2004-计算机系统脆弱性评估研究.pdf

《2004-计算机系统脆弱性评估研究.pdf》由会员分享，可在线阅读，更多相关《2004-计算机系统脆弱性评估研究.pdf（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第 2 7卷第 1期 2 0 0 4年 1月 计 算 机 学 报 CHI NES E J OURNAL OF C：OMPUTERS Vo1 2 7 No1 J a n 2 0 0 4 计算机 系统脆弱性评估研 究 邢栩嘉 林 闯 蒋屹新 (清华大学计算机科学与技术系 北京 1 0 0 0 8 4)摘要在计算机安全 领域，特别是 网络安全领域，对计算机系统进行脆弱性评估十分重 要，其最终 目的就是 要指 导系统管理员在“提供服务”和“保证安全”这两者之间找到平衡 脆弱性评估方法 的发 展经历 了从 手动评估 到 自动 评估 的阶段，现在正在 由局部评估 向整体评估发展，由基 于规 则的评估 方法

2、 向基 于模型 的评估 方法发展，由单 机评 估向分布式评估 发展 该文 阐述 了脆弱性评估所要解决 的问题，介绍 了 目前在 计算机 系统脆弱性 评估领 域的 主要 方 法 以及 今 后 的 发 展 方 向 关键词 系统安全；网络安全；脆 弱性；脆弱性评估；安全模 型；P e t r i 网 中图法分类号T P 3 9 3 A S u r v e y o f Co mpu t e r Vu l n e r a b i l i t y As s e s s me nt XI NG Xu J i a LI N Ch u a n g J I ANG Yi Xi n (De p a r t m e

3、n t o f C o mpu t e r S c i e n c e a n d T e c h n o l o g y，T s i n g h u a U n i v e r s i t y，Be i j i n g 1 0 0 0 8 4)Ab s t r a c t Compu t e r v ul ne r a bi l i t y a s s e s s me nt ha s e xp e r i e n c e d t he s t a g e o f ma nu a l t o a ut o m a t i c I t S n ow e x pa n di n g f r o

4、m p a r t i a 1 a s s e s s m e nt t o h ol i s t i c。f r o m r ul e b a s e d t o mo de l b a s e d。f r om s i ng l e h o s t t o di s t r i b ut e dI n t h e a p pl i c a t i on s o f c omp ut e r s e c ur i t y，a s s e s s i ng n e t wor k S v u l ne r a b i l i t i e s i s u s u a l l y r e q ui

5、 r e d To ma ke t h e r e s u l t c o m p r e he ns i v e a nd a c c ur a t e，t he t a r g e t o f a s s e s s-me n t m u s t b e c on s i de r e d a s a who l e s y s t e m wi t h dy na mi c a nd di s t r i b ut e d f e a t u r e s Th e s y s t e m i S ho l i s t i c b ot h i n t i me a nd s p a c

6、e Th e s e c u r i t y o f n e t wo r k s y s t e m s ho ul d b e e ns ur e d a s a wh ol e a l 1 a l o ng r at he r t h a n s ome h os t a t s o m e t i me The r u l e ba s e d a s s e s s i ng me t ho ds ha v e b e e n we l l s t u d-i e dThi s i S t he ba s e o f t h e mo de l b a s e d me t h od

7、 s At t he s a me t i m e。t h e mo de l ba s e d me t ho d s ha v e ma d e r a pi d p r og r e s s M a n y mo d e l b a s e d m e t ho ds s t a r t wi t h d i f f e r e nt a ng l e s a nd ha ve di f f e r e n t a d v a n t a g e s Fo r e x a mp l e，t h e Re q u i r e s P r o v i d e s mo d e l c a n

8、 b e s u i t a b l e f o r a t t a c k g e n e r a t i o n a n d i nt r u s i o n d e t e c t i o n Ri t c he y S m o d e 1 i S mo r e e f f i c i e nt f or de s c r i bi n g t h e e x pl oi t a t i o n of we l 1 kn o w n ne t wo r k vul ne r a b i l i t i e s t h a n o t h e r m o d e l s Ra ma kr

9、i s hna n S mo de l i s f i t f o r a na l y z i ng s y s t e m v ul n e r a bi l i t i e s f r o m l oc a l h os t Fur t h e r r e s e a r c he s c ou l d f o c u s o n t h e f ol l owi n g a s pe c t s：t o bu i l d n e w m o de l s，t o r e f i ne t he e x i s t i n g mo de l s o r t he a na l y z

