信息安全漏洞分類研究

司 群

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

信息安全漏洞分類研究

司 群

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

信息安全漏洞是造成信息安全問(wèn)題的重要原因之一，是實(shí)施網(wǎng)絡(luò)攻防的關(guān)鍵要素，如何及時(shí)有效發(fā)現(xiàn)漏洞信息，減少對(duì)社會(huì)、國(guó)家信息安全的不利影響，對(duì)安全漏洞的研究成為信息安全領(lǐng)域的重點(diǎn)，漏洞分類研究是漏洞研究的基礎(chǔ)。本文簡(jiǎn)要介紹及總結(jié)國(guó)內(nèi)外關(guān)于安全漏洞的定義和分類，并對(duì)未來(lái)的安全漏洞分類工作進(jìn)行了展望。

信息安全；安全漏洞；漏洞分類

隨著網(wǎng)絡(luò)信息技術(shù)在各行各業(yè)的信息系統(tǒng)中的普遍應(yīng)用，信息系統(tǒng)的安全漏洞也日益暴露出來(lái)，這些安全漏洞使得信息系統(tǒng)面臨來(lái)自網(wǎng)絡(luò)的各種威脅，如網(wǎng)絡(luò)攻擊、黑客入侵等導(dǎo)致信息系統(tǒng)信息泄露甚至于系統(tǒng)癱瘓，嚴(yán)重危及到企業(yè)的安全。因此，研究漏洞的攻防技術(shù)，加強(qiáng)網(wǎng)絡(luò)防護(hù)成為保護(hù)信息系統(tǒng)的關(guān)鍵，安全漏洞的分類研究又是研究漏洞的基礎(chǔ)，充分掌握漏洞的含義、分類成為本文研究的重點(diǎn)。

1 安全漏洞定義

信息安全漏洞最早是在1982年由美國(guó)著名計(jì)算機(jī)專家D.Denning博士提出的，她是從訪問(wèn)控制的角度，將漏洞定義為：導(dǎo)致操作系統(tǒng)執(zhí)行的操作和訪問(wèn)控制矩陣所定義的安全策略之間相沖突的所有因素[1]。1992年，D.Longley等人[2]從風(fēng)險(xiǎn)管理的不同角度把安全漏洞劃分成3個(gè)方面描述：（1）存在于自動(dòng)化系統(tǒng)內(nèi)部控制、安全過(guò)程以及管理控制等3方面的缺陷，它可能被網(wǎng)絡(luò)攻擊者所利用，進(jìn)而對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行破壞處理或者非法獲得對(duì)信息的非授權(quán)訪問(wèn)；（2）在組織、人員、程序、物理層、硬件或軟件方面存在的缺陷，它通常能夠被利用而損害自動(dòng)數(shù)據(jù)處理的行為或系統(tǒng)；（3）在網(wǎng)絡(luò)信息系統(tǒng)安全中，廣泛存在著其不足或缺陷。1996年，根據(jù)狀態(tài)空間描述的方法，M.Bishop等人[3]為漏洞給出了其詳細(xì)定義，認(rèn)為“利用管理、程序或者技術(shù)上所存在的失誤，攻擊者得到了網(wǎng)絡(luò)安全操作權(quán)限或未被授權(quán)的非法訪問(wèn)。在這些安全控制上的失誤被稱之為安全隱患或系統(tǒng)漏洞”。2006年，在《信息安全關(guān)鍵技術(shù)語(yǔ)詞匯表》中，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）給出的定義是：漏洞是指存在于網(wǎng)絡(luò)信息系統(tǒng)、內(nèi)部控制、系統(tǒng)安全過(guò)程或?qū)崿F(xiàn)過(guò)程中的、可觸發(fā)的或被威脅源能夠攻擊的系統(tǒng)弱點(diǎn)。2009年，在ISO/IEC SC27《SD6：IT安全術(shù)語(yǔ)詞匯表》中，對(duì)信息系統(tǒng)漏洞的定義是：漏洞是指在某些環(huán)境中違反安全功能要求的TOE中的弱點(diǎn)；它是通?？梢员灰粋€(gè)或多個(gè)威脅利用的一個(gè)或一組資產(chǎn)的弱點(diǎn)；是在信息系統(tǒng)安全控制過(guò)程中，或者是在其環(huán)境的設(shè)計(jì)、實(shí)施中所存在的弱點(diǎn)、特性或缺陷。

