（计算机应用技术专业论文）基于j2ee漏洞扫描系统的设计.pdf

摘要 本文利用j 2 e e 架构，设计并实现了一个基于分布式系统的漏 洞扫描平台。 在信息网络技术得到广泛应用的今天，随着应用层次的深入， 应用领域的扩大，安全性问题日益成为影响网络应用的重要问题。 伴随i n t e m e t 的迅速普及，其所具有的开放性、国际性和自由性使 我们更能方便自由地使用网络，但对安全提出了更高的要求。 本文首先系统地讨论了网络安全防范的基本原理、方法以及网 络安全的现状，并对所采用的漏洞扫描技术进行了详细的分析。系 统以扫描服务器为核心，面向异构、异质的网络平台而构建。遵循 j 2 e e 的规范，在设计模式上，我们采用基于m v c ( 视图、控制、 数据分离) 的设计模式。本文在给出总体设计的基础上，着重讲述 以下两个关键技术，并对其实现方法进行了研究：一是中间件软件 的设计，其担负给前台提供服务，连接后台扫描服务器和数据库的 重任，通过一个协议适配器实现业务逻辑组件与具体组件容器和协 议的分离；二足借鉴了基于规则专家系统的思想对扫描服务器中的 扫描引擎进行了创新性设计，并对构建驱动规则库的方法进行了研 究。 最后，本文重点对漏洞扫描服务器的实现方法进行了研究，对 已经实现了的部分进行了阐述。系统的设计目标是使系统的运行效 率、扫描的准确率、稳定性等各项性能优良。 关键词：网络安全，j 2 e e ，漏洞扫描 a b s t r a c t i nt h i st h e s i s ，av u l n e r a b i l i t ys c a n n e rp l a t f o r mb a s e do nd i s t r i b u t e d s y s t e mi sp l a n n e da n dc a r r i e do u t w i t hj 2 e et e c h n o l o g y w i t ht h ed e v e l o p m e n to fi n t e r a c tt e c h n o l o g ya n dw i l d l ya p p l i c a t i o n o fi n t r a n e t ，t h en e t w o r k i n gs e c u r i t yh a sb e i n gh i g h l yf o c u s e do i l ，a n d b e c o m eai m p o r t a n tp r o b l e mo fn e t w o r k - a p p l i c a t i o n w h e np e o p l ee n j o y o p e n n e s s ，i n t e m a t i o n a l i s ma n df r e e d o mo fi n t e m e t ，t h e yb r i n gf o r w a r d m o r es e c u r i t yo fi t t h i sa r t i c l ef i r s t l ys y s t e m a t i c a l l yd i s c u s s e st h ef u n d a m e n t a lp r i n c i p l e ， m e a s u r eo fn e t w o r ks e c u r i t yp r o t e c t i o na n dp r e s e n ts t a t eo fn e t w o r k s e c u r i t y ，s e c o n d l y ，a n a l y s i st h ev u l n e r a b i l i t ys c a n n i n gt e c h n o l o g yu s e di n d e t a i l 砀es y s t e mi sc o n s t r u c t e dt a k i n gt h es c a n n e rs e r v e ra st h ec o r ea n d s u i t a b l ef o rt r a n s - p l a t f o r mm o t i o n a c c o r d i n gt os t a n d a r d so fj 2 e e ，t h e s t r u c t u r eo ft h ew h o l es y s t e mi sb a s e do nd e s i g np a t t e r no fm v c ( v i e w ， c o n t r o la n dd a t ad i v i s i o n ) o nt h eb a s i so fo v e r a l ld e s i g n ，t h ea r t i c l e e m p h a s i z e st w oi m p o r t a n tt e c h n o l o g y ，a n ds u p p l yt h er e s o l u t i o na n d r e a l i z a t i o n ：o n ei st h ed e