計算機(jī)弱點(diǎn)數(shù)據(jù)庫綜述與評價

1、計算機(jī)弱點(diǎn)數(shù)據(jù)庫綜述與評價                        摘要計算機(jī)弱點(diǎn)數(shù)據(jù)庫已成為弱點(diǎn)研究的重要組成部分,對收集、存儲和組織弱點(diǎn)信息具有重要意義。本文介紹了計算機(jī)弱點(diǎn)的定義及分類,分析并評價了現(xiàn)有的弱點(diǎn)數(shù)據(jù)庫,最后討論了其存在的問題以及將采取的技術(shù)路線。   關(guān)鍵詞網(wǎng)絡(luò)安全, 計算機(jī)脆弱性, 安全漏洞,

2、0;弱點(diǎn)分類法, 弱點(diǎn)數(shù)據(jù)庫   1 引言 隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的飛速發(fā)展, Internet的規(guī)模正在不斷增長。ISC 組織的調(diào)查報告顯示1  ,1995 年1 月,全世界共約有584. 6 萬臺主機(jī)連入Internet ,截止到2005 年1 月, Internet 的主機(jī)數(shù)量約達(dá)到31764. 6 萬臺,在短短的十年內(nèi)主機(jī)數(shù)量增長了54 倍之多。 與此同時,與Internet 有關(guān)的

3、安全事件也愈來愈多,安全問題日益突出。越來越多的組織開始利用Internet 處理和傳輸敏感數(shù)據(jù),同時在Internet 上也到處傳播和蔓延著入侵方法和腳本程序,使得連入Internet 的任何系統(tǒng)都處于將被攻擊的風(fēng)險之中2  。據(jù)估計,目前大約有58000 多種已知計算機(jī)病毒3  ,病毒的傳播和擴(kuò)散也給計算機(jī)系統(tǒng)安全帶來了嚴(yán)重的威脅。國際權(quán)威安全組織CERT/ CC 給出了1990 年至2003 年期間的安全事件統(tǒng)計報告,統(tǒng)計數(shù)字如圖1 所示,其中2003

4、0;年的入侵事件竟高達(dá)137 ,529 件,相當(dāng)于2001 年和2002 年的總和4  ,而由此造成的經(jīng)濟(jì)損失約為6. 66 億美元5  ,從歷史數(shù)據(jù)上看這種趨勢還在增加。 理論分析表明,諸如計算機(jī)病毒、惡意代碼、網(wǎng)絡(luò)入侵等攻擊行為之所以能夠?qū)τ嬎銠C(jī)系統(tǒng)產(chǎn)生巨大的威脅,其主要原因在于計算機(jī)及軟件系統(tǒng)在設(shè)計、開發(fā)、維護(hù)過程中存在安全弱點(diǎn)。而這些安全弱點(diǎn)的大量存在也是安全問題的總體形勢趨于嚴(yán)峻的重要原因之一6  。圖2 給出了CERT/ CC 在19

5、95 年至2004 年期間接報的計算機(jī)弱點(diǎn)的統(tǒng)計情況,從中可以看出,自2000 年起,接報的弱點(diǎn)數(shù)逐年迅速增加,雖然近兩年上升速度趨于平緩,但始終處于一個數(shù)量很高的位置上。通過與接報的安全事件的聯(lián)系和比較,我們不難看出計算機(jī)弱點(diǎn)與安全事件之間存在著一定程度的因果關(guān)聯(lián),即隨著弱點(diǎn)數(shù)量的增大,安全事件也逐漸增多,這一點(diǎn)也恰恰和理論分析觀點(diǎn)一致。由此可見,弱點(diǎn)的存在對連入Internet 的計算機(jī)系統(tǒng)的安全性產(chǎn)生了巨大的安全影響7  。而在弱點(diǎn)存在性的問題上,Cheswick 和Bellovin8 在1994 

