隨著計算機技術和信息技術的迅速發展��,操作系統漏洞�����、應用軟件漏洞���、硬件漏洞��、由于用戶不良操作習慣所造成的人為漏洞等計算機安全漏洞問題逐漸引起了廣大計算機用戶的重視����。漏洞是實施網絡攻擊和加強網絡防護的關鍵因素�,計算機安全漏洞研究是計算機安全體系的研究基礎��。為了更好地了解計算機系統中存在的漏洞隱患��,阻止或消除安全漏洞�����,我們應該明確計算機安全漏洞的定義�����,了解漏洞的主要特點����,掌握漏洞的分類原則和分類方法���。
1. 漏洞的定義
大多數用戶對于計算機安全漏洞的概念或多或少會有一定的理解����,但是他們所處的領域不同�����、看待漏洞的角度不同���,導致對漏洞的理解也各不相同���。因此����,在研究漏洞的過程中�����,至今對漏洞的精確定義還沒有形成一個統一的���、標準的解釋����,目前被廣泛接收的定義有以下三種����。
Denning 在《Cryptograph and Data Security》一文中從訪問控制的角度給出了漏洞的定義���,他認為�,系統中主體對對象的訪問是通過訪問控制矩陣實現的���,這個訪問控制矩陣就是安全策略的具體實現��,應該明確描述系統中的每一個主體可以執行什么操作�����、不可以執行什么操作���。當操作系統的操作和安全策略之間相沖突時����,就產生了安全漏洞�。因此���,從訪問控制角度來講��,計算機漏洞就是指導致操作系統執行的操作和訪問控制矩陣所定義的安全策略之間相沖突的所有因素�。
Bishop 和 Baily 在《A Critical Analysis of Vulnerability Taxonomies》中認為�,計算機系統是由若干描述實體配置的當前狀態所組成的�����,系統通過應用程序的狀態轉變改變系統的狀態�。這些狀態可分為授權狀態�����、非授權狀態以及易受攻擊狀態��、不易受攻擊狀態�。容易受攻擊的狀態是指通過授權的狀態轉變從非授權狀態可以到達的授權狀態�。受損狀態是指已完成這種轉變的狀態��,攻擊是非受損狀態到受損狀態的狀態轉變過程�����。因此�����,從狀態空間角度來講�,漏洞就是指區別于所有非受損狀態的容易受攻擊的狀態特征���。
Longstaff和shain在1990年出版的“The Data & Computer Security Dictionary of Standards,Concepts,and Terms”中認為��,漏洞是指系統中存在的任何不足或缺陷�����。他們認為�,在計算機安全中����,可以從以下兩個方面來理解漏洞的含義:一方面�,漏洞是指自動化系統安全過程��、管理控制以及內部控制等中的缺陷�����,它能夠被威脅利用���,從而獲得對信息的非授權訪問或者破壞關鍵數據處理�。另一方面��,漏洞是指在物理層����、組織����、程序�、人員�、軟件或硬件方面的缺陷�����,它能夠被利用而導致對自動數據處理系統或行為的損害�。
這三個定義分別從不同的層次和角度對漏洞做出了解釋��,從以上的這三個定義我們可以看出�,漏洞除了系統本身固有的缺陷之外���,還應包含用戶的不當配置����、管理或制度上的風險或是其它許多非技術因素造成的不足或錯誤����。概括起來��,漏洞是在硬件����、軟件�、協議的具體實現或系統安全策略上存在的缺陷����,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統���。
2. 漏洞的特點
計算機漏洞是一個比較獨特的抽象概念�����,它具有以下特點:
(1)計算機安全漏洞的存在并不能導致損害���,但是它可以被攻擊者利用��,從而造成對系統安全的威脅和破壞��。計算機安全漏洞也不同于一般的計算機故障����,漏洞的惡意利用能夠影響人們的工作�、生活����,甚至會帶來災難的后果�。