10、i n g me t h od s Su c h t hr e e a s pe c t s a r e no t c o m p l e t e l y i n d e pe nd e nt W he n bui l di n g o r r e f i ni n g a mod e l，t he f a c t o r s r e l e v a n t t o s e c u r i t y o f a c t ua l s ys t e m s c ou l d be a dd e d t o t he mo de l s t e p by s t e p S O t ha t t h

11、 e m o d e l c a n s ol v e a c t ua l pr o b-l e m s mo r e po we r f ul l y M a ny m e t ho d s mi gh t be i nt r o du c e d t o a n a l y z e a s e c u r i t y mod e l，s u c h a s t e m p o r al l o g i c，CPN a n d SHLPN(s t oc ha s t i c Hi gh l e v e l Pe t r i ne t)And t h e s e c a n pr ov i

12、de p ow e r f u1 ma t he ma t i c t oo l s f o r f o r m a 1 a n a l ys i s o f s e c u r i t y mo de l s Ke y wor ds s y s t e m s e c u r i t y；ne t wo r k s e c u r i t y；v ul ne r a bi l i t y；v ul n e r a b i l i t y a s s e s s me nt；s e c u r i t y mo de 1：Pe t r i n e t s 收稿 日期：2 0 0 3 0 3 1

13、 9；修改稿收到 日期：2 0 0 3 0 7 0 9 本课题得到 国家“九 七三”重点 基础研究 发展规划项 目(G1 9 9 9 0 3 2 7 0 7)、国家“八六 三”高技术研究发展计划项 目(2 0 0 1 AA1 1 2 0 8 0)和国家 自然科学基 金(9 0 1 0 4 0 0 2，6 0 1 7 3 0 1 2)资助 邢栩嘉，男，1 9 7 8年生，硕 士研究生，研 究方 向为计算机系统安全、E ma i l：x i n g x j t h d a s c o m c o rn c n、林闯，男，1 9 4 8年生，博士，教授，博士生导 师，研究 方向为系统性 能评 价、计

14、算机 网络、随机 P e t r i 网、逻辑推理模 型等 蒋屹新，男，1 9 7 2年生，博士研究生，研究方向为 P e t r i 网、模型检测、计算机 网络安全 一 1一 r 一 T 一一 维普资讯 http:/ 2 计 算 机 学 报 1 引 言 计算机网络的出现使得独立的计算机能够相互 进行通信，提高了工作效率 然而，人们在享受网络 带来 的种 种方 便、快捷服 务 的同时，也不得 不 面 l临来 自网络的种种威胁 黑客人侵、计算机病毒和拒 绝 服务攻 击 等等 早 在 主机终 端时 代，黑 客攻 击就 已 经 出现，当时黑 客 的主 要攻 击 对 象 还 主 要是 针 对 单 个

15、主机 而计 算 机病 毒 也不 是 网络 出 现后 的新 鲜 产 物，在 独立 的 P C 时代 它 已经 开 始 通 过 各 种 途 径 传 播 然 而网络 为上 面 两种 攻 击 提 供 了更 多 的攻 击 对 象、更新的攻击方式，从而也使得它们危害性更大 近年来，随着 互 联 网 的迅 速 发 展，黑 客、病 毒攻 击 事 件越来 越多 根据 中国互 联 网络 信 息 中心(C NN I C)历年 的“中国互 联 网络 发 展状 况 统 计 报 告”，我 国上 网计 算 机 数 量 已 经 从 1 9 9 7年 的 2 9 9万 台猛 增 到 2 0 0 2年 的 1 2 5 4万 台

16、在 过 去 一 年 内确 定 被 人 侵 过 的用 户计算 机 比例 也从 2 0 0 0年 的 1 1 6 5 上 升 到 2 0 0 2年 的 6 3 3 另 外，根 据 C E R T C C 的统 计，2 0 0 2年报 告 的安 全 事 件(s e c u r i t y i n c i d e n t)的 数 量 达到 8 2 0 9 4件，远 远 高 于 2 0 0 1年 的 5 2 6 5 8件 和 2 0 0 0年 的 2 1 7 5 6 件 图 1显 示 了 C E R T C C近十 年 来报告 的安 全事 件 的数量 咖 籁 赫 黼 图 1 1 9 9 3 2 0 0