s i g no fm i d d l e s o f t w a r e ，i tc a ns e r v ef o r f o r e g r o u n da n dc o n n e c tb a c k g r o u n ds c a n n i n gs e r v e ra n dt h ed a t a - b a s e w ec a l la c h i e v et h es e p a r a t i o no fs e r v i c el o g i cm o d u l ea n ds p e c i f i c p r o t o c o lw i t h a p r o t o c o la d a p t o r ；, t h eo t h e ri sc o m b i n i n gt h ee x p e r t s y s t e m si d e a sb a s e do i lr u l e st oa c c o m p l i s ht h ei n n o v a t i v ed e s i g na b o u t s c a n n i n ge n g i n ei nt h es c a n n i n gs e r v e r a n ds t u d y i n gt h ea p p r o a c ho f c o n s t r u c t i n gd r i v i n gr u l e - b a s e a tl a s t ，t h ea r t i c l ee m p h a s i z e st h es t u d yf o rt h er e a l i z i n gt e c h n i q u e o fs c a n n i n g - s e r v e r , a n de x p o u n d st h ep a r tr e a l i z a t i o no fs y s t e m t h ea i m o fs y s t e mi st om a k et h es y s t e mr u n n i n ge f f i c i e n c y 、s t a b i l i t ya n ds c a n n i n g v e r a c i t yb e t t e r k e yw o r d s ：n e t w o r ks e c u r i t y ，j 2 e e ，v u l n e r a b i l i 哆s c a n 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共 同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：7 整：垦日期：丝年月型日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校有 权保留学位论文，允许学位论文被查阅和借阅：学校可以公布学位论 文的全部或部分内容，可以采用复印、缩印或其他手段保存学位论文； 学校可以根据国家或湖南省有关部门的规定送交学位论文。 作者签名：噬导师签名：迹日期：生社月望日 中南大学硕十学位论文 第一章综述 1 1 引言 第一章综述 在全球信息技术高度发达的今天，宽带和无线网络的日益普及，与网络 相关的应用越来越多。网络对于许多入来说已经成为工作和生活中必不可少 的一部分。对于企业，网络更是占有举足轻重的地位，电子商务已经逐步取 代一些传统的经营方式。但在网络带来便利的同时，也带来了问题网络安 全问题。 因为i n t e r a c t 本身的设计缺陷及其开放性，使其成为高科技犯罪的温床。 利用i n t e m e t 进行犯罪的案例越来越多，联入网的计算机系统被不断非法入侵， 重要情报资料被窃，以及由此造成的计算机和网络系统瘫痪等，已经给各个 国家及社会造成巨大的经济损失，甚至于危害到国家的安全。因此，网络的 安全已经成为一个越来越引起各国关注的重要问题。为了保证这些计算机系 统的安全，人们采用了很多被动防御的方式，如防火墙、i d s ( 入侵检测系统) 、 加密技术、反病毒软件、加强的用户认证、访问控制、评估、记录日志和预 警、安全固化的用户认证以及物理安全等0 1 。 目前，针对普通的个人p c 的侵害也越来越多，计算机病毒和木马程序利 用i n t e m e t 可以传播得更快、更广，而且方式更多、更隐秘。如c i h 病毒和针 对微软操作系统中l s a s s 服务漏洞的攻击都造成了很大的伤害。更重要的是个 人用户缺乏必要的安全知识和经验，他们更容易受到攻击，而且受攻击后的 反应往往是不知所措。虽然也有大量的被动防御工具如防病毒软件、个人防 火墙等，但随着病毒和木马程序的层出不穷和变化，需要频繁地进行升级。 这些计算机系统中的安全问题源于系统的脆弱性，即安全漏洞【2 】。安全漏 洞是硬件、软件或者是安全策略上的错误而引起的缺陷，利用这个缺陷可以 在系统未授权的情况下访问系统或者破坏系统的正常使用。在系统软件和硬 件设计实现时可能存在的弱点叫做技术脆弱性。其他如发生在安全策略、处 理过程、控制、配置和其他的系统管理区，则属于管理脆弱性。