黃俊強+++宋超臣

【摘要】隨著信息系統(tǒng)的發(fā)展，其中的威脅形式也越來越多樣化，漏洞威脅作為其中一種影響范圍廣、威脅程度高的形式被越來越多地關注。常規(guī)的應對漏洞威脅是采用補丁的方式，這樣有一定的不足。本文提出一種多方聯(lián)動的漏洞威脅應對方式，綜合利用各方資源，加強信息系統(tǒng)的安全性。

【關鍵詞】信息系統(tǒng)；漏洞；多方聯(lián)動；補?。槐O(jiān)測

1引言

當前針對漏洞這種安全威脅所采取應對措施的各個環(huán)節(jié)還相對孤立，沒有銜接成為一個整體，漏洞發(fā)現、漏洞分析、漏洞補丁的發(fā)布等各個部分各自為戰(zhàn)，彼此之間缺乏聯(lián)系，從漏洞發(fā)現到最后由此漏洞導致的重要安全威脅被消除，期間的時間跨度較大，使本來就不容樂觀的安全形勢更加嚴峻。參與漏洞處理的各個組織之間缺乏有效的交流，漏洞庫組織、安全公司、愛好者團體之間交流甚少，甚至故意制造技術壁壘，這也嚴重影響了漏洞應對的效率。本文提出一種多方聯(lián)動的漏洞威脅應對方案，旨在提高各種資源的利用率，聯(lián)合漏洞庫、補丁發(fā)布組織、安全組織、愛好者團體等漏洞參與環(huán)節(jié)，縮短從漏洞發(fā)現到漏洞應對措施的成功實施的時間。

2整體框架

當前對漏洞的定義為：在一個信息系統(tǒng)的硬件、軟件或固件的需求、設計、實現、配置、運行等過程中有意留下或無意中產生的一個或若干個缺陷，它會導致該信息系統(tǒng)處于風險之中。漏洞所帶來的威脅不是來自于漏洞本身，而是由于漏洞所引起的信息泄露、未經授權的訪問和篡改等風險。有些漏洞被利用后，攻擊者可以繞過安全機制和授權機制，達到其非法入侵的目的。

現有技術條件下，對漏洞的發(fā)現和研究尚未達到完全自動的程度，主要手段仍是手動測試和構造半自動化的測試程序。同時針對不同的文件格式，其漏洞發(fā)現和修補的途徑也差異甚大，對網絡協(xié)議和各種文件格式的漏洞發(fā)掘已經取得一部分研究成果，根據補丁前后的文件比對進而對漏洞進行利用的逆向工程技術也日益豐富，由于不同類型的漏洞的處理方法差異較大，也導致了各個組織之間各有所長，在緩沖區(qū)溢出、SQL注入、目錄遍歷、遠程代碼執(zhí)行等不同的方面都存在較為擅長的組織。

這種情況導致了一批分布于漏洞處理各個領域的研究單位、安全公司、愛好者團體的出現和發(fā)展，使這一領域的氣氛非常活躍，但是在某種程度上也阻礙了經驗的交流和成果的轉化。針對這種情況，借鑒現有的殺毒軟件的模式，提出一種新的漏洞應對方案，揚長避短，綜合各方優(yōu)勢，做到對各種漏洞帶來的威脅及時地響應。

本方案設計為三個主要的部分：漏洞信息獲取、分析和處理；涉及到三個主要的參與方：漏洞信息源、分析中心、最終用戶。其中，信息源提供有關漏洞的相關信息，如漏洞的來源，影響的應用程序、系統(tǒng)或者網絡協(xié)議，漏洞的觸發(fā)條件，在可能的情況下還要提供漏洞利用的shellcode或者exploit代碼等。分析中心負責對信息源提供的漏洞信息進行分類整理，分析其安全威脅等級，所屬分類，有無補丁，有無相應的exploit代碼，并設置相應的特征碼以便發(fā)送給最終用戶進行威脅應對。用戶部分則是根據分析中心得到的特征碼匹配網絡上收到的信息和本地文件內容，若存在一致的部分，則說明有可能是漏洞利用者故意發(fā)送的觸發(fā)漏洞的代碼或者制造的文件，需要提高警惕。

本方案的三個部分之間需要交互聯(lián)系，分析中心從信息源處獲得漏洞的信息并綜合分析處理，然后將結果送到最終用戶，接受最終用戶的反饋，最終用戶也可在程序或者協(xié)議出現異常的時候，將場景保存發(fā)送給分析中心，分析中心利用人員和數據量上的優(yōu)勢進行分析處理，同時將此信息分發(fā)至各漏洞研究和應對組織，盡量把漏洞堵在未造成危害的狀態(tài)。其結構示意如圖1。

