漏洞威胁评估及协议软件漏洞挖掘

UDC 编号

中国科学院研究生院

博士学位论文

漏洞威胁评估及协议软件漏洞挖掘

刘奇旭

指导教师张玉清教授博士

中国科学院研究生院信息科学与工程学院申请学位级别博士学科专业名称信息安全论文提交日期2011年4月论文答辩日期2011年5月培养单位信息科学与工程学院

学位授予单位中国科学院研究生院

答辩委员会

中国科学院研究生院直属院系

研究生学位论文原创性声明

本人郑重声明：所呈交的学位论文是本人在导师的指导下进行研究工作所取得的成果。尽我所知，除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对论文所涉及的研究工作做出贡献的其他个人和集体，均已在文中以明确方式标明或致谢。

作者签名：

日期：

中国科学院研究生院直属院系

学位论文授权使用声明

本人完全了解并同意遵守中国科学院有关保存和使用学位论文的规定，即中国科学院有权保留送交学位论文的副本，允许该论文被查阅，可以公布该论文的全部或部分内容，可以采用影印、缩印或其他复制手段保存、汇编本学位论文。

涉密的学位论文在解密后适用本声明。

作者签名：导师签名：

日期：日期：

摘要

漏洞的大量出现和加速增长是目前网络安全问题趋于严峻的重要原因之一。漏洞不仅仅是网络攻防的焦点，更是网络战的武器装备。漏洞作为一种战略资源被各方积极关注。论文主要工作围绕“漏洞”展开，主要研究内容包括漏洞描述、漏洞威胁评估和漏洞挖掘，取得如下成果：

（1）论文完成两个国家标准的制定——《漏洞标识与描述规范(报批稿)》和《安全漏洞等级划分指南(草案)》。《漏洞标识与描述规范》提出CVD(Common Vulnerabilities Description)作为漏洞唯一标识（例如CVD-2011-001234表示2011年产生的第1234个漏洞），用于满足我国互联网对信息系统漏洞进行统一引用的需求。《安全漏洞等级划分指南》根据攻击范围、攻击复杂度和攻击影响三

个方面的要素，将漏洞划分为紧急、高、中和低等四个级别，从而实现我国对

漏洞严重程度评估的标准化。

（2）论文提出定性与定量相结合的漏洞威胁评估系统——Vulnerability Rating and Scoring System(VRSS)。基于对现有漏洞评估要素的评判及大量漏洞数据的分析，论文将定性评级与定量评分两种方法有机结合：首先针对漏洞的主

要属性（机密性、完整性和可用性）的影响进行定性评级，分析出漏洞威胁级

别（高、中、低），其次再根据漏洞在利用过程中的因素进行定量评分，进而

得出漏洞对系统的威胁分值（0.00-10.00）。论文使用1999-2010年44,824个CVE漏洞作为实验数据，结果表明VRSS定性评级漏洞分布情况与历史传统分级结果一致并符合历史分布规律，定量评分结果能够进一步的细分漏洞，在解决

了定性与定量方法纷争的同时，也修正了CVSS的不合理因素。

（3）论文在VRSS的基础上提出基于漏洞类别的定性与定量漏洞威胁评估系统——Category-Based VRSS。基于漏洞类别的VRSS系统框架，在定性评级的基础上，在定量评分的过程中引入漏洞类别因子VCF(Vulnerability Category Factor)这一概念。例如，根据VRSS定性评级的结果，超过50%的缓冲区溢出漏洞具有“高危”级别，因此将该漏洞类别定义为高危类别，在定量评分过程中