這些關(guān)于信息安全漏洞的定義或者解釋的角度雖各不相同，但是卻有以下3個(gè)共同的特點(diǎn)：（1）漏洞是信息系統(tǒng)自身具有的弱點(diǎn)或者缺陷；（2）漏洞存在環(huán)境通常是特定的；（3）漏洞具有可利用性，若攻擊者利用了這些漏洞將會(huì)給信息系統(tǒng)安全帶來(lái)嚴(yán)重威脅和經(jīng)濟(jì)損失。

綜合考慮中國(guó)信息安全工作實(shí)際，本文這樣描述信息安全漏洞的概念：漏洞是信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷，這些缺陷以不同形式存在于信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中，一旦被攻擊者惡意利用，就會(huì)對(duì)信息系統(tǒng)的安全造成損害，進(jìn)而影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息系統(tǒng)及信息的安全屬性[4]。

2 國(guó)外研究現(xiàn)狀

漏洞分類主要是研究者從不同角度描述漏洞，是漏洞研究的基礎(chǔ)之一，如從漏洞的成因、漏洞被利用的技術(shù)及漏洞作用范圍等進(jìn)行分類研究，國(guó)外當(dāng)前主流的漏洞分類主要有以下幾類方法：

（1）從對(duì)操作系統(tǒng)研究提出的漏洞分類。如操作系統(tǒng)安全性分析研究RISOS項(xiàng)目將漏洞分為7類 ：不完全的參數(shù)合法性驗(yàn)證、不一致參數(shù)合法性驗(yàn)證、隱含的權(quán)限、非同步的合法性驗(yàn)證、不適當(dāng)?shù)纳矸輼?biāo)識(shí)/認(rèn)證/授權(quán)、可違反的限制、可利用的邏輯錯(cuò)誤。

（2）從軟件錯(cuò)誤角度的漏洞分類方法：T.Aslam等人將漏洞分為編碼錯(cuò)誤和意外錯(cuò)誤等。由于該分類方法存在二義性和非窮舉性，I.V.Krsul對(duì)該方法進(jìn)行了擴(kuò)展及修改，形成完整的分類方法，將漏洞類型分為：操作錯(cuò)誤、編碼錯(cuò)誤、環(huán)境錯(cuò)誤及其他錯(cuò)誤4大類。

（3）多維度分類方法。如M.Bishop等人根據(jù)時(shí)間、漏洞成因、利用方式、漏洞利用組件數(shù)、代碼缺陷和作用域6個(gè)維度分別進(jìn)行了分類。

（4）廣義漏洞分類方法。如E.Knight將網(wǎng)絡(luò)漏洞分為策略疏忽、社會(huì)工程、技術(shù)缺陷和邏輯錯(cuò)誤。

（5）抽象分類方法。如美國(guó)MITRE公司的通用缺陷列表（CWE，Common Weakness Emulation）提供了根據(jù)漏洞機(jī)制進(jìn)行分類的方法，它將漏洞大致分為12大類，包括隨機(jī)不充分、被索引資源的不當(dāng)訪問(wèn)、在資源生命周期中的不當(dāng)控制、相互作用錯(cuò)誤、控制管理不充分、計(jì)算錯(cuò)誤、不充分比較、保護(hù)機(jī)制失效、名稱或引用的錯(cuò)誤解析、異常處理失敗、違反代碼編寫標(biāo)準(zhǔn)和消息或數(shù)據(jù)結(jié)構(gòu)的不當(dāng)處理等。

3 國(guó)內(nèi)漏洞分類

和其他事物一樣，安全漏洞具有多方面的屬性，也就可以從多個(gè)維度對(duì)其進(jìn)行分類，重點(diǎn)關(guān)注基于技術(shù)的維度。注意，下面提到的所有分類并不是在數(shù)學(xué)意義上嚴(yán)格的，也就是說(shuō)并不保證同一抽象層次、窮舉和互斥，而是極其簡(jiǎn)化的出于實(shí)用為目的分類。它可以分為3大類，其分別為：基于利用位置的分類、基于威脅類型的分類和基于技術(shù)類型的分類。

