網絡系統脆弱性評估

栗勇兵 董啟雄 龔瀛

摘要:近年來不斷發生的網絡攻擊事件使人們深刻地意識到網絡安全的重要性。 脆弱性評估技術能夠找出網絡系統中存在的安全隱患和可能被入侵者利用的安全漏洞,可以在攻擊事件發生之前發現問題并進行彌補,在很大程度上提高了網絡系統的安全性。

關鍵詞:網絡 系統脆弱性 評估

1、脆弱性評估概述

計算機網絡系統在設計、實施、操作和控制過程中存在的可能被攻擊者利用從而造成系統安全危害的缺陷稱為脆弱性(Vulnerability)。由于網絡應用程序或者其他程序的瑕疵不可避免,入侵者很容易利用網絡系統中存在的脆弱性實施攻擊,獲取被攻擊系統的機密信息,甚至取得被攻擊系統的超級權限為所欲為。以上這些行為都可能導致系統的保密性、完整性和可用性受到損害。網絡系統存在的脆弱性是網絡攻擊發生的前提,沒有脆弱性,也就不存在網絡攻擊。漏洞之間的關聯性、主機之間的依賴性、服務的動態性及網絡系統連接的復雜性決定了網絡系統脆弱性評估是一項非常復雜的工作。

我國信息系統風險評估的研究是近幾年才起步的,目前主要工作集中于組織架構和業務體系的建立,相應的標準體系和技術體系還處于研究階段,但隨著電子政務、電子商務的蓬勃發展,信息系統風險評估領域和以該領域為基礎和前提的信息、系統安全工程在我國己經得到政府、軍隊、企業、科研機構的高度重視,具有廣闊的研究和發展空間。

無論國外還是國內,安全模型的建立、標準的選擇、要素的提取、方法的研究、實施的過程,一直都是研究的重點。信息安全風險評估過程中幾個關鍵環節是:資產評估、威脅評估和脆弱性評估。所謂資產評估,就是對資產進行識別,并對資產的重要性進行賦值;所謂威脅評估,就是對威脅進行識別,描述威脅的屬性,并對威脅出現的頻率賦值。

脆弱性評估(vulnerability Assessment)是指依靠各種管理和技術手段對網絡系統進行檢測,找出安全隱患和可能被不法人員利用的系統缺陷,根據檢測結果分析評估系統的安全狀況,并且在此基礎上根據評估結果制定恰當的安全策略,為安全體系的運行提供參考依據,使網絡系統根據變化及時進行調整以保持風險等級始終處于可接受的范圍之內。脆弱性評估的目的是通過識別和分析信息系統的脆弱性,找出信息系統中相對比較薄弱的部分,為安全策略的確定和控制措施的采取提供理論依據。

信息安全風險評估涉及四個主要因素是:資產,威脅,脆弱性,風險。資產是對組織具有價值的信啟、資源,是安全策略保護的對象;威脅是可能對資產或組織造成損害的潛在原因;脆弱性是可能被威脅利用而對資產造成損害的薄弱環節;風險是人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件及其對組織造成的影響。

目前,從網絡系統脆弱性評估的發展狀況上來看,這個研究領域正處于發展期。在計算機網絡系統脆弱性評估領域所要研究的問題很多,包括脆弱性因素提取、量化指標建立、評估方法確定、評估標準過程、數學模型建立、關鍵結點分析、關鍵路徑分析、漏洞依賴關系、主機信任關系、評估輔助決策等各個方面。更為重要的是如何將上述各方面問題有機地結合起來,形成計算機網絡系統脆弱性評估規范流程及系統框架。

歸納起來,針對計算機網絡系統脆弱性評估的研究主要包括:①評估的目標;②評估的標準;③評估的規范流程;④評估技術及評估模型;⑤評估輔助決策。

2、脆弱性評估方法

網絡系統的脆弱性評估就其操作方法來說可以分為以下四種:基于安全標準的方法、基于財產價值的方法、基于漏洞檢測的方法以及基于安全模型的方法。其中的漏洞檢測是目前比較成熟的技術,基于安全模型的方法一般都是建立在漏洞檢測的評估方法之上。這種方法的優點在于模型的建立比規則的提取簡單,能夠全面地反映系統中存在的安全隱患,而且能夠發現未知的攻擊模式和系統脆弱性,因而特別適合于對系統進行全面的評估,這種方法己經逐步成為國內外許多研究機構和學者的重點研究方向。

在基于模型的脆弱性評估方法中,攻擊圖分析法是主流的評估方法,而攻擊圖分析法又分為兩類:模型檢測法和基于圖論的方法。

2.1 模型檢測法

指在一個給定自動機模型上,檢測這個模型是否滿足某個性質,如果滿足則回答“是”,如果不滿足則回答“否”并給出一個反例。紐約州立大學的Ramakrishnan和Sekar首先提出將模型檢測的方法應用在主機弱點綜合分析上。GMU的研究人員Ritchey和Ammann在其攻擊圖生成方法研究的最初階段使用了模型檢測方法及模型檢測工具SMV。CMU的系統安全分析課題組改進了模型檢測工具Mums,用來生成評估目標的網絡攻擊圖,Sheyner通過這種方法構造出攻擊圖后,應用在了入侵檢測系統(IDS)的警報關聯,以及從單個攻擊行為來預警攻擊。使用模型檢測方法面臨的一個主要問題是系統狀態空間過大。信息系統的狀態由各個實體、弱點、主機連接、安全需求等各種信啟、組成,在使用模型檢測方法的分析過程中待考察的狀態數量呈指數級增長,從而導致使用的存儲空間巨大。