(2)漏洞是普遍存在的�����,例如��,軟件編程過程中出現邏輯錯誤是很普遍的現象��,而這些錯誤絕大多數都是由疏忽造成的����。
(3)漏洞是在硬件�����、軟件���、協議的具體實現或具體使用的過程中產生的錯誤�,但并不是系統中存在的錯誤都是安全漏洞�����,只有能威脅到系統安全的錯誤才是漏洞����。許多錯誤在通常情況下并不會對系統安全造成危害���,只有被人在某些條件下故意使用時才會影響系統安全����。
(4)漏洞和具體的系統環境密切相關����,在不同種類的軟�、硬件設備中�����,同種設備的不同版本之間����,不同設備構成的不同系統之間���,以及同種系統在不同的設置條件下�,都會存在各自不同的安全漏洞問題�����。
(5)漏洞問題是與時間緊密相關的����,而且是長期存在的�����。隨著時間的推移�����,舊的漏洞會不斷得到修補或糾正�,而在修補或糾正舊的漏洞的同時�,可能會導致一些新的漏洞或錯誤�,而且隨著用戶的深入使用��,系統中存在的漏洞會被不斷暴露出來����,因此�,漏洞將會長期存在��。
3. 漏洞的分類
計算機安全漏洞的分類研究是漏洞研究的基礎�。從不同的角度和層次分析現有漏洞��,提取各種漏洞之間的共性和異性�,準確的對漏洞進行分類�����,可以幫助我們更好地理解各種漏洞的起因�、基本特點��、利用方式��、影響后果等本質���,提高漏洞的檢測效率��,從而提出正確的方案并采取有效的措施來預防和解決漏洞問題�,提高計算機及網絡的總體安全性能���。
3.1 分類原則
準確提取待分類對象的分類特征是成功分類的關鍵���。分類特征一般也叫做對象的屬性�����,這些特征應該是容易���、客觀地從對象中得到��。為了對計算機安全漏洞進行規范����、合理�、科學的分類�����,保證分類結果的準確性�����,在對計算機漏洞進行分類時���,應該遵循以下幾個原則:
(1)客觀性:分類特征必須是從觀察研究中清楚得到的�,而不是來自于研究者的主觀意見或理論推斷�����;
(2)互斥性:分類不允許重疊�����,也就是說分類之后����,一個對象只能屬于一個類別����,不能同時屬于兩個不同的類別��;
(3)完備性:所有類別的疊加必須要能夠涵蓋所有可能性�,即每個分類都必須包含符合該分類條件的所有對象���;
(4)確定性:提取分類特征必須有一個明確的�、可以遵循的步驟���;
(5)特異性:分類特征值必須都是確定的����、唯一的�����;
(6)可重復性:無論何人做分類工作���,只要遵循分類規則�,不論重復多少次�,得到的分類結果必須是相同的���;
(7)可擴展性:分類方案必須適應可能會引入的新的漏洞類別以及以新方式出現的舊的漏洞���;
(8)可被接受性:分類方法應該合乎邏輯和直覺��,可以被大多數人理解和接受���;
(9)可用性:可以方便�����、快速地查詢分類結果����,并且有利于對調查領域的深入研究�����;
3.2目前常用的計算機安全漏洞分類方法
早期的計算機安全漏洞分類方法有很多種�,主要有PA分類法��、RISOS分類法���、Aslam分類法和Eric Knight分類法等��。由于近年來計算機安全漏洞層出不窮�,而且漏洞的起因�����、漏洞的種類��、漏洞的利用方式以及漏洞的影響結果各不相同��,僅靠早期的那些分類方法已經不能滿足對目前存在的各種漏洞進行分類的要求����。因此�����,綜合目前計算機安全漏洞的特性�,業界又提出了一些新的漏洞分類方法����,下面介紹幾種目前常用的分類方法�����。
(1)按漏洞的形成原因分類
