信息系统应用脆弱性检测研究1
孙婷婷,孙其博
北京邮电大学计算机科学与技术系,北京(100876)
E-mail :
摘 要:本文给出了信息系统脆弱性分类中应用脆弱性检测的一些指导方法,适用于信息系统安全风险评估中的应用脆弱性检测与识别工作。本文主体分为两部分:应用脆弱性检测研究方法和具体应用脆弱性检测的方法。在具体应用脆弱性检测部分,针对Web 应用服务风险、FTP 服务风险、电子邮件服务风险、远程信息服务风险、远程维护服务风险、Windows 网络服务风险、Unix RPC服务风险、OSA 应用风险、SIP 应用风险、Camel 服务环境的应用风险和应用程序风险这几个方面展开。
关键词:信息系统,脆弱性,风险评估,脆弱性检测
中图分类号:TP393
1. 引 言
脆弱性检测是信息安全风险评估的重点。脆弱性检测一般以信息系统脆弱性的分类为切入点,以脆弱性特征库的建立为工作的重点,以确定脆弱性采集方案为最终目标。脆弱性的分类方法为特征库中的脆弱性提供了组织形式,特征库中包含的脆弱性的粒度将决定脆弱性的采集方案[1]。
在国际标准化组织(ISO)所制定的第13335号信息安全管理指南中,将脆弱性检测从资产的角度进行分类,提出了物理层面、人员、管理等重要概念。在国家标准《信息安全风险评估指南》中,明确将脆弱性分成物理、网络、系统、应用与管理五大方面,并提出从这五个方面来识别脆弱性。本文对信息系统的应用脆弱性检测的方法进行研究,提出了应用脆弱性检测的一些指导方法。
2. 应用脆弱性检测研究方法
由于应用的实现和使用都牵涉多个方面,因此脆弱性检测要考虑很多方面。应用服务种类繁多,围绕应用脆弱性检测的研究工作分为以下几个方面[3]:
2.1基于已知脆弱性检测及局部分析方法
SATAN 是最早的网络脆弱性分析工具,也是该类研究的代表,由网络安全专家Dan Farmer 和Wietse Venema研制,其基本的设计思路是模拟攻击者来尝试进入自己防守的系统,SATAN 具有一种扩充性好的框架,只要掌握了扩充规则,就可以把自己的检测程序和检测规则加入到这个框架中去,使它成为SATAN 的一个有机成分。
正因为如此,当SATAN 的作者放弃继续开发新版本之后,它能被别的程序员接手过去,从魔鬼(SATAN )一跃变成了圣者(SAINT )。SAINT 与SATAN 相比,增加了许多新的检测方法,但丝毫没有改变SATAN 的体系结构。SATAN 系统只能运行在Unix 系统上,远程用户无法使用SATAN 检测。SAINT 解决了SATAN 远程用户问题,但是SATAN 和SAINT 都无法对一些远程主机的本地脆弱性进行采集,而且两者的脆弱信息分析方法停留在低级别上,只能处理原始的脆弱信息。 1本课题得到国家高技术研究发展计划(863计划)项目“面向下一代电信网的安全测试评估技术及工具”(课题编号:2006AA01Z448)的资助。
Nessus 是一款免费、开放源代码和最新的网络脆弱性分析工具,可运行在Linux 、BSD 、Solaris 和其他平台上,实现多线程和插件功能,提供GTK 界面,目前可检查多种远程安全漏洞。但是,Nessus 只能从远程进行扫描获取脆弱性。许多脆弱性是本地的,不能通过网络检测到或被利用,例如收集主机配置信息,信任关系和组的信息难以远程获取。
2.2基于安全属性形式规范脆弱性检测方法
自动和系统地进行脆弱性分析是目前的研究重点,C.R.Ramakri-shnan 和R.Sekar 提出了一种基于模型的配置脆弱性分析方法,其基本原理是:首先以形式来规范目标的安全属性,例如,普通用户不能够重写系统日志子文件;其次建立系统抽象模型描述安全相关行为,抽象模型由系统的组件模型来组成,例如,文件系统、特权进程等;最后检查抽象模型是否满足安全属性,如果不满足,则生成一个脆弱性挖掘过程操作序列,用以说明导致这些安全属性冲突的实现过程。
该方法的优点在于检测已知和新的脆弱点,而COPS 和SATAN 主要解决已知脆弱性的检查。但是运用该方法需要占用大量计算资源,目前还无法做到实际可用,另外,方法的可扩展性仍然是一个难题,实际模型要比实验大得多。模型的开发过程依赖于手工建立,模型自动生成技术尚需要解决。
2.3基于关联的脆弱性分析与检测
这类研究工作利用了第一、第二类研究成果,侧重脆弱性的关联分析,即从攻击者的角度描述脆弱点的挖掘过程。一款基于网络拓扑结构的脆弱分析工具TVA(Topological Vulnerability Analysis)能够模拟渗透安全专家自动地进行高强度脆弱性分析,给出脆弱点挖掘过程,生成攻击图。TVA 将攻击步骤及条件建立为状态迁移图,这种表示使得脆弱性分析具有好的扩充性,使得输入指定的计算资源算出安全的网络配置。
然而TVA 模型化脆弱性挖掘过程依赖尚需要手工输入,该问题的解决需要一种标准的、机器能理解的语言自动获取领域知识。另外,若一个大型网络存在多个脆弱点,则TVA 将产生巨大图形,因而图形的管理将成为难题。最后,TVA 用到的信息要准确可靠,以便确定脆弱点是否可用,但是TVA 的脆弱信息只是依靠Nessus 。