3.1 基于利用位置的分類

（1）本地漏洞，即需要操作系統(tǒng)級(jí)的有效帳號(hào)登錄到本地才能利用的漏洞，主要構(gòu)成為權(quán)限提升類漏洞，即把自身的執(zhí)行權(quán)限從普通用戶級(jí)別提升到管理員級(jí)別。

（2）遠(yuǎn)程漏洞，即無(wú)需系統(tǒng)級(jí)的帳號(hào)驗(yàn)證即可通過(guò)網(wǎng)絡(luò)訪問(wèn)目標(biāo)進(jìn)行利用，這里強(qiáng)調(diào)的是系統(tǒng)級(jí)帳號(hào)，如果漏洞利用需要諸如FTP用戶這樣應(yīng)用級(jí)的帳號(hào)要求也算是遠(yuǎn)程漏洞。例如：Microsoft Windows DCOM RPC接口長(zhǎng)主機(jī)名遠(yuǎn)程緩沖區(qū)溢出漏洞（MS03-026）（CVE-2003-0352）攻擊者可以遠(yuǎn)程通過(guò)訪問(wèn)目標(biāo)服務(wù)器的RPC服務(wù)端口無(wú)需用戶驗(yàn)證就能利用漏洞，以系統(tǒng)權(quán)限執(zhí)行任意指令，實(shí)現(xiàn)對(duì)系統(tǒng)的完全控制。

3.2 基于威脅類型的分類

（1）獲取控制，即可以導(dǎo)致劫持程序執(zhí)行流程，轉(zhuǎn)向執(zhí)行攻擊者指定的任意指令或命令，控制應(yīng)用系統(tǒng)或操作系統(tǒng)。威脅最大，同時(shí)影響系統(tǒng)的機(jī)密性、完整性，甚至在需要的時(shí)候可以影響可用性。主要來(lái)源：內(nèi)存破壞類、CGI類漏洞。

（2）獲取信息，即可以導(dǎo)致劫持程序訪問(wèn)預(yù)期外的資源并泄露給攻擊者，影響系統(tǒng)的機(jī)密性。其主要來(lái)源：輸入驗(yàn)證類、配置錯(cuò)誤類漏洞。

（3）拒絕服務(wù)，即可以導(dǎo)致目標(biāo)應(yīng)用或系統(tǒng)暫時(shí)或永遠(yuǎn)性地失去響應(yīng)正常服務(wù)的能力，影響系統(tǒng)的可用性。主要來(lái)源：內(nèi)存破壞類、意外處理錯(cuò)誤處理類漏洞。

3.3 基于技術(shù)類型的分類

基于漏洞成因技術(shù)的分類包括：內(nèi)存破壞類、邏輯錯(cuò)誤類、輸入驗(yàn)證類、設(shè)計(jì)錯(cuò)誤類和配置錯(cuò)誤類。

3.3.1 內(nèi)存破壞類

此類漏洞的共同特征是由于某種形式的非預(yù)期的內(nèi)存越界訪問(wèn)（讀、寫或兼而有之），可控程度較好的情況下可執(zhí)行攻擊者指定的任意指令，其他的大多數(shù)情況下會(huì)導(dǎo)致拒絕服務(wù)或信息泄露。 對(duì)內(nèi)存破壞類漏洞再細(xì)分下來(lái)源，可以分出如下子類型：棧緩沖區(qū)溢出、堆緩沖區(qū)溢出、靜態(tài)數(shù)據(jù)區(qū)溢出、格式串問(wèn)題、越界內(nèi)存訪問(wèn)、釋放后重用和二次釋放。

（1）棧緩沖區(qū)溢出，是最古老的內(nèi)存破壞類型。發(fā)生在堆棧中的緩沖區(qū)溢出，由于利用起來(lái)非常穩(wěn)定，大多可以導(dǎo)致執(zhí)行任意指令，威脅很大。此類漏洞歷史非常悠久， 1988年著名的Morris蠕蟲(chóng)傳播手段之一就是利用了finger服務(wù)的一個(gè)棧緩沖區(qū)溢出漏洞。在2008年之前的幾乎所有影響面巨大的網(wǎng)絡(luò)蠕蟲(chóng)也基本利用此類漏洞

