信息安全漏洞分類研究

司 群

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

信息安全漏洞分類研究

司 群

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

信息安全漏洞是造成信息安全問題的重要原因之一，是實施網絡攻防的關鍵要素，如何及時有效發現漏洞信息，減少對社會、國家信息安全的不利影響，對安全漏洞的研究成為信息安全領域的重點，漏洞分類研究是漏洞研究的基礎。本文簡要介紹及總結國內外關于安全漏洞的定義和分類，并對未來的安全漏洞分類工作進行了展望。

信息安全；安全漏洞；漏洞分類

隨著網絡信息技術在各行各業的信息系統中的普遍應用，信息系統的安全漏洞也日益暴露出來，這些安全漏洞使得信息系統面臨來自網絡的各種威脅，如網絡攻擊、黑客入侵等導致信息系統信息泄露甚至于系統癱瘓，嚴重危及到企業的安全。因此，研究漏洞的攻防技術，加強網絡防護成為保護信息系統的關鍵，安全漏洞的分類研究又是研究漏洞的基礎，充分掌握漏洞的含義、分類成為本文研究的重點。

1 安全漏洞定義

信息安全漏洞最早是在1982年由美國著名計算機專家D.Denning博士提出的，她是從訪問控制的角度，將漏洞定義為：導致操作系統執行的操作和訪問控制矩陣所定義的安全策略之間相沖突的所有因素[1]。1992年，D.Longley等人[2]從風險管理的不同角度把安全漏洞劃分成3個方面描述：（1）存在于自動化系統內部控制、安全過程以及管理控制等3方面的缺陷，它可能被網絡攻擊者所利用，進而對關鍵數據進行破壞處理或者非法獲得對信息的非授權訪問；（2）在組織、人員、程序、物理層、硬件或軟件方面存在的缺陷，它通常能夠被利用而損害自動數據處理的行為或系統；（3）在網絡信息系統安全中，廣泛存在著其不足或缺陷。1996年，根據狀態空間描述的方法，M.Bishop等人[3]為漏洞給出了其詳細定義，認為“利用管理、程序或者技術上所存在的失誤，攻擊者得到了網絡安全操作權限或未被授權的非法訪問。在這些安全控制上的失誤被稱之為安全隱患或系統漏洞”。2006年，在《信息安全關鍵技術語詞匯表》中，美國國家標準與技術研究所（NIST）給出的定義是：漏洞是指存在于網絡信息系統、內部控制、系統安全過程或實現過程中的、可觸發的或被威脅源能夠攻擊的系統弱點。2009年，在ISO/IEC SC27《SD6：IT安全術語詞匯表》中，對信息系統漏洞的定義是：漏洞是指在某些環境中違反安全功能要求的TOE中的弱點；它是通常可以被一個或多個威脅利用的一個或一組資產的弱點；是在信息系統安全控制過程中，或者是在其環境的設計、實施中所存在的弱點、特性或缺陷。

這些關于信息安全漏洞的定義或者解釋的角度雖各不相同，但是卻有以下3個共同的特點：（1）漏洞是信息系統自身具有的弱點或者缺陷；（2）漏洞存在環境通常是特定的；（3）漏洞具有可利用性，若攻擊者利用了這些漏洞將會給信息系統安全帶來嚴重威脅和經濟損失。

綜合考慮中國信息安全工作實際，本文這樣描述信息安全漏洞的概念：漏洞是信息技術、信息產品、信息系統在需求、設計、實現、配置、運行等過程中，有意或無意產生的缺陷，這些缺陷以不同形式存在于信息系統的各個層次和環節之中，一旦被攻擊者惡意利用，就會對信息系統的安全造成損害，進而影響構建于信息系統之上正常服務的運行，危害信息系統及信息的安全屬性[4]。

2 國外研究現狀

漏洞分類主要是研究者從不同角度描述漏洞，是漏洞研究的基礎之一，如從漏洞的成因、漏洞被利用的技術及漏洞作用范圍等進行分類研究，國外當前主流的漏洞分類主要有以下幾類方法：

（1）從對操作系統研究提出的漏洞分類。如操作系統安全性分析研究RISOS項目將漏洞分為7類 ：不完全的參數合法性驗證、不一致參數合法性驗證、隱含的權限、非同步的合法性驗證、不適當的身份標識/認證/授權、可違反的限制、可利用的邏輯錯誤。

（2）從軟件錯誤角度的漏洞分類方法：T.Aslam等人將漏洞分為編碼錯誤和意外錯誤等。由于該分類方法存在二義性和非窮舉性，I.V.Krsul對該方法進行了擴展及修改，形成完整的分類方法，將漏洞類型分為：操作錯誤、編碼錯誤、環境錯誤及其他錯誤4大類。

