（计算机软件与理论专业论文）分布式漏洞评估系统的设计与实现.pdf

捅晏 计算技术的发展给人们生活带来了深远的影响，在生产系统中普遍引入了种类繁多 的计算系统。一方面，计算技术的进步提高了社会生产力，另一方面，计算技术本身的 脆弱性也让生产系统面临威胁。计算系统的漏洞常为攻击者所利用，从而对生产系统造 成一定的影响，而在生产系统中引入漏洞评估系统，可一定程度地缓解这种不利影响， 巩固生产系统的安全性。 漏洞曝露的增长较之补丁发布要快的事实与安全工具生产商的技术力量配置不均衡 的事实都使得安全工具生产商彼此之间需要更宽广范围的合作与理解。而安全工具生产 商之间技术标准的不一致使得彼此之间不能相互理解和消费对方生产的安全数据，使得 漏洞评估日趋复杂，不利于漏洞的快速排除。另外，计算网络在规模、配置、性能上的 差异对漏洞评估也有着不同的需求，而单一结构型漏洞评估技术要么需要较高的计算成 本，要么需要额外的网络资源，对计算网络造成一定影响，不能适应多种计算网络。 基于上述事实的考虑，为了减少计算成本、节省网络开销、缩短漏洞发现到应用补 丁之间的窗口期，经过对漏洞评估相关的理论与技术的研究后，本文设计并且初步实现 了一个分层多服务器型，混合结构型分布式漏洞评估系统。 该系统1 ) 采用多服务器结构以实现客户业务的分流；2 ) 采用分层结构对多服务器 进行统一集中的管理；3 ) 支持多种漏洞评估技术，可根据计算网络运行状况选择合适 的漏洞评估方式：4 ) 采用插件架构以提高系统的扩展性，可通过添加插件的方式对新 漏洞进行评估；5 ) 采用n a s l 脚本等成熟技术以实现基于网络的漏洞评估；6 ) 引入 c p e 、c v e 、o v a l 等国际标准增强安全工具之间的互操作性；7 ) 给出了基于w e b 的 友好的人机交互界面，可方便地浏览发现主机，添加删除评估任务等。 该系统的实现证明该设计方案具备较强的伸缩性，较高的实用价值，有利于消除安 全工具生产商的技术力量配置差异，有利于缩短漏洞发现到应用补丁之间的窗口期，有 利于增强生产系统的安全性。 关键词：漏洞，漏洞评估，开放式漏洞评估语言，公共平台枚举，公共漏洞曝露 d e s i g na n di m p l e m e n t a t i o no fd i s t r i b u t e dv u l n e r a b i l i t y a s s e s s m e n ts y s t e m a b s t r a c t t h ed e v e l o p m e n to fc o m p u t i n gt e c h n o l o g i e sb r o u g h tp e o p l e sl i v e sp r o f o u n di n f l u e n c e s ， v a r i o u sc o m p u t i n gs y s t e m sw e r ei n t r o d u c e di n t op r o d u c t i o ns y s t e m s o nt h eo n eh a n d ， a d v a n c e si nc o m p u t i n gt e c h n o l o g i e si m p r o v e dt h es o c i a lp r o d u c t i v ef o r c e s ；o nt h eo t h e rh a n d ， v u l n e r a b i l i t i e so fc o m p u t i n gt e c h n o l o g i e st h e m s e l v e st h r e a t e n e d p r o d u c t i o ns y s t e m s v u l n e r a b i l i t i e si nc o m p u t i n gs y s t e m sa l eo f t e nu s e db ya t t a c k e r sa n da f f e c tp r o d u c t i o n s y s t e m sc e r t a i l l l y t h ei n t r o d u c t i o no fv u l n e r a b i l i t ya s s e s s m e n ts y s t e mi n t op r o d u c t i o n s y s t e m sc a na l l e v i a t et h ea d v e r s ee f f e c t sa n dc o n s o l i d a t et h es e c u r i t yo f p r o d u c t i o ns y s t e m s t h ef a c tt h a tt h eg r o w t hs p e e do fv u l n e r a b i l i t ye x p o s u r ei sf a s t e rt h a np a t c h i n gp u b l i s h i n g ， a n dt h ei m