（计算机应用技术专业论文）基于cve知识库的主机入侵防御系统.pdf

哈尔滨理t 大学工学硕上学位论文 基于c v e 知识库的主机入侵防御系统 摘要 由于互联网络的发展，整个世界正在迅速地融为一体。计算机网络在经 济和生活的各个领域正在迅速普及，整个社会对网络的依赖程度越来越大。 伴随着网络的发展，也产生了各种各样的问题，其中安全问题尤为突出。了 解网络面临的各种威胁，防范和消除这些威胁，实现真正的网络安全已经成 了网络发展中最重要的事情。面对如此严峻的网络安全形势，目前网络安全 研究人员所提供的主流网络安全技术主要有防火墙、入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，i d s ) 、虚拟专用网络( v i r t u a lp r i v a t en e t w o r k ，v p n ) 、陷阱 主机( 蜜罐) 技术等。这些措施能够部分完成防御入侵的功能，但是也存在很 多缺陷和不足。因此，入侵防御( i n t r u s i o np r e v e n t i o n ) 技术成了近些年安全技 术领域新的研究热点。 本课题在仔细研究目前多种入侵防御系统的基础上，将公共弱点，风险 ( c o m m o nv u l n e r a b i l i t i e sa n de x p o s u r e s ，c v e ) 矢1 1 识库应用到课题研究中，设 计基于c v e 知识库的主机入侵防御系统。本课题整理完善国内汉化的c v e 字 典，通过建立完善的c v e 知识库，开发基于c v e 知识库的主机入侵防御系 统。它除了可以帮助用户在各种独立的漏洞数据库中和漏洞评估工具中共享 数据外；还可以从网络和主机系统关键资源两个方面对操作系统实施增强的 访问控制，最大限度地保证系统安全。 本文给出了该系统的框架；针对w i n d o w s 系统给出了一些关键的实现技 术，如驱动程序技术、数据包捕获技术、协议分析和模式匹配技术、系统调 用截获和控制技术等；并对此进行了深入的研究。该系统改善了网络主机的 安全性问题，更具实用性，更加满足用户的需求。 关键词公共弱点，风险：主机入侵防御；网络访问控制；系统访问控制 h o s ti n t r u s i o np r e v e n t i o ns y s t e mb a s e do nc v e k n o w l e d g eb a s e a b s t r a c t o w i n gt ot h ed e v e l o p m e n to fi n t e r n e t ，t h ew h o l ew o r l dq u i c k l yb e c o m e sa n i n t e g r a lo n e i n t e r n e ti sm o r ea n dm o r ep o p u l a ra n dc o m m o ni ne v e r yd o m a i no f e c o n o m ya n dl i f e n o wt h ew h o l es o c i e t yr e l i e sal o to nt h en e t w o r k a st h e d e v e l o p m e n to ft h en e t w o r k ，m a n yp r o b l e m sa r i s e ，e s p e c i a l l y , s e c u r i t yp r o b l e m i t i st h em o s ti m p o r t a n tt h i n gt ou n d e r s t a n dm a n yt h r e a t st h en e t w o r kf a c i n g ， p r e v e n ta n de l i m i n a t et h o s et h r e a t s ，r e a l i z et h er e a ls a f en e t w o r k i nt h ef a c eo f s u c har i g o r o u ss i t u a t i o n ，n e t w o r ks a f e t yr e s e a r c h e r sh a v e d e v e l o p e ds e v e r a l m a j o rn e t w o r ks e c u r i t yt e c h n i q u e s s u c ha sf i r ew a l la n dt h ei n t r u s i o nd e t e c t i o n s y s t e m ( i d s ) ，v i r t u a lp r i v a t en e t w o r k ( v p n ) ，t r a ph o s t ( h o n e yp o ot e c h n i q u e t h e s em e a s u r e sc a np a r t l yc o m p l e t et h ef u n c t i o no f p r e v e n t i n gi n t r u s i o n ，b u