系统的缺陷 所能影响的网络设备和软件范围很大，包括路由器、客户和服务器程序、操 作系统防火墙等网。 有超过9 0 的攻击是针对计算机系统的配置不适当或安装不正确所造成 的安全漏洞，这些安全漏洞往往只需要通过一些简单的扫描程序便可以找到。 因此，事先检测系统的安全漏洞是防范于未然，减少损失的最佳方法。漏洞 中南大学硕士学位论文第一章综述 本身不会自己出现，它依赖于人的发现。因此，漏洞检测是一个动态的过程。 一般而占，系统越大、越复杂，安全漏洞存在的可能也就越大。 现在的漏洞扫描软件大部分是作为被动防御系统如防火墙和i d s 的辅助 工具，其使用者大部分是网络安全管理人员。使用这些软件往往需要许多的 网络安全管理知识和经验，而且他们都足针对已有的安全漏洞。所以，设计 一种能够提供给安全管理人员和普通个人用户易于使用的漏洞扫描系统有着 十分的积极意义。 1 2 黑客攻击网络的手段 黑客非法入侵计算机系统的目的大部分是获取我们需要保护的资源和数 据，它们有着以下三个独立的特征【2 1 ： 1 保密性：不希望非法的访问和使用。 2 完整性：防止信息被非法篡改。 3 可用性：数据和资源能够被正确地访问和使用。 黑客通过获取系统的非法访问权限，获取所需资料( 科技情报、个人资 料、金融帐户、技术成果、系统信息等等) ，篡改有关数据达到非法目的， 利用盗取的资源进一步对其他目标进行攻击，发布虚假、违法和反动的信息， 占用存储空间。分析黑客入侵网络的过程，人们发现他们的入侵总是从寻找 系统的漏洞开始，其攻击方式有远程攻击、本地攻击以及伪远程攻击三类， 其采用的技术手段主要有以下几种【4 i ： 1 口令破解。入侵者总是试图通过猜测合法用户的口令来得到授权。一 般有两种方法，一是从存放许多常用口令的数据库中，逐一地进行实 验：另一种是获取目标系统的口令文件，然后以离线的方式进行破解。 口令破解时，既可以进行暴力破解，也可以通过一些特殊的黑客字典 来进行猜测。 2 特洛伊木马。特洛伊木马英文名字叫t r o j a l lh o r s e ，它是一种基于远 程控制的黑客工具，具有隐蔽性和非授权性的特点。这些程序提供的 功能可能泄露一些系统的重要信息，或者控制该系统，致使整个系统 被入侵。 3 s n i f f e r 监听。s n i f f e r 是利用计算机的网络接口截获数据报文的一种工 具，分为软、硬两种。黑客将数据包抓下来后，查看并分析其中的内 容，可以得到密码等有用信息。 4 缓冲区溢出攻击。这是在网络上比较常见的攻击之一。它利用应用程 序或网页脚本等软件中存在的错误，通过向程序缓冲区填充特定的代 2 中南大学硕七学位论文第一章综述 码来使缓冲区溢出，有可能获取系统的s h e l l 。 5 t c p ，i p 协议漏洞攻击。利用t c p f l p 协议族的弱点进行的攻击，如i p 伪装、a r p 欺骗、路由欺骗、d n s 欺骗等。由于该协议未考虑安全 方面的问题，所以包含了许多不安全因素及许多漏洞给了黑客以可乘 之机 6 拒绝服务攻击( d e n i a lo f s e r v i c e ) 。d o s 技术严格地说只是一种破坏 网络服务的技术方式，具体的实现多种多样。但其根本目的是使计算 机或网络无法提供正常的服务。通过先行挤占服务系统的资源来阻止 合法用户使用或使系统崩溃。一般可将其归于服务超载、报文洪水、 t c p 阻塞三种类型。 1 3 安全问题的根源 因为t c p i p 协议作为i n t e m e t 上主要的传输协议，在其设计之初只考虑 了安全环境下网络的开放连接，并没考虑安全方面的问题，所以本身就是不 安全的。由此给了黑客以可乘之机。利用i n t e r n e t 提供的便利，使黑客们可 以轻而易举地获得想要的自动软件工具，并且很方便地组成团体，使得网络 安全受到的威胁更加严重。隐藏在全世界各地的攻击者通常可以利用所有可 能就范的错误，包括设计错误、安装培植错误及安全教育培训的失误等，向 网络系统发起攻击。 系统的安全问题多种多样，但其产生的根源通过分析一般可归为以下六 大类： 1 教育培训问题。对使用系统的用户的安全教育是最容易疏忽的地方， 甚至对系统的安全管理人员的培训就存在漏洞。这样会给网络系统带 来不小的安全隐患，如用户设置的口令过于简单，安全意识不强，将 口令随便告诉他人；网络管理人员设置系统时的错误，没有及时根据 报告及时更新系统补丁等等。这样的结果往往是入侵者只需要通过简 单的方式就可以获得系统的控制权 2 变节员工。在机构中，一旦出现突然变节的员工，并且该员工还掌握 着机构中计算机网络系统的安全信息，这对网络系统的安全威胁将是 巨大的。 3 系统软件的缺陷。常见的网络应用系统包含了w e b 服务器、邮件服 务器、数据库系统以及其他服务器等等。这种系统软件的结构往往十 分复杂，出错的可能性也就非常大，极有可能导致安全隐患，进而遭 到入侵，造成数据失窃、文件被毁或事务被欺骗提交等。 3 中南大学硕士学位论文第一章综述 4 对硬件的攻击。一般指直接对计算机系统的硬件进行破坏，使系统不 能正常运行提供服务。还有，在有些系统中，特别是商业系统，常常 依靠智能卡之类的安全装鹭。实际上，存在一些对这类硬件的破解手 段，可以获取其中的密钥。 