本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種基于模擬環(huán)境的漏洞驗(yàn)證方法及系統(tǒng)。

背景技術(shù)：

現(xiàn)有的主機(jī)虛擬化技術(shù)在漏洞驗(yàn)證實(shí)驗(yàn)中，模擬環(huán)境的構(gòu)成復(fù)雜，除了需要桌面系統(tǒng)的操作系統(tǒng)環(huán)境外，也包含很多服務(wù)和應(yīng)用軟件的場(chǎng)景，例如web漏洞的驗(yàn)證和數(shù)據(jù)庫(kù)應(yīng)用等軟件系統(tǒng)的驗(yàn)證。現(xiàn)有技術(shù)方案建立虛擬環(huán)境，資源消耗大，啟動(dòng)部署慢。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明要解決的技術(shù)問(wèn)題是，提供一種基于模擬環(huán)境的漏洞驗(yàn)證方法及系統(tǒng)，克服現(xiàn)有技術(shù)中建立虛擬環(huán)境資源消耗大和啟動(dòng)部署慢的缺陷。

本發(fā)明采用的技術(shù)方案是，所述基于模擬環(huán)境的漏洞驗(yàn)證方法，包括：

步驟一，構(gòu)建驗(yàn)證漏洞的模擬環(huán)境，將所述模擬環(huán)境的配置信息以模板形式保存至模板庫(kù)中；

步驟二，對(duì)所述模板庫(kù)中的模板以設(shè)定格式進(jìn)行封裝；

步驟三，根據(jù)封裝后的模板創(chuàng)建所述模擬環(huán)境的實(shí)例，并通過(guò)所述實(shí)例對(duì)所述漏洞進(jìn)行驗(yàn)證。

進(jìn)一步的，所述漏洞包括：軟件安全漏洞、網(wǎng)絡(luò)安全漏洞或系統(tǒng)安全漏洞。

進(jìn)一步的，所述步驟一，具體包括：

步驟A1，根據(jù)驗(yàn)證目標(biāo)、執(zhí)行引擎和防護(hù)策略，判斷云平臺(tái)環(huán)境上構(gòu)建所述模擬環(huán)境的虛擬機(jī)數(shù)量及虛擬機(jī)類型；

步驟A2，根據(jù)所述虛擬機(jī)類型，設(shè)置所述虛擬機(jī)的配置信息；

步驟A3，將所述模擬環(huán)境的各虛擬機(jī)的配置信息作為所述模板保存至所述模板庫(kù)中。

進(jìn)一步的，所述步驟A1中，所述驗(yàn)證目標(biāo)為待驗(yàn)證的漏洞；

所述執(zhí)行引擎為驗(yàn)證所述漏洞的執(zhí)行驗(yàn)證腳本的執(zhí)行環(huán)境；

所述防護(hù)策略為修復(fù)所述漏洞的補(bǔ)丁、防范所述漏洞的防護(hù)軟件或所述漏洞的執(zhí)行防護(hù)腳本。

進(jìn)一步的，所述步驟A1中，所述虛擬機(jī)類型包括：驗(yàn)證目標(biāo)虛擬機(jī)、執(zhí)行引擎虛擬機(jī)和防護(hù)策略虛擬機(jī)。

進(jìn)一步的，所述驗(yàn)證目標(biāo)虛擬機(jī)的數(shù)量為所述待驗(yàn)證的漏洞的數(shù)量；

所述執(zhí)行引擎虛擬機(jī)的數(shù)量為1或0；若執(zhí)行引擎安裝在驗(yàn)證目標(biāo)虛擬機(jī)時(shí)，則執(zhí)行引擎虛擬機(jī)的數(shù)量為0；

所述防護(hù)策略虛擬機(jī)的數(shù)量與所述驗(yàn)證目標(biāo)虛擬機(jī)的數(shù)量相同。

進(jìn)一步的，所述步驟A2中，所述驗(yàn)證目標(biāo)虛擬機(jī)的配置信息包括：所述驗(yàn)證目標(biāo)和所述驗(yàn)證目標(biāo)的運(yùn)行環(huán)境；

所述執(zhí)行引擎虛擬機(jī)的配置信息包括：所述執(zhí)行驗(yàn)證腳本和所述執(zhí)行驗(yàn)證腳本的運(yùn)行環(huán)境；

所述防護(hù)策略虛擬機(jī)的配置信息包括：所述驗(yàn)證目標(biāo)的補(bǔ)丁或防護(hù)腳本、所述驗(yàn)證目標(biāo)和所述驗(yàn)證目標(biāo)的運(yùn)行環(huán)境。

進(jìn)一步的，所述步驟三，具體包括：

步驟B1，根據(jù)所述驗(yàn)證目標(biāo)的配置信息，在所述模板庫(kù)中檢索與所述驗(yàn)證目標(biāo)的配置信息匹配的模板；

步驟B2，將被檢索到的模板發(fā)送至調(diào)度執(zhí)行器，所述調(diào)度執(zhí)行器根據(jù)所述被檢索到的模板中的虛擬機(jī)配置信息在所述模擬環(huán)境中配置虛擬機(jī)，得到模擬環(huán)境的實(shí)例；