6、年的一份關(guān)于當(dāng)今流行操作系統(tǒng)和應(yīng)用程序的研究報告中指出軟件中不可能沒有缺陷。因此計算機(jī)弱點(diǎn)的相關(guān)研究已成為網(wǎng)絡(luò)與信息安全領(lǐng)域的重要課題之一。 弱點(diǎn)數(shù)據(jù)庫是弱點(diǎn)研究領(lǐng)域的重要組成部分,其研究目的與意義主要表現(xiàn)在:1) 人們通過設(shè)計和開發(fā)弱點(diǎn)數(shù)據(jù)庫來收集、存儲和組織弱點(diǎn)信息;2) 建構(gòu)弱點(diǎn)數(shù)據(jù)庫以及收集維護(hù)弱點(diǎn)信息是一項(xiàng)長期而艱辛的工作,需要耗費(fèi)大量的人力資源,所以大多數(shù)研究人員沒有精力也沒有必要重復(fù)收集弱點(diǎn)信息,他們往往利用已有弱點(diǎn)數(shù)據(jù)庫的信息資源從事弱點(diǎn)分析等相關(guān)研究;3) 弱點(diǎn)數(shù)據(jù)庫為網(wǎng)絡(luò)蠕蟲病毒的傳播與防治、網(wǎng)絡(luò)入侵檢測、風(fēng)險評估等安全領(lǐng)域提供了必要的信息支持

7、。因此,本文將對已有弱點(diǎn)數(shù)據(jù)庫資源進(jìn)行深入的分析和綜述。 2 弱點(diǎn)定義及分類 2. 1 弱點(diǎn)定義 計算機(jī)弱點(diǎn)通常是指計算機(jī)硬件、軟件或策略上的缺陷,從而使攻擊者可能在未授權(quán)的情況下訪問系統(tǒng)。弱點(diǎn)涉及的范圍很廣,覆蓋計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的各個環(huán)節(jié),包括路由器、防火墻、操作系統(tǒng)、客戶和服務(wù)器軟件等。在歷經(jīng)30 多年的計算機(jī)弱點(diǎn)研究過程中,學(xué)者們根據(jù)自身的不同理解和應(yīng)用需求對計算機(jī)弱點(diǎn)下了很多定義912  ,但目前看來還沒有一個統(tǒng)一的定義能夠被人們廣泛接受。其中, Krsul 針對軟件弱點(diǎn)的定義較有影響,他將一個弱點(diǎn)定義為“

8、軟件規(guī)范( specification) 設(shè)計、開發(fā)或配置中一個錯誤的實(shí)例,它的執(zhí)行能違犯安全策略”11  。本文僅圍繞著軟件弱點(diǎn)的范疇展開討論,并在修改和完善Krsul 定義的基礎(chǔ)上對弱點(diǎn)進(jìn)行如下定義:弱點(diǎn)(Vulnerability) 是軟件系統(tǒng)或軟件組件中存在的缺陷,此缺陷若被發(fā)掘利用則會違犯安全策略,并對系統(tǒng)的機(jī)密性、真實(shí)性和可用性造成不良影響。為了避免稱呼上的混淆,本文將安全漏洞、脆弱性、脆弱點(diǎn)、安全弱點(diǎn)統(tǒng)一稱作弱點(diǎn),即上述名詞表示同一概念。 2. 2 弱點(diǎn)分類 為了收集、存儲和組織弱點(diǎn)信息,人們首先要了

9、解弱點(diǎn)的本質(zhì)特征。通常,人們會用一個分類屬性來表達(dá)弱點(diǎn)的一個本質(zhì)特征,而為弱點(diǎn)的每個屬性賦值的過程,就是給弱點(diǎn)在該維屬性上分類的過程。在弱點(diǎn)數(shù)據(jù)庫的設(shè)計與實(shí)現(xiàn)中,人們常常用弱點(diǎn)的分類屬性作為數(shù)據(jù)庫表字段以便表達(dá)弱點(diǎn)的各方面性質(zhì)。因此,弱點(diǎn)分類工作是建構(gòu)弱點(diǎn)數(shù)據(jù)庫的基礎(chǔ),也是分析和評價弱點(diǎn)數(shù)據(jù)庫的依據(jù)。 目前,很多研究機(jī)構(gòu)和研究人員都開展了弱點(diǎn)分類工作。 近十年來,比較有成效的工作有:Landwehr13  提出了一個包括弱點(diǎn)起源、引入時間和位置的3 維屬性分類法; Longstaff 14 增加了對訪問權(quán)限和易攻擊性的分類;

