CN102082659B - 一种面向网络安全评估的漏洞扫描***及其处理方法 - Google Patents

Abstract

本发明公开了一种面向网络安全评估的漏洞扫描***及其处理方法，包括采用C/S架构的服务器端和客户端；服务器端运行于Unix或Linux平台，客户端运行于Windows平台；服务器端包括客户端验证模块、扫描引擎服务模块、调度进程模块、入侵检测模块等；客户端包括服务器验证模块、扫描配置模块、预警模块、评估算法模块、扫描报告处理模块、漏洞扩充与汉化模块等；本发明将漏洞扫描***和入侵检测***相结合，并引入预警功能和调度功能，使得该***可以根据用户的需要，有选择有目的地对所要评估的网络进行漏洞扫描和安全评估，并形成一个较为客观、准确的漏洞扫描报告。

Description

一种面向网络安全评估的漏洞扫描***及其处理方法

技术领域

本发明涉及一种漏洞扫描***，特别是涉及一种面向网络安全评估的漏洞扫描***及其处理方法。

背景技术

目前，随着计算机网络和通讯技术的飞速发展，网络安全问题也日益突出。面对各种各样的网络事件和安全问题，我们深切感到网络安全评估的重要性和紧迫性。如何评估？用什么技术实现安全评估？这越来越引起人们的广泛关注和重视，并成为信息安全技术领域研究的热点问题。

面对网络安全问题，通过大量分析可以发现，黑客和病毒通常是通过安全漏洞寄生和渗入到目标***中，并对***进行一定的修改和破坏。因此只要能够找到***所存在的安全漏洞并及时地修复，就可以有效地抵御大部分黑客和病毒的攻击。漏洞扫描***的功能就是针对计算机或者其它网络主机设备进行安全检测，以找出存在的安全隐患和发现可能被黑客利用的安全漏洞，使网络管理员预先知道网络的脆弱性所在，并及时采取补救措施确保网络***的安全。

现有技术的漏洞扫描***的体系结构原理框图请参见图1所示：该漏洞扫描***大部分采用C/S模式，该模式主要由客户端1′和服务器端2′组成；其中，客户端1′由安全评估模块11′、扫描配置模块12′和结果报表管理模块13′组成，服务器端2′由扫描引擎21′、漏洞库22′和插件库23′组成；客户端1′和服务器端2′之间通过加密通道3′实现数据传递；服务器端2′与被扫描网络4′相连接。该模式工作时，由客户端1′通过扫描配置模块12′进行扫描配置，并将扫描请求文件发送到服务器端2′；服务器端2′的扫描引擎21′根据扫描配置文件信息调用相应的插件对被扫描网络4′进行扫描，并将从被扫描网络4′返回的结果与漏洞库22′中的信息进行匹配以确定是否存在相应的漏洞，然后将扫描结果返回给客户端1′；客户端1′由安全评估模块11′对返回的扫描结果进行分析，并完成对被扫描网络4′的安全评估工作；最后由客户端1′的结果报表管理模块13′对扫描结果进行处理。

现有技术的这种漏洞扫描***的结构原理虽然较为简单，但却存在着几点较为明显的不足：首先，这种模式进行漏洞扫描比较被动，一般情况下是用户需要检测***的安全性时才进行漏洞扫描，没办法及时发现***的漏洞；其次，该模式没办法对扫描任务设置一个有效的调度机制，实现定时扫描；第三，该模式一般都是把漏洞等级分为高、中、低，然后简单的给个权值，最后再计算并取加权平均值，因算法较为粗糙，导致评估报告误差大；第四，该模式没有预警功能，一般情况下扫描一个***或者网络的漏洞需要等待较长的时间，用户一般是等到整个扫描结束后才进行漏洞的修补，如果这个时候有针对相应漏洞的入侵攻击进来，用户则无法查知。

发明内容

本发明的目的在于克服现有技术之不足，提供一种面向网络安全评估的漏洞扫描***及其处理方法，它根据传统漏洞扫描***在架构和评估算法上存在的不足之处，提出一个比较合理的扫描***模型，同时采用模糊数学的评估算法对扫描结果进行安全评估，从而提高评估的准确性。

本发明解决其技术问题所采用的技术方案是：一种面向网络安全评估的漏洞扫描***，包括采用C/S架构的服务器端和客户端，该服务器端运行于Unix或Linux平台，该客户端运行于Windows平台；

