（计算机应用技术专业论文）基于oval的漏洞检测及修复服务的研究与实现.pdf

摘要 随着网络的发展与普及，漏洞和病毒所造成的网络安全问题也越来越多的被人们关 注。通过漏洞检测技术及时发现漏洞并利用补丁程序进行修复，是实现网络安全的重要 技术之一。另一方面，面对课题研究的社区电子服务基础网络，网络环境的安全性对于 业务的稳定运行有着重要的作用，因此需要向网络中各主机系统提供漏洞检测及修复服 务来保证安全性，以提高整个社区电子服务基础网络的安全可靠性。 第一，介绍了漏洞与补丁的相关原理和技术，对0 w 正规范和c v e 等标准的内容 进行了研究，分析讨论了补丁管理框架以及w i n d o w s 、l i n u x 补丁的特点。在理论研究 的基础上，结合o v a l 规范的优点，设计了一个基于o v a l 的漏洞检测及修复系统， 对系统的功能特点、体系结构和业务流程进行了描述。 第二，设计了漏洞检测及修复系统服务器的总体结构，对系统服务器的功能模块、 操作流程以及各模块的逻辑关系进行了分析和设计。详细描述了设计中关键问题的解决 方法，主要包括：设计了客户端代理登录系统的方式；研究并解决了漏洞定义文件更新 以及用户准入控制的问题；分析了o v a l 、c v e 和补丁信息之问的关系，设计了补丁信 息文件的结构。 第三，实现了漏洞检测及修复系统服务器的功能，详细描述了系统服务器中漏洞定 义文件更新、漏洞检测报告生成、检测及修复任务管理、补丁下载列表生成等主要模块 的实现。根据漏洞检测及修复系统在实际网络环境中的部署问题，讨论并利用分级服务 器体系结构提出了相应的解决方案，同时给出了在分级服务器体系结构下漏洞检测及修 复系统的分级管理和容错方法。 第四，测试了漏洞检测及修复系统服务器的运行效果，并对系统的分级管理和容错 方法的实现进行了验证。结果表明系统服务器能够提供稳定、可靠的漏洞检测及修复服 务，为社区电子服务基础网络的安全运行提供了保障。 关键词：o v a l ，漏洞检测，补丁，分级服务器 r e s e a r c ha n di m p l e m e n t a t i o no ft h eo v a l - b a s e dv u l n e r a b i l i t y d e t e c t i o n r e p a i rs e r v i c e a bs t r a c t w i t ht h ed e v e l o p m e n ta n dp o p u l a r i z a t i o no ft h en e t w o r k ，n e t w o r ks e c u r i t yi s s u e ss u c ha s v u l n e r a b i l i t i e sa n dv i r u s e sa t t r a c tm o r ea n dm o r ea t t e n t i o n t of i n dv u l n e r a b i l i t i e so nt i m e t h r o u g hv u l n e r a b i l i t yd e t e c t i o nt e c h n o l o g i e sa n da l s or e p a i rt h e mw i t hp a t c h e si so n e o ft h e m o s ts i g n i f i c a n tt e c h n o l o g i e so fn e t w o r ks e c u d t y o nt h eo t h e rh a n d ，a sf o rt h ef o u n d a t i o n a l e - s e r v i c e sn e t w o r ko fc o m m u n i t yu n d e rs t u d y i n g ，t h es e c u r i t yo fn e t w o r ke n v i r o n m e n ti s i m p o r t a n tt ot h es t a b l eo p e r a t i o no fe - s e r v i c e sb u s i n e s s ，s ot h ed e v e l o p m e n to fv u l n e r a b i l i t y d e t e c t i o na n dr e p a i rs y s t e mi sn e c e s s a r yt oe n s u r et h es a f e t yo fh o s t i n gt h en e t w o r k ，a sw e l la s t oi m p r o v et h es e c u r i t ya n dr e l i a b i l i t yo ft h ew h o l ec o m m u n i t ye - s e r v i c e sn e t w o r k f i r s t l y , p r i n c i p l e sa n dt e c h n o l o g i e sr e l e v a n