一種自動(dòng)化安全滲透測(cè)試系統(tǒng)的設(shè)計(jì)與研究

◆卜佑軍 王涵 胡靜萍 張橋

（1.中國人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué) 河南 450002；2.網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室 江蘇211100）

滲透測(cè)試是指滲透測(cè)試人員模擬黑客使用的信息系統(tǒng)滲透技術(shù)、滲透方法和漏洞測(cè)評(píng)技術(shù)，對(duì)目標(biāo)系統(tǒng)的脆弱性做深入的分析，發(fā)現(xiàn)系統(tǒng)漏洞的過程[1]。滲透測(cè)試的結(jié)果可以作為信息系統(tǒng)脆弱性解決的依據(jù)，有助于確定組織信息系統(tǒng)資源面臨的安全威脅，降低組織的ⅠT 安全成本，發(fā)現(xiàn)和解決存在的安全威脅，掌握漏洞的基本原理、設(shè)計(jì)和執(zhí)行，為組織提供一個(gè)相對(duì)安全的信息系統(tǒng)運(yùn)行環(huán)境[2]。

滲透測(cè)試是基于漏掃工具對(duì)目標(biāo)信息系統(tǒng)進(jìn)行掃描并結(jié)合已知的漏洞利用工具對(duì)信息系統(tǒng)漏洞進(jìn)行滲透和測(cè)試，以此來獲取系統(tǒng)控制權(quán)限。在滲透測(cè)試過程中，目前使用較為廣泛的開源滲透測(cè)試工具有metasploit 滲透測(cè)試框架，僅僅利用metasploit 滲透測(cè)試框架加載漏洞掃描工具目前依然無法滿足全面、完整的智能化滲透測(cè)試需求。目前已公開的滲透測(cè)試系統(tǒng)存在以下共性問題：

（1）滲透測(cè)試過程需要調(diào)用各式各樣的安全性分析工具，由于各類工具的滲透策略、功能及使用方式都不相同，所以無法滿足高效的、智能化的滲透測(cè)試需求。

（2）缺乏有效的人工和自動(dòng)化相結(jié)合的測(cè)試平臺(tái)，滲透測(cè)試所調(diào)用的各類工具間的數(shù)據(jù)格式無法統(tǒng)一，很難進(jìn)行自主交互，需要相關(guān)人員花費(fèi)大量的時(shí)間和精力進(jìn)行數(shù)據(jù)整合。

1 相關(guān)理論研究

該自動(dòng)化滲透系統(tǒng)的設(shè)計(jì)基于如下方法：（1）采用關(guān)聯(lián)規(guī)則挖掘算法Apriori 對(duì)滲透測(cè)試數(shù)據(jù)進(jìn)行建模分析；（2）基于CVE、CPE、OVAL 等一系列標(biāo)準(zhǔn)來分析目標(biāo)信息系統(tǒng)漏洞。

1.1 Apriori 算法

Apriori 算法是一種最有影響力的挖掘布爾關(guān)聯(lián)規(guī)則的頻繁項(xiàng)集的算法，該算法使用一種稱作逐層搜索的迭代方法，k-項(xiàng)集用于探索（k+1）-項(xiàng)集。關(guān)聯(lián)規(guī)則的一般步驟：（1）找到頻繁集；（2）在頻繁集中通過可信度篩選獲得關(guān)聯(lián)規(guī)則。關(guān)聯(lián)規(guī)則的應(yīng)用：Apriori 算法應(yīng)用廣泛，可用于消費(fèi)市場(chǎng)價(jià)格分析、高校管理信息系統(tǒng)、移動(dòng)通信領(lǐng)域、網(wǎng)絡(luò)安全領(lǐng)域等，在網(wǎng)絡(luò)安全領(lǐng)域主要應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)中。

1.2 CVE、CPE、OVAL

非營利性組織MⅠTRE 在漏洞評(píng)估方面采用了CVE、CPE、OVAL等一系列標(biāo)準(zhǔn)來評(píng)估信息系統(tǒng)，這些標(biāo)準(zhǔn)可以用來進(jìn)行信息系統(tǒng)的滲透測(cè)試，通過與多源漏洞庫對(duì)比掃描出被測(cè)網(wǎng)絡(luò)及設(shè)備的漏洞，可以有效提高漏洞評(píng)估的準(zhǔn)確性和完整性[3]。

