本发明专利技术提供了一种针对网络打印机协议的安全检测方法及装置,具体包括:基于已知的打印机漏洞库,建立用于安全检测的漏洞数据库;依据待测打印机协议类型,从所述漏洞数据库中检索出相应的漏洞信息并提取攻击向量,形成针对不同协议的原始测试样本集;所述攻击向量为用于触发漏洞的攻击脚本;通过遗传算法对所述攻击向量进行扩展,将针对不同协议的原始测试样本集变为相应的扩展测试样本集;对扩展测试样本集中的每个测试样本进行封装生成携带了测试样本的攻击数据包;利用所述携带了测试样本的攻击数据包对待测打印机进行攻击,并根据待测打印机的响应进行安全检测。采用本发明专利技术能够支持不同协议类型的安全检测。
A security detection method and device for network printer protocol
【技术实现步骤摘要】
一种针对网络打印机协议的安全检测方法及装置
本专利技术涉及互联网信息
,特别涉及一种针对网络打印机协议的安全检测方法及装置。
技术介绍
网络打印机是普通互联网用户日常工作中最重要的设备之一。打印机直接安装到公司网络中,并在其打印作业中携带大量机密数据。这使得他们成为一个极具吸引力的攻击目标。在全球范围内对嵌入式网络设备进行安全扫描,在被扫描的2505个组织中有超过44000台HPJetDirect系列网络打印机存在信息泄露的安全隐患。与网络打印机严峻的安全形式相比,针对网络打印机的安全研究还处于起步阶段。现有技术中,通过针对打印机的渗透测试工具PRET,可以简化终端攻击者与目标打印机之间的通信交流。因此,当遇到一些UNIX打印系统命令时,PRET会把它转换成PostScript或PJL语言,发送给目标打印机,并对反馈结果进行安全评估。例如,PRET会把UNIX命令“ls”转换成以下PJL请求:@PJLFSDIRLISTNAME=”0:\”ENTRY=1COUNT=65535图1为PRET结构示意图,由攻击模块(Attacker)101,转换模块(Translator)102,连接模块(Connector)103,日志模块(Logging)104和脚本模块(Scripting)105五部分组成。Attacker是PRET的核心组件。它负责管理终端用户的输入,指导翻译模块生成正确的PostScript或者PJL命令,指导连接模块,并对测试的结果进行处理。Translator负责正确生成PostScript和PJL代码。同时,转换模块还包含一个Fuzzer组件,用于测试各种路径遍历策略。Connector是PRET中比较简单的组件,它通过以下方式进行通信:(1)创建访问TCP9100端口的socket(2)通过socket发送数据,(3)接收响应数据,(4)将响应数据转发给攻击模块。此外,如果针对本地打印机进行测试,连接模块可以通过USB或并行端口进行通信。Logging用于记录与打印机间的通信。如果启用了日志记录模块,开发人员和安全专家可以查看经转换模块翻译的PJL和PostScript命令,攻击的执行过程以及测试打印机的响应等。Scripting支持从文件加载并运行命令来执行某些攻击。该功能使PRET完全可编写脚本,能够支持自动化漏洞测试。根据以上描述,目前针对网络打印机的系统性的安全测试方法比较少,总体来说集中在嵌入式操作系统和应用层协议等方面。尽管在针对协议安全的测试上已经有了一个比较完整的测试工具PRET,但仍存在一定的局限性。(1)测试对象集中在打印协议上。现有的网络打印机测试工具的测试对象集中在网络打印机的打印协议上,包括针对PostScript、PJL、PCL等的测试。然而除了这些打印协议外,网络打印机还开放一些常见的易受到攻击的网络服务。网络打印机充当邮件客户端,利用简单邮件传输协议(SMTP:SimpleMailTransferProtocol)和邮件服务器双向通讯发送电子邮件给目标地址。在每次发送邮件的时候,可以像PC一样,不再每次都手动的输入冗长的Email地址,而仅仅使用轻量级目录访问协议(LDAP:LightweightDirectoryAccessProtocol)来查询LDAP服务器上各账号的Email地址信息。网络打印机使用SMB(ServerMessageBlock)协议或者文件传输协议(FTP:FileTransferProtocol)将各类被处理的文件副本传送到一个共享目录中或FTP站点上。使用简单网络管理协议(SNMP:SimpleNetworkManagementProtocol),网络打印机可以和其他同样支持SNMP协议的设备、软件进行互通,交互输设备硬件状态和信息。网络打印机内置WWW服务,并利用超文本传输协议(HTTP:HypertextTransferProtocol)提供网页服务,用于远程的状态监控、设备管理和文件下载服务等等。这些复杂而庞大的网络协议标准被逐一集成在网络打印机终端上提供网络服务,可能会像网络中的其他设备一样在通讯上存在安全风险。这些网络打印机上提供的网络协议同样被报出过危害性很高的漏洞。(2)测试支持的类型和对象具有一定的局限性,自动化程度不高。现有的测试工具只能支持使用40余种特定的命令对某些品牌的部分型号的打印机进行测试,覆盖度不高,而且需要测试人员的分析和参与,自动化程度不高。
技术实现思路