10、 Power 提出了按危害性分類15  Du 和Mathur16  的分類法描述了弱點(diǎn)起因、影響和修復(fù)屬性;以及Aslam 和Krsul 的Unix 弱點(diǎn)分類法17 ,18 ,11  ,Bishop 的6 軸分類法19  , Knight 的四類型分類法20  和Venter 的協(xié)調(diào)(harmonized) 分類法21  。國內(nèi)的主要工作

11、有李昀的基于星型網(wǎng)模型的分類法22  ,單國棟的弱點(diǎn)分類研究23  ,以及我們提出的多維量化屬性分類法24  等。通過對上述分類法的分析,可以看出每種分類法的貢獻(xiàn)之一就是給出了弱點(diǎn)的不同分類屬性。我們對這些分類屬性進(jìn)行了整理,并將它們簡單地分成所屬相關(guān)、攻擊相關(guān)、因果相關(guān)、時間相關(guān)和其他屬性等5 類,整理結(jié)果如圖3 所示。 3 弱點(diǎn)數(shù)據(jù)庫 在弱點(diǎn)定義和分類工作的基礎(chǔ)上,很多研究機(jī)構(gòu)都開發(fā)了弱點(diǎn)數(shù)據(jù)庫以及相關(guān)弱點(diǎn)數(shù)據(jù)資源,根據(jù)弱點(diǎn)組織方式的不同,可歸結(jié)為三類:弱點(diǎn)庫、弱點(diǎn)列表和弱點(diǎn)搜索引擎。本節(jié)中,我們將對

12、目前公開的弱點(diǎn)數(shù)據(jù)庫資源進(jìn)行分析和評價。 屬性類別所屬相關(guān)攻擊相關(guān)因果相關(guān)時間相關(guān)其它屬性 生產(chǎn)廠商易攻擊性起源成因引入時間弱點(diǎn)標(biāo)識號 OS 種類攻擊復(fù)雜性后果影響時間影響力弱點(diǎn)名稱 應(yīng)用程序攻擊來源安全性威脅發(fā)布時間修復(fù)操作 組件種類攻擊手段更新時間對象和影響速度 出現(xiàn)位置攻擊所需權(quán)限 消息來源 圖3 弱點(diǎn)的分類屬性 3. 1 弱點(diǎn)庫 弱點(diǎn)庫通常是指以數(shù)據(jù)庫的方式收集和組織弱點(diǎn)信息,相對而言,這種類型的弱點(diǎn)資源提供的弱點(diǎn)屬性較完備,弱點(diǎn)信息量也較大。 (1) CERT/ CC 庫25  計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)

13、中心(CERT/ CC) ,始建于1988 年,位于Carnegie Mellon 大學(xué)的軟件工程研究所,是當(dāng)前國際上最著名的Internet 安全組織之一,它的主要工作是收集和發(fā)布Internet 安全事件和安全弱點(diǎn),提供相應(yīng)的技術(shù)建議和安全響應(yīng)。CERT/ CC 發(fā)布的弱點(diǎn)數(shù)據(jù)庫被稱為CERT/ CC 庫(不考慮安全警報Advisory 和Alert) ,它提供的內(nèi)容主要包括:名稱、CERT/ CC 編號、描述、影響、解決方法、受影響的系統(tǒng)、

14、公布時間和CVE 編號等屬性。值得注意的是,CERT/ CC 庫中還提供了一個影響度量(Met ric) 的量化屬性。該屬性表征出一個弱點(diǎn)的嚴(yán)重程度,該屬性的取值范圍在0 至180 之間,而取值的大小主要涉及到以下幾方面因素: ·該弱點(diǎn)信息的公開程度或可獲得的難易程度; ·在CERT/ CC 的安全事件報告中是否存在該弱點(diǎn); ·該弱點(diǎn)是否給Internet 基礎(chǔ)架構(gòu)帶來風(fēng)險; ·該弱點(diǎn)給多少系統(tǒng)帶來風(fēng)險; ·該弱點(diǎn)被利用后產(chǎn)生的安全影響;