步驟B3，將設(shè)定的執(zhí)行驗(yàn)證腳本發(fā)送至執(zhí)行引擎中，所述執(zhí)行引擎控制所述執(zhí)行驗(yàn)證腳本對(duì)所述驗(yàn)證目標(biāo)進(jìn)行漏洞驗(yàn)證；所述執(zhí)行驗(yàn)證腳本的數(shù)量為一個(gè)或多個(gè)。

進(jìn)一步的，所述方法，還包括：

步驟四，對(duì)漏洞驗(yàn)證結(jié)果進(jìn)行保存；

步驟五，當(dāng)所述漏洞驗(yàn)證完成后，對(duì)所述模擬環(huán)境進(jìn)行釋放；

步驟六，根據(jù)保存的所述漏洞驗(yàn)證結(jié)果生成驗(yàn)證報(bào)告。

進(jìn)一步的，所述步驟五，具體包括：

當(dāng)對(duì)所述驗(yàn)證目標(biāo)進(jìn)行一次或多次漏洞驗(yàn)證完成后，將所述模擬環(huán)境的實(shí)例進(jìn)行刪除。

本發(fā)明還提供一種基于模擬環(huán)境的漏洞驗(yàn)證系統(tǒng)，包括：

模擬環(huán)境構(gòu)建模塊，用于構(gòu)建驗(yàn)證漏洞的所述模擬環(huán)境，將所述模擬環(huán)境的配置信息以模板形式保存至所述模板庫(kù)中；

封裝模塊，用于對(duì)所述模板庫(kù)中的模板以設(shè)定格式進(jìn)行封裝；

驗(yàn)證模塊，用于根據(jù)封裝后的模板創(chuàng)建所述模擬環(huán)境的實(shí)例，并通過(guò)所述實(shí)例對(duì)所述漏洞進(jìn)行驗(yàn)證。

進(jìn)一步的，所述模擬環(huán)境構(gòu)建模塊，具體包括：

虛擬機(jī)配置模塊，用于根據(jù)驗(yàn)證目標(biāo)、執(zhí)行引擎和防護(hù)策略，判斷云平臺(tái)環(huán)境上構(gòu)建所述模擬環(huán)境的虛擬機(jī)數(shù)量及虛擬機(jī)類型；

配置信息模塊，用于根據(jù)所述虛擬機(jī)類型，設(shè)置所述虛擬機(jī)的配置信息；

模板模塊，用于將所述模擬環(huán)境的各虛擬機(jī)的配置信息作為所述模板保存至所述模板庫(kù)中。

進(jìn)一步的，所述驗(yàn)證模塊，具體包括：

選擇模塊，用于根據(jù)所述驗(yàn)證目標(biāo)的配置信息，在所述模板庫(kù)中檢索與所述驗(yàn)證目標(biāo)的配置信息匹配的模板；

實(shí)例模塊，用于將被檢索到的模板發(fā)送至調(diào)度執(zhí)行器，所述調(diào)度執(zhí)行器根據(jù)所述被檢索到的模板中的虛擬機(jī)配置信息在所述模擬環(huán)境中配置虛擬機(jī)，得到模擬環(huán)境的實(shí)例；

執(zhí)行模塊，用于將設(shè)定的執(zhí)行驗(yàn)證腳本發(fā)送至執(zhí)行引擎中，執(zhí)行引擎控制執(zhí)行驗(yàn)證腳本對(duì)驗(yàn)證目標(biāo)進(jìn)行漏洞驗(yàn)證；所述執(zhí)行驗(yàn)證腳本的數(shù)量為一個(gè)或多個(gè)。

進(jìn)一步的，所述系統(tǒng)，還包括：

保存模塊，用于對(duì)所述驗(yàn)證模塊得到的漏洞驗(yàn)證結(jié)果進(jìn)行保存；

釋放模塊，用于當(dāng)所述漏洞驗(yàn)證完成后，對(duì)所述模擬環(huán)境進(jìn)行釋放；

報(bào)告模塊，用于根據(jù)保存的所述漏洞驗(yàn)證結(jié)果生成驗(yàn)證報(bào)告。

進(jìn)一步的，所述釋放模塊，具體用于：

當(dāng)對(duì)所述驗(yàn)證目標(biāo)進(jìn)行一次或多次漏洞驗(yàn)證完成后，將所述模擬環(huán)境的實(shí)例進(jìn)行刪除。

采用上述技術(shù)方案，本發(fā)明至少具有下列優(yōu)點(diǎn)：

本發(fā)明所述基于模擬環(huán)境的漏洞驗(yàn)證方法及系統(tǒng)，有效提高漏洞驗(yàn)證實(shí)驗(yàn)的資源利用率，有效提高漏洞驗(yàn)證的工作效率和質(zhì)量。

附圖說(shuō)明

圖1為本發(fā)明第一實(shí)施例的基于模擬環(huán)境的漏洞驗(yàn)證方法流程圖；

圖2為本發(fā)明第二實(shí)施例的基于模擬環(huán)境的漏洞驗(yàn)證方法流程圖；

圖3為本發(fā)明第三實(shí)施例的基于模擬環(huán)境的漏洞驗(yàn)證系統(tǒng)組成結(jié)構(gòu)示意圖；

圖4為本發(fā)明第四實(shí)施例的基于模擬環(huán)境的漏洞驗(yàn)證系統(tǒng)組成結(jié)構(gòu)示意圖；

圖5為本發(fā)明第六實(shí)施例的基于模擬環(huán)境的漏洞驗(yàn)證系統(tǒng)實(shí)例組成結(jié)構(gòu)示意圖；

圖6為本發(fā)明第六實(shí)施例的基于模擬環(huán)境的漏洞驗(yàn)證系統(tǒng)實(shí)例組成結(jié)構(gòu)示意圖；

圖7為本發(fā)明第七實(shí)施例的基于模擬環(huán)境的漏洞驗(yàn)證系統(tǒng)實(shí)例組成結(jié)構(gòu)示意圖。

具體實(shí)施方式

為更進(jìn)一步闡述本發(fā)明為達(dá)成預(yù)定目的所采取的技術(shù)手段及功效，以下結(jié)合附圖及較佳實(shí)施例，對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明如后。