该服务器端，包括：

扫描引擎服务模块，用来接受客户端的请求，执行扫描任务；

插件库，用来存储检验漏洞的插件；

漏洞库，用来存储漏洞数据；

扫描历史记录存储区，用来存储扫描历史记录数据；

在服务器端中：扫描引擎服务模块分别与插件库、漏洞库，扫描历史记录存储区相连接，扫描引擎服务模块根据客户端的请求从插件库中调用插件并从扫描历史记录存储区中读取对应的扫描历史记录对目标网络进行扫描，并把新的扫描信息写入扫描历史记录存储区中，同时把扫描结果与漏洞库进行匹配看是否发现漏洞，最后把扫描结果传送给客户端；

该客户端，包括：

扫描配置模块，提供一个界面，让用户对扫描会话的信息进行配置，然后把配置信息组成扫描参数文件，并加密发送给服务器端；

扫描报告处理模块，根据中文漏洞库中的漏洞信息和扫描结果信息生成扫描报告；

评估算法模块，按照预置的算法对扫描结果进行计算分析，并形成安全评估报告；

扫描结果库，用来存储扫描结果数据；

中文漏洞库，用来存储中文漏洞数据；

在客户端中：评估算法模块与扫描结果库相连接，评估算法模块从扫描结果库中调取扫描结果并根据预置的算法对扫描结果进行计算分析，从而形成安全评估报告；扫描报告处理模块分别与中文漏洞库、扫描结果库相连接，从中文漏洞库中提取漏洞信息，从扫描结果库中调取扫描结果信息，并生成扫描报告。

所述的服务器端，还包括：

调度进程模块，用来接受客户端的请求，向扫描引擎服务模块发送触发扫描指令；

入侵检测模块，用来监听网络情况，判断网络是否有异常，在有异常时启动扫描；

规则库，用来存储规则数据；

在服务器端中：调度进程模块与扫描引擎服务模块相连接，调度进程模块触发扫描引擎服务模块执行扫描任务；入侵检测模块与规则库相连接，入侵检测模块对网络情况进行监听并将监听结果与规则库里的规则进行比较以判断网络是否发生异常；

所述的客户端，还包括：

预警模块，根据服务器端的入侵检测模块所发送的启动扫描指令而产生警报，由用户对当前网络进行扫描或者自动启动服务器端的调度进程模块进行扫描；

在服务器端的入侵检测模块发现异常时，服务器端的入侵检测模块向客户端的预警模块发送启动扫描指令，客户端的预警模块产生报警信息，并根据需要自动启动服务器端的调度进程模块进行扫描。

所述的服务器端，还包括：

客户端验证模块，用来接受客户端的请求对客户端证书进行验证，并向客户端发送服务器端证书；

用户证书库，用来存储用户信息和客户端证书；

在服务器端中：客户端验证模块与用户证书库相连接，客户端验证模块将接受的客户端的验证请求与用户证书库的客户端证书进行比对验证；

所述的客户端，还包括：

服务器端验证模块，用来向服务器端发送客户端证书，并接收服务器端证书；

服务证书库，用来存储服务器信息和服务器端证书；

在客户端中：服务器端验证模块与服务证书库相连接，服务器端验证模块将接收的服务器端证书与服务证书库中的服务器端证书进行比对验证。

所述的服务器端，还包括：

漏洞扩充与汉化模块，用来建立中文漏洞库；

在服务器端中：漏洞扩充与汉化模块与中文漏洞库相连接。

本发明的一种面向网络安全评估的漏洞扫描的处理方法，包括如下过程：

客户端通过使用证书认证连接到指定的服务器端，服务器端通过客户端认证；

客户端启动扫描配置模块对要扫描的网络进行配置并把配置信息传送给服务器端；

服务器端启动扫描引擎服务模块工作，服务器端的扫描引擎服务模块根据配置参数调用插件库中的插件并读取扫描历史记录存储区所对应的扫描历史记录对指定的网络进行扫描；

服务器端的扫描引擎服务模块把新的扫描信息写入扫描历史记录存储区中；同时服务器端的扫描引擎服务模块把扫描结果跟漏洞库进行匹配看是否发现漏洞，最后把扫描结果传送给客户端；

