Facebook加入
LINE加入
2021/12/25
今日薦文的作者為鄭州工業應用技術學院 信息工程學院專家廖金菊,馮光輝。本篇節選自論文《基於虛擬節點管理的雲安全漏洞掃描系統 》,發表於《電子科學研究院學報》第11卷第5期。
摘 要:安全漏洞問題是眾多的雲安全問題中非常重要的一部分。目前針對網路安全漏洞掃描的軟體或者系統不能夠很好的適用於雲計算網路,而為了滿足在雲環境下的分散式漏洞掃描需求,需要實現對多掃描節點的全面管理,所以給出了一種基於分散式虛擬節點管理的雲安全漏洞掃描系統研究方案,通過分析掃描節點的生命周期和基於此生命周期的掃描節點工作流,著重設計了虛擬掃描節點在其生命周期各階段的管理策略,並接受管理平台的即時監控。該方案能夠根據不同的任務調度策略合理分配掃描任務以及快速檢測異常掃描節點,從而實現任務合理遷移和掃描節點的回收。
當前,隨著計算機網路和通訊技術的快速發展以及網路應用的日益豐富,利用開放的網路環境進行全球通信已成為時代發展的必然趨勢。然而,網路在提供高效和便利的同時,也帶來了諸多安全隱患。據調查顯示,黑客攻擊系統的方式正在朝多樣化方面發展,病毒和木馬等黑客工具的差異區分逐漸在減少,利用系統漏洞進行攻擊的手段層出不窮。
其中,漏洞掃描技術就是防範漏洞攻擊手段的重要網路安全技術,漏洞掃描技術可以根據已知的漏洞信息,通過埠探測等掃描手段對網路中指定的計算機系統進行安全脆弱性檢測,以便使網路管理員能夠及時發現系統中可以被利用的漏洞,通過對漏洞的風險等級進行評估,從而提前制定防範措施。相對於防火牆這種安全防禦措施來說,漏洞掃描可以算作是一種主動的防禦,能夠有效地做到防範於未然。因此,加強漏洞掃描技術的研究對於網路安全具有十分重要的意義。
近年來,網路技術的進一步發展和分散式計算、網格計算等技術的湧現,雲計算這一概念應運而生。雲計算是一種面向互聯網海量數據,按需提供共享軟硬體資源的計算方式,是信息技術時代的又一次飛躍,雲計算技術自產生以來逐漸成為網路技術發展的熱點和趨勢。雲時代的IT架構改變了IT資源的存在形式和組織形式,但是由於數據的聚積,安全問題的影響也必然經歷量變到質變的過程。雲計算技術的按需自服務、資源池化、快速彈性可擴展、廣泛的網路接入、可測量性和多租戶架構等特點直接影響到了雲計算的安全以及相關的安全保護策略。當然,在眾多的雲安全問題中,安全漏洞問題是十分重要的一部分,雲計算的上述幾個特點可能會使其暴露出更多的安全漏洞。
目前,針對網路安全的傳統漏洞掃描軟體或系統並不能很好地適用於雲計算網路中,這是因為傳統的漏洞掃描主要是基於主機或網路的漏洞掃描:如果在雲環境下採用基於主機的漏洞掃描,需要在每台虛擬機上安全漏洞掃描軟體,將會造成資源浪費,而且當同時掃描虛擬機時將使物理主機的資源佔用率瞬時增加,將會降低虛擬機性能;如果在雲環境下採用基於網路的漏洞掃描,當需要掃描的目標主機過於多時,將會造成伺服器端的性能瓶頸。
近年來,國內外研究人員對於雲環境下的漏洞掃描也取得了一定的成果。
Mika在其學位論文中對於雲安全漏洞掃描問題做了系統全面的梳理研究Wei等人針對網路在漏洞掃描時TCP連接多、開銷大、外部網路不能掃描內部目標主機漏洞等問題,給出了一種基於雲平台的虛擬機鏡像安全管理方案。
Wang等人給出了一種結合TURN擴展協議和Socks5協議的CoundProxy代理掃描方案,以減少伺服器端因漏洞掃描所帶來的通信負載。