5 服务信任模型的错误。服务器与其客户之间的信任方式存在漏洞，缺 乏必要的认证和通信加密。这就使攻击者有可能插入客户和服务器之 间，使通信双方都没意识到第三方存在，因此，很多敏感数据就此被 窃取。这种攻击就是利用了用户与服务器之间信任模式的漏洞。 6 通信协议的脆弱性。协议本身抗干扰能力差，这是许多基于t c p i p 的协议所共有的问题。攻击者可以利用这些协议的漏洞来达到入侵目 标系统的目的。 通过上述分析，可见导致安全漏洞的问题是多方面的，有逻辑错误、系 统弱点、社会工程以及管理策略失误方面的问题，而且有些安全问题的产生 不仅仅是一个方面的问题，而是很多方面的问题。确保计算机网络系统的安 全是一个系统工程，并不是某几个软件就可以解决问题的。本文设计的漏洞 扫描系统只是帮助人们去发现可能存在的漏洞，而不是一个全盘的网络安全 解决方案。 1 4 安全漏洞扫描技术研究现状 安全漏洞扫描就使对计算机系统或其他网络设备进行安全相关的测试， 以找出安全隐患和可能被黑客利用的缺陷。目前漏洞扫描主要有以下几种技 术： 1 基于主机的安全漏洞扫描。通过对系统内部的主要配置文件的完整性 和正确性进行检测，查看重要文件和程序的权限，以及系统开放的服 务与端口等信息。 2 基于网络的安全漏洞扫描。从系统外部模仿黑客从网络进行攻击的行 为，使用端口扫描工具或其它针对具体安全漏洞的测试功能，系统的 安全状态进行分析，是一种主动的检测技术。 3 基于应用的安全漏洞扫描。它采用被动的非破坏性的方法检查应用软 件的设置以发现安全漏洞。 4 基于目标的安全漏洞扫描。它主要检查系统属性和文件属性，如数据 库和注册号等。其基本原理是消息加密算法和哈希函数。如果函数的 输入有一点变化，那么其输出就会发生大的变化，这样文件和数据流 的细微变化都会被感知。其实现是运行在一个完备环上，连续地处理 中南大学硕士学位论文第一章综述 文件和系统目标属性产生检验熟，并把这些检验数与原来的检验数进 行比较，一旦发现改变就通知管理员。 优秀的安全检测产品应该是综合了以上四种方法的优点。但是，目前安 全软件面临的各种问题影响了其最大限度地发挥漏洞识别的精确性： 现有网络安全产品一般只针对网络的某一个元素使用某种安全技术， 很难实现网络的全局安全。对于某一种产品而占，其安全策略都是专有的， 安全策略与安全策略之间缺乏一致性。这样，不仅达不到全局安全的目的， 还可能造成网络安全措施的重复甚至冲突。缺乏可扩充性，安全漏洞是层出 不穷的，安全模块需要不断的更新，这就需要系统有一种有效的机制支持新 技术的应用和系统的升级。当前的安全漏洞检测程序知识简单地把各个扫描 测试项的执行结果罗列出来，直接提供给测试者而不对信息进行分析处理， 没对扫描结果进行规范地整理，对网络的整体安全状况缺乏一个合适的评估， 对网络安全没有系统的解决方案。安全漏洞检测工具是一把双刃剑，如果被 黑客利用则会产生破坏性后果，而系统管理员掌握它又可以有效地防范黑客 的入侵。但目前安全检测系统自身的完整性与安全性难以保证。 从用户使用的细节角度来看，目前安全检测产品的主要不足有：扫描报 告无法自动化生成并派送，需要人工进行筛选与过滤，再通知相关单位的人 员，效率不高；没有支持多用户的统一的方便的使用接口，且多半未使用数 据库系统整合历次扫描结果；对使用者的技术知识和经验要求较高，不方便 普通用户的使用；无法交叉采用多种方式，真正自动化地模拟黑客的攻击模 式，做到有效的扫描与分析，导致误判资料过多，报告的量多而质差；无法 对扫描目标做更深入的弱点分析，对已知弱点无法针对性地做进阶扫描，以 发现更深入的问题。 1 5 本文的主要工作 本文对漏洞扫描技术的当前发展状况进行研究探讨，对安全漏洞的产生 根源和漏洞扫描软件的工作原理等方面的研究傲了深入的分析，揭示出目前 网络安全检测产品中对计算机网络安全漏洞动态产生以及相应扫描模块的发 展更新的忽视，满足普通用户使用要求的不足，提出了一个基于j 2 e e 架构的 漏洞扫描系统模型。在此基础上，本文还对系统的一些实现方法进行了具体 地研究。 本文研究内容归纳如下： 1 系统地讨论了计算机网络安全防范的基本原理和方法，以及网络安全 的研究现况。分析了黑客入侵网络的常用手段，指出网络的入侵根本 中南大学硕士学伊论文 第一章综述 原因在于系统安全漏洞的存在。 2 深入研究现有安全扫描软件的工作原理基础上，详细探讨现有的网络 漏洞扫描技术。 3 为了适应越来越多的对安全扫描服务的要求，我们需要将扫描服务器 放置在离目标网络很近的地方。因此，我们需要对这些分布式的扫描 服务器进行管理。而且系统用户的多样性要求我们能够提供一个易用 平台给用户，减少用户使用的难度。 4 为了适应漏洞层出不穷和不断变化的情况，为我们的安全漏洞扫描服 务器设计了一个全新的扫描引擎。它能即时方便地进行更新。 6 中南大学硕士学位论文第t - 章安全漏洞扫描工作原理分析 第二章安全漏洞扫描工作原理分析 2 1 安全漏洞简介 要进行漏洞扫描技术的研究，我们应当先了解什么叫漏洞和现有漏洞扫 描方法。我们将在下面几节进行简单地讨论。 2 ，1 1 安全漏洞的定义 漏洞( v u l n e r a b i l i t y ) 也称为脆弱性。