17、2 年历年报告的安全事件数量 之 所 以会 有 如此 众 多 的攻 击 行 为，一方 面 是 由 于互 联 网的应 用 范 围越来 越 广，另 一 方 面也 由于简 单易 用 的黑 客 工具越 来越 多，然 而最 主要、最根 本 的 原因 还是计 算机 系统存 在 可 以被 渗透(e x p l o i t)的脆 弱 性(v u l n e r a b i l i t y)，或 者 称 作 安 全 漏 洞(s e c u r i t y h o l e)计 算 机 紧 急 响应 组 协调 中 心(C E R T C C)也 表示，成 功 的 We b攻 击事 件 中有 大 约 9 5 都 是

18、由 于 没有 对 已知 的漏 洞进 行 修 补 S AN S和 F B I 会 定 期公 布最 危险 的 2 0 个 漏 洞，大 多数 通过 互联 网对 计 算机系统进行的人侵都可以归结为没有对这 2 0个 漏洞进行修补，比如 曾经造成很大影 响的红色代码(C o d e Re d)和尼姆达(Ni md a)蠕虫病毒 因此，对网 络上的计算机以及由若干主机组成的局域网进行脆 弱性评估就显得尤为重要 计算 机系 统 的脆 弱 性评估 最初 是 由黑 客攻击 技 术发展而来，现在仍然是一个新兴的研究领域 在对 计算机系统进行脆弱性评估的初期，主要是通过从 实 际使用 中总结经 验，然 后 用 这

19、些 经验 去 检 验 更 多 的计算 机系统 这 实 际就 是一 个 规 则 提取 到规 则 匹 配 的过 程，因此研 究 的 重 点也 就 在 于 如何 产 生 更 准 确 的规 则 和更 完 备 的规 则 集 目前 已经 很成 熟 的网 络安全扫描技术就是这种脆弱性评估方法的典型代 表 但是 这种 基于 规 则 的评 估 方 法 具 有 一些 固有 的 缺 点，于 是有 人开 始使 用故 障树(f a u l t t r e e)、有 限状 态 机、P e t r i 网等 形式 化 的理论 工具 对 这类 问题进 行 研究，试 图提供更全面的脆弱性评估方法 本 文在 第 2节解 释什 么

20、是计 算机脆 弱 性 以及 其 产 生 的原 因 第 3节 从 不 同 角度 对 计 算 机脆 弱 性 评 估方法进行 比较 第 4节介绍各种基于模 型的计算 机脆弱 性评 估方 法 第 5 节 是结 论和 展望 2 计算机脆弱性 在研究 计算机脆 弱 性 的过 程 中，对 于“计 算 机脆 弱性”(c o mp u t e r v u l n e r a b i l i t y)这 个 词 组 的精 确 定 义 争论 很大，下 面是众 多被广泛认 可的定义 中的两个 1)1 9 9 6年 B i s h o p和 B a i l e y给 出 的关 于“计 算 机脆 弱性”的定义 ：“计 算

21、机 系统 是 由一 系列 描 述构 成 计 算 机 系 统 的实体的当前配置的状态(s t a t e s)组成，系统通过应 用状 态变 换(s t a t e t r a n s i t i o n s)(即改变 系统 状 态)实 现计 算 从 给定 的初 始 状 态 使 用 一组 状 态 变 换 可 以 到达的所有状态最终分为由安全策略定义的两类状 态：已授权 的(a u t h o r i z e d)或 者 未授 权 的(u n a u t h o r i z e d)“脆弱(v u l n e r a b l e)状态 是指 能够使 用 已授 权 的 状 态 变 换 到 达 未 授

22、权 状 态 的 已 授 权 状 态 受 损(c o mp r o mi s e d)状 态 是 指 通 过 上 述 方 法 到 达 的 状 态 攻击(a t t a c k)是指 以受损状 态结束 的已授 权状 态变换的顺序 由定义可得，攻击开始于脆弱状态”“脆弱性(v u l n e r a b i l i t y)是指脆弱状态 区别于非 脆弱状态的特征 广义地讲，脆弱性可以是很多脆弱 状态的特征；狭义地讲，脆弱性可以只是一个脆弱状 态 的特征 ”2)I n f o r ma t i o n Se c ur i t y：Di c t i o na r y o f Co n 维普资讯 http

