[发明专利]一种基于原子化功能的安全扫描系统及扫描方法

说明书

本发明提供一种于原子化功能的安全扫描系统及方法，所述系统包括：安全扫描系统包括原子库、脚本库、安全扫描引擎，所述安全扫描引擎包括脚本解释器、安全扫描调度执行器、原子接口；所述原子库存储原子能力并保存原子能力的相关信息；所述脚本库中具有多个安全扫描脚本，多个安全扫描脚本中的任意一个安全扫描脚本用于完成某个安全扫描任务；所述安全扫描引擎通过脚本解释接口与脚本库进行交互，通过加载若干个安全扫描脚本，确定各安全扫描脚本的调度顺序。根据本发明的方案，实现了安全扫描脚本的快速组装，可以解决基于插件技术的安全扫描系统中更新与扩展不够灵活的问题，可以对网络安全事件、网络威胁进行快速响应。

技术领域

本发明涉及信息安全领域，尤其涉及一种基于原子化功能的安全扫描系统及扫描方法。

背景技术

随着计算机技术的发展，网络安全方面受到日益严峻的挑战。安全扫描技术是一种有效避免黑客攻击的主动防御技术，通过对扫描对象主机或网络的脆弱性进行探测与分析，进而发现潜在的安全威胁。安全扫描技术主要经历了从单一应用程序到基于插件技术的发展过程。

安全扫描技术与防火墙、入侵检测系统相辅相成，安全扫描技术属于主动发现主机或网络的安全问题的方法。安全扫描技术最初的表现形式是人工的或针对特定计算机载体的相对独立的安全扫描工具。如服务脆弱性扫描工具、操作系统脆弱性工具，以及针对特定设备和网络应用程序的脆弱性扫描工具。

伴随着计算机的快速发展，导致各种主机、服务、程序呈现在网络上的脆弱性不断被发现和公布，由此使得主机、网络脆弱性出现的频率更快、规模更大。为了适应主机、服务、网络、程序脆弱性的迅速扩张带来的安全扫描需求，带来安全扫描工具集规模的急速增长，导致安全测试人员使用选择上的困难。另外，许多针对新出现脆弱性的安全扫描方法在扫描过程、原理上与已有的工具存在相似性，重新设计开发扫描工具而忽视已有的经验将费时费力。基于插件技术的安全扫描系统的出现解决了上述问题。插件技术将安全扫描的具体实现细节以插件的形式独立出来，以一个个插件的方式承载安全扫描功能载体，形成插件集合。

目前，基于插件技术的扫描器的常见实现方式是基于脚本化实现安全扫描插件和使用动态链接库实现安全扫描插件。

基于脚本化实现安全扫描插件，代表性的扫描工具有Metasploit渗透测试工具。Metasploit将脚本插件统一放置在脚本插件目录中，通过预置一部分可用的脚本插件，使用插件执行引擎对脚本插件的加载执行完成一系列的安全扫描任务目标，一个脚本插件完成的功能类似于早期的针对特定计算机载体的安全扫描工具完成的功能。但以Metasploit为代表的此类基于脚本化实现安全扫描插件，脚本插件重定义一般是基于定义某个子功能，并对安全扫描设计人员提供脚本定义接口，这种接口定义由于封装子功能的粒度较大，仍达不到针对特定的安全扫描流程灵活进行脚本插件的组装目的。同时，脚本插件缩写需要安全扫描设计人员手工编写脚本代码，对安全扫描设计人员在专业知识和编辑能力上具有很高的要求。

使用动态链接库实现安全扫描插件，主要由安全扫描器和多个完成不同安全扫描功能的动态链接库插件组成。通过定义统一的动态链接库调用接口规范每个安全扫描插件的接口要求，使用统一的动态链接库调用接口编写的插件具体实现特定的安全扫描功能，这些插件能够被安全扫描器转入内存并调用，这类安全扫描插件以Windows平台下的DLL动态链接库和Linux平台下的.so动态链接库为代表。但基于动态链接库实现安全扫描插件，对已有经验的复用主要依靠利用定义好的插件接口和插件代码，往往开发一个新的需要直接修改代码，同时动态链接库还需要进行重新编译才能生成新的扫描插件。这种基于代码级修改的插件生成方式还对安全扫描设计人员提出更高的要求，需要拥有较高的专业知识和编程能力。

基于脚本化实现安全扫描插件，以及使用动态链接库实现安全扫描插件，都具有难以灵活、高效地对安全扫描功能进行组装配置的问题。

发明内容