Laura P.Swiler等人也研制了计算机攻击图形生成工具,将网络配置、攻击者能力、攻击模板、攻击者轮廓输入到攻击图生成器就可以输出攻击图,图中最短路径集表示系统最有可能受到攻击途径。Oleg Sheyner和Joshua Haines用模型检查方法来研究攻击图的自动生成和分析,其基本的思路是将网络抽象成一个有限状态机,状态的迁移表示原子攻击,并且赋予特定安全属性要求。然后用模型检查器NuSMV 自动生成攻击图,并以网络攻击领域知识来解释图中状态变量意义和分析图中的状态变迁关系。但是该方法所要处理问题是模型的可扩展性,计算开销大,建模所使用到的数据依赖于手工来实现。
2.4脆弱性检测基础性工作,主要指脆弱信息的发现、收集、分类、标准化等研究
安全脆弱性检测依赖于安全脆弱性发现,因此脆弱性原创性发现成为最具挑战性的研究工作。在脆弱性信息发布方面,CERT 最具有代表性,它是最早向Internet 网络发布脆弱性信息的研究机构。而在脆弱性信息标准化工作上,Mitre 开发“通用漏洞列表(Common Vulnerabilities and Exposures,CVE)”来规范脆弱性命名,同时Mitre 还研制出开放的脆弱性评估语言OVAL (Open Vulnerability Assessment Language),用于脆弱性检测基准测试,目
前该语言正在逐步完善之中。
目前,脆弱性发现的主要技术包括:
入侵检测与预警技术
网络信息系统安全保障涉及到多种安全系统,包括防护、检测、反应和恢复4个层面。入侵检测系统是其中一个重要的组成部分,扮演着数字空间“预警机”的角色。入侵检测技术大致分为五个阶段:第一阶段是基于简单攻击特征模式匹配检测;第二阶段,基于异常行为模型检测;第三阶段,基于入侵报警的关联分析检测;第四阶段,基于攻击意图检测; ;第五阶段,基于安全态势检测。
网络蠕虫防范技术
与传统的主机病毒相比,网络蠕虫具有更强的繁殖能力和破坏能力。传统的基于单机的病毒预防技术、基于单机联动的局域网病毒防范技术、病毒防火墙技术等都不能很好地适应开放式网络对网络蠕虫的预警要求。例如,传统的单机病毒检测技术依赖于一定的检测规则,不适应网络蠕虫的检测。因为网络中恶意代码种类繁多,形态千变万化,其入侵、感染、发作机制也千差万别。近年来的研究热点主要是: 计算机蠕虫的分类、蠕虫流量的仿真及蠕虫预警系统设计与测试、蠕虫的传播仿真实验、蠕虫剖析模型及隔离技术研究。在网络蠕虫的产品市场方面,国外SILICON DEFENSE公司发布围堵蠕虫产品CounterMalice ,Lancope 公司的StealthWatch 产品,该产品是基于行为入侵检测系统,具有威胁管理功能。
总之,就网络蠕虫发展状况来看,网络蠕虫的攻防技术正处于发展期间,其主要技术走向包括: 网络蠕虫的快速传播机制及隐蔽机制; 网络蠕虫的早期预警技术和仿真测试; 网络蠕虫应急响应技术,主要是阻断技术; 网络蠕虫理论模型,如基于应用系统的蠕虫、数据库蠕虫、移动环境网络蠕虫。抗网络蠕虫攻击机制,如代码随机化、软件多样性、蠕虫攻击特征自动识别。
信息系统攻击容忍技术
据有关资料统计,通信中断1小时可以使保险公司损失2万美元,使航空公司损失250万美元,使投资银行损失600万美元。如果通信中断2天则足以使银行倒闭。攻击容忍技术解决的安全问题是在面临攻击、失效和偶发事件的情况下,信息网络系统仍能按用户要求完成任务,信息网络系统能够支持用户必要的业务运行。目前,国际上关于信息网络系统生存的研究处于发展阶段,其主要研究领域包括生存性概念及其特性、生存性模型和仿真、生存性工程、系统的生存性分析与评估、网络容错、数据库入侵容忍等。
3. 具体应用脆弱性检测
由于信息系统的概念比较宽泛,我们将研究范围限定在IMS 网络。在IMS 网络中,应用脆弱性按照应用层的协议分为Web 应用服务风险、FTP 服务风险、电子邮件服务风险、远程信息服务风险、远程维护服务风险、Windows 网络服务风险、Unix RPC服务风险、OSA 应用风险、SIP 应用风险、Camel 服务环境的应用风险和应用程序风险这几个方面,应用脆弱性主要针对这些方面展开[2]。
3.1 Web应用服务
World Wide Web(WWW)是一种非常流行的Internet 网络服务系统,它采用超文本界面,方便用户访问全球范围内的Internet 资源。在Internet 大众化及Web 技术飞速演变的今天,Web 受到的攻击和破坏也日益增长,在线安全面临严峻挑战。
Web 服务器存在的主要漏洞包括物理路径泄露、CGI 源代码泄露、目录遍历、执行任意命令、缓冲区溢出、拒绝服务、条件竞争和跨站脚本执行漏洞等。
对Web 应用服务器的检测主要是对Web 服务器连同其激活的组件、子系统及定制编写的代码进行全面测试,以发现和验证存在的漏洞和缺陷,主要从以下几方面进行: ¾
¾
¾
¾
¾
¾ 识别Web 服务及其即获的组建信息; 发现并验证Web 服务及其激活组建的已知漏洞; 检查是否明确指定具有远程管理服务权限的主机; 检查www 服务器的安全措施; 评估服务器端运行的脚本; Web 应用程序的安全性。
3.2 FTP服务
FTP (File Transfer Protocol,文件传输协议)允许通过网络从一个系统到另一个系统传输文件。FTP 分为两部分实现:FTP 客户端和FTP 服务器。在一个FTP 会话期间,建立一个双向数据通道来传输一部分文件、整个文件或许多文件。