ta l s o h a v es o m el i m i t a t i o n sa n ds h o r t a g e s t h e r e f o r ei n t r u s i o np r e v e n t i o nt e c h n o l o g y b e c o m e san e wr e s e a r c ha r e ao ft h es e c u r i t yt e c h n o l o g yi nr e c e n ty e a r s b a s i n go nt h er e s e a r c ho fc u r r e n tv a r i o u si n t r u s i o np r e v e n t i o ns y s t e m s t h i s p a p e ra p p l i e sc v e ( c o m m o nv u l n e r a b i l i t i e sa n de x p o s u r e ) k n o w l e d g eb a s et o t h i s s u b je c t ，a n dd e s i g n sa ni n t r u s i o np r e v e n t i o ns y s t e mb a s e do nt h ec v e k n o w l e d g eb a s e t h i sr e s e a r c hs o r t so u ta n dp e r f e c t sc h i n e s i z i n gc v ed i c t i o n a r y , e s t a b l i s h e sap e r f e c tc v e k n o w l e d g eb a s e ，a n dd e v e l o p sa ni n t r u s i o np r e v e n t i o n s y s t e mb a s e do nt h i sc v ek n o w l e d g eb a s e b e s i d e sh e l p i n gu s e r st os h a r ed a t ai n v a r i o u si n d e p e n d e n tv u l n e r a b i l i t yd a t a b a s ea n dv u l n e r a b i l i t ye v a l u a t i o nt 0 0 1 i t c a na l s oc a r r yo u tt h ee n h a n c e da c c e s sc o n t r o lt oo p e r a t i n gs y s t e mf r o mn e t w o r k a n dk e yr e s o u r c eo fh o s ts y s t e m ，m a x i m a l l yi n s u r et h es a f e t yo ft h es y s t e m t h i sp a p e rp r e s e n t saf r a m e w o r ko ft h e s y s t e m i tr e a l i z e ss o m ek e y t e c h n o l o g i e sf o rt h ew i n d o w so p e r a t i o ns y s t e m ，s u c ha sd r i v e rt e c h n o l o g y , d a t a p a c k e t sc a p t u r et e c h n o l o g y ，p r o t o c o la n a l y s i sa n dp a t t e r nm a t c h i n gt e c h n o l o g y ， s y s t e mc a l li n t e r c e p t i o na n dc o n t r o lt e c h n o l o g y t h o s et e c h n o l o g i e sa r es t u d i e d 哈尔滨理t 大学t 学硕f ：学位论文 d e e p l y t h i ss y s t e mi m p r o v e st h es e c u r i t yp r o b l e mo fn e t w o r kh o s t ，i ti s m o r e p r a c t i c a l ，a n dc a nm e e tm o r ec u s t o m e r s n e e d k e y w o r d s c o m m o nv u l n e r a b i l i t i e sa n de x p o s u r e ，h o s ti n t r u s i o np r e v e n t i o n s y s t e m ，n e t w o r ka c c e s sc o n t r o l ，s y s t e ma c c e s sc o n t r o l 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文基于c v e 知识库的主机 入侵防御系统，是本人在导师指导下，在哈尔滨理工大学攻读硕士学位期 间独立进行研究工作所取得的成果。