本發(fā)明第一實(shí)施例，一種基于模擬環(huán)境的漏洞驗(yàn)證方法，如圖1所示，包括以下具體步驟：

步驟S101，構(gòu)建驗(yàn)證漏洞的模擬環(huán)境，將模擬環(huán)境的配置信息以模板形式保存至模板庫(kù)中。

具體的，步驟S101，包括：

步驟S101A1，根據(jù)驗(yàn)證目標(biāo)、執(zhí)行引擎和防護(hù)策略，判斷云平臺(tái)環(huán)境上構(gòu)建模擬環(huán)境需要的虛擬機(jī)數(shù)量和虛擬機(jī)類型。

其中，漏洞包括：軟件安全漏洞、網(wǎng)絡(luò)安全漏洞或系統(tǒng)安全漏洞。

驗(yàn)證目標(biāo)為待驗(yàn)證的漏洞。

執(zhí)行引擎為驗(yàn)證漏洞的執(zhí)行驗(yàn)證腳本的執(zhí)行環(huán)境。

防護(hù)策略為修復(fù)漏洞的補(bǔ)丁、防范漏洞的防護(hù)軟件或漏洞的執(zhí)行防護(hù)腳本。

虛擬機(jī)類型的包括：驗(yàn)證目標(biāo)虛擬機(jī)、執(zhí)行引擎虛擬機(jī)和防護(hù)策略虛擬機(jī)。

驗(yàn)證目標(biāo)虛擬機(jī)的數(shù)量為待驗(yàn)證的漏洞的數(shù)量；

執(zhí)行引擎虛擬機(jī)的數(shù)量為1或0；若執(zhí)行引擎安裝在驗(yàn)證目標(biāo)虛擬機(jī)時(shí)，則執(zhí)行引擎虛擬機(jī)的數(shù)量為0。

防護(hù)策略虛擬機(jī)的數(shù)量與驗(yàn)證目標(biāo)虛擬機(jī)的數(shù)量相同。

例如：構(gòu)建IE(Internet Explorer，簡(jiǎn)稱網(wǎng)絡(luò)探路者)瀏覽器的漏洞模擬環(huán)境。

其中，驗(yàn)證目標(biāo)為IE9、IE10和IE11三個(gè)版本的瀏覽器的安全漏洞。

執(zhí)行引擎為為驗(yàn)證IE瀏覽器安全漏洞的執(zhí)行驗(yàn)證腳本的執(zhí)行環(huán)境。

防護(hù)策略為修復(fù)IE瀏覽器安全漏洞的補(bǔ)丁、防護(hù)軟件或執(zhí)行防護(hù)腳本。

根據(jù)驗(yàn)證目標(biāo)、執(zhí)行引擎和防護(hù)策略，如表1所示在云平臺(tái)環(huán)境上構(gòu)建模擬環(huán)境需要的虛擬機(jī)：

表1

步驟S101A2，根據(jù)虛擬機(jī)類型，設(shè)置虛擬機(jī)的配置信息。

其中，驗(yàn)證目標(biāo)虛擬機(jī)的配置信息包括：驗(yàn)證目標(biāo)和驗(yàn)證目標(biāo)的運(yùn)行環(huán)境；

執(zhí)行引擎虛擬機(jī)的配置信息包括：設(shè)定的執(zhí)行驗(yàn)證腳本和執(zhí)行驗(yàn)證腳本的運(yùn)行環(huán)境；

防護(hù)策略虛擬機(jī)的配置信息包括：驗(yàn)證目標(biāo)、驗(yàn)證目標(biāo)的運(yùn)行環(huán)境和驗(yàn)證目標(biāo)的補(bǔ)丁、防護(hù)軟件或執(zhí)行防護(hù)腳本。

步驟S101A3，將模擬環(huán)境的各虛擬機(jī)的配置信息作為模板保存至模板庫(kù)中。

步驟S102，對(duì)模板庫(kù)中的模板以設(shè)定格式進(jìn)行封裝。

例如，對(duì)模板庫(kù)中的模板以JSON(JavaScript Object Notation，簡(jiǎn)稱JavaScript對(duì)象表示法)數(shù)據(jù)格式進(jìn)行封裝。

步驟S103，根據(jù)封裝后的模板創(chuàng)建模擬環(huán)境的實(shí)例，并通過(guò)實(shí)例對(duì)驗(yàn)證目標(biāo)進(jìn)行驗(yàn)證。