15、83;利用該弱點(diǎn)的難易程度; ·利用該弱點(diǎn)的前提條件。 CERT/ CC 指出,由于每個因素的量化程度不易控制,因此用戶不能過于依賴Met ric 屬性的大小來評價一個弱點(diǎn)的危害程度,但這種方法卻可以幫助用戶在眾多危害較輕的弱點(diǎn)中區(qū)別出那些危害較大的弱點(diǎn)。CERT/ CC 的這種方法實(shí)際上是一種弱點(diǎn)危害性量化評估方法的原型。 該弱點(diǎn)數(shù)據(jù)庫描述的弱點(diǎn)信息比較豐富,并且每個弱點(diǎn)都經(jīng)過嚴(yán)格的驗(yàn)證,但弱點(diǎn)個數(shù)較少,到目前為止,該弱點(diǎn)庫共收錄了1474 個弱點(diǎn),并且更新比較慢。 (2)Bugt raq 庫

16、26  Bugt raq 庫是Symantec 公司的SecurityFocus 組織根據(jù)收集的弱點(diǎn)公布郵件而發(fā)布的弱點(diǎn)數(shù)據(jù)庫,它描述的弱點(diǎn)屬性包括名稱、BID 編號、類別(起因) 、CVE、攻擊源、公布時間、可信度、受影響的軟件或系統(tǒng)、以及討論、攻擊方法、解決方案、參考等。該弱點(diǎn)庫最大的特點(diǎn)是提供了較詳細(xì)的攻擊方法或腳本,用戶可以應(yīng)用這些方法測試或識別該弱點(diǎn)。該弱點(diǎn)數(shù)據(jù)庫描述的弱點(diǎn)屬性較完備,且弱點(diǎn)更新及時,到目前為止,收錄的弱點(diǎn)數(shù)近1TP00 個,已被廣泛地應(yīng)用到IDS 及弱點(diǎn)掃描系統(tǒng)中。 (3)&#

17、160;X2Force 庫27  X2Force 庫是ISS 公司發(fā)布的弱點(diǎn)數(shù)據(jù)庫,是世界上最全面的弱點(diǎn)及威脅數(shù)據(jù)庫之一。它提供的內(nèi)容主要包括名稱、編號、描述、受影響的系統(tǒng)和版本、安全建議、后果、參考以及CVE、BID 索引等屬性。該數(shù)據(jù)庫在弱點(diǎn)屬性描述方面沒有特殊之處,但它更新得較為及時,到目前為止,收錄的弱點(diǎn)數(shù)高達(dá)21000 個左右。該數(shù)據(jù)庫主要被應(yīng)用于ISS 開發(fā)的弱點(diǎn)掃描器等產(chǎn)品中。 (4) 其它資源 其它的國外弱點(diǎn)資源還有SecurityBugware 弱點(diǎn)數(shù)據(jù)庫28  ,以

18、及普渡大學(xué)的CERIAS 中心應(yīng)用Krsul 的弱點(diǎn)分類法開發(fā)的一個公開的弱點(diǎn)數(shù)據(jù)庫29  ,該庫約有11000 個弱點(diǎn),且弱點(diǎn)屬性較完備,但很多屬性沒有給出描述或描述得較為粗糙。國內(nèi)的弱點(diǎn)數(shù)據(jù)庫資源都提供了中文的弱點(diǎn)信息,主要包括: 中國國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/ CC30 發(fā)布的弱點(diǎn)庫,增加了CNCVE 編號,該庫更新得較為及時,但弱點(diǎn)相關(guān)信息不是很詳盡;綠盟公司的弱點(diǎn)庫31  ,主要參考了Bugt raq 庫的內(nèi)容,信息量較大;非商業(yè)組織

19、Xfocus32 的弱點(diǎn)庫,由于維護(hù)需要長期大量的工作,因此該數(shù)據(jù)庫更新較慢。此外,還有部分研究者從事弱點(diǎn)數(shù)據(jù)庫的設(shè)計和實(shí)現(xiàn)工作3335  ,他們的工作重點(diǎn)并不是收集弱點(diǎn)信息,而是通過整合弱點(diǎn)屬性建構(gòu)完善的弱點(diǎn)數(shù)據(jù)庫,從而更好地組織已有的弱點(diǎn)信息。                            

