知財求人 - 知財ポータルサイト「IP Force」
▶ エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドの特許一覧 ▶ エヌエスフォーカス テクノロジーズ インクの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2018-503900(P2018-503900A)
(43)【公表日】2018年2月8日
(54)【発明の名称】脆弱性走査方法及び装置
(51)【国際特許分類】
G06F 21/57 20130101AFI20180112BHJP
【FI】
G06F21/57 370
【審査請求】有
【予備審査請求】未請求
【全頁数】30
(21)【出願番号】特願2017-532916(P2017-532916)
(86)(22)【出願日】2015年9月29日
(85)【翻訳文提出日】2017年8月15日
(86)【国際出願番号】CN2015091030
(87)【国際公開番号】WO2016095591
(87)【国際公開日】20160623
(31)【優先権主張番号】201410802136.4
(32)【優先日】2014年12月19日
(33)【優先権主張国】CN
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,ST,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IR,IS,JP,KE,KG,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US
(71)【出願人】
【識別番号】511273078
【氏名又は名称】エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッド
【氏名又は名称原語表記】NSFOCUS INFORMATION TECHNOLOGY CO.,LTD
(71)【出願人】
【識別番号】515056130
【氏名又は名称】エヌエスフォーカス テクノロジーズ インク
【氏名又は名称原語表記】NSFOCUS TECHNOLOGIES,INC.
(74)【代理人】
【識別番号】110000729
【氏名又は名称】特許業務法人 ユニアス国際特許事務所
(72)【発明者】
【氏名】李 瀛
(57)【要約】
本発明の実施例は、脆弱性走査方法及び装置を提供する。当該方法は、逆方向走査プロキシモジュールにより、クライアントのメッセージを取得することと、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、又は、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送ることと、逆方向走査プロキシモジュールは、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新することとを備える。本発明の実施例においては、逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析してクライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティをテストすることができる。【選択図】図1
【特許請求の範囲】
【請求項1】
逆方向走査プロキシモジュールにより、クライアントのメッセージを取得することと、
前記逆方向走査プロキシモジュールは、前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、又は、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送ることと、
前記逆方向走査プロキシモジュールは、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新することとを備えることを特徴とする脆弱性走査方法。
前記逆方向走査プロキシモジュールは、前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、又は、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送ることと、
前記逆方向走査プロキシモジュールは、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新することとを備えることを特徴とする脆弱性走査方法。
【請求項2】
逆方向走査プロキシモジュールは、サーバにインストールされており、
前記逆方向走査プロキシモジュールにより、クライアントのメッセージを取得することは、
前記逆方向走査プロキシモジュールにより、前記クライアントと前記サーバの対話のプロセスにおいて前記クライアントから送られた業務要求メッセージ及び応答メッセージを取得すること、又は、
前記逆方向走査プロキシモジュールは、前記クライアントに仮想テストメッセージを送り、前記仮想テストメッセージに対する前記クライアントの返答メッセージを取得することを含むことを特徴とする請求項1に記載の方法。
前記逆方向走査プロキシモジュールにより、クライアントのメッセージを取得することは、
前記逆方向走査プロキシモジュールにより、前記クライアントと前記サーバの対話のプロセスにおいて前記クライアントから送られた業務要求メッセージ及び応答メッセージを取得すること、又は、
前記逆方向走査プロキシモジュールは、前記クライアントに仮想テストメッセージを送り、前記仮想テストメッセージに対する前記クライアントの返答メッセージを取得することを含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別することは、
前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、
前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別することを含むことを特徴とする請求項2に記載の方法。
前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、
前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別することを含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記逆方向走査プロキシモジュール又は前記脆弱性スキャナーにより、前記サーバの脆弱性を取得することと、
前記逆方向走査プロキシモジュール又は前記脆弱性スキャナーは、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得することとを更に備えることを特徴とする請求項1〜3の何れか1つに記載の方法。
前記逆方向走査プロキシモジュール又は前記脆弱性スキャナーは、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得することとを更に備えることを特徴とする請求項1〜3の何れか1つに記載の方法。