FTP 服务器存在的主要漏洞包括目录遍历、缓冲区溢出、拒绝服务和跳板攻击等。对FTP 应用服务的检测主要是对FTP 服务器进行全面测试,以发现和验证存在的漏洞和缺陷,主要从以下几方面进行:
¾ 识别运行中的FTP 服务及其版本;
¾ 评估FTP 访问许可权限;
¾ 尝试FTP 口令暴力破解;
¾ 检测FTP 服务器的安全措施;
¾ 检测FTP 跳板攻击;
¾ 发现并验证FTP 服务的已知漏洞。
3.3电子邮件服务
电子邮件服务能在Internet 和专用网络上转发消息。由于这些服务本身的特性,Internet 和企业网空间之间的通道是开放的,这就可能被坚定的攻击者滥用并危及内部网络安全。目前,电子邮件发送和接收服务主要有SMTP 、POP3和IMAP 等协议。
电子邮件服务器存在的漏洞包括信息泄露、POP3和IMAP 口令暴力破解、SMTP 服务器滥用、缓冲区溢出和拒绝服务攻击等。对电子邮件服务的检测主要是对其服务策略以及已知安全问题等进行全面测试,以发现和验证存在的漏洞和缺陷,主要从以下几方面进行: ¾ 识别运行中的邮件服务及其版本;
¾ SMTP 开放转发测试;
¾ POP3和IMAP 口令暴力;
¾ 电子邮件服务器安全措施;
¾ 发现并验证邮件服务的已知漏洞。
3.4远程信息服务
基于Unix 系统以及很多设备平台(如Cisco IOS)都运行着一些远程信息服务,这些信息服务可以通过IP 协议提供系统、用户以及网络信息的详细资料。攻击者可能会探测这些服务,并通过这些服务收集用户列表以及可信主机与网络的详细资料,在有些情况下甚至可
能直接攻陷系统。
远程信息服务检测,主要从以下几方面进行:
¾ 识别运行中的DNS 服务及其版本信息;
¾ 尝试对已知域进行DNS 区域传送;
¾ 发现并验证DNS 服务的已知漏洞;
¾ Finger 信息泄漏;
¾ 发现并验证Finger 服务的已知安全问题;
¾ SNMP community字符串暴力破解;
¾ 尝试对SNMP 进行读和写访问;
¾ 发现并验证SNMP 服务的已知安全问题。
3.5远程维护服务
远程维护服务是指那些用于管理目的、可以直接对服务器和设备进行远程访问的服务。常见的远程维护服务包括SSH 、Telnet 、X Windows、PcAnywhere 、VNC 以及微软终端服务等。
远程维护服务检测,主要从以下几方面进行:
(1) SSH 安全性检测
¾ SSH 指纹识别
¾ 发现并验证SSH 服务的已知安全问题
(2) Telnet 安全性检测
¾
¾
¾
¾
¾
¾
¾
¾ Telnet 服务指纹识别 Telnet 口令暴力破解 发现并验证Telnet 服务的已知安全问题 是否使用了默认端口 是否隐藏登录的用户名 是否指定用户登录 是否启动审核 是否限制或指定连接终端的地址 (3) 终端服务安全型检测
3.6 Windows网络服务
Windows NetBIOS和CIFS 服务,这两种服务在企业网中用于访问SMB ,以实现文件共享、打印以及其他一些有用的功能。如果这些服务没有配置正确,或没有使用网络过滤设备提供正确的防护,就有可能被攻击者充分利用来枚举系统的详细资料,甚至导致对网络的完全控制。
Windows 网络服务检测,主要从以下几方面进行:
(1) Microsoft RPC服务安全性检测
¾
¾
¾
¾ 尝试每局系统信息 对管理员组合中用户口令进行暴力破解 通过Task Scheduler接口执行命令 运行任意代码或让主机完全崩溃
(2) NetBIOS 会话服务安全性检测
¾
¾
¾
¾
¾
¾ 枚举用户 共享文件夹以及域消息等资料 对用户口令进行暴力破解 上载/下载文件和程序 在目标主机上调度和执行任意命令 访问SAM 口令数据库并对其进行破解
3.7 Unix RPC服务
Solaris 、IRIX 以及Linux 中存在许多的远程RPC 服务漏洞,这些服务会被攻击者渗透。Unix RPC服务检测,主要从以下几方面进行:
¾ 枚举Unix RPC服务;
¾ 发现并验证Unix RPC服务的一致安全问题。
3.8基于OSA 的应用
在IMS 网络中,OSA 应用服务器可以提供基于开放业务体系应用程序接口(OSA API)开发的第三方业务, 该应用服务器群可位于用户的归属网络或第三方。3GPP 定义了OSA 以允许第三方业务提供商(CP、SP) 进行3G 移动业务的开发。
OSA 服务器的安全问题集中在OSA API规范和具体实现两方面上。前者因为使用接口所以在业务的各种流程中安全性较高,然而在获取接口前的鉴权流程中存在一些安全隐患,其中包括未强制说明的非API 级认证、单向的认证机制、明文的密钥、易记忆的口令作为密钥,对等体攻击等;后者依赖于实现OSA 服务器所采用的策略、技术和环境,其安全问题包含了一般信息网络系统的安全问题和实现API 的安全漏洞。
OSA 服务检测,主要从以下几方面进行:
¾ 检测OSA 服务器的安全措施;
¾ 尝试framework 口令暴力破解;
¾ 通过主机漏洞扫描方式检测OSA 服务的安全漏洞;
