自主網(wǎng)絡(luò)系統(tǒng)的安全脆弱性評價和分析

■ 南京審計大學(xué)金審學(xué)院 王海濤

陸軍工程大學(xué)指揮控制工程學(xué)院 宋麗華

江蘇經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院智能工程學(xué)院 彭志專

編者按：自主網(wǎng)絡(luò)管理在極大提高網(wǎng)絡(luò)管理效率的同時，也帶來了新的安全問題。本文簡要說明了自主網(wǎng)絡(luò)管理的基本特征和網(wǎng)絡(luò)架構(gòu)，介紹了脆弱性管理的概念和一般過程，并詳細闡述了脆弱性管理的三項核心技術(shù)，即脆弱性發(fā)現(xiàn)、脆弱性描述和脆弱性檢測技術(shù)。

網(wǎng)絡(luò)規(guī)模的發(fā)展和網(wǎng)絡(luò)服務(wù)的日益豐富極大增加了網(wǎng)絡(luò)管理的復(fù)雜性和艱巨性，迫切需要某種有效的技術(shù)手段來緩解網(wǎng)絡(luò)管理人員的負擔(dān)。業(yè)界已提出包括軟件代理、主動網(wǎng)絡(luò)和策略管理等技術(shù)手段，提高了對網(wǎng)絡(luò)的管理和控制能力。但是這些管理手段仍是反應(yīng)式的，不能適應(yīng)業(yè)務(wù)目標(biāo)或用戶需求的動態(tài)變化。

針對這種情況，基于自主計算模式的自主網(wǎng)絡(luò)管理技術(shù)（ANM）應(yīng)運而生，并在近年來得到普遍關(guān)注和研究。自主管理允許將管理操作委派給網(wǎng)絡(luò)元素自身來緩解網(wǎng)絡(luò)管理的負擔(dān)，管理員只需指定高層管理目標(biāo)而不需關(guān)注具體管理操作細節(jié)。也就是說，ANM 系統(tǒng)的目標(biāo)是在不需要人為干預(yù)（或最小化人為干預(yù)）情況下以獨立和自治的方式預(yù)測、診斷和解決網(wǎng)絡(luò)中出現(xiàn)的各種問題，并能適應(yīng)網(wǎng)絡(luò)規(guī)模結(jié)構(gòu)和用戶服務(wù)需求的動態(tài)變化。

然而，自主網(wǎng)絡(luò)面臨大量各種各樣的安全威脅，網(wǎng)絡(luò)脆弱性管理和評價是確保網(wǎng)絡(luò)安全的重要手段之一。

基本特征和網(wǎng)絡(luò)架構(gòu)

自主網(wǎng)絡(luò)具有一系列鮮明的自主管理特征，主要體現(xiàn)在四個方面：自配置提供了自動配置網(wǎng)絡(luò)組件和服務(wù)以簡化網(wǎng)絡(luò)操作的方式；自優(yōu)化根據(jù)系統(tǒng)管理規(guī)律通過主動檢測和調(diào)整網(wǎng)絡(luò)參數(shù)以優(yōu)化網(wǎng)絡(luò)服務(wù)性能；自愈可以自動檢測、診斷和修復(fù)網(wǎng)絡(luò)中存在的軟硬件故障；自保護提供了識別和防御潛在網(wǎng)絡(luò)威脅和攻擊的行動和方法。

自主網(wǎng)絡(luò)實體以閉環(huán)的形式控制網(wǎng)絡(luò)系統(tǒng)的動態(tài)行為，涉及網(wǎng)絡(luò)環(huán)境的外部輸入激勵和網(wǎng)絡(luò)自身的內(nèi)部反饋調(diào)節(jié)。具體來說，自主網(wǎng)絡(luò)實體的控制行為通常包括以下步驟：實時監(jiān)控網(wǎng)絡(luò)狀態(tài)，分析網(wǎng)絡(luò)可用信息，謀劃未來行為，按照特定的高層目標(biāo)來執(zhí)行生成的操作計劃。盡管這種自主操作目的是解決高層目標(biāo)需求，但具體實現(xiàn)比較復(fù)雜并且面臨諸多難題。