【請求項5】
前記ネットワーク欠陥情報は、ネットワーク欠陥密度及びネットワークセキュリティレベルを含み、
前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得することは、
少なくとも1種類の第一の分類ルールに基づいて前記サーバの脆弱性と前記クライアントの脆弱性に対して分類してネットワーク欠陥タイプ集合を取得し、前記ネットワーク欠陥タイプ集合は、少なくとも1種類のネットワーク欠陥を含むことと、
少なくとも1種類の第二の分類ルールに基づいて前記サーバ及び前記クライアントからなるネットワーク領域に対して分類してネットワークサブ領域集合を取得し、前記ネットワークサブ領域集合は、少なくとも1つのネットワークサブ領域を含むことと、
前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得することと、
前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得することとを備えることを特徴とする請求項4に記載の方法。
前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得することは、
少なくとも1種類の第一の分類ルールに基づいて前記サーバの脆弱性と前記クライアントの脆弱性に対して分類してネットワーク欠陥タイプ集合を取得し、前記ネットワーク欠陥タイプ集合は、少なくとも1種類のネットワーク欠陥を含むことと、
少なくとも1種類の第二の分類ルールに基づいて前記サーバ及び前記クライアントからなるネットワーク領域に対して分類してネットワークサブ領域集合を取得し、前記ネットワークサブ領域集合は、少なくとも1つのネットワークサブ領域を含むことと、
前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得することと、
前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得することとを備えることを特徴とする請求項4に記載の方法。
【請求項6】
少なくとも1種類の第一の分類ルールに基づいて前記サーバの脆弱性と前記クライアントの脆弱性に対して分類してネットワーク欠陥タイプ集合を取得することは、
上述した少なくとも1種類の第一の分類ルールのうち、m種類目の第一の分類ルールに基づいて前記サーバの脆弱性及び前記クライアントの脆弱性を、n種類のネットワーク欠陥からなる第一の集合
に分類し、m≧1、n≧1、
は、m種類目の第一の分類ルールに基づいて前記脆弱性を分類した後に得られた
種類目のネットワーク欠陥を示し、
、
且つ
については、
を満たすことと、
前記第一の分類ルールのうち、前記脆弱性をN種類以下のネットワーク欠陥に分類する第一の目標分類ルールを決め、前記第一の目標分類ルールにより前記脆弱性を分類して得られた第一の集合は、前記ネットワーク欠陥タイプ集合
を構成し、なお、
は、nのマップ関数であり、前記脆弱性をn≦N類のネットワーク欠陥に分類する第一の目標分類ルールを示し、
は、前記脆弱性をn≦N類のネットワーク欠陥に分類する集合を示すこととを備えることを特徴とする請求項5に記載の方法。
上述した少なくとも1種類の第一の分類ルールのうち、m種類目の第一の分類ルールに基づいて前記サーバの脆弱性及び前記クライアントの脆弱性を、n種類のネットワーク欠陥からなる第一の集合
に分類し、m≧1、n≧1、
は、m種類目の第一の分類ルールに基づいて前記脆弱性を分類した後に得られた
種類目のネットワーク欠陥を示し、
且つ
については、
前記第一の分類ルールのうち、前記脆弱性をN種類以下のネットワーク欠陥に分類する第一の目標分類ルールを決め、前記第一の目標分類ルールにより前記脆弱性を分類して得られた第一の集合は、前記ネットワーク欠陥タイプ集合
を構成し、なお、
は、nのマップ関数であり、前記脆弱性をn≦N類のネットワーク欠陥に分類する第一の目標分類ルールを示し、
は、前記脆弱性をn≦N類のネットワーク欠陥に分類する集合を示すこととを備えることを特徴とする請求項5に記載の方法。
【請求項7】
少なくとも1種類の第二の分類ルールに基づいて前記サーバ及び前記クライアントからなるネットワーク領域に対して分類してネットワークサブ領域集合を取得することは、
前記少なくとも1種類の第二の分類ルールのうち、t種類目の第二の分類ルールに基づいて前記ネットワーク領域を第二の集合
に分類し、t≧1、S≧1、
は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られたs+1番目のネットワークサブ領域を示し、
、
且つ
については、
を満たすことと、
T個の第二の分類ルールのそれぞれを用いて前記ネットワーク領域を分類した後に得られた第二の集合は、前記ネットワークサブ集合
を構成し、
は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られた前記ネットワークサブ領域の数を示すこととを備えることを特徴とする請求項5に記載の方法。
前記少なくとも1種類の第二の分類ルールのうち、t種類目の第二の分類ルールに基づいて前記ネットワーク領域を第二の集合
に分類し、t≧1、S≧1、
は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られたs+1番目のネットワークサブ領域を示し、
且つ
については、
T個の第二の分類ルールのそれぞれを用いて前記ネットワーク領域を分類した後に得られた第二の集合は、前記ネットワークサブ集合
を構成し、
は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られた前記ネットワークサブ領域の数を示すこととを備えることを特徴とする請求項5に記載の方法。
【請求項8】
前記ネットワーク欠陥密度は、ネットワークサブ領域内のネットワーク欠陥密度及びネットワークサブ領域内の設備欠陥密度を備え、
前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合によりネットワーク欠陥密度を取得することは、前記ネットワーク欠陥タイプ集合
及び前記ネットワークサブ領域集合
に基づいて前記ネットワークサブ領域内のネットワーク欠陥密度
を取得し、なお、
、
を満たし、
は、
範囲内に
を選び出すのに用いられ、
は、
の数を算出するのに用いられることと、
前記ネットワーク欠陥タイプ集合
及びネットワークサブ領域集合
に基づいて前記ネットワークサブ領域内の設備欠陥密度
を取得し、なお、
、
、
は、
範囲内に
を選び出すのに用いられ、
は、
の数を算出するのに用いられることとを備えることを特徴とする請求項6又は7に記載の方法。
前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合によりネットワーク欠陥密度を取得することは、前記ネットワーク欠陥タイプ集合
及び前記ネットワークサブ領域集合
に基づいて前記ネットワークサブ領域内のネットワーク欠陥密度
