黄俊强+++宋超臣
【摘要】随着信息系统的发展,其中的威胁形式也越来越多样化,漏洞威胁作为其中一种影响范围广、威胁程度高的形式被越来越多地关注。常规的应对漏洞威胁是采用补丁的方式,这样有一定的不足。本文提出一种多方联动的漏洞威胁应对方式,综合利用各方资源,加强信息系统的安全性。
【关键词】信息系统;漏洞;多方联动;补丁;监测
1引言
当前针对漏洞这种安全威胁所采取应对措施的各个环节还相对孤立,没有衔接成为一个整体,漏洞发现、漏洞分析、漏洞补丁的发布等各个部分各自为战,彼此之间缺乏联系,从漏洞发现到最后由此漏洞导致的重要安全威胁被消除,期间的时间跨度较大,使本来就不容乐观的安全形势更加严峻。参与漏洞处理的各个组织之间缺乏有效的交流,漏洞库组织、安全公司、爱好者团体之间交流甚少,甚至故意制造技术壁垒,这也严重影响了漏洞应对的效率。本文提出一种多方联动的漏洞威胁应对方案,旨在提高各种资源的利用率,联合漏洞库、补丁发布组织、安全组织、爱好者团体等漏洞参与环节,缩短从漏洞发现到漏洞应对措施的成功实施的时间。
2整体框架
当前对漏洞的定义为:在一个信息系统的硬件、软件或固件的需求、设计、实现、配置、运行等过程中有意留下或无意中产生的一个或若干个缺陷,它会导致该信息系统处于风险之中。漏洞所带来的威胁不是来自于漏洞本身,而是由于漏洞所引起的信息泄露、未经授权的访问和篡改等风险。有些漏洞被利用后,攻击者可以绕过安全机制和授权机制,达到其非法入侵的目的。
现有技术条件下,对漏洞的发现和研究尚未达到完全自动的程度,主要手段仍是手动测试和构造半自动化的测试程序。同时针对不同的文件格式,其漏洞发现和修补的途径也差异甚大,对网络协议和各种文件格式的漏洞发掘已经取得一部分研究成果,根据补丁前后的文件比对进而对漏洞进行利用的逆向工程技术也日益丰富,由于不同类型的漏洞的处理方法差异较大,也导致了各个组织之间各有所长,在缓冲区溢出、SQL注入、目录遍历、远程代码执行等不同的方面都存在较为擅长的组织。
这种情况导致了一批分布于漏洞处理各个领域的研究单位、安全公司、爱好者团体的出现和发展,使这一领域的气氛非常活跃,但是在某种程度上也阻碍了经验的交流和成果的转化。针对这种情况,借鉴现有的杀毒软件的模式,提出一种新的漏洞应对方案,扬长避短,综合各方优势,做到对各种漏洞带来的威胁及时地响应。
本方案设计为三个主要的部分:漏洞信息获取、分析和处理;涉及到三个主要的参与方:漏洞信息源、分析中心、最终用户。其中,信息源提供有关漏洞的相关信息,如漏洞的来源,影响的应用程序、系统或者网络协议,漏洞的触发条件,在可能的情况下还要提供漏洞利用的shellcode或者exploit代码等。分析中心负责对信息源提供的漏洞信息进行分类整理,分析其安全威胁等级,所属分类,有无补丁,有无相应的exploit代码,并设置相应的特征码以便发送给最终用户进行威胁应对。用户部分则是根据分析中心得到的特征码匹配网络上收到的信息和本地文件内容,若存在一致的部分,则说明有可能是漏洞利用者故意发送的触发漏洞的代码或者制造的文件,需要提高警惕。
本方案的三个部分之间需要交互联系,分析中心从信息源处获得漏洞的信息并综合分析处理,然后将结果送到最终用户,接受最终用户的反馈,最终用户也可在程序或者协议出现异常的时候,将场景保存发送给分析中心,分析中心利用人员和数据量上的优势进行分析处理,同时将此信息分发至各漏洞研究和应对组织,尽量把漏洞堵在未造成危害的状态。其结构示意如图1。
3分块功能划分
3.1信息源
信息源处于整个方案的设计中的最前端,是方案能够正常运行的第一步,从信息源处得到的漏洞信息是原始的数据,在漏洞信息获取的过程中,应当秉持“宁滥勿缺”的原则,尽可能多的搜集各漏洞库的漏洞信息,以交由分析中心进行分析处理。