此外，自主實體在根據(jù)高層應(yīng)用目標(biāo)執(zhí)行一系列操作時不可避免地會帶來網(wǎng)絡(luò)脆弱性和安全隱患，如自配置和自優(yōu)化由于片面追求網(wǎng)絡(luò)性能執(zhí)行的某些操作而給網(wǎng)絡(luò)攻擊者帶來可乘之機。為此，自主網(wǎng)絡(luò)和系統(tǒng)迫切需要一種網(wǎng)絡(luò)脆弱性評價和安全管理機制。

自主網(wǎng)絡(luò)中的脆弱性管理是需要考慮的核心問題并且不限于自配置、自優(yōu)化、自愈和自保護操作。自主網(wǎng)絡(luò)中的脆弱性管理隸屬和服務(wù)于自主管理操作，通過一個閉環(huán)控制來評價和修復(fù)自主管理活動產(chǎn)生的各種脆弱性狀態(tài)，從而最大限度確保網(wǎng)絡(luò)安全。脆弱性評價和管理可以分解為脆弱性發(fā)現(xiàn)、脆弱性描述和脆弱性檢測三類活動，并將其嵌入到自主網(wǎng)絡(luò)管理的常規(guī)操作中。

脆弱性管理

自主管理操作在追求網(wǎng)絡(luò)優(yōu)化目標(biāo)的同時可能會帶來各種意想不到的脆弱性問題，如造成網(wǎng)絡(luò)不穩(wěn)定、服務(wù)不可用和信息泄密等。脆弱性管理包括脆弱性評價和脆弱性恢復(fù)。本文關(guān)注脆弱性評價工作，包括脆弱性發(fā)現(xiàn)、描述和檢測過程。

圖1 脆弱性管理的周期性活動

關(guān)于系統(tǒng)脆弱性的研究早已有之，并廣泛存在多個領(lǐng)域。例如，在軍事應(yīng)用領(lǐng)域，脆弱性通常指系統(tǒng)不能抵抗敵方生成的惡劣環(huán)境的程度。在信息技術(shù)領(lǐng)域，脆弱性是始終存在的客觀事實，如系統(tǒng)威脅和信息安全問題，并且隨著信息系統(tǒng)的應(yīng)用普及此類問題層出不窮。為此，脆弱性管理也成了信息系統(tǒng)不可或缺的一項關(guān)鍵任務(wù)，并且研制開發(fā)了許多相關(guān)系統(tǒng)。例如，通用脆弱性揭示系統(tǒng)用于識別所有已知的系統(tǒng)脆弱性，安全內(nèi)容自動化協(xié)議（SCAP）可以自動執(zhí)行脆弱性管理活動。

隨著自主計算的發(fā)展，我們希望將脆弱性管理集成到自主網(wǎng)絡(luò)管理整理中。從自主計算的演化發(fā)展路徑看，脆弱性管理的核心在于基于高層安全管理目標(biāo)通過感知和收集網(wǎng)絡(luò)狀態(tài)信息來發(fā)現(xiàn)和檢測可能存在的脆弱點并采取適應(yīng)性行動。為了檢測脆弱點，需要為系統(tǒng)定義一組指明系統(tǒng)期望的正常操作和安全狀態(tài)的策略規(guī)范，然后根據(jù)系統(tǒng)既定策略和目標(biāo)，將脆弱性管理過程涉及的活動映射為自主網(wǎng)絡(luò)管理中的相關(guān)一系列操作，如圖1 所示。自主管理器包括要活動階段構(gòu)成一個閉環(huán)循環(huán)過程，即監(jiān)測/感知、分析、學(xué)習(xí)、規(guī)劃/ 決策和執(zhí)行。自主管理器對被管對象提供資源管理接口，對管理用戶提供自主管理接口，可將自主管理器視為被管設(shè)備和上層用戶之間的管理中間件。