客户端的扫描结果库接受服务器端的扫描结果的存储；

客户端的评估算法模块从扫描结果库中获取扫描结果信息，并根据预置的算法对扫描结果进行计算分析，进而形成安全评估报告；

客户端的扫描报告处理模块根据中文漏洞库中的漏洞信息和扫描结果库中获取的扫描结果信息，生成扫描报告；

服务器端的入侵检测模块在服务器运行后，就时时捕获所监听的网络上数据包的情况，与规则库里的规则进行匹配，判断网络上是否存在异常情况；

当网络出现有异常情况时，就通知客户端上的预警模块，预警模块产生报警，由用户对当前网络进行扫描或者自动启动服务器端的调度进程模块，通过调度进程模块触发扫描引擎服务模块对整个网络进行扫描。

本发明的有益效果是：由于将漏洞扫描***和入侵检测***相结合，并引入预警功能和调度功能，使得该漏洞扫描***可以根据用户的需要，有选择有目的地对所要评估的网络进行漏洞扫描和安全评估；由于引入基于模糊数学的安全评估方法，且该方法能对扫描结果进行一个比较客观、准确的安全评估，使得整个扫描报告结果比较准确。该***能够自动进行***漏洞扫描，形成直观的扫描报告结果，同时能够有效地预防入侵，并且结合相关专家经验值时，能使得整个网络安全评估结果更加准确和权威。

以下结合附图及实施例对本发明作进一步详细说明；但本发明的一种面向网络安全评估的漏洞扫描***及其处理方法不局限于实施例。

附图说明

图1是现有技术的漏洞扫描***的结构原理框图；

图2是本发明的漏洞扫描***的结构原理框图；

图3是本发明的预警模块的流程图；

图4是本发明的扫描配置模块的扫描参数文件内容及传送过程示意图。

具体实施方式

实施例，请参见图2所示，本发明的一种面向网络安全评估的漏洞扫描***，其漏洞扫描***包括采用C/S架构的服务器端1和客户端2，该服务器端1运行于Unix或Linux平台，该客户端2运行于Windows平台；

该服务器端1，包括：

扫描引擎服务模块16，用来接受客户端2的请求，执行扫描任务；扫描引擎服务模块16的主要作用是负责根据用户的定制从插件库选取特定的插件，协调各扫描插件间的关系，执行扫描程序，将结果存入扫描历史记录中，并负责发送给客户端；

客户端验证模块19，用来接受客户端2的请求对客户端证书进行验证，并向客户端2发送服务器端证书；服务器端1首次启动运行时，必须进行用户信息设置，服务器规则设置，之后会产生一个服务器端证书；该模块存储着用户信息和客户端2的证书，支持用户采用密码或证书登陆服务器；

调度进程模块17，用来接受客户端2的请求，向扫描引擎服务模块16发送触发扫描指令；根据来自客户端2的用户对扫描任务调度信息的配置，该模块会定期执行相对应的扫描任务，并自动保存扫描结果；

入侵检测模块18，用来监听网络情况，判断网络是否有异常，在有异常时启动扫描；该模块主要是时时捕获所监听的网络上数据包的情况并进行分析，与规则库里的规则进行匹配，从而判断网络上是否存在异常情况，并及时启动调度进程模块；

插件库11，用来存储检验漏洞的插件；其中，插件与漏洞是一对一的关系，即一个插件负责检验一个漏洞，且所有的插件均存放在插件库11中，插件根据各自的类别组织在一起；

漏洞库12，用来存储漏洞数据；当该模型执行外部扫描时，将从目标主机或网络返回的信息与该漏洞库12中的信息相匹配，以此来判断目标主机或网络是否存在相应的漏洞；

规则库13，用来存储规则数据；

用户证书库14，用来存储用户信息和客户端证书；

扫描历史记录存储区15，用来存储扫描历史记录数据；

在服务器端1中：扫描引擎服务模块16分别与插件库11、漏洞库12，扫描历史记录存储区15相连接，扫描引擎服务模块16根据客户端2的请求从插件库11中调用插件并从扫描历史记录存储区15中读取对应的扫描历史记录对目标网络3进行扫描，并把新的扫描信息写入扫描历史记录存储区15中，同时把扫描结果与漏洞库12进行匹配看是否发现漏洞，最后把扫描结果传送给客户端2；调度进程模块17与扫描引擎服务模块16相连接，调度进程模块17触发扫描引擎服务模块16执行扫描任务；入侵检测模块18与规则库13相连接，入侵检测模块18对网络情况进行监听并将监听结果与规则库13里的规则进行比较以判断目标网络3是否发生异常；客户端验证模块19与用户证书库14相连接，客户端验证模块19将接受的客户端2的验证请求与用户证书库14的客户端证书进行比对验证；