を取得し、なお、
は、
範囲内に
を選び出すのに用いられ、
は、
の数を算出するのに用いられることと、
前記ネットワーク欠陥タイプ集合
及びネットワークサブ領域集合
に基づいて前記ネットワークサブ領域内の設備欠陥密度
を取得し、なお、
は、
範囲内に
を選び出すのに用いられ、
は、
の数を算出するのに用いられることとを備えることを特徴とする請求項6又は7に記載の方法。
【請求項9】
前記ネットワークセキュリティレベルは、第一のネットワークセキュリティレベル及び第二のネットワークセキュリティレベルを備え、
前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得することは、
前記ネットワークサブ領域内のネットワーク欠陥密度
に基づいて前記第一のネットワークセキュリティレベル
を取得し、なお、
、
は、
の単調減少関数であることと、
前記ネットワークサブ領域内の設備欠陥密度
に基づいて前記第二のネットワークセキュリティレベル
を取得し、なお、
、
は、
の単調減少関数であることとを備えることを特徴とする請求項8に記載の方法。
前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得することは、
前記ネットワークサブ領域内のネットワーク欠陥密度
に基づいて前記第一のネットワークセキュリティレベル
を取得し、なお、
は、
の単調減少関数であることと、
前記ネットワークサブ領域内の設備欠陥密度
に基づいて前記第二のネットワークセキュリティレベル
を取得し、なお、
は、
の単調減少関数であることとを備えることを特徴とする請求項8に記載の方法。
【請求項10】
前記
は、
であり、前記
は、
であり、
は、定数であることを特徴とする請求項9に記載の方法。
は、
であり、前記
は、
であり、
は、定数であることを特徴とする請求項9に記載の方法。
【請求項11】
前記ネットワーク欠陥情報は、ネットワーク欠陥密度分布及びネットワークセキュリティレベル分布を更に含み、前記ネットワーク欠陥密度分布は、前記ネットワークサブ領域内のネットワーク欠陥密度の分布関数及び前記ネットワークサブ領域内の設備欠陥密度の分布関数を含み、前記ネットワークセキュリティレベル分布は、前記第一のネットワークセキュリティレベルの分布及び前記第二のネットワークセキュリティレベルの分布を含み、
前記ネットワークサブ領域内のネットワーク欠陥密度の分布関数は、
であり、前記ネットワークサブ領域内の設備欠陥密度の分布関数は、
であり、
前記第一のネットワークセキュリティレベルの分布は、
であり、前記第二のネットワークセキュリティレベルの分布は、
であることを特徴とする請求項9又は10に記載の方法。
前記ネットワークサブ領域内のネットワーク欠陥密度の分布関数は、
であり、前記ネットワークサブ領域内の設備欠陥密度の分布関数は、
であり、
前記第一のネットワークセキュリティレベルの分布は、
であり、前記第二のネットワークセキュリティレベルの分布は、
であることを特徴とする請求項9又は10に記載の方法。
【請求項12】
クライアントのメッセージを取得するためのメッセージ取得モジュールと、
前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するための送信モジュール、又は、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送るためのメッセージ識別及び送信モジュールと、
前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するための受信制御モジュールとを備えることを特徴とする逆方向走査プロキシモジュール。
前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するための送信モジュール、又は、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送るためのメッセージ識別及び送信モジュールと、
前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するための受信制御モジュールとを備えることを特徴とする逆方向走査プロキシモジュール。
【請求項13】
サーバにインストールされており、
前記メッセージ取得モジュールは、具体的には、前記クライアントと前記サーバの対話のプロセスにおいて前記クライアントから送られた業務要求メッセージ及び応答メッセージを取得し、又は、
前記送信モジュールは、前記クライアントに仮想テストメッセージを送るためにも用いられ、前記メッセージ取得モジュールは、具体的には、前記仮想テストメッセージに対する前記クライアントの返答メッセージを取得するために用いられることを特徴とする請求項12に記載の逆方向走査プロキシモジュール。
前記メッセージ取得モジュールは、具体的には、前記クライアントと前記サーバの対話のプロセスにおいて前記クライアントから送られた業務要求メッセージ及び応答メッセージを取得し、又は、
前記送信モジュールは、前記クライアントに仮想テストメッセージを送るためにも用いられ、前記メッセージ取得モジュールは、具体的には、前記仮想テストメッセージに対する前記クライアントの返答メッセージを取得するために用いられることを特徴とする請求項12に記載の逆方向走査プロキシモジュール。
【請求項14】
前記メッセージ識別及び送信モジュールは、具体的には、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別することを特徴とする請求項13に記載の逆方向走査プロキシモジュール。
【請求項15】
前記メッセージ取得モジュールは、前記サーバの脆弱性を取得するためにも用いられ、
前記逆方向走査プロキシモジュールは、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得するための第一のネットワーク欠陥分析モジュールを更に備えることを特徴とする請求項14に記載の逆方向走査プロキシモジュール。
前記逆方向走査プロキシモジュールは、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得するための第一のネットワーク欠陥分析モジュールを更に備えることを特徴とする請求項14に記載の逆方向走査プロキシモジュール。
【請求項16】
逆方向走査プロキシモジュールから送られたクライアントのメッセージを受信し、又は、逆方向走査プロキシモジュールから送られたクライアントの脆弱性を受信するための受信モジュールと、
前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するためのメッセージ識別モジュールと、
前記逆方向走査プロキシモジュールに制御コマンドを送ることで、前記逆方向走査プロキシモジュールは、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するためのコマンド送信モジュールとを備えることを特徴とする脆弱性スキャナー。