從圖1 中不難看出，脆弱性評價階段需要利用可用的安全知識來發(fā)現(xiàn)安全問題并進行分類，隨后的脆弱性修復(fù)階段需要根據(jù)預(yù)定的策略調(diào)整和執(zhí)行計劃來盡量修復(fù)網(wǎng)絡(luò)脆弱點并將網(wǎng)絡(luò)恢復(fù)到安全狀態(tài)。自主網(wǎng)絡(luò)管理使管理員只需制定合理的高層策略和目標(biāo)，而將底層的管理操作細節(jié)交給自主管理器執(zhí)行。但是，必須考慮和評估自主管理操作對網(wǎng)絡(luò)安全性帶來的影響。例如，針對性能優(yōu)化的自主操作很可能會犧牲系統(tǒng)安全性能。

為此，需要考慮采取一些能夠解決目標(biāo)沖突或降低自主管理操作影響的措施和機制。但是迄今為止，很多配置管理關(guān)注確保配置的正確性和對服務(wù)的影響，而很少有研究工作真正涉及自主網(wǎng)絡(luò)或系統(tǒng)的脆弱性管理問題。因此，今后的自主管理必須在設(shè)計實現(xiàn)時考慮集成脆弱性影響評估和脆弱性修復(fù)操作。

網(wǎng)絡(luò)管理的復(fù)雜性與關(guān)鍵業(yè)務(wù)的性能緊密相關(guān)，在盡量降低網(wǎng)絡(luò)管理投入的成本的基礎(chǔ)上平衡網(wǎng)絡(luò)服務(wù)性能和安全性。現(xiàn)有的許多工作常使用包括貝葉斯網(wǎng)絡(luò)在內(nèi)的推理方法來分析設(shè)計要素和行為決策之間的關(guān)系，并評估分析設(shè)計更改造成的安全風(fēng)險和影響。然后，可以利用分析評價結(jié)果來決策實施合理的配置更改行為和風(fēng)險修復(fù)操作，以便平衡應(yīng)用性能和安全風(fēng)險。增加系統(tǒng)脆弱性評估和診斷對于自主系統(tǒng)管理是非常重要的環(huán)節(jié)。例如，基于多代理的系統(tǒng)脆弱性檢測機制可以為系統(tǒng)提供大量的相關(guān)安全威脅和系統(tǒng)漏洞信息，并基于系統(tǒng)脆弱性歷史記錄預(yù)測其今后的趨勢，以便自主安全管理機制及時采取應(yīng)對措施。

如前所述，脆弱性評價和管理可以分解為脆弱性發(fā)現(xiàn)、脆弱性描述和脆弱性檢測三類活動，具體內(nèi)容將在下面逐一說明。

脆弱性發(fā)現(xiàn)

洞悉整個系統(tǒng)所有潛在的脆弱性是脆弱性發(fā)現(xiàn)希望達到的目標(biāo)，為此需要開發(fā)和研究了解和發(fā)現(xiàn)脆弱性的工具和方法，這對于保護自主網(wǎng)絡(luò)系統(tǒng)也是至關(guān)重要的。從更大的安全生態(tài)系統(tǒng)而言，系統(tǒng)安全性不僅涉及系統(tǒng)脆弱性和安全缺陷發(fā)現(xiàn)，而且還要考慮系統(tǒng)中的各類人員的行為和動機。此外，現(xiàn)有的很多方法各自為政，沒有納入自主網(wǎng)絡(luò)管理的統(tǒng)一框架下，也缺少足夠的自適應(yīng)性和擴展性。本節(jié)主要概述當(dāng)前一些常用的有潛力的脆弱性發(fā)現(xiàn)技術(shù)和手段。