在研究漏洞的形成原因時����,對其研究的抽象層次不同�,得到的結果也可能不同��,進而會導致對同一個漏洞做出不同的分類��,所以利用漏洞的成因對漏洞分類比較困難����。根據漏洞的形成原因可以把漏洞分為編碼錯誤和環境配置錯誤兩大類����,如果要進一步細分的話���,可以分為以下幾類:
1)輸入驗證錯誤
這類漏洞的形成原因是由于未對用戶提供的輸入數據的合法性作適當的檢查����,使攻擊者非法進入系統����。例如:應用程序沒有正確識別輸入錯誤�、模塊接收了無關的輸人數據����、模塊無法處理空輸人域�����、域值關聯錯誤等都會導致輸入驗證錯誤���。
2)緩沖區溢出錯誤
這類漏洞的形成原因是由于向程序的緩沖區中錄入的數據超過其規定長度造成緩沖區溢出�,破壞程序正常的堆棧���,使程序執行其他命令�。
3)邊界條件錯誤
這類漏洞的形成原因是未對邊界條件進行有效性驗證����。例如:當一個進程讀或寫超出有效地址邊界的數據��、系統資源耗盡�、固定結構長度的數據溢出等都會導致邊界條件錯誤���;
4)訪問校驗錯誤
這類漏洞的形成原因是由于程序的訪問驗證部分存在某些邏輯錯誤����,使攻擊者可以繞過訪問控制進入系統�����。例如:一個對象的調用或其他操作在其訪問域之外�、一個對象接收了另一個未授權對象的輸入����、系統沒有正確地進行授權操作等都會導致訪問校驗錯誤�。
5)意外情況處置錯誤
這類漏洞的形成原因是由于程序在它的實現邏輯中沒有考慮到一些意外情況�����,系統沒有正確處理由功能模塊�����、設備或用戶輸人等造成的異常情況而導致運行出錯�。
6)設計錯誤
這個類別是非����;\統的�����,嚴格來說��,大多數漏洞的存在都是設計錯誤�。
7)競爭條件錯誤
這類漏洞的形成原因是由于程序處理文件等實體在時序和同步方面存在問題�,存在一個機會窗口使攻擊者能夠施以外來的影響�����。
8)順序化操作錯誤
這類漏洞的形成原因是由于不正確的序列化操作而造成的錯誤�。
9)環境錯誤
這類漏洞的形成原因是由于一些環境變量的錯誤或惡意設置而導致有問題的特權程序可能去執行攻擊代碼�。例如:在特定的環境中模塊之間的交互造成錯誤���、一個程序在特定的機器或特定的配置下將出現錯誤�����、操作環境與軟件設計時的假設不同造成錯誤等��。
10)配置錯誤
這類漏洞的形成原因是由于系統和應用的配置有誤���。例如:訪問權限配置錯誤��、參數配置錯誤��、系統被安裝在不正確的地方或位置等����。
(2)按威脅的來源分類
根據威脅的來源一般把漏洞分為主機方面漏洞�����、網絡方面漏洞���、物理方面及管理方面漏洞這四種類型��。主機方面漏洞主要是操作系統��、主機設備等方面引起的漏洞��;網絡方面漏洞主要指各種網絡入侵�、協議缺陷���、網絡介質的脆弱性等引起的漏洞�����;物理方面漏洞主要指環境區域��、設備安全等方面引起的漏洞�����,但又是最重要的隱患�;管理方面漏洞主要人員管理���、培訓等存在的問題引起的漏洞�,也是一個非��?膳碌碾[患�。
(3)按漏洞可能對系統造成的直接威脅分類
根據漏洞對系統安全造成的直接威脅可分為遠程管理員權限�,本地管理員權限��,普通用戶訪問權限�,權限提升���,遠程拒絕服務��,本地拒絕服務��,遠程非授權文件存取���,服務器信息泄露�,讀取受限文件���,口令恢復����,欺騙等��。
1)遠程管理員權限
攻擊者無須一個賬號登錄到本地直接獲得遠程系統的管理員權限�����,通常通過攻擊以root身份執行的有缺陷的系統守護進程來完成�����。漏洞的絕大部分來源于緩沖區溢出�,少部分來自守護進程本身的邏輯缺陷�����。
2)本地管理員權限
攻擊者在已有一個本地賬號能夠登錄到系統的情況下��,通過攻擊本地某些有缺陷的suid程序等手段����,得到系統的管理員權限��。
3)普通用戶訪問權限