20、60; 3. 2 弱點(diǎn)列表 弱點(diǎn)列表描述的弱點(diǎn)屬性較少,或較為單一,公布的信息量也較小,但此類型的弱點(diǎn)資源在個別方面體現(xiàn)了各自顯著的特點(diǎn),如提供標(biāo)準(zhǔn)化命名、弱點(diǎn)補(bǔ)丁等。 (1) CVE36  CVE(Common Vulnerabilities and Exposures) 是MITRE公司建立的一個標(biāo)準(zhǔn)化弱點(diǎn)命名列表,被公認(rèn)為安全弱點(diǎn)的標(biāo)準(zhǔn)名字,為安全領(lǐng)域內(nèi)工業(yè)和許多政府組織所廣泛接受。它提供的內(nèi)容主要包括:弱點(diǎn)名稱、簡單描述和參考三部分,其中,弱點(diǎn)名稱是弱點(diǎn)的CVE 標(biāo)準(zhǔn)化命名,參考部分給出

21、了報告該弱點(diǎn)的組織及其弱點(diǎn)標(biāo)識。CVE 命名的產(chǎn)生要通過該組織編委會嚴(yán)格審查。首先CNA (Candidate Numbering Authority) 機(jī)構(gòu)為一個新的安全弱點(diǎn)分配一個被稱為CAN(CVE Candidate) 的CVE 候選號,然后由編委會研究討論是否批準(zhǔn)一個CAN 成為CVE。因此CVE 弱點(diǎn)命名通常包括兩種形式: CVE 和CAN。然而,為了便于用戶維護(hù)和使用CVE 命名,MITRE 已計劃將CAN 統(tǒng)一改為CVE。事實(shí)上,

22、CVE 就是一個弱點(diǎn)字典,其目的是關(guān)聯(lián)并共享不同弱點(diǎn)數(shù)據(jù)庫中同一弱點(diǎn)的信息,使各弱點(diǎn)數(shù)據(jù)庫能夠相互兼容。因此,CVE 列表中弱點(diǎn)的相關(guān)信息很少,對弱點(diǎn)的跟蹤也比較慢。 (2) eEye 庫37  eEye 公司主要發(fā)布一些數(shù)量較少但最為嚴(yán)重的軟件弱點(diǎn)和攻擊,它提供的內(nèi)容主要包括概述、技術(shù)細(xì)節(jié)、保護(hù)方法、嚴(yán)重性和發(fā)布時間等屬性、其中還描述了當(dāng)前距發(fā)布時間的間隔,用以體現(xiàn)弱點(diǎn)在發(fā)掘周期內(nèi)不同階段被利用的可能性是不同的。 (3) SANS38  SANS 組織每個季度發(fā)布或更新最具威脅的20 

23、;個Internet 安全弱點(diǎn),包括10 個Windows 系統(tǒng)弱點(diǎn)和10 個Unix 系統(tǒng)弱點(diǎn),由于這20 個弱點(diǎn)危害性大、普遍性高、被重復(fù)攻擊的可能性大,因此已成為學(xué)者們重要的研究對象。 (4) Cisco 、Microsoft 等各大軟件廠商的弱點(diǎn)列表,提供了各自軟件弱點(diǎn)的名稱、起因、位置以及相應(yīng)補(bǔ)丁等等信息。 3. 3 弱點(diǎn)搜索引擎 弱點(diǎn)搜索引擎以弱點(diǎn)庫為信息來源,提供了高效快捷的檢索弱點(diǎn)的方法。著名的ICAT39 就是美國國家標(biāo)準(zhǔn)技術(shù)學(xué)會創(chuàng)建的一個CVE 