b a l a n c ei nt e c h n i c a lf o r c ec o n f i g u r a t i o nb e t w e e ns e c u r i t yt o o l sm a n u f a c t u r e r sm a k e t h e mn e e dab r o a d e rr a n g eo fc o o p e r a t i o na n du n d e r s t a n d i n g d i f f e r e n c e sb e t w e e ns t a n d a r d s i nu s em a k em a n u f a c t u r e r sc a nn o tu n d e r s t a n da n dc o n s u m es e c u r i t yd a t ap r o d u c e db yt h e m e a c ho t h e ra n dv u l n e r a b i l i t ya s s e s s m e n tm o r ed i f f i c u l ta n dc o m p l e xt oc l e a n u p i na d d i t i o n , t h ed i f f e r e n c e si ns i z e ，c o n f i g u r a t i o n , p e r f o r m a n c eo f c o m p u t i n gn e t w o r k sm a k et h e mh a v e d i f f e r e n t r e q u i r e m e n t s o n v u l n e r a b i l i t ya s s e s s m e n t ，w h i l eas i n g l es t r u c t u r e - b a s e d v u l n e r a b i l i t ya s s e s s m e n tt e c h n o l o g i e sr e q u i r ee i t h e rh i g h e rc o m p u t i n gc o s to ra d d i t i o n a l n e t w o r kr e s o u r c e s ，p l a c ec e r t a i na f f e c t i o no nc o m p u t i n gn e t w o r k s ，a r en o ta p p l i c a b l et oe v e r y c o m p u t i n gn e t w o r k c o n s i d e r i n gt h ea b o v ef a c t s ，t or e d u c ec o m p u t i n gc o s t ，s a v en e t w o r ke x p e n s ea n ds h o r t e n t h ew i n d o wb e t w e e nv u l n e r a b i l i t ye x p o s u r ea n dp a t c h i n g p u b l i s h i n g ，a f t e rr e s e a r c ho n v u l n e r a b i l i t ya s s e s s m e n tr e l e v a n tr a t i o n a l ea n dt e c h n o l o g i e s ，t h ep a p e rd e s i g n sa n di n i t i a l l y i m p l e m e n t s a nm u l t i - t i e r e ds o lv e r s - b a s e d ，m i x e d - s t r u c t u r a l ，d i s t r i b u t e d v u l n e r a b i l i t y a s s e s s m e n ts y s t e m t h es y s t e m1 ) a r r a n g e sm u l t i p l es e r v e r st oh a n d l ec l i e n t s b u s i n e s s ；2 ) c e n t r a l i z e st h e m a n a g e m e n to fs e r v e r sb yd e m a r c a t i n gs e r v e r si n t om u l t i p l el a y e r s ；3 ) s u p p o n sm u l t i p l e v u l n e r a b i l i t ya s s e s s m e n tm e t h o d sa n dc a ns e l e c ta p p r o p r i a t em e t h o da c c o r d i n gt ot h e p e r f o r m