¾ 发现并验证OSA 服务的已知漏洞。
3.9基于SIP 协议的应用
在IMS 网络中,SIP 应用服务器是基于SIP 的服务器,拥有广泛的增值多媒体服务。SIP 应用服务器可以被用于提供在线状态、消息和会议服务。
同许多互联网协议一样,SIP(会话起始协议) 协议是根据简化的思路,而不是根据安全的思路设计的。这个协议本身就存在一些安全漏洞,把这个标准转化为产品的开发人员也为这个协议增加了一些安全漏洞。研究人员在许多SIP 设施的“INVITE”(邀请) 信息处理过程中还发现了十几个安全漏洞,利用这些安全漏洞可能导致拒绝服务攻击、服务中断或者在某些情况下允许攻击者获得访问受影响的设备的权限。
SIP 应用检测,主要从以下几方面进行:
¾ SIP 应用补丁程序安装及时与否;
¾ 检测SIP 应用服务器的安全措施;
¾ 通过主机漏洞扫描方式检测SIP 应用的安全漏洞;
¾ 发现并验证SIP 服务的已知漏洞。
3.10 Camel服务环境的应用
在IMS 网络中,CAMEL 服务环境完成预付费、亲近号码、会议电话、彩铃等传统的移动智能网业务。CAMEL 服务环境相当于固话的智能网,以提供交互式语音应答(IVR)为主的业务。目前,IMS 所提供的典型业务为:单键通话(POC, Push to Talk over Cellular)、全能数字助理、Web Conference、统一消息业务(UMS, Unified Messaging Service)、一号通等业务。
Camel 服务环境的应用检测,主要从以下几方面进行:
¾ 检测应用服务器的安全措施;
¾ 通过主机漏洞扫描方式检测应用服务器的安全漏洞;
¾ 发现并验证应用服务器的已知漏洞。
3.11应用程序
应用程序风险主要是指因为浏览器、电子邮件客户端、办公软件等应用程序的脆弱性造成整个系统的安全问题。对应用程序检测,主要从以下几方面进行:
¾ 检查应用程序是否存在不安全的配置;
¾ 应用程序补丁程序安装及时与否;
¾ 通过主机漏洞扫描方式检测应用程序的安全漏洞。
3.12 IMS网络终端程序
IMS 网络终端程序风险主要是指因为SIP 软终端、SIP 硬终端的嵌入式程序、或非SIP 软终端等应用程序的脆弱性造成整个系统的安全问题。对终端程序检测,主要从以下几方面进行:
¾ 检查终端程序是否存在不安全的配置;
¾ 终端程序补丁程序安装及时与否;
¾ 发现并验证终端程序的已知漏洞。
4. 结论
本文给出了信息系统中应用脆弱性检测的研究方法和具体应用脆弱性检测的一些指导方法。通过使用这些方法,可以帮助评估人员识别信息系统中的应用脆弱性,并为构建脆弱特征库提供理论基础和前期准备。
参考文献
[1] TR 13335 – 1.Concepts and models for IT Security [S]. ISO/IEC, 2000
[2] TR 13335 – 3. Techniques for the management of IT Security [S]. ISO/IEC, 2000
[3] 《找到自身漏洞 信息安全脆弱性分析技术》
[EB/OL]. http://www.enet.com.cn/article/2007/0428/A[1**********]059_2.shtml,2007.4.28
Vulnerabilities Identification of Applications in Information
System Research
Sun Tingting, Sun Qibo
Computer Science & Technology Beijing University of Posts & Telecommunications, Beijing,
China (100876)
Abstract
This paper simply introduced the normal methods of identifying vulnerabilities of applications in information system especially IMS. It is helpful to risk analysis of information system. There are two parts in the body of the paper: the common methods of applications vulnerabilities identification and the methods of concrete applications vulnerabilities identification. In the second part, we introduced the methods from the aspects such as Web services, Ftp services, Email services, Windows network services, SIP applications, and so on.
Keywords: Vulnerability, Information System, Risk Analysis.