通过VCF增加其定量评分分值。论文使用2008-2010年发布的16,025个CVE漏漏洞威胁评估及协议软件漏洞挖掘

洞作为实验数据，结果表明基于漏洞类别的VRSS增加了漏洞定量评分结果的多样性，一定程度上将漏洞进一步区分。

（4）论文研究基于Fuzzing技术的协议软件漏洞挖掘方法：首先对目标程序进行威胁建模，找到其最有可能出现漏洞的脆弱点，然后有针对性地编写Fuzzing工具对这些脆弱点逐一进行测试。论文将这一漏洞挖掘方法应用于TFTP 协议上，设计并实现了一个针对TFTP服务器的Fuzzing工具——tftpServerFuzzer，并对现有的从互联网上搜集到的Windows平台下11种TFTP服务器进行了安全测试，发现了未曾公布过的漏洞4个，其中的3个漏洞获得CVE编号：CVE-2006-6141、CVE-2006-6183、CVE-2006-6184，实践证明了论文方法的有效性及Fuzzing工具的高效性。

关键词：漏洞，漏洞描述，漏洞标准，漏洞评估，漏洞挖掘

II

Abstract

Vulnerabilities are extremely important for network security and have become major international threat to network security. Vulnerabilities are not only the focus of the network attack and defense, but also the weapons of cyberwar. As strategic resources, vulnerabilities are concerned by all the parties. In this paper, we focus on vulnerability description, vulnerability threat assessment and vulnerability finding, and make the following contributions:

(1) This paper finishes two national standards of China:“Vulnerability identification and description specification(draft for approval)” and “Classification of security vulnerabilities Guide(draft)”. “Vulnerability identification and description specification”proposes CVD (Common Vulnerabilities Description) as a unique identifier to describe the vulnerability. For example, CVD-2011-001234 represents the 1234th vulnerability in 2011."Classification of security vulnerabilities Guide" aims to develop national standards for vulnerability assessment to achieve a standardized severity assessment. According to access vector, access complexity and access impact, vulnerabilities are divided into four levels: Critical, High, Medium and Low.

(2) This paper proposes VRSS (Vulnerability Rating and Scoring System) for qualitative rating and quantitative scoring vulnerabilities. Based on the statistic work on vulnerabilities of three famous vulnerability databases, VRSS combines respective advantages of all kinds of vulnerability rating systems. First, confidentiality, integrity, and availability properties are used to evaluate the risk levels of vulnerabilities; second, a quantitative score are concluded based the risk levels. The range of quantitative score is from 0 to 10, with two decimals. An experimental study of 44,824 vulnerabilities demonstrates that the qualitative rating results of VRSS are consistent with the historical results and the quantitative scoring revises some unreasonable factors of well-known CVSS.

(3)This paper proposes category-based vulnerability rating and scoring system, so as to qualitatively rate and quantitatively score vulnerabilities. The paper uses漏洞威胁评估及协议软件漏洞挖掘

vulnerability categories to quantitatively score vulnerabilities, which make the distribution of vulnerabilities more discrete.For example, according to the results of VRSS qualitative rating, more than 50% of the buffer overflow vulnerabilities have the "high" risk level, so the type of buffer overflow is defined as high-risk category, then the quantitative score of this category can be increased by the vulnerability category factor(VCF). An experiment of 16,025 vulnerabilities demonstrates that category-based vulnerability rating and scoring system can separate vulnerabilities from each other as far as possible.

(4) This paper proposes a vulnerability finding approach based on fuzzing and apply the approach to TFTP protocol. The paper analyzed all the vulnerabilities that had been released about TFTP protocol, and summed up the vulnerable points in TFTP servers. Aiming at those vulnerable points, a fuzzing tool named tftpServerFuzzer was specifically designed and implemented to test TFTP servers. . Testing 11 types of TFTP servers based on Windows by tftpServerFuzzer, this paper discovered four unreleased vulnerabilities and three of them won the CVE identifiers: CVE-2006-6141, CVE-2006-6183 and CVE-2006-6184. The result indicates not only the validity and superiority of the tftpServerFuzzer we designed, but also the efficiency of our approach.