23、:/ l期 邢栩嘉等：计算机 系统脆弱性评估研究 3 c e D t s，S t a n d a r d s a n d Te r ms 对 于“计 算 机 脆 弱 性”给 出下 面的解 释：“(1)在 风险管 理 领 域 中，存 在 于 自动 化 系统 安 全过程、管理控制、内部控制等事件中的，能够被渗 透以获取对信息的未授权访 问或者扰乱关键步骤的 弱点(2)在风 险管理领域 中，存在于物理布局、组 织、过程、人事、管理、硬件或软件 中的，能够被渗透 以对 自动 数 据 处 理(AD P)系 统 或 行 为 造 成 损 害 的 弱点 脆弱性的存在本身并不造成损害 脆弱性仅仅 是 可能让 A

24、DP系统 或行 为在攻 击 中受 损 的 一 个或 者一组条件(3)在风险管理领域 中，任何存在于系 统 中的弱点和缺陷 攻击或者有害事件，或者危险主 体可以用于实施攻击的机会(4)在信息安全领域 中，被评价 目标 所具 有 的能 够 被 渗透 以克 服 对 策 的 属 性或 者安 全弱点 ”从上面的两个定义我们得出一个计算机脆弱性 的简单定 义：计算机 脆 弱性是 系统 的一 组特性，恶 意 的主体(攻击者或者攻击程序)能够利用这组特性，通 过 已授权 的 手段 和方 式 获 取 对 资 源 的未 授 权 访 问，或 者对 系统造 成损 害 利 用 上 面第 一 个 B i s h o p对

25、 计算 机 脆 弱 性 的 定 义，更容易使用 P e t r i 网等理论工具进行模型 我们 以一个简单 的计算机系统 为例，使用 着色 P e t r i 网 为其建 立 了一个形 式 化 的安 全模 型 假设 该 系 统 具 有 两个 可 以对 其进 行 访 问 的用 户：u s e r A 和 u s e r B 两 个 用 户 具有 不 同 的访 问权 限我们 使 用 位 置。和 来分 别表 示“未 对 系 统进 行访 问”和“对 系统进 行访 问”用 变 迁 t 。，t 。，t 和 t p Io j t 分 别表 示“登 陆”、“注 销”、“正 常操 作”和“渗 透 漏 洞 的操作

26、”位 置 中的标记 可能 有 u s e r A 和 u s e r B两 种 颜 色，表示不 同 的访 问凭 证 给定 了初 始状态 下位 置。中标记的颜色以后，如果存在变迁使得位置 中的标记 改变 颜 色，则说 明 系统存 在脆 弱性，否则 系 统是安全的 图 2中显示 了用上述模 型表示的两个 系统，其 中左边是一个安全的系统，右边是一个不安 全 的系 统 事 实上，只要存 在 t p I o It，t 。和 t 。中 的任何一个，这个系统就是不安全的 在左 边安 全 的系统 中，不存 在脆 弱状 态，或 者说 系统 不具 有脆 弱性 而在右 边 不安全 的 系统 中，给定 了初始状态的

27、标记颜色后，标记颜色与初始标记颜 色不同的任何状态都是未授权状态，其它状 态则为 授权状 态 再 根 据 B i s h o p的定 义 可 知，该 系统 的初 始状态 就 是 一 个 脆 弱 状 态，从 初 始 状 态 经 过 变 迁 t p 10 l I 到达 另一状 态 的过 程 就是一 次攻 击 图 2 一个计算机系统的着色 P e t r i 网安全模 型 图 2表示的系统可以不限于单个 的计算机 主 机，它也 可 以只是一 个单 独 的服 务进 程，或者 是一 个 庞大的计算机网络 并不是所有的系统都存在所有 上述三种渗透变迁 但另一方面，几乎所有的系统都 存在着可 以造成攻击的渗