本专利技术的目的在于提供了一种针对网络打印机协议的安全检测方法及装置,能够支持不同协议类型的安全检测。本专利技术实施例提供了一种针对网络打印机协议的安全检测方法,该方法包括:基于已知的打印机漏洞库,建立用于安全检测的漏洞数据库;依据待测打印机协议类型,从所述漏洞数据库中检索出相应的漏洞信息并提取攻击向量,形成针对不同协议的原始测试样本集;所述攻击向量为用于触发漏洞的攻击脚本;通过遗传算法对所述攻击向量进行扩展,将针对不同协议的原始测试样本集变为相应的扩展测试样本集;对扩展测试样本集中的每个测试样本进行封装生成携带了测试样本的攻击数据包;利用所述携带了测试样本的攻击数据包对待测打印机进行攻击,并根据待测打印机的响应进行安全检测。本专利技术实施例还提供了一种针对网络打印机协议的安全检测装置,该装置包括:漏洞数据库建立模块,基于已知的打印机漏洞库,建立用于安全检测的漏洞数据库;漏洞提取模块,依据待测打印机协议类型,从所述漏洞数据库中检索出相应的漏洞信息并提取攻击向量,形成针对不同协议的原始测试样本集;所述攻击向量为用于触发漏洞的攻击脚本;扩展模块,通过遗传算法对所述攻击向量进行扩展,将针对不同协议的原始测试样本集变为相应的扩展测试样本集;封装模块,对扩展测试样本集中的每个测试样本进行封装生成携带了测试样本的攻击数据包;异常监控模块,利用所述携带了测试样本的攻击数据包对待测打印机进行攻击,并根据待测打印机的响应进行安全检测。本专利技术提供的针对网络打印机协议的安全检测方法及装置,所建立的漏洞数据库中的攻击向量覆盖了打印协议、文件传输协议(FTP协议)、超文本传输协议(HTML协议)、网络管理协议(SNMP协议)等。因此,在对待侧打印机协议进行安全检测时,根据待侧打印机开放的协议类型,发现待侧打印机中可能存在的漏洞。而现有技术PRET只支持打印协议的安全检测,因此与PRET相比,可以支持包括打印协议和网络协议在内的更多类型协议的安全检测。附图说明图1为现有技术PRET的结构示意图。图2为本专利技术实施例一种针对网络打印机协议的安全检测方法流程示意图。图3为本专利技术实施例一种针对网络打印机协议的安全检测装置结构示意图。具体实施方式为使本专利技术的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本专利技术所述方案作进一步地详细说明。本文档来自技高网...
【技术保护点】
1.一种针对网络打印机协议的安全检测方法,其特征在于,该方法包括:/n基于已知的打印机漏洞库,建立用于安全检测的漏洞数据库;/n依据待测打印机协议类型,从所述漏洞数据库中检索出相应的漏洞信息并提取攻击向量,形成针对不同协议的原始测试样本集;所述攻击向量为用于触发漏洞的攻击脚本;/n通过遗传算法对所述攻击向量进行扩展,将针对不同协议的原始测试样本集变为相应的扩展测试样本集;/n对扩展测试样本集中的每个测试样本进行封装生成携带了测试样本的攻击数据包;/n利用所述携带了测试样本的攻击数据包对待测打印机进行攻击,并根据待测打印机的响应进行安全检测。/n
【技术特征摘要】
1.一种针对网络打印机协议的安全检测方法,其特征在于,该方法包括:
基于已知的打印机漏洞库,建立用于安全检测的漏洞数据库;
依据待测打印机协议类型,从所述漏洞数据库中检索出相应的漏洞信息并提取攻击向量,形成针对不同协议的原始测试样本集;所述攻击向量为用于触发漏洞的攻击脚本;
通过遗传算法对所述攻击向量进行扩展,将针对不同协议的原始测试样本集变为相应的扩展测试样本集;
对扩展测试样本集中的每个测试样本进行封装生成携带了测试样本的攻击数据包;
利用所述携带了测试样本的攻击数据包对待测打印机进行攻击,并根据待测打印机的响应进行安全检测。
2.如权利要求1所述的方法,其特征在于,所述基于已知的打印机漏洞库,建立用于安全检测的漏洞数据库,具体包括:
根据打印机品牌型号、打印机协议类型从已知的打印机漏洞库获取漏洞信息;
筛选出包含攻击向量的漏洞信息;
将筛选出的漏洞信息依据打印机品牌型号、打印机协议类型、漏洞类型进行三级划分,存储到漏洞数据库中。
3.如权利要求1所述的方法,其特征在于,通过遗传算法对所述攻击向量进行扩展,将所述不同协议的原始测试样本集变为相应的扩展测试样本集,具体包括:
将原始测试样本集中的每个样本由二进制编码转换成格雷码进行编码;
根据待测打印机协议类型获取相应协议类型的漏洞特征集;根据所述漏洞特征集获取每个样本的适应度;所述漏洞特征集包括多个漏洞类型,每个漏洞类型包含相应的特征字符;
对样本进行选择、交叉和变异形成具有预设样本个数的扩展测试样本集;
对扩展测试样本集中的每个样本进行解码。
4.如权利要求1所述的方法,其特征在于,根据待测打印机的响应进行安全检测,具体包括:
根据待测打印机返回的TCP数据包进行安全检测;或者,
根据待测打印机在连接超时或者连接中断前,返回的数据包进行安全检测;或者,
根据访问待测打印机的打印日志进行安全检测。
5.如权利要求1所述的方法,其特征在于,在根据待测打印机的响应进行安全检测时,该方法进一步包括:将安全检测时异常监控的结果进行复现和分析以确定新发现的漏洞,并将新发现的漏洞更新到漏洞数据库中。
6.一种针对网络打印机协议的安全检测装置,其特征在于,该装...
【专利技术属性】
技术研发人员:严寒冰,高胜,郭晶,温森浩,姚力,朱芸茜,王小群,陈阳,李世淙,徐剑,肖崇蕙,贾子骁,张帅,吕志泉,韩志辉,马莉雅,雷君,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。