Keywords：vulnerability, vulnerability description, vulnerability standards, vulnerability assessment, vulnerability finding

IV目录

摘要 (I)

ABSTRACT.................................................................................................................................. I II 目录.. (V)

图目录......................................................................................................................................... V III 表目录........................................................................................................................................... X I 第一章引言 . (1)

1.1 研究背景 (1)

1.2 研究现状 (2)

1.2.1 漏洞威胁评估 (2)

1.2.2 漏洞挖掘技术 (4)

1.2.2.1 基于源代码的静态分析 (5)

1.2.2.2 基于二进制的静态审核 (7)

1.2.2.3 基于Fuzzing的动态分析 (8)

1.2.2.4 多种漏洞挖掘技术相结合 (10)

1.3 课题支持 (10)

1.4 本文主要工作 (11)

1.5 论文组织结构 (12)

1.6 本章小结 (13)

第二章漏洞描述与相关规范 (14)

2.1 漏洞定义 (14)

2.2 漏洞发布 (15)

2.3 漏洞生命周期 (16)

2.4 漏洞预测 (18)

2.5 漏洞解决方案 (19)

2.5.1 SDL (19)

2.5.2 SAMM (20)

2.5.3 CLASP (21)

2.5.4 Touchpoints (21)

2.6 漏洞相关规范 (22)

2.6.1 枚举Enumerations (22)

2.6.2 语言Languages (23)

2.6.3 知识库Repositories (24)

2.7 本章小结 (24)

第三章现有漏洞威胁评估方法分析 (25)

3.1 概述 (25)

3.2 定性评级 (25)

3.2.1 IBM ISS X-Force (25)漏洞威胁评估及协议软件漏洞挖掘

VI

3.2.2 VUPEN (27)

3.2.3 小结 (29)

3.3 定量评分 (29)

3.3.1 CVSS (29)

3.3.2 CWSS (33)

3.3.3 小结 (35)

3.4 问题与改进 (35)

3.5 本章小结 (37)

第四章定性与定量相结合的漏洞评估 (38)

4.1 VRSS概述 (38)

4.2 VRSS漏洞评估过程 (39)

4.2.1 定性评级 (39)

4.2.2 定量评分 (41)

4.2.3 应用举例 (43)

4.3 VRSS效果测评 (45)

4.3.1 定性评级 (45)

4.3.2 定量评分 (46)

4.3.3 小结 (47)

4.4 VRSS环境因素 (48)

4.5 安全漏洞等级划分指南 (49)

4.5.1 等级划分原则 (49)

4.5.2 等级划分要素 (50)

4.5.2.1 等级划分要素概述 (50)

4.5.2.2 攻击范围 (50)

4.5.2.3 攻击复杂度 (50)

4.5.2.4 攻击影响 (50)

4.5.3 等级划分方法 (51)

4.6 本章小结 (53)

第五章基于漏洞类别的定性与定量漏洞评估 (54)

5.1 VRSS扩展必要性 (54)

5.2 Category-based VRSS评级过程 (55)

5.2.1 漏洞类别因子 (55)

5.2.2 应用举例 (57)

5.3 Category-based VRSS效果测评 (59)

5.3.1 定性评级 (59)

5.3.2 定量评分 (59)

5.3.3 小结 (60)

5.4 本章小结 (61)

第六章协议软件漏洞挖掘技术研究 (62)

6.1 网络协议基础 (62)

6.1.1 面向连接、无连接 (63)

6.1.2 有状态、无状态 (63)目录

6.1.3 文本、二进制 ()

6.1.4 公开、私有 (65)

6.1.5 复杂的协议元素 (66)

6.1.6 协议自动化分析 (67)

6.2 Fuzzing漏洞挖掘技术 (67)

6.3 协议软件漏洞挖掘方法 (69)

6.4 漏洞挖掘方法验证 (70)

6.4.1 选择TFTP网络协议 (70)

6.4.2 TFTP协议脆弱点分析 (72)

6.4.2.1 文件名 (72)