28、透变迁，亦 即存在着脆弱 性 通常 这些脆 弱性 并不是 系统设计 者刻 意 留下 的，而 是 由于 一些 意外 的原 因 造成 的 如果 系 统 是 一 个 特定 的网络服 务程 序，那 么 造 成 这些 脆 弱 性 的原 因 很可能是程序员犯 的错误，例如实现协议时考虑不 周，或者没有进行数据内容和大小检查，或者没有进 行成功 失败检查，或者不能正常处理资源耗尽的情 况，或者 对运 行环 境没有 作完 整检查，或 者不 正确 地 使用系统调用，或者是重用某个组件时没有考虑到 它的应用条件 如果系统是一个运行着若干 网络服 务的计算机，那么即使 它所运行的所有服务本身都 不存在任何脆弱性，这

29、个系统也可能是不安全 的 造 成 这样 的脆弱 性 的原 因通 常是 服务 和软 件 的不正 确 部署和配置 如果系统是一个由若 干计算机构成的 计算 机 网络，那 么 造成 脆 弱 性 的 原 因还 可 能 包 括 网 络协议本身的弱点 协议定义了网络上计算机会话 和通信的规则，如果在协议设计时存在瑕疵，那么无 论实现该协议的方法多么完美，它都存在漏洞 现在 仍然在互联网上使用的基础协议 中，有很多早期 的 协议在最初设计时并没有考虑安全方 面的需求 在 互联网上传送的很多数据也都是没有加密 的明文，这不仅威胁到使用明文传输的各种应用，也威胁到 某 些认 证 和授权 的方式 总之，计算机脆弱

30、性可以说是无处不在 由于互 联 网在 最初设 计 时并 没 有 考 虑 安 全 问题，在 互 联 网 上的计算机要保证信息 的完整性、可用性 和保密性 就 比较困难 同时，网络上的计算机总要提供某些服 维普资讯 http:/ 4 计 算 机 学 报 2 0 0 4 年 务才能够与其它计算机相互通信，然而复杂的软件 系统 不 可能 没 有瑕 疵，导 致 计 算机 系统 和计 算 机 网络 的脆 弱性 不 可能 完全 消除 因此，如果不 考 虑可 能 的本地攻 击，那 么 使一 个 计 算 机 完 全“安 全”的唯 一方法 就是 断开 其与 网络 的连接 3 脆 弱性评估 脆 弱性 评估 是 对

31、目标 系统 进 行脆 弱 性 分 析，这 里 的系统 可 以是 一 个 服 务，也 可 以是 一 个 网 络上 的 计算机，还可以是整个计算机网络 对 于特 定 的服 务 而 言，脆 弱性 评 估 和软 件 设计 阶段 以及软件测试 阶段的故 障分析有些类 似，但 又 不完全一样 在软件设计阶段，主要 目的是要努力避 免产 生 图 2中的渗 透 变迁(造 成 标记 颜 色 改 变 的变 迁)在 软件测 试 阶段，主要 目的 是要 找 出可 能 存 在 的渗透变迁 而脆弱性评估主要是检验 目标软件是 否具 有 已知 的渗透 变 迁 尽 管 这 三个 阶段 的 主要 目 的不 同，但可 以使 用类

32、似 的模 型方 法 对于一个运行 了若干服务的网络上的计算机而 言，脆弱性评估不仅要检验各个服务是否具有已知 的渗透变迁，还要检验不 同的服务在同一个主机上 运行时会不会产生新 的渗透变迁 这就好像是在测 试 一个安 装 了众 多 服务 的计算 机 主机，不 但 要 保 证 其上 独立 的服务没 有差 错，还 要 保 证 服务 之 间的关 系 不会产 生新 的差 错 对于一个 由若干计算机组成 的网络而言，脆弱 性评估除 了检验各个计算机 主机 是否具有渗透变 迁，还要找出各个主机联 系在一起之后可能产生的 新 的渗透 变迁 由于不可能存在完全安全的复杂 系统，所 以脆 弱性 评估 的最 终

33、目的不 是 完 全 消 除脆 弱性，而 是 提 供 出一份 安全解 决 方案，帮助 系统 管理 员在“提供 服 务”和“保 证安 全”之 间 找 到平 衡 在 网络安 全领 域，脆 弱性评 估 和入侵 检测 系统、防火墙、病 毒检 测构成 网络 安全 四要 素 后 面 的三 种 技术 都 是 在 攻 击进 行 中或者 进行 后 的被 动 检测，而 脆 弱性 评 估 则 是在 攻 击进行 前 的主动 检测 网络安 全领 域 的计算 机脆 弱性评 估技 术是 从黑 客攻 击技术 和对 黑 客 的 防范 技 术 发 展 而来 的，下 面 将从几个不 同的角度 比较现有的计算机脆弱性评估 方法 3 1