它是计算机系统在硬件，软件及协议 的具体实现或系统安全策略上存在的缺陷。漏洞一旦被发现，就可以被攻击 者利用，在未授权的情况下访问或破坏系统。每个平台无论是硬件还是软件 都存在漏洞。下面是三种比较有代表性的漏洞定义。 1 基于访问控制策略的定义【5 1 。系统中主体对对象的访问是通过访问控 制矩阵实现的，这个访问控制矩阵就是安全策略的具体实现，当操作 系统的操作和安全策略之间相冲突时，就产生了漏洞。 2 基于系统状态的定义嘲。计算机系统是由一系列描述该系统各个组成 实体的当前状态所构成。系统通过状态转换来改变其状态。通过一系 列的状态转换可以从初始状态到达任何所有状态，其中的过程状态可 以分为授权和非授权状态。根据已定义的安全策略，所有这些状态转 换又可以分为授权的或非授权的转换。从一个授权的有漏洞状态经过 授权的状态转换可以到达一个非授权状态，而这个非授权状态被叫做 最终危及安全状态，所以说攻击就是从授权状态经过状态转换到达最 终危及安全状态。 3 广义的安全漏洞的定义【”在计算机安全中，漏洞是指系统安全过程、 管理控制以及内部控制等中存在的各种各样的缺陷，它能够被攻击者 利用，从而获得对信息的非授权访问或者破坏关键数据处理；在计算 机安全中，漏洞是指存在于物理设施、管理、程序、人员，计算机系 统软件或硬件方面的缺陷，能够利用它来对系统造成损害。漏洞本身 并不能导致系统受损，只有攻击者利用它，才能成为对系统进行破坏 的条件；在计算机安全中，漏洞是指整个系统中存在的任何错误或缺 陷。 7 中南大学硕+ 学位论文 第二章安全漏洞扫描一r 作原理分析 2 1 2 现有安全漏洞 通过对现有安全漏洞进行研究，发现其具有以下特点： 1 漏洞大多是由系统程序中的逻辑错误和系统设置策略错误有关。 2 漏洞和具体的系统环境密切相关。在不同种类的软、硬件设备中，同 种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种 系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。 3 漏洞问题与时日j 紧密相关。随着时间的推移，旧的漏洞会不断得到修 补或纠正，新的漏洞会不断出现，因而漏洞问题会长期存在。 漏洞的上述特点决定了漏洞描述的独特性。在对漏洞进行研究时，除了 需要掌握漏洞本身的特征属性，还要了解与漏洞密切相关的其它对象的特点 漏洞的基本属性有：漏洞类型、造成的后果、严重程度、利用需求、环境特 征等。与漏洞相关的对象包括：存在漏洞的软( 硬) 件、操作系统、相应的补丁程 序和修补漏洞的方法等。因此，我们可以根据安全漏洞的产生、特征以及扫 描的原理将现有的几于个安全漏洞进行分为：g e n e r a l 普通、m i c r o s o f t w i n 9 x n t 平台、f i r e w a l l s 防火墙、u s e l e s ss e r v i c e s 无用服务、邱文件传输协议、b a c k d o o r s 后门程序、c g ia b u s e s ( e g i 滥用) 、r e m o t ef i l ea c c e s s 远端文件获取、g a i n r o o t r e m o t e l y 远端获取根权限、r p c 远端过程调用、n i s 网络信息服务、f i n g e ra b u s e ( f i n g e r 滥用) 、s m t pp r o b l e m s ( 邮件传输协议错误) 、v i r u s 病毒、d d o s 分布式拒绝服务、r o u t e rs e t t i n g 路由器配置错误等2 0 多种类型。为了解决在 设计扫描程序或应对策略时，不同的安全产品开发者对漏洞的称谓的命名各 不相同，著名的m i t r e 公司建立了一个标准的通用漏洞的字典一v e ( c o m m o n v u l n e r a b i l i t i e sa n de x p o s u r e s ) 【羽，将漏洞名称标准化，参与的开发 的人员就可以很方便地按照这各标准开发安全产品。当两个产品进行比较时， 也能通过他们对c v e 覆盖的数目，对他们的扫描广度进行判定。 因为c v e 列表是面向全球免费公开的，黑客同样可以得到，安全管理员 必须不断更新驱动规则库，通过扫描检测对系统的脆弱性进行深入了解，事 先运用程序来检测发现其是否存在已有的漏洞，按照c v e 列表查看系统中有 多少安全漏洞已经被解决了。 2 2 安全漏洞扫描方法分类 安全漏洞扫描方法总的来说分为两类：证书式( c r e d e n t i a l e d ，也被认为 是被动的) 和非证书式( n o n c r e d e n t i a l e d ，也被认为是主动的) 。证书是允许 8 中南大学硕十学付论文第二章安全漏洞扫描工作原理分析 某人合法使用系统设备的口令或其他访问标识，当访问一个系统数据目标时 要做基本的证书检查。证书式非证书式根本的区别在于分析的信息是否有无 证书而获得。 2 2 1 证书式方法 证书式方法【3 l 假定一些系统的接入是合法的，以证书模式运行，检查使用 着系统数据资源例如文件、配置信息、状态信息，也就是说，他们是通过进 行标准系统状态查询和系统属性检查而获得的。 