据本人所知，论文中除已注明部分外不 包含他人已发表或撰写过的研究成果。对本文研究工作做出贡献的个人和集 体，均已在文中以明确方式注明。本声明的法律结果将完全由本人承担。 作者签名：翩渐 同期：m 年弓月g - 日 哈尔滨理工大学硕士学位论文使用授权书 基于c v e 知识库的主机入侵防御系统系本人在哈尔滨理工大学攻 读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈 尔滨理工大学所有，本论文的研究内容不得以其它单位的名义发表。本人完 全了解哈尔滨理工大学关于保存、使用学位论文的规定，同意学校保留并向 有关部门提交论文和电子版本，允许论文被查阅和借阅。本人授权哈尔滨理 工大学可以采用影印、缩印或其他复制手段保存论文，可以公布论文的全部 或部分内容。 本学位论文属于 保密u ，在年解密后适用授权书。 不保密划。 ( 请在以上相应方框内打) 作者签名：顷谴新 新躲翮习 日期：，o 年多月，j 日 日期：一1 年月f 堂日 哈尔滨理t 人学t 学硕十：学位论文 第1 章绪论 由于互联网络的发展，整个世界经济正在迅速地融为一体，而整个国家犹 如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计算机 网络在经济和生活的各个领域正在迅速普及，整个社会对网络的依赖程度越来 越大。众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连 接到i n t e r n e t 上，以充分共享、利用网络的信息和资源。网络已经成为社会和 经济发展的强大动力，其地位也越来越重要。伴随着网络的发展，也产生了各 种各样的问题，其中安全问题尤为突出。了解网络面临的各种威胁，防范和消 除这些威胁，实现真正的网络安全已经成了网络发展中最重要的事情。 面对如此严峻的网络安全形势，目前网络安全研究人员所提供的主流网络 安全技术主要有防火墙、入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 、虚拟 专用网络、陷阱主机( 蜜罐) 技术等【2 1 。其中，通过入侵检测系统联动基于边界 网关防火墙来实施安全防护是目前内部网络( i n t r a n e t ) 的主要的安全解决方案。 这种措施能够部分完成入侵防御系统的功能，但是也存在很多缺陷和不足。比 如，防火墙无法区分识别善意和恶意的行为；无法监控由内部网络用户发动的 网络攻击；入侵检测系统会产生误报和漏报，且只能检测网络攻击而不能进行 直接防御；不同的防火墙产品和入侵检测产品的互动并没有一个被广泛认可的 通用标准。信息安全产品的发展趋势是不断地走向融合，走向集中管理。人们 自然想到要把这两种安全技术的优点完全融合到一起，一种既能够实时检测入 侵又可以在灾害发生之前正确阻止攻击的技术，入侵防御技术成了近些年安全 技术领域新的研究热点伯1 。 1 1 课题的背景及研究意义 随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面企业网 络感染病毒、遭受攻击的速度日益加快，另一方面企业网络受到攻击做出响应 的时间却越来越滞后。解决这一矛盾，传统的防火墙或入侵检测技术显得力不 从心，这就需要引入一种全新的技术，入侵防御系统( i n t r u s i o np r e v e n t i o n s y s t e m ，i p s ) 。 n e t w o r ki c e 公司在2 0 0 0 年首次提出了i p s 这个概念，并于同年的9 月 1 8 日推出了b l a c k i c eg u a r d ，这是一个串行部署的i d s ，直接分析网络数据并 哈尔滨理t 大学丁学硕i j 学位论文 实时对恶意数据进行丢弃处理。2 0 0 2 年i p s 概念传入国内，这个新型的产品形 态就不断地在挑战中前进。 1 1 1 引入i p s 的原因 2 1 世纪是信息化、网络化的世纪，信息是社会发展的重要资源。各国的政 府机关、军事部门、教育机构都在积极构建自己的内部网络，并接入因特网。 目前，信息系统正朝着开放化、综合化的方向发展，其结果是一方面极大地满 足了人们对信息的需求，另一方面也不可避免地出现了种种安全威胁。尤其是 近几年来，随着计算机技术和网络技术的飞速发展和普及，入侵的方法与手段 也日趋先进和复杂，使得网络系统的安全问题变得日益突出( 见图1 - 1 ) 。政 府、军事、金融、媒体等各种网站都在不同程度上面临着入侵与破坏的巨大威 胁，因此，如何确保网络系统免遭破坏、保证信息系统的安全，就成了我们面 临的重要课题。 入侵者 攻击 1 9 8 01 9 8 5 1 9 9 01 9 9 52 0 0 0 2 0 0 5 图1 - 1 攻击复杂度和入侵的技术知识示意图 f i g 1 1a t t a c kc o m p l e x i t ya n db a s i ck n o w l e d g eo fi n t r u s i o n 目前，网络安全市场最理想的安全方案是联合部署防火墙和入侵检测系 统：防火墙用于静态防御，i d s 用于检测突破防火墙的入侵。