一種基於軟體缺陷及網絡攻擊關係挖掘的攻擊預警方法

2023-07-05 19:09:11

專利名稱：一種基於軟體缺陷及網絡攻擊關係挖掘的攻擊預警方法
技術領域：
本發明屬於軟體漏洞檢測及網絡安全領域，具體設計一種基於軟體缺 陷及網絡攻擊關係挖掘的攻擊預警方法。
背景技術：
隨著軟體產業的不斷發展，軟體缺陷和漏洞己經逐漸受到業界的關 注，特別是伴隨著網際網路的普及和蓬勃發展，出現了大量黑客攻擊和安全 性問題，使網絡應用程式和軟體的安全質量受到了嚴峻的考驗。目前，提 供軟體安全性保障主要採取了兩種技術方法。 一種是基於代碼的軟體缺陷 和漏洞檢測方法， 一種是基於攻擊模式的入侵檢測方法。
基於代碼的軟體缺陷和漏洞檢測方法，已廣泛運用在軟體開發過程 中，自動化檢測工具的應用更是大大提高了檢測軟體缺陷和漏洞的效率，
Jeffery S.Foster提出 一種基於類型限定符分析(Type Qualifier Analysis)的靜態缺陷檢測方法(Jeffrey S. Foster, Type Qualifiers: Lightweight Specifications to Improve Software Quality, Ph.D. thesis, University of California, Berkeley, December2002)， 這禾中半 自動靜態掃描軟體漏洞的方法，需要軟體開發人員為源程序添加類型限制 符，通過靜態掃描分析檢測軟體漏洞，此方法對特定的軟體漏洞檢測效果 比較好，但是可檢測的漏洞類型比較少，並且誤報率比較高；GaryMcGraw 等人提出了基於缺陷函數庫匹配的靜態代碼掃描分析方法(John Viega， J. T. Bloch， Tadayoshi Kohno， Gary McGraw. ITS4: A StaticVulnerability Scanner for C and C++Code. http://www.rstcorp.conO ， 實現了全自動的軟體缺陷掃描，但受到缺陷函數庫規模的限制，這種方法 可以檢測的漏洞類型比較有限，不能勝任複雜的網絡應用程式安全檢測； MoohunLee等人提出了一種基於規則的軟體缺陷檢測方法(Moohun Lee， Sunghoon Cho， Changbok Jang， Heeyong Park, EuiinChoi， A Rule—based Security Auditing Tool for Software Vulnerability Detection, 2006 International Conference on Hybrid Information Technology.)，引 入了軟體缺陷規則的概念，這種基於缺陷規則庫靜態檢測技術具有良好的
擴展性，通過更新缺陷規則庫，可以檢測出新近出現的軟體缺陷，有比較
好的應用前景。
入侵檢測方法主要應用在網絡應用程式的安全性檢測方面，Koral Ilgun等提出了一種基於規則的入侵檢測方法(Koral Ilgun， Richard A. Ke腿erer， Fellow, IEEE, and Phillip A. Porras， State Transition Analysis: A Rule-Based Intrusion Detection Approach ， IEEE TRANSACTIONS ON SOFTWARE ENGINEERING, VOL. 21， NO. 3， MARCH 1995)， 此方法建立了基於狀態圖模型，通過軟體狀態躍遷變化發現入侵攻擊，對 特定攻擊的捕獲具有良好的效果，並且基於規則發現攻擊模式，系統具備 