tt ov u l n e r a b i l i t i e sa n dp a t c h e sa r ei n t r o d u c e d ， s p e c i f i c a t i o n ss u c ha so v a la n dc v e a r et a k e ni n t or e s e a r c h ，v a r i o u sp a t c h i n gm a n a g e m e n t f r a m e w o r k sa sw e l la sf e a t u r e so fw i n d o w s ，l i n u xp a t c h i n ga r et a k e ni n t od i s c u s s i o n t h e n ， b a s e du p o nt h er e s e a r c ho ft h e o r i e s 。t a k i n ga d v a n t a g e so fo 呲a no v a l - b a s e d v u l n e r a b i l i t yd e t e c t i i n ga n dr e p a i r i n gs y s t e mi sd e s i g n e d f u n c t i o n a l i t i e s ，a r c h i t e c t u r ea n d b u s i n e s sf l o w sa r ed e p i c t e d s e c o n d l y ，t h eo v e r a l la r c h i t e c t u r eo fv u l n e r a b i l i t yd e t e c t i o na n dr e p a i rs e r v e ri sd e s i g n e d m o d u l e s ，o p e r a t i o nf l o w sa n dl o g i c a lr e l a t i o n s h i p sb e t w e e nm o d u l e sa r ea n a l y z e da n d d e s i g n e d ad e t a i l e dd e s c r i p t i o no ft h ed e s i g ns o l u t i o n sf o rk e yi s s u e si n c l u d i n g ：t h ed e s i g no f t h ec l i e n tp r o x yr e g i s t r ys y s t e m s ，t h ew a yo fu p d a t i n gv u l n e r a b i l i t yd e f i n i t i o n s ，u s e ra c c e s s c o n t r o l ，r e l a t i o n s h i pa m o n g0 v a l c v e f u r t h e r m o r ep a t c h i n gi n f o r m a t i o nd o c u m e n t s s t r u c t u r ea r ea n a l y z e da n dd e s i g n e d t h i r d l y ，f u n c t i o n a l i t i e so ft h ev u l n e r a b i l i t yd e t e c t i o na n dr e p a i rs e r v e ra r ei m p l e m e n t e d d e t a i l e dd e s c r i p t i o no fm a i nf u n c t i o n a l i t yi m p l e m e n t a t i o n ss u c ha su p d a t i n go fv u l n e r a b i l i t y d e f i n i t i o n s ，r e p o r t i n go fv u l n e r a b i l i t yd e t e c t i o n ，m a n a g i n go fd e t e c t i o na n dr e p a i rt a s k sa n d g e n e r a t i n go fp a t c h i n gl i s ta r eg i v e no u t a c c o r d i n gt od e p l o y m e n ti s s u e so ft h ev u l n e r a b i l i t y a n dr e p a i rs y s t e m ，h i e r a r c h i c a la r c h i t e c t u r eo fs e r v e r sa r et a k e ni n t oc o r r e s p o n d i n gs o l u t i o n s ， m e a n w h i l e ，t h ef