计算机弱点数据库综述与评价
- 作者:admin 来源:网络 日期:2008-5-16 11:12:27
(2) eEye 库[37 ]
eEye 公司主要发布一些数量较少但最为严重的软件弱点和攻击,它提供的内容主要包括概述、技术细节、保护方法、严重性和发布时间等属性、其中还描述了当前距发布时间的间隔,用以体现弱点在发掘周期内不同阶段被利用的可能性是不同的。
(3) SANS[38 ]
SANS 组织每个季度发布或更新最具威胁的20 个Internet 安全弱点,包括10 个Windows 系统弱点和10 个Unix 系统弱点,由于这20 个弱点危害性大、普遍性高、被重复攻击的可能性大,因此已成为学者们重要的研究对象。
(4) Cisco 、Microsoft 等各大软件厂商的弱点列表,提供了各自软件弱点的名称、起因、位置以及相应补丁等等信息。
3. 3 弱点搜索引擎
弱点搜索引擎以弱点库为信息来源,提供了高效快捷的检索弱点的方法。著名的ICAT[39 ]就是美国国家标准技术学会创建的一个CVE 搜索引擎。ICAT 的目的是让用户方便地链接到公用弱点数据库以及补丁站点,使他们能够发现和消除系统中存在的弱点。通过描述弱点的TP 多个属性,ICAT 允许用户以更细的粒度搜索弱点。ICAT 的弱点数据主要来源于CERIAS、ISS X2Force、SANS Institute 、Security-Focus 以及各大软件厂商,截止到2005 年5 月,共收录了8309 个CVE(包括CAN) 弱点。此外,其它相关资源还有IN-FILSEC 搜索引擎[ TP] 。
3. 4 弱点数据库的评价
为了阐明现有的公开弱点数据库资源的优劣程度,使人们能够理解它们各自的特点,并针对自身需求更好地利用这些数据资源,我们将从更新速度、收录数量、描述程度、描述语言以及特点等方面对上述弱点数据资源进行比较和评价。评价结果如图4 所示,其中描述程度用分类属性的个数来度量,而更新速度用弱点发布或更新时间的迟缓来度量。从图中我们可以看出,CERIAS 库的描述程度最完备,X2Force 库收录的弱点数量最多,而Bugt raq 库的综合效果最好。
4 存在的问题与技术路线
科学合理地建构弱点数据库对收集、存储和组织弱点信息,避免繁重而重复性的整理工作,代写留学生论文 以及进一步进行弱点分析等方面具有重要意义。通过对现有弱点数据库的分析,我们发现它们普遍存在以下问题:1) 现有的弱点数据库在描述程度、收录数量、更新速度等方面各有所长,均不全面;2) 对弱点简介等属性的描述通常都使用诸如英语、汉语等自然语言,这种方法尽管给维护者带来一些便利,但由于目前计算机还无法自动有效地处理自然语言,因此对弱点的进一步分析工作需要人参与完成,这给弱点研究工作带来沉重的负担;3) 现有的弱点数据库采用各不相同的弱点分类方法,即采用不同的分类属性和属性值,使得同一弱点被不同的弱点数据库描述成不同的弱点,在这种情况下我们很难构建一个全面而综合的弱点库。尽管CVE 的出现缓解了这一问题,但CVE 收录的弱点数还不够全面,对弱点相关信息的描述也不够完备,并且不同弱点数据库所采用的弱点属性值不同的问题仍然没有得到解决。
针对上述问题,我们将在未来的弱点数据库研究中采取如下技术路线:开发一个统一标准的完备的弱点分类方法以整合现有的弱点数据资源,并且考虑用形式化或程序语言替代自然语言来描述弱点属性,从而实现弱点信息的自动获取以及弱点的自动检测与分析。我们认为建构这样的综合弱点数据库将具有积极的理论和现实意义。
参考文献
1 ISC. Internet Domain Survey. Information f rom t he web at http :/ / www. isc. org/ ds/ , 2005
2 Michener J . System insecurity in t he Internet age. IEEE Software ,1999 ,16 (4) :62~69
3 Bruce L. Managed Vulnerability Assessment ( MVA)ImproveSecurity By Understanding Your Own Vulnerabilities ! Network Security , Elsevier Science ,2002 (4) :8~9
4 CERT/ CC. 2005. CERT/ CC Statistics 198822005. Information f rom t he web at http :/ / www. cert . org/ stat s/ cert —stat s. html
5 CERT/ CC. 2005. CERT/ CC Elect ronic Crime. Information f rom t he web at http :/ / www. cert . org/ about/ ecrime. html
6 CNCERT/ CC. 2004. CNCERTCC Annual Report . Informationf rom t he web at http :/ / www. cert . org. cn/
7 Furnell S M , Warren M J . Computer abuse and cyber terrorism:The real t hreat s in t he New Millennium. Computers & Security ,1999 ,18 (1) :28~34
8 Cheswick W R ,Bellovin S M. Firewalls and Internet Security : Repelling t he Wily Hacker . AddisonWesley ,1994
9 Denning D E. Cryptography and Data Security. AddisonWesley Publishing Company ,1983
10 Bishop M ,Bailey D. A Critical Analysis of Vulnerability Taxonomies : [ Tech. Rep. CSE296211 ] . Department of Computer Science at t he University of California at Davis. Sep . 1996
11 Krsul I. Software Vulnerability analysis : [ PhD t hesis ] . Department of Computer Science , PurdueUniversity , West Lafayette ,USA. 1998
12 邢栩嘉,林闯,蒋屹新. 计算机系统脆弱性评估研究. 计算机学报,2004 ,27 (1) :1~11
13 Landwehr C E ,Bull A R ,McDermott J P ,Choi W S. A taxonomy of computer program security flaws. ACM Computing Surveys ,1994 ,26 (3) :211~254
14 Longstaff T. Update : CERT/ CC Vulnerability Knowledge base.Technical presentation at a DARPA workshop in Savannah ,Georgia ,1997
15 Power R. Current And Future Danger : A CSI Primer of Computer Crime & Information Warfare. CSI Bulletin ,1996
16 Du W,Mat hur A P. Categorization of software errors t hat led to security breaches. Proceedings of t he 21st National Information Systems Security Conference (NISSC’98) , 1998. http :/ / www.