a n c eo ft h ec o m p u t i n gn e t w o r k ；4 ) u s e sp l u g - i na r c h i t e c t u r et oi m p r o v et h e s c a l a b l i l i t yo ft h es y s t e ma n dc a na s s e s s m e n tn e wv u l n e r a b i l i t i e st h r o u g ha d d i n gn e wp l u g i n s ； 5 ) u s e sm a t u r et e c h o n o l o g i e ss u c h a sn a s lt oa r c h i v en e t w o r k - b a s e d v u l n e r a b i l i t y a s s e s s m e n t ；6 ) i n t r o d u c e si n t e r n a t i o n a ls t a n d a r d ss u c ha sc p e ，c v e ，o v a lt os t r e n g t h e nt h e i n t e r o p e r a b i l i t yb e t w e e ns e c u r i t yt o o l s ；7 ) h a saf r i e n d l yw e b b a s e dh u m a n m a c h i n ei n t e r f a c e ， o p e r a t o r sc a nb r o w s e d i s c o v e r yh o s t s ，a d d r e m o v ea s s e s s m e n tt a s k st h r o u g hi t t h ei m p l e m e n t a t i o no ft h e s y s t e mp r o v e st h a t t h e d e s i g n s c h e m ah a ss t r o n g f l e x i b l i f i t y , h i g h l yu t i l i t yv a l u e ，i sh e l p f u lt o e l i m i n a t ed i f f e r e n c e si nt e c h n i c a lf o r c e c o n f i g u r a t i o n b e t w e e n s e c u r i t y t o o l sm a n u f a c t u r e r s ，s h o r t e nt h ew i n d o wb e t w e e n v u l n e r a b i l i t ye x p o s u r ea n dp a t c h i n gp u b l i s h i n ga n ds t r e n t h e nt h es e c u r i t yo fp r o d u c t i o n s y s t e m s k e yw o r d s ：v u l n e r a b i l i t y , v u l n e r a b i l i t ya s s e s s m e n t ，o v a l ，c p e ，c v e 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版。本人允许 论文被查阅和借阅。本人授权西北大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。同时授权中国科学技术信息研究所等机构将本学位论 文收录到中国学位论文全文数据库或其它相关数据库。 墨裹蓑妻嚣萎薹雪一指导教师签名：趣 学位论文作者签名：享! 左群。 指导教师签名：曼主壹型 矿7 年月r7 日酶月尹日年月r7 日臃占月7 日 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，本 论文不包含其他人已经发表或撰写过的研究成果，也不包含为获得西北大 学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对 本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：蝴 m 年6 只7 日 西北大学硕士学位论文 第一章绪论 互联网的迅速发展深远地影响着人们的社会生活，政治生活，经济生活。一方面知 识和科技被传播到世界的每一角落，交流和合作变得更加迅捷和便利，社会生产力得到 解放和发展，给人们生活的各个方面带来了进步；另一方面，个人隐私，商业机 密遭到窃取，重要数据和系统遭到破坏，各种安全风险给人们生活也造成了不便， 系统安全成为一项重大工程。 1 1 研究背景 漏洞与互联网有着紧密的联系，漏洞披露随互联网发展而剧增。