该客户端2，包括：

服务器端验证模块205，用来向服务器端1发送客户端证书，并接收服务器端证书；客户端2首次连接到服务器时，会从服务器下载证书并保存在客户端；每当客户端2与服务器端1连接时，都要验证客户端上所存储的服务器端证书是否与当前服务器端上的证书一致，只有二者一致时连接才能成功；

预警模块203，根据服务器端1的入侵检测模块18所发送的启动扫描指令而产生警报，由用户对当前网络进行扫描或者自动启动服务器端1的调度进程模块17进行扫描；

扫描配置模块201，提供一个界面，让用户对扫描会话的信息进行配置，然后把配置信息组成扫描参数文件，并加密发送给服务器端1；

扫描报告处理模块208，根据中文漏洞库中的漏洞信息和扫描结果信息生成扫描报告209；其扫描报告形式有txt、html等格式；为了使扫描报告更加直观化，还能以曲线图、饼图和柱状图来显示漏洞危害等级和漏洞家族信息；

漏洞扩充与汉化模块204，用来建立中文漏洞库；

评估算法模块206，按照预置的算法对扫描结果进行计算分析，并形成安全评估报告207；

扫描结果库202，用来存储扫描结果数据；

中文漏洞库210，用来存储中文漏洞数据；

服务证书库211，用来存储服务器信息和服务器端证书；

在客户端2中：服务器端验证模块205与服务证书库211相连接，服务器端验证模块205将接收的服务器端证书与服务证书库211中的服务器端证书进行比对验证；评估算法模块206与扫描结果库202相连接，评估算法模块206从扫描结果库202中调取扫描结果并根据预置的算法对扫描结果进行计算分析，从而形成安全评估报告207；扫描报告处理模块208分别与中文漏洞库210、扫描结果库202相连接，从中文漏洞库210中提取漏洞信息，从扫描结果库202中调取扫描结果信息，并生成扫描报告209。

本发明的一种面向网络安全评估的漏洞扫描***，上述的预警模块203，主要是根据服务器上IDS进程即入侵检测模块18是否发现入侵，若发现则产生警报，用户就可以对当前网络进行扫描或者由预警模块203自动启动调度进程模块17进行扫描；其工作流程，请参见图3所示：

步骤S1，预警模块203根据入侵检验模块18所发送的启动扫描指令而产生警报，执行步骤S2；

步骤S2，将扫描任务入库，执行步骤S3；

步骤S3，设置次任务优先级最高，执行步骤S4；

步骤S4，判断是否有扫描进程正在运行，如判断有扫描进程正在运行，则执行步骤S5，否则执行步骤S7；

步骤S5，判断扫描进程是否运行完毕，如扫描进程运行完毕，则执行步骤S7，否则执行步骤S6；

步骤S6，判断扫描进程是否被强行终止，如扫描进程被强行终止，则执行步骤步骤S7，否则回到步骤S5；

步骤S7，启动调度进程模块17进行扫描。

本发明的一种面向网络安全评估的漏洞扫描***，主要是提供一个界面，让用户对某次扫描会话的信息进行配置，然后把配置信息组成扫描参数文件，并发送给服务器端，如图4所示。

本发明的一种面向网络安全评估的漏洞扫描***，由上述漏洞扩充与汉化模块204所建立的中文漏洞库，其数据库中的各个字段如下所示：

插件ID(PID)：描述检测某个漏洞所需插件的ID；

插件名称(PNAME)：描述该插件的名称即该插件所发现的漏洞名称；

漏洞描述(DESCRIPTION)：描述漏洞相关信息，使用户更进一步地了解此漏洞；

解决方案(SOLUTION)：描述漏洞的解决方法；

参阅(SEEALSO)：描述漏洞补丁下载的链接地址；

风险等级(RISKFACTOR)：描述漏洞所对应的风险等级，用户根据此项知道哪些漏洞对***的危害大，需要立即下载补丁；

参考资源(REFERENCE)：描述与此漏洞相关的参考信息；

插件版本(COPYRIGHT)：描述该插件所对应的版权信息；

漏洞家族(FAMILY)：描述该漏洞所对应的家族信息；

漏洞种类(CATEGORY)：描述该漏洞所对应的种类；

CVE编号(CVE)：描述漏洞的CVE编号；

标志位(FLAG)：描述该插件信息是否被汉化。

其中，该中文漏洞库的漏洞种类有以下五种：Attack、Denial、Info、Scanner和Others。其漏洞家族如表1所示，这些漏洞家族可为后面的***安全评估提供一定的参考作用：