文獻針對IaaS平台多目標虛擬機的漏洞掃描問題,給出了一種基於多代理的分散式漏洞掃描方案,有效降低了多目標虛擬機的漏洞掃描耗時。
文中所給的基於分散式虛擬節點管理的雲安全漏洞掃描系統(cloud security vulnerability scanning system based on Distributed Virtual Nodes Management, DVNM)能夠很好地適用於雲計算網路環境下。為了滿足在雲環境下的分散式漏洞掃描需求,所給方案通過實現對多掃描節點的全面管理,同時完成掃描節點的虛擬化部署方案,從而能夠按照漏洞掃描任務 的需要,動態調度分配掃描節點,可以實現任務的高效率執行,對於雲安全漏洞掃描技術的發展具有一定的理論研究意義和實際應用價值。
目前,一般的漏洞掃描系統大多都只是一個可執行漏洞掃描功能的整體,有些雖然也有一定的模塊劃分,但其模塊的耦合度較高,提供的功能也相對單一,這類掃描系統一般一次只能掃描一個漏洞,但不支持針對大規模目標、多種安全漏洞的掃描。而有些能夠滿足大數據量訪問需求的漏洞掃描產品(比如OpenVAS等),其管理平台和掃描節點是一對一的關係,當大數據量任務請求到達時,會使掃描節點不堪重負,將嚴重降低系統性能和執行時間,而且佔用的系統資源過多。為適應大規模掃描任務和多種安全漏洞掃描的請求,本文所依託的分散式雲安全漏掃系統充分利用雲計算環境的虛擬資源,可以支持多個漏洞掃描節點的分散式管理,統一接受一個漏洞掃描管理平台的集中管理,並提供漏洞掃描插件庫以支持多種漏洞的掃描。因此該系統主要分為掃描管理平台,多個掃描節點以及漏洞掃描插件庫,其系統架構圖如圖1所示。
圖1 雲安全漏洞掃描系統模塊架構圖
其中,漏洞掃描管理平台模塊主要是負責接收和處理用戶的請求並對掃描節點組件模塊進行統一管理。該模塊主要包括任務管理子模塊、掃描器管理子模塊、漏洞庫管理子模塊、賬戶管理子模塊和數據存儲子模塊五個子模塊。任務管理子模塊主要用於完成與掃描任務相關的管理功能,接受用戶或上層管理平台的用戶請求並可向掃描節點組件模塊發送任務管理請求。漏洞庫管理子模塊主要用於完成對漏洞掃描插件庫模塊的管理。掃描器管理子模塊主要用於完成掃描器管理功能。賬戶管理子模塊主要用於完成對用戶的管理,區別普通用戶和管理員,進行角色認證和鑒別等。數據存儲子模塊主要用於完成對在線安全檢測子系統的數據存儲和管理。漏洞掃描節點組件模塊主要是完成具體掃描任務,提供掃描執行功能,為漏洞掃描管理平台模塊提供介面調用,並接受漏洞掃描管理平台模塊的管理。介面子模塊主要是提供掃描節點組件模塊與掃描管理平台以及漏洞掃描插件庫之間的介面。掃描執行子模塊執行具體的掃描任務,主要包括掃描插件的執行、掃描插件的調度、掃描結果記錄的存儲管理。漏洞掃描插件庫主要包含具體執行掃描任務的所有漏洞掃描插件,並且能夠針對其對應的安全漏洞內容進行掃描,然後給出相應的執行結果。所給DVNM方案的分散式虛擬節點管理就是位於掃描管理平台的掃描器管理子模塊,來實現對多個掃描節點的管理。雲安全漏洞掃描系統的業務流程示意圖如圖2所示。
圖2 雲安全漏洞掃描系統業務流程示意圖
2 虛擬掃描節點生命周期