信息系统应用脆弱性检测研究1
孙婷婷,孙其博
北京邮电大学计算机科学与技术系,北京(100876)
E-mail :
摘 要:本文给出了信息系统脆弱性分类中应用脆弱性检测的一些指导方法,适用于信息系统安全风险评估中的应用脆弱性检测与识别工作。本文主体分为两部分:应用脆弱性检测研究方法和具体应用脆弱性检测的方法。在具体应用脆弱性检测部分,针对Web 应用服务风险、FTP 服务风险、电子邮件服务风险、远程信息服务风险、远程维护服务风险、Windows 网络服务风险、Unix RPC服务风险、OSA 应用风险、SIP 应用风险、Camel 服务环境的应用风险和应用程序风险这几个方面展开。
关键词:信息系统,脆弱性,风险评估,脆弱性检测
中图分类号:TP393
1. 引 言
脆弱性检测是信息安全风险评估的重点。脆弱性检测一般以信息系统脆弱性的分类为切入点,以脆弱性特征库的建立为工作的重点,以确定脆弱性采集方案为最终目标。脆弱性的分类方法为特征库中的脆弱性提供了组织形式,特征库中包含的脆弱性的粒度将决定脆弱性的采集方案[1]。
在国际标准化组织(ISO)所制定的第13335号信息安全管理指南中,将脆弱性检测从资产的角度进行分类,提出了物理层面、人员、管理等重要概念。在国家标准《信息安全风险评估指南》中,明确将脆弱性分成物理、网络、系统、应用与管理五大方面,并提出从这五个方面来识别脆弱性。本文对信息系统的应用脆弱性检测的方法进行研究,提出了应用脆弱性检测的一些指导方法。
2. 应用脆弱性检测研究方法
由于应用的实现和使用都牵涉多个方面,因此脆弱性检测要考虑很多方面。应用服务种类繁多,围绕应用脆弱性检测的研究工作分为以下几个方面[3]:
2.1基于已知脆弱性检测及局部分析方法
SATAN 是最早的网络脆弱性分析工具,也是该类研究的代表,由网络安全专家Dan Farmer 和Wietse Venema研制,其基本的设计思路是模拟攻击者来尝试进入自己防守的系统,SATAN 具有一种扩充性好的框架,只要掌握了扩充规则,就可以把自己的检测程序和检测规则加入到这个框架中去,使它成为SATAN 的一个有机成分。
正因为如此,当SATAN 的作者放弃继续开发新版本之后,它能被别的程序员接手过去,从魔鬼(SATAN )一跃变成了圣者(SAINT )。SAINT 与SATAN 相比,增加了许多新的检测方法,但丝毫没有改变SATAN 的体系结构。SATAN 系统只能运行在Unix 系统上,远程用户无法使用SATAN 检测。SAINT 解决了SATAN 远程用户问题,但是SATAN 和SAINT 都无法对一些远程主机的本地脆弱性进行采集,而且两者的脆弱信息分析方法停留在低级别上,只能处理原始的脆弱信息。 1本课题得到国家高技术研究发展计划(863计划)项目“面向下一代电信网的安全测试评估技术及工具”(课题编号:2006AA01Z448)的资助。
Nessus 是一款免费、开放源代码和最新的网络脆弱性分析工具,可运行在Linux 、BSD 、Solaris 和其他平台上,实现多线程和插件功能,提供GTK 界面,目前可检查多种远程安全漏洞。但是,Nessus 只能从远程进行扫描获取脆弱性。许多脆弱性是本地的,不能通过网络检测到或被利用,例如收集主机配置信息,信任关系和组的信息难以远程获取。
2.2基于安全属性形式规范脆弱性检测方法
自动和系统地进行脆弱性分析是目前的研究重点,C.R.Ramakri-shnan 和R.Sekar 提出了一种基于模型的配置脆弱性分析方法,其基本原理是:首先以形式来规范目标的安全属性,例如,普通用户不能够重写系统日志子文件;其次建立系统抽象模型描述安全相关行为,抽象模型由系统的组件模型来组成,例如,文件系统、特权进程等;最后检查抽象模型是否满足安全属性,如果不满足,则生成一个脆弱性挖掘过程操作序列,用以说明导致这些安全属性冲突的实现过程。
该方法的优点在于检测已知和新的脆弱点,而COPS 和SATAN 主要解决已知脆弱性的检查。但是运用该方法需要占用大量计算资源,目前还无法做到实际可用,另外,方法的可扩展性仍然是一个难题,实际模型要比实验大得多。模型的开发过程依赖于手工建立,模型自动生成技术尚需要解决。
2.3基于关联的脆弱性分析与检测
这类研究工作利用了第一、第二类研究成果,侧重脆弱性的关联分析,即从攻击者的角度描述脆弱点的挖掘过程。一款基于网络拓扑结构的脆弱分析工具TVA(Topological Vulnerability Analysis)能够模拟渗透安全专家自动地进行高强度脆弱性分析,给出脆弱点挖掘过程,生成攻击图。TVA 将攻击步骤及条件建立为状态迁移图,这种表示使得脆弱性分析具有好的扩充性,使得输入指定的计算资源算出安全的网络配置。
然而TVA 模型化脆弱性挖掘过程依赖尚需要手工输入,该问题的解决需要一种标准的、机器能理解的语言自动获取领域知识。另外,若一个大型网络存在多个脆弱点,则TVA 将产生巨大图形,因而图形的管理将成为难题。最后,TVA 用到的信息要准确可靠,以便确定脆弱点是否可用,但是TVA 的脆弱信息只是依靠Nessus 。