a u l t t o l e r a n ta n dm a n a g e m e n to ft h ev u l n e r a b i l i t ya n dr e p a i rs y s t e mu n d e r h i e r a r c h i c a la r c h i t e c t u r ei si n t r o d u c e d f i n a l l y ，t h ev u l n e r a b i l i t yd e t e c t i o na n dr e p a i rs y s t e mp e r f o r m a n c eo ft h es e r v e ri st e s t e d ， i i i a n ds y s t e mm a n a g e m e n ta n dt h er e a l i z a t i o no ff a u l t - t o l e r a n tm e t h o d sa r ev e r i f i e d t h er e s u l t s s h o wt h a tt h es y s t e ms e r v e ri sa b l et op r o v i d en o to n l yas t a b l ea n dr e l i a b l ef l a wd e t e c t i o nb u t a l s or e p a i rs e r v i c e sf o r t h es a f eo p e r a t i o no ft h ec o m m u n i t ye - s e r v i c e sf o u n d a t i o n a ln e t w o r k k e y w o r d s ：o v a l , v u l n e r a b i l i t yd e t e c t i o n ，p a t c h ，m u l t i t i e r e ds e r v e r s i v 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版。本人允许 论文被查阅和借阅。本人授权西北大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。同时授权中国科学技术信息研究所等机构将本学位论 文收录到中国学位论文全文数据库或其它相关数据库。 保密论文待解密后适用本声明。 学位论文作者签名： 痉毒 指导教师签名： ) 伽l 年易只i ) b砷年6 舄帅 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，本 论文不包含其他人已经发表或撰写过的研究成果，也不包含为获得西北大 学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对 本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：匀彦寿 1 年6 其l b 两】匕大学位论立 第一章引言 1 1 研究背景和意义 随着i n t e r n e t 技术的迅猛发展，计算机网络早已渗透到普通百姓的同常工作和生活 之中。它对经济、政治、教育、人文、军事以及人们的生活方式都产生了巨大的影响。 借助网络这平台，世界各地的企业、组织和个人能够互相交流及共享各种信息。据中 国互联网信息中心发柑发的第2 3 次中国互联网信息报告中指出我国的网民规模接 近3 亿，较2 0 0 7 年增眭4 19 ，已经超越美国成为全球第。 然而有些恶意的使用者正是利j = i j 了嘲络的普及和丌放性的特点，使用各种手段影响 网络的j f 常运行，致使大量的网络用户而临木马、病毒等多种安全威胁。据国家互联嘲 应急中心发布的中国互联网网络安全报告显示，2 0 0 8 年e 半年我国弃种州络安全事 件的发f f 数量与历年同期相比均有较大幅度的增长，其中垃圾邮件事件占安全事件总数 的3 7 0 1 ，网络仿冒事件占2 70 4 ，漏洞事件占75 7 ，如图1 所示吼 2 0 0 9 正p ￥年摩q $ # $ _ _ 甘女 。譬要黔8 ，e 目m 女 o27 i 日g r “1 日* * 日 _ * 口 m 女 i * $ #* 日月_ m 4 镕m n 日 图12 0 0 8 年上半年度网络的安全事件类型分布 报告同时指出软件的安全漏洞是各种安全威胁的主要根源，正是由于系统中大量漏 洞的存在，越来越多的嘲络攻击都是针对系统或应用软件的漏洞进行攻击，这些攻击不 仅导致系统的资料泄露和损毁，甚至还会导致整个系统的瘫痪而使用户蒙受巨大的损 失。漏洞不仪直接威胁用户的操作系统本身及其应用软件，而且还会影响到服务器软件、 路由器和防火墙等设备。据统计，从1 9 9 5 年到2 0 0 7 年底已公布的漏洞数量超过38 万 条【”，而且每年还在不断发现新的漏洞，针对这些漏洞开发的攻击代码和自动化攻击工 第一章引言 具也越来越多。同时由于缺乏专用的漏洞修复工具，大量的用户系统都是在未安装安全 补丁的情况下运行，存在着大量的安全隐患【4 1 。