1.基于測試的脆弱性發(fā)現(xiàn)方法

基于測試的脆弱性發(fā)現(xiàn)方法非常適合于發(fā)現(xiàn)未知的系統(tǒng)脆弱性。舉例來說，軟件應(yīng)用開發(fā)人員追求軟件功能和可用性，而軟件測試人員需要對開發(fā)的軟件進行全面測試來確保其正確性、完整性和健壯性。測試包括白箱測試、黑箱測試和灰箱測試：白箱測試允許測試人員訪問待測軟件的內(nèi)部結(jié)構(gòu)、算法和代碼，如靜態(tài)分析；黑箱測試則不向測試人員提供軟件內(nèi)部實現(xiàn)的信息，如動態(tài)分析和性能測試；灰箱測試綜合了上述兩種測試的特點，在了解部分軟件內(nèi)部信息的基礎(chǔ)上安裝黑箱方式進行測試，如內(nèi)部數(shù)據(jù)庫測試。

盡管傳統(tǒng)的測試技術(shù)能夠發(fā)現(xiàn)眾多軟件問題，但是測試者一般關(guān)注軟件的功能正確性而不是安全可靠性。常規(guī)的測試輸入難以發(fā)現(xiàn)隱藏的未知脆弱性，為此可以采用基于隨機輸入并利用攻擊特性的模糊測試技術(shù)，通過向目標(biāo)軟件產(chǎn)生異常不規(guī)則輸入并評測軟件行為來俘獲潛在安全缺陷。由于測試輸入空間巨大難以窮舉，因此模糊測試常采用兩種方法，即數(shù)據(jù)生成和數(shù)據(jù)變異。此外，考慮到自主系統(tǒng)受高層策略控制，也可將測試方法嵌入到自主管理框架以便自動檢測系統(tǒng)狀態(tài)是否滿足預(yù)定義的策略。

2.網(wǎng)絡(luò)取證方法

網(wǎng)絡(luò)取證通常指歸檔所有網(wǎng)絡(luò)流量并對其進行特定分析已評價網(wǎng)絡(luò)活動的過程。網(wǎng)絡(luò)取證隸屬于數(shù)字取證技術(shù)，數(shù)字取證過程涉及多個階段，包括證據(jù)識別、保存、收集、檢查、分析和展示。盡管網(wǎng)絡(luò)取證目前主要用于傳統(tǒng)的計算機系統(tǒng)安全領(lǐng)域，但是也可以很好集成到自主網(wǎng)絡(luò)管理體系中并發(fā)揮重要作用。相比于先驗式的測試放方法，網(wǎng)絡(luò)取證方法屬于反應(yīng)式方法。衡量網(wǎng)絡(luò)取證技術(shù)的指標(biāo)包括：有效性、證據(jù)一致性、完整性、可跟蹤性和可重現(xiàn)性。為了提高網(wǎng)絡(luò)取證的效果，可以綜合多種可用的取證工具。

3.基于經(jīng)驗的方法

充分利用以往的系統(tǒng)經(jīng)驗和歷史數(shù)據(jù)可以增強發(fā)現(xiàn)和應(yīng)對新安全問題的能力。例如，基于案例的推理（CBR）是一種非常有效的檢測未知脆弱性的方法，利用針對原有問題的解決方案在調(diào)整改造后用于當(dāng)前出現(xiàn)的類似問題。同樣，在自主網(wǎng)絡(luò)中也可以利用CBR 方法來支持網(wǎng)絡(luò)自配置。此外，自主網(wǎng)絡(luò)可以充分利用這種已有的經(jīng)驗知識來輔助自主管理。

脆弱性描述

無論采用何種脆弱性發(fā)現(xiàn)技術(shù)和手段，都需要一種標(biāo)準(zhǔn)的機器可理解的脆弱性描述方法，以便將這些技術(shù)手段集成到自主網(wǎng)絡(luò)管理框架中。此外，在發(fā)現(xiàn)系統(tǒng)脆弱性缺陷到通知系統(tǒng)管理員或自主管理引擎再到采取適當(dāng)?shù)男袆觼硇迯?fù)脆弱性期間，可能會出現(xiàn)新的安全隱患。