前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するためのメッセージ識別モジュールと、
前記逆方向走査プロキシモジュールに制御コマンドを送ることで、前記逆方向走査プロキシモジュールは、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するためのコマンド送信モジュールとを備えることを特徴とする脆弱性スキャナー。
【請求項17】
前記メッセージ識別モジュールは、具体的には、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別することを特徴とする請求項16に記載の脆弱性スキャナー。
【請求項18】
前記受信モジュールは、サーバの脆弱性を取得するのに用いられ、
前記脆弱性スキャナーは、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得するための第二のネットワーク欠陥分析モジュールを更に備えることを特徴とする請求項17に記載の脆弱性スキャナー。
前記脆弱性スキャナーは、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得するための第二のネットワーク欠陥分析モジュールを更に備えることを特徴とする請求項17に記載の脆弱性スキャナー。
【請求項19】
請求項12〜15の何れか1つに記載の逆方向走査プロキシモジュール及び請求項16〜18の何れか1つに記載の脆弱性スキャナーを備えることを特徴とする脆弱性走査システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施例は、ネットワークセキュリティ分野に関し、特に脆弱性走査方法及び装置に関するものである。
【背景技術】
【0002】
コンピュータネットワークの進化に伴い、ネットワークセキュリティ技術も進化しつつある。サーバには、重大な脆弱性が存在すれば、ハッカーは、当該脆弱性によりサーバ又はクライアントの重要な情報を窃取するという恐ろしい結果を招いてしまうので、ネットワークセキュリティの重要性が益々顕著になっている。
【0003】
従来技術では、主に脆弱性スキャナーでサーバの脆弱性を遠隔テストすることにより、ネットワークセキュリティを維持する。具体的には、脆弱性スキャナーは、クライアントとしてサーバに接続要求メッセージを送信し、サーバは、当該接続要求メッセージに応答し、応答メッセージを脆弱性スキャナーに送信し、脆弱性スキャナーは、当該応答メッセージに基づいてサーバに脆弱性が存在するか否かを分析する。
【0004】
ネットワーク環境全体は、サーバを含む他に、サーバに接続するクライアントも含むが、従来技術では、サーバのセキュリティ問題だけを遠隔テストするので、ネットワーク環境全体のセキュリティをテストすることができない。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の実施例は、ネットワーク環境全体のセキュリティをテストすることが可能な脆弱性走査方法及び装置を提供する。
【0006】
本発明の実施例の第一の局面は、逆方向走査プロキシモジュールにより、クライアントのメッセージを取得することと、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、又は、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送ることと、
前記逆方向走査プロキシモジュールは、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新することとを備える脆弱性走査方法を提供する。
【0007】
本発明の実施例のもう1つの局面は、クライアントのメッセージを取得するためのメッセージ取得モジュールと、前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するための送信モジュール、又は、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送るためのメッセージ識別及び送信モジュールと、
前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するための受信制御モジュールとを備える逆方向走査プロキシモジュールを提供する。
【0008】
本発明の実施例のもう1つの局面は、逆方向走査プロキシモジュールから送られたクライアントのメッセージを受信し、又は、逆方向走査プロキシモジュールから送られたクライアントの脆弱性を受信するための受信モジュールと、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するためのメッセージ識別モジュールと、
前記逆方向走査プロキシモジュールに制御コマンドを送ることにより、前記逆方向走査プロキシモジュールは、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するためのコマンド送信モジュールとを備える脆弱性スキャナーを提供する。
【0009】
本発明の実施例のもう1つの局面は、前記逆方向走査プロキシモジュール及び前記脆弱性スキャナーを備える脆弱性走査システムを提供する。
【発明の効果】
【0010】
本発明の実施例による脆弱性走査方法及び装置では、逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析してクライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティをテストすることができる。
【図面の簡単な説明】
【0011】
【図1】本発明の実施例による脆弱性走査方法のフロー図である。
【図2】本発明の実施例によるネットワークトポロジー図である。
【図3】本発明の実施例による、ネットワーク欠陥情報を取得する方法のフロー図である。
【図4】本発明の実施例による逆方向走査プロキシモジュールの構成図である。
【図5】本発明のもう1つの実施例による逆方向走査プロキシモジュールの構成図である。
【図6】本発明のもう1つの実施例による逆方向走査プロキシモジュールの構成図である。
【図7】本発明の実施例による脆弱性スキャナーの構成図である。
【図8】本発明のもう1つの実施例による脆弱性スキャナーの構成図である。
【図9】本発明の実施例による脆弱性走査システムの構成図である。
【発明を実施するための形態】
【0012】
図1は、本発明の実施例による脆弱性走査方法のフロー図である。図2は、本発明の実施例によるネットワークトポロジー図である。本発明の実施例による脆弱性走査方法の具体的なステップは、次の通りである。
【0013】
ステップS101においては、逆方向走査プロキシモジュールによりクライアントのメッセージを取得する。
【0014】