计算机系统中存在的大量漏洞对互联网 的发展和信息系统的安全运行造成了严重危害，同时也危及国家和社会的安全。 针对目前的情况，及时的发现漏洞并使用补丁程序对漏洞进行修复是预防网络与系 统安全事件的关键、有效且相对廉价的措施之一。如何主动地对网络中不同的操作系统 进行检测，发现网络中各主机系统的安全漏洞，全面了解网络面临的各种威胁，并能采 取有效的措施防范和消除这些威胁，实现真正的网络安全，已经成为当前刻不容缓需要 解决的问题。因此研究和构建自动化的系统漏洞检测及修复系统对于加强网络的安全防 护能力具有十分重要的意义。 1 2 国内外研究概况 面对当i j 的发展状况，各国都已意识到系统漏洞对网络的安全有着重要影响。从总 体来说，国外对漏洞检测及修复技术的研究丌展的比较早，因此取得的成果比较好，处 于领先地位；虽然国内对这方面的研究较晚，但是发展空间比较大，近年来，也取得了 一定的成果。 目前国外从事漏洞检测技术研究的机构和组织主要分为两大类，政府和学术团体主 要进行漏洞检测与评估的标准化研究，各种软件公司偏重于漏洞检测与评估技术的产品 化方面。 1 2 1 国外研究现状 ( 1 ) 漏洞检测系统的研究现状 国外非常著名的网络安全研究机构有u s c e r t 、c e r t - c c 、m i t r e 、s a f e t y l a b 等，其中m i t r e l 5 】是一个非营利的组织，主要负责各种技术的标准化工作。c v e 6 1 ( c o m m o nv u l n e r a b i l i t i e sa n de x p o s u r e s ) 和o v a l i v ( o p e nv u l n e r a b i l i t va n da s s e s s m e n t l a n g u a g e ) 的具体工作都是由它负责。在c v e 标准方面，m i t r e 已经取得了巨大的成 就，解决了过去安全问题命名混乱的现象，目前主流的漏洞检测评估方面的产品几乎全 部支持c v e 标准。而目前o v a l 规范正处于发展阶段，其目的是标准化漏洞检测过程， 让漏洞检测准确率更高、更好地评估网络，提高网络的安全性。 国外漏洞检测系统研究的公司很多，非常著名的有i s s ( i n t e m e ts e c u r i t ys y s t e m ) 、 e e y e 和h a r r i s 等公司。 2 西北大学硕士学位论文 i s s 公司的i s si n t e r n e ts c a n n e r l 8 j 源于1 9 9 2 年的c h r i s t o p h e rk l a u s 发起的小型开源 扫描器项目，现在i s s 已经成为国际上著名的安全公司，并拥有多种安全产品。i s si n t e r n e t s c a n n e r 的功能十分强大，最出名的就是扫描后生成的报告非常之详细，用来做风险评 估比较合适。同时它的可移植性和灵活性很强，众多的u n i x 的平台上都可以运行i s s 。 h a r r i s 是世界著名的通信及信息技术厂商，在网络安全领域，h a r r i s 拥有几十年的 技术及产品研发经验，其s t a t ( s e c u r i t yt h r e a ta v o i d a n c et e c h n o l o g yd i v i s i o n ) 部门专 注于网络漏洞的检测、评估及管理，为不同的公司或政府机构提供完备的安全漏洞解决 方案。它的主要产品：s t a tg u a r d i a nv u l n e r a b i l i t ym a n a g e m e n ts u i t e ( v m s ) 是款综 合的安全漏洞评估套件，它提供了主动的信息保护，使计算机网络免受黑客、病毒以及 其它威胁。 e e y e 公司是全球专业的安全漏洞产品研发厂商，用户技术领先的漏洞研发团队。其 开发的漏洞产品r e t i n a ，具有强大的网络漏洞检测功能，可以有效的检测并修复各种安 全隐患和漏洞，并生成相应的安全检测报告。它兼容各种主流操作系统、防火墙和路由 器等各种网络设备，曾在国外的安全评估软件的测评中名列第一。 除了这些研究机构、安全公司等，还有一部分开源爱好者和团体也积极的参与漏洞 检测技术的研究，其中最著名的系统就是n m a p t 9 】和n e s s u s 1 0 1 。n m a p 被人们称为扫描 器之王，而n e s s u s 则是开源产品的代表。 ( 2 ) 补丁管理系统的研究现状 通过漏洞检测工具发现的漏洞需要及时的进行修复，这样才能保证系统的安全性， 目前主要通过补丁管理系统来完成补丁的分发及漏洞的修复。国外的补丁管理系统研究 成果众多，例如： s t b e r n a r d 安全公司的u p d a t ee x p e r t 1 1 l 是一个能够自动为微软的操作系统和应用程 序应用修补程序和升级程序，确保系统处于最新状态的软件。它通过自动执行查询、修 补、生效、报告这四个过程来完成系统应用修正和更新，而且它可以选择需要管理的服 务器和客户端，按照预定义策略对需要应用的修正进行自动选择，并在测试环境中对程 序进行测试、报告系统潜在问题、部署修补程序、对系统同一性进行检查并给出报告， 最后是修补或者更新程序生效。 