断。
2. 安全漏洞扫描模块该模块负责对高校网络存在的安全漏洞进行扫描,及时发现并修补漏洞。
通过扫描网络设备、服务器和应用程序等,减少潜在的安全威胁。
3. 用户行为监控和管理模块该模块负责对高校网络用户的行为进行监控和管理。
通过记录用户的网络访问情况、操作行为,及时发现恶意行为并进行处理。
同时,可以对用户的行为进行规范,防止滥用网络资源。
4. 数据备份和恢复模块该模块负责对高校网络数据进行定期备份,并在需要时进行恢复。
网络漏洞扫描
网络安全—之—漏洞检测研究与实现摘要:随着计算机网络和通讯技术的高速发展,利用开放的网络环境进行全球通信已成为时代发展的趋势。
但是网络在提供便利的共享资源的同时也带来了各种各样的安全风险。
因此,网络安全问题越来越引起人们的广泛关注,并成为当今网络技术研究的重点。
通常黑客和病毒是通过安全漏洞渗入目标系统的,因此只要找到并修补所有的安全漏洞,就可以抵御绝大部分的黑客攻击。
安全漏洞扫描技术能够检测网络系统潜在的安全漏洞,使网络管理者可以预先了解网络的脆弱性所在,从而确保网络系统的安全。
通常,一次成功的网络攻击,首先要收集目标网络系统的漏洞信息,然后才能进一步对目标实施有针对性的有效攻击。
而对目标系统漏洞信息的获取,目前主要是通过网络漏洞扫描工具实现的。
本文首先论述了漏洞的定义、成因、特征、属性、分类和检测方法等。
重点研究了网络漏洞扫描技术,并从端口扫描、漏洞扫描等方面进行讨论。
最后本文设计并实现了一个面向攻击的网络漏洞扫描系统关键词:网络安全漏洞漏洞扫描信息战网络攻击Abstract: Along with the rapid development of network and communication, it's a trend to communicate with open network. But it also a risk to use the convenient resources of network… So, the problems of network security are paid more attention to and become key points of network security. Usually hackers and computer virus intrude a computer system by security holes. So, the system can be secure by detecting the holes by network administrators. The security holes scanning technology makes the network administrators predict the places of the security holes. So it becomes an important security technology.To perform a successful network attack, an attacker should firstly gather vulnerability information of the target networks. And the function of gathering vulnerability information is often provided by network vulnerability scanning tools.This article firstly discusses the definition, source, characteristic, attribute and detecting methods of vulnerability. Then it studies the network vulnerability scanning technology, witch includes port scanning, vulnerability scanning.In the end, this article describes the design and implementation of a network vulnerability scanning system,Key words: network security, vulnerability, security holes, information war, network attack;目录引言 (1)第1章绪论 (2)1.1研究背景 (2)1.2本文所作的工作 (2)1.3论文章节介绍 (3)第2章漏洞研究 (4)2.1漏洞的定义 (4)2.2漏洞的成因 (5)2.3漏洞的特征与属性 (6)2.4漏洞扫描器概述 (7)2.5漏洞的检测方法 (7)第3章漏洞扫描技术研究 (8)3.1扫描技术概述 (8)3.2开放扫描技术 (8)3.3半开放扫描技术 (8)3.4隐蔽扫描技术 (9)3.5栈指纹OS识别技术 (10)第四章网络漏洞扫描器的设计与实现 (13)4.1网络漏洞扫描器的总体结构 (13)4.2网络漏洞扫描器的扫描原理和工作原理 (13)4.3CGI的应用 (14)4.4网络漏洞扫描器的实现 (14)4.4.1 扫描模块的实现 (15)4.4.1.1 基本信息探测子模块的实现 (16)4.4.1.2 端口扫描子模块的实现 (17)4.4.1.3 扫描模块的流程 (19)4.4.2 漏洞库的建立 (19)4.4.2.1 设计原则 (19)4.4.2.2 漏洞分级原则 (20)4.4.2.3 漏洞库的实现 (20)第五章结束语 (26)5.1论文工作总结 (26)5.2后续工作展望 (26)参考文献 (28)后记 (29)附录 (30)附录A:程序清单 (30)附录B:外文资料翻译 (30)引言自从1993 年 Internet上首次采用第一种图形用户界面NCSA MOSAIC以来,这一全球最大网络的用户数量与服务内容都有了迅猛增加。
Web漏洞扫描系统设计与实现探讨
Web漏洞扫描系统设计与实现探讨互联网的普及和发展虽然给我们的生活带来了极大的方便,然而它也存在着许多漏洞,web 应用中出现的漏洞就容易对我们的生活构成潜在的安全威胁。
传统客户端应用正逐渐被web应用替代,这已成为当今的发展趋势,也正给一些攻击者提供了可乘之机,web应用的安全级别低下,漏洞仍需采用适当的处理措施填补修复。
基于此,本文就如何扫描并修复web漏洞提出系统化设计方案,并对初级实现问题进行了探讨。
标签:web漏洞扫描;网络安全;系统修复引言目前,市场上出现的多种安全扫描系统,通过检测远程或本地主机的安全薄弱点自动收集所需信息。
由于它的自动化,主动将繁琐的步骤利用程序化来完成和实现,可以为网络安全管理的工作人员节省很多时间和步骤,成为现在网管保障安全的重要工具之一。
但是,由于现在市面上的网络安全扫描工具价格昂贵,不利于业务系统的正常使用和运行。
因此,结合当前网络安全状况及出现漏洞的具体情况,开发一款实用价值更高的网络安全扫描器是十分必要的。
一、web漏洞扫描原理目前,互联网最受人们瞩目的问题莫过于网络安全问题,网络安全漏洞是互联网安全问题存在的最重要原因之一。
现如今,这些安全漏洞问题也成为了国内外网络专家们关注的焦点,如何快速地发现并修复这些漏洞以避免他们被坏人恶意利用,这是最需要解决的问题,研究中发现安全扫描技术为漏洞的尽早发现提供了科学技术支持。
安全扫描技术是以端口扫描技术为基础进行的。
最常使用的一种方法为模拟攻击法,即根据黑客的攻击行为来查找安全系统存在的漏洞。
从多种分析和手机的漏洞看来,黑客大多只是针对某一网络服务进行攻击的。
所以,研究的漏洞扫描技术也就只需要针对某一个特定的网络服务就可以。
先利用多种攻击方法对系统进行模拟攻击并逐项筛查,从而发现系统中可能存在的漏洞。
信息获取是另一种发现系统漏洞的方法,服务器端根据客户端的选项进行安全检查,通过主机TCP/IP的服务端口发送连接请求,并调用规则匹配库检测主机,当接受请求信息后便与匹配库提供的漏洞库进行互相配对,配对成功的即为所谓的漏洞,是需要进行修补的数据库中的漏洞的一种。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
漏洞扫描与补丁管理系统的设计与实现苏继成北京邮电大学移动通信国家重点实验室,北京(100876)E-mail:prettyjeff@摘要:本文设计与实现了一种新型的漏洞扫描与补丁管理系统。
该系统通过对局域网内的主机进行漏洞探测,获得所需的补丁信息,完成对主机的补丁升级。
该系统支持中文补丁升级,及时有效地实现补丁自动下载、检测及安装;支持多种组网方案,适用于大型网络的补丁分发与部署,能摆脱大量繁琐的手工管理操作。
尤为重要的是,可以减少因漏洞修补不及时造成的危害。
关键词:漏洞扫描,补丁,补丁分发,补丁管理1. 引言近年来,网络安全问题益发突出,主要表现在:大范围互联网攻击事件频繁发生,如2002年全球的根域名服务器遭到大规模拒绝服务攻击,而且随着网络应用的逐步深入和大范围推广,这些网络攻击事件造成的危害也愈来愈严重。
2003年8月11日,利用MS03-26漏洞的“冲击波”蠕虫病毒(W32.BIaster.Worm)开始在全世界范围内爆发,造成巨大经济损失。
在国内,两天时间里就使数千个局域网陷于瘫痪状态,受害者中既包括几十人的小规模企业,也有电信、政府等大型事业单位。