目前相对较大的漏洞库,国外的有美国国家漏洞库(NVD),美国国土安全部的US-CERT Vulnerability Notes Database,开源的Open Source Vulnerability Database,Symantec公司的SecurityFocus Vulnerability Database,VeriSign公司的iDefense Vulnerability Advisories,这些漏洞库大都遵循CVE(Common Vulnerability and Exposures)标准且有各自不同的更新方式,其中的内容详细全面,是很有价值的漏洞库参考。
国内的漏洞库主要是中国国家漏洞库、国家安全漏洞库、国家信息安全漏洞共享平台和绿盟公司的绿盟科技漏洞库,这些漏洞库也都更新及时,分类详细。另外还有一些爱好者团体、网络安全组织等所掌握的漏洞信息,其特点是时效性强、漏洞信息很新,威胁程度较高,也有很高的分析价值。
选择信息源时,应当尽可能综合上述漏洞库的信息,积极吸取各方的长处和优势,为在分析环节进行漏洞的分析分类和整理提供尽量多的数据,这样有助于分析环节中的分类更明确,特征码提取更准确,能够更高效地为最终用户提供相应的漏洞应对策略,同时更好地将信息源和信息目的地连接在一起。
3.2分析中心
分析中心负责将从信息源传来的信息进行分析分类和整理,在技术条件允许的情况下对漏洞进行深一步的研究,主要是从已经获得的漏洞信息中,如漏洞影响的系统、软件或者协议,漏洞的CVE编号,漏洞触发时的内存情况、系统信息、运行状态等信息中,提取引发漏洞威胁的文件、数据流的特征码,使得用户能够根据特征码来发现漏洞的威胁。这种方式较为简便易行,同时不要求客户端占用太多的资源。
分析中心需要完成对漏洞的分类,按照影响的信息系统的部分不同,分为系统漏洞、应用程序漏洞、协议漏洞等;按照威胁等级将漏洞标记为高风险、一般风险和低风险;按照触发机制的不同,将漏洞分为缓冲区溢出漏洞、注入漏洞、远程安全机制绕过漏洞等;并以此作为参考的一部分,定义漏洞的特征码,方便地标识一个漏洞所处的状态。endprint
一个漏洞的触发机制,即软件活硬件的异常是在什么情况下被触发的,能够精确地定位触发漏洞的场景,明确当时软件的输入、正在处理的数据、提供给它的接口做出了哪些动作,对漏洞的研究也就成功了一半。同时,明确触发漏洞的输入也有非常重要的意义,因为在一般情况下想要进行漏洞利用,必须要触发漏洞,而漏洞利用的代码、数据流或者文件与引起软硬件崩溃时的场景必然有相似或者相同之处,研究漏洞的触发机制是分析一个漏洞的重要的一步。
明确一个漏洞能够造成的后果,对漏洞分析和漏洞威胁等级的定义,也有重要的价值。有些漏洞仅会导致目录信息被泄露或者拒绝服务,有些漏洞则造成缓冲区溢出,指令寄存器被攻击者篡改,引发攻击者可以执行任何命令的严重后果;故需要根据漏洞影响的范围,以及针对此种类型的漏洞的攻击方式、攻击工具的数量的不同,对漏洞的威胁等级进行定义,对于威胁等级较高的漏洞,相应地在分析、处理时的紧迫度也较高。
针对威胁等级中等以上的漏洞,分析中心可以通过从安全组织处、从网络流量或异常监控中获取一个漏洞相应的exploit代码,如果某一漏洞的exploit代码不易被获取,分析中心可采取自主开发的方式得到相应的exploit代码。exploit代码可以用来向用户提供更为准确的威胁警告,如果用户在自己的网络流量或者文件中监察到了与之相同或非常相似的部分,那么该文件或者信息就极有可能是攻击者用来触发漏洞的,用户可以通过升级系统和应用程序,屏蔽某个来源的信息来防范此类攻击的威胁。exploit代码同样是生成漏洞特征码时应当考虑的一个组成部分。
3.3最终用户