具體的，步驟S103，包括：

步驟S103B1，根據(jù)驗(yàn)證目標(biāo)的配置信息，在模板庫(kù)中檢索與驗(yàn)證目標(biāo)的配置信息匹配的模板。

步驟S103B2，將被檢索到的模板發(fā)送至調(diào)度執(zhí)行器，調(diào)度執(zhí)行器根據(jù)被檢索到的模板中的虛擬機(jī)配置信息在模擬環(huán)境中配置虛擬機(jī)，得到模擬環(huán)境的實(shí)例。

步驟S103B3，將設(shè)定的執(zhí)行驗(yàn)證腳本發(fā)送至執(zhí)行引擎中，執(zhí)行引擎控制執(zhí)行驗(yàn)證腳本對(duì)驗(yàn)證目標(biāo)進(jìn)行漏洞驗(yàn)證。其中，執(zhí)行驗(yàn)證腳本的數(shù)量為一個(gè)或多個(gè)。

本發(fā)明第二實(shí)施例，一種基于模擬環(huán)境的漏洞驗(yàn)證方法，本實(shí)施例所述方法與第一實(shí)施例大至相同，區(qū)別在于對(duì)驗(yàn)證結(jié)果和模擬環(huán)境進(jìn)行進(jìn)一步處理，如圖2所示，本實(shí)施例的所述方法，還包括以下具體步驟：

步驟S204，對(duì)漏洞驗(yàn)證結(jié)果進(jìn)行保存。

步驟S205，當(dāng)漏洞驗(yàn)證完成后，對(duì)模擬環(huán)境進(jìn)行釋放。

當(dāng)對(duì)驗(yàn)證目標(biāo)進(jìn)行一次或多次漏洞驗(yàn)證完成后，將模擬環(huán)境的實(shí)例進(jìn)行刪除。

步驟S206，根據(jù)保存的所述漏洞驗(yàn)證結(jié)果生成驗(yàn)證報(bào)告。

驗(yàn)證報(bào)告包括：漏洞的基本信息、模擬環(huán)境的配置信息、防護(hù)策略的配置信息、執(zhí)行驗(yàn)證腳本的信息和漏洞驗(yàn)證日志結(jié)果等信息。

本發(fā)明第三實(shí)施例，與第一實(shí)施例對(duì)應(yīng)，本實(shí)施例介紹一種基于模擬環(huán)境的漏洞驗(yàn)證裝置，如圖3所示，包括以下組成部分：

模擬環(huán)境構(gòu)建模塊100，用于構(gòu)建驗(yàn)證漏洞的模擬環(huán)境，將模擬環(huán)境的配置信息以模板形式保存至模板庫(kù)中。

具體的，模擬環(huán)境構(gòu)建模塊100，包括：

虛擬機(jī)配置模塊101，用于根據(jù)驗(yàn)證目標(biāo)、執(zhí)行引擎和防護(hù)策略，判斷云平臺(tái)環(huán)境上構(gòu)建模擬環(huán)境需要的虛擬機(jī)數(shù)量和虛擬機(jī)類型。

其中，驗(yàn)證目標(biāo)為軟件安全漏洞、網(wǎng)絡(luò)安全漏洞或系統(tǒng)安全漏洞。

執(zhí)行引擎為驗(yàn)證軟件安全漏洞、網(wǎng)絡(luò)安全漏洞或系統(tǒng)安全漏洞的執(zhí)行驗(yàn)證腳本的執(zhí)行環(huán)境。

防護(hù)策略為修復(fù)軟件安全漏洞、網(wǎng)絡(luò)安全漏洞或系統(tǒng)安全漏洞的補(bǔ)丁、防范軟件安全漏洞、網(wǎng)絡(luò)安全漏洞或系統(tǒng)安全漏洞的防護(hù)軟件或軟件安全漏洞、網(wǎng)絡(luò)安全漏洞或系統(tǒng)安全漏洞的執(zhí)行防護(hù)腳本。虛擬機(jī)類型的包括：驗(yàn)證目標(biāo)虛擬機(jī)、執(zhí)行引擎虛擬機(jī)和防護(hù)策略虛擬機(jī)。

驗(yàn)證目標(biāo)虛擬機(jī)的數(shù)量為待驗(yàn)證的漏洞的數(shù)量；

執(zhí)行引擎虛擬機(jī)的數(shù)量為1或0；若執(zhí)行引擎安裝在驗(yàn)證目標(biāo)虛擬機(jī)時(shí)，則

執(zhí)行引擎虛擬機(jī)的數(shù)量為0。

防護(hù)策略虛擬機(jī)的數(shù)量與驗(yàn)證目標(biāo)虛擬機(jī)的數(shù)量相同。

配置信息模塊102，用于根據(jù)虛擬機(jī)類型，設(shè)置虛擬機(jī)的配置信息。

其中，驗(yàn)證目標(biāo)虛擬機(jī)的配置信息包括：驗(yàn)證目標(biāo)和驗(yàn)證目標(biāo)的運(yùn)行環(huán)境；

執(zhí)行引擎虛擬機(jī)的配置信息包括：設(shè)定的執(zhí)行驗(yàn)證腳本和執(zhí)行驗(yàn)證腳本的運(yùn)行環(huán)境；

防護(hù)策略虛擬機(jī)的配置信息包括：驗(yàn)證目標(biāo)、驗(yàn)證目標(biāo)的運(yùn)行環(huán)境和驗(yàn)證目標(biāo)的補(bǔ)丁、防護(hù)軟件或執(zhí)行防護(hù)腳本。

