计算机弱点数据库综述与评价

1、计算机弱点数据库综述与评价摘要计算机弱点数据库已成为弱点研究的重要组成部分,对搜集、存储和组织弱点信息具有重要意义。本文介绍了计算机弱点的定义及分类,分析并评价了现有的弱点数据库,最后讨论了其存在的问题以及将采取的技术道路。关键词网络平安,计算机脆弱性,平安破绽,弱点分类法,弱点数据库1引言随着计算机技术和网络通信技术的飞速开展,internet的规模正在不断增长。is组织的调查报告显示1,1995年1月,全世界共约有584.6万台主机连入internet,截止到2022年1月,internet的主机数量约到达31764.6万台,在短短的十年内主机数量增长了54倍之多。与此同时,与intern

2、et有关的平安事件也愈来愈多,平安问题日益突出。越来越多的组织开场利用internet处理和传输敏感数据,同时在internet上也到处传播和蔓延着入侵方法和脚本程序,使得连入internet的任何系统都处于将被攻击的风险之中2。据估计,目前大约有58000多种计算机病毒3,病毒的传播和扩散也给计算机系统平安带来了严重的威胁。国际权威平安组织ert/给出了1990年至2022年期间的平安事件统计报告,统计数字如图1所示,其中2022年的入侵事件竟高达137,529件,相当于2001年和2002年的总和4,而由此造成的经济损践约为6.66亿美元5,从历史数据上看这种趋势还在增加。理论分析说明,诸

3、如计算机病毒、恶意代码、网络入侵等攻击行为之所以可以对计算机系统产生宏大的威胁,其主要原因在于计算机及软件系统在设计、开发、维护过程中存在平安弱点。而这些平安弱点的大量存在也是平安问题的总体形势趋于严峻的重要原因之一6。图2给出了ert/在1995年至2022年期间接报的计算机弱点的统计情况,从中可以看出,自2000年起,接报的弱点数逐年迅速增加,虽然近两年上升速度趋于平缓,但始终处于一个数量很高的位置上。通过与接报的平安事件的联络和比拟,我们不难看出计算机弱点与平安事件之间存在着一定程度的因果关联,即随着弱点数量的增大,平安事件也逐渐增多,这一点也恰恰和理论分析观点一致。由此可见,弱点的存在

4、对连入internet的计算机系统的平安性产生了宏大的平安影响7。而在弱点存在性的问题上,hesik和bellvin8在1994年的一份关于当今流行操作系统和应用程序的研究报告中指出软件中不可能没有缺陷。因此计算机弱点的相关研究已成为网络与信息平安领域的重要课题之一。弱点数据库是弱点研究领域的重要组成部分,其研究目的与意义主要表如今:1)人们通过设计和开发弱点数据库来搜集、存储和组织弱点信息;2)建构弱点数据库以及搜集维护弱点信息是一项长期而艰辛的工作,需要消耗大量的人力资源,所以大多数研究人员没有精力也没有必要重复搜集弱点信息,他们往往利用已有弱点数据库的信息资源从事弱点分析等相关研究;3)

5、弱点数据库为网络蠕虫病毒的传播与防治、网络入侵检测、风险评估等平安领域提供了必要的信息支持。因此,本文将对已有弱点数据库资源进展深化的分析和综述。2弱点定义及分类2.1弱点定义计算机弱点通常是指计算机硬件、软件或策略上的缺陷,从而使攻击者可能在未受权的情况下访问系统。弱点涉及的范围很广,覆盖计算机及网络系统的各个环节,包括路由器、防火墙、操作系统、客户和效劳器软件等。在历经30多年的计算机弱点研究过程中,学者们根据自身的不同理解和应用需求对计算机弱点下了很多定义912,但目前看来还没有一个统一的定义可以被人们广泛承受。其中,krsul针对软件弱点的定义较有影响,他将一个弱点定义为“软件标准(s