前記逆方向走査プロキシモジュールは、サーバにインストールされている。前記逆方向走査プロキシモジュールによりクライアントのメッセージを取得することは、前記逆方向走査プロキシモジュールにより、前記クライアントと前記サーバの対話のプロセスにおいて前記クライアントから送られた業務要求メッセージ及び応答メッセージを取得すること、又は、前記逆方向走査プロキシモジュールは、前記クライアントに仮想テストメッセージを送り、前記仮想テストメッセージに対する前記クライアントの返答メッセージを取得することを含む。
【0015】
図2に示すように、サーバ管理側の同意があれば、サーバ22において逆方向走査プロキシモジュール23をインストールする。なお、逆方向走査プロキシモジュール23の動作方式は、ロスレス方式及び逆方向走査方式を含み、ロスレス方式とは、サーバ22とクライアント24の対話のプロセスにおいて、逆方向走査プロキシモジュール23によりクライアント24から送られた業務要求メッセージ及び応答メッセージを取得することを意味し、逆方向走査方式とは、逆方向走査プロキシモジュール23により仮想テストメッセージを作り、クライアント24に当該仮想テストメッセージを送り、当該仮想テストメッセージに対するクライアント24の返答メッセージを取得することを意味する。
【0016】
ステップS102においては、前記逆方向走査プロキシモジュールにより前記クライアントのメッセージを脆弱性スキャナーに送ることにより、前記脆弱性スキャナーは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、又は、前記逆方向走査プロキシモジュールは、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送る。
【0017】
サーバ22における逆方向走査プロキシモジュール23は、プロキシモード及び常駐モードとの2つの動作モードを更に有する。プロキシモードとは、逆方向走査プロキシモジュール23によって、取得したクライアント24からのメッセージを直接に脆弱性スキャナー21に送り、脆弱性スキャナー21によりクライアント24からのメッセージを分析することを意味し、常駐モードとは、逆方向走査プロキシモジュール23によって、取得したクライアント24からのメッセージを分析して中間処理結果を取得し、当該中間処理結果を脆弱性スキャナー21に送ることを意味する。
【0018】
ステップS103においては、前記逆方向走査プロキシモジュールは、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新する。
【0019】
脆弱性スキャナー21は、逆方向走査プロキシモジュール23に制御コマンドを送ることにより、逆方向走査プロキシモジュール23に対する制御を実現する。具体的には、逆方向走査プロキシモジュール23は、制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新する。
【0020】
本発明の実施例では、逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析することにより、クライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティをテストすることができる。
【0021】
上述した実施例をもとに、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別することは、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別することを含む。
【0022】
本発明の実施例においては、前記逆方向走査プロキシモジュール23の何れか1つの動作方式と何れか1つの動作モードとの合わせによりクライアント24から送られたメッセージを取得し、当該メッセージに対して分析処理を行う。前記クライアントから送られたメッセージに基づいて前記クライアントの脆弱性を識別する実行主体は、サーバ22又は脆弱性スキャナー21であっても良い。具体的な識別方法は、次のことを含む:1)前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別する、2)前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別する。
【0023】
方法1)の場合、クライアント24から送られた業務要求メッセージのUser−Agentフィールドの内容は、Mozilla/5.0 (X11; Ubuntu; Linux(登録商標)x86_64; rv:24.0) Gecko/20100101 Firefox/24.0であり、又は、Mozilla/5.0 (Windows NT 6.0; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0であり、又は、Opera/9.80 (Windows NT 6.1; U; es−ES) Presto/2.9.181 Version/12.00である場合、当該フィールドによりクライアント24に用いられるブラウザのバージョン、ブラウザの規格、クライアント24のオペレーションシステムの種類等の情報を分析することができ、業界の周知の脆弱性データベースの中の脆弱性特性情報と、当該User−Agentフィールドから分析して得られた対応情報とをマッチングすることにより、当該クライアント24に脆弱性が存在している否かを判定する。
【0024】
従来の脆弱性データベースにおいては、異なる情報に関連する脆弱性の密接程度、脆弱性の数を優先順位として、データを検索し、例えば、まずは、ブラウザのバージョンを検索することにより、クライアント24に次のような脆弱性が存在しうると判定する:Mozilla Firefox/Thunderbird/SeaMonkeyブラウザエンジン内部メモリ安全上脆弱性(CVE−2013−5609)、
Mozilla Firefox/Thunderbird/SeaMonkeyブラウザエンジン内部メモリ安全上脆弱性(CVE−2013−5610)。
【0025】
更に、OSバージョンを検索することにより、クライアントに次のような脆弱性が存在しうると判定する:Windowsカーネル情報開示脆弱性(MS13−048)、Microsoft windows LPC及びLPCポートサービス拒否脆弱性。
【0026】
また、本発明の実施例においては、User−Agentフィールドを検出することに限られるわけではなく、クライアント24から送られたメッセージのうちの他のフィールドを検出しても良い。
【0027】
方法2)の場合、既存の脆弱性の種類については、特定要求時の代表的なメッセージフォーマット及び対話シーケンスを予め記憶し、例えば、Opera Webブラウザの複数の不正なHTMLの分析サービス拒否脆弱性に対しては、逆方向走査プロキシモジュールは、予め当該脆弱性の代表的なメッセージ又はシーケンスを記憶し、具体的には、不正な要求メッセージであり、得られたクライアントのメッセージを、当該不正な要求メッセージとマッチングしても良く、逆方向走査プロキシモジュールは、逆方向走査方式でクライアントに仮想テストメッセージを送り、クライアントから当該不正な要求メッセージを戻すか否かを検出する。正確率を保証するために、複数回でマッチングした後に、クライアントのブラウザにこのような脆弱性が存在していると判定しても良い。異なる脆弱性の代表的なメッセージ又はシーケンス特性に関しては、具体的に定義しても良い。