根据i s c ( 互联网 系统协会，i n t e m e ts y s t e m sc o n s o r t i u m ) 统计，自a r p a n e t 出现，互联网发展至今， 根据域名搜索统计，互联网接入主机已逾6 0 0 0 0 0 0 0 0 台【l 】，统计结果见图1 。 7 0 0 ，0 0 0 ，0 0 0 6 0 0 ，0 0 0 ，0 0 0 5 0 n 加0 0 0 0 4 0 0 , 0 0 0 0 0 0 3 0 0 , 0 0 0 ，0 0 0 2 0 0 ，0 0 0 ，0 0 0 10 0 ，0 0 0 ，0 0 0 0 in t e r n e td o m a i ns u r v e yho s tc o u n t 可m卜口t - - -nn可( 4 0卜 宅 叩甲 宅t霍宅 甲 宅宅宅 甲甲 宅 甲甲 舌与岳 右 毛舌 暑 言暑刍岳舌萄右舌岳 - 1- 1一111 1 1 s o m c e i n t e m e ts y t t e m zc o n s m t 沁m ( w w w 融m 蚰 图1 互联网主机数目统计 互联网的高速增长说明互联网以及基于互联网的应用正逐渐辐射到人们生活的方方 面面。互联网的开放特性使得跨地域的部门、企业能够以廉价的方式分享数据资源，集 成应用系统。企业、组织逐渐趋向于在生产过程中使用信息系统以提高生产力和节省成 第一章绪论 本，而在互联网高速发展的情形下，主机漏洞的暴露变得容易，诸多不安全的因素不仅 仅影响到生产系统的运行，给企业、组织带来经济上的损失，甚至影响到国家安全。根 据c e r t ( 计算机应急响应组织) 统计【2 1 ，至u 2 0 0 8 年第三个季度为止，目前已发现漏洞总 数累计达4 4 0 7 4 个，年度漏洞数见表1 。多个漏洞智能供应商和分发商则发布了另外的一 些漏洞信息的年度统计，s e c u n i a 在2 0 0 8 年度漏洞报剖3 】中指出，主要的w e b 浏览器中匝 的漏洞有3 1 个，s a f a r i 的漏洞有3 2 个，o p e r a 的漏洞有3 0 个，而f l r e f o x 贝, l j 多达1 1 5 个漏洞； 浏览器插件中o p e r aw i d g e t 未发现漏洞，f i r e f o xe x t e n s i o n 有漏洞1 个，a e t i v e x 型漏洞有3 6 6 个，j a v a 有5 4 个，f l a s h 有1 9 个，q u i e k t i m e 有3 0 个；0 - d a y 漏洞则有1 2 个；而一个漏洞发 现到应用补丁之间的窗口期，时间最长可达2 9 4 天。从这份报告可以看出，浏览器及浏 览器相关漏洞及0 d a y 漏洞成为计算机系统的主要威胁。i b m i s s 在其2 0 0 8 年漏洞报割4 l 中指出，2 0 0 8 年漏洞披露数目首次超过7 0 0 0 ，比2 0 0 7 年增长1 3 5 ；w e b 应用的漏洞占 所有漏洞的5 4 9 ；w i n d o w s 系列操作系统占2 4 7 ，其他占7 3 3 ；另外网络安全的严 峻形势直接导致漏洞经济的产生。 表11 9 9 5 - 2 0 0 8 漏洞数目统计 同时漏洞也带来难以估量的经济损失。2 0 0 3 年8 月1 1 日，“冲击波”( b l a s t e r ) 病毒开 始爆发并且大面积传播，s y m a n t e c 在2 0 0 3 年8 月1 9 日宣称【5 1 ，截止当日受“冲击波”病毒感 染的主机数量超过4 0 4 0 0 0 台，受感染最严重的前四个国家分别为：美国、英国、加拿大 和澳大利亚。该病毒利用系统r p c 接口的缓冲区溢出漏洞进行传播。没有打补丁的电脑 用户都会感染该病毒，造成r p c 服务崩溃，使计算机出现系统重启、无法正常上网等 现象【6 】。 2 0 0 4 年4 月3 0 日，“震荡波”( s a s s e r ) 病毒开始爆发并传播，c n c e r t c c ( 国家计算 2 西北大学硕士学位论文 机网络应急技术处理协调中心，n a t i o n a lc o m p u t e rn e t w o r ke m e r g e n c yr e s p o n s e t e c h n i c a lt e a m c o o r d i n a t i o nc e n t e ro f c h i n a ) 对其进行了持续监测，截至5 月8 日7 ：o o ， 抽样检测到该蠕虫传播次数累计达2 4 7 万多次【7 1 ，赛门铁克公司则发现有1 9 0 ，0 0 0 台计算 机感染ts a s s e r , 及其变种【引。该病毒通过系统的l s a s s ( 本地安全认证子系统) 服务漏 洞进行传播。感染了病毒的计算机会出现系统反复重启、运行缓慢，出现系统异常的出 错框等现象【6 1 。 2 0 0 8 年1 1 月6 日，“扫荡波”病毒开始爆发并传播，金山公司在2 0 0 8 年1 1 月8 日声称，“扫 荡波”令数十万电脑瘫痪【9 1 。该病毒利用系统s e r v e r j 艮务在解析远程路径时的漏洞进行传 播。感染了病毒的电脑会出现s v c h o s t e x c 运行错误、系统崩溃等现象，并会感染该病毒 下载回来的其他木马病毒【6 】。 