（3）多維度分類方法。如M.Bishop等人根據時間、漏洞成因、利用方式、漏洞利用組件數、代碼缺陷和作用域6個維度分別進行了分類。

（4）廣義漏洞分類方法。如E.Knight將網絡漏洞分為策略疏忽、社會工程、技術缺陷和邏輯錯誤。

（5）抽象分類方法。如美國MITRE公司的通用缺陷列表（CWE，Common Weakness Emulation）提供了根據漏洞機制進行分類的方法，它將漏洞大致分為12大類，包括隨機不充分、被索引資源的不當訪問、在資源生命周期中的不當控制、相互作用錯誤、控制管理不充分、計算錯誤、不充分比較、保護機制失效、名稱或引用的錯誤解析、異常處理失敗、違反代碼編寫標準和消息或數據結構的不當處理等。

3 國內漏洞分類

和其他事物一樣，安全漏洞具有多方面的屬性，也就可以從多個維度對其進行分類，重點關注基于技術的維度。注意，下面提到的所有分類并不是在數學意義上嚴格的，也就是說并不保證同一抽象層次、窮舉和互斥，而是極其簡化的出于實用為目的分類。它可以分為3大類，其分別為：基于利用位置的分類、基于威脅類型的分類和基于技術類型的分類。

3.1 基于利用位置的分類

（1）本地漏洞，即需要操作系統級的有效帳號登錄到本地才能利用的漏洞，主要構成為權限提升類漏洞，即把自身的執行權限從普通用戶級別提升到管理員級別。

（2）遠程漏洞，即無需系統級的帳號驗證即可通過網絡訪問目標進行利用，這里強調的是系統級帳號，如果漏洞利用需要諸如FTP用戶這樣應用級的帳號要求也算是遠程漏洞。例如：Microsoft Windows DCOM RPC接口長主機名遠程緩沖區溢出漏洞（MS03-026）（CVE-2003-0352）攻擊者可以遠程通過訪問目標服務器的RPC服務端口無需用戶驗證就能利用漏洞，以系統權限執行任意指令，實現對系統的完全控制。

3.2 基于威脅類型的分類

（1）獲取控制，即可以導致劫持程序執行流程，轉向執行攻擊者指定的任意指令或命令，控制應用系統或操作系統。威脅最大，同時影響系統的機密性、完整性，甚至在需要的時候可以影響可用性。主要來源：內存破壞類、CGI類漏洞。

（2）獲取信息，即可以導致劫持程序訪問預期外的資源并泄露給攻擊者，影響系統的機密性。其主要來源：輸入驗證類、配置錯誤類漏洞。

（3）拒絕服務，即可以導致目標應用或系統暫時或永遠性地失去響應正常服務的能力，影響系統的可用性。主要來源：內存破壞類、意外處理錯誤處理類漏洞。

3.3 基于技術類型的分類

基于漏洞成因技術的分類包括：內存破壞類、邏輯錯誤類、輸入驗證類、設計錯誤類和配置錯誤類。

3.3.1 內存破壞類

此類漏洞的共同特征是由于某種形式的非預期的內存越界訪問（讀、寫或兼而有之），可控程度較好的情況下可執行攻擊者指定的任意指令，其他的大多數情況下會導致拒絕服務或信息泄露。 對內存破壞類漏洞再細分下來源，可以分出如下子類型：棧緩沖區溢出、堆緩沖區溢出、靜態數據區溢出、格式串問題、越界內存訪問、釋放后重用和二次釋放。

（1）棧緩沖區溢出，是最古老的內存破壞類型。發生在堆棧中的緩沖區溢出，由于利用起來非常穩定，大多可以導致執行任意指令，威脅很大。此類漏洞歷史非常悠久， 1988年著名的Morris蠕蟲傳播手段之一就是利用了finger服務的一個棧緩沖區溢出漏洞。在2008年之前的幾乎所有影響面巨大的網絡蠕蟲也基本利用此類漏洞

（2）堆緩沖區溢出，即導致堆緩沖區溢出的來源與棧溢出的一致，基本都是因為一些長度檢查不充分的數據操作，唯一不同的地方只是發生問題的對象不是在編譯階段就已經確定分配的棧緩沖區，而是隨著程序執行動態分配的堆塊。堆溢出特有的溢出樣式：由于整數溢出引發Malloc小緩沖區從而最終導致堆溢出。

（3）靜態數據區溢出，即發生在靜態數據區BSS段中的溢出，是非常少見的溢出類型。

（4）格式串問題，即在*printf類調用中由于沒有正確使用格式串參數，使攻擊者可以控制格式串的內容操縱*printf調用越界訪問內存。此類漏洞通過靜態或動態的分析方法可以相對容易地被挖掘出來，因此目前已經很少能夠在使用廣泛的軟件中看到了。