Laura P.Swiler等人也研制了计算机攻击图形生成工具,将网络配置、攻击者能力、攻击模板、攻击者轮廓输入到攻击图生成器就可以输出攻击图,图中最短路径集表示系统最有可能受到攻击途径。Oleg Sheyner和Joshua Haines用模型检查方法来研究攻击图的自动生成和分析,其基本的思路是将网络抽象成一个有限状态机,状态的迁移表示原子攻击,并且赋予特定安全属性要求。然后用模型检查器NuSMV 自动生成攻击图,并以网络攻击领域知识来解释图中状态变量意义和分析图中的状态变迁关系。但是该方法所要处理问题是模型的可扩展性,计算开销大,建模所使用到的数据依赖于手工来实现。
2.4脆弱性检测基础性工作,主要指脆弱信息的发现、收集、分类、标准化等研究
安全脆弱性检测依赖于安全脆弱性发现,因此脆弱性原创性发现成为最具挑战性的研究工作。在脆弱性信息发布方面,CERT 最具有代表性,它是最早向Internet 网络发布脆弱性信息的研究机构。而在脆弱性信息标准化工作上,Mitre 开发“通用漏洞列表(Common Vulnerabilities and Exposures,CVE)”来规范脆弱性命名,同时Mitre 还研制出开放的脆弱性评估语言OVAL (Open Vulnerability Assessment Language),用于脆弱性检测基准测试,目
前该语言正在逐步完善之中。
目前,脆弱性发现的主要技术包括:
入侵检测与预警技术
网络信息系统安全保障涉及到多种安全系统,包括防护、检测、反应和恢复4个层面。入侵检测系统是其中一个重要的组成部分,扮演着数字空间“预警机”的角色。入侵检测技术大致分为五个阶段:第一阶段是基于简单攻击特征模式匹配检测;第二阶段,基于异常行为模型检测;第三阶段,基于入侵报警的关联分析检测;第四阶段,基于攻击意图检测; ;第五阶段,基于安全态势检测。
网络蠕虫防范技术
与传统的主机病毒相比,网络蠕虫具有更强的繁殖能力和破坏能力。传统的基于单机的病毒预防技术、基于单机联动的局域网病毒防范技术、病毒防火墙技术等都不能很好地适应开放式网络对网络蠕虫的预警要求。例如,传统的单机病毒检测技术依赖于一定的检测规则,不适应网络蠕虫的检测。因为网络中恶意代码种类繁多,形态千变万化,其入侵、感染、发作机制也千差万别。近年来的研究热点主要是: 计算机蠕虫的分类、蠕虫流量的仿真及蠕虫预警系统设计与测试、蠕虫的传播仿真实验、蠕虫剖析模型及隔离技术研究。在网络蠕虫的产品市场方面,国外SILICON DEFENSE公司发布围堵蠕虫产品CounterMalice ,Lancope 公司的StealthWatch 产品,该产品是基于行为入侵检测系统,具有威胁管理功能。
总之,就网络蠕虫发展状况来看,网络蠕虫的攻防技术正处于发展期间,其主要技术走向包括: 网络蠕虫的快速传播机制及隐蔽机制; 网络蠕虫的早期预警技术和仿真测试; 网络蠕虫应急响应技术,主要是阻断技术; 网络蠕虫理论模型,如基于应用系统的蠕虫、数据库蠕虫、移动环境网络蠕虫。抗网络蠕虫攻击机制,如代码随机化、软件多样性、蠕虫攻击特征自动识别。
信息系统攻击容忍技术
据有关资料统计,通信中断1小时可以使保险公司损失2万美元,使航空公司损失250万美元,使投资银行损失600万美元。如果通信中断2天则足以使银行倒闭。攻击容忍技术解决的安全问题是在面临攻击、失效和偶发事件的情况下,信息网络系统仍能按用户要求完成任务,信息网络系统能够支持用户必要的业务运行。目前,国际上关于信息网络系统生存的研究处于发展阶段,其主要研究领域包括生存性概念及其特性、生存性模型和仿真、生存性工程、系统的生存性分析与评估、网络容错、数据库入侵容忍等。
3. 具体应用脆弱性检测
由于信息系统的概念比较宽泛,我们将研究范围限定在IMS 网络。在IMS 网络中,应用脆弱性按照应用层的协议分为Web 应用服务风险、FTP 服务风险、电子邮件服务风险、远程信息服务风险、远程维护服务风险、Windows 网络服务风险、Unix RPC服务风险、OSA 应用风险、SIP 应用风险、Camel 服务环境的应用风险和应用程序风险这几个方面,应用脆弱性主要针对这些方面展开[2]。
3.1 Web应用服务
World Wide Web(WWW)是一种非常流行的Internet 网络服务系统,它采用超文本界面,方便用户访问全球范围内的Internet 资源。在Internet 大众化及Web 技术飞速演变的今天,Web 受到的攻击和破坏也日益增长,在线安全面临严峻挑战。
Web 服务器存在的主要漏洞包括物理路径泄露、CGI 源代码泄露、目录遍历、执行任意命令、缓冲区溢出、拒绝服务、条件竞争和跨站脚本执行漏洞等。
对Web 应用服务器的检测主要是对Web 服务器连同其激活的组件、子系统及定制编写的代码进行全面测试,以发现和验证存在的漏洞和缺陷,主要从以下几方面进行: ¾
¾
¾
¾
¾
¾ 识别Web 服务及其即获的组建信息; 发现并验证Web 服务及其激活组建的已知漏洞; 检查是否明确指定具有远程管理服务权限的主机; 检查www 服务器的安全措施; 评估服务器端运行的脚本; Web 应用程序的安全性。
3.2 FTP服务
FTP (File Transfer Protocol,文件传输协议)允许通过网络从一个系统到另一个系统传输文件。FTP 分为两部分实现:FTP 客户端和FTP 服务器。在一个FTP 会话期间,建立一个双向数据通道来传输一部分文件、整个文件或许多文件。