一定擴展性，但僅關注了軟體狀態變化，沒有涉及軟體自身缺陷和攻擊模 式關係；Michael Gegick等提出了一種通過檢測入侵攻擊査找缺陷的方法 (Matching Attack Patterns to Security Vulnerabilities in Software—Intensive System Designs, Michael Gegick， Laurie Williams, Michael Gegick， Laurie Williams, ICSE-SESS， 05， May 15-16， 2005, St. Louis， Missouri, USA.)，但未提出軟體缺陷和攻擊模式庫(AttackPattern Base)的概念，並且沒有建立兩者之間對應關係，僅僅提出了一 種輔助査找缺陷的方法。
目前，以上的兩大類方法都在保障軟體安全方面發揮著重要的作用， 然而基於代碼的軟體缺陷和漏洞檢測方法，主要檢測軟體源程序，並不關 心環境變量的影響，分析的結果不能全面應對真實的網絡攻擊；而基於攻 擊模式的入侵檢測方法只能檢測出入侵攻擊的類型，卻不能為軟體開發者 提供建設性的軟體缺陷修補意見，很難從實質上改善軟體安全質量。

發明內容
本發明的目的在於克服上述現有技術的缺點，提供了一種集成了軟體 缺陷檢測子系統和攻擊預警判定子系統，在靜態檢測軟體缺陷的同時，匹 配特徵缺陷序列知識庫中的攻擊模式，發出攻擊預警信號提前對軟體進行 風險評估，全面保障了軟體的安全質量，適用於軟體開發周期各個階段的 基於軟體缺陷及網絡攻擊關係挖掘的攻擊預警方法。
為了便於說明問題，本發明先引進有關概念。
定義1:軟體缺陷規則文件(vulnerability role file)是指缺陷 類型抽取出的特徵規則形成的規則庫文件，目標代碼文件(target code file)是指源程序經過語義分析後形成的中間代碼。
定義2:序列長度為L的缺陷序列是指由L個不同種類缺陷漏洞組成 的一個無序序列。
定義3:特徵缺陷序列庫是指挖掘出的易受網絡攻擊的缺陷序列的記 錄，每條記錄包含缺陷序列和對應的網絡攻擊兩部分。
為達到上述目的，本發明採用的技術方案是包括對基於規則的軟 件缺陷進行靜態分析和檢測的缺陷檢測子系統；利用缺陷植入技術對缺陷序列和網絡攻擊的關係進行挖掘並記錄的
特徵缺陷序列庫子系統；
將檢測出的目標軟體的缺陷漏洞和特徵缺陷序列庫中的記錄相匹配， 發出攻擊預警報告的攻擊預警判定子系統；
其攻擊預警過程如下
1) 首先利用缺陷檢測子系統掃描軟體漏洞和缺陷，並且記錄掃描結 果，輸出缺陷號和缺陷名稱以及簡單的描述，以供特徵缺陷序列庫子系統 匹配；
2) 利用缺陷植入技術構建特徵缺陷序列庫，特徵缺陷序列庫支持多 維匹配；
3) 然後將掃描的缺陷文件送入攻擊預警判定子系統，與特徵缺陷序 列庫中的記錄進行匹配；
4) 如果掃描出的缺陷類型在預警判定子系統中單維匹配成功，則通 過攻擊預警判定子系統輸出軟體的缺陷信息，及該缺陷對應的潛在攻擊模 式，否則說明單個缺陷出現不會引起攻擊，繼續進行多維匹配。 本發明的特徵缺陷序列庫子系統抽取軟體缺陷特徵，採用了缺陷植入的方 法,通過攻擊模擬實驗挖掘缺陷特徵與攻擊模式的關聯關係，每條記錄包 含缺陷序列和對應的網絡攻擊兩部分，構建出特徵缺陷序列庫；基於規則 的缺陷檢測子系統和攻擊預警判子定系統協同工作，兩個子系統都是基於 美國缺陷標準工業庫(Common Weakness Enumeration)設計，並實現數 據交互；攻擊預警判定子系統，支持特徵缺陷序列庫多維匹配，即可以發 現多個缺陷特徵同時存在時對應的攻擊模式。