3分塊功能劃分

3.1信息源

信息源處于整個方案的設計中的最前端，是方案能夠正常運行的第一步，從信息源處得到的漏洞信息是原始的數據，在漏洞信息獲取的過程中，應當秉持“寧濫勿缺”的原則，盡可能多的搜集各漏洞庫的漏洞信息，以交由分析中心進行分析處理。

目前相對較大的漏洞庫，國外的有美國國家漏洞庫（NVD），美國國土安全部的US-CERT Vulnerability Notes Database，開源的Open Source Vulnerability Database，Symantec公司的SecurityFocus Vulnerability Database，VeriSign公司的iDefense Vulnerability Advisories，這些漏洞庫大都遵循CVE（Common Vulnerability and Exposures）標準且有各自不同的更新方式，其中的內容詳細全面，是很有價值的漏洞庫參考。

國內的漏洞庫主要是中國國家漏洞庫、國家安全漏洞庫、國家信息安全漏洞共享平臺和綠盟公司的綠盟科技漏洞庫，這些漏洞庫也都更新及時，分類詳細。另外還有一些愛好者團體、網絡安全組織等所掌握的漏洞信息，其特點是時效性強、漏洞信息很新，威脅程度較高，也有很高的分析價值。

選擇信息源時，應當盡可能綜合上述漏洞庫的信息，積極吸取各方的長處和優(yōu)勢，為在分析環(huán)節(jié)進行漏洞的分析分類和整理提供盡量多的數據，這樣有助于分析環(huán)節(jié)中的分類更明確，特征碼提取更準確，能夠更高效地為最終用戶提供相應的漏洞應對策略，同時更好地將信息源和信息目的地連接在一起。

3.2分析中心

分析中心負責將從信息源傳來的信息進行分析分類和整理，在技術條件允許的情況下對漏洞進行深一步的研究，主要是從已經獲得的漏洞信息中，如漏洞影響的系統(tǒng)、軟件或者協(xié)議，漏洞的CVE編號，漏洞觸發(fā)時的內存情況、系統(tǒng)信息、運行狀態(tài)等信息中，提取引發(fā)漏洞威脅的文件、數據流的特征碼，使得用戶能夠根據特征碼來發(fā)現漏洞的威脅。這種方式較為簡便易行，同時不要求客戶端占用太多的資源。

分析中心需要完成對漏洞的分類，按照影響的信息系統(tǒng)的部分不同，分為系統(tǒng)漏洞、應用程序漏洞、協(xié)議漏洞等；按照威脅等級將漏洞標記為高風險、一般風險和低風險；按照觸發(fā)機制的不同，將漏洞分為緩沖區(qū)溢出漏洞、注入漏洞、遠程安全機制繞過漏洞等；并以此作為參考的一部分，定義漏洞的特征碼，方便地標識一個漏洞所處的狀態(tài)。endprint

一個漏洞的觸發(fā)機制，即軟件活硬件的異常是在什么情況下被觸發(fā)的，能夠精確地定位觸發(fā)漏洞的場景，明確當時軟件的輸入、正在處理的數據、提供給它的接口做出了哪些動作，對漏洞的研究也就成功了一半。同時，明確觸發(fā)漏洞的輸入也有非常重要的意義，因為在一般情況下想要進行漏洞利用，必須要觸發(fā)漏洞，而漏洞利用的代碼、數據流或者文件與引起軟硬件崩潰時的場景必然有相似或者相同之處，研究漏洞的觸發(fā)機制是分析一個漏洞的重要的一步。

明確一個漏洞能夠造成的后果，對漏洞分析和漏洞威脅等級的定義，也有重要的價值。有些漏洞僅會導致目錄信息被泄露或者拒絕服務，有些漏洞則造成緩沖區(qū)溢出，指令寄存器被攻擊者篡改，引發(fā)攻擊者可以執(zhí)行任何命令的嚴重后果；故需要根據漏洞影響的范圍，以及針對此種類型的漏洞的攻擊方式、攻擊工具的數量的不同，對漏洞的威脅等級進行定義，對于威脅等級較高的漏洞，相應地在分析、處理時的緊迫度也較高。

針對威脅等級中等以上的漏洞，分析中心可以通過從安全組織處、從網絡流量或異常監(jiān)控中獲取一個漏洞相應的exploit代碼，如果某一漏洞的exploit代碼不易被獲取，分析中心可采取自主開發(fā)的方式得到相應的exploit代碼。exploit代碼可以用來向用戶提供更為準確的威脅警告，如果用戶在自己的網絡流量或者文件中監(jiān)察到了與之相同或非常相似的部分，那么該文件或者信息就極有可能是攻擊者用來觸發(fā)漏洞的，用戶可以通過升級系統(tǒng)和應用程序，屏蔽某個來源的信息來防范此類攻擊的威脅。exploit代碼同樣是生成漏洞特征碼時應當考慮的一個組成部分。