【0028】
本発明の実施例は、クライアントの脆弱性を識別するための2つの方法を提供する。
【0029】
図3は、本発明の実施例による、ネットワーク欠陥情報を取得する方法のフロー図である。上述した実施例をもとに、前記逆方向走査プロキシモジュール又は前記脆弱性スキャナーは、前記サーバの脆弱性を取得すること、及び、前記逆方向走査プロキシモジュール又は前記脆弱性スキャナーは、前記サーバの脆弱性と前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得することを更に含む。
【0030】
前記ネットワーク欠陥情報は、ネットワーク欠陥密度及びネットワークセキュリティレベルを含む。前記サーバの脆弱性と前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得することは、次のステップを備える。
【0031】
ステップS301においては、少なくとも1種類の第一の分類ルールに基づいて前記サーバの脆弱性と前記クライアントの脆弱性に対して分類してネットワーク欠陥タイプ集合を取得する。なお、前記ネットワーク欠陥タイプ集合は、少なくとも1種類のネットワーク欠陥を含む。
【0032】
上述した少なくとも1種類の第一の分類ルールに基づいて前記サーバの脆弱性と前記クライアントの脆弱性に対して分類してネットワーク欠陥タイプ集合を取得することは、次のことを含む:上述した少なくとも1種類の第一の分類ルールのうちのm種類目の第一の分類ルールに基づいて前記サーバの脆弱性及び前記クライアントの脆弱性を、n種類のネットワーク欠陥からなる第一の集合(m≧1,n≧1)に分類し、
は、m種類目の第一の分類ルールに基づいて前記脆弱性を分類した後に得られた
種類目のネットワーク欠陥を示し、
に関して、
を構成し、なお、
は、nのマップ関数であり、前記脆弱性をn≦N類のネットワーク欠陥に分類する第一の目標分類ルールを示し、
は、前記脆弱性をn≦N類のネットワーク欠陥に分類する集合を示す。
【0033】
当該ステップにおける前記脆弱性は、サーバ22とクライアント24の脆弱性の集合を指す。前記脆弱性に対して分類する際には、基づいた分類ルールは、第一の分類ルールであり、且つ第一の分類ルールは複数あり、当該第一の分類ルールのうち、m種類目の第一の分類ルールに基づいて前記脆弱性をn類のネットワーク欠陥からなる第一の集合(m≧1,n≧1)に分類する場合、
は、前記m種類目の第一の分類ルールに基づいて前記脆弱性を分類して得られた
類目のネットワーク欠陥を示し、
且つ
については、
を構成し、なお、
は、nのマップ関数であり、前記脆弱性をn≦N類のネットワーク欠陥に分類する第一の目標分類ルールを示し、
は、前記脆弱性をn≦N類のネットワーク欠陥に分類する集合を示す。
【0034】
ステップS302においては、少なくとも1種類の第二の分類ルールに基づいて前記サーバ及び前記クライアントからなるネットワーク領域に対して分類してネットワークサブ領域集合を取得し、前記ネットワークサブ領域集合は、少なくとも1つのネットワークサブ領域を含む。
【0035】
少なくとも1種類の第二の分類ルールに基づいて前記サーバ及び前記クライアントからなるネットワーク領域に対して分類してネットワークサブ領域集合を取得することは、次のことを含む:前記少なくとも1種類の第二の分類ルールのうち、t種類目の第二の分類ルールに基づいて前記ネットワーク領域を第二の集合に分類し、t≧1、S≧1、
は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られたs+1番目のネットワークサブ領域を示し、
、且つ
については、
【0036】
T個の第二の分類ルールのそれぞれを用いて前記ネットワーク領域を分類した後に得られた第二の集合は、前記ネットワークサブ集合を構成し、
は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られた前記ネットワークサブ領域の数を示す。
【0037】
当該ステップのネットワーク領域は、サーバ及びクライアントからなるネットワーク領域を指し、第二の分類ルールに基づいてネットワーク領域を分類し、第二の分類ルールのうち、t種類目の第二の分類ルールに基づいて前記ネットワーク領域を第二の集合に分類し、t≧1、S≧1、
は、t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られたs+1番目のネットワークサブ領域を示し、
且つ
については、
は、クライアントのブラウザ種類がIEブラウザであるネットワークサブ領域を示し、
…
は、クライアントのブラウザ種類がSougo browserであるネットワークサブ領域を示し、異なる第二の分類ルールに基づいてネットワーク領域を分類した後に得られた第二の集合が違う。本発明の実施例においては、それぞれの第二の分類ルールに基づいてネットワーク領域を分類した後に得られた第二の集合は、前記ネットワークサブ領域集合
を構成し、
は、前記t種類目の第二の分類ルールに基づいて前記ネットワーク領域を分類した後に得られた前記ネットワークサブ領域の数を示す。
【0038】
ステップS303においては、前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得する。前記ネットワーク欠陥密度は、ネットワークサブ領域内のネットワーク欠陥密度及びネットワークサブ領域内の設備欠陥密度を含む。ネットワークサブ領域内のネットワーク欠陥密度は、特定ネットワークサブ領域内のある1種類のネットワーク欠陥の密度を示し、ネットワークサブ領域内の設備欠陥密度は、特定ネットワークサブ領域においてある1種類のネットワーク欠陥が存在するクライアントの数を示し、即ち、ネットワークサブ領域内のネットワーク欠陥密度及びネットワークサブ領域内の設備欠陥密度は、2つの角度からネットワーク欠陥密度を評価する量である。
【0039】
前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得することは、次のことを含む:前記ネットワーク欠陥タイプ集合及びネットワークサブ領域集合
に基づいて前記ネットワークサブ領域内のネットワーク欠陥密度
を取得し、なお、
は、
範囲内に
を選び出すのに用いられ、
は、
の数を算出するのに用いられる。
【0040】
前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合
に基づいて前記ネットワークサブ領域内の設備欠陥密度
を取得し、なお、
は、
範囲内に
を選び出すのに用いられ、
は、
の数を算出するのに用いられる。
【0041】
ステップS304においては、前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得する。前記ネットワークセキュリティレベルは、第一のネットワークセキュリティレベル及び第二のネットワークセキュリティレベルを含む。