6.4.2.2 传输模式 (72)

6.4.2.3 目录遍历 (72)

6.4.2.4 已知漏洞分类 (73)

6.4.3 构造TFTP Fuzzing工具 (74)

6.4.3.1 总体设计 (74)

6.4.3.2 详细设计与实现 (74)

6.4.3.3 参数介绍 (76)

6.4.3.4 运行举例 (77)

6.4.4 TFTP漏洞挖掘结果分析 (78)

6.4.5 TFTP漏洞利用 (79)

6.4.5.1 CVE-2006-6183 (79)

6.4.5.2 CVE-2006-6184 (83)

6.5 问题与讨论 (87)

6.5.1 优点 (87)

6.5.2 缺点 (87)

6.6 本章小结 (87)

第七章结束语 (88)

7.1 论文工作总结 (88)

7.2 后续工作展望 (88)

参考文献 (90)

攻读博士学位期间的研究成果 (96)

致谢 (98)

VII图目录

图1. 1 美国国家漏洞库NVD漏洞数目柱状图(1999-2010年) (2)

图1. 2 漏洞相关研究工作 (2)

图1. 3 本文工作内容及主要成果图 (11)

图1. 4 论文组织结构图 (12)

图2. 1 漏洞发布描述项 (15)

图2. 2 漏洞生命周期图 (17)

图2. 3 漏洞生命周期与网络攻击事件 (17)

图2. 4 AML漏洞发布模型 (18)

图2. 5 软件安全开发流程 (20)

图2. 6 软件保证成熟度模型 (20)

图2. 7 软件安全接触点 (22)

图3. 1 定性评级与定量评分 (25)

图3. 2 X-Force定性评级级别分布图(1999-2009年漏洞) (26)

图3. 3 X-Force定性评级级别分布图(1999-2009年漏洞，按照年份) (27)

图3. 4 X-Force定性评级级别比例图(1999-2009年漏洞，按照年份) (27)

图3. 5 VUPEN定性评级级别分布图(2005-2009年漏洞) (28)

图3. 6 VUPEN定性评级级别分布图(2005-2009年漏洞，按照年份) (28)

图3. 7 VUPEN定性评级级别比例图(2005-2009年漏洞，按照年份) (29)

图3. 8 CVSS系统框架图 (30)

图3. 9 CVSS计算方法图 (30)

图3. 10 美国国家漏洞库中的CVSS (32)

图3. 11CVSS基本群分值分布图(1999-2010年漏洞) (32)

图3. 12 CVSS基本群分值直方图(1999-2010年漏洞) (33)

图3. 13CWSS系统框架图 (33)

图3. 14 NVD漏洞定性评级漏洞分布柱状图(1999-2010年漏洞) (36)

图3. 15 NVD漏洞定性评级漏洞分布比例图(1999-2010年漏洞) (36)

图3. 16 定性评级与定量评分相结合 (36)

图4. 1 VRSS工作流程示意图 (38)

图目录图4. 2 VRSS定性评级与定量评分效果图 (39)

图4. 3 VRSS定性评级具体实施流程图 (43)

图4. 4VRSS定量评分部分具体实施流程图 (44)

图4. 5VRSS定性评级级别柱状分布图(1999-2010年漏洞) (45)

图4. 6VRSS定性评级级别所占比例图(1999-2010年漏洞) (46)

图4. 7VRSS定性评级级别分布图(1999-2010年漏洞，按照年份) (46)

图4. 8VRSS定量评分分数分布图(1999-2010年漏洞) (47)

图4. 9VRSS定量评分分数直方图(1999-2010年漏洞) (47)

图4. 10 漏洞等级划分要素 (50)

图5. 1基于漏洞类别的VRSS系统框架图 (55)

图5. 2漏洞类别及威胁级别比例分布图 (55)

图5. 3基于漏洞类别的VRSS定量评分部分具体实施流程图 (58)