表1漏洞家族分类表

1、AIX本地安全检查	22、Misc
		2、后门	23、Netware
3、强力攻击	24、网络信息服务
		4、CGI滥用	25、点对点文件共享
5、CGI滥用：XSS	26、端口扫描器
		6、CISCO	27、Red Hat本地安全检查
7、Debian本地检查	28、远程文件访问
		8、默认的Unix帐户	29、远程过程调用
9、拒绝服务	30、服务检测
		10、Fedora本地安全检查	31、设置
11、指针滥用	32、Slackwara本地安全检查
		12、防火墙	33、简单邮件传输协议问题
13、FreeBSD本地安全检查	34、简单网络管理协议
		14、FTP	35、Solaris本地安全检查
15、远程获取shell	36、SuSF本地安全检查
		16、远程获取root权限	37、Ubuntu本地安全检查
17、General	38、无用服务
		18、Gentoo本地安全检查	39、Web服务器
19、HP-UX本地安全检查	40、Windows
		20、Mac操作***本地安全检查	41、Windows：微软公告
21、Mandr ake本地安全检查	42、Windows：用户管理

根据以上***安全漏洞库的结构和漏洞家族，构建的一个实例如表2所示：

表2一个***漏洞实例

本发明的一种面向网络安全评估的漏洞扫描***，上述评估算法模块206，其安全评估一词包括两方面的内涵：其一是指对安全事件出现的随机性的评估；其二是指对安全事件造成损失的评估。基于此，用P表示安全事件出现的随机性，用C表示安全事件出现后所造成的损失或者影响，用S表示反映***安全等级水平的风险度，其中P、C的值域为区间[0，1]，则风险度S实际上是安全事件发生和其产生后果的似然估计：即

S＝f(安全事件的出现概率测度，安全事件发生后的损失测度)

 ＝1-(安全事件未发生概率)*(安全事件未发生的损失测度)

 ＝1-(1-P)*(1-C)

 ＝P+C-P*C

定义风险度S的评估集为{高度安全，一般安全，低度安全}，其相应值为{0.3，0.7，1.0}；若S＜0.3，则为高度安全***；S＞0.7，则为低度安全***；介于两者之间则为一般安全***。

本发明还提出了一种基于模糊数学的安全评估方法，并将该安全评估方法应用于漏洞扫描***。该算法的实现步骤如下：

(1)建立因素集

因素集是以影响评判对象的各个因素为元素所组成的一个普通集合。通常用大写字母U表示，即：U＝{u₁，u₂，...，u_m}，u_i代表各影响因素。这些因素，通常具有不同程度的模糊性。

对安全事件发生的随机性进行评估时，假定影响***安全的主要因素是***的脆弱性，即***漏洞。所以因素集U₁＝{***漏洞}。对安全事件后果影响程度的评估，通常从组织对信息资产的依赖程度、已有防范措施的有效程度、已有控制措施的有效程度三个方面进行衡量，因此因素集U₂＝{资产，防护措施，控制措施}。

(2)建立评价集

评价集是评判者对评判对象可能做出的各种各样的评判结果所组成的集合。通常用大写字母V表示，即V＝{v₁，v₂，...，v_n}，各元素v_i代表各种可能的总评判结果。进行模糊评判的目的，就是在综合考虑所有影响因素的基础上，从评价集中选出一个最佳的评判结果。

对安全事件发生的随机性进行评估时，由专家根据模糊评判法则划定的评价集V₁＝{小，较小，一般，较大，大}＝{0.1，0.3，0.5，0.7，1.0}；而对安全事件后果影响程度进行评估时，所确定的评价集V₂＝{低，较低，中，较高，高}＝{0.1，0.3，0.5，0.7，1.0}。

(3)建立权重集并进行模糊综合评判

为了反映各因素的重要程度，对各个因素u_i(i＝1，2，…，n)应赋予一个相应的权数a_i(i＝1，2，…，n)，由各权数所组成的集合A＝{a₁，a₂，...，a_n}，称为因数权重集，简称权重集。并且必须满足 $\underset{i=1}{\overset{i=n}{\mathrm{\Σ}}}{a}_i=1,a_i\≥0.$