34、手工 评估 与 自动评估 在各种脆弱性评估工具出现以前，无论是系统 管理员对系统进行安全维护，或者是入侵者要搜集 目标的信息，一切工作都只能手工进行 对管理员而 言，这些工作包括从本地检查各种设置是否正确，各 种补丁是否打得齐全等 其劳动量巨大，而且还容易 出现疏漏 对入侵者而言，这些工作包括从网络上的 另一台主机尝试 目标主机 的各个端 口，收集系统 的 各种信息，包括操 作系统版本号、用户名列表、主机 运行的各种服务等等，然后利用他的经验，尝试所有 已知的问题，试图找出系统存在的漏洞，最后渗透漏 洞侵入系统 总而言之，他们都是依据各 自的经验，判 断系统 是否存 在 已知 的脆 弱性 手工

35、 进行脆 弱性 评估 的难 度 和局限性 是显 而 易 见的 事实上，只有足够小的组织能够轻易的完全控 制其计算机网络 对于一个大中型的网络而言，许多 小组与个人每天都可 以在网络上做配置修改 或者 由于系统 的配 置起 了变 化，或 者 由 于 网络 中新增 了 一个设备，或者 由于升级 了操作系统、应用程序，甚 至或 者 由于为原 有 的漏 洞打 了补 丁，都 有 可 能 为 系 统带 来新 的脆 弱性 并 且 任 意 一 台 主机 上 的脆 弱性 都将威胁到整个 网络 要在这样一个动态、分布的环 境中频繁地进行脆弱性评估，仅靠 系统管理员的手 工操 作 几乎是 不可 能 的 1 9 9

36、3 年，F a r me r和 Ve n e ma的一篇文章“I m p r o v i n g t h e S e c u r i t y o f Yo u r S i t e b y Br e a k i n g i n t o I t”为系统管理员带来 了这样一个观点：能够确保 系统安全的最佳途径是考虑一个入侵者将怎样入侵 系统 文章的工作也导致作者创造了第一个 自动攻 击程序：S A TAN 原来一个黑客手工搜 集系统 的 各种信息需要 4个小时或者更 多，S AT AN 的出现 使得整个工作只需要十几分钟甚至更短的时间 当然 从另一 方面而 言，系统管理 员也可 以利用 S A T

37、A N 方 便、快捷地找出系统中存在的漏洞并将其关闭 可见，要进行快速有效的脆弱性评估，自动化的 脆弱性评估工具必不可少 系统管理员利用 自动化的 脆 弱性 评 估工 具，可 以轻 易 地 检查 出系 统 的安 全 漏 洞，同时还对系统资源的使用状况进行分析 在系统 配置和应用不断改变的情况下，系统管理员能够定期 地对系统、数据库和系统应用进行脆弱性评估，及时地 采取必要 的安全措施，对 系统实施有效 的安全 防范 Fa r me r D，Ve ne ma W I mp r o v i n g t h e s e c u r i t y o f y ou r s i t e b y b r e

38、 a k i n g i n t o i t h t t p：wwwf i s h c o ms e c u r i t y a d mi n g u i d e-t o-c r a c k i n g h t m1 1 9 9 3 Se c u r i t y Ad mi n i s t r a t o r TO 0 1 f o r An a l y z i ng N e t wor k s(SA TAN)I nf o r ma t i o n a n d S o f t wa r e h t t p：www c e r i a s p u r d u e e d u c o a s t s

39、 a t a n h t m1 一一 r T 维普资讯 http:/ 1期 邢 栩嘉 等：计算机系统脆弱性评估研究 5 3 2 局 部 评估 与整体 评估 计算机主机是由其上运行的若干服务组成的一 个整体，任 何一个 服 务 自身 的脆 弱 性 都 会 造成 整个 计算机主机的脆弱性 同样，计算机网络是由单个 的 计算机主机和其它网络设备组成的一个整体，任何 一个 主机或 者 网络设 备 自身 的脆 弱性 都会造 成 整个 计算 机 网络 的脆 弱性 因此，对计 算 机 网络 进行 脆弱 性评估，必须要对单个主机和网络设备进行脆弱性 评估，进而要求对单个主机上 的单个服务进行脆弱 性评估 但是