【0042】
ネットワーク欠陥密度が大きければ、大きいほど、当該ネットワークサブ領域のネットワークセキュリティレベルが低くなるが、ネットワーク欠陥密度が小さければ、小さいほど、当該ネットワークサブ領域のネットワークセキュリティレベルが高くなる。ステップS303は、ネットワーク欠陥密度を評価する2つの方式を含むので、対応するネットワークセキュリティレベルも第一のネットワークセキュリティレベル及び第二のネットワークセキュリティレベルとの2つの方式を有する。具体的に、第一のネットワークセキュリティレベルは、ネットワークサブ領域内のネットワーク欠陥密度に対応し、第二のネットワークセキュリティレベルは、ネットワークサブ領域内の設備欠陥密度に対応し、第一のネットワークセキュリティレベル及び第二のネットワークセキュリティレベルも2つの角度からネットワークセキュリティレベルを評価する量である。
【0043】
前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得することは、次のことを含む:前記ネットワークサブ領域内のネットワーク欠陥密度に基づいて前記第一のネットワークセキュリティレベル
を取得し、なお、
は、
の単調減少関数である。
【0044】
前記ネットワークサブ領域内の設備欠陥密度に基づいて前記第二のネットワークセキュリティレベル
を取得し、なお、
は、
の単調減少関数である。
【0045】
本発明の実施例においては、異なる第一の分類ルールに基づいてサーバ及びクライアントの脆弱性を分類してネットワーク欠陥タイプ集合を取得し、異なる第二の分類ルールに基づいてサーバ及びクライアントからなるネットワーク領域を分類してネットワークサブ領域集合を取得し、前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得し、前記ネットワーク欠陥密度に基づいてネットワークセキュリティ密度を取得し、ネットワークセキュリティレベルについて定量的表現を実現した。
【0046】
上述した実施例をもとに、前記は、
であり、前記
は、
であり、なお、
は、定数である。
【0047】
ネットワーク欠陥密度が大きければ、大きいほど、ネットワークサブ領域のネットワークセキュリティレベルが低くなるが、ネットワーク欠陥密度が小さければ、小さいほど、ネットワークサブ領域のネットワークセキュリティレベルが高くなり、即ち、ネットワークセキュリティレベルとネットワーク欠陥密度が逆比例である。上述した実施例においては、単調減少関数及び
を用いて単調減少関数
を示すことが好ましく、なお、
は定数である。
【0048】
前記ネットワーク欠陥情報は、ネットワーク欠陥密度分布及びネットワークセキュリティレベル分布を更に含み、ネットワーク欠陥密度分布は、前記ネットワークサブ領域内のネットワーク欠陥密度の分布関数及び前記ネットワークサブ領域内の設備欠陥密度の分布関数を含み、前記ネットワークセキュリティレベル分布は、前記第一のネットワークセキュリティレベルの分布及び前記第二のネットワークセキュリティレベルの分布を含む。なお、前記ネットワークサブ領域内のネットワーク欠陥密度の分布関数は、であり、前記ネットワークサブ領域内の設備欠陥密度の分布関数は、
であり、前記第一のネットワークセキュリティレベルの分布は、
であり、前記第二のネットワークセキュリティレベルの分布は、
である。
【0049】
上述した実施例においては、第一のネットワークセキュリティレベル及び第二のネットワークセキュリティレベルによりネットワークのセキュリティを示しているが、本発明の実施例においては、第一のネットワークセキュリティレベルの分布及び第二のネットワークセキュリティレベルの分布によりネットワークのセキュリティを示す。
【0050】
本発明の実施例においては、ネットワークセキュリティレベルとネットワーク欠陥密度の関係を具体的に示していると同時に、ネットワークセキュリティレベルの分布でネットワークセキュリティを判定する方式を加えた。
【0051】
図4は、本発明の実施例による逆方向走査プロキシモジュールの構成図である。図5は、本発明のもう1つの実施例による逆方向走査プロキシモジュールの構成図である。図6は、本発明のもう1つの実施例による逆方向走査プロキシモジュールの構成図である。本発明の実施例による逆方向走査プロキシモジュールは、脆弱性走査方法の実施例による処理の流れを行うことができる。図4、図5に示すように、逆方向走査プロキシモジュール23は、メッセージ取得モジュール231と、送信モジュール232又はメッセージ識別及び送信モジュール233と、受信制御モジュール235とを備える。なお、メッセージ取得モジュール231は、クライアントのメッセージを取得するために用いられ、送信モジュール232は、前記脆弱性スキャナーが前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するように、前記クライアントのメッセージを脆弱性スキャナーに送るために用いられ、メッセージ識別及び送信モジュール233は、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別し、前記クライアントの脆弱性を脆弱性スキャナーに送るために用いられ、受信制御モジュール235は、前記脆弱性スキャナーの制御コマンドを受信し、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するために用いられる。
【0052】
前記逆方向走査プロキシモジュール23は、サーバにインストールされ、前記メッセージ取得モジュール231は、前記クライアントと前記サーバの対話のプロセスにおいて前記クライアントから送られた業務要求メッセージ及び応答メッセージを取得し、又は、前記送信モジュール232は、前記クライアントに仮想テストメッセージを送るために用いられ、前記メッセージ取得モジュール231は、具体的には、前記仮想テストメッセージに対する前記クライアントの返答メッセージを取得するために用いられる。
【0053】
前記メッセージ識別及び送信モジュール233は、具体的には、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別する。
【0054】
前記メッセージ取得モジュール231は、前記サーバの脆弱性を取得するためにも用いられる。図6に示すように、前記逆方向走査プロキシモジュール23は、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得するための第一のネットワーク欠陥分析モジュール234を更に備える。
【0055】
本発明の実施例においては、逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析してクライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティテストを実現することができる。
【0056】