CVE（Common Vulnerabilities and Exposures）是信息安全通用漏洞披露庫，該庫只是一個(gè)漏洞描述的標(biāo)準(zhǔn)或者說是列表[4]。

CPE（Common Platform Enumeration）以標(biāo)準(zhǔn)化方式為軟件應(yīng)用程序、操作系統(tǒng)及硬件命名的方法[5]。例如：cpe：/{part}：{vendor}：{product}：{version}：{update}：{edition}：{language}格式。

OVAL（Open Vulnerability and Assessment Language）是開放漏洞評(píng)估語言，明確規(guī)定了漏洞的定義、漏洞的特征、漏洞的評(píng)估算法以及漏洞評(píng)估各個(gè)階段產(chǎn)生的文檔表示形式[6]。

2 系統(tǒng)設(shè)計(jì)

針對(duì)以上所述的問題，本論文設(shè)計(jì)了一種人工和自動(dòng)化相結(jié)合的安全滲透測(cè)試系統(tǒng)，該系統(tǒng)通過建立滲透測(cè)試平臺(tái)，針對(duì)目標(biāo)信息系統(tǒng)進(jìn)行人工與自動(dòng)化相結(jié)合的測(cè)試方法，分析目標(biāo)信息系統(tǒng)的脆弱性。本系統(tǒng)采用的技術(shù)方案是：建立滲透測(cè)試平臺(tái)，通過人工和自動(dòng)化相結(jié)合的手段對(duì)信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)和主機(jī)狀態(tài)進(jìn)行深度的掃描和分析。在分析漏洞過程中，調(diào)用漏洞驗(yàn)證庫中驗(yàn)證腳本對(duì)目標(biāo)信息系統(tǒng)進(jìn)行滲透測(cè)試，并在滲透測(cè)試結(jié)束后對(duì)整個(gè)滲透測(cè)試結(jié)果以及測(cè)試過程進(jìn)行分析并生成測(cè)試報(bào)告，具體如圖1、圖2 所示。

圖1 系統(tǒng)流程圖

圖2 滲透測(cè)試流程圖

根據(jù)圖1、圖2 所示，本論文所設(shè)計(jì)的系統(tǒng)基于Python 開發(fā)并采用標(biāo)準(zhǔn)接口，能夠與其他安全系統(tǒng)對(duì)接（Nessus、Nexpose、Appscan、WVS 等）。本系統(tǒng)支持人工和自動(dòng)化相結(jié)合的滲透方式，包括常見的滲透測(cè)試方法，可以對(duì)網(wǎng)絡(luò)、WEB 應(yīng)用、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、移動(dòng)終端等進(jìn)行滲透測(cè)試。本論文所設(shè)計(jì)的系統(tǒng)功能都是模式化式開發(fā)，支持多線程操作，可以滿足不同的滲透測(cè)試需求，具體實(shí)施步驟如下：

步驟0：自動(dòng)化響應(yīng)模型訓(xùn)練，建立對(duì)應(yīng)模型。

步驟0.1：通過眾測(cè)或其他方式，持續(xù)收集人工滲透測(cè)試的過程信息，保存滲透測(cè)試過程中的<目標(biāo)信息，掃描工具>、<漏洞信息，攻擊策略>、<攻擊策略，攻擊工具>。

步驟0.2：在大量人工滲透的訓(xùn)練數(shù)據(jù)的基礎(chǔ)上，將這3 個(gè)記錄元組作為訓(xùn)練集，通過關(guān)聯(lián)規(guī)則或特征選擇分析，可分別獲得不同元組對(duì)應(yīng)的支持度和置信度，統(tǒng)一表示為權(quán)重，對(duì)權(quán)重設(shè)置閾值，認(rèn)為大于閾值的元組才是有意義的。那么可以獲得如下相應(yīng)關(guān)系：