攻擊者利用服務器的漏洞����,取得系統的普通用戶存取權限�,對UNIX系統通常是shell訪問權限����,對Windows系統通常是cmd.exe的訪問權限��,能夠以一般用戶的身份執行程序����,存取文件�����。攻擊者通常攻擊以非root身份運行的守護進程����,有缺陷的cgi程序等手段獲得這種訪問權限��。
4)權限提升
攻擊者在本地通過攻擊某些有缺陷的sgid程序�����,把自己的權限提升到某個非root用戶的水平�。獲得管理員權限可以看做是一種特殊的權限提升���,只是因為威脅的大小不同而把它獨立出來�����。
5)遠程拒絕服務
攻擊者利用這類漏洞��,無須登錄即可對系統發起拒絕服務攻擊�,使系統或相關的應用程序崩潰或失去響應能力��。這類漏洞通常是系統本身或其守護進程有缺陷或設置不正確造成的�。
6)本地拒絕服務
在攻擊者登錄到系統后���,利用這類漏洞�����,可以使系統本身或應用程序崩潰����。這種漏洞主要是因為程序對意外情況的處理失誤�,如寫臨時文件之前不檢查文件是否存在��,盲目跟隨鏈接等����。
7)遠程非授權文件存取
利用這類漏洞����,攻擊可以不經授權地從遠程存取系統的某些文件�。這類漏洞主要是由一些有缺陷的cgi程序引起的�����,它們對用戶輸入沒有做適當的合法性檢查��,使攻擊者通過構造特別的輸入獲得對文件存取�����。
8)服務器信息泄露
利用這類漏洞����,攻擊者可以收集到對于進一步攻擊系統有用的信息�����。這類漏洞的產生主要是因為系統程序有缺陷�,一般是對錯誤的不正確處理�。
9)讀取受限文件
攻擊者通過利用某些漏洞����,讀取系統中他應該沒有權限的文件��,這些文件通常是與安全相關的�����。這些漏洞的存在可能是文件設置權限不正確��,或者是特權進程對文件的不正確處理和意外dump core使受限文件的一部份dump到了core文件中�。
10)口令恢復
由于采用了很弱的口令加密方式�����,所以攻擊者可以很容易的分析出口令的加密方法��,從而使攻擊者通過某種方法得到密碼后還原出明文來��。
11)欺騙
利用這類漏洞�,攻擊者可以對目標系統實施某種形式的欺騙�。這通常是由于系統的實現上存在某些缺陷���。
(4)按漏洞的嚴重性分類
一般來說�����,漏洞的威脅類型基本上決定了它的嚴重性���,我們可以把嚴重性分成高���,中�,低3個級別���。遠程和本地管理員權限大致對應為高��;普通用戶權限���,權限提升��,讀取受限文件���,遠程和本地拒絕服務大致對應中級���;遠程非授權文件存取��,口令恢復�,欺騙�����,服務器信息泄露大致對應低級別��。
(5)按漏洞被攻擊者利用的方式分類
1)本地漏洞
攻擊者是系統本地的合法用戶或已經通過其他攻擊方法獲得了本地權限的非法用戶����。攻擊者必須在本機擁有訪問權限前提下才能發起攻擊的漏洞�����。比較典型的是本地權限提升漏洞����,這類漏洞在系統中廣泛存在����,能讓普通用戶獲得最高管理員權限�。
2)遠程漏洞
攻擊者是通過網絡對連接在網絡上的任意一臺機器進行攻擊�����,可分為入侵攻擊與破壞攻擊兩種方式���。攻擊者可以利用并直接通過網絡發起攻擊的漏洞�。這類漏洞危害極大��,攻擊者能隨心所欲的通過此漏洞操作他人的電腦���,并且此類漏洞很容易導致蠕蟲攻擊��。
4. 研究現狀