FTP 服务器存在的主要漏洞包括目录遍历、缓冲区溢出、拒绝服务和跳板攻击等。对FTP 应用服务的检测主要是对FTP 服务器进行全面测试,以发现和验证存在的漏洞和缺陷,主要从以下几方面进行:
¾ 识别运行中的FTP 服务及其版本;
¾ 评估FTP 访问许可权限;
¾ 尝试FTP 口令暴力破解;
¾ 检测FTP 服务器的安全措施;
¾ 检测FTP 跳板攻击;
¾ 发现并验证FTP 服务的已知漏洞。
3.3电子邮件服务
电子邮件服务能在Internet 和专用网络上转发消息。由于这些服务本身的特性,Internet 和企业网空间之间的通道是开放的,这就可能被坚定的攻击者滥用并危及内部网络安全。目前,电子邮件发送和接收服务主要有SMTP 、POP3和IMAP 等协议。
电子邮件服务器存在的漏洞包括信息泄露、POP3和IMAP 口令暴力破解、SMTP 服务器滥用、缓冲区溢出和拒绝服务攻击等。对电子邮件服务的检测主要是对其服务策略以及已知安全问题等进行全面测试,以发现和验证存在的漏洞和缺陷,主要从以下几方面进行: ¾ 识别运行中的邮件服务及其版本;
¾ SMTP 开放转发测试;
¾ POP3和IMAP 口令暴力;
¾ 电子邮件服务器安全措施;
¾ 发现并验证邮件服务的已知漏洞。
3.4远程信息服务
基于Unix 系统以及很多设备平台(如Cisco IOS)都运行着一些远程信息服务,这些信息服务可以通过IP 协议提供系统、用户以及网络信息的详细资料。攻击者可能会探测这些服务,并通过这些服务收集用户列表以及可信主机与网络的详细资料,在有些情况下甚至可
能直接攻陷系统。
远程信息服务检测,主要从以下几方面进行:
¾ 识别运行中的DNS 服务及其版本信息;
¾ 尝试对已知域进行DNS 区域传送;
¾ 发现并验证DNS 服务的已知漏洞;
¾ Finger 信息泄漏;
¾ 发现并验证Finger 服务的已知安全问题;
¾ SNMP community字符串暴力破解;
¾ 尝试对SNMP 进行读和写访问;
¾ 发现并验证SNMP 服务的已知安全问题。
3.5远程维护服务
远程维护服务是指那些用于管理目的、可以直接对服务器和设备进行远程访问的服务。常见的远程维护服务包括SSH 、Telnet 、X Windows、PcAnywhere 、VNC 以及微软终端服务等。
远程维护服务检测,主要从以下几方面进行:
(1) SSH 安全性检测
¾ SSH 指纹识别
¾ 发现并验证SSH 服务的已知安全问题
(2) Telnet 安全性检测
¾
¾
¾
¾
¾
¾
¾
¾ Telnet 服务指纹识别 Telnet 口令暴力破解 发现并验证Telnet 服务的已知安全问题 是否使用了默认端口 是否隐藏登录的用户名 是否指定用户登录 是否启动审核 是否限制或指定连接终端的地址 (3) 终端服务安全型检测
3.6 Windows网络服务
Windows NetBIOS和CIFS 服务,这两种服务在企业网中用于访问SMB ,以实现文件共享、打印以及其他一些有用的功能。如果这些服务没有配置正确,或没有使用网络过滤设备提供正确的防护,就有可能被攻击者充分利用来枚举系统的详细资料,甚至导致对网络的完全控制。
Windows 网络服务检测,主要从以下几方面进行:
(1) Microsoft RPC服务安全性检测
¾
¾
¾
¾ 尝试每局系统信息 对管理员组合中用户口令进行暴力破解 通过Task Scheduler接口执行命令 运行任意代码或让主机完全崩溃
(2) NetBIOS 会话服务安全性检测
¾
¾
¾
¾
¾
¾ 枚举用户 共享文件夹以及域消息等资料 对用户口令进行暴力破解 上载/下载文件和程序 在目标主机上调度和执行任意命令 访问SAM 口令数据库并对其进行破解
3.7 Unix RPC服务
Solaris 、IRIX 以及Linux 中存在许多的远程RPC 服务漏洞,这些服务会被攻击者渗透。Unix RPC服务检测,主要从以下几方面进行:
¾ 枚举Unix RPC服务;
¾ 发现并验证Unix RPC服务的一致安全问题。
3.8基于OSA 的应用
在IMS 网络中,OSA 应用服务器可以提供基于开放业务体系应用程序接口(OSA API)开发的第三方业务, 该应用服务器群可位于用户的归属网络或第三方。3GPP 定义了OSA 以允许第三方业务提供商(CP、SP) 进行3G 移动业务的开发。
OSA 服务器的安全问题集中在OSA API规范和具体实现两方面上。前者因为使用接口所以在业务的各种流程中安全性较高,然而在获取接口前的鉴权流程中存在一些安全隐患,其中包括未强制说明的非API 级认证、单向的认证机制、明文的密钥、易记忆的口令作为密钥,对等体攻击等;后者依赖于实现OSA 服务器所采用的策略、技术和环境,其安全问题包含了一般信息网络系统的安全问题和实现API 的安全漏洞。
OSA 服务检测,主要从以下几方面进行:
¾ 检测OSA 服务器的安全措施;
¾ 尝试framework 口令暴力破解;
¾ 通过主机漏洞扫描方式检测OSA 服务的安全漏洞;