对影响***安全的单因素(漏洞)作评价，其权值w₁＝1。设该因素对量级v_i的隶属度为a_i，下面提供一种确定隶属度a_i的方法如下：

把漏洞扫描***所定义的漏洞危害严重性等级说明表(如下述表3所示)和漏洞危害可能性等级说明表(如下述表4所示)以及漏洞扫描***扫描得到的关于漏洞信息(即漏洞名称，漏洞危害等级，漏洞家族，漏洞描述，漏洞解决方案等)提供给专家，每位专家可以根据漏洞的信息和自己所处的环境，给出每个漏洞的危害可能性等级权数。漏洞风险因素的评估值为：

那么由***漏洞造成的安全事件发生概率为： $P=\underset{i=1}{\overset{5}{\mathrm{\Σ}}}(a_i*v_i)$

此方法确定隶属度是比较精确的，但是比较烦琐，而且当漏洞个数增多时，此方法的工作量是相对较大的。因此，可以考虑把扫描报告中漏洞所属的家族列出来，专家根据漏洞家族出现的比例选定漏洞家族的危害可能性等级来计算漏洞风险因素的评估值R’。

漏洞因素模糊评判集R＝{r1，r2，r3，r4，r5}，此时a_i可以用r_i来确定，公式如下所示：

$\left\{\begin{array}{c}r1=1.0,r_{\mathrm{2,3,4,5}}=0,R^{\&prime;}<0.1\\ r1=\frac{0.3-R^{\&prime;}}{0.3-0.1},r2=1-r1,r_{\mathrm{3,4,5}}=\mathrm{0,0.1}\&le;R^{\&prime;}<0.2\\ r2=\frac{R^{\&prime;}-0.1}{0.3-0.1},r1=1-r2,r_{\mathrm{3,4,5}}=\mathrm{0,0.2}\&le;R^{\&prime;}<0.3\\ r2=\frac{0.5-R^{\&prime;}}{0.5-0.3},r3=1-r2,r_{\mathrm{1,4,5}}=\mathrm{0,0.3}\&le;R^{\&prime;}<0.4\\ r3=\frac{R^{\&prime;}-0.3}{0.5-0.3},r2=0-r3,r_{\mathrm{1,4,5}}=\mathrm{0,0.4}\&le;R^{\&prime;}<0.5\\ r3=\frac{0.7-R^{\&prime;}}{0.7-0.5},r4=1-r3,r_{\mathrm{1,2,5}}=\mathrm{0,0.5}\&le;R^{\&prime;}<0.6\\ r4=\frac{R^{\&prime;}-0.5}{0.7-0.5},r3=1-r4,r_{\mathrm{1,2,5}}=\mathrm{0,0.6}\&le;R^{\&prime;}<0.7\\ r4=\frac{1.0-R^{\&prime;}}{1.0-0.7},r5=1-r4,r_{\mathrm{1,2,3}}=\mathrm{0,0.7}\&le;R^{\&prime;}<0.85\\ r5=\frac{R^{\&prime;}-0.7}{1.0-0.7},r4=1-r5,r_{\mathrm{1,2,3}}=\mathrm{0,0.85}\&le;R^{\&prime;}\&le;1.0\end{array}\right.$

表3漏洞危害严重性等级说明表

表4漏洞危害可能性等级说明表

赋予因素集U₂中各个因素相应的权值为W＝{w₁，w₂，w₃}，满足 $\underset{i=1}{\overset{3}{\mathrm{\&Sigma;}}}{w}_i=1.$ 专家参照评价集V₂对因素集U₂中各个因素进行评价，得到单因素评价集R_i，R_i＝{r_i1，r_i2，r_i3，r_i4，r_i5}，将各因素评判集的隶属度为行组成单因素评判矩阵R：

$R=\left[\begin{array}{c}{r}_{11},r_{12},r_{13},r_{14},r_{15}\\ r_{21},r_{22},r_{23},r_{24},r_{25}\\ r_{31},r_{32},r_{33},r_{34},r_{35}\end{array}\right]$

单因素模糊评判，仅反映一个因素对评判对象的影响，这显然是不够的，只有综合所有影响因素，才能得出科学的评判结果。将权重集与单因素模糊评判矩阵合成，可以得到模糊综合评判集B，B＝W*R。因此，安全事件发生后所造成的损失程度：

C＝B*V₂ ^T

下面给出应用该评估算法的一个实例：

实验环境：用所开发的漏洞扫描***对某实验室局域网IP地址为210.34.55.～-210.34.55.～的10多台主机进行漏洞扫描，此次扫描配置选择了2205插件。

