漏洞威胁评估及协议软件漏洞挖掘

分类号密级

UDC 编号

中国科学院研究生院

博士学位论文

漏洞威胁评估及协议软件漏洞挖掘

刘奇旭

指导教师张玉清教授博士

中国科学院研究生院信息科学与工程学院申请学位级别博士学科专业名称信息安全论文提交日期2011年4月论文答辩日期2011年5月培养单位信息科学与工程学院

学位授予单位中国科学院研究生院

答辩委员会主席

中国科学院研究生院直属院系

研究生学位论文原创性声明

本人郑重声明：所呈交的学位论文是本人在导师的指导下独立进行研究工作所取得的成果。尽我所知，除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对论文所涉及的研究工作做出贡献的其他个人和集体，均已在文中以明确方式标明或致谢。

作者签名：

日期：

中国科学院研究生院直属院系

学位论文授权使用声明

本人完全了解并同意遵守中国科学院有关保存和使用学位论文的规定，即中国科学院有权保留送交学位论文的副本，允许该论文被查阅，可以公布该论文的全部或部分内容，可以采用影印、缩印或其他复制手段保存、汇编本学位论文。

涉密的学位论文在解密后适用本声明。

作者签名：导师签名：

日期：日期：

摘要

漏洞的大量出现和加速增长是目前网络安全问题趋于严峻的重要原因之一。漏洞不仅仅是网络攻防的焦点，更是网络战的武器装备。漏洞作为一种战略资源被各方积极关注。论文主要工作围绕“漏洞”展开，主要研究内容包括漏洞描述、漏洞威胁评估和漏洞挖掘，取得如下成果：

（1）论文完成两个国家标准的制定——《漏洞标识与描述规范(报批稿)》和《安全漏洞等级划分指南(草案)》。《漏洞标识与描述规范》提出CVD(Common Vulnerabilities Description)作为漏洞唯一标识（例如CVD-2011-001234表示2011年产生的第1234个漏洞），用于满足我国互联网对信息系统漏洞进行统一引用的需求。《安全漏洞等级划分指南》根据攻击范围、攻击复杂度和攻击影响三

个方面的要素，将漏洞划分为紧急、高、中和低等四个级别，从而实现我国对

漏洞严重程度评估的标准化。

（2）论文提出定性与定量相结合的漏洞威胁评估系统——Vulnerability Rating and Scoring System(VRSS)。基于对现有漏洞评估要素的评判及大量漏洞数据的分析，论文将定性评级与定量评分两种方法有机结合：首先针对漏洞的主

要属性（机密性、完整性和可用性）的影响进行定性评级，分析出漏洞威胁级

别（高、中、低），其次再根据漏洞在利用过程中的因素进行定量评分，进而

得出漏洞对系统的威胁分值（0.00-10.00）。论文使用1999-2010年44,824个CVE漏洞作为实验数据，结果表明VRSS定性评级漏洞分布情况与历史传统分级结果一致并符合历史分布规律，定量评分结果能够进一步的细分漏洞，在解决

了定性与定量方法纷争的同时，也修正了CVSS的不合理因素。

（3）论文在VRSS的基础上提出基于漏洞类别的定性与定量漏洞威胁评估系统——Category-Based VRSS。基于漏洞类别的VRSS系统框架，在定性评级的基础上，在定量评分的过程中引入漏洞类别因子VCF(Vulnerability Category Factor)这一概念。例如，根据VRSS定性评级的结果，超过50%的缓冲区溢出漏洞具有“高危”级别，因此将该漏洞类别定义为高危类别，在定量评分过程中

通过VCF增加其定量评分分值。论文使用2008-2010年发布的16,025个CVE漏

漏洞威胁评估及协议软件漏洞挖掘

洞作为实验数据，结果表明基于漏洞类别的VRSS增加了漏洞定量评分结果的多样性，一定程度上将漏洞进一步区分。

（4）论文研究基于Fuzzing技术的协议软件漏洞挖掘方法：首先对目标程序进行威胁建模，找到其最有可能出现漏洞的脆弱点，然后有针对性地编写Fuzzing工具对这些脆弱点逐一进行测试。论文将这一漏洞挖掘方法应用于TFTP 协议上，设计并实现了一个针对TFTP服务器的Fuzzing工具——tftpServerFuzzer，并对现有的从互联网上搜集到的Windows平台下11种TFTP服务器进行了安全测试，发现了未曾公布过的漏洞4个，其中的3个漏洞获得CVE编号：CVE-2006-6141、CVE-2006-6183、CVE-2006-6184，实践证明了论文方法的有效性及Fuzzing工具的高效性。

关键词：漏洞，漏洞描述，漏洞标准，漏洞评估，漏洞挖掘

II

Abstract

Vulnerabilities are extremely important for network security and have become major international threat to network security. Vulnerabilities are not only the focus of the network attack and defense, but also the weapons of cyberwar. As strategic resources, vulnerabilities are concerned by all the parties. In this paper, we focus on vulnerability description, vulnerability threat assessment and vulnerability finding, and make the following contributions:

(1) This paper finishes two national standards of China:“Vulnerability identification and description specification(draft for approval)” and “Classification of security vulnerabilities Guide(draft)”. “Vulnerability identification and description specification”proposes CVD (Common Vulnerabilities Description) as a unique identifier to describe the vulnerability. For example, CVD-2011-001234 represents the 1234th vulnerability in 2011."Classification of security vulnerabilities Guide" aims to develop national standards for vulnerability assessment to achieve a standardized severity assessment. According to access vector, access complexity and access impact, vulnerabilities are divided into four levels: Critical, High, Medium and Low.

(2) This paper proposes VRSS (Vulnerability Rating and Scoring System) for qualitative rating and quantitative scoring vulnerabilities. Based on the statistic work on vulnerabilities of three famous vulnerability databases, VRSS combines respective advantages of all kinds of vulnerability rating systems. First, confidentiality, integrity, and availability properties are used to evaluate the risk levels of vulnerabilities; second, a quantitative score are concluded based the risk levels. The range of quantitative score is from 0 to 10, with two decimals. An experimental study of 44,824 vulnerabilities demonstrates that the qualitative rating results of VRSS are consistent with the historical results and the quantitative scoring revises some unreasonable factors of well-known CVSS.

(3)This paper proposes category-based vulnerability rating and scoring system, so as to qualitatively rate and quantitatively score vulnerabilities. The paper uses