模板模塊103，用于將所述模擬環(huán)境的各虛擬機(jī)的配置信息作為模板保存至模板庫(kù)中。

封裝模塊200，用于對(duì)模板庫(kù)中的模板以設(shè)定格式進(jìn)行封裝。

例如，用于對(duì)模板庫(kù)中的模板以JSON(JavaScript Object Notation，簡(jiǎn)稱JavaScript對(duì)象表示法)數(shù)據(jù)格式進(jìn)行封裝。

驗(yàn)證模塊300，用于根據(jù)封裝后的模板創(chuàng)建模擬環(huán)境的實(shí)例，并通過(guò)實(shí)例對(duì)驗(yàn)證目標(biāo)進(jìn)行驗(yàn)證。

具體的，驗(yàn)證模塊300，包括：

選擇模塊301，用于根據(jù)驗(yàn)證目標(biāo)的配置信息，在模板庫(kù)中檢索與驗(yàn)證目標(biāo)的配置信息匹配的模板；

實(shí)例模塊302，用于將被檢索到的模板發(fā)送至調(diào)度執(zhí)行器，調(diào)度執(zhí)行器根據(jù)檢索到的模板中的虛擬機(jī)配置信息在模擬環(huán)境中配置虛擬機(jī)，得到模擬環(huán)境的實(shí)例。

執(zhí)行模塊303，用于將設(shè)定的執(zhí)行驗(yàn)證腳本發(fā)送至執(zhí)行引擎中，執(zhí)行引擎控制執(zhí)行驗(yàn)證腳本對(duì)驗(yàn)證目標(biāo)進(jìn)行漏洞驗(yàn)證。其中，執(zhí)行驗(yàn)證腳本的數(shù)量為一個(gè)或多個(gè)。

本發(fā)明第四實(shí)施例，一種基于模擬環(huán)境的漏洞驗(yàn)證系統(tǒng)，本實(shí)施例所述系統(tǒng)與第三實(shí)施例大至相同，區(qū)別在于對(duì)驗(yàn)證結(jié)果和模擬環(huán)境進(jìn)行進(jìn)一步處理，如圖4所示，本實(shí)施例的所述方法，還包括以下具體步驟：

保存模塊400，用于對(duì)驗(yàn)證模塊300得到的漏洞驗(yàn)證結(jié)果進(jìn)行保存。

釋放模塊500，用于當(dāng)漏洞驗(yàn)證完成后，對(duì)模擬環(huán)境進(jìn)行釋放。

當(dāng)對(duì)驗(yàn)證目標(biāo)進(jìn)行一次或多次漏洞驗(yàn)證完成后，將模擬環(huán)境的實(shí)例進(jìn)行刪除。

報(bào)告模塊600，根據(jù)保存的所述漏洞驗(yàn)證結(jié)果生成驗(yàn)證報(bào)告。

驗(yàn)證報(bào)告包括：漏洞的基本信息、模擬環(huán)境的配置信息、防護(hù)策略的配置信息、執(zhí)行驗(yàn)證腳本的信息和漏洞驗(yàn)證日志結(jié)果等信息。

本發(fā)明第五實(shí)施例，一種基于模擬環(huán)境的漏洞驗(yàn)證方法，為了克服現(xiàn)有漏洞研究人員的工作效率低、工作內(nèi)容個(gè)性化程度強(qiáng)和漏洞驗(yàn)證過(guò)程不可追溯性等特點(diǎn)，本實(shí)施例提出了一種基于模擬環(huán)境漏洞驗(yàn)證方法，實(shí)現(xiàn)了網(wǎng)絡(luò)、系統(tǒng)和軟件安全漏洞自動(dòng)化模擬驗(yàn)證，解決了現(xiàn)有漏洞研究人員構(gòu)建復(fù)雜漏洞驗(yàn)證環(huán)境的效率不高和重復(fù)利用問(wèn)題，以及不能自動(dòng)執(zhí)行和追溯驗(yàn)證過(guò)程的問(wèn)題。

基于模擬環(huán)境的漏洞驗(yàn)證方法，包括以下具體步驟：

步驟S901，構(gòu)建驗(yàn)證漏洞的模擬環(huán)境。

模擬環(huán)境的構(gòu)建，主要是針對(duì)待驗(yàn)證的漏洞，構(gòu)建存在此漏洞軟件環(huán)境，例如驗(yàn)證IE相關(guān)的漏洞時(shí)，需要選擇在某個(gè)版本的操作系統(tǒng)上，安裝有此漏洞的IE軟件作為驗(yàn)證目標(biāo)，同時(shí)還需要安裝執(zhí)行驗(yàn)證腳本的執(zhí)行環(huán)境如：python的驗(yàn)證腳本，需要安裝python2及其相關(guān)的模塊作為執(zhí)行引擎。還有在驗(yàn)證該漏洞的存在性時(shí)，也會(huì)對(duì)漏洞的補(bǔ)丁，或一些防護(hù)軟件的防護(hù)能力進(jìn)行測(cè)試，此時(shí)需要安裝修復(fù)此漏洞補(bǔ)丁、軟件或腳本等，作為模擬環(huán)境的防護(hù)策略。

所以當(dāng)確認(rèn)了防護(hù)策略、驗(yàn)證目標(biāo)和執(zhí)行引擎信息后，可以在云平臺(tái)環(huán)境上構(gòu)建出模擬環(huán)境。