根据上述统计数据及重大网络安全事件可以看出，漏洞数量多，而且往往为病毒所 利用，一旦开始爆发，传播速度相当快，具备极强破坏力，对社会经济造成一定程度的 破坏。因此及时地发现主机的漏洞并且尽快补救或者修复成了遏制病毒发展的重要一 环，漏洞评估和修复也成为了网络安全研究人员的重要研究课题。 1 2 国内外研究现状 随着漏洞通告的发布节凑加快，大部分网络正面临一场艰难的减少系统漏洞的战 争。在大规模计算网络中通过手工的方式进行漏洞修复是相当低效和无序的，因此，许 多商业的或者开源的自动化漏洞评估工具开始出现并应用到各种网络环境。这些评估工 具，或者说扫描器，无论是在规模，结构，还是在精确度上讲都有着各种差异。 上个世纪9 0 年代，i n t c r n c t 飞速发展，万维网变得流行和普及，随后，c e r t ( 计算 机应急响应团队，c o m p u t e re m e r g e n c yr e s p o n s et e a m s ) 也成立并开始运作。软件生产 商也根据c e r t 和一些安全组织提出的相应规范开始积极杜绝软件生产缺陷。i n t e r n e t 安全实践正处于初级阶段，但是在漏洞评估工具和评估标准上，还是有了很大的发展。 在评估工具上，比较好的扫描器有r e t i n a ，n c t r e c o n ，i s si n t e r a c ts c a n n e r ，c y b e r c o p s c a n n e r ，n c s s u s ，s a t a n 等【l0 1 ，其中i s si n t e r a c ts c a n n e r ，s a t a n 和n c s s u s 最为出名。 1 9 9 2 年，就读于佐治亚理工学院计算机系的c h r i sk l a u s 1 1 】编写了一个叫做互联网安 全扫描器( i n t e r n e ts e c u r i t ys c a n n e r ) 的扫描器，也就是i b m i s s 的前身。该扫描器能 够远程探测u n i x 系统的常见漏洞。i s s ，如果不是第一个，至少也是最早的一个大规模 应用到i n t c r n e t 漏洞评估的工具之一，直到现在仍然保持着旺盛的生命力，多数扫描器 第一章绪论 在原理上也与i s s 并没有什么不同之处。 19 9 5 年，d a nf a r m e r t l 2 1 和w i c t s ev e n e r n a 1 3 1 发布了s a t a n ( s e c u r i t ya d m i n i s t r a t o r t o o lf o ra n a l y z i n gn e t w o r k s ) 。s a t a n 是一个备受争议的基于网络的扫描器，许多安全 管理员和法律工作者都认为s a t a n 的漏洞扫描会为黑客攻击系统提供便利之处。和 v e n e m a 一道，f a r m e r 著述了 f o r e n s i cd i s c o v e r y ) 一书，该书讨论了数字取证的法律 技术。s a t a n 的研究工作最早起始于1 9 8 9 年夏季，f a r m e r 当时师从g e n es p a f f o r d 学 习u n i x 安全，为了从普度大学毕业，他开始c o p s 的开发来识别u n i x 安全问题并于 1 9 8 9 年末发布。v e n e m a 毕业于格罗宁根大学，是p o s t f i x 邮件系统的作者。从功能上讲， s 删和i s s 做的是同样的事情，但是相比较而言，s a t a n 有这么几点优势：更加成 熟的扫描引擎，基于w e b 的人机交互界面，更加宽广范围的检测。 1 9 9 8 年，r e n a u dd e r a i s o n m 】启动了名为 n e s s u s ”的开源项目以提供免费的远程安全 扫描软件。此后，在一些安全组织( 例如，s a n s 研究所) 的资助下成为顶级安全产品。 比之i s s 和s a t a n ，n e s s u s 更为开放，提出了n a s l 脚本语言用以自定义网络交互。 另外，评估结果报表采用纯文本，x m l ，h t m l 以及l a t e x 多种表现形式。 在标准制定工作上，m i t r e 组织先后推出了c v e 、c c e 、c w e 、q 妤e c 、c p e 、 c e e 、c r f 、x c c d f 、o v a l 、s c a p 等一系列标准来命名、评估漏洞。其中c v e 给安 全漏洞提供了统一命名机制，方便各个安全工具厂商命名安全漏洞；c c e 标准化了多 源配置表示以快速纠正配置；c 、砸给出了统一的，可测量的软件弱点的集合，使得安 全工具和服务在讨论、描述以及选择上对弱点有了一致的描述和表达：c a p e c 则给出 了常见攻击模式的枚举和分类的标准化；c p e 标准化了各种软硬件平台和产品的命名； c e e 对计算机事件的日志，交换作了标准化；c r f 标准化了漏洞评估结果和交换的格 式：x c c d f 是用于书写核对表( c h e c k l i s t ) 、基准以及相关文档的规范语言；o v a l 用 于标准化漏洞评估算法的表示，漏洞评估各个阶段产生数据的标准化，以便于安全工具 商交换各个阶段的数据；s c a p 是用于规范漏洞的自动化管理，测量以及策略一致性评 估的协议f 1 5 】。 