安全漏洞是这些网络安全问题的主要溯源。
几乎所有的网络攻击都是基于操作系统或应用程序的漏洞进行的。
如果我们能够根据具体的应用环境,尽可能早地通过网络扫描来发现这些漏洞,并及时采取适当的处理措施进行修补,就可以有效地阻止入侵事件的发生。
但是在相应的漏洞补丁发布后,用户使用补丁程序更新系统往往不够及时。
一方面是因为用户安全意识的薄弱,往往要等到大规模的网络攻击开始时,才会想起安装补丁。
更重要的原因是,补丁管理工作本身也比较繁琐枯燥,以微软的Windows系统为例,每个星期都有漏洞警报和补丁程序发布,网络管理员不仅要追踪和应用这些最新的升级信息,还要从中鉴别哪些补丁是必须和适用的[1]。
需要注意的是,大部分的危害都是在漏洞已经发布补丁后,由于更新不及时造成的危害。
例如,在微软发布MS04-011公告后的几小时内才出现了通用的攻击代码,如果能够及时的进行漏洞修复,由此漏洞造成的危害将不会存在。
针对以上问题,本文提出一种漏洞扫描和补丁自动管理设计方案,实现对Windows系统的所有中文补丁的自动下载,检测及安装,确保补丁更新的及时性,完全可以避免因为漏洞修补不及时造成的损失。
同时,本系统并支持多种组网方案的扩充,适应大规模网络的补丁分发[1]。
2 补丁管理的特性2. 1 及时性补丁管理需要有很强的及时性,如果补丁管理工作晚于攻击程序,那么企业就有可能被攻击,造成机密信息泄漏,比如2003年9月份发生的Half Life2源代码泄漏事件就是由于企业内部的客户端没有及时打补丁,而导致被IE漏洞攻击,造成重大损失。
由于黑客技术的不断积累和发展,留给管理员的时间将会越来越少,在最短的时间内安装补丁才可以保护企业机密,同时也可以使企业免受各种病毒的侵袭。
2. 2 严密性补丁是厂商为了修补漏洞而制作的程序更改,迫于用户的压力,厂商一般会在最短的时间内发布补丁。
因此补丁的测试就会减少,补丁的兼容性就很容易出问题。
特别是针对系统底层的一些补丁,很容易导致应用不能正常运行,甚至系统不能正常启动。
除了补丁测试需要严密性以外,补丁的推广同样也需要严密的计划,哪些系统需要安装补丁,什么时候开始安装,安装补丁之前需要备份哪些数据,如何制订应急方案都需要一个严密的计划。
2. 3 持续性漏洞修补工作是一个长期的,持续性的工作[1]。
因为随着漏洞的不断被发现,针对着漏洞的补丁也就会持续不断地发布。
因此要求企业的安全管理人员要时刻跟踪厂商的补丁公告和安全公司的安全公告[5]。
3. 系统设计3. 1系统结构设计本系统的软件设计思想是采用Server/Client(服务端/客户端)两层结构和模块化的软件开发思路,使系统更加具有可扩展性、可重用性以及方便使用性等特点。
通过需求分析,构建如上所示的系统结构设计图,如图1所示。
系统由服务端、客户端和控制台等三部分组成。
服务端安装在子网的服务器上,一般是性能比较稳定的linux主机。
客户端则是子网内需要进行管理的主机。
控制台是可以安装在内部网络中任何一台主机上的程序进程,负责对整个网络的客户端代理主机进行漏洞扫描、服务器和客户端主机的升级工作,即控制台对各个主机的漏洞扫描和升级进行控制,同时还负责通过自动更新模块从外部网络下载最新的漏洞补丁。
控制台是整个系统的指挥中心,负责系统所有模块的协调工作。
系统工作过程如下:首先,控制台发出扫描命令给扫描引擎模块,并向其传输用户设定的扫描方式、范围等。
扫描引擎根据控制台的设置,对指定的目标主机进行网络扫描,并把扫描后的结果返回给控制台。
其次,控制台和代理主机进行协商,以确定是否发送其漏洞扫描的结果和解决方案。
如果要求解决漏洞,则发送命令到补丁查找模块,继而到补丁知识库进行查询解决方案或者补丁,并把补丁查询的结果发送到控制台。
最后,控制台根据具体情况把解决方案命令由推送模块发送给代理主机。
从而代理主机进行漏洞解决,把解决的情况返回给控制台。
图1 补丁自动管理系统整体结构设计图3. 2 系统模块设计根据图1所示的整体结构设计图,结合对漏洞扫描及补丁管理系统的分析,对软件进行功能划分,得到设计思路如下:3.2.1 服务端模块划分服务端的主要功能是为客户端代理主机提供补丁下载、分发补丁等,系统通过如下模块进行相应的功能实现:(1) 漏洞扫描模块:扫描时使用的原理是进行假的攻击,即是进行端口扫描,如果端口开放,相对应的服务的漏洞就会存在。
有一些漏洞则需要通过构造相应数据包进行实际的攻击,这主要取决于插件的类型[2]。
该模块可自动对网络内的单台主机或某个网段的主机进行扫描,并生成报告进行分析,为后面的补丁发送做准备。
(2) 自动下载补丁模块:服务器端的主要功能是从网络上获取补丁,从某些官方网站上获取发布的某些相应的补丁信息。