虽然这种理想方 案在很大程度上提高了网络的安全性，但是这些产品大多是基于被动防御，其 缺点也很突出。防火墙只实现了粗粒度的访问控制，且对于内部的非法网络行 为无能为力；i d s 只能检测已知的攻击，不能检测未知的“瞬时攻击 ( z e r o 哈尔滨理t 大学t 学硕i 卜学位论文 d a ya t t a c k ) ，而且不能阻止任何非法行为h 3 。另外，病毒防范系统一般是以对 系统的危害已经发生为前提的；基于主机的漏洞扫描只是定期执行，以便发现 新出现的系统漏洞，可以作为安全防护的辅助手段，而无法实时的保护主机安 全；操作系统本身固有的安全特性虽然提供了一些安全措施，但是其功能非常 有限，并且经常存在各种漏洞，这使得只有经验丰富的系统管理员才能保证操 作系统的安全。随着网络入侵手段和攻击方式的不断提高，这些被动式的防御 手段在“兵来将挡，水来土掩 的策略下是不可能得到有效防范的。因此，要 维护网络和系统的安全必须采取“主动防御”，即不管攻击者采用什么样的攻 击方法，我们的防范方式总是能够主动识别攻击者的企图，对于不合适的访问 予以拒绝。 g a r t n e r 在2 0 0 4 年8 月的一份研究报告中认为，如今的入侵检测系统已经 难以适应客户的需要。i d s 不能提供附加层面的安全，相反增加了企业安全操 作的复杂性。入侵检测系统朝入侵防御系统方向发展已成必然隋1 。实际上，可 将i d s 与i p s 视为两类功能互斥的分离技术：i p s 注重接入控制，而i d s 则进 行网络监控；i p s 基于策略实现，i d s 则只能进行审核跟踪；i d s 的职责不是 保证网络安全，而是告知网络安全程度如何。 i p s 不仅仅是i d s 的演化，它具备一定程度的智能处理功能，能实时阻截 攻击。传统的i d s 只能被动监视通信，这是通过跟踪交换机端口的信息包来实 现的；而i p s 则能实现在线监控，主动阻截和转发信息包。通过在线配置， i p s 能基于策略设置舍弃信息包或中止连接；传统的i d s 响应机制有限，如重 设t c p 连接或请求变更防火墙规则都存在诸多不足。 1 1 2i p s 的分类 入侵防御系统( i p s ) 是一种全新的安全技术。i p s 采用主动的防御措施，不 仅提供即时入侵监测，更重要的是提供即时入侵防御，而且能够阻止攻击，以 避免对系统造成任何伤害。i p s 不仅监视网络流量，而且通过中断确认的恶意 通信，终止可疑的会话，或者采取其它行动响应攻击和入侵来积极地干预网络 通信。i p s 主要由检测和防御两大系统组成。检测和实时防御，是i p s 最重要 的性能特征。理想的i p s ，应具备从网络到主机的防御措施及预设定的响应措 施。i p s 可以分为网络型入侵防御系统( n e t w o r ki n t r u s i o np r e v e n t i o ns y s t e m ， n i p s ) 和主机型入侵防御系统( h o s ti n t r u s i o np r e v e n t i o ns y s t e m ，h i p s ) 。 n i p s 直接从网络中采集原始的数据包；h i p s 则从主机j j l 务器上采集数据，包括操 哈尔滨理丁人学t 学硕 ：学位论文 作系统日志、系统进程、文件访问和注册表访问等信息。n i p s 的检测引擎称 为网络引擎，h i p s 的检测引擎称为主机代理。n i p s 的网络引擎放置在需要保 护的网段的临界区，可以保护整个网段；h i p s 的主机代理安装在所保护的主 机服务器上，不同的操作系统平台需要不同的主机代理。下面简单介绍一下 两种入侵防御系统。 1 基于主机的入侵防御系统h i p s 通过在主机服务器上安装软件代理程 序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护 服务器的安全弱点不被不法分子所利用。基于主机的入侵防护技术可以根据自 定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。 h i p s 可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从 操作系统夺取控制权的入侵行为，整体提升主机的安全水平。 在技术上，h i p s 采用独特的服务器保护途径，利用由包过滤、状态包检 测和实时入侵检测组成分层防护体系。这种体系能够在提供合理吞吐率的前提 下，最大限度地保护服务器的敏感内容，既可以以软件形式嵌入到应用程序对 操作系统的调用当中，通过拦截针对操作系统的可疑调用，提供对主机的安全 防护；也可以以更改操作系统内核程序的方式，提供比操作系统更加严谨的安 全控制机制。 由于h i p s 工作在受保护的主机服务器上，它不但能够利用特征和行为规 则检测，阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知攻击，防止针 对w e b 页面、应用和资源的未授权的任何非法访问。h i p s 与具体的主机服务 器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。 