在国内，漏洞评估的研究工作起步比之国外要稍晚，在应用研究方面取得了一定成 果，但是在基础研究方面和国际水平相比，还是有一段距离。 2 0 0 7 年，上海交通大学的陈秀真、李建华等人在o v a l 的基础上开发了一个漏洞评 估系统【1 6 】。该系统采用c s 模式的体系结构，由分布在各个宿主计算机的检测代理和分 析控制台两个部分构成。系统利用检测代理收集宿主计算机的系统配置信息( 操作系统、 4 西北大学硕士学位论文 服务配置、应用软件等) ，并将收集的信息传送至数据中心，由分析控制台分析数据 中心存放的系统配置信息进而识别系统漏洞。 在漏洞评估指标体系研究方面，2 0 0 8 年，国家信息中心的吕欣则提出了基于“基线” 的信息安全度量模型【1 7 l ，对信息系统安全度量的理论和方法进行了系统的研究和探索。 近年来，可视化漏洞评估和预测得到发展，利用漏洞之间的关系来构造攻击图【1 8 】以 模拟产生攻击路径，为系统的安全管理提供更为友好的人机交互界面。信息融合，模糊 推理，粗糙集等技术也被引入到漏洞评估当中【1 9 2 0 】。此外，在国内，也出现了多个漏洞 评估工具的商业产品：奇虎公司推出的3 6 0 安全卫士，腾讯公司推出的系统漏洞检测工 具，金山公司推出的金山清理专家，瑞星公司推出的系统漏洞修复工具等。 从现有漏洞评估工具来看，多数评估工具在原理上并没有本质上的区别，都是对网 络进行渗透测试来进行评估的。这种渗透测试一方面增加了网络的流量，降低了网络的 反应速度；另一方面也容易被攻击程序利用来迅速定位漏洞。进行渗透测试【2 l 】的好处是 目标主机不需要额外的计算开销，另外，还有部分评估工具则是在目标主机一端进行漏 洞评估，进行静态检测，需要占用目标主机一定计算开销。虽然漏洞评估过程中涉及到 的软硬件平台，产品的规范命名，系统配置的规范表示，漏洞的标准命名，漏洞评估中 间过程数据的标准化等标准化工作已经日趋完善，但是因为历史原因，多数评估工具在 其漏洞库的表示上不一致，各自生产的数据不能为其他工具所消费。为了减少计算成本， 节省网络开销，支持多模式漏洞库，本文通过对多种工具用到的漏洞库结构，c v e 规 范，o v a l 规范进行深入研究，设计并且初步实现了一个分布式漏洞评估系统。 1 3 本文结构 第一章对互联网发展，漏洞披露数量增长趋势，漏洞评估技术以及理论的发展进 行了分析，对国内外主流的漏洞评估工具的特点进行了分析和论述，对漏洞评估体系所 涉及到的各项标准也做了相应的论述，提出了基于o v a l 的分布式漏洞修复系统及其 设计目标。 第二章对漏洞的基本概念，分类，常见攻击手段进行了分析研究。对内存安全违 例、输入验证错误、竞争条件漏洞、权限提升等漏洞以及常见攻击模式进行了论述。 第三章对漏洞评估技术进行了分析研究。对生产期漏洞评估技术，运行期漏洞评 估技术作了论述，对基于主机的漏洞评估技术和基于网络的漏洞评估技术作了对比分 析。 。一- 5 第一章绪论 第四章和第五章提出了分布式漏洞评估系统的设计与实现。详细论述了分布式漏 洞评估系统的模块构成，论述了分布式漏洞评估系统各个模块的算法及实现。 6 西北大学硕士学位论文 2 1 漏洞的基本概念 第二章漏洞及攻击模式研究 在计算机安全中，漏洞是可被攻击者利用以破坏系统可用性、完整性、一致性、机 密性的系统弱点【2 2 1 。而n i s t ( m 家标准与技术研究所，n a t i o n a li n s t i t u t eo f s t a n d a r d sa n d t e c h n o l o g y ) 贝1 给出了如下定义：漏洞是导致系统安全性变弱的软件缺陷或者配置不当 2 3 1 o 此外，还有一些其它的漏洞定义，现摘录部分如下： 定义1 a w e a k n e s si nas y s t e mt h a tc a nb ee x p l o i t e dt ov i o l a t et h es y s t e m si n t e n d e d b e h a v i o r t h e r em a yb es e c u r i t y , i n t e g r i t y , a v a i l a b i l i t y , a n do t h e rv u l n e r a b i l i t i e s 【2 4 1 定义2 a n i n t e r n a lf a u l tt h a te n a b l e sa l le x t e m a lf a u l tt oh a r mt h es y s t e m 2 5 】 定义3 a f l a wo rd e f e c ti nat e c h n o l o g yo ri t sd e p l o y m e n tt h a tp r o d u c e sa ne x p l o i t a b l e w e a k n e s si nas y s t e m ，r e s u l t i n gi nb e h a v i o rt h a th a ss e c u r i t yo rs u r v i v a b i l i t yi m p l i c a t i o n s 1 2 6 1 定义1 从系统行为变更上看，认为漏洞是导致系统产生违背预设行为的弱点；定义2 则从系统出错上看，认为漏洞是导致伤害系统的外部错误产生的内部错误；定义3 则从 系统的部署或者缺陷上看，认为漏洞是技术缺陷或者部署不当导致系统产生的安全状态 变迁。 