同时,根据最近的漏洞公告,获取补丁的下载地址,从而在官方网站上自动下载补丁;并把补丁存储在补丁信息库中。
(3) 通信模块:负责服务器与客户代理之间的信息交互,以及服务器和控制台之间的信息通信。
将补丁程序从服务器分发到客户端代理主机。
3.2.2 客户端代理模块划分客户端代理主要完成目标主机补丁管理的本地部署工作,可以划分为如下模块:(1)补丁检测模块:该模块检测客户端主机中的补丁的获取和安装情况,最后将检测结果写入到客户端的XML文件中。
如果补丁由于某些原因没有安装,则重复安装补丁。
否则删除补丁记录,以便完成补丁的安装及升级。
(2)自动获取补丁模块:补丁程序的分发主要通过“推送”的方式实现,即由服务器端主动向客户端扫描,并且查看客户端代理主机的所有端口和服务,得到目标主机未下载补丁列表,并根据列表把补丁传送给该客户端代理的目标主机。
(3) 补丁自动安装模块:补丁自动管理最重要的一步是自动安装。
该模块首先扫描XML 文件,得到未安装补丁列表,并根据列表,将已得到的补丁进行自动批量安装,正确更新到客户端(目标主机)中。
(4) 通信模块:客户端的通信,主要负责与控制台之间的信息交换,命令解析。
同时从服务器上接收补丁。
3. 3开发环境该补丁自动管理系统主要针对Windows 系统下的补丁进行管理,因此在Windows 环境下进行开发客户端代理和控制台程序,采用VC6.0编程开发工具。
服务器端是Linux 操作系统平台,数据库使用简单方便的MySql ,网络编程采用Socket 。
NNN图2 补丁自动管理系统流程图4. 系统实现补丁管理系统在实现的过程中,主要解决如下问题:获取补丁源、建立补丁信息数据库、检测补丁、分发补丁、安装补丁等。
结合以上的系统设计,同时考虑到C/S结构两层中各自的特点和各功能模块的划分,获取补丁源、建立补丁信息数据库、安装补丁采用单独的进程,其余部分采用图2所示的流程图予以实现,主要包括补丁查找、补丁分发等。
5. 结束语本文围绕漏洞扫描与补丁自动管理软件的开发,阐述了整个系统从设计到实现所涉及的关键技术和要点。
该系统有效地实现了对补丁的自动下载、检测及安装,同时支持中文补丁,客户端代理是在在主机的后台运行,不会影响用户正常使用主机和上网。
除此之外,在支持除windows外的系统补丁下载部署、针对系统网络结构制定分发策略以及补丁测试等方面上还值得我们作进一步的研究与开发。
参考文献[1]居安思危--论补丁管理. /articles/200405/698.html.2004,5[2] 曹元大,杨帆,薛静锋等. 基于UNIX主机系统的漏洞扫描器的设计[J].北京理工大学学报.2002.12,第6期:715-717Design and Implementation of Vulnerability Scanning andPatch Management SystemSu JichengMobile communication Lab,Beijing University of Posts and Telecommunications,Beijing(100876)AbstractA new vulnerability scanning and patch management system is proposed and realized. The system detects the vulnerability of hosts in the LAN, obtains the patches information, and automatically downloads and installs patches. The system supports Chinese patches update, and it can automatically detect and install patches in a timely and effective manner; at the same time, the system also supports multiple network extension, and is also applied to distribute patches in the large-scale network., and can eliminates a lot of manual operation. What is important is that it can reduce the damage because of vulnerability.Keywords:Vulnerability Scanning,Patch,Patch Distribution,Patch Management。