脆弱性库研究分析

脆弱性库研究分析

ID:36661015

大小:370.27 KB

页数:9页

时间:2019-05-13

脆弱性库研究分析_第1页
脆弱性库研究分析_第2页
脆弱性库研究分析_第3页
脆弱性库研究分析_第4页
脆弱性库研究分析_第5页
资源描述:

《脆弱性库研究分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、http://www.paper.edu.cn1脆弱性库研究分析金剑北京邮电大学计算机科学与技术系,北京(100876)E-mail:jinjian.1@gmail.com摘要:本文对目前国际上的几个主流脆弱性库进行了研究分析,并从功能上对他们进行了分类,文章最后给出了构建脆弱性库的建议。本文适用于信息系统安全评估和管理中关于脆弱性库的构建。本文主体分为三部分:主流脆弱性库的研究分析,脆弱性库的功能分类和其构建建议。在主流脆弱性库的研究分析中主要介绍了目前国家上比较流行的脆弱性库,脆弱性库的功能分类中以介绍的几个脆弱性库为依据,按照

2、功能对目前脆弱性库进行了分类,构建建议部分对脆弱性库的构建提出了一个相应的建议和所应该的注意事项。关键词:信息系统;脆弱性;脆弱性库;安全评估和管理中图分类号:TP3931.引言当前的信息系统越来越复杂,导致不可避免的存在这样或者那样的缺陷,这些能被他人利用对资产可能造成危害的缺陷即为脆弱性。所有的入侵都是因为系统存在脆弱性,这些脆弱性可能来自操作系统、应用软件、网络协议、也可能是系统使用、管理不当等导致的后果。统计表明,脆弱性的数量近年来呈爆炸性的增长并呈快速增长趋势。针对这种情况,人们一方面通过研究系统安全脆弱性理论,完成对脆弱

3、性的收集、整理、分类、归档和发布,以查找漏洞产生的原因;另一方面借助主机或网络脆弱性扫描系统、安全评估专家系统、入侵检测等工具及早发现信息基础设施中的脆脆弱性以及利用脆弱性实施破坏的异常行为,并采取相应的安全措施。在这些研究中,安全脆弱性库(即漏洞库)扮演了极为重要的角色。2.脆弱性库现状随着计算机的发展,被发现的系统中的脆脆弱性种类繁多,相应的攻击方法也是手法多变,新的脆脆弱性、攻击方法更是层出不穷,而数据库是整理这些复杂信息的理想方式,新出现的脆脆弱性、攻击方法可以及时地存入库中以供分析,因此,建立一个脆弱性数据库对网络安全工作

4、是十分必要的。现在,投入和参与脆弱性数据库研究的组织机构非常多,其中包括各种公司、政府机构和黑客组织。而且早些年,脆弱性数据库的研究工作是在美国,近年来,许多国家也加大了对脆弱性数据库研发的投入。目前许多欧美的国际安全组织都按照自己分类准则建立了各自的数据库,如ICAT,CERT/CC,BugTraq,XForce,CVE等。但至今为止,关于脆弱性分类仍没有一个统一的标准,脆弱性分类存在一定程度的概念模糊和交叉重叠现象。这样,当处理安全事故,报告某个系统的脆脆弱性,或当入侵检测系统产生警报时,各个组织、各个系统定义的脆弱性标识符的互

5、不兼容会使脆弱性的交叉定位变得困难。因此,建立一个具有统一标准的脆弱性数据库对网络安全工作就显得极为重要!本课题得到基金资助:国家高技术研究发展计划(863计划)项目“面向下一代电信网的安全测试评估技术及工具”(课题编号:2006AA01Z448)的资助。-1-http://www.paper.edu.cn此外,亚洲的一些国家(如韩国、日本)己经认识到了收集和分析脆弱性信息对国防和经济建设的重要意义,已经着手建立了自己的脆弱性数据库。但由于这领域的特殊性,这些研究的结果大多没有公开或只公开部分。而在在中国国家计算机网络应急处理协调中

6、心(CNCERT/CC)领导下,国内也组建了自己的CVE组织——CNCVE,CNCVE的组建目的就是建设一个具有中国特色的,能为国内广大用户服务的CVE组织。因此,脆弱性数据库的研究成果是非常丰硕的。但是业界对是否公开脆弱性数据库仍然是立场不一,主要原因是利益关系和担心公开的脆弱性信息被不恰当地利用。3.主流脆弱性库研究分析在开放的脆弱性数据库中,比较权威的有CVE、NVD、BugTraq、OSVDB和CERT等,下文将对它们作具体的介绍。虽然可以从这些数据库的发布手段免费获取到脆弱性数据,但是这些数据库仍不是完全开放的,对脆弱性数

7、据库的开放仍有保留。除了这些开放的脆弱性数据库外,还应该存在大量的没有对公众开放的脆弱性数据库。有的可能大家根本就不知道这些脆弱性数据库的存在。例如,IBM建立了内部专用的脆弱性数据库“Vulda”,并为这个数据库做了大量的工作,还经常使用公共脆弱性数据库的数据信息对内部的脆弱性信息库进行更新。据有关资料,IBM的脆弱性信息来源于30多个新闻组、60多个邮件列表,有40多个FTP镜像服务器。3.1CVECVE[1](CommonVulnerabilitiesandExposures)是由美国国土安全部门(USDepartmentOf

8、HomelandSecurity,简称DHS)成立,由非盈利组织MITRE公司管理和维护至今。Vulnerability(漏洞,脆弱性)这个词汇可以有狭义和广义多种解释。比如说:finger服务,可能为入侵者提供很多有用的资料,但是该

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。