例如：IE相關(guān)的漏洞驗(yàn)證，根據(jù)確認(rèn)的防護(hù)策略、驗(yàn)證目標(biāo)和執(zhí)行引擎信息可以設(shè)計(jì)如表2所示的模擬環(huán)境組成。

表2

確定防護(hù)策略、驗(yàn)證目標(biāo)和執(zhí)行引擎。根據(jù)待驗(yàn)證的漏洞樣本，構(gòu)建漏洞存在的模擬環(huán)境，并且可以增加不同的防護(hù)措施到模擬環(huán)境中，以驗(yàn)證部署不同防護(hù)策略下模擬環(huán)境漏洞的存在性。并在模擬環(huán)境中的可標(biāo)識(shí)驗(yàn)證的目標(biāo)和驗(yàn)證腳本的執(zhí)行位置。

模擬環(huán)境的信息收集具體實(shí)現(xiàn)方式：

在模擬環(huán)境的信息收集步驟中，目標(biāo)是指收集掃描對(duì)象的IP信息，可以是一個(gè)單獨(dú)的主機(jī)(通常是虛擬機(jī))，也可以是幾個(gè)主機(jī)或者是多個(gè)服務(wù)器的組合；執(zhí)行引擎是驗(yàn)證腳本的執(zhí)行環(huán)境，系統(tǒng)會(huì)根據(jù)不同的腳本類型選擇虛擬機(jī)中的執(zhí)行引擎執(zhí)行驗(yàn)證腳本。

模擬環(huán)境的動(dòng)態(tài)構(gòu)建部分是建立在基礎(chǔ)設(shè)施云平臺(tái)的基礎(chǔ)上，根據(jù)構(gòu)建方式的不同，分為兩部分核心內(nèi)容：

1)全新的構(gòu)建模擬環(huán)境

模擬環(huán)境的構(gòu)建作為本系統(tǒng)的主要基礎(chǔ)部分，為后面的驗(yàn)證步驟提供執(zhí)行的軟硬件資源，全新構(gòu)建模擬環(huán)境主要包括以下內(nèi)容:

1.實(shí)驗(yàn)環(huán)境的整體場(chǎng)景布局，如一共需要幾臺(tái)機(jī)器和每臺(tái)機(jī)器的硬件配置信息等。

2.針對(duì)每個(gè)機(jī)器的功能不同，需要安裝的軟件和策略等配置的信息。

3.將當(dāng)前的模擬環(huán)境信息保存到模板庫(kù)中。

在全新創(chuàng)建模擬環(huán)境時(shí)，調(diào)度引擎會(huì)根據(jù)全新創(chuàng)建的模擬環(huán)境信息，調(diào)用底層基礎(chǔ)資源云平臺(tái)接口，完成模擬環(huán)境實(shí)例的構(gòu)建過(guò)程，最后返回可運(yùn)行的模擬環(huán)境實(shí)例集合，模擬環(huán)境中的各主機(jī)的軟件和配置信息，生成實(shí)例的時(shí)候已經(jīng)安裝好。此時(shí)，新的模擬環(huán)境創(chuàng)建完成。之后，我們可以將此實(shí)驗(yàn)環(huán)境的配置信息數(shù)據(jù)保存為模擬環(huán)境庫(kù)，用戶可以直接使用保存的配置信息生成新實(shí)例。在此配置信息相當(dāng)于模板的作用。

2)自動(dòng)選擇符合特征的模擬環(huán)境。

根據(jù)漏洞信息的標(biāo)識(shí)和要求，自動(dòng)的在模擬環(huán)境庫(kù)中選擇合適的模擬環(huán)境，根據(jù)此配置生成模擬環(huán)境的實(shí)例。

步驟S902，對(duì)數(shù)據(jù)進(jìn)行封裝。

對(duì)模擬環(huán)境的數(shù)據(jù)和漏洞數(shù)據(jù)進(jìn)行封裝，以統(tǒng)一的格式傳遞數(shù)據(jù)。

對(duì)收集的模擬環(huán)境信息數(shù)據(jù)，按照json數(shù)據(jù)結(jié)構(gòu)的格式進(jìn)行封裝，單個(gè)虛擬機(jī)的數(shù)據(jù)結(jié)構(gòu)實(shí)例如下：

{"name":"rewr",虛擬機(jī)的名字

"instanceOfferingUuid":"aa9bd1fe19124584872583cf33ab7b9f",虛擬機(jī)的實(shí)例規(guī)格—內(nèi)存大小和cpu的核數(shù)

"imageUuid":"616bf8ee9fc840a59a501893e03d00cb",虛擬機(jī)的基礎(chǔ)鏡像—通過(guò)操作系統(tǒng)版本位數(shù)等信息選擇匹配

"l3NetworkUuids":["68a837ff267f436ca7ac5d67a325d68d"],虛擬機(jī)之間的網(wǎng)絡(luò)方案—默認(rèn)

"dataDiskOfferingUuids":[],"description":"",

"defaultL3NetworkUuid":"68a837ff267f436ca7ac5d67a325d68d",默認(rèn)網(wǎng)絡(luò)