3.3最終用戶

最終用戶是以上部分和策略的直接使用者，漏洞信息的整理和分析的結果在用戶處體現。用戶處采取客戶端的方式，與分析中心進行交互，從分析中心處獲得以特征碼為主的漏洞信息，反饋自己的匹配結果和在軟硬件系統(tǒng)出現異常時的系統(tǒng)狀態(tài)信息，為分析中心提供分析漏洞和開發(fā)相應的exploit代碼的參考。通過這種信息的交互，用戶能夠及時發(fā)現自身系統(tǒng)中漏洞所造成的安全威脅，分析中心能夠得到用戶的反饋，驗證特征碼的構造是否合理并根據用戶的狀態(tài)信息開發(fā)新的exploit代碼。

在這種方式下，用戶需要在本地定時開放文件掃描和網絡流量監(jiān)控，通過特征碼與文件和流量相匹配，以發(fā)現其中的異常情況，及時提醒用戶防范惡意攻擊和升級系統(tǒng)。在軟硬件系統(tǒng)發(fā)生異?；蛘弑罎⒌臅r候，客戶端報告系統(tǒng)的狀態(tài)信息，用戶在使用分析中西提供的服務的同時，也在某種程度上作為一種信息源將必要的信息提供給分析中心。

4結束語

本方案通過三個部分多個組成部分之間的協(xié)調聯(lián)系，將漏洞應對的各個環(huán)節(jié)緊密聯(lián)系起來，達到漏洞威脅的綜合管理和應對。傳統(tǒng)的漏洞威脅應對以“補丁”的方式為主，即發(fā)現漏洞以后，開發(fā)出相應的漏洞補丁予以修補，這種方式有一定的滯后性同時補丁的安裝可能會引入新的安全威脅，受對病毒的防御方法的啟發(fā)，本方案將重點從不漏洞向防止漏洞被利用轉變，在采用這種方法的同時并不完全放棄傳統(tǒng)的補丁方式，由單一的防護途徑向綜合的多種防護途徑轉變，不斷加強信息系統(tǒng)的安全性。

參考文獻

[1] 張友春，魏強，劉增良等. 信息系統(tǒng)漏洞挖掘技術體系研究[J]. 通信學報，2011（2）： 42-47.

[2] 黃奕，曾凡平，張美超. 基于動態(tài)輸入追蹤的模糊技術[J]. 計算機工程， 2011， 37（6）： 44-45， 48.

[3] 陳韜，孫樂昌，潘祖烈等. 基于文件格式的漏洞挖掘技術研究[J]. 計算機科學，2011（S1）： 78-82.

[4] 李偉明，張愛芳，劉建財等. 網絡協(xié)議的自動化模糊測試漏洞挖掘方法[J]. 計算機學報，2011（2）： 242-255.

[5] 陸凱. Web應用程序安全漏洞挖掘的研究[D]. 西安電子科技大學， 2010.

[6] 徐有福，文偉平，張普含等. 一種參考安全補丁比對的軟件安全漏洞挖掘方法研究[Z]. 北京： 2011.

[7] 黃誠，方勇. ActiveX控件漏洞挖掘與分析技術研究[J]. 信息安全與通信保密，2012（2）： 54-56.

[8] 吳毓書，周安民，吳少華等. 基于Fuzzing的ActiveX控件漏洞發(fā)掘技術[J]. 計算機應用，2008（9）： 2252-2254.

[9] 徐良華，孫玉龍，高豐等. 基于逆向工程的軟件漏洞挖掘技術[J]. 微計算機信息，2006（24）： 259-261.

[10] Noel S， Elder M， Jajodia S， et al. Advances in Topological Vulnerability Analysis[C]. 2009.

[11] 吳舒平，張玉清. 漏洞庫發(fā)展現狀的研究及啟示[J]. 計算機安全， 2010（11）： 82-84.

[12] Yao G， Guan Q， Ni K. Test Model for Security Vulnerability in Web Controls based on Fuzzing[J]. Journal of Software. 2012， 7（4）： 773-778.

作者簡介：

黃俊強（1974-），男，漢族，沈陽工業(yè)學院，本科，黑龍江省電子信息產品監(jiān)督檢驗院信息安全測評中心主任，高級工程師；主要研究方向和關注領域：網絡與信息安全、風險評估與等級保護測評。

宋超臣（1979-），男，漢族，哈爾濱工程大學，碩士研究生，工程師；主要研究方向和關注領域：服務計算、信息安全。endprint