利用本***对上面的扫描结果进行一次***安全评估，整个评估过程主要分为以下几个步骤：

(1)漏洞扫描***扫描所得到的扫描报告中，高危害漏洞个数为9，中危害漏洞个数为35，低危害漏洞个数为8。

(2)专家对影响安全事件后果的因素集U₂＝{资产，防护措施，控制措施}赋予权值，W＝{0.3，0.4，0.3}，同时参照评价集V₂对U₂中的各个因素进行评价，得到评判矩阵 $R=\left[\begin{array}{c}\mathrm{0,0.3,0.5,0.2,0}\\ \mathrm{0,0.2,0.7,0.1,0}\\ \mathrm{0,0.2,0.6,0.2,0}\end{array}\right],$ 则计算得C＝0.486000。

(3)专家根据每个漏洞的描述信息以及漏洞的严重性等级，评判每个漏洞的危害可能性等级，最终计算得安全事件发生概率P＝0.335192，最后进行模糊综合评判得到局域网的风险度S为0.658289，因此判断该局域网为一般安全***。

若专家根据漏洞家族进行危害可能性等级选择，来确定每个漏洞的危害可能性等级的话，选择结果如下述的表5所示，最终计算得到安全事件发生概率P＝0.334808，最后进行模糊综合评判得到局域网的风险度S为0.658091，因此判定该局域网为一般安全***。

表5漏洞危害可能性等级判定表

通过这两种漏洞危害可能性等级选择方法的比较，可以看出二者所得到的评判结果偏差不大，但是第二种方法明显大大减少了专家的评选工作量，所以当评判的***漏洞个数达到一定的数量时，可以考虑采用第二种方法。总的来说，第一种方法评判结果相对较准确，但工作量大；第二种方法工作量较小，但存在一定误差。

本发明的一种面向网络安全评估的漏洞扫描的处理方法，包括如下过程：

客户端2通过使用证书认证连接到指定的服务器端1，服务器端1通过客户端2认证；

客户端2启动扫描配置模块201对要扫描的网络进行配置并把配置信息传送给服务器端1；

服务器端1启动扫描引擎服务模块16工作，服务器端1的扫描引擎服务模块16根据配置参数调用插件库11中的插件并读取扫描历史记录存储区15所对应的扫描历史记录对指定的网络进行扫描；

服务器端1的扫描引擎服务模块16把新的扫描信息写入扫描历史记录存储区15中；同时服务器端1的扫描引擎服务模块16把扫描结果跟漏洞库12进行匹配看是否发现漏洞，最后把扫描结果传送给客户端2；

客户端2的扫描结果库202接受服务器端1的扫描结果的存储；

客户端2的评估算法模块206从扫描结果库202中获取扫描结果信息，并根据预置的算法对扫描结果进行计算分析，进而形成安全评估报告207；

客户端2的扫描报告处理模块208根据中文漏洞库210中的漏洞信息和扫描结果库202中获取的扫描结果信息，生成扫描报告209；

服务器端1的入侵检测模块18在服务器运行后，就时时捕获所监听的网络上数据包的情况，与规则库13里的规则进行匹配，判断网络上是否存在异常情况；

当网络出现有异常情况时，就通知客户端2上的预警模块203，预警模块203产生报警，由用户对当前网络进行扫描或者自动启动服务器端1的调度进程模块17，通过调度进程模块17触发扫描引擎服务模块16对整个网络进行扫描。

上述实施例仅用来进一步说明本发明的一种面向网络安全评估的漏洞扫描***及其处理方法，但本发明并不局限于实施例，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均落入本发明技术方案的保护范围。

Claims (5)

1.一种面向网络安全评估的漏洞扫描***，包括采用C/S架构的服务器端和客户端，该服务器端运行于Unix或Linux平台，该客户端运行于Windows平台；其特征在于：

该服务器端，包括：

扫描引擎服务模块，用来接受客户端的请求，执行扫描任务；

插件库，用来存储检验漏洞的插件；

漏洞库，用来存储漏洞数据；

扫描历史记录存储区，用来存储扫描历史记录数据；

在服务器端中：扫描引擎服务模块分别与插件库、漏洞库，扫描历史记录存储区相连接，扫描引擎服务模块根据客户端的请求从插件库中调用插件并从扫描历史记录存储区中读取对应的扫描历史记录对目标网络进行扫描，并把新的扫描信息写入扫描历史记录存储区中，同时把扫描结果与漏洞库进行匹配看是否发现漏洞，最后把扫描结果传送给客户端；