目標(biāo)-掃描工具：

a 目標(biāo)-b1 掃描工具-權(quán)重0.8，

a 目標(biāo)-b2 掃描工具-權(quán)重0.15；

漏洞-策略：

c 漏洞-d 策略-權(quán)重0.4；

策略-攻擊工具：

d 策略-e 攻擊工具-權(quán)重0.8；

其中，響應(yīng)關(guān)系的權(quán)重可看成采取這種響應(yīng)的優(yōu)先級(jí)。a，b1，b2，c，d，e 依次序分別表示需掃描的目標(biāo)系統(tǒng)、一種漏洞掃描工具、一種與之前不同的掃描工具、一種攻擊策略以及一種漏洞攻擊工具，符號(hào)-表示響應(yīng)關(guān)系，并表示-連接的前后2 項(xiàng)具有關(guān)聯(lián)性，權(quán)重是對(duì)他們關(guān)聯(lián)性的衡量；

步驟0.3：將訓(xùn)練結(jié)果保存數(shù)據(jù)庫，分別構(gòu)成目標(biāo)信息與掃描工具響應(yīng)模型、漏洞信息與攻擊策略響應(yīng)模型和攻擊策略與工具響應(yīng)模型，作為自動(dòng)化滲透測(cè)試的依據(jù)。

步驟1：根據(jù)需要對(duì)目標(biāo)信息系統(tǒng)進(jìn)行全方位掃描并獲取主機(jī)信息。

步驟1.1：掃描目標(biāo)信息系統(tǒng)網(wǎng)段內(nèi)的主機(jī)，通過掃描得到目標(biāo)信息系統(tǒng)主機(jī)狀態(tài)以及拓?fù)浣Y(jié)構(gòu)，初步獲取主機(jī)的操作系統(tǒng)的版本信息。

步驟1.2：根據(jù)提供的漏洞信息，針對(duì)滲透測(cè)試目標(biāo)主機(jī)并配置參數(shù)。

步驟1.3：掃描主機(jī)的詳細(xì)信息，包括操作系統(tǒng)類型、MAC 地址、ⅠP 地址、網(wǎng)絡(luò)端口等具體信息。

步驟1.4：將獲取的目標(biāo)系統(tǒng)和主機(jī)信息經(jīng)過數(shù)據(jù)分析、數(shù)據(jù)提取、整合等處理后儲(chǔ)存到數(shù)據(jù)庫中。

步驟2：掃描目標(biāo)信息系統(tǒng)，獲取系統(tǒng)脆弱性信息。

步驟2.1：分析步驟1.4 得到的目標(biāo)信息，從目標(biāo)信息與掃描工具響應(yīng)模型中調(diào)用優(yōu)先級(jí)最高的工具掃描目標(biāo)信息系統(tǒng)漏洞。

步驟2.2：對(duì)比公開的CVE（Common Vulnerabilities and Exposures）漏洞庫和人工滲透過程中建立的通用型漏洞信息數(shù)據(jù)庫，提取漏洞公開的描述、漏洞類型、載體信息、漏洞的觸發(fā)條件、漏洞脆弱性等信息。

步驟2.3：將掃描整合的漏洞基本信息進(jìn)行分類后存儲(chǔ)到漏洞信息表。

步驟3：根據(jù)步驟1 和步驟2 獲取的主機(jī)和漏洞信息，基于攻擊策略庫建立攻擊模型，根據(jù)攻擊模型對(duì)目標(biāo)系統(tǒng)嘗試滲透測(cè)試并獲取反饋結(jié)果。

步驟3.1：分析目標(biāo)主機(jī)以及漏洞信息，解析可進(jìn)行攻擊利用的目標(biāo)信息，包括目標(biāo)ⅠP 地址、系統(tǒng)端口號(hào)等攻擊入口信息及漏洞載體、漏洞類型（SQL、XSS 等）、觸發(fā)條件等攻擊利用信息。