最终用户是以上部分和策略的直接使用者,漏洞信息的整理和分析的结果在用户处体现。用户处采取客户端的方式,与分析中心进行交互,从分析中心处获得以特征码为主的漏洞信息,反馈自己的匹配结果和在软硬件系统出现异常时的系统状态信息,为分析中心提供分析漏洞和开发相应的exploit代码的参考。通过这种信息的交互,用户能够及时发现自身系统中漏洞所造成的安全威胁,分析中心能够得到用户的反馈,验证特征码的构造是否合理并根据用户的状态信息开发新的exploit代码。
在这种方式下,用户需要在本地定时开放文件扫描和网络流量监控,通过特征码与文件和流量相匹配,以发现其中的异常情况,及时提醒用户防范恶意攻击和升级系统。在软硬件系统发生异常或者崩溃的时候,客户端报告系统的状态信息,用户在使用分析中西提供的服务的同时,也在某种程度上作为一种信息源将必要的信息提供给分析中心。
4结束语
本方案通过三个部分多个组成部分之间的协调联系,将漏洞应对的各个环节紧密联系起来,达到漏洞威胁的综合管理和应对。传统的漏洞威胁应对以“补丁”的方式为主,即发现漏洞以后,开发出相应的漏洞补丁予以修补,这种方式有一定的滞后性同时补丁的安装可能会引入新的安全威胁,受对病毒的防御方法的启发,本方案将重点从不漏洞向防止漏洞被利用转变,在采用这种方法的同时并不完全放弃传统的补丁方式,由单一的防护途径向综合的多种防护途径转变,不断加强信息系统的安全性。
参考文献
[1] 张友春,魏强,刘增良等. 信息系统漏洞挖掘技术体系研究[J]. 通信学报,2011(2): 42-47.
[2] 黄奕,曾凡平,张美超. 基于动态输入追踪的模糊技术[J]. 计算机工程, 2011, 37(6): 44-45, 48.
[3] 陈韬,孙乐昌,潘祖烈等. 基于文件格式的漏洞挖掘技术研究[J]. 计算机科学,2011(S1): 78-82.
[4] 李伟明,张爱芳,刘建财等. 网络协议的自动化模糊测试漏洞挖掘方法[J]. 计算机学报,2011(2): 242-255.
[5] 陆凯. Web应用程序安全漏洞挖掘的研究[D]. 西安电子科技大学, 2010.
[6] 徐有福,文伟平,张普含等. 一种参考安全补丁比对的软件安全漏洞挖掘方法研究[Z]. 北京: 2011.
[7] 黄诚,方勇. ActiveX控件漏洞挖掘与分析技术研究[J]. 信息安全与通信保密,2012(2): 54-56.
[8] 吴毓书,周安民,吴少华等. 基于Fuzzing的ActiveX控件漏洞发掘技术[J]. 计算机应用,2008(9): 2252-2254.
[9] 徐良华,孙玉龙,高丰等. 基于逆向工程的软件漏洞挖掘技术[J]. 微计算机信息,2006(24): 259-261.
[10] Noel S, Elder M, Jajodia S, et al. Advances in Topological Vulnerability Analysis[C]. 2009.
[11] 吴舒平,张玉清. 漏洞库发展现状的研究及启示[J]. 计算机安全, 2010(11): 82-84.
[12] Yao G, Guan Q, Ni K. Test Model for Security Vulnerability in Web Controls based on Fuzzing[J]. Journal of Software. 2012, 7(4): 773-778.
作者简介:
黄俊强(1974-),男,汉族,沈阳工业学院,本科,黑龙江省电子信息产品监督检验院信息安全测评中心主任,高级工程师;主要研究方向和关注领域:网络与信息安全、风险评估与等级保护测评。
宋超臣(1979-),男,汉族,哈尔滨工程大学,硕士研究生,工程师;主要研究方向和关注领域:服务计算、信息安全。endprint