z e n w o r k sp a t c hm a n a g e m e n t 是n o v e l l 公司开发的功能强大的自动化补丁程序管理 解决方案。它维护并监视整个企业的补丁程序是否符合规范，从而准确的检测安全漏洞， 并且在适当的时间将适当的补丁程序部署到适当的计算机上以预防问题，从而保护用户 3 第一章引言 的网络，防止由于病毒而造成巨大损失。同时z e n w o r k sp a t c hm a n a g e m e n t 可以支持高 可用性、群集和负载平衡技术，可以满足大型复杂网络的安全要求。 p a t c h l i n ku p d a t e 是p a t c h l i n k 公司的自动补丁管理软件，它可以用来在多种操作系 统中自动补丁侦测和部署解决系统安全漏洞和其他稳定性的问题的关键补丁。p a t c h l i n k u p d a t e 具有补丁签名、断点续传、后台下载、并支持多厂商补丁等特点。 c o n f i g u r e s o f t 公司的e n t e r p r i s ec o n f i g u r a t i o nm a n a g e r ( 企业配置管理软件) 通过自 动化的补丁部署方案，可以不断的检测和验证补丁的有效性，以确保用户安装最新的补 丁。它可以不断的执行安全态势评估，当检测到威胁后它可以评估漏洞对整个网络的威 胁，帮助用户考虑优先修复的服务器和应用程序。并且该软件可以更新所有机器的补丁 状态，维护补丁部署的记录。 1 2 2 国内研究现状 目前的国内从事漏洞检测及修复系统研究的主要是各种类型的安全公司。国内的漏 洞检测及修复系统主要应用在w i n d o w s 平台下，可以对w i n d o w s 操作系统的漏洞进行 检测和修复，主流的软件有：3 6 0 安全卫士、金山清理专家、瑞星卡卡上网安全助手等。 国内一些厂商也在开发能够支持不同操作系统的漏洞检测及修复系统，这些系统的 功能较为完善，配置使用方便，适合企业使用。 极地补丁分发管理系统【1 2 l 。极地补丁分发管理系统是国内自主开发的网络安全产 品，它自带丰富全面的补丁库，包括了主流的操作系统和应用程序补丁。极地补丁分发 管理系统不仅提供了基于厂商补丁库的分发机制，还提供基于漏洞的补丁分发，并且针 对主流漏洞检测产品的检测结果都能有效的分发补丁。该管理系统不仅支持源厂商的补 丁库，而且还支持用户自定义补丁。同时该系统强大的资产管理功能也可以帮助用户更 好的管理网络节点。 榕基漏洞扫描系统是由榕基软件公司开发，它具有安装使用简单，可以与多种安全 设备联动的特点。该软件不仅能够发现主机操作系统的漏洞，而且对于网络设备和数据 库同样能够全面检查。同时它支持多种灵活的扫描方式，并且多样式的检测报告可以满 足不同人员的需求。 天镜脆弱性扫描与管理系统是由启明星辰公司研发的基于网络的脆弱性分析、评估 与管理系统，它综合运用多种最新的漏洞扫描与检测技术，能够快速的对网络资产中的 安全漏洞进行扫描，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略 4 西北大学硕士学位论文 进行有效审核，从而在漏洞全面评估的基础上实现安全自主掌控。该系统具有漏洞知识 资源丰富、网络设备支持范围广、漏洞信息的判断准确、检测报告呈现方式多样化等特 点。 目前高校和科研机构对漏洞检测以及补丁管理系统的研究也很多，例如文献 f 1 3 ，1 4 ，1 5 1 中介绍了一个基于o v a l 的漏洞评估系统，其利用了o v a l 对被检测系统影 响小的特点开发了系统。文献 1 6 ，1 7 q b 介绍一个漏洞扫描和补丁管理系统，通过扫描来 发现用户系统中需要安装的补丁并提供相应的修复程序。文献1 1 8 中介绍了一个自动补 丁管理系统，该系统支持多平台的补丁管理，提供补丁下载、检测安装等功能。 1 2 3 目前状况分析及课题背景 虽然国内的漏洞检测及修复系统的相关研究取得了一定的成果，但相比较国际水平 还有一定的差距。特别是在产品化方面，国内的产品功能较为单一，并且与其它网络安 全产品及服务间的兼容和互操作性较差。 国外的漏洞检测及修复软件虽然实现了较为完善的系统功能结构，但在国内网络环 境中的应用还具有一定的局限性，而且其一般不支持中文操作系统，难以满足实际的需 求。 针对课题研究的社区电子服务基础网络来说，业务节点内存放有大量的业务数据， 如果遭到黑客窃取或者病毒破坏，后果是不堪想象的，同时为了建设安全可靠的社区电 子服务基础网络，就需要保证接入基础网络的各个主机系统是安全可靠的。为了解决这 些问题，漏洞检测及修复技术是必不可少的。通过漏洞检测技术，管理员可以客观有效 的监视、管理接入基础网络的主机系统，从而决定是否同意某一台主机接入基础网络。 但是仅仅使用漏洞检测技术只能判断主机系统的安全性，而我们不仅需要保证接入基础 网络的主机系统的安全性，同时当某些主机系统无法达到要求的安全性时，需要提供给 他们相应的解决方法，帮助这些主机系统修复其自身的漏洞，从而在根本上提高主机系 统的安全性，使其达到接入基础网络的安全标准，因此引入补丁管理技术对已发现漏洞 的系统安装补丁或更改特定的系统配置进行修复，从而全面保证网络的安全。