2 基于网络的入侵防御系统n i p s 通过检测流经的网络流量，提供对网络 系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，n i p s 就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，n i p s 需要具备很高的性能，以免成为网络的瓶颈，因此n i p s 通常被设计成类似于 交换机的网络设备，提供线速吞吐速率以及多个网络端口。 在技术上，n i p s 吸取了目前n i d s 所有的成熟技术，包括特征匹配、协议 分析和异常检测。特征匹配是最广泛应用的技术，具有准确率高、速度快的特 点。基于状态的特征匹配不但检测攻击行为的特征，还要检查当前网络的会话 状态，避免受到欺骗攻击。 协议分析是一种较新的入侵检测技术，它充分利用网络协议的高度有序 性，并结合高速数据包捕捉和协议分析，来快速检测某种攻击特征。协议分析 正在逐渐进入成熟应用阶段。协议分析能够理解不同协议的工作原理，以此分 哈尔滨理工大学_ 丁学硕l 二学位论文 析这些协议的数据包，来寻找可疑或不正常的访问行为。协议分析不仅仅基于 协议标准，还基于协议的具体实现，这是因为很多协议的实现偏离了协议标 准。通过协议分析，i p s 能够针对插入( i n s e r t i o n ) 与规避( e v a s i o n ) 攻击进行检 测。异常检测的误报率比较高，n i p s 不将其作为主要技术。 1 1 3i p s 的研究现状和发展趋势 由于被动式安全防护系统的局限性，主动防御的思想被推到了前台。目 前，国内外的信息安全专家、学者以及安全厂商都认识到了采取主动防御的重 要性，都在积极地进行主动防御方面的研究和探讨，提出了许多实施主动防御 的创新思想和策略，并开发出了相应的主动防御产品。 就国外来说，目前，越来越多的网络安全公司正在从被动的i d s 技术转移 到采取主动防御的i p s 技术。市场上既有独立的i p s 设备，如i s s 的p r o v e n t a 系列、m c a f e e 的i n t r u s h i e l d 系列、j u n i p e r 的i d p 系列，也有安全厂商将入侵 防御功能集成到安全设备当中，如赛门铁克、w a t c h g u a r d 、s o n i c w a l l 等都将 入侵防御作为一个功能模块集成到自己的安全网关设备当中。 在国内，i p s 曾多次在相关媒体上报道，安全厂商和安全人士对i p s 也十 分关注，一些防火墙厂商集成了防范部分攻击的功能。如天融信的防火墙 4 0 0 0 o f 内置有i p s 功能，联想网御系列防火墙可以检测出1 0 0 0 余种攻击行 为；绿盟科技的抗拒绝服务攻击产品“黑洞 采用高效防护算法和嵌入式体系 结构，能给用户提供一体化的抗拒绝服务攻击解决方案；启明星辰公司的安星 个人主机防护系统是专门用于个人主机防范入侵或误操作的安全保护系统，可 对w i n d o w s 环境下的个人主机资源进行实时监测和有效防护，它以系统默认 策略和用户自定义策略为保护依据，从文件、注册表、网络通信以及拨号网络 四个方面进行安全控制。与国外轰轰烈烈的场面相比，国内的入侵防御技术发 展比较缓慢，产品也很少，在技术上还有很大的差距。 入侵防御系统不但能检测入侵的发生，而且还能够通过一定形式的响应方 式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻 击。它是一种智能化的安全产品。 i p s 也依照p 2 d r 安全模型进行设计，是一种智能的、灵活的入侵防范系 统。当精确地发现了黑客攻击后，它会主动采取多种措施阻止攻击的发生，完 全不用网络管理员的介入。我们可以看到，用多个产品实现p 2 d r ，防护、检 测、响应三个阶段都是孤立的、片面的，需要网络管理员的介入来使三个阶段 哈尔滨理工大学丁学硕十学位论文 运行正常，而使用i p s 产品实现p 2 d r ，三个阶段则是统一的、全面的、流畅 的，几乎不需要网络管理员的介入。总之，i p s 是以主动防御作为其特色的， 也是其未来发展的主要趋势阳1 。这也是本课题研究i p s 的主要原因。 目前市场上的入侵防御产品还有许多不足之处。基于网络的i p s 可能影响 网络性能和可靠性；检测效果也有待提高，需要将漏报和误报降低到尽可能低 的程度；报警处理机制、集中管理和配置、规则定义、部署、特征库优化等方 面还要做大量的工作。基于主机的i p s 防护手段还比较单一、性能和效果还有 待提高，在灵活性和易用性方面也需要不断完善。 1 2c v e 及c v e 知识库概述 1 2 1c v e 简介 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从 而可以使攻击者能够在未授权的情况下访问或破坏系统。随着i n t e m e t 的发 展，利用漏洞攻击网络的事件层出不穷，影响到很大范围的软硬件设备，包括 操作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火 墙等，严重威胁着网络信息安全h 1 。 