[发明专利]基于可移动代理的漏洞扫描方法

说明书

技术领域

本发明涉及一种漏洞扫描方法，特别是基于可移动代理的漏洞扫描方法,属于信息安全技术领域。

背景技术

传统的系统评估需要评估人员对计算机信息系统各个方面进行全面的调查和测试，并对调查和测试的结果进行综合分析，最后得出整个系统的综合安全性能。这就要求评估人员不仅要有深厚的计算机信息系统和网络知识与技术能力，还要有丰富的评估经验。即使如此，最后的综合评估结果也是由评估人员得出的，不可避免地带入了评估人员的主观判断。从某种程度上影响了评估结果的客观性。此外，由于现阶段信息安全起步不久，在全国范围内需要进行评估的计算机信息系统有很多，而能够从事信息系统安全评估的专业人员寥寥可数，根本无法满足需要。

因此，我们需要一个自动化的信息系统安全评估工具来帮助并指导评估人员来完成对计算机信息系统的评估，并能够对各项测评记录进行自动的综合分析处理，从而得出系统的综合评估结果。这样就无须评估人员对测评记录进行人工分析，保证了评估结果的客观性和准确性。在现有技术中，实现对测评记录的自动综合分析处理的方法可以很多，本发明把评估工具中对各级安全指标的判断方法的形式化方法，从中得到相应的评判规则，然后将测评记录与对应的评判规则进行匹配，得到评估结果。

传统的评估方式一般从安全要素和安全功能的实现角度出发，并没有考虑信息系统存在的安全漏洞及其可能带来的安全威胁，换句话说，该评估是一种相对“静态”的安全评估过程，可以称之为正向测试。考虑到在信息系统的实际运行中，安全漏洞的存在可能导致信息系统“静态”安全保障能力的降低，所以需要引入安全漏洞检测与渗透测试，试图从相对“动态”的角度深层考察信息系统的安全保证能力状况，这部分测试可称为逆向测试，逆向测试可对正向测试的结果给出有益的补充。

考察现有的漏洞测试工具，在跨平台性、可扩展性、执行效率、漏洞结果的分类，分析等方面都各有所长，但是没有一个可以综合这些优点，为了能够把所有优点结合起来，并对漏洞扫描结果做出合理的分类，适于规则化处理，用于系统评估，需提出一种基于可移动代理的漏洞扫描方法。

发明内容

本发明的目的在于提供一种基于可移动代理的漏洞扫描方法，作为自动化的信息系统安全评估工具，考虑信息系统存在的安全漏洞及其可能带来的安全威胁的同时，帮助并指导评估人员来完成对计算机信息系统的评估，并能够对各项测评记录进行自动的综合分析处理，从而得出系统的综合评估结果，保证评估结果的客观性和准确性。

实现本发明目的的技术解决方案为：基于可移动代理的漏洞扫描方法，用户通过配置模块设定扫描参数；通过管理代理模块触发漫游代理模块发出漫游代理，所述的漫游代理在网络中的各个主机之间循环迁移；管理代理模块通过加密传输机制从漏洞库模块传递所需的漏洞特征库，收集各个扫描子代理模块的运行状态，所述的各个扫描子代理扫描完成后，扫描结果以加密传输机制传递给管理代理模块，管理代理模块触发结果处理模块进行漏洞扫描结果的统一分类整理。

本发明与现有技术相比，其显著优点：

1)      高效率：有选择的上载漏洞特征库，外部漏洞扫描在本机进行，不产生网络流量；

2)      易扩展：在支持移动代理的环境下，对于新出现的漏洞，漏洞库的更新只需在主控端进行，而网络主机无需参与；

3)      智能化：克服了传统的漏洞扫描工具采用单一技术的特点，内部漏洞扫描和外部漏洞扫描同时进行，并可以将内部漏洞扫描的基本信息作为外部漏洞扫描的参考，扫描完成后进行内部漏洞扫描和外部漏洞扫描的智能对比。

附图说明

图1是本发明的整体组成模块示意图。

图2是本发明的管理代理流程图。

图3是本发明的漫游代理流程图。

图4是本发明的内部漏洞扫描代理流程图。

图5是本发明的外部漏洞扫描代理流程图。

图6是本发明的整个系统活动图。

具体实施方式

下面结合附图和具体实施方式对本发明技术方案进行详细描述。

本发明作为自动化的信息系统安全评估工具，如图1所示，其整个体系结构包括用户配置模块、管理代理模块、漫游代理模块、漏洞库模块和结果处理模块，其中，管理代理模块是分层体系结构中的命令和控制层，管理代理模块生成漫游代理后将它发送到网络，漫游代理就在网络所有带扫描主机中循环迁移，收集各个扫描子代理模块的运行状态。