cerias. purdue. edu/ homes/ duw/ research/ paper/ nissc98. ps
17 Aslam T. A Taxonomy of Security Fault s in t he Unix Operating System: [M. S. t hesis ] . PurdueUniversity ,1995
18 Aslam T , Krsul I , Spafford E H. Use of a taxonomy of security fault s. In : t he 19t h National Information System Security Conf .Baltimore , Maryland ,1996. 22~25
19 Bishop M. A taxonomy of Unix system and network vulnerabilities : [ Technical Report CSE29510 ] . Department of Computer Science , University of California at Davis ,May 1995
20 Knight E , Hartley B V. Is your network inviting an at tack. Internet Security Advisor , 2000 (526) : 2~5
21 Venter H S , Eloff J H P. Harmonised vulnerability categories.Sout h Af rican Computer Journal ,2003 ,29 :24~31
22 李昀,李伟华. 基于星型网模型的安全漏洞分类. 计算机工程与应用,2002 ,38 (1) :42 ,43 ,56
23 单国栋, 戴英侠,王航. 计算机漏洞分类研究. 计算机工程,2002 ,28 (10) :3~6
24 张永铮,云晓春,胡铭曾. 基于特权提升的多维量化属性弱点分类法的研究. 通信学报,2004 ,25 (7) :107~114
25 CERT/ CC. CERT/ CC Vulnerability Notes Database. Information f rom t he web at http :/ / www. kb. cert . org/ vuls/ 2005
26 SecurityFocus. Bugt raq Vulnerability Database , Available online at ht tp :/ / www. securityfocus. com/ bid/ 2005
27 Internet Security Systems. X2Force Vulnerability Database. Available online at http :/ / xforce. iss. net/ 2005
28 Security Bugware. Vulnerability Archive. Available online at http :/ / www. securitybugware. org/ 2005
29 Cerias of Purdue. Public Vulnerability Database. Available online at ht tps :/ / coopvdb. cerias. purdue. edu/ 2005
30 CNCERT/ CC. Vulnerability Notes Database. Information f romt he web at ht tp :/ / www. cert . org. cn/ 2005
31 绿盟. Vulnerability Database. Available online at http :/ / www.nsfocus. net/ 2005
32 Xfocus . Vulnerability Database. Available online at http :/ / www.xfocus. net/ 2005
33 翟钰,张玉清,武维善,胡建武. 系统安全漏洞研究及数据库实现.计算机工程,2004 ,30 (8) :68~70 ,148
34 杨洪路,刘海燕,贺振中. 脆弱性数据库系统的设计及构建. 计算机工程,2004 ,30 (9) :195~197
35 孙学涛,李晓秋,谢余强. 通用脆弱点数据库的构建. 计算机应用,2002 ,22 (9) :42~44
36 MITRE. Common Vulnerabilities and Exposures. Available online at http :/ / www. cve. mit re. org/ 2005
37 eEye. Vulnerability Archive. Available online at http :/ / www.eeye. com/ 2005
38 SANS. System Administ ration , Networking , and Security. Available online at http :/ / www. sans. org/ 2003
39 ICAT. A CVE Based Vulnerability Database. Available online athttp :/ / icat . nist . gov 2005TP INFILSEC. Vulnerability Search Engine. Avai
代写论文联系方式
联系QQ:904272800
联系信箱:904272800@qq.com
代写论文导航
客户、写手申请单
最新论文
热点论文