本發明是採用缺陷植入方法，通過模擬攻擊實驗，對軟體缺陷及網絡攻擊之間的關係進行挖掘建立特徵缺陷序列庫，然後通過分析掃描目標軟 件原始碼中的缺陷序列，與挖掘得到的特徵缺陷序列庫記錄進行匹配，進 而發出攻擊預警。


圖1是本發明的較佳實施例結構圖2是利用缺陷植入技術建立特徵缺陷序列庫流程圖3是檢測目標軟體缺陷漏洞流程圖4是攻擊預警流程圖。
下面結合附圖和實例對本發明做進一步說明。
具體實施例方式
參見圖1，依照本發明的技術方案，該系統至少包括缺陷檢測子系 統；特徵缺陷序列庫子系統，採用缺陷植入方法，通過模擬攻擊實驗挖掘 缺陷類型相關聯的攻擊模式；攻擊預警判定子系統，將掃描出的缺陷類型 與特徵缺陷序列庫中記錄匹配，輸出匹配成功的缺陷類型和潛在攻擊模 式。其中，特徵缺陷序列庫子系統與攻擊預警判斷子系統相連，缺陷檢測 子系統與攻擊預警判斷子系統相連。
參照圖2，首先進行步驟101，目前已知軟體缺陷漏洞個數為M，所有 漏洞構成初始集合，常用網絡攻擊方法個數為N，並初始化缺陷序列長度 初始值為L二l，初始化特徵缺陷序列庫為空，然後進行步驟102，判斷序 列長度是否大於缺陷漏洞集合中的元素個數即L〉M，如果是，則建立過程 結束，否則進行步驟103，缺陷序列個數為T=CM、缺陷序列記為St， t二l,2，…，T，然後進行步驟104及步驟105，令t:l， i二l;步驟106，將 缺陷序列St植入軟體並利用第i個網絡攻擊方法Attacki對軟體進行攻擊；步驟107判定攻擊是否成功，如果成功，則進行步驟109，將缺陷序 列St及對應的網絡攻擊Attacki記錄寫入特徵缺陷序列庫，如果攻擊不成 功，那麼利用下一個網絡攻擊方法，即步驟108，對該序列進行攻擊，直 到攻擊方法均進行完為止(步驟110即i〉N)，然後對下個一缺陷序列進行 相同操作(步驟lll)，直到長度為L的所有序列均受攻擊完畢(步驟112 即t>T)，最後，進行步驟113，在缺陷漏洞集合中刪除特徵缺陷序列庫 中新增的缺陷元素個數共m個，更新NHHn，l^L+l，繼續進行步驟102， 直到建立過程結束。
參照圖3，首先進行步驟210，缺陷系統加載軟體源程序，開始進行缺 陷掃描與分析。然後進行步驟220，將軟體源程序送入語義分析系統，遍 歷語法分析器生成的抽象語法樹(Abstract Syntax Tree ， AST),分析 解釋語法結構樹的結點，將其標識為易於數據流分析的中間代碼。然後進 行步驟230，通過數據流分析描述出程序的數據流圖，根據缺陷生成器產 生的規則範式發現異常數據依賴關係，並且標記出這些異常，再然後進行 步驟240，通過控制流分析己被標記過的數據依賴關係圖，準確地跟蹤程 序塊運行的先後順序，缺陷根據規則庫的規則限制來發現不適當的代碼結 構，形成目標代碼文件(target file),然後進行步驟250，缺陷系統加載 軟體漏洞規則庫，漏洞規則庫主要包括缺陷特徵抽取和規則生成器兩部 分，軟體開發者加載使用預定義的規則庫文件(vulnerability role file),也可以添加新的缺陷特徵，通過規則生成器(role generator)形 成新的規則達到更新規則庫的目的，具有很好的擴展性和適用性。最後進 行步驟260，比較目標代碼文件和規則庫文件的內容，如果目標代碼文件 與規則庫中缺陷內容一致，則說明源程序存在這種類型的缺陷，逐一進行以上文件匹配，直到査出全部的缺陷。