6、peifiatin)设计、开发或配置中一个错误的实例,它的执行能违犯平安策略11。本文仅围绕着软件弱点的范畴展开讨论,并在修改和完善krsul定义的根底上对弱点进展如下定义:弱点(vulnerability)是软件系统或软件组件中存在的缺陷,此缺陷假设被开掘利用那么会违犯平安策略,并对系统的机密性、真实性和可用性造成不良影响。为了防止称呼上的混淆,本文将平安破绽、脆弱性、脆弱点、平安弱点统一称作弱点,即上述名词表示同一概念。2.2弱点分类为了搜集、存储和组织弱点信息,人们首先要理解弱点的本质特征。通常,人们会用一个分类属性来表达弱点的一个本质特征,而为弱点的每个属性赋值的过程,就是给弱点在该维

7、属性上分类的过程。在弱点数据库的设计与实现中,人们常常用弱点的分类属性作为数据库表字段以便表达弱点的各方面性质。因此,弱点分类工作是建构弱点数据库的根底,也是分析和评价弱点数据库的根据。目前,很多研究机构和研究人员都开展了弱点分类工作。近十年来,比拟有成效的工作有:landehr13提出了一个包括弱点起源、引入时间和位置的3维属性分类法;lngstaff14增加了对访问权限和易攻击性的分类;per提出了按危害性分类15;du和athur16的分类法描绘了弱点起因、影响和修复属性;以及asla和krsul的unix弱点分类法17,18,11,bishp的6轴分类法19,knight的四类型分类法

8、20和venter的协调(harnized)分类法21。国内的主要工作有李昀的基于星型网模型的分类法22,单国栋的弱点分类研究23,以及我们提出的多维量化属性分类法24等。通过对上述分类法的分析,可以看出每种分类法的奉献之一就是给出了弱点的不同分类属性。我们对这些分类属性进展了整理,并将它们简单地分成所属相关、攻击相关、因果相关、时间相关和其他属性等5类,整理结果如图3所示。3弱点数据库在弱点定义和分类工作的根底上,很多研究机构都开发了弱点数据库以及相关弱点数据资源,根据弱点组织方式的不同,可归结为三类:弱点库、弱点列表和弱点搜索引擎。本节中,我们将对目前公开的弱点数据库资源进展分析和评价。属

9、性类别所属相关攻击相关因果相关时间相关其它属性消费厂商易攻击性起源成因引入时间弱点标识号s种类攻击复杂性后果影响时间影响力弱点名称应用程序攻击来源平安性威胁发布时间修复操作组件种类攻击手段更新时间对象和影响速度出现位置攻击所需权限消息来源图3弱点的分类属性3.1弱点库弱点库通常是指以数据库的方式搜集和组织弱点信息,相对而言,这种类型的弱点资源提供的弱点属性较完备,弱点信息量也较大。(1)ert/库25计算机网络应急技术处理协调中心(ert/),始建于1988年,位于arnegieelln大学的软件工程研究所,是当前国际上最著名的internet平安组织之一,它的主要工作是搜集和发布intern

10、et平安事件和平安弱点,提供相应的技术建议和平安响应。ert/发布的弱点数据库被称为ert/库(不考虑平安警报advisry和alert),它提供的内容主要包括:名称、ert/编号、描绘、影响、解决方法、受影响的系统、公布时间和ve编号等属性。值得注意的是,ert/库中还提供了一个影响度量(etri)的量化属性。该属性表征出一个弱点的严重程度,该属性的取值范围在0至180之间,而取值的大小主要涉及到以下几方面因素:该弱点信息的公开程度或可获得的难易程度;在ert/的平安事件报告中是否存在该弱点;该弱点是否给internet根底架构带来风险;该弱点给多少系统带来风险;该弱点被利用后产生的平安影响