步驟3.2：判斷是否有可以進(jìn)行攻擊利用的漏洞，若有漏洞，轉(zhuǎn)下一步；若無漏洞，結(jié)束。

步驟3.3：查找攻擊策略庫是否有相關(guān)漏洞，在大量收集歷史滲透測(cè)試數(shù)據(jù)的基礎(chǔ)上，正常情況下可以認(rèn)為系統(tǒng)已包含現(xiàn)階段全量漏洞信息和攻擊策略。但是對(duì)于訓(xùn)練集中沒有出現(xiàn)過的漏洞，這種一般可以認(rèn)為是新型漏洞，只能以人工滲透為主，只有在有穩(wěn)定漏洞測(cè)試過程后加入對(duì)應(yīng)模型。若沒有漏洞記錄相關(guān)策略，則有滲透測(cè)試人員根據(jù)經(jīng)驗(yàn)制定個(gè)性化的攻擊策略，包括滲透目標(biāo)、攻擊方法、工具選型、預(yù)期結(jié)果等內(nèi)容，形成人工滲透測(cè)試；若有相關(guān)漏洞，從漏洞信息與攻擊策略響應(yīng)模型中調(diào)用優(yōu)先級(jí)最高的攻擊策略，轉(zhuǎn)下一步。

步驟3.4：從攻擊策略與攻擊工具響應(yīng)模型中調(diào)用優(yōu)先級(jí)最高的工具，轉(zhuǎn)下一步。

步驟3.5：按照策略的執(zhí)行步驟，運(yùn)行工具執(zhí)行滲透測(cè)試，多次執(zhí)行攻擊直到攻擊成功返回預(yù)期的結(jié)果并記錄相關(guān)結(jié)果。當(dāng)調(diào)用的某攻擊工具沒有攻擊成功時(shí)，則會(huì)回到步驟3.4，調(diào)用優(yōu)先級(jí)低一位的攻擊工具，當(dāng)攻擊工具嘗試次數(shù)達(dá)到設(shè)定的閾值時(shí)，回到步驟3.3。

步驟3.3，調(diào)用優(yōu)先級(jí)低一位的攻擊策略并繼續(xù)下一步攻擊工具選擇，以此類推，當(dāng)攻擊策略嘗試次數(shù)達(dá)到閾值時(shí)，會(huì)提示由滲透測(cè)試人員制定個(gè)性化的攻擊策略，包括滲透目標(biāo)、攻擊方法、工具選型、預(yù)期結(jié)果等內(nèi)容，形成人工滲透測(cè)試。

步驟4：綜合分析滲透測(cè)試過程，梳理測(cè)試步驟、使用的工具等內(nèi)容，生成滲透測(cè)試報(bào)告。測(cè)試報(bào)告將詳細(xì)記錄目標(biāo)系統(tǒng)存在的安全漏洞信息并提出脆弱性修復(fù)的解決方案。

步驟5：響應(yīng)模型自適應(yīng)更新，各模型元組響應(yīng)策略會(huì)自動(dòng)調(diào)整。每次通過該系統(tǒng)進(jìn)行滲透的新數(shù)據(jù)則會(huì)組成一個(gè)測(cè)試集，用來驗(yàn)證形成的對(duì)應(yīng)模型的準(zhǔn)確率并加以調(diào)整。在有新的自動(dòng)化或人工滲透數(shù)據(jù)增加時(shí)，根據(jù)步驟3.5 的攻擊嘗試次數(shù)、結(jié)果或成功率，調(diào)整對(duì)應(yīng)模型權(quán)重或系數(shù)，從而改變優(yōu)先級(jí)高的響應(yīng)關(guān)系，使整個(gè)系統(tǒng)更加智能化。

自動(dòng)化響應(yīng)模型訓(xùn)練，建立對(duì)應(yīng)模型的算法是基于Apriori 算法的關(guān)聯(lián)規(guī)則挖掘算法。