¾ 发现并验证OSA 服务的已知漏洞。
3.9基于SIP 协议的应用
在IMS 网络中,SIP 应用服务器是基于SIP 的服务器,拥有广泛的增值多媒体服务。SIP 应用服务器可以被用于提供在线状态、消息和会议服务。
同许多互联网协议一样,SIP(会话起始协议) 协议是根据简化的思路,而不是根据安全的思路设计的。这个协议本身就存在一些安全漏洞,把这个标准转化为产品的开发人员也为这个协议增加了一些安全漏洞。研究人员在许多SIP 设施的“INVITE”(邀请) 信息处理过程中还发现了十几个安全漏洞,利用这些安全漏洞可能导致拒绝服务攻击、服务中断或者在某些情况下允许攻击者获得访问受影响的设备的权限。
SIP 应用检测,主要从以下几方面进行:
¾ SIP 应用补丁程序安装及时与否;
¾ 检测SIP 应用服务器的安全措施;
¾ 通过主机漏洞扫描方式检测SIP 应用的安全漏洞;
¾ 发现并验证SIP 服务的已知漏洞。
3.10 Camel服务环境的应用
在IMS 网络中,CAMEL 服务环境完成预付费、亲近号码、会议电话、彩铃等传统的移动智能网业务。CAMEL 服务环境相当于固话的智能网,以提供交互式语音应答(IVR)为主的业务。目前,IMS 所提供的典型业务为:单键通话(POC, Push to Talk over Cellular)、全能数字助理、Web Conference、统一消息业务(UMS, Unified Messaging Service)、一号通等业务。
Camel 服务环境的应用检测,主要从以下几方面进行:
¾ 检测应用服务器的安全措施;
¾ 通过主机漏洞扫描方式检测应用服务器的安全漏洞;
¾ 发现并验证应用服务器的已知漏洞。
3.11应用程序
应用程序风险主要是指因为浏览器、电子邮件客户端、办公软件等应用程序的脆弱性造成整个系统的安全问题。对应用程序检测,主要从以下几方面进行:
¾ 检查应用程序是否存在不安全的配置;
¾ 应用程序补丁程序安装及时与否;
¾ 通过主机漏洞扫描方式检测应用程序的安全漏洞。
3.12 IMS网络终端程序
IMS 网络终端程序风险主要是指因为SIP 软终端、SIP 硬终端的嵌入式程序、或非SIP 软终端等应用程序的脆弱性造成整个系统的安全问题。对终端程序检测,主要从以下几方面进行:
¾ 检查终端程序是否存在不安全的配置;
¾ 终端程序补丁程序安装及时与否;
¾ 发现并验证终端程序的已知漏洞。
4. 结论
本文给出了信息系统中应用脆弱性检测的研究方法和具体应用脆弱性检测的一些指导方法。通过使用这些方法,可以帮助评估人员识别信息系统中的应用脆弱性,并为构建脆弱特征库提供理论基础和前期准备。
参考文献
[1] TR 13335 – 1.Concepts and models for IT Security [S]. ISO/IEC, 2000
[2] TR 13335 – 3. Techniques for the management of IT Security [S]. ISO/IEC, 2000
[3] 《找到自身漏洞 信息安全脆弱性分析技术》
[EB/OL]. http://www.enet.com.cn/article/2007/0428/A[1**********]059_2.shtml,2007.4.28
Vulnerabilities Identification of Applications in Information
System Research
Sun Tingting, Sun Qibo
Computer Science & Technology Beijing University of Posts & Telecommunications, Beijing,
China (100876)
Abstract
This paper simply introduced the normal methods of identifying vulnerabilities of applications in information system especially IMS. It is helpful to risk analysis of information system. There are two parts in the body of the paper: the common methods of applications vulnerabilities identification and the methods of concrete applications vulnerabilities identification. In the second part, we introduced the methods from the aspects such as Web services, Ftp services, Email services, Windows network services, SIP applications, and so on.
Keywords: Vulnerability, Information System, Risk Analysis.