国外一直在进行对漏洞的相关研究，漏洞的理论、漏洞的分类、漏洞数据 库、通用漏洞检测、漏洞修补等都是研究侧重点。在漏洞库的研究领域比较有 代表性的要属m i t r e 公司的c v e ( c o m m o nv u l n e r a b i l i t i e sa n de x p o s u r e s ，公共弱 点风险) y w j 表。c v e 是个行业标准，为每个弱点风险确定了惟一的名称和标 准化的描述，可以成为评价相应入侵检测和弱点风险扫描等工具产品和数据 库的基准。c v e 的出现，对于安全性产品开发商规范自己的产品来说是个好消 息，而且随着大家对c v e 的认识增强，与c v e 兼容的产品在市场上也将获得 竞争优势。用户和网络安全管理员可以通过采用“c v e 兼容”的产品或者要求 你的安全产品厂商达到c v e 兼容的水平，以保证企业级安全应用的需求。另 外，用户还可以参考c v e 字典和相应的数据库建立自己企业的风险评估指标 体系，而且所有的这些风险项都可以通过c v e 索引迅速地找到相应的修补控 制措施。目前国外已经有很多漏洞库和工具声明与c v e 兼容。现在m i t r e 公司 所面临的最大挑战就是如何快速的完成新的c v e 项的审查和分类工作。由于 现在新的系统缺陷不断被发现，因此加速审查命名工作就特别重要m 1 。 哈尔滨理t 大学丁学硕i j 学位论文 1 2 2c v e 知识库 c v e 只是一个漏洞描述的标准，是一个关于漏洞的列表，如果想更好的利 用它，建立一个完善的数据库系统是必不可少的。本课题整理完善国内汉化的 c v e 字典，通过建立完善的c v e 知识库，以有利于对c v e 的进一步利用。 本实验室在以前的项目课题中建立了一套符合我国实际需要的计算机系统 公共漏洞和暴露( c v e ) 的标准规范及知识库管理专家系统。主要完成的工作包 括兼容c v e 完备、权威的漏洞描述标准的建立，细致科学的漏洞分类，漏洞 确切性的检测，灵活丰富的查询手段的提供，数据库易维护易扩充性的保障等 等。下面简述一下该项目的内容。 主要包括以下目标： 1 形成与c v e 标准兼容的汉语化实用性强的漏洞描述标准。该标准符合 中华人民共和国标准化法和中华人民共和国标准化法实施条例的规 定。 2 c v e 知识库，包含各种主流操作系统的漏洞及补丁，漏洞条目覆盖 c v e 正式漏洞。 3 c v e 知识库提供网上检索功能，提供在线漏洞检测。可以使用户利用 关键字查询、模糊查询、漏洞内容关键字过滤查询等查询手段查询准确、完备 的漏洞信息、相关参考信息、补丁信息等。 具体要求如下： 1 制定兼容c v e 标准的漏洞描述和交换格式结合我国实际，在兼容 c v e 标准的基础上，从网络安全评估的实用角度出发，通过对现有漏洞的比 较、分析、量化、归纳，提取漏洞特征，如漏洞的成因，漏洞可能造成的直接 威胁、漏洞的严重性、漏洞被利用的方式、存在该漏洞的系统等，制定出一套 与国际标准接轨且实用性强的汉语化漏洞描述标准，为漏洞知识库的建立奠定 基础。 2 建立计算机系统漏洞知识库的体系结构由于分析问题的角度不同，对 于系统安全漏洞可以有多种不同的分类方法，为此构造细致科学的漏洞分类， 在此基础上建立漏洞知识库及补丁库的层次结构，确定数据库的表和字段、表 结构及表间关系，使其易检索、易扩充、易维护，从而提高数据库系统的性能 和执行效率，以满足超大规模数据量和高强度瞬时并发访问的需要。保障漏洞 库与补丁库相配合，使用户在获取某漏洞信息的同时方便的得到其它相关漏洞 参考信息、该漏洞的补丁信息，包括补丁版本、使用方法等。 哈尔滨理工人学t 学硕t 学位论文 i nm 3 开发漏洞知识库管理信息专家系统对构造的漏洞库渗透人工智能的技 术和方法，即利用有关决策性知识、规则实现对漏洞的智能添加、删除、组织 结构调整、查询等。支持关键字查询、模糊查询、字包含查询、中英文混合查 询等查询手段，同时提供检索词之间的逻辑运算、关系运算，按时间或相关性 重要性排序等等。在查询结果中列出相关漏洞信息，以满足用户的多种需 求。实现系统的网上远程维护，及时更新漏洞库信息，使新添加的信息与原系 统无缝融合。建立友好的访问界面，用户使用灵活方便，查询信息详尽清晰明 了。 该项目建立了一套计算机系统公共漏洞和暴露( c v e ) 矢1 1 识库系统，提出了 c v e 标准，开发了c v e 知识库管理信息系统，知识库共收集漏洞信息6 5 2 4 条，包括了大部分的已知漏洞。提高了入侵检n 防御技术的检测效率和检测 的准确性。而入侵防御技术是未来网络安全的发展需要，将c v e 与入侵防御 技术相结合是很好的研究方向。 1 3 主要研究内容概述 整理完善国内汉化的c v e 字典，通过建立完善的c v e 知识库，开发基于 c v e 知识库的主机入侵防御系统。本系统除了可以帮助用户在各种独立的漏洞 数据库中和漏洞评估工具中共享数据外；还可以从网络和主机系统关键资源两 个方面对操作系统实施增强的访问控制，最大限度地保证系统安全。在本文的 研究中，给出了该系统的框架，针对w i n d o w s 系统给出了一些关键的实现技 术。如驱动程序技术、数据包捕获技术、协议分析和模式匹配技术、系统调用 截获和控制技术等。 