证书式方法一般主要采用基于主机、基于应用和基于目标的探测技术。 证书式方法对脆弱性分析的影响依赖于被分析的主题，系统的安全策略很大 程度上决定了证书式方法的相应目标，也决定了由专家资源提供的威胁信息 的内容和形式。绝大多数由证书式检查所揭露的脆弱性涉及到特权的扩大化 ( 即有用户非法获取超级用户的特权) 。 证书式的安全漏洞扫描最主要是针对操作系统内部问题作更深入的扫 描，如u n i x 、n t 、l i m l x ，他可弥补网络型安全漏洞扫描器只从外面通过网络 检查系统安全的不足。一般采用c l i e n t s e r v e r 的架构，其中有一个统一控管的 主控台( c o n s o l e ) 和分布于各重要操作系统的检测代理。 2 2 2 非证书式方法 非证书式方法【3 l 就是使系统扮演入侵者的角色，模仿黑客的行为，收集并 记录目标系统的反应和相关信息，然后判断是否存在安全漏洞。非证书式方 法比证书式方法更具有干扰性，它既有传统的监视功能又具有证书式方法不 具备的检测功能。使用户可以评估与网络服务有关的脆弱性。 非证书式方法主要采用基于网络的探测技术。评估该项技术的指标有以 下几个：准确性，分析技术是否正确地判断一个脆弱性的存在；可靠性，分 析技术是否能一致地判断出一个脆弱性的存在；资源占用情况，分析技术所 消耗的计算机资源和网络带宽；负面影响，分析技术对目标系统正常运行的 影响程度。上述的几个指标不可能同时达到最优，只有在他们中间找到一个 平衡，达到总体最优化性能。 2 2 3 安全漏洞扫描方法的优缺点 漏洞扫描作为安全监控系统的补充部分。这个工具使管理人员能检测出 9 中南大学硕七学位论文 第一二章安全漏洞扫描j 作原理分析 系统中隐藏的安全问题。当系统重建或者长时间未更新时，漏洞扫描工具可 以对系统进行安全评估，如软件做了更改并安装到操作系统中时。最后，漏 洞扫描工具能可靠地发现各种变化和可能存在的问题，在给站点带来不利影 响之前提醒安全管理员。 证书式分析方法能在主机级水平对系统目标进行抽样和测试，它们特别 适合检测设计精美的人为攻击。当黑客攻击了一个系统并留下一串有关他们 活动的后门，数据文件或其他痕迹时，证书式分析器通常比非证书式分析器 能更快更准确地发现这些后门之类的东西。在这种情形下，证书式分析器能 检测出一个安全问题的结果，但可能得不到与该事故有关得详细细节。 证书式分析器与操作系统平台之间的紧耦合意味着这些分析器不能很容 易地调整使之跨越异构网络，并且他们可能在建立、维护和管理方面花费更 高。证书式分析器所拥有的平台独立性使他们不太准确并且更容易遭受错误 报警。 非证书式方法足很有价值的，它很大程度上独立于平台。这样，耽搁的 非证书式分析器就能支持很多操作系统平台，适当裁剪能适应各种不同的网 络环境。非证书式分析器也能检测出对基于网络的攻击的敏感性( 例如，对 t c p i p 服务的攻击、基于畸形包的攻击以及拒绝式服务攻击) 。 非证书式具备的测试系统对拒绝式服务攻击的敏感性的性能会引火烧 身，因为拒绝式服务的测试很容易对目标系统造成伤害，不幸的是，其他攻 击性的脆弱测试也可能有同样的结果。 非证书方式与入侵检测系统的协调一致性方面也存在问题。非证书式检 查尤其是拒绝式攻击能触发入侵检测系统做出响应，最终阻塞紧接着的扫描。 在重复性检查( 如那些与扫描大型网络的目标主机有关的检查) 中也会出现 相似的问题。脆弱性评估检查能触发错误报警并且会丧失掉入侵检测系统的 精确性。更进一步，频繁的检查会在某种程度上误导入侵检测系统，以至于 当真正攻击发生时缺忽略这些攻击。 通过上面的分析，证书式与非证书式存在各自的优缺点，要设计一个全 面的安检产品最好足综合上述的两种方法。在本方案中我们采用的非证书方 式，即基于网络的探测技术。其中，使用了攻击程序的扫描，将系统当成一 个实际的入侵者角色的一种分析技术。在本方案中，我们采用插件技术，每 一种模拟攻击都由扫描脚本来记录，扫描服务器只是调用脚本来完成扫描。 虽然使用攻击程序的测试技术要比推断技术在准确性和可靠性方面具有优 势，但在制定策略和执行方面存在的许多问题。 1 0 中南大学硕士学伊论文第二章漏洞扫描系统总体设计 第三章漏洞扫描系统总体设计 现在隐患扫描系统大多是基于简单的c s 计算模型。它由多台扫描服务 器与多个客户端所组成，以扫描主机为服务端，在网络管理软件的支持下， 不同用户可以共享系统资源和处理能力。在这种纯c ，s 的网络运行模式下， 系统内部基本上处于独立运行状态，相互之间几乎没有协同工作的方式和能 力，导致这样的系统维护要求高、操作复杂、数据更新和同步麻烦，并且会 造成资源的浪费，扫描服务器负担重；而且系统软件投资大，规模受到限制。 为了解决上述问题，引入j 2 e e 架构和分布式多层客户服务计算模型1 9 1 。 整个系统是构建在互联网平台上的之上的，j 2 e e 应用服务器作为最有 前途的中间件之一，必然成为功能层的首选。普通客户端由浏览器构成，所 以h r r p 协议成为客户端与中间层服务器通信的完荚解决方案。这样做的好处 不仅仅是因为现在运行的浏览器的机器都使用h t t p 协议，而且w e b 浏览作 为互联网上最基本的应用，几乎所有的防火墙都允许h r r p 连接。