因此，有必要構(gòu)建一種健壯和一致的機制來描述、分析、檢測脆弱性并及時傳遞相關(guān)信息。針對這一問題，MITRE 公司開發(fā)了通用脆弱性和安全漏洞詞典，這是一種標(biāo)準(zhǔn)化已知信息安全隱患和漏洞的積極嘗試，針對每種發(fā)現(xiàn)的安全隱患給予唯一的標(biāo)識和基于自然語言的描述。CVE 詞典可以增強自主系統(tǒng)的安全意識，但CVE 只是簡單的標(biāo)記安全隱患的存在，而不能做出有效的安全評估。最近幾年，基于脆弱性簽名的脆弱性分析技術(shù)廣泛用于入侵檢測和入侵防御系統(tǒng)，通過分析業(yè)務(wù)流量來檢測特定的流量模式和潛在的攻擊。但是，這種基于簽名的脆弱性分析方法和告警信息交互機制都還缺少成熟的標(biāo)準(zhǔn)。同時，各安全機構(gòu)和企業(yè)開發(fā)的脆弱性描述語言缺乏兼容性和互操作性。

值得欣慰的是，目前有關(guān)機構(gòu)正在開發(fā)語言試圖標(biāo)準(zhǔn)化脆弱性描述的通用語言，如VulnXML、ADV.L 和OVAL。OVAL 目前已逐漸發(fā)展成為一種脆弱性描述的事實標(biāo)準(zhǔn)，OVAL 基于XML 開發(fā)，將脆弱性視為可以在目標(biāo)系統(tǒng)上觀察到的相關(guān)條件的邏輯組合。此外，以O(shè)VAL 為范本，NIST 正在開發(fā)安全內(nèi)容自動化協(xié)議（SCAP）。可以預(yù)見，今后將標(biāo)準(zhǔn)化的脆弱性描述語言集成到自主網(wǎng)絡(luò)中必將大大增強網(wǎng)絡(luò)的脆弱性意識和安全管理能力。

脆弱性檢測

一旦發(fā)現(xiàn)和描述了脆弱性，檢測脆弱性的機制無疑成為自主網(wǎng)絡(luò)和系統(tǒng)的一項核心技術(shù)。當(dāng)執(zhí)行脆弱性檢測和評估活動中，應(yīng)充分利用來自不同渠道提供的安全隱患信息。

1.設(shè)備脆弱性檢測

對設(shè)備脆弱性進行評估需要調(diào)查可能導(dǎo)致設(shè)備遭受攻擊的特定狀態(tài)和條件。盡管如網(wǎng)絡(luò)掃描這樣的黑箱技術(shù)可以在不了解設(shè)備內(nèi)部細節(jié)的情況下提供有用的信息，但是灰箱技術(shù)通過訪問設(shè)備內(nèi)部狀態(tài)可以更準(zhǔn)確的對設(shè)備脆弱性進行檢查。例如，以上提到的基于OVAL 語言可以對系統(tǒng)脆弱性進行描述和評價，并且可看作是一種灰箱技術(shù)。OVAL 脆弱性描述和評價過程的主要步驟包括：制定配置策略，將策略編碼為OVAL 定義，收集數(shù)據(jù)，OVAL 分析，以及OVAL 結(jié)果報告。當(dāng)前，業(yè)界也基于OVAL語言開發(fā)了一些簡易、可靠和健壯的脆弱性檢測工具，如基于C 內(nèi)核的Ovaldi 和基于Java 內(nèi)核的XOvaldi。XOvaldi 是一種輕量級的脆弱性檢測機制，非常適用于移動設(shè)備。