（5）越界內存訪問，即程序盲目信任來自通信對方傳遞的數據，并以此作為內存訪問的索引，畸形的數值導致越界的內存訪問，造成內存破壞或信息泄露。

（6）釋放后重用，這是目前最主流最具威脅的客戶端漏洞類型，大多數被發現的利用0day漏洞進行的水坑攻擊也幾乎都是這種類型，每個月各大瀏覽器廠商都在修復大量的此類漏洞。技術上說，此類漏洞大多來源于對象的引用計數操作不平衡，導致對象被非預期地釋放后重用，進程在后續操作那些已經被污染的對象時執行攻擊者的指令。與上述幾類內存破壞類漏洞的不同之處在于，此類漏洞的觸發基于對象的操作異常，而非基于數據的畸形異常，一般基于協議合規性的異常檢測不再能起作用，檢測上構成極大的挑戰。

（7）二次釋放，即一般來源于代碼中涉及內存使用和釋放的操作邏輯，導致同一個堆緩沖區可以被反復地釋放，最終導致的后果與操作系統堆管理的實現方式相關，很可能實現執行任意指令。實例： CVS遠程非法目錄請求導致堆破壞漏洞（CVE-2003-0015）

3.3.2 邏輯錯誤類

涉及安全檢查的實現邏輯上存在的問題，導致設計的安全機制被繞過。例如：Real VNC 4.1.1驗證繞過漏洞（ CVE-2006-2369 ），漏洞允許客戶端指定服務端并不聲明支持的驗證類型，服務端的驗證交互代碼存在邏輯問題。

3.3.3 輸入驗證類

漏洞來源都是由于對來自用戶輸入沒有做充分的檢查過濾就用于后續操作，絕大部分的CGI漏洞屬于此類。所能導致的后果，經常看到且威脅較大的有以下幾類：SQL注入、跨站腳本執行、遠程或本地文件包含、命令注入和目錄遍歷。

（1）SQL注入，即Web應用對來自用戶的輸入數據未做充分檢查過濾，就用于構造訪問后臺數據庫的SQL命令，導致執行非預期的SQL操作，最終導致數據泄露或數據庫破壞。（2）跨站腳本執行（XSS），即Web應用對來自用戶的輸入數據未做充分檢查過濾，用于構造返回給用戶瀏覽器的回應數據，導致在用戶瀏覽器中執行任意腳本代碼。（3）命令注入，即涉及系統命令調用和執行的函數在接收用戶的參數輸入時未做檢查過濾，或者攻擊者可以通過編碼及其他替換手段繞過安全限制注入命令串，導致執行攻擊指定的命令。（4）目錄遍歷，即涉及系統用于生成訪問文件路徑，用戶輸入數據時未做檢查過濾，并且對最終的文件絕對路徑的合法性檢查存在問題，導致訪問允許位置以外的文件。多見于CGI類應用，其他服務類型也可能存在此類漏洞。

3.3.4 設計錯誤類

系統設計上對安全機制的考慮不足導致在設計階段就已經引入安全漏洞。

3.3.5 配置錯誤類

系統運行維護過程中默認不安全的配置狀態，大多涉及訪問驗證的方面。（系統以不正確的設置參數進行安裝；系統被安裝在不正確地方或位置）

4 結束語

漏洞分類研究是一項長期并極具挑戰性的課題，通過對安全漏洞的分類方法的綜述研究可以看出，漏洞種類非常復雜，技術難度也相當大，所以提出一個廣泛適用的漏洞分類方法是一項艱巨的任務。

[1]. Denning D. Cryptography and Data Security[M]. Reading, MA, USA: Addison-Wesley, 1982.

[2].Longley D, Shain M, Caell W. Information Security: Dictionary of Concepts, Standards and Terms[M]. New York, USA: MacMillan, 1992.

[3] Bishop M, Bailey D. A Critical Analysis of Vulnerability Taxonomies, Technical Report CSE-96-11[R]. Davis, USA: Department of Computer Science at the University of California at Davis, 1996.

[4] 吳世忠. 信息安全漏洞分析回顧與展望[J]. 清華大學學報（自然科學版），2009（S2）.

責任編輯 方 圓

Classif i cation research on information security vulnerabilities

SI Qun
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

Information security vulnerability was one of the important causes of information security problems and the key factor to implement network attack and defense. How to find vulnerabilities information and reduce the adverse impact on the society and the national information security, the research on vulnerability became the focus of information security domain, and the classif i cation of vulnerability was the basis of vulnerability research. This paper brief l y introduced and summarized the def i nition and classif i cation of security vulnerabilities at home and abroad, and also prospected the future security vulnerabilities classif i cation work.

information security; security vulnerabilities; vulnerabilities classif i cation

U29-39

A

1005-8451（2015）02-0013-04

2014-10-08

司 群，工程師。