11、;利用该弱点的难易程度;利用该弱点的前提条件。ert/指出,由于每个因素的量化程度不易控制,因此用户不能过于依赖etri属性的大小来评价一个弱点的危害程度,但这种方法却可以帮助用户在众多危害较轻的弱点中区别出那些危害较大的弱点。ert/的这种方法实际上是一种弱点危害性量化评估方法的原型。该弱点数据库描绘的弱点信息比拟丰富,并且每个弱点都经过严格的验证,但弱点个数较少,到目前为止,该弱点库共收录了1474个弱点,并且更新比拟慢。(2)bugtraq库26bugtraq库是syante公司的seurityfus组织根据搜集的弱点公布邮件而发布的弱点数据库,它描绘的弱点属性包括名称、bid编号、类别

12、(起因)、ve、攻击源、公布时间、可信度、受影响的软件或系统、以及讨论、攻击方法、解决方案、参考等。该弱点库最大的特点是提供了较详细的攻击方法或脚本,用户可以应用这些方法测试或识别该弱点。该弱点数据库描绘的弱点属性较完备,且弱点更新及时,到目前为止,收录的弱点数近1tp00个,已被广泛地应用到ids及弱点扫描系统中。(3)x2fre库27x2fre库是iss公司发布的弱点数据库,是世界上最全面的弱点及威胁数据库之一。它提供的内容主要包括名称、编号、描绘、受影响的系统和版本、平安建议、后果、参考以及ve、bid索引等属性。该数据库在弱点属性描绘方面没有特殊之处,但它更新得较为及时,到目前为止,收

13、录的弱点数高达21000个左右。该数据库主要被应用于iss开发的弱点扫描器等产品中。(4)其它资源其它的国外弱点资源还有seuritybugare弱点数据库28,以及普渡大学的erias中心应用krsul的弱点分类法开发的一个公开的弱点数据库29,该库约有11000个弱点,且弱点属性较完备,但很多属性没有给出描绘或描绘得较为粗糙。国内的弱点数据库资源都提供了中文的弱点信息,主要包括:中国国家计算机网络应急技术处理协调中心nert/30发布的弱点库,增加了nve编号,该库更新得较为及时,但弱点相关信息不是很详尽;绿盟公司的弱点库31,主要参考了bugtraq库的内容,信息量较大;非商业组织xfu

14、s32的弱点库,由于维护需要长期大量的工作,因此该数据库更新较慢。此外,还有部分研究者从事弱点数据库的设计和实现工作3335,他们的工作重点并不是搜集弱点信息,而是通过整合弱点属性建构完善的弱点数据库,从而更好地组织已有的弱点信息。3.2弱点列表弱点列表描绘的弱点属性较少,或较为单一,公布的信息量也较小,但此类型的弱点资源在个别方面表达了各自显著的特点,如提供标准化命名、弱点补丁等。(1)ve36ve(nvulnerabilitiesandexpsures)是itre公司建立的一个标准化弱点命名列表,被公认为平安弱点的标准名字,为平安领域内工业和许多政府组织所广泛承受。它提供的内容主要包括:弱

15、点名称、简单描绘和参考三部分,其中,弱点名称是弱点的ve标准化命名,参考部分给出了报告该弱点的组织及其弱点标识。ve命名的产生要通过该组织编委会严格审查。首先na(andidatenuberingauthrity)机构为一个新的平安弱点分配一个被称为an(veandidate)的ve候选号,然后由编委会研究讨论是否批准一个an成为ve。因此ve弱点命名通常包括两种形式:ve和an。然而,为了便于用户维护和使用ve命名,itre已方案将an统一改为ve。事实上,ve就是一个弱点字典,其目的是关联并共享不同弱点数据库中同一弱点的信息,使各弱点数据库可以互相兼容。因此,ve列表中弱点的相关信息很少,