為了實現對掃描節點的管理,首先需要分析掃描節點的生命周期。分析虛擬掃描節點的生命周期,能夠有助於明確虛擬掃描節點在各個階段的形態,從而進行合理有效的管理。通過對虛擬掃描節點從創建到回收的各個階段進行分析,可知一個虛擬掃描節點在漏洞掃描系統中基本需要經歷創建、部署、分配、執行掃描和回收五個階段,在此期間還需要對虛擬掃描節點進行資源、效率和是否活躍等方面進行全面監控。虛擬掃描節點的工作流由一系列虛擬掃描節點的生命周期組成的,具有時間疊加和空間疊加的特性,也即是說多個虛擬掃描節點可擁有以共同的生命周期時間段,多個虛擬掃描節點可以部署在同一台物理機上。有效地管理和維護虛擬掃描節點工作流,使其可以高效、無中斷地運行,能夠在達到降低系統資源消耗的同時,實現漏洞掃描服務吞吐率的最大化。虛擬掃描節點生命周期示意圖如圖3所示。
圖3 虛擬掃描節點生命周期示意圖
(2)部署階段:主要是根據任務利用統一的掃描器鏡像模板,通過一鍵式部署腳本來創建和部署虛擬掃描節點的掃描引擎。同時,將虛擬掃描節點部署到相應的目標網路中,並存儲虛擬掃描節點的相關信息。
(3)分配階段:主要是根據虛擬節點監控子模塊傳回的掃描器狀態信息以及任務調度演算法,將任務分配給合適的虛擬掃描節點,同時需要維護掃描節點管理隊列。另外,可根據任務調度方案對正在進行的任務執行暫停、恢復或停止等操作。
(4)執行階段:主要是根據已分配的任務對目標主機進行漏洞掃描。同時,在虛擬掃描節點異常連接時,可根據任務遷移方案將未完成的任務遷移到其它虛擬掃描節點,由新的虛擬掃描節點對任務目標主機繼續執行漏洞掃描任務。
(5)回收階段:當遇到虛擬掃描節點異常連接、執行掃描任務的過程中發生故障、系統管理員需要停用部分虛擬掃描節點等異常情況時,通過對虛擬節點進行有效回收來釋放這些掃描節點所佔用的系統資源,主要回收該虛擬掃描節點的IP和埠等信息。
(6)狀態監控:主要是對虛擬掃描節點的運行狀態信息進行監控,當虛擬掃描節點異常連接時能夠及時進行回收和任務遷移,以保證虛擬掃描節點保持正常運行狀態。
3 虛擬化部署方案
虛擬化的主要目的是在於集中管理任務,從而可以簡化運維流程以及降低成本,同時也能夠改善計算資源有效利用率和可用性。簡單的來說,虛擬化就是改善在傳統一台物理伺服器上運行一個應用程序的模式,讓物理伺服器硬體及網路資源能夠被充分的配置利用,使得一台物理伺服器上能夠運行多個互相獨立的虛擬機,並執行多個應用服務程序,從而實現以較少的硬體資源完成更多更有效率的服務,達到節省總擁有成本並增加投資回報的目的。對於雲安全漏洞掃描系統來說,採取虛擬化部署的方法可以有效適應雲計算環境特點以及提供高效快速的漏洞掃描服務。例如,通過採用虛擬化技術,軟體能夠在共享的硬體上運行實現了雲計算中資源池化的特徵,也可以有效共享執行漏洞掃描任務所需的CPU、內存等各類資源,因而可以屏蔽不同機器底層的硬體差異,使得用戶能夠專註於應用。所給DVNM方案的虛擬化部署方案如圖4所示,虛擬掃描節點通過虛擬交換機與管理平台相連,可通過介面統一接受外部第三方系統或者上層管理員的管理,這種方式可以方便地對虛擬掃描節點進行部署、管理和回收,同時有效地進行掃描任務的監控和遷移。圖4 DVNM虛擬化部署方案
4 虛擬掃描節點管理方案設計
在分析虛擬掃描節點的生命周期並建立了虛擬化部署方案后,可以針對虛擬節點生命周期中的不同階段對其進行管理。虛擬掃描節點管理模塊的結構如圖5所示。
圖5 虛擬掃描節點管理模塊結構圖
4.1 虛擬掃描節點部署子模塊
對於在雲環境條件下漏洞掃描服務的使用者來說,僅僅關心的是漏洞掃描服務有沒有正確部署,當缺少足夠的掃描節點時能否可以方便地獲取足夠正常工作的掃描節點,而對於其中鏡像管理、虛擬掃描節點的創建、虛擬網路協議配置等等都是不需要關心的,即這些功能對用戶可以是透明的。虛擬掃描節點部署子模塊利用統一的掃描器鏡像模板,通過一鍵式部署腳本來實現掃描引擎的創建和部署。創建和部署后的虛擬掃描節點在資料庫中存儲的信息如表1所示。