"systemTags":[],

"session":{"uuid":"36ce310f980c4b18a976c94ed15193cc"},與云平臺(tái)的會(huì)話

"timeout":-1

}

數(shù)據(jù)封裝具體實(shí)現(xiàn)方式：

漏洞的關(guān)鍵信息包括：模擬環(huán)境中的目標(biāo)地址、操作系統(tǒng)信息、漏洞端口、漏洞類型、漏洞位置、漏洞參數(shù)、漏洞標(biāo)識(shí)和應(yīng)用版本信息等。

執(zhí)行器信息包括：根據(jù)漏洞的標(biāo)識(shí)和內(nèi)容選取的驗(yàn)證腳本信息、腳本參數(shù)信息和腳本的執(zhí)行環(huán)境信息等。

步驟S903，對(duì)漏洞進(jìn)行驗(yàn)證。

數(shù)據(jù)以任務(wù)的形式下發(fā)到執(zhí)行調(diào)度器，并根據(jù)模擬環(huán)境的配置數(shù)據(jù)，觸發(fā)模擬環(huán)境中的腳本執(zhí)行器，對(duì)模擬環(huán)境中的漏洞驗(yàn)證目標(biāo)進(jìn)行驗(yàn)證。

漏洞驗(yàn)證具體實(shí)現(xiàn)方式：

漏洞驗(yàn)證是整個(gè)系統(tǒng)的核心內(nèi)容，通過(guò)前面的步驟，準(zhǔn)備好模擬環(huán)境后，和準(zhǔn)備驗(yàn)證的漏洞的基本信息和執(zhí)行器基本信息，接下來(lái)的工作就是對(duì)漏洞進(jìn)行當(dāng)前場(chǎng)景下的驗(yàn)證動(dòng)作，主要是通過(guò)統(tǒng)一的調(diào)度引擎，完成驗(yàn)證任務(wù)的全生命周期的管理和控制，觸發(fā)目標(biāo)執(zhí)行引擎，執(zhí)行漏洞驗(yàn)證腳本，并將過(guò)程中的日志和結(jié)果信息全部保存到調(diào)度引擎結(jié)果字段中。

步驟S904，對(duì)漏洞驗(yàn)證結(jié)果進(jìn)行保存。

調(diào)度引擎會(huì)將驗(yàn)證結(jié)果和過(guò)程數(shù)據(jù)，從模擬環(huán)境中取回，保存到本次驗(yàn)證的結(jié)果信息中。

驗(yàn)證結(jié)果保存具體實(shí)現(xiàn)方式：

保存的結(jié)果根據(jù)漏洞的單次執(zhí)行任務(wù)來(lái)選??；也就是說(shuō)可以對(duì)相同環(huán)境下的漏洞驗(yàn)證多次執(zhí)行，每次驗(yàn)證有自己對(duì)應(yīng)的結(jié)果。

步驟S905，清除驗(yàn)證資源。

驗(yàn)證完成后，可以對(duì)模擬環(huán)境資源進(jìn)行釋放，也可以多次使用后再釋放。

步驟S906，生成漏洞驗(yàn)證報(bào)告。

驗(yàn)證報(bào)告包括：漏洞基本信息、模擬環(huán)境的具體配置、防護(hù)策略的配置、驗(yàn)證的腳本、是否存在漏洞和漏洞驗(yàn)證日志結(jié)果等信息。

通過(guò)基于模擬環(huán)境的漏洞驗(yàn)證方法可以有效提高漏洞研究人員的工作效率，并且對(duì)漏洞驗(yàn)證過(guò)程做到可復(fù)用和可追溯。

通過(guò)基于模擬環(huán)境的漏洞驗(yàn)證方法解決的技術(shù)問(wèn)題主要有兩個(gè)：

1.在實(shí)驗(yàn)的環(huán)境構(gòu)建方面，結(jié)合KVM(kernel-based Virtual Machine)虛擬化技術(shù)和容器虛擬化技術(shù)，可以將復(fù)雜的實(shí)驗(yàn)環(huán)境組合部署，并實(shí)現(xiàn)虛擬機(jī)和容器的互通，從而使相同的資源上可以構(gòu)建更多的實(shí)驗(yàn)場(chǎng)環(huán)境。整體上提高啟停和部署的速度。

2.在具體的實(shí)驗(yàn)環(huán)境中，做到可以執(zhí)行批量驗(yàn)證，并且使執(zhí)行驗(yàn)證、抓取結(jié)果、結(jié)果分析和評(píng)價(jià)的整個(gè)過(guò)程可以實(shí)現(xiàn)自動(dòng)完成。

本發(fā)明第六實(shí)施例，本實(shí)施例是在上述實(shí)施例的基礎(chǔ)上，以基于模擬環(huán)境的漏洞驗(yàn)證系統(tǒng)為例，結(jié)合附圖5～6介紹一個(gè)本發(fā)明的應(yīng)用實(shí)例。

基于模擬環(huán)境的漏洞驗(yàn)證系統(tǒng)包括：漏洞驗(yàn)證任務(wù)功能管理模塊、實(shí)驗(yàn)環(huán)境構(gòu)建模塊和知識(shí)庫(kù)管理模塊。

其中，漏洞驗(yàn)證任務(wù)功能管理模塊：用于將漏洞驗(yàn)證實(shí)驗(yàn)的每次操作，封裝成任務(wù)模型的方式執(zhí)行，任務(wù)的結(jié)構(gòu)分為以漏洞為核心的主任務(wù)和針對(duì)此任務(wù)每次驗(yàn)證(驗(yàn)證腳本或參數(shù)不同)的子任務(wù)。