16、对弱点的跟踪也比拟慢。(2)eeye库37eeye公司主要发布一些数量较少但最为严重的软件弱点和攻击,它提供的内容主要包括概述、技术细节、保护方法、严重性和发布时间等属性、其中还描绘了当前距发布时间的间隔,用以表达弱点在开掘周期内不同阶段被利用的可能性是不同的。(3)sans38sans组织每个季度发布或更新最具威胁的20个internet平安弱点,包括10个inds系统弱点和10个unix系统弱点,由于这20个弱点危害性大、普遍性高、被重复攻击的可能性大,因此已成为学者们重要的研究对象。(4)is、irsft等各大软件厂商的弱点列表,提供了各自软件弱点的名称、起因、位置以及相应补丁等等信息。

17、3.3弱点搜索引擎弱点搜索引擎以弱点库为信息来源,提供了高效快捷的检索弱点的方法。著名的iat39就是美国国家标准技术学会创立的一个ve搜索引擎。iat的目的是让用户方便地链接到公用弱点数据库以及补丁站点,使他们可以发现和消除系统中存在的弱点。通过描绘弱点的tp多个属性,iat允许用户以更细的粒度搜索弱点。iat的弱点数据主要来源于erias、issx2fre、sansinstitute、seurity-fus以及各大软件厂商,截止到2022年5月,共收录了8309个ve(包括an)弱点。此外,其它相关资源还有in-filse搜索引擎tp。3.4弱点数据库的评价为了说明现有的公开弱点数据库资源

18、的优劣程度,使人们可以理解它们各自的特点,并针对自身需求更好地利用这些数据资源,我们将从更新速度、收录数量、描绘程度、描绘语言以及特点等方面对上述弱点数据资源进展比拟和评价。评价结果如图4所示,其中描绘程度用分类属性的个数来度量,而更新速度用弱点发布或更新时间的缓慢来度量。从图中我们可以看出,erias库的描绘程度最完备,x2fre库收录的弱点数量最多,而bugtraq库的综合效果最好。4存在的问题与技术道路科学合理地建构弱点数据库对搜集、存储和组织弱点信息,防止繁重而重复性的整理工作,以及进一步进展弱点分析等方面具有重要意义。通过对现有弱点数据库的分析,我们发现它们普遍存在以下问题:1)现有

19、的弱点数据库在描绘程度、收录数量、更新速度等方面各有所长,均不全面;2)对弱点简介等属性的描绘通常都使用诸如英语、汉语等自然语言,这种方法尽管给维护者带来一些便利,但由于目前计算机还无法自动有效地处理自然语言,因此对弱点的进一步分析工作需要人参与完成,这给弱点研究工作带来沉重的负担;3)现有的弱点数据库采用各不一样的弱点分类方法,即采用不同的分类属性和属性值,使得同一弱点被不同的弱点数据库描绘成不同的弱点,在这种情况下我们很难构建一个全面而综合的弱点库。尽管ve的出现缓解了这一问题,但ve收录的弱点数还不够全面,对弱点相关信息的描绘也不够完备,并且不同弱点数据库所采用的弱点属性值不同的问题仍然

20、没有得到解决。针对上述问题,我们将在将来的弱点数据库研究中采取如下技术道路:开发一个统一标准的完备的弱点分类方法以整合现有的弱点数据资源,并且考虑用形式化或程序语言替代自然语言来描绘弱点属性,从而实现弱点信息的自动获取以及弱点的自动检测与分析。我们认为建构这样的综合弱点数据库将具有积极的理论和现实意义。参考文献.is.rg/ds/,20223bruel.anagedvulnerabilityassessent(va)iprveseuritybyunderstandingyurnvulnerabilities!netrkseurity,elseviersiene,2002(4):894ert/.2022.ert/statistis198822022.infratinfrtheebat.ert.rg/stats/ertstats.htl5ert/.2022.ert/eletrnirie.infratinfrtheebat.ert.rg/abut/erie.htl7furnells,arrenj.puterabuseandyberterrris:therealthreatsintheneillenniu.putersseurity,1999,18(1):28348hesikr,bellvins.fireallsandinterne