因此开发 符合规范技术的漏洞检测及修复系统，对于一个安全需求很高的计算机网络来说，是必 不可少的，它是保证社区电子服务基础网络安全运行的必要措施。 5 第一章引言 1 3 本文的研究的工作 本文主要涉及漏洞检测及修复系统服务器的设计与实现，在该过程中完成了以下研 究内容： 1 、研究了漏洞及补丁的相关理论和技术。 2 、根据调研现有的漏洞检测和补丁管理系统，提出了一个使用o v a l 以及相关规 范的漏洞检测及修复系统的设计方案。 3 、设计了漏洞检测及修复系统服务器的结构，详细描述了系统服务器中各部分的 功能和组成模块。 4 、实现了漏洞检测及修复系统服务器，详细描述了系统服务器关键模块的实现过 程，并给出了运行效果。研究并提出了基于分级服务器体系结构的系统部署方案，并针 对该方案，分析了现有技术，设计了在分级服务器体系结构下漏洞检测及修复系统的分 级管理和容错方法，并对该方法进行了验证。 1 4 本文的组织结构 全文共分为五章。 第一章是引言，主要介绍了研究的背景，以及国内外漏洞检测及修复技术的研究现 状，说明了系统开发的背景和意义以及本文的主要工作。 第二章是漏洞及补丁相关理论与技术的研究，主要研究了漏洞及补丁相关原理，讨 ： 论了漏洞检测技术和补丁管理框架等方面的内容。 第三章是漏洞检测及修复系统的功能设计，主要介绍了系统的功能结构、业务流程 等内容。 第四章是全文的核心内容，介绍了漏洞检测及修复系统服务器的设计与实现过程， 详细描述了系统服务器各模块的设计，对设计中关键问题的解决方法进行了描述。并在 设计的基础上介绍了系统服务器的具体实现，详细描述了系统服务器关键模块的实现与 运行效果。 第五章是系统的功能扩展，该主要研究了系统的部署方法，并提出了基于分级服务 器体系结构的系统部署方案；研究了系统管理以及容错技术，提出了分级服务器体系结 构下漏洞检测及修复系统的分级管理和容错方法，并对方法的实现及效果进行了描述。 6 西北大学硕士学位论文 第二章漏洞检测及修复相关理论与技术 2 1 漏洞相关技术 2 1 1 漏洞定义 安全性漏洞是一种产品瑕疵，即使在正确使用产品的情况下，它仍能使产品无法防 止攻击者夺取使用者系统上的专用权、泄露系统上的资料或获得未经授予的信任。大部 分的漏洞来自于软件、硬件、协议的实现过程的不足或系统安全策略中存在的缺陷，从 而使攻击能够在未授权的情况下访问或破坏系统数据【1 9 ，2 0 1 。具体举例来说，比如在i n t e l p e n t i u m 芯片中存在的逻辑错误，在s e n d m a i l 早期版本中的编程错误，在n f s 协议中 认证方式上的弱点，在u n i x 系统管理员设置匿名f t p 服务时配置不当的问题都可能被 攻击者利用，威胁到系统的安全。 漏洞会影响到较大范围内的软硬件设备，包括操作系统本身及其应用软件，网络服 务器软件，网络的路由器和防火墙等。换而言之，在不同的软硬件设备中都可能存在不 同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设 备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全 漏洞问题。 2 1 2 漏洞成因 漏洞形成的原因非常复杂，因此，深入的了解漏洞形成的原因有助于发现漏洞的本 质，这对于漏洞的修复至关重要。 根据对统计、分类的结果进行分析，得出漏洞产生的原因主要有以下几种【2 1 , 2 2 , 2 3 l ： ( 1 ) 访问验证错误：此漏洞的产生是由于程序的访问验证部分存在可以被恶意程 序使用的逻辑错误，使得该访问控制能被轻松的绕过。 ( 2 ) 输入验证性错误：此漏洞的产生是由于对用户所提交的输入数据的合法性没 有进行检测。因为这类错误导致发生的安全问题最多。 ( 3 ) 环境错误：此漏洞的产生是由于环境变量设置的错误或者某些恶意设置致使 有问题的特权程序可能去执行攻击代码。 ( 4 ) 配置错误：此漏洞的产生是由于系统使用过程中的配置不当。该类问题主要 7 第二章漏洞检测及修复相关理论与技术 包括：软件或应用程序安装在错误的位置、程序参数设置错误或是策略错误等。 ( 5 ) 异常处理错误：此漏洞的产生是由于程序在实现过程中忽略了某些需要考虑 的异常情况。 ( 6 ) 缓冲区溢出：此漏洞的产生是由于向系统缓冲区中写入了超过规定长度的数 据，导致了缓冲区数据溢出，从而破坏了程序正常运行的堆栈，使程序有可能执行其它 恶意命令。 2 1 3 漏洞检测技术原理及分类 漏洞检测就是对计算机的操作系统和其他网络设备、网络服务等进行相关的安全测 试，发现并找出其中存在的不安全因素或者可能被黑客利用的缺陷【2 4 j 。通过这种系统安 全性能评估方法，可以及时的发现和了解系统中出现的问题并作出相应的改进措施，从 而减少计算机系统遭攻击的可能性。目前，漏洞检测技术上可分为基于网络的漏洞检测 技术和基于主机的漏洞检测技术。 ( 1 ) 基于网络的漏洞检测技术 基于网络的漏洞检测技术是利用服务端发出网络数据包，以主机接收到数据包的响 应信息与漏洞定义库中内容进行匹配作为判断的标准，从而了解主机的操作系统、服务 以及各种应用程序的漏洞【2 5 , 2 6 j 。 