图5. 4基于漏洞分类的VRSS定性评级级别柱状图(2008-2010年漏洞) (59)

图5. 5 基于漏洞分类的VRSS定性评级级别比例图(2008-2010年漏洞) (59)

图5. 6基于漏洞分类的VRSS定量评分分数分布图(2008-2010年漏洞) (60)

图5. 7 基于漏洞分类的VRSS定量评分分数直方图(2008-2010年漏洞) (60)

图6. 1 TCP/IP协议栈模型 (62)

图6. 2文本HTTP协议 (65)

图6. 3二进制OICQ协议 (65)

图6. 4 Fuzzing的通用测试过程 (68)

图6. 5 基于Fuzzing的协议软件漏洞挖掘流程 (69)

图6. 6 TFTP协议支持五种类型的包 (71)

图6. 7 正常的TFTP客户端与服务器建立连接的过程 (71)

图6. 8 1999-2010年TFTP相关漏洞数目 (73)

图6. 9 1999-2010年TFTP漏洞比例图 (73)

图6. 10 tftpServerFuzzer程序结构图 (74)

图6. 11 长文件名和畸形传输模式测试程序流程图 (74)

图6. 12 目录遍历漏洞测试程序流程图 (75)

图6. 13 部分可能导致目录遍历的特殊符号 (76)

图6. 14 tftpServerFuzzer参数 (77)

IX漏洞威胁评估及协议软件漏洞挖掘

X 图6. 15 3Com TFTP Service控件图 (79)

图6. 16 3CTftpSv.00402F30漏洞函数图 (80)

图6. 17 3CTftpSv返回地址被覆盖 (81)

图6. 18 传输模式构造结果示意图 (81)

图6. 19 CVE-2006-6183漏洞触发内存布局示意图 (82)

图6. 20 CVE-2006-6183漏洞利用成功 (83)

图6. 21 AT-TFTP Server主窗口 (83)

图6. 22 AT-TFTP Server存在漏洞函数wvsprintfA (84)

图6. 23 AT-TFTP Server覆盖返回地址 (84)

图6. 24 文件名构造结果示意图 (85)

图6. 25 CVE-2006-6184漏洞触发内存布局示意图 (86)

图6. 26 CVE-2006-6184漏洞利用成功 (86)表目录

表1. 1 现有漏洞威胁评估方法 (3)

表1. 2 微软漏洞严重程度等级划分表 (3)

表1. 3 现有漏洞挖掘技术比较表 (5)

表1. 4 基于源代码的静态分析工具比较 (7)

表3. 1 1999-2009年IBM ISS X-Force漏洞数目表 (26)

表3. 2 2005-2009年VUPEN漏洞数目表 (28)

表3. 3 CVSS各要素及其取值范围 (31)

表3. 4 1999-2010年NVD漏洞数目表 (32)

表3. 5 CWSS与CVSS评估要素对比表 (34)

表3. 6 NVD漏洞级别与CVSS映射表 (35)

表4. 1 漏洞定性评级级别映射表 (40)

表4. 2 机密性影响取值方法 (41)

表4. 3 完整性影响取值方法 (41)

表4. 4 可用性影响取值方法 (41)

表4. 5 漏洞攻击利用属性取值表 (42)

表4. 6 攻击范围取值方法 (42)

表4. 7 攻击复杂度取值方法 (42)

表4. 8 攻击认证次数取值方法 (42)

表4. 9 攻击影响与C/I/A的关系 (51)

表4. 10 漏洞的严重程度等级 (52)

表4. 11 漏洞威胁等级划分依据 (52)

表5. 1 CVSS和VRSS案例比较 (54)

表5. 2 NVD漏洞分类统计表 (56)

表5. 3 基于漏洞类别的VRSS案例 (58)

表5. 4 三种定量评分取值多样性比较 (61)

表6. 1 TFTP服务器软件列表 (78)

表6. 2 本文发现漏洞统计数目表 (79)