4.2 虛擬掃描節點分配子模塊
為了可以充分利用分散式系統的巨大處理能力,虛擬掃描節點分配子模塊在分散式雲安全漏洞掃系統任務調度演算法的基礎上,同時為實現該漏洞掃描系統中各掃描節點的負載均衡提供支持。該模塊通過維護一個掃描節點管理隊列,然後根據虛擬節點監控子模塊傳回的掃描器狀態信息以及任務調度演算法的輸出,將任務分配給合適的虛擬掃描節點,同時還可以將正在進行的任務暫停、恢復或停止。該模塊與虛擬掃描節點之間的介面如表2所示。
4.3 虛擬掃描節點監控子模塊
在雲安全漏洞掃描系統運行過程中,通常需要對各虛擬掃描節點的運行狀態信息進行監控,從而保證系統中各掃描節點保持正常的運行,以便在虛擬掃描節點異常連接時進行回收和任務遷移。在每個虛擬掃描節點中,均有監控子模塊所設置的監控代理,即由監控代理主動向虛擬掃描節點監控子模塊報告掃描器狀態和掃描節點的各項物理指標。監控子模塊為每一個掃描器創建連接進程,通過監控代理彙報的指標修改掃描節點狀態信息,作為輸入給任務調度策略。若一段時間內未收到監控代理的信息,則將該掃描節點狀態修改為失聯。
4.4 虛擬掃描節點回收子模塊
在雲安全漏洞掃描系統運行過程中,可能會遇到虛擬掃描節點異常連接或在執行掃描任務的過程中發生故障,又或者系統管理員需要停用部分虛擬掃描節點,這時應對虛擬節點進行有效回收,從而釋放這些掃描節點所佔用的系統資源。回收子模塊主要回收該虛擬掃描節點的IP和埠等信息,並在操作界面上顯示故障或異常連接時掃描節點的具體信息描述(比如所在的物理機地址),以便系統管理員能夠及時回收。
5 實驗與性能分析
所給DVNM漏洞掃描方案的優點主要包括:
(1)所給DVNM方案可以掃描不同種類的漏洞,只要部署相應的漏洞掃描引擎即可執行相應的漏洞掃描,而基於檢測代理的掃描方案在沒有部署相應檢測代理的情況下無法實施漏洞掃描,
(2)所給DVNM方案可以根據不同的漏洞掃描需求創建相應數量的虛擬掃描節點,可以檢測數量眾多的漏洞類型,而基於任務驅動的漏洞掃描系統需要根據任務來啟動檢測代理的數量,當掃描任務較多時,檢測代理可能無法滿足且無法及時部署相應的檢測代理,這就限制了掃描任務的數量;
(3)所給DVNM方案可以根據需要創建虛擬節點數目,且當任務完成時可以回收虛擬掃描節點,避免資源一直被空置,而基於監視代理的掃描方案在掃描任務完成時,監視代理的部分資源將會被空置,造成資源浪費;
(4)所給DVNM方案中當虛擬掃描節點出現異常時,可將掃描任務遷移至其它虛擬掃描節點,而基於代理的掃描方案在檢測代理出現異常時,將需要採用新的檢測代理來重新進行漏洞任務掃描,將會造成資源重複浪費。
下面通過利用OpenStack雲計算平台模擬實驗環境,對所給的DVNM漏洞掃描方案進行模擬測試。其中,OpenStack是以單節點的形式安裝該平台最基本的nova,keystone,glance和horizon功能模塊,採用64位2.0GHz的DELL PowerEdge 2950伺服器,8Gb內存,292Gb硬碟存儲空間,千兆乙太網,運行Ubuntu 12.04.2 Desktop i386版本的操作系統,目標主機的操作系統為當前普遍使用的Windows XP SP3版本。主要分別從CPU使用率、內存佔用率以及掃描檢測時間三個方面來測試所給DVNM方案的性能。下面圖6給出了所給DVNM漏洞掃描方案的CPU使用率。可以看出,當掃描任務完成時,通過對虛擬掃描節點的回收可以降低CPU的使用率;而當掃描任務數量較多時,需要根據用戶需求建立多個虛擬掃描節點,使得CPU使用率大幅增加;而當掃描任務數量保持不變時,CPU的使用率也基本保持不變。但所給DVNM方案的CPU使用率能夠基本平均保持在0.3左右,具有較好地CPU使用性能。