该客户端，包括：

扫描配置模块，提供一个界面，让用户对扫描会话的信息进行配置，然后把配置信息组成扫描参数文件，并加密发送给服务器端；

扫描报告处理模块，根据中文漏洞库中的漏洞信息和扫描结果信息生成扫描报告；

评估算法模块，按照预置的算法对扫描结果进行计算分析，并形成安全评估报告；

扫描结果库，用来存储扫描结果数据；

中文漏洞库，用来存储中文漏洞数据；

在客户端中：评估算法模块与扫描结果库相连接，评估算法模块从扫描结果库中调取扫描结果并根据预置的算法对扫描结果进行计算分析，从而形成安全评估报告；扫描报告处理模块分别与中文漏洞库、扫描结果库相连接，从中文漏洞库中提取漏洞信息，从扫描结果库中调取扫描结果信息，并生成扫描报告。

2.根据权利要求1所述的面向网络安全评估的漏洞扫描***，其特征在于：

所述的服务器端，还包括：

调度进程模块，用来接受客户端的请求，向扫描引擎服务模块发送触发扫描指令；

入侵检测模块，用来监听网络情况，判断网络是否有异常，在有异常时启动扫描；

规则库，用来存储规则数据；

在服务器端中：调度进程模块与扫描引擎服务模块相连接，调度进程模块触发扫描引擎服务模块执行扫描任务；入侵检测模块与规则库相连接，入侵检测模块对网络情况进行监听并将监听结果与规则库里的规则进行比较以判断网络是否发生异常；

所述的客户端，还包括：

预警模块，根据服务器端的入侵检测模块所发送的启动扫描指令而产生警报，由用户对当前网络进行扫描或者自动启动服务器端的调度进程模块进行扫描；

在服务器端的入侵检测模块发现异常时，服务器端的入侵检测模块向客户端的预警模块发送启动扫描指令，客户端的预警模块产生报警信息，并根据需要自动启动服务器端的调度进程模块进行扫描。

3.根据权利要求1或2所述的面向网络安全评估的漏洞扫描***，其特征在于：

所述的服务器端，还包括：

客户端验证模块，用来接受客户端的请求对客户端证书进行验证，并向客户端发送服务器端证书；

用户证书库，用来存储用户信息和客户端证书；

在服务器端中：客户端验证模块与用户证书库相连接，客户端验证模块将接受的客户端的验证请求与用户证书库的客户端证书进行比对验证；

所述的客户端，还包括：

服务器端验证模块，用来向服务器端发送客户端证书，并接收服务器端证书；

服务证书库，用来存储服务器信息和服务器端证书；

在客户端中：服务器端验证模块与服务证书库相连接，服务器端验证模块将接收的服务器端证书与服务证书库中的服务器端证书进行比对验证。

4.根据权利要求1所述的面向网络安全评估的漏洞扫描***，其特征在于：所述的客户端，还包括：

漏洞扩充与汉化模块，用来建立中文漏洞库；

在客户端中：漏洞扩充与汉化模块与中文漏洞库相连接。

5.一种面向网络安全评估的漏洞扫描的处理方法，其特征在于：包括如下过程：

客户端通过使用证书认证连接到指定的服务器端，服务器端通过客户端认证；

客户端启动扫描配置模块对要扫描的目标网络进行配置并把配置信息传送给服务器端；

服务器端启动扫描引擎服务模块工作，服务器端的扫描引擎服务模块根据配置参数调用插件库中的插件并读取扫描历史记录存储区所对应的扫描历史记录对指定的网络进行扫描；

服务器端的扫描引擎服务模块把新的扫描信息写入扫描历史记录存储区中；同时服务器端的扫描引擎服务模块把扫描结果跟漏洞库进行匹配看是否发现漏洞，最后把扫描结果传送给客户端；

客户端的扫描结果库存储来自于服务器端的扫描结果；

客户端的评估算法模块从扫描结果库中获取扫描结果信息，并根据预置的算法对扫描结果进行计算分析，进而形成安全评估报告；

客户端的扫描报告处理模块根据中文漏洞库中的漏洞信息和扫描结果库中获取的扫描结果信息，生成扫描报告；

服务器端的入侵检测模块在服务器运行后，就时时捕获所监听的网络上数据包的情况，与规则库里的规则进行匹配，判断网络上是否存在异常情况；

当网络出现有异常情况时，就通知客户端上的预警模块，预警模块产生报警，由用户对当前网络进行扫描或者自动启动服务器端的调度进程模块，通过调度进程模块触发扫描引擎服务模块对整个网络进行扫描。