哈尔滨理t 大学t 学硕卜学位论文 第2 章主机入侵防御系统总体设计 2 1c v e 知识库的进一步研究 2 1 1c v e 漏洞的分类 c v e 条目繁多，要对其进行有效的管理，分类的研究至关重要。 1 漏洞的分类的原则： ( 1 ) 互斥性，各类别应是互斥的，不能有重叠 ( 2 ) 穷举性，全部类别包含了所有的攻击 ( 3 ) 非二义性，各类别精确、清晰，没有不确定性 ( 4 ) 可重复性，对一个样本多次分类的结果一样 ( 5 ) 可接受性，分类符合逻辑与直觉，能得到认同 ( 6 ) 可用性，分类可用于该领域的深入调查、研究 2 漏洞的分类的方法： ( 1 ) 按漏洞的成因： a ：输入验证错误b ：访问验证错误c ：竞争条件d ：意外情况处置错误 e ：设计错误f ：配置错误g ：来源验证错误h ：环境错误i ：边界条件错误 ( 2 ) 按漏洞可能对系统造成的直接威胁： a ：远程管理员权限b ：本地管理员权限c ：普通用户访问权限d ：权限 提升e ：读取受限文件f ：远程拒绝服务g ：本地拒绝服务h ：远程非授权文 件存取i ：口令恢复j ：欺骗k ：服务器信息泄漏l ：其他 ( 3 ) 按漏洞严重性的分类( 攻击结果) ： a ：高b ：中c ：低 ( 4 ) 按攻击的位置： a ：远程b ：本地c ：既是远程又是本地d ：其他 ( 5 ) 按漏洞被利用方式分类： a ：物理接触b ：主机模式c ：客户机模式d ：中间人方式 3 c v e 的体系结构 目前c v e 公布的条目有几于条，而有的安全网站提供的漏洞更有上万条 之多。仅仅将网络漏洞以列表的方式呈现出来，并不能满足对网络安全研究的 哈尔滨理t 大学- 丁学硕士学位论文 需要，尤其不利于网络安全产品和相关研究的规范化，如果能够建立漏洞的体 系结构，则可以： ( 1 ) 提供一个将复杂、无序的漏洞划分为可管理、有序的结构。 ( 2 ) 完善的体系结构可以让人们及时发现具备某种特征的新漏洞，进而提供 相关信息。 ( 3 ) 有助于避免、检测、消除系统漏洞。 ( 4 ) 更深刻地了解操作系统、漏洞、攻击者之间的相互关系。 c v e 的体系结构可以根据具体需要建立。这里主要构造树形体系结构，其 目的在于便于漏洞的识别，它必须满足以下条件： ( 1 ) 是可以被唯一地识别于某类中的。 ( 2 ) 结构本身可以显示出漏洞的一般特性。 ( 3 ) 可以表现漏洞的抽象层次。 ( 4 ) 体系结构具有可扩展性。 综合以上因素，构筑的属性结构如下： ( 1 ) 内节点：代表一个明确的漏洞特征，使漏洞相互区别。 ( 2 ) 树枝：代表分类的一次决策过程可能的结果。 ( 3 ) 叶节点：代表漏洞的具体分类。 这样，对漏洞的识别过程就转化为从根节点到叶节点的一次搜索过程。 该树形结构完全可以满足上述要求： ( 1 ) 由于每个节点代表的特征以及各个分类决策结果都是唯一而且是互斥 的，因此某个漏洞从根节点到叶节点的搜索路径是唯一的，也就是说它只能落 入唯一的一个分类种，而这个搜索过程也显示出了漏洞的一般特性。 ( 2 ) 如果在一个决策过程中需要一个不在决策树中的结果，那么就对该结构 作相应的扩展，以使新结果包括进来，从而保证该树结构的完善性。 ( 3 ) 搜索过程是对漏洞特征的一步步细化的过程，因此树的深度代表了漏洞 描述的抽象层次，即越深抽象层次越低。 下面是c v e 树形结构各节点所代表的含义，并部分给出了相应的c v e 样 本。 各节点的命名采用的是字母、数字相间的格式，这样各节点的层次结构一 目了然。形成的树形体系结构如图2 - 1 所示。 哈尔滨理t 大学t 学硕十学位论文 i i 图2 1c v e 树形体系结构 f i g 2 - 1t r e es h a p es t r u c t u r eo fc v e a 逻辑错误 a 1 设计错误 a l a 条件确认错误 a 1 a 1 处理意外不当 c v e 2 0 0 0 0 4 0 8 ，c v e 2 0 0 0 0 4 4 0 1 a l a 2 输入确认错j 吴 c v e 1 9 9 9 0 1 4 6 ，c v e 2 0 0 0 0 4 1 7 】 a l a 2 a 域值相关错误 a i a 2 b 语法错误 a i a 2 c 输入域的类型或数目错误 a l a 2 d 附加输入 a 1 a 2 e 忽略输入 a l a 3 数据源确认错误 a 1 a 4 访问权确认错误 c v e 1 9 9 9 0 1 4 5 ，c v e 2 0 0 0 0 4 11 】 a i a 5 边界条件错误 c v e 2 0 0 0 0 4 0 7 ，c v e 2 0 0 0 0 4 9 3 a 1 b 同步错误 a 1 8 1 不适当或不充分的序列化错误r c v e 一2 0 0 0 0 4 6 3j a 1 8 2 竞争条件错误 c v e 1 9 9 9 0 1 3 2 ，c v e 1 9 9 9 0 1 3 8 】 a 2 配置错误 a 2 a 安装错误许可对象 c v e 1 9 9 9 0 1 3 9 ，c v e 2 0 0 0 0 4 4 8 】 a 2 b 实用程序安装到了错误的地方 哈尔滨理- t 人学工学硕l 学位论文 a 2 c 安装实用程序时选择了错误的参数【c v e 2 0 0 0 0 4 3 1 a 3 环境错误 c v e 1 9 9 9 0 11 2 1 b 物理错误 b 1 处理器 b 2 微程序 b 3 支撑芯片 b 4 固件 2 1 2c v e 特征的提取 i p s 要有效地捕捉入侵行为，必须拥有一个强大的入侵特征知识库阳1 ，但 是，一般的特征知识库都比较死板，遇到稍有变化的入侵行为往往无法正确识 别。