2.2 基于圖論的方法

Sandia National Laboratories的Phillips和Swiler在1998年首先用圖論的思想生成了網絡攻擊圖,后來在DARPA的資助下完成了對攻擊圖的分析和去除冗余節點和邊的工作。Ammann及其同事放棄了模型檢測方法而使用基于圖論的方法生成攻擊圖,并在其中做了安全單調性假設,用正向廣度搜索的方式生成了攻擊圖。哈爾濱工業大學的張濤博士也用類似的方法實現了一個安全性分析系統。這種方法具有良好的空間復雜性和時間復雜性,但其所建立的模型復雜,當面對較大網絡時,對程序的運行效率影響比較大,而且生成的攻擊圖極為復雜。GMU的Ritchey和Steven Noel等人提出了拓撲脆弱性分析的概念,更加細致地描述了主機之間的連接關系對信息、系統安全的影響。

3、現有脆弱性評估系統分析對比

目前的脆弱性評估系統主要可以分為以下兩類:基于單機的局部脆弱性評估系統(簡稱局部評估)和基于網絡系統的整體脆弱性評估系統(簡稱整體評估)。

3.1 基于單機的局部脆弱性評估

局部評估側重于檢測并分析單一主機存在的脆弱性,比較典型的工具主要有以下兩種種:

(1)SAINT (security Administrators Integrated Network Tool)。全稱安全管理員集成網絡工具,它是在著名的脆弱性檢測工具SATAN的基礎上發展而來的。

SAINT可以幫助系統安全管理人員收集網絡主機信息,發現存在或者潛在的系統缺陷;提供主機安全性評估報告;進行主機安全策略測試。SAINT還具有非常友好的界面,用戶可以在本地或者遠程通過Netscape、Mozilla、Microsoft Internet Explorer等瀏覽器對其進行管理。

(2)ISS(Internet Security Systems)的SAFEsuite產品族。SAFEsulte主要包括三部分功能:安全評價、入侵檢測和安全管理方案,幫助用戶設計合理的安全策略。

安全評價平臺由三個安全評價應用程序組成:Internet Scanner,Database Scanner和System Scanner。Internet Scanner鑒別和定位技術弱點,提供自動的、基于網絡的安全評價和策略一致性評估,通過定時或事件驅動探測網絡通信服務、OS、路由器、E-mail、Web服務器、防火墻和應用程序,從而鑒別可能導致未授權網絡訪問的系統虛弱性,并提供關于風險預測、風險量化和風險管理的信息。Database Scanner自動鑒別數據庫系統中的從弱口令到Trojan horse這些弱點,帶內置的弱點知識庫,可用于Oracle,MS SQL Server, Sybase數據庫。System Scanner是一個可擴展的基于主機manager/agent的系統,用于檢查和管理與安全策略的一致性,它檢測安全弱點、與安全相關的誤配置及策略不一致性,可用于單個服務器到大規模分布式網絡的系統的邏輯安全和系統完整性,對檢測到的弱點提供較詳細的解決和改正措施。

入侵檢測平臺Real secure包括Sensors(網絡Sensor和0S Sensor)和Managers組成,可檢測網絡中的攻擊和濫用。攻擊包括Dos(如Win Nuke, SYN Flood,LAND,停止服務)、未授權的訪問企圖(如Back Orifice訪問和Brute Force登錄)、可疑活動(如TFTP包)、安全后門程序的企圖(如BO)、修改數據或Web內容的企圖等。濫用檢測包括濫用管理特權、HTTP活動、Windows共享分析等。

安全管理方案SAFEsuite Decisions集成上面組件生成的安全數據,簡化網絡安全管理。

3.2 基于網絡系統的整體脆弱性評估

整體評估以局部評估結果為基礎,結合網絡系統從網絡整體的角度對網絡中存在的各種配置脆弱性、軟件脆弱性以及脆弱性之間關系進行關聯分析。

最早的整體評估思想是由Zerkle和Levitt提出的,其相應工具為NetKuan,NetKuang分析不同UNIX主機上各種配置脆弱性之間的關聯關系,但不能分析其他操作系統和其他類型的脆弱性?？偟膩碚f,這個模型比較粗糙,但它的思想有很強的借鑒意義。

1997年Swiler等人提出了基于攻擊圖的整體評估模型。在該模型中,攻擊圖的一個結點代表一個可能的攻擊狀態,結點內容通常包括主機名、用戶權限、攻擊的影響等,每條弧代表攻擊者的一個攻擊行為引起的狀態改變。模型采用攻擊模版描述各種攻擊行為,初始時,給定一個目標狀態,然后通過已有的攻擊模版,從目標狀態反向生成系統攻擊圖,如果生成成功,則表明系統存在相應的脆弱性。

參考文獻:

【1】邢栩嘉、林闖、蔣屹新.計算機系統脆弱性評估研究.計算機學報,2004, 27(l):4-6頁

【2】夏陽、陸余良、楊國正.計算機網絡脆弱性評估技術研究.計算機工程, 2007,33(19):143-144頁