40、这并不足够 因为复杂的系统是由单个 组件 交互 的结果，组 件 自身不 存 在 脆 弱 性 并 不 足 以 保证组 件 的交互 不会 产生 新 的脆 弱性 例 如，一 台主 机 的 F T P服务 的 目录和 ww w 服 务 的 目录设 置为 同一 目录，如果 F T P有读、写权限，www 有读、执 行权 限，就 很可 能会 出现 问题 同样，任 何 一 台 主机 提供的单一服务都不存在漏洞，但是多台主机的多 种服 务放 在一起，如 果没有 合理 的配 置，也 会有 可能 被渗 透 由此 可见，要 对 系统进 行完 整 的脆弱性 评估，首 先要 对系统 的组 件 进行 局 部 评 估，但

41、是 又 不 能仅 限 于局部评估，最后一定要从被评估对象的整体角度 进行 分析 局部评 估 相 当于检 验 系统 是 否 存 在 已知 的渗 透变 迁，整 体评 估 则 相 当 于尽 可 能 地 发 现 系统 存在的未知的渗透变迁 但 目前 已有的脆弱性评估 工具大多只是进行局部评估，最多也只是能够对单 一的主机的多种服务进行简单 的相关检查，对多 台 主机 构成 的 网络 进行 有效评 估还 只 能依靠 人力 3 3 基 于主机 与基 于 网络 的方 法 按照 评 估实 施 位置 的不 同，脆 弱性 评 估 技术 可 以分 为两类：基 于主机 的和 基于 网络 的 基 于主机 的 脆弱性 评

42、估 工具 从本地 的 系统管 理员 的角度 评估 系 统，这类 工具 叫做 本地 扫描 器或者 系统 扫描 器，例如 c OP S _ 4 基于网络的脆弱性评估工具从入侵者的角 度 评估 系统，这类 工 具 叫做 远 程 扫 描 器或 者 网络 扫 描 器，例 如 S AT AN 和 I S S e 从 理论 上 而 言，基 于 主机 的 脆弱 性评 估 至多 能 将 一 台特定 的计 算机 主 机 作 为 整个 被 评 估 系 统，因 此一个完美的基于主机的脆弱性评估工具需要实现 对特定主机的局部评估和整体评估两方面的功能，亦 即不仅 要能够 评 估 主机 上 运 行 的单个 服务，还 要

43、能评估 这些 服务 的交互 会 否 出现 问题 基 于 网络 的 脆弱性 评估 工具 可 以将 一 台特定 的计 算机 主机 作为 整个被 评估 的系统，也 可 以将 一个 计 算 机 网络作 为 整个被 评估 系统 而 目前 现 有 的工 具 大 多 属 于前 一 类 因此它们所作 的工作从性质上来讲，与基于主机 的评估 工具 并没 有 太 大差 别，也 只是 评 估 主 机 上运 行的单个服务以及服务之间的交互可能会产生 的问 题 但是一个完美 的基于网络 的脆弱性评估工具应 该将整个计算机 网络作为被评估系统，这也是这类 工具今 后 的发展 方 向 目前 的基 于主机 的脆 弱性评 估工

44、 具 和基 于 网络 的脆弱性评估工具虽然工作性质相同，但是具体 实 现 以及 效 果仍然 有一些 差别 基 于主机的脆弱性评估分析文件 内容，对系统 中不合适的设置、脆弱的 口令 以及其它同安全规则 抵触的对象进行检查 它具有以下几个特点：(1)运行于单个主机，扫描 目标为本地主机 (2)扫描 器 的设 计 和实现 与 目标 主机 的操 作 系 统相关 (3)可 以在系统 上 任意创 建进 程 (4)扫描项 目主要包括用户帐号文件、组文件、系统权 限、系统配置文件、关键文件、日志文件、用户 口令、网络接 口状态、系统服务、软件脆弱性等等 基于网络的脆弱性评估通过执行一些插件或者 脚 本模 拟

