一种基于计算机网络系统漏洞利用机制的脆弱性分类方法研究.pdf

一种基于计算机网络系统漏洞利用 机制的脆弱性分类方法 金旗1崔益民1房芳2 1(北京系统工程研究所，北京100101) 2(北京跟踪与通信技术研究所) 摘 要文章深入分析脆弱性分类方法研究现状，指出现有脆弱性分类方法无法满足网络安全应用 特别是信息战的要求。提出了一种基于计算机网络系统漏洞利用机制的脆弱性分类方法，并以现有 脆弱性信息系统为数据来源进行脆弱性分类实验。 关键词脆弱性分类探测 分类特征 l 引言 一些攻击方法归为导致破坏的环境条件，一些归为影 脆弱性指系统存在可被恶意利用从而导致系统 响系统人员的因素，还有一些归为导致脆弱性的代码 的保密性、完整性和可用性受到损害的缺陷。这些缺 错误。 Victor 陷是系统在设计、开发和使用的不同环节发生的错误 Purdue大学的IvanKrsul提出了脆弱性 或失误而产生的。 分类特征所要满足的性质，包括：Objectivity，即分类 由于脆弱性具有种类多、数量大且变化频繁的特 点，目前无法实现脆弱性的有效分类，给网络安全应 用特别是信息战对抗中利用脆弱性造成巨大的障碍。 不同的人独立提取相同特征必须一致；Specificity，即 因此，对脆弱性进行有效分类的研究，实现对网络安 分类特征值必须是唯一和无歧义的。 全应用的有效支持，成为网络安全领域研究的迫切要 Krsul提出了一系列新的分类特征，并且满足分 求。 类特征的属性要求。这些分类特征包括： (1)ThreatFeatures 2脆弱性分类方法研究现状 这个分类特征从一种脆弱性对系统的威胁程度 在脆弱性分类研究领域，人们进行了大量的研究 或系统对脆弱性现象的响应程度的角度表征脆弱性 并取得了丰富的成果。Protection 数据； Analysis(PA)项目 Features (2)Environmental et Assumption 致力于研究操作系统中的保护性缺陷【Carlstead et 这个分类特征从可以减少脆弱性的各种软件运 a1．1975】；RISOS项目主要分析现有 a1．1975；Bibsey 行环境设想的角度表征脆弱性数据； 操作系统的安全问题并提出加强安全的途径[Abbott ontheNatureofVulnerabilities et et (3)Features a1．1976】；【Landwhera1．19931整理了不同操作系 统的安全缺陷，并根据引入系统的时间、引入的代码 这个分类特征从引发脆弱性的结果的角度脆弱 性数据。 段等因素对缺陷进行了分类；【Marick19901从软件工 程生命周期的角度研究了软件错误的问题。 et 3基于计算机网络系统漏洞利用机制的脆弱 【Aslam