基于垂直搜索安全漏洞预警系统设计和实现.docVIP

基于垂直搜索安全漏洞预警系统设计和实现 　　【摘要】目前我国漏洞库建设有突破进展，但并未得到企事业单位积极回应和足够重视。本文提出一种系统解决方案，基于垂直搜索的安全漏洞预警系统，从公开漏洞发布平台收集企事业单位信息系统相关漏洞，有效解决企事业单位对信息安全新漏洞响应不及时的问题，并介绍漏洞预警系统的结构框架及实现方式。 【关键词】安全漏洞；垂直搜索；漏洞库 系统安全漏洞的存在时导致安全事件发生的主要原因，而漏洞库是安全隐患分析的核心。我国漏洞库建设从2009年起有突破性进展[1]，先后在政府、企业、民间都推出颇具规模的漏洞库。然而，漏洞平台影响力是把“双刃剑”。漏洞平台提供给企业的漏洞信息，并未得到企业积极回应和足够重视，反而会为恶意攻击者提供便利，降低攻击难度[2]。 因此，如何合理使用漏洞平台，成了企事业单位信息安全保障的一个课题。本文介绍了一种基于漏洞库垂直搜索的安全漏洞预警系统模型，能够从众多漏洞库发布平台获取漏洞信息，并主动对企业信息系统相关的漏洞报警，缩短企业漏洞响应时间，降低漏洞暴露的风险。 1.安全漏洞预警系统研究意义 总所周知，企业信息化建设所必需的硬、软件产品不可能保证无任何安全隐患，从路由器、交换机[3]，到操作系统、数据库、应用软件，常常会有新漏洞曝光。 我们知道，在风险评估计算中： 单一损失期望（SLE）=资产价值（AV）×暴露因子（EF） 当漏洞信息被公开时，EF值会急剧增高，导致单一损失期望值增高，即风险大大增高。如果企业不及时响应和应对这些暴露的风险，被公开的漏洞很可能被恶意攻击者利用，造成进一步的损失。 漏洞预警系统的设计将弥补企业对已公开漏洞的人为忽视。漏洞预警系统借鉴了垂直搜索，通过对安全漏洞发布平台这一专业领域的信息进行搜索定位，将提取最新的安全漏洞信息，从互联网海量的漏洞信息中分析是否存在与企业信息设备、软件系统、网站等产品相关的安全漏洞。一旦发现关联度高的漏洞出现，系统将及时向相关负责人发出警报，使企业在第一时间获取最新的漏洞信息，做好安全防护工作，降低安全风险。 2.漏洞预警系统相关技术研究 2.1 垂直搜索引擎的研究 垂直搜索引擎，即专业或专用搜索引擎，就是专为查询某一学科或主题的信息而产生的查询工具，专门收录一方面、某一行业或某一主题的信息，对特定范围的网络信息的覆盖率相对较高，具有可靠的技术和信息资源保障，有明确的检索目标定位，有效的弥补了综合性搜索引擎对专门领域及特定主题信息覆盖率过低的问题。[4] 实际工作的搜索引擎，一般指利用网络蜘蛛程序在互联网上抓取网页，并对网页进行解析，建立索引数据库，然后利用用户查询的条件，对检索库中的内容进行匹配，返回匹配给用户。[5] 2.2 漏洞库的研究 为了符合中国国情以及国内信息安全现状，我们研究范围为国内的漏洞库。经过统计研究发现，我国漏洞库可分为三类：国家政府漏洞库、安全企业漏洞库、民间漏洞库。国家漏洞库信息量大，收录全面；安全企业漏洞库主要关注影响力较大、通用性较广的产品漏洞，针对性较强；民间漏洞库主要针对国内Web环境挖掘漏洞，存在大量国际国内官方漏洞库未收录的漏洞，原创性高。 我们注意到，绝大多数漏洞库在描述漏洞时，常常引用CVE ID。CVE的英文全称是“Common Vulnerabilities Exposures”公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。因此，CVE ID成为信息安全共享的“关键字”。漏洞库绝大多数拥有CVE ID的漏洞来源于国外漏洞库，不同漏洞库之间存在很大比例的重复漏洞。不同漏洞库在漏洞的分类和分级都存在差异。处理漏洞重复采集以及兼容不同漏洞库的漏洞标准，也是系统设计需要解决的问题。 3.漏洞预警系统结构设计 漏洞预警系统所维护的数据按内容分为三个部分：漏洞库配置管理库、本地漏洞库、企业资源库。漏洞库配置管理库维护国内所有漏洞库的访问入口地址、搜索采集规则；本地漏洞库将保存所有采集下来的漏洞信息；企业资源库维护本企业所有信息产品的特征、相关产品的安全负责人等信息。系统按逻辑分为四个部分：搜索引擎模块、漏洞分析模块、漏洞报警模块、管理终端。其系统架构图如图1所示： 下面详细介绍系统四个处理模块： 3.1 搜索引擎模块 搜索引擎主要功能是从预定义的漏洞库平台网站列表中读取指定的网站入口，并通过Internet对目标网站进行爬行、收集漏洞信息。 搜索引擎模块主要完成以下工作： （1）爬行目标网站的漏洞列表，记录列表的漏洞URL； （2）根据漏洞列表URL爬行漏洞页面，并记录HTML格式的漏洞详