45、 对 系 统 进 行 攻 击 的行 为 并 记 录 系 统 的反 应，从 而发 现其 中 的漏洞 它具 有 以下几个 特 点：(1)运行 于单 个 或 多个 主机，扫描 目标 为本 地 主机或者单 多个远程主机(2)扫描器 的设计和实现与 目标主机 的操作系 统 无关 (3)通 常 的 网络 安全 扫描 不 能访 问 目标 主 机 的 本 地文 件(具 有 目标 主机访 问权 限 的扫描 除外)(4)扫 描项 目主 要 包 括 目标 的 开 放 端 口、系 统 网络服务、系统信息、系统漏洞、远程服务漏洞、特洛 伊 木马 检测、拒绝 服务 攻击 等等 基 于主 机 的脆弱性 评估 可 以更准 确

46、地 定位 系统 的问题，发现系统 的漏洞 然而缺点是平 台相关、升 级 复杂，而且 扫 描 效 率 较 低(一 次 只 能 扫 描 一 台 主 机)基于网络的脆弱性评估从入侵者的角度进行检 测，能够发现系统 中最危险、最可能被入侵者渗透的 漏洞，扫描效率更高，而且 由于与 目标平 台无关，通 用性 强，安装 简单 缺点 是不 能检 查不恰 当的本地 安 全策 略，另外也 可 能影响 网络 性能 3 4 基于规则与基于模型的方法 从图 2的模型以及局部评估 与整体评估的关系 I S S I n t e me t S c a nn e r I n f o r ma t i o n a n d S

47、o f t wa r e h t t p：ww i S S n e t 维普资讯 http:/ 6 计 算 机 学 报 2 0 0 4经 来看，脆 弱性评估 其 实是要 解决 两类 问题 一是 检验 系统 是否 存在 已有 的渗 透变 迁，一是 发 现 新 的 未 曾 报告 过 的渗透 变迁 或者变 迁序 列 对 于第 一类 问题，解决办法通常是使用规则匹配 对于第二类问题，则 使用 模型 分析 的方 法 更 为有 利 因此 脆 弱 性 评估 方 法 又可 以分 为两类：基 于规则 的和基 于模 型 的 基 于 规则 的方法 是 从 已知 的案 例 中抽 取 特征，并 归纳成 规则 表达，将

48、目标 系 统 与 已有 的规 则 一 一 匹配 其关键之处在于规则的生成 对于单个的系统 组件，生成规则可能并不 困难，通常就是组件测试的 结 果 然而 在一个 错综 复杂 的系统 中，规则 的生成 需 要 专家 对大 量系统 组件 的交 互关 系有 相 当了解，而 且事实上，即使专家也很难总结出所有漏洞的规则 因此，基 于规 则 的方法 很适 合进行 局部 检测，但对 于 整体检测就有些力不从心 现有的脆弱性评估工具，无论是 基 于主机 的 或 者是 基 于 网 络 的工 具，绝 大 多 数都是基于规则的 它们都拥有一个“插件库”，每一 个插件定义一个规则，只能搜集一个已知类型 的信 息，或

49、 者检查 一个 已知类 型 的漏洞 网络 安全 扫描 就 是一 种 基 于规 则 的计 算机 主 机脆弱性评估方法，其 中使用 的技术几乎全部是基 于规则 的 一次完 整 的网 络安 全 扫 描 主 要分 为 目标 发现、信息攫 取 和漏洞 检测 三个 阶段 在 目标发 现 阶 段，扫 描者 通 过 发 送 不 同类 型 的 I C MP或 者 T C P、UD P请求，从 多种不 同的方 面检测 目标 主机 是 否存 活 这一阶段的规则生成源 自网络上计算机对不 同 网络协议数据的不同响应 在信息攫取阶段，用到的 技术主要是端 口扫描(p o r t s c a n n i n g)和操作系

50、统探 测(o p e r a t i n g s y s t e m d e t e c t i o n)端 口扫描 技术 包括 T C P c o n n e c t()扫 描、T C P S YN 扫 描、T C P AC K 扫描、T C P F I N 扫 描、XMA S 扫 描、N UL L 扫 描、R E S E T扫描、F TP弹射扫描、UD P扫描、域查询应 答(d o ma i n q u e r y a n s we r)等，其规则 的生成源 自网 络协议中对不同协议数据的响应进行的规定 操作 系统探测技术分为两大类五个子类，如表 1 所示 其 中第一大类的规则生成源 自不