24、搜索引擎。ICAT 的目的是讓用戶方便地鏈接到公用弱點(diǎn)數(shù)據(jù)庫以及補(bǔ)丁站點(diǎn),使他們能夠發(fā)現(xiàn)和消除系統(tǒng)中存在的弱點(diǎn)。通過描述弱點(diǎn)的TP 多個屬性,ICAT 允許用戶以更細(xì)的粒度搜索弱點(diǎn)。ICAT 的弱點(diǎn)數(shù)據(jù)主要來源于CERIAS、ISS X2Force、SANS Institute 、Security-Focus 以及各大軟件廠商,截止到2005 年5 月,共收錄了8309 個CVE(包括CAN) 弱點(diǎn)。此外,其它相關(guān)資源還有IN-FILSEC 搜索引擎 TP

25、 。 3. 4 弱點(diǎn)數(shù)據(jù)庫的評價 為了闡明現(xiàn)有的公開弱點(diǎn)數(shù)據(jù)庫資源的優(yōu)劣程度,使人們能夠理解它們各自的特點(diǎn),并針對自身需求更好地利用這些數(shù)據(jù)資源,我們將從更新速度、收錄數(shù)量、描述程度、描述語言以及特點(diǎn)等方面對上述弱點(diǎn)數(shù)據(jù)資源進(jìn)行比較和評價。評價結(jié)果如圖4 所示,其中描述程度用分類屬性的個數(shù)來度量,而更新速度用弱點(diǎn)發(fā)布或更新時間的遲緩來度量。從圖中我們可以看出,CERIAS 庫的描述程度最完備,X2Force 庫收錄的弱點(diǎn)數(shù)量最多,而Bugt raq 庫的綜合效果最好。 4 存在的問題與技術(shù)路線 科學(xué)合理地

26、建構(gòu)弱點(diǎn)數(shù)據(jù)庫對收集、存儲和組織弱點(diǎn)信息,避免繁重而重復(fù)性的整理工作,以及進(jìn)一步進(jìn)行弱點(diǎn)分析等方面具有重要意義。通過對現(xiàn)有弱點(diǎn)數(shù)據(jù)庫的分析,我們發(fā)現(xiàn)它們普遍存在以下問題:1) 現(xiàn)有的弱點(diǎn)數(shù)據(jù)庫在描述程度、收錄數(shù)量、更新速度等方面各有所長,均不全面;2) 對弱點(diǎn)簡介等屬性的描述通常都使用諸如英語、漢語等自然語言,這種方法盡管給維護(hù)者帶來一些便利,但由于目前計算機(jī)還無法自動有效地處理自然語言,因此對弱點(diǎn)的進(jìn)一步分析工作需要人參與完成,這給弱點(diǎn)研究工作帶來沉重的負(fù)擔(dān);3) 現(xiàn)有的弱點(diǎn)數(shù)據(jù)庫采用各不相同的弱點(diǎn)分類方法,即采用不同的分類屬性和屬性值,使得同一弱點(diǎn)被不同的弱點(diǎn)

27、數(shù)據(jù)庫描述成不同的弱點(diǎn),在這種情況下我們很難構(gòu)建一個全面而綜合的弱點(diǎn)庫。盡管CVE 的出現(xiàn)緩解了這一問題,但CVE 收錄的弱點(diǎn)數(shù)還不夠全面,對弱點(diǎn)相關(guān)信息的描述也不夠完備,并且不同弱點(diǎn)數(shù)據(jù)庫所采用的弱點(diǎn)屬性值不同的問題仍然沒有得到解決。 針對上述問題,我們將在未來的弱點(diǎn)數(shù)據(jù)庫研究中采取如下技術(shù)路線:開發(fā)一個統(tǒng)一標(biāo)準(zhǔn)的完備的弱點(diǎn)分類方法以整合現(xiàn)有的弱點(diǎn)數(shù)據(jù)資源,并且考慮用形式化或程序語言替代自然語言來描述弱點(diǎn)屬性,從而實(shí)現(xiàn)弱點(diǎn)信息的自動獲取以及弱點(diǎn)的自動檢測與分析。我們認(rèn)為建構(gòu)這樣的綜合弱點(diǎn)數(shù)據(jù)庫將具有積極的理論和現(xiàn)實(shí)意義。 參考文獻(xiàn) 1 ISC. Internet Domain Survey. Information f rom t he web at http :/ / www. isc. org/ ds/ , 2005 2 Michener J . System insecurity in t