（2）堆緩沖區(qū)溢出，即導(dǎo)致堆緩沖區(qū)溢出的來(lái)源與棧溢出的一致，基本都是因?yàn)橐恍╅L(zhǎng)度檢查不充分的數(shù)據(jù)操作，唯一不同的地方只是發(fā)生問(wèn)題的對(duì)象不是在編譯階段就已經(jīng)確定分配的棧緩沖區(qū)，而是隨著程序執(zhí)行動(dòng)態(tài)分配的堆塊。堆溢出特有的溢出樣式：由于整數(shù)溢出引發(fā)Malloc小緩沖區(qū)從而最終導(dǎo)致堆溢出。

（3）靜態(tài)數(shù)據(jù)區(qū)溢出，即發(fā)生在靜態(tài)數(shù)據(jù)區(qū)BSS段中的溢出，是非常少見(jiàn)的溢出類型。

（4）格式串問(wèn)題，即在*printf類調(diào)用中由于沒(méi)有正確使用格式串參數(shù)，使攻擊者可以控制格式串的內(nèi)容操縱*printf調(diào)用越界訪問(wèn)內(nèi)存。此類漏洞通過(guò)靜態(tài)或動(dòng)態(tài)的分析方法可以相對(duì)容易地被挖掘出來(lái)，因此目前已經(jīng)很少能夠在使用廣泛的軟件中看到了。

（5）越界內(nèi)存訪問(wèn)，即程序盲目信任來(lái)自通信對(duì)方傳遞的數(shù)據(jù)，并以此作為內(nèi)存訪問(wèn)的索引，畸形的數(shù)值導(dǎo)致越界的內(nèi)存訪問(wèn)，造成內(nèi)存破壞或信息泄露。

（6）釋放后重用，這是目前最主流最具威脅的客戶端漏洞類型，大多數(shù)被發(fā)現(xiàn)的利用0day漏洞進(jìn)行的水坑攻擊也幾乎都是這種類型，每個(gè)月各大瀏覽器廠商都在修復(fù)大量的此類漏洞。技術(shù)上說(shuō)，此類漏洞大多來(lái)源于對(duì)象的引用計(jì)數(shù)操作不平衡，導(dǎo)致對(duì)象被非預(yù)期地釋放后重用，進(jìn)程在后續(xù)操作那些已經(jīng)被污染的對(duì)象時(shí)執(zhí)行攻擊者的指令。與上述幾類內(nèi)存破壞類漏洞的不同之處在于，此類漏洞的觸發(fā)基于對(duì)象的操作異常，而非基于數(shù)據(jù)的畸形異常，一般基于協(xié)議合規(guī)性的異常檢測(cè)不再能起作用，檢測(cè)上構(gòu)成極大的挑戰(zhàn)。

（7）二次釋放，即一般來(lái)源于代碼中涉及內(nèi)存使用和釋放的操作邏輯，導(dǎo)致同一個(gè)堆緩沖區(qū)可以被反復(fù)地釋放，最終導(dǎo)致的后果與操作系統(tǒng)堆管理的實(shí)現(xiàn)方式相關(guān)，很可能實(shí)現(xiàn)執(zhí)行任意指令。實(shí)例： CVS遠(yuǎn)程非法目錄請(qǐng)求導(dǎo)致堆破壞漏洞（CVE-2003-0015）

3.3.2 邏輯錯(cuò)誤類

涉及安全檢查的實(shí)現(xiàn)邏輯上存在的問(wèn)題，導(dǎo)致設(shè)計(jì)的安全機(jī)制被繞過(guò)。例如：Real VNC 4.1.1驗(yàn)證繞過(guò)漏洞（ CVE-2006-2369 ），漏洞允許客戶端指定服務(wù)端并不聲明支持的驗(yàn)證類型，服務(wù)端的驗(yàn)證交互代碼存在邏輯問(wèn)題。

3.3.3 輸入驗(yàn)證類

漏洞來(lái)源都是由于對(duì)來(lái)自用戶輸入沒(méi)有做充分的檢查過(guò)濾就用于后續(xù)操作，絕大部分的CGI漏洞屬于此類。所能導(dǎo)致的后果，經(jīng)?？吹角彝{較大的有以下幾類：SQL注入、跨站腳本執(zhí)行、遠(yuǎn)程或本地文件包含、命令注入和目錄遍歷。