因此，必须创建满足实际需要的特征数据样板。 i p s 中的特征就是指用于判别通讯信息种类的样板数据，通常分为多种， 根据c v e 提供的几千条漏洞可以有以下典型情况及识别方法： 1 来自保留i p 地址的连接企图可通过检查i p 报头( i ph e a d e r ) 的来源地址 轻易地识别。 2 带有非法t c p 标志联合物的数据包可通过对比t c p 报头中的标志集 与已知正确和错误标记联合物的不同点来识别。 3 含有特殊病毒信息的e m a i l 可通过对比每封e m a i l 的主题信息和病态 e m a i l 的主体信息来识别，或者通过搜索特定名字的附近来识别。 4 查询负载中的d n s 缓冲区溢出企图可通过解析d n s 域及检查每个域 的长度来识别利用d n s 域的缓冲区溢出企图。还有另外一个识别方法：在负 载中搜索“壳代码利用 ( e x p l o i ts h e l lc o d e ) 的序列代码组合。 5 通过对p o p 3 服务器发出上千次同一命令而导致的d o s ( d e n i a lo f s e r v i c e ) 攻击通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上 限，而发出警报信息。 6 未登录情况下使用文件和目录命令对f t p 服务器的文件访问攻击通过 创建具备状态跟踪的特征样板以监视成功登录的f t p 对话、发现未经验证却发 命令的入侵企图。 从以上分类可以看出特征的涵盖范围很广，由简单的报头域数值、有高度 复杂的连接状态跟踪、有扩展的协议分析。它们的作用就是检测数据包中的可 疑内容是否是真j 下“有害信息”的样板。 哈尔滨理t 人学t 学硕 ：学位论文 c v e 特征的定制或编写程度可粗可细，完全取决于实际需求。或者是只判 断是否发生了异常行为而不确定具体是什么攻击名号，从而节省资源和时间； 或者是判断出具体的攻击手段或漏洞利用方式，从而获得更多的信息。 下面是几种典型的c v e 特征： 1 报头值( h e a d e rv a l u e s ) 报头值的结构比较简单，而且很清楚地识别出异 常报头信息，因此，特征数据的首席候选人就是它。一个经典的例子是： 明显违背r f c 7 9 3 中规定的t c p 标准、设置了s y n 和f i n 标记的t c p 数 据包。这种数据包被许多入侵软件采用。 异常报头值的来源有以下几种： 其一，因为大多数操作系统和应用软件都是在假定r f c 被严格遵守的情 况下编写的，没有添加针对异常数据的错误处理程序，所以许多包含报头值的 漏洞利用都会故意违反r f c 的标准定义。其二，许多包含错误代码的不完善 软件也会产生违反r f c 定义的报头值数据。并非所有的操作系统和应用程序 都能全面拥护r f c 定义，至少会存在一个方面与r f c 不协调。第三，随着时 间推移，执行新功能的协议可能不被包含于现有r f c 中。 由于以上几种情况，严格基于r f c 的检测特征数据就有可能产生漏报或 误报效果。对此，r f c 也随着新出现的违反信息而不断进行着更新引，我们也 有必要定期地回顾或更新存在的特征数据定义。 非法报头值是特征数据的一个非常基础的部分，合法但可疑的报头值也头 等重要。例如，如果存在到端口3 1 3 3 7 或2 7 3 7 4 的可疑连接，就可报警说可能 有特洛伊木马在活动；再附加上其他更详细地探测信息，就能够进一步地判 断。 2 不同的来源i p 地址信息。 3 t c p 来源端口2 1 ，目标端口2 l 。 4 服务类型0 。 5 i p 鉴定号码( i pi d e n t i f i c a t i o nn u m b e r ) 3 9 4 2 6 。 6 设置s y n 和f i n 标志位。 7 不同的序列号集合( s e q u e n c e n u m b e r ss e t ) 。 8 不同的确认号码集合( a c k n o w l e d g m e n tn u m b e r ss e t ) 。 9 t c p 窗口尺寸1 0 2 8 。 大多数情况下，这些都反映出攻击者利用的漏洞或者他们使用的特殊技 术。 以下是特征数据的候选对象： 哈尔滨理1 = 人学t 学硕 ：学位论文 1 只具有s y n 和f i n 标志集的数据包，这是公认的恶意行为迹象。 2 没有设置a c k 标志，但却具有不同确认号码数值的数据包，而正常情 况应该是0 。 3 来源端口和目标端口都被设置为2 1 的数据包，经常与f t p 服务器关 联。这种端口相同的情况一般被称为“反身”( r e f l e x i v e ) ，除了个别时候如进行 一些特别n e t b i o s 通讯外，正常情况下不应该出现这种现象。“反身 端口本 身并不违反t c p 标准，但大多数情况下它们并非预期数值。例如在一个正常 的f t p 对话中，目标端口一般是2 1 ，而来源端口通常都高于1 0 2 3 。 4 t c p 窗1 2