基于OVAL的漏洞检测及修复服务的研究与实现

研究背景：

黑客利用网络普及性和开放性的特点，使普通用户安全受到威胁。据国家互联网应急中心发布的《中国互联网网络安全》报告显示，08年上半年我国各族网络安全事件的发生数量与历年同期相比均有较大幅度增长。报告同时指出软件的安全漏洞是各种安全威胁的主要根源，正是系统中大量漏洞的存在，越来越多的网络攻击都针对系统或应用软件的漏洞进行攻击。

目前状况分析及概况：

虽然目前国内的漏洞检测及修复系统的相关研究取得了一定的成果，但相较于国际水平还有差距，特别是产品化方面，产品功能较为单一，并且兼容性和互操作性很差。国外虽然挺完善的，但在国内网络环境的应用还具有一定的局限性。

---

漏洞相关技术：

漏洞成因：1.访问验证错误，2.输入验证性错误，3.环境错误，4.配置错误，5.异常处理错误，6.缓冲区溢出

漏洞检测的2种方法及其原理：

1.基于网络：利用服务端发出网络数据包，以主机接收到数据包的响应信息与漏洞定义库中内容进行匹配作为判断的标准，从而了解主机的OS，服务以及各种应用程序的漏洞。基于网络的漏洞检测技术可以对用户系统中开放的端口和提供的服务进行检测，其主要用于检测网络服务和协议中的漏洞。优点是：检测过程不需要在目标主机安装任何程序；维护简单。缺点是：服务端与目标主机之间通信的安全性较低；无法全面检测目标主机的文件系统漏洞；防火墙可能对检测进行拦截

2.基于主机的漏洞检测技术：针对操作系统内部问题进行更深入的检测，弥补了基于网络的检测工具只从外部通过网络检查系统安全漏洞的不足，可以检测到更多的OS漏洞。基于主机的~一般采取C/S结构，使用一个统一管理的控制台和安装在各OS的代理端，然后由控制台下达检测命令给代理端进行检测，代理端完成检测任务再将结果返回到控制台，最后由控制台向用户呈现漏洞检测结果。优点：由于可访问系统所有文件，所以检测的漏洞数量多精度高；检测过程不需要构造网络数据包，因此对网络的负载比较小；控制台和代理端之间的通信可以加密，使得系统管理和部署较为方便。缺点：需要在用户系统安装软件程序；检测过程对漏洞定义库的要求较高。

由此得到：目前的漏洞检测工具虽然有巴拉巴拉的优点但是缺乏统一标准对这些检测技术进行规范，使得他们的功能和使用范围都有局限性。

针对这些问题，MITRE（一个网络安全组织）发布新的漏洞检测标准：OVAL，OVAL是一种用来定义检查项、脆弱点等技术细节的一种描述语言。。优点：使用该标准开发的检测工具不用在网络中传输大量数据；不需要开发攻击代码；对目标系统影响小，可扩展性强，使用操作简便。

---

OVAL规范：标准化了评估过程的3个主要步骤：

1.收集检测系统的各种配置信息；

2.分析系统的特定状态，确定安全漏洞；

3.以OVAL规定的格式输出漏洞检测结果。

OVAL以XML格式描述，包含如下几种XML格式（Schema）：OVAL定义格式（OVAL Definition Schema），OVAL系统特性格式（OVAL System Characteristics Schema）与OVAL结果格式（OVAL Result Schema）。OVAL系统特性格式用于描述系统信息快照，该快照可用于和OVAL定义文件进行匹配以得出评估结果，OVAL结果格式用于描述评估结果。

OVAL评估结构

基于OVAL的漏洞检测及修复系统的功能设计

系统设计目标：

及时、正确、简单、可靠、标准

系统