2 2 漏洞分类 常见的漏洞可分为以下几个类别： 1 ) 内存安全违例 内存安全违例包括缓冲区溢出【2 7 1 和悬挂指针网( d a n g l i n gp o i n t e r s ) 等，缓冲区溢 出是进程对缓冲区进行跨越边界的写访问，结果导致额外的数据覆盖了邻近的内存位 置，而被覆盖的数据可能包含其他缓冲区，变量，程序流数据，因此，可能导致异常的 程序行为发生，如内存访问异常，程序终止，不正确的程序结果输出等。图2 给出了一 个缓冲区溢出的例子。 变量a 为5 字节长字节数组，b 为3 2 位整数，在对a 的写操作之前有a 岁”， b - n ) x 1 2 3 4 ，在w r i t e ( a , ”o v e r f l o w ) 之后，a - - - ”o v e r t ，b = l o w o ”。那么所有依赖于b 的计 、算过程产生的结果当然是不可以信任的。 7 第二章漏洞及攻击模式研究 图2 缓冲区溢出示例 悬挂指针，又被称为野指针，是指向一个不再有效的对象的指针。也就是说一个对 象释放以后，仍然有一个指针指向它。图3 所示代码给出了一个直接的例子。 图3 悬挂指针示例 变量i 在块的结束时被销毁后，p i 仍然指向其地址，显然后续任何依赖于p i 的计算 所产生的结果也是不可以信任的。 缓冲区溢出，或者悬挂指针不仅仅是影响计算结果，严重的情况下，如果覆盖的内 容是指令流，甚至是蓄意构造的攻击指令序列，可能会导致系统崩溃，这种情况，在第 一章的几次大的互联网安全事故中都得到反映。 2 ) 输入验证错误 输入验证错误包括格式化字符串缺陷，s q l 注入，编码注入，目录遍历等。 格式化字符串缺吲2 9 1 是在1 9 9 9 年左右发现的一种软件漏洞。格式化字符串攻击源 于某些c 语言函数格式化字符串时对于用户输入的字符串没有经过过滤形成的。以 p r i n t f o 函数为例，恶意的用户可能传递s 或者x 来倾印从栈或者内存其他位置开始的 内存数据。 s q l 注入【3 0 】产生于应用程序的数据库一层，若用户的输入没有经过正确地过滤或者 包含了s q l 的某些关键字，s q l 注入漏洞则会产生。图4 给出了一个s q l 注入攻击的 例子。+ 西北大学硕士学位论文 1 ) s t a t e m e n t ”s e l e c t f r o mu s e r sw h e r en 锄e = ”+ u s e r + ；” 2 ) u s e r ”a i o r 、= t 3 ) s t a t e m e m6 - ”s e l e c t 掌f r o mu s e r sw h e r en a m e = 。a vo r 忙t t ；” 图4s q l 注入攻击不例 因为u s e r 作为输入没有进行过滤，这个时候查询的条件为永真，给任何人创造了查 询u s e r s 表的机会。 编码注入【3 1 1 是攻击者给程序的执行插入编码以改变程序的执行造成的漏洞，在程序 中如果对用户的输入没有正确转义或者过滤，就极可能造成编码注入漏洞。例如向提交 文章页面 p o s t _ a t i c l e a s p ”输入“m e s s a g e ”是合法的，然而，恶意用户可能会输入 m e s s a g e d o c u m e n t 1 0 c a t i o n = h t t p ：s o m e a t t a c k e r c o o k i e c g i ? + d o c u m e n t c o o k i e ； ”。 这样，下次在浏览该文章时就会由浏览器执行嵌入在消息里头的脚本，把用户的c o o k i e 信息发送到攻击者的一个页面，用户的隐私全部暴露给攻击者。 目录遍历【3 2 】是指对文件系统路径未加过滤而导致文件的非授权访问。例如w e b 服务 器对在处理图5 这样一个请求时，若对所请求资源的路径不加过滤，那么整个主机的用 户数据库文件 e t c p a s s w d ”将被窃取，当然，访问 e t c p a s s w d ”所需“广i 拘数目可经反复 探测得到。 图5 目录遍历攻击不例 3 ) 竞争条件漏洞 竞争条件漏洞是攻击者通过构造竞争条件而产生的漏洞。比较出名的有t o c t r o u ( t i m e o f - c h e c k t o - t i m e o f - u s eb u g ) 漏洞和符号链接竞争漏洞。 