基于网络的漏洞检测技术可以对用户系统中开放的端口和提供的服务进行检测，其 主要用于检测网络服务和协议中的漏洞。基于网络的漏洞检测技术不仅能够发现网络漏 洞，同时还能发现网络设备中的漏洞，例如，防火墙、路由器、交换机等。 基于网络的漏洞检测技术具有检测过程中不需要在目标主机安装任何程序、维护简 单等优点。同时它也存在许多不足，例如，服务端与目标主机之间通信的安全性较低、 无法全面检测目标主机的文件系统漏洞等，同时目标主机的防火墙设备也会对网络漏洞 检测进行拦截，导致检测无法进行。 ( 2 ) 基于主机的漏洞检测技术 基于主机的的漏洞检测技术主要是针对操作系统内部问题作更深入的检测，它弥补 了基于网络的检测工具只从外部通过网络检查系统安全漏洞的不足，可以检测到更多的 系统漏洞【2 7 1 。基于主机的漏洞检测技术一般采用c s 的结构，使用一个统一管理的控制 台和安装在各操作系统的代理端，然后由控制台下达检测命令给代理端进行检测，代理 端完成检测任务再将结果返回至控制台，最后由控制台向用户呈现出漏洞检测结果网。 西北人学硕十学位论文 基于主机的漏洞检测技术有很多的优点，例如：由于可以访问系统的所有文件，1 因 此检测的漏洞数量多、精度高；检测过程不需要构造网络数据包，仅需要在网络的中传 输检测命令和检测结果，因此该检测技术对网络的负载影响较小；控制台和代理端之间 的通信可以加密，系统的管理和部署也较为方便。同时，基于主机的漏洞检测技术也存 在一些不足：例如，需要在用户系统安装软件程序以及检测过程对漏洞定义库的要求较 高等。 由已介绍的内容分析可知，虽然使用目前的漏洞检测技术开发的工具能在一定程度 上保证系统的安全性，但是缺乏统一的标准对这些检测技术进行规范，因此这些检测工 具的功能和使用范围都有一定的局限性，只能满足特定环境下的需要，无法满足从整体 上保证计算机系统安全性的需求。 i 针对目前漏洞检测技术存在的这样一些问题，网络安全组织m i t r e 发布了新的漏 洞检测标准- o v a i ，为安全专家提供一致可靠的通用语言来检查计算机系统是否存 漏洞，并标准化系统安全漏洞检测的步剩2 们。因为o v a l 是依据收集的系统信息来判 断是否存在漏洞，所以使用该标准开发的检测工具不需要在网络中传输大量的数据，同 时也不需要开发攻击代码，具有对目标系统的影响较小、可扩展性强、使用操作简便等 优点。 2 2o v a l 规范 o v a l ( o p e nv u l n e r a b i l i t ya n da s s e s s m e n tl a n g u a g e ) 是一个由m i t r e 组织发起建 立的国际信息安全领域的基本标准，它同时受到了操作系统厂商、商业的安全工具厂商、 政府单位与研究组织以及学术界的大力支持。建立o v a l 标准目的是通过制定一个结构 化的方法，并标准化漏洞检测过程，来高效率的检测网络中计算机系统存在的漏洞、补 丁及配置问题。o v a l 标准包含了一种语言和一个分类内容知识库。其中语言用以编码 系统详细信息，知识库是利用o v a l 语言描述的可用的公共内容的集合【川。它标准化了 评估过程的3 个主要步骤： 1 、收集检测系统的各种配置信息。 2 、分析系统的特定状态，确定安全漏洞。 3 、以o v a l 规定的格式输出漏洞检测结果。 9 第二章漏洞检测及修复相关理论与技术 2 2 1o 、l c 久lx m ls c h e m a o v a lx m ls c h e m a 就是用x m l 定义的一种标记语言。x m ls c h e m a 是一种描述信 息的架构，用来制定x m l 文件所包含的资料的结构及类型【3 1 1 。o v a lx m ls c h e m a 描 述了o v a l 需要的三类信息的结构，整个s c h e m a 是树形嵌套定义的。每次要新建一个 x m l 文件时，可以引用一个x m l s c h e m a 作为x m l 文件内容结构的依据。 x m l 语言、o v a lx m ls c h e m a 模式语言、x m l 文件的关系：用x m l 语言写了 o v a l x m l s c h e m a 模式语言，然后用这个模式语言来创建x m l 文件，创建的x m l 文 件也是遵循x m l 语言的语法的。其中具体包括以下三个s c h e m a ： ( 1 ) o v a ld e f i n i t i o ns c h e m a ：是用来编写o v a l 漏洞定义，补丁的定义。它遵循 x m l 定义并使得漏洞、补丁、系统配置的编写过程标准化。 ( 2 ) o v a lc h a r a c t e r i s t i c ss c h e m a ：是用来收集有关于系统的资料，包含有系统配 置的设定，例如操作系统设定、应用程序的设定或其他安全性设定。同时它还定义了信 息的交换格式，可以提供给漏洞检测工具使用。 ( 3 ) o v a lr e s u l t ss c h e m a ：是o v a l 评估系统后的资料，它提供以x m l 格式存 储的o v f 让测试结果。 