實(shí)驗(yàn)環(huán)境構(gòu)建模塊：用于構(gòu)建漏洞驗(yàn)證的實(shí)驗(yàn)環(huán)境，主要過(guò)程是通過(guò)設(shè)計(jì)臺(tái)頁(yè)面，設(shè)計(jì)出整個(gè)實(shí)驗(yàn)環(huán)境的虛擬機(jī)構(gòu)成，包括有多少個(gè)虛擬機(jī)組成，每個(gè)虛擬機(jī)的配置，之后通過(guò)底層云平臺(tái)接口，以構(gòu)建任務(wù)的形式將數(shù)據(jù)封裝成構(gòu)建任務(wù)，下發(fā)執(zhí)行。

其中，虛擬機(jī)的配置包括：內(nèi)存，硬盤，CPU，操作系統(tǒng)和工具軟件等。

知識(shí)庫(kù)管理模塊：用于提供驗(yàn)證任務(wù)和構(gòu)建任務(wù)依賴數(shù)據(jù)的統(tǒng)一管理，包括操作系統(tǒng)的鏡像信息、漏洞信息和漏洞驗(yàn)證腳本信息等。

技術(shù)方案原理：

本方案的核心技術(shù)原理包括：采用基于KVM虛擬化的Zstack云平臺(tái)和基于容器虛擬化技術(shù)的docker組合方式，搭建底層的基礎(chǔ)設(shè)施云平臺(tái)。

業(yè)務(wù)層采用靈活的任務(wù)調(diào)度框架，來(lái)支撐以任務(wù)形式封裝的業(yè)務(wù)請(qǐng)求，并且基于插件式的任務(wù)引擎模塊，開發(fā)支撐多種場(chǎng)景的業(yè)務(wù)需求。

主要的功能結(jié)構(gòu)圖如圖5所示，其中上層是具體的業(yè)務(wù)系統(tǒng)模塊的功能，中間服務(wù)包括了任務(wù)調(diào)度框架和任務(wù)調(diào)度引擎，知識(shí)庫(kù)模塊作為對(duì)的服務(wù)在整個(gè)系統(tǒng)中提供數(shù)據(jù)的統(tǒng)一管理。

由底層創(chuàng)建出來(lái)的實(shí)驗(yàn)環(huán)境集合作為運(yùn)行時(shí)實(shí)例，會(huì)集中放到實(shí)例集合中管理，并且通過(guò)代理程序，完成對(duì)虛擬機(jī)內(nèi)部運(yùn)行程序的控制和實(shí)現(xiàn)。

如圖6所示，系統(tǒng)的部署結(jié)構(gòu)主要分為管理服務(wù)器節(jié)點(diǎn)、數(shù)據(jù)庫(kù)服務(wù)器節(jié)點(diǎn)、總線服務(wù)器節(jié)點(diǎn)、資源控制器節(jié)點(diǎn)和資源節(jié)點(diǎn)。

其中，管理服務(wù)器節(jié)點(diǎn)、數(shù)據(jù)庫(kù)服務(wù)器節(jié)點(diǎn)和總線服務(wù)器節(jié)點(diǎn)主要部署的是系統(tǒng)的功能模塊和數(shù)據(jù)存儲(chǔ)模塊。

資源控制器節(jié)點(diǎn)和資源節(jié)點(diǎn)是提供整個(gè)系統(tǒng)的基礎(chǔ)云部署，主要是搭建虛擬機(jī)環(huán)境的集群。

本發(fā)明第七實(shí)施例，以基于模擬環(huán)境的漏洞驗(yàn)證系統(tǒng)為例，結(jié)合附圖7介紹一個(gè)本發(fā)明的應(yīng)用實(shí)例。

基礎(chǔ)云平臺(tái)的方案可以采用開源的openstack+docker的方式部署，將docker作為Nova的一種驅(qū)動(dòng)方式，通過(guò)docker的api接口的方式管理docker容器的生命周期。

如圖7所示，通過(guò)nova-api，docker driver作為hypervisor部署。原理很好理解，nova-computer-api調(diào)用virt api將nova docker driver作為http agent和docker rest api互通，從而控制docker和與容器的通信。另外，glance作為docker register服務(wù)的本地節(jié)點(diǎn)，提供image服務(wù)。

本實(shí)施例的優(yōu)點(diǎn)：相比VM的性能優(yōu)勢(shì)，特別是Auto-Scale Out的時(shí)候；使用經(jīng)驗(yàn)和資料詳細(xì)；混合方案，滿足不同性能需求。

根據(jù)本發(fā)明面對(duì)的漏洞驗(yàn)證實(shí)驗(yàn)環(huán)境的構(gòu)建需求，不需要采用openstack的heat或Magnum的docker集成。主要是因?yàn)闆](méi)有復(fù)雜的模板部署編排等需求，不需要復(fù)雜的的調(diào)度管理和負(fù)載均衡等應(yīng)用。

通過(guò)具體實(shí)施方式的說(shuō)明，應(yīng)當(dāng)可對(duì)本發(fā)明為達(dá)成預(yù)定目的所采取的技術(shù)手段及功效得以更加深入且具體的了解，然而所附圖示僅是提供參考與說(shuō)明之用，并非用來(lái)對(duì)本發(fā)明加以限制。