（1）SQL注入，即Web應(yīng)用對(duì)來(lái)自用戶的輸入數(shù)據(jù)未做充分檢查過(guò)濾，就用于構(gòu)造訪問(wèn)后臺(tái)數(shù)據(jù)庫(kù)的SQL命令，導(dǎo)致執(zhí)行非預(yù)期的SQL操作，最終導(dǎo)致數(shù)據(jù)泄露或數(shù)據(jù)庫(kù)破壞。（2）跨站腳本執(zhí)行（XSS），即Web應(yīng)用對(duì)來(lái)自用戶的輸入數(shù)據(jù)未做充分檢查過(guò)濾，用于構(gòu)造返回給用戶瀏覽器的回應(yīng)數(shù)據(jù)，導(dǎo)致在用戶瀏覽器中執(zhí)行任意腳本代碼。（3）命令注入，即涉及系統(tǒng)命令調(diào)用和執(zhí)行的函數(shù)在接收用戶的參數(shù)輸入時(shí)未做檢查過(guò)濾，或者攻擊者可以通過(guò)編碼及其他替換手段繞過(guò)安全限制注入命令串，導(dǎo)致執(zhí)行攻擊指定的命令。（4）目錄遍歷，即涉及系統(tǒng)用于生成訪問(wèn)文件路徑，用戶輸入數(shù)據(jù)時(shí)未做檢查過(guò)濾，并且對(duì)最終的文件絕對(duì)路徑的合法性檢查存在問(wèn)題，導(dǎo)致訪問(wèn)允許位置以外的文件。多見(jiàn)于CGI類應(yīng)用，其他服務(wù)類型也可能存在此類漏洞。

3.3.4 設(shè)計(jì)錯(cuò)誤類

系統(tǒng)設(shè)計(jì)上對(duì)安全機(jī)制的考慮不足導(dǎo)致在設(shè)計(jì)階段就已經(jīng)引入安全漏洞。

3.3.5 配置錯(cuò)誤類

系統(tǒng)運(yùn)行維護(hù)過(guò)程中默認(rèn)不安全的配置狀態(tài)，大多涉及訪問(wèn)驗(yàn)證的方面。（系統(tǒng)以不正確的設(shè)置參數(shù)進(jìn)行安裝；系統(tǒng)被安裝在不正確地方或位置）

4 結(jié)束語(yǔ)

漏洞分類研究是一項(xiàng)長(zhǎng)期并極具挑戰(zhàn)性的課題，通過(guò)對(duì)安全漏洞的分類方法的綜述研究可以看出，漏洞種類非常復(fù)雜，技術(shù)難度也相當(dāng)大，所以提出一個(gè)廣泛適用的漏洞分類方法是一項(xiàng)艱巨的任務(wù)。

[1]. Denning D. Cryptography and Data Security[M]. Reading, MA, USA: Addison-Wesley, 1982.

[2].Longley D, Shain M, Caell W. Information Security: Dictionary of Concepts, Standards and Terms[M]. New York, USA: MacMillan, 1992.

[3] Bishop M, Bailey D. A Critical Analysis of Vulnerability Taxonomies, Technical Report CSE-96-11[R]. Davis, USA: Department of Computer Science at the University of California at Davis, 1996.

[4] 吳世忠. 信息安全漏洞分析回顧與展望[J]. 清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2009（S2）.

責(zé)任編輯 方 圓

Classif i cation research on information security vulnerabilities

SI Qun
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

Information security vulnerability was one of the important causes of information security problems and the key factor to implement network attack and defense. How to find vulnerabilities information and reduce the adverse impact on the society and the national information security, the research on vulnerability became the focus of information security domain, and the classif i cation of vulnerability was the basis of vulnerability research. This paper brief l y introduced and summarized the def i nition and classif i cation of security vulnerabilities at home and abroad, and also prospected the future security vulnerabilities classif i cation work.

information security; security vulnerabilities; vulnerabilities classif i cation

U29-39

A

1005-8451（2015）02-0013-04

2014-10-08

司 群，工程師。