2.網(wǎng)絡(luò)脆弱性檢測

網(wǎng)絡(luò)脆弱性檢測和設(shè)備脆弱性檢測的一種擴展，需要對網(wǎng)絡(luò)中的多個相關(guān)聯(lián)的設(shè)備及其上運行的服務(wù)進行掃描，以便檢測各種可能的脆弱點。當(dāng)前，常用的網(wǎng)絡(luò)掃描工具包括端口掃描器、漏洞掃描器和Web 應(yīng)用掃描器，如Nmap、Nessus、OpenVAS 和SAINT 等。這些掃描器通過分析設(shè)備的響應(yīng)來了解特定的端口、服務(wù)和應(yīng)用是否激活并且是否有異常，進而檢測系統(tǒng)安全漏洞和缺陷。另外，業(yè)界還開發(fā)了許多用于網(wǎng)絡(luò)脆弱性和分析和預(yù)測的推理引擎和工具，如基于邏輯推理的網(wǎng)絡(luò)安全分析器MulVAL。與設(shè)備脆弱性檢測機制各自為政不同，多臺單個設(shè)備安全可靠并不代表包含多個設(shè)備的網(wǎng)絡(luò)不存在安全威脅，因為多個網(wǎng)絡(luò)設(shè)備的組合可能帶來意想不到的存在于分布式系統(tǒng)中的安全隱患。因此，網(wǎng)絡(luò)脆弱性檢測和評價必須在高層策略的統(tǒng)一指導(dǎo)下有效綜合多種網(wǎng)絡(luò)脆弱性掃描和分析工具，以便從整體上檢測和評價網(wǎng)絡(luò)脆弱性。最后，自主網(wǎng)絡(luò)管理引擎可以根據(jù)脆弱性分析和評價結(jié)果做出適當(dāng)?shù)拇嗳跣孕迯?fù)決策。

脆弱性表示可能被攻擊者利用的系統(tǒng)缺陷或安全問題，攻擊圖描述攻擊者為達到入侵系統(tǒng)的企圖所執(zhí)行一系列活動和步驟。前者關(guān)注系統(tǒng)的狀態(tài)，后者專注攻擊者的行為。通過將脆弱性檢測中獲得的信息與現(xiàn)有的攻擊圖相關(guān)聯(lián)，可以了解攻擊者如何在入侵過程中利用存在的系統(tǒng)脆弱性，特別是自主網(wǎng)絡(luò)元素的脆弱性，進而增強自主系統(tǒng)抵御潛在威脅的能力。例如，可以根據(jù)了解的系統(tǒng)脆弱點和攻擊路徑來構(gòu)建自主診斷機制。與傳統(tǒng)的在特定端口上監(jiān)聽客戶請求的網(wǎng)絡(luò)服務(wù)不同，自主網(wǎng)絡(luò)元素需要動態(tài)通過傳感器和激勵器與網(wǎng)絡(luò)環(huán)境交互來提供服務(wù)。

上述攻擊圖針對攻擊行為進行分析，但是無法對攻擊的概率進行定量評價。為此，有些研究工作考慮根據(jù)獲得的系統(tǒng)脆弱性和攻擊歷史數(shù)據(jù)來定量評估系統(tǒng)的安全風(fēng)險，進而指導(dǎo)系統(tǒng)的策略配置和自主操作行為。

結(jié)語

盡管自主網(wǎng)絡(luò)管理有著很大的吸引力和美好前景，但在當(dāng)前的網(wǎng)絡(luò)管理系統(tǒng)中實現(xiàn)自治性面臨巨大的技術(shù)挑戰(zhàn)。例如，如何設(shè)計有效的脆弱性評價模型，如何高效地將傳統(tǒng)的網(wǎng)絡(luò)脆弱性發(fā)現(xiàn)、描述和檢測機制有機地融入自主網(wǎng)絡(luò)管理的統(tǒng)一框架中，如何分布式地協(xié)調(diào)脆弱性管理的各種活動來優(yōu)化網(wǎng)絡(luò)服務(wù)性能。自主網(wǎng)絡(luò)管理是未來網(wǎng)絡(luò)管理的發(fā)展趨勢之一，必將引起學(xué)術(shù)界和產(chǎn)業(yè)界的重視，從而更好推動該領(lǐng)域的研發(fā)工作。