例如一條漏洞，攻擊策略與攻擊工具的關(guān)聯(lián)規(guī)則：

SQL 注入，枚舉數(shù)據(jù)庫名—>sqlmap，其中support=2%，confidence=80%

表示的意思是所有的滲透測(cè)試記錄中，有2%的滲透測(cè)試者提交的過程是：發(fā)現(xiàn)SQL 注入漏洞，采用枚舉數(shù)據(jù)庫名策略，且采用sqlmap 工具進(jìn)行滲透；并且發(fā)現(xiàn)SQL 注入漏洞，采用枚舉數(shù)據(jù)庫名策略的情況下，有80%的滲透者使用了sqlmap 工具?；陉P(guān)聯(lián)規(guī)則的挖掘過程中，通常會(huì)設(shè)定最小閾值（支持度、最小置信度等），如果某條關(guān)聯(lián)規(guī)則滿足最小支持度閾值和最小置信度閾值，則認(rèn)為該規(guī)則可以給用戶帶來感興趣的信息。

如果事件A 中包含k 個(gè)元素，那么稱這個(gè)事件A 為k 項(xiàng)集，并且事件A 滿足最小支持度閾值的事件稱為頻繁k 項(xiàng)集。

Apriori 算法使用頻繁項(xiàng)集的先驗(yàn)知識(shí)，使用一種稱作逐層搜索的迭代方法，即“k-1 項(xiàng)集”用于搜索“k 項(xiàng)集”。

首先，通過掃描所有記錄，找出所有的頻繁1 項(xiàng)集，該集合記做L1，然后利用L1 找頻繁2 項(xiàng)集的集合L2，L2 找L3，如此下去，確定不能再找到任何頻繁k 項(xiàng)集時(shí)結(jié)束。最后，基于所有的頻繁集中找出強(qiáng)規(guī)則，即產(chǎn)生有用的關(guān)聯(lián)規(guī)則。找每個(gè)Lk 都需要一次數(shù)據(jù)庫掃描。基于算法的核心思想，更為具體的描述如下：

1、發(fā)現(xiàn)頻繁項(xiàng)集，過程為：

（1）掃描

（2）計(jì)數(shù)

（3）比較

（4）產(chǎn)生頻繁項(xiàng)集

（5）連接、剪枝，產(chǎn)生候選項(xiàng)集

2、重復(fù)步驟（1）～（5）直到不能發(fā)現(xiàn)更大的頻繁項(xiàng)集。

3、由頻繁項(xiàng)集產(chǎn)生關(guān)聯(lián)規(guī)則。

3 結(jié)束語

本論文所設(shè)計(jì)的一種自動(dòng)化的安全滲透測(cè)試系統(tǒng)主要有如下優(yōu)勢(shì)：

（1）綜合考慮了滲透測(cè)試過程中人工和自動(dòng)化相結(jié)合的測(cè)試方式，盡量利用公開的安全性分析工具，設(shè)計(jì)自動(dòng)化滲透測(cè)試模塊并封裝各類工具，實(shí)現(xiàn)了工具的自動(dòng)調(diào)用和執(zhí)行，提高了滲透測(cè)試過程的效率以及準(zhǔn)確性。

（2）實(shí)現(xiàn)對(duì)不同模塊間數(shù)據(jù)交互，自動(dòng)化分析整理安全性分析工具的結(jié)果輸出，減少了測(cè)試人員手動(dòng)調(diào)用工具、人工分析結(jié)果數(shù)據(jù)的時(shí)間花費(fèi)和勞動(dòng)力消耗，提高了滲透測(cè)試的自動(dòng)化程度。

（3）通過持續(xù)收集人工滲透的過程數(shù)據(jù)，產(chǎn)生響應(yīng)模型訓(xùn)練集，更好地把機(jī)器學(xué)習(xí)技術(shù)應(yīng)用于滲透測(cè)試過程中。例外，攻擊策略庫、攻擊工具庫和其他自動(dòng)化響應(yīng)模型都具備自學(xué)習(xí)功能，可以自適應(yīng)地學(xué)習(xí)和更新響應(yīng)模型的優(yōu)先級(jí)。

當(dāng)然，實(shí)現(xiàn)該技術(shù)方案的方法和途徑有很多，以上所述僅是本論文的優(yōu)選實(shí)施方式。后續(xù)將對(duì)該系統(tǒng)進(jìn)行更多的功能設(shè)計(jì)優(yōu)化，比如融合機(jī)器學(xué)習(xí)技術(shù)使該系統(tǒng)更加自動(dòng)化、智慧化。