參照圖4，攻擊預警判定首先進行步驟301，步驟210-260過程檢測 到目標軟體的缺陷漏洞個數為K，初始化缺陷序列長度初始值為L=l，然 後進行步驟302，判定序列長度L是否大於漏洞個數K，如果是，則判定 過程結束，如果否，則進行步驟303，缺陷序列個數為G二G"缺陷序列記 為Sg， g^，2，…，G;步驟304令g^，步驟305將Sg與特徵序列庫中缺 陷長度為L的所有特徵序列進行比對，如果比對成功，則進行步驟307， 將與Sg比對成功的特徵缺陷序列寫入輸出緩衝並進行下個序列的比對過 程(步驟308),如果比對不成功，則直接跳入下個序列的比對過程(步驟 308)，直到所有長度為L的序列均比對完成，此時將新增輸出緩衝區中的 缺陷從目標軟體漏洞集中刪除，並更新K^K-n，L二L+l，重新轉入步驟302， 直至所有攻擊預警判斷結束。
本發明抽取軟體缺陷特徵，挖掘缺陷特徵與攻擊模式的關聯關係，建 立特徵缺陷序列庫子系統，通過缺陷檢測子系統檢測出軟體漏洞和缺陷， 然後將掃描出的缺陷類型與特徵缺陷序列庫中記錄匹配，發出攻擊預警信 號。本發明綜合了軟體缺陷檢測和入侵攻擊檢測的優點，既檢測出軟體源 程序中的缺陷，同時採用錯誤注入的方法挖掘缺陷和攻擊模式間的關係， 達到了入侵檢測的檢査效果，同時基於規則的特徵缺陷序列庫也具備良好 的擴展性，表現出了現實應用價值。本發明首先通過基於規則的靜態軟體 缺陷檢測系統掃描軟體的安全漏洞，然後將掃描出的缺陷類型送入攻擊預 警判定子系統，與特徵缺陷序列庫的記錄進行匹配，最後將匹配成功的潛 在攻擊方式發出預警信號，對軟體系統進行風險評價。
權利要求
1、一種基於軟體缺陷及網絡攻擊關係挖掘的攻擊預警方法，其特徵在於，包括對基於規則的軟體缺陷進行靜態分析和檢測的缺陷檢測子系統；利用缺陷植入技術對缺陷序列和網絡攻擊的關係進行挖掘並記錄的特徵缺陷序列庫子系統；將檢測出的目標軟體的缺陷漏洞和特徵缺陷序列庫中的記錄相匹配，發出攻擊預警報告的攻擊預警判定子系統；其攻擊預警過程如下1)首先利用缺陷檢測子系統掃描軟體漏洞和缺陷，並且記錄掃描結果，輸出缺陷號和缺陷名稱以及簡單的描述，以供特徵缺陷序列庫子系統匹配；2)利用缺陷植入技術構建特徵缺陷序列庫，特徵缺陷序列庫支持多維匹配；3)然後將掃描的缺陷文件送入攻擊預警判定子系統，與特徵缺陷序列庫中的記錄進行匹配；4)如果掃描出的缺陷類型在預警判定子系統中單維匹配成功，則通過攻擊預警判定子系統輸出軟體的缺陷信息，及該缺陷對應的潛在攻擊模式，否則說明單個缺陷出現不會引起攻擊，繼續進行多維匹配。
2、 如權利要求1所述的基於軟體缺陷及網絡攻擊關係挖掘的攻擊預 警方法，其特徵在於所說的特徵缺陷序列庫子系統抽取軟體缺陷特徵， 採用了缺陷植入的方法，通過攻擊模擬實驗挖掘缺陷特徵與攻擊模式的關聯關係，每條記錄包含缺陷序列和對應的網絡攻擊兩部分，構建出特徵缺 陷序列庫。
3、 如權利要求1所述的基於軟體缺陷及網絡攻擊關係挖掘的攻擊預警方法，其特徵在於所說的基於規則的缺陷檢測子系統和攻擊預警判子定系統協同工作，兩個子系統都是基於美國缺陷標準工業庫(Common Weakness En醒eratiorO設計，並實現數據交互。
4. 如權利要求1所述的基於軟體缺陷及網絡攻擊關係挖掘的攻擊預 警方法，其特徵在於所說的攻擊預警判定子系統，支持特徵缺陷序列庫 多維匹配，即可以發現多個缺陷特徵同時存在時對應的攻擊模式。
全文摘要
本發明提供一種基於軟體缺陷及網絡攻擊關係挖掘的攻擊預警方法，包括缺陷檢測子系統，對基於規則的軟體缺陷進行靜態分析和檢測；特徵缺陷序列庫子系統，利用缺陷植入技術進行挖掘並記錄缺陷序列和網絡攻擊的關係；攻擊預警判定子系統，將檢測出的目標軟體的缺陷漏洞和特徵缺陷序列庫中的記錄相匹配，發出攻擊預警報告。
文檔編號G06F21/02GK101442412SQ20081023268
公開日2009年5月27日 申請日期2008年12月18日 優先權日2008年12月18日
發明者宋擒豹, 田若思, 龍 趙 申請人:西安交通大學