美國一直重視計算機安全漏洞的研究工作�����,并且取得了許多優異的成果��。20世紀70年代中期�����,美國南加州大學啟動了PA(Protection Analysis Project)研究計劃�,主要針對操作系統的安全缺陷進行研究��;美國國家標準局(National Bureau of Standards )啟動了RISOS項目�,主要針對當時的操作系統脆弱性問題進行研究�;1990年���,美國伊利諾伊大學的 Brian Marick對軟件漏洞的形成特點做了統計分析���,并發表了一篇關于軟件漏洞的調查報告���;1993 年�����,美國海軍研究實驗室(Naval Research Laboratory)的Landwher等人收集了不同操作系統的安全缺陷��,按照漏洞的來源���、形成時間和分布位置建立了三種分類模型�����,在分類方法中第一次引入了時間和空間的概念���;普渡大學COAST 實驗室的Taimur����,Aslam, Ivan Krsul 和 Eugene H.Spafford提出了更為完整的漏洞分類摸型�����,并建立了專用漏洞數據庫漏洞�,分類方法第一次被用于該實驗室的漏洞庫�;MITRE 公司從事的“公共漏洞列表” (Common Vulnerability Enumeration,CVE)工作���,為每個漏洞建立了統一標識��,方便了漏洞研究的信息共享及數據交換�。此外��,許多國家的官方組織�、規模較大的工商企業和專門從事IT安全領域的企業等���,很大程度地推動了漏洞數據庫領域的研究工作����。近年來���,日本����、德國�����、澳大利亞等國家也做出了巨大的投入�,參與了此方面的研究����。
在國內����,關于系統安全漏洞理論研究方面的論文和參考文獻還不多��,但一些知名的信息與網絡安全公司��、組織都陸續創建了自己的漏洞數據庫����,如綠盟科技���,安全焦點�����,中國信息安全論壇��,安絡科技��,中國教育和科研計算機網緊急響應組(CCERT)�����,國家計算機網絡應急處理協調中心等��。
近幾年來���,漏洞的挖掘技術更加自動化和智能化�����,使得發現的漏洞數量劇增�,發現漏洞的位置也不再僅僅局限于操作系統和服務器��,而是多集中在Web瀏覽器���、數據或系統備份恢復軟件��、防病毒軟件��、Microsoft Office�、郵件客戶端����、多媒體播放軟件等客戶端軟件上�����。目前����,計算機安全漏洞研究的熱點領域主要有:ActiveX 控件漏洞���、文件格式漏洞��、Web 漏洞����、虛擬機漏洞����、驅動程序漏洞��、安全軟件漏洞等等���。
對于計算機安全漏洞���,國際和國內的態度是完全不一樣的���。國外對發現漏洞的態度是公開透明的��,用戶可以了解情況并及時進行修補����,而國內則對發現漏洞的態度則是相反的����,是不透明的�,用戶無法及時了解有關情況��。另外��,國內在安全漏洞研究領域還存在著很多問題���,比如:國內創建的漏洞數據庫在實時性����,更新性�����,完整性����,以及在分類方面���,都有所缺陷�,而且沒有一個統一的標準�,尤其是關于漏洞的利用方面的信息很少�,缺乏對漏洞的進一步分析����、研究和歸納���,不能反應漏洞的本質特征�����,在漏洞信息的查詢���、檢索方面也很不方便��,使這些漏洞信息難以得到充分的利用����。
5. 小結
計算機系統安全漏洞研究是計算機安全體系研究的基礎�,充分理解計算機安全漏洞的含義和主要特點�,掌握漏洞的分類原則和分類方法����,有助于增強對計算機安全漏洞本質的進一步理解�,了解系統中可能存在的漏洞隱患���,從而有針對性地消除或阻止安全漏洞��,使計算機安全專家更加針對性地尋找��、分析���、發現未知的漏洞�����,達到防范于未然的目的���。
參考文獻
[1]汪貴生�,夏陽���,計算機安全漏洞分類研究���,計算機安全���,2008年(11).
[2]王磊��,計算機系統安全漏洞研究�,中國優秀碩士學位論文全文數據庫��,2004年.
[3]單國棟�,戴英俠�����,王航��,計算機漏洞分類研究��,計算機工程�,2002年10月.
[4]張玉清��,網絡安全漏洞研究���,信息網絡安全��,2008年(11).