总体上，我 们采用m v c 的设计模式。 3 1j 2 e e 体系结构简述 3 1 1j 2 e e 概述 j 2 e e ( j a v a2p l a t f o r me n t e r p r i s ee d i t i o n ) t 1 0 l 是美国s u n 公司提出的一种全 新概念模型，与传统的互联网应用程序模型相比有着不可比拟的优势。j 2 e e 平台本质上是一个分布式的服务器应用程序设计环境，一个j a v a 环境，它 提供了宿主应用的一个运行基础框架环境，套用来创建应用的j a v a 扩展 a p i ，一套基于j a v a 的完整的开发企业级应用的规范，具有跨平台的优势， 本章介绍与j 2 e e 应用开发有关的各种基本概念，包括分布式的多层应用体系、 组件、容器和开发部署等。 j 2 e e 平台使用了一个多层的分布式的应用程序模型。应用程序的逻辑根 据其实现的不同功能被封装到组件中，组成j 2 e e 应用程序的大量应用程序组 件根据在其所处的层被安装到不同的机器中。一个j 2 e e 应用程序被分为四个 不同的层，应用软件就构造在这个框架上： 1 客户层( c l i e n tt i e r ) ：主要处理用户界面，可能的表现形式有h r r p c l i e n t ，w e b 浏览器中的j a v a a p p l e t ，j a v a j c o r b a 客户机以及用r a d 中南大学硕七学位论文第= 章漏洞扫描系统总体设计 工具( v b ，d e l p h i ，p 0 w e r b u i l d e r 等) 开发的客户界面。 2 表现逻辑层( p r e s e n t a t i o nl o g i ct i e r ) ：生成和处理显示给用户的各种界 面，并部分处理简单的业务逻辑。主要采用的技术有j s p 和s e r v l e t 。 3 业务逻辑层( b u s i n e s sl o g i ct i e r ) ：负责处理应用系统各部分功能模块的 业务规则和商业逻辑，它们以中间件组件等形式存在并完成相应功 能。e j b 是其主要采用的技术。 4 数据层( d a t a t i e r ) ：主要存放应用系统所要使用的各种数据信息。包括 各种数据库和相关数据采集设备。 上述四层中的每一层都可以在物理上分布到多个机器，即使同属于应用 服务器领域的表现逻辑层和业务逻辑层，也可以驻留在不同的应用服务器上。 例如，在一个应用中，h t t p 和表现逻辑的容器可以使用s u n 公司的j 2 e e 应 用服务器i p l a n e t ，部署业务逻辑组件容器可以用b e a 公司的j 2 e e 应用服务 器w e b l o g i c 。当然也可以采用b e c 服务器将这些应用整合在一起。 3 1 2j 2 e e 组件 一个j 2 e e 应用程序可能包含一个或多个e n t e r p d s eb e a n 、w e b c o m p o n e n t s 或j 2 e e 应用程序客户端组件组成。无论是客户层、表现层还是业 务逻辑层，都有相应的j 2 e e 应用组件。在本系统中，我们主要用到的组件技 术有： s e r v l e t 是服务器端面向表现逻辑的组件，驻留在w e b 容器内。正如a p p l e t 扩展了浏览器的功能，s e r v l e t 扩展了w e b 服务器的功能一除了提供静态 h t m l 之外，s e r v l e t 还提供编程和生成动态内容的功能。s e r v l e t 能够处理一 些简单的业务逻辑，如来自客户端浏览器的请求，处理输入参数，把处理结 果以h t t p 应答的形式发送到客户端浏览器上显示出来。除了接受来自客户端 浏览器的请求之外，s e r v l e t 还能够响应其他s e r v l e t 的调用。虽然s e r v l e t 本身 也能够生成发送给客户端的h t t p 应答流，但是，就显示处理结果来说，j s p 更擅长一些。 j s p 即j a v as e r v e r p a g e s ，它也是面向表现逻辑的组件，与s e r v l e t 一样， 驻留在w c b 容器之内。j s p 页面是h t m l 和j a v a 的混合物，即j s p 页面既能 够包含h t m l 代码，也能够包含j a v a 代码。j s p 页面中的h t m l 代码被直接 发送给客户端浏览器，而j a v a 代码则被抽取出来由服务器处理。j s p 是s e r v l e t 编程的一种扩展，当用户请求j s p 页面时，w e b 服务器把j s p 页面编译成 s e r v l e t ，然后w e b 服务器调用s e r v l e t 并向w e b 浏览器返回执行结果，一旦 从j s p 页面编译出s e r v l e t ，w e b 服务器就会简单返回s e r v l e t ，而不用每次都 中南大学硕士学位论文第二章漏洞扫描系统总体设计 去重新编译。j s p 页面提供了一种强大的产生动态页面的机制。 