圖6 DVNM漏洞掃描方案的CPU使用率
下面圖7給出了所給DVNM漏洞掃描方案的內存佔用率。可以看出,伺服器在各個時段的內存佔用率基本保持穩定。當掃描任務類型或者數量較少時,所需創建的虛擬掃描節點數目或所需存儲的數據信息也將較少,使得內存佔用率較低,比如在1.8min左右的時刻,儘管此時CPU的使用率較高,然而由於掃描任務類型較少且數量也不多,雖然創建了多個虛擬掃描節點,但數量有限使得需要存儲的信息有限,所以內存佔用較少;而當掃描任務類型且數量較多時,所需創建的掃描節點數目以及所需存儲的數據信息將較多,將使得內存佔用率大幅增加,比如在5.8min左右的時刻,因掃描任務類型和數量都較多,需要創建具有不同掃描引擎的多個虛擬掃描節點,使得內存佔用率大幅增加。但所給DVNM方案的內存佔用率能基本保持在不高於57%,具有較好的性能。
圖7 DVNM漏洞掃描方案的內存佔用率
可以看出,所給DVNM方案在同等數量的掃描任務下具有較短的掃描耗時,且隨著漏洞掃描任務數量的增加,掃描耗時增加幅度不大。一方面,這是由於所給DVNM方案可以根據掃描任務直接創建相應的虛擬掃描節點,隨後即可實施掃描任務,另一方面,則是因為所給DVNM方案可以通過掃描任務遷移,創建多個虛擬掃描節點對同一掃描任務實施掃描,可以大大降低掃描耗時。另外,當掃描節點出現異常情況時,所給DVNM方案也可通過掃描任務遷移,將所執行的掃描任務遷移到新的虛擬掃描節點上繼續掃描,而其它兩種方案則是需要在新的檢測代理中重新進行掃描,將會大幅增加掃描耗時。因此,所給DVNM漏洞掃描方案可以很好地應用在雲環境中,且具有較好的性能。
圖8 DVNM漏洞掃描方案的掃描耗時
傳統的漏洞掃描系統不能夠很好地適應雲計算環境、不能執行大數據量掃描任務或不能支持多種漏洞掃描任務的問題,而設計的分散式雲安全漏洞掃描系統還尚缺少合理的虛擬掃描節點管理方案,缺少為實現掃描任務分散式執行和管理的技術支持,不能快速有效地創建部署能夠提供漏洞掃描功能的掃描節點,不能實現虛擬掃描節點的全方面監控。因此,研究雲安全漏洞掃描系統虛擬節點管理十分重要。所給的DVNM方案首先分析一個普通掃描節點從創建到回收的生命周期和基於此生命周期的掃描節點工作流,然後給出適用於分散式雲安全漏洞掃描系統的虛擬化部署方案,最後著重設計了虛擬掃描節點在其生命周期各個時間段的管理策略,可根據物理資源創建合適的虛擬掃描節點,且能夠快速部署漏洞掃描功能,同時接受管理平台的即時監控,以便根據不同的任務調度策略合理分配掃描任務以及快速檢測異常掃描節點,從而實現掃描任務的合理遷移和掃描節點的回收。
(參考文獻略)
《 召 集 令 》
身懷學術絕技的你速速前來!
1,有學術水準:一定的專業學術水準是必須的!
2,有獨到思想:具深度,廣度,銳度者為最佳!
3,內容範疇:自然科學,社會科學等等不設限!
4,資訊或翻譯類文章:符合上述條件的均可以。
學術plus諮詢/投稿郵箱
聲明:版權歸《電子科學研究院學報》所有。轉載請務必註明出處,違者必究。文章觀點不代表本機構立場。
熱門推薦
留言回覆