t o c t i o u 3 3 1 是在对条件进行测试到测试结果被使用这个间歇时间内，条件发生改 变造成的。图6 给出了一个t o c t t o u 漏洞的例子。 图6t o c t t o u 漏洞示例 因为a c c e s s 0 调用和o p e n o 调用都是通过文件名来操作文件，而非文件句柄，而 一a c c e s s o 调用与o p e n o 调用之间总是存在一些延迟的，那么在这个延迟时间内，原来的一 9 第二章漏洞及攻击模式研究 个可读文件已经被刻意替换成一个不可读的文件，这样就造成了应用程序的异常。 符号链接竞争漏洞【蚓是程序以不安全的方式创建文件造成的。恶意用户可以在程序 创建一个文件之前先创建与程序要创建的文件名相同的符号链接，该符号链接链接至除 他( 她) 之外别的人都不可以访问的文件。 4 ) 权限混乱( p r i v i l e g e c o n f u s i o n ) 漏洞 典型的权限混乱的攻击有f t p 反弹攻击【3 5 】等。f t p 反弹攻击是利用了f t p 协议的 p o r t 命令来让第三方的f t p 服务器对目标主机进行端口扫描。f t p 服务器接收到p o r t 命令以后，会解析其中的主机地址和端口，然后建立一个t c p 连接至目标主机。 5 ) 权限提升( p r i v i l e g e e s c a l a t i o n ) 漏洞 权限提升漏洞f 3 6 1 是一种可以让用户获得更多权限的软件缺陷，可以分为水平权限提 升漏洞和垂直权限提升漏洞。水平权限提升漏洞是信息系统中用户取得与之同一个权限 阶层的用户的权限，垂直权限提升是指信息系统中较低阶用户取得较高阶用户的权限。 除了上述漏洞类别之外，m i t r e 组织对漏洞进行了更加细致的分类，制定了c w e ( c o m m o nw e a k n e s se n u m e r a t i o n ) 标准。c w e 字典吲目前已开发至1 3 版，包含了7 6 2 条c w e 定义，上面所述的缓冲区溢出，悬挂指针，格式化字符串缺陷，s q l 注入，编 码注入，目录遍历，t o c t t o u 漏洞，符号链接竞争漏洞，f t p 反弹攻击等都在该字典 中有与之对应的c w e 条目。 2 3 常见攻击模式 攻击模式是对一次攻击执行过程的抽象。c a p e c ( c o m m o na t t a c kp a t t e m e n u m e r a t i o na n dc l a s s i f i c a t i o n ) 是m i t r e 组织开发的一个攻击分类的标准，对常见攻 击模式进行了分类和整理。攻击模式在大类别上可以分为功能滥用( a b u s eo f f u n c t i o n a l i t y ) ，欺骗( s p o o f i n g ) ，概率技术( p r o b a b i l i s t i et e c h n i q u e s ) ，认证利用( e x p l o i t a t i o n o fa u t h e n t i c a t i o n ) ，资源挖掘( r e s o u r c ed e p l e t i o n ) ，权限信任利用( e x p l o i t a t i o no f p r i v i l e g e t r u s t ) ，注入( 在数据平面里嵌入控制平面内容) ，数据结构攻击( d a t as t r u c t u r e a t t a c k s ) ，数据泄露攻击( d a t al e a k a g ea t t a c k s ) ，资源操纵( r e s o u r c em a n i p u l a t i o n ) ， 时间和状态攻击( t u n ea n ds t a t ea t t a c k s ) 1 3 8 】： 1 ) 功能滥用模式 功能滥用的主要思想是通过对公开的或者未公开的系统功能进行挖掘和利用，比如 a p i 的滥用误用，功能误用，蛮力浏览，目录遍历，w s d l 扫描，向函数传递本地文“ l o 西北大学硕士学位论文 件名而该函数期待的参数为u r l ，通过出错报告来探测应用，通信信道滥用等。以w s d l 扫描为例，攻击者首先定位一个可用w e b 服务的w s d l 接口，从该w s d l 接口分析出 激活模式、底层技术以及相关漏洞等敏感信息。这种探测可以用来执行参数修改、恶意 内容注入、命令注入等严重的攻击。w s d l 文件为消费者提供7 h e 务的端口和绑定等细 节信息。攻击者可提交特殊字符或者恶意内容给w e b 服务以造成拒绝服务攻击( d o s ) 或者数据库的非法访问，此外，攻击者还可以根据w s d l 接口信息来猜测其中的私有 方法。 2 ) 欺骗模式 欺骗模式包括内容欺骗、身份欺骗以及动作欺骗。以身份欺骗为例，著名的身份欺 骗有中间人攻击。中间人攻击以目标系统两个组件间通信( 通常是服务器和客户机) 为 目标。攻击者置身于两个组件之间的通信信道，当通信的一方向另一方发送数据时，数 据在到达目的之前，先