図7は、本発明の実施例による脆弱性スキャナーの構成図である。図8は、本発明のもう1つの実施例による脆弱性スキャナーの構成図である。本発明の実施例による脆弱性スキャナーは、脆弱性走査方法の実施例による処理の流れを行うことができる。図7に示すように、脆弱性スキャナー21は、受信モジュール211と、メッセージ識別モジュール212と、コマンド送信モジュール214とを備える。なお、受信モジュール211は、逆方向走査プロキシモジュールから送られたクライアントのメッセージを受信するために用いられ、又は、逆方向走査プロキシモジュールから送られたクライアントの脆弱性を受信するために用いられ、メッセージ識別モジュール212は、前記クライアントのメッセージに基づいて前記クライアントの脆弱性を識別するために用いられ、コマンド送信モジュール214は、前記逆方向走査プロキシモジュールに制御コマンドを送ることで、前記逆方向走査プロキシモジュールは、前記制御コマンドに基づいて動作方式及び/又は動作モードを変更し、脆弱性ルールを更新するために用いられる。
【0057】
前記メッセージ識別モジュール212は、具体的には、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージの特徴フィールドに基づいて前記クライアントの脆弱性を識別し、又は、前記業務要求メッセージ、前記応答メッセージ及び/又は前記返答メッセージを、デフォルト対話メッセージ、デフォルトメッセージシーケンス又は脆弱性特性ルールとマッチングすることにより、前記クライアントの脆弱性を識別する。
【0058】
前記受信モジュール211は、サーバの脆弱性を取得するためにも用いられ、図8に示すように、脆弱性スキャナー21は、前記サーバの脆弱性及び前記クライアントの脆弱性に基づいてネットワーク欠陥情報を取得するための第二のネットワーク欠陥分析モジュール213を更に備える。
【0059】
本発明の実施例においては、逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析してクライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティテストを実現することができる。
【0060】
図9は、本発明のもう1つの実施例による脆弱性走査システムの構成図である。本発明の実施例による脆弱性走査システムは、脆弱性走査方法の実施例による処理の流れを行うことができる。図9に示すように、脆弱性走査システム90は、逆方向走査プロキシモジュール23及び脆弱性スキャナー21を備える。
【0061】
本発明の実施例による脆弱性走査システムは、脆弱性走査方法の実施例による処理の流れを行うことができる。
【0062】
上述した内容を総括すれば、次の通りである:逆方向走査プロキシモジュールによりクライアントのメッセージを取得し、クライアントのメッセージを分析してクライアントに存在する脆弱性を識別する。よって、サーバのセキュリティ問題を遠隔テストすると同時に、クライアントのセキュリティ問題を分析することもできるので、ネットワーク環境全体のセキュリティテストを実現することができる。また、異なる第一の分類ルールに基づいてサーバ及びクライアントの脆弱性を分類してネットワーク欠陥タイプ集合を取得し、異なる第二の分類ルールに基づいてサーバ及びクライアントからなるネットワーク領域を分類してネットワークサブ領域集合を取得し、前記ネットワーク欠陥タイプ集合及び前記ネットワークサブ領域集合に基づいてネットワーク欠陥密度を取得し、前記ネットワーク欠陥密度に基づいてネットワークセキュリティレベルを取得し、ネットワークセキュリティレベルについて定量的表現を実現した。ネットワークセキュリティレベルとネットワーク欠陥密度の関係を具体的に限定すると同時に、ネットワークセキュリティレベルの分布でネットワークセキュリティを判定する方式を加えた。
【0063】
本発明による幾つかの実施例に記載の装置及び方法は、他の方式で実現することができると理解されたい。例えば、上述した装置の実施例は、例に過ぎず、例えば、前記ユニットの分類は、ロジック機能分類に過ぎず、実際は、他の分類方式で実現することができ、例えば、複数のユニット又は部材を組み合わせる又は他の1つのシステムに集積しても良く、ある特徴を無視しても良く、実行しなくても良い。また、表示又は検討される互いのカップリング又は直接的カップリング又は通信接続は、幾つかのインターフェースによっても良く、装置又はユニットの間接的カップリング又は通信接続は、電気的、機械的又は他の方式でも良い。
【0064】
隔離部材として説明されたユニットは、物理的に離れても良く、離れなくても良い。ユニットとして表示する部材は、物理的なユニットであっても良く、ではなくても良く、即ち、1つの場所に位置しても良く、複数のネットワークユニットに分布しても良い。実際の必要に応じてそのうちの一部又はユニット全体を選択して本実施例による技術案の目的を実現することができる。
【0065】
また、本発明の各実施例におけるそれぞれの機能ユニットは、1つの処理ユニットに集積しても良く、各ユニットは、単独で物理的に存在しても良く、2つ又は二つ以上のユニットを1つのユニットに集積しても良い。上述した集積ユニットは、ハードウエアの形で実現しても良く、ハードウエア及びソフトウエアの機能ユニットの形で実現しても良い。
【0066】
上述したソフトウエアの機能ユニットの形で実現した集積ユニットは、1つのコンピュータ読み取り可能な記録媒体に記憶しても良い。上述したソフトウエアの機能ユニットを1つの記録媒体に記憶することは、一台のコンピュータ設備(パーソナルコンピュータ、サーバ又はネットワーク設備等であっても良い)又は処理装置(Processor)により本発明の各実施例による前記方法の一部のステップを実行するための若干のコマンドを含む。前述した記録媒体は、Uディスク、移動ハードウエア、リードオンリーメモリ(Read−Only Memory,ROM)、ランダムアクセスメモリ(Random Access Memory、RAM)、磁気ディスク又は光ディスク等の様々なプログラムコードを記憶することが可能な媒体を含む。
【0067】
説明の便宜上、上述した各機能モジュールの分類を例として説明したが、当業者は、実際の応用においては、必要に応じて上述した機能を異なる機能モジュールに分担させて完成すること、即ち、装置の内部構成を異なる機能モジュールに分けられ、上記のすべてまたは一部の機能を実現することができると明らかに分かっている。上記の装置の具体的な動作プロセスについては、前記方法の実施例における対応するプロセスを参考することができるので、ここで繰り返して説明しない。
【0068】
最後に説明すべき内容は、次の通りである:上述した各実施例は、本発明の技術案を説明する時だけに用いられ、本発明を制限しない。上述した各実施例を参考して本発明を詳しく説明したが、当業者は、依然として上述した各実施例に記載の技術案を変更し、又はそのうちの一部又は全部の技術的特徴に対して等価置換を行って良い。なお、相応する技術案の本質は、これらの変更又は置換により、本発明の各実施例の技術案の範囲から逸脱しなければ、本発明の特許請求の範囲に属する。
【国際調査報告】