e j b 作为j 2 e e 最核心的部分，是分布式可伸缩的业务逻辑组件，它们封 装了企业j a v a 工程的核心业务逻辑和数据模型元素。e j b 驻留在e j b 容器中， e j b 容器由应用服务器提供，在其中封装了网络通信，资源管理，安全控制， 数据访问，事务处理等复杂的底层功能。开发e j b 必须符合一定的接口要求， 这些接口中的一部分方法由开发者实现，一部分由e j b 容器提供者( 或应用服 务器厂商) 实现。从某个方面来看，我们可以把e j b 的这种接1 3 要求看成一种 隔离业务逻辑实现( 开发者编写的方法) 与应用基础结构( 容器实现的方法) 的途 径。e j b 组件可以与任意其他e j b 交互，不管对方是位于同一个容器之内，还 是位于一个远程服务器的不同容器之内。e j b 不仅可以调用所有的企业服务， 还可以调用所有的自定义组件库和服务访问库。针对不同的应用情况，e j b 规 范定义了几种不同的e j b 类型，包括：无状态会话b e a n 、有状态会话b e a n 、 实体b e a n 、消息驱动b e a n 。 3 1 3j 2 e e 容器 不同层次的j 2 e e 应用组件驻留在它们各自的运行环境中，这些运行环境 就是j 2 e e 术语中所谓的容器。容器是遵从一定接口标准的产品，为j 2 e e 组 件提供了必需的底层基础功能。按照j 2 e e 标准编写好应用组件之后，还要用 厂商专有的部署工具把它们分别部署到各自的容器。j 2 e e 标准定义了四种不 同的容器：a p p l e t 容器，运行和管理a p p l e t ；应用客户端容器，运行和管理标 准j a v a 应用客户程序，包括s w i n g 应用；w e b 容器，运行和管理表现逻辑层 的s e r v l e t 和j s p 组件；e j b 容器，运行和管理业务逻辑层的e j b 。 一般地，容器提供的基础功能包括内存管理、线程，同步机制、垃圾收集、 可用性、可伸缩性、负载平衡和故障转移等。容器必须实现的基本接口和功 能由j 2 e e 规范定义，但具体如何实现完全由容器厂商自己决定。因此，j 2 e e 既确保了不同应用服务器之间的兼容性，又为各个厂商的专有代码留下了自 由空问。实际上，在中间件产业，各路厂商之所以得以施展各自神通，容器 功不可没。 3 1 4j 2 e e 应用程序开发 j 2 e e 应用程序的开发，有以下几个阶段：e n t e r p r i s eb e a n 创建、w e b c o m p o n e n t 创建、j 2 e e 应用程序装配、j 2 e e 应用程序分布。 在j 2 e e 中，应用程序的体系结构设计是从把应用划分为模块开始的，然 中南大学硕士学位论文第二章漏洞扫播系统总体设计 后再把模块划分为各种组件。这是一种逐步求精的自顶向下的创建基本块的 过程。一旦开发出这些基本块，就需要在这些细化的块上构建出更高级别的 模块。在这个过程中，我们把细化的基本块组合成模块，然后再把模块组合 成应用。 有三种模块可以装配j 2 e e 应用程序：e n t e r p r i s eb e a n s ，w e bc o m p o n e n t s 和j 2 e e 应用程序客户端。这些模块是可以重用的，你可以从已有的e n t e r p r i s e b e a n s 和w e bc o m p o n e n t s 建立一个新的应用程序，并能运行在符合规范的任 何j 2 e e 服务器。 将模块组成应用后，就需要部署。应用部署就是在j 2 e e 平台上安装和定 制所包装的模块的过程。这个过程主要包括两个步骤：准备要在j 2 e e 应用服 务器上安装的应用，包括将文件拷贝到应用服务器上，借助于包容器产生的 另外的实现类，最后在服务器上安装应用；根据应用服务器相关的消息配制 应用，例如，创建数据源和连接集合，而实际的对象创建是特定于应用服务 器的。 3 2 基于j 2 e e 架构的漏洞扫描系统体系结构 3 2 1 系统功能设计 基于j 2 e e 分布式隐患扫描系统为了提供给客户安全、方便、快捷的服务。 整个隐患扫描系统应具有以下主要的基本功能： 1 远程访问功能。客户可以通过i n t e m e t 从远程访问本系统，而且不受 访问平台的限制，只要是w e b 浏览器就行。 2 扫描功能。能够对网络设备、操作系统和数据库三个方面进行扫描， 扫描包括网络协议、主流应用程序等。系统集成了十几大类的实践性 方法，能全方位，多侧面的对网络安全隐患进行扫描分析，分别从被 扫描系统内外，模拟系统管理员和黑客的身份，对处于网络环境中的 主机可能面对的安全隐患进行全面的检查；系统提供定制扫描策略及 定时自动、断点扫描、会话保存等功能。 3 管理功能：采用多级的用户权限管理，确保合法的用户正确的使用本 系统；同时提供对整个扫描系统的管理、维护和升级。 4 分析功能：采用报表和图形的形式对扫描结果进行分析，可以方便直 观地进行安全性能评估和检查，而且用户可以根据需要自定义报表的 内容。 1 4 中南大学硕士学位论文 第一三章漏洞扫描系统总体设计 3 2 2 系统体系结构简述 整个漏洞扫描系统设计遵循j 2 e e 规范，其体系结构如图3 - 1