2 2 2o 、f 气ld e f i n i t i o ns c h e m a o v a l d e f i n i t i o ns c h e m a 是用来定义以下三种用x m l 语言描述的信息。 ( 1 ) o v a l 漏洞定义( 确定系统是否存在特定的系统漏洞) ( 2 ) o v a l 补丁定义( 确定系统是否存在特定的安全补丁) ( 3 ) o v a l 顺从( c o m p l i a n c e ) 定义( 确定系统的配置信息) o v a ld e f i n i t i o ns c h e m a 分成两类，一类是系统相关的d e f i n i t i o ns c h e m a ，另一类 是系统无关的d e f i n i t i o ns c h e m a 。系统相关的d e f i n i t i o ns c h e m a 根据不同的操作系统类 型提供相应的漏洞定义、补丁定义和o v a l 顺从定义，这些操作系统包括有w i n d o w s 、 u n i x 、l i n u x 和s o l a r i s 。系统无关的d e f i n i t i o ns c h e m a 则提供常规的o v a l 定义。 o v a l 漏洞定义文件是包含多个符合o v a ld e f i n i t i o ns c h e m a 的d e f i n i t i o n 的x m l 文件。o v a l 漏洞定义文件中一个漏洞定义的结构如图2 所示。 如果要确定图中的漏洞定义d e f i n i t i o n ：7 4 4 8 表示的漏洞是否存在，首先需要执行 t e s t s 元素定义的编号为t s t ：3 1 2 3 、t s t ：3 8 4 、t s t ：8 5 5 的检测，然后将检测结果使用c r i t e r i a 1 0 西北大学硕上学位论文 元素所定义的a n d 运算符计算出结果，并将结果暂时保存。接着再执行t e s t s 元素定义的 编号为t s t ：2 5 9 1 、t s t ：2 5 9 7 的检测，使用o r 运算符计算出结果，然后执编号为t s t ：2 9 6 1 、 t s t ：2 8 1 1 的检测并使用a n d 运算符计算出结果，然后将这两个检测结果用c r i t e r i a 元素 定义的a n d 运算符计算出结果。最后将该结果与之前保存的结果用c r i t e r i a 元素所定义 的a n d 运算符进行计算，便能最终得出该漏洞定义检测的结果。 臣兰习 离 离rattft 囱匡连 声叵訇离 塞 匿童 厂。 巳! j 广_ j l _ 鬯：_ r _ lc r i t e r i o n l j 厂一1 一 t a t ：2 5 9 7 1 j 图2o v a l 漏洞定义结构 2 2 3o 、弱山c h a r a c t e r i s t i c ss c h e m a 广1 匕竺到 厂 | “：2 9 1 6 i r _ l 篡“哟“j 厂工一 巴：! _ o v a lc h a r a c t e r i s t i c ss c h e m a 为存储系统信息的x m l 文件提供了标准的定义。 o v a l 需要收集的系统信息包括操作系统的类型和版本、操作系统的配置、所安装的软 件以及软件配置，并且根据操作系统和软件的一些信息来确定需要收集的其他信息。这 个s c h e m a 的目的是提供一个可供o v a l 定义比较和分析的数据库，使得o v a l 定义能 确定系统的漏洞、补丁等信息。 2 2 4o v f 气lr e s u l t ss c h e m a o v a lr e s u l t ss c h e m a 为存储o v a l 系统评估结果的x m l 文件提供了标准的定义。 o v a l 系统评估结果中包括一系列的系统信息与o v a l 定义相比较而得出的结论。 o v a l 漏洞检测结果是符合o v a lr e s u l t ss c h e m a 的x m l 文件。该文件是对漏洞 检测结果的表示，其结构如图3 所示。 o v a l 漏洞检测结果的内容主要包含两部分，其中o v a ld e f i n i t i o n s 节点中的内容 和o v a l 漏洞定义文件中的内容保持一致，而作为s y s t e m 子节点的 o v a l 中记录的内容则为用户计算机系统中检测到的系统特征以及s y s t e m c h a r a c t e r s t i c s 漏洞检测的结果。 第二章漏洞检测及修复相关理论j ，技术 2 3c v e 图3o v a l 漏洞检测结果结构 c v e ( c o m m o nv u l n e r a b i l i t i e sa n de x p o s u r e s ) 是国际著名的安全漏洞整理和发布组 织，同时也是对目前已知漏洞和安全缺陷的标准化名称的列表，其作用是对特定的漏洞 进行编号和命名，以确保每个漏洞都已经清楚的被辨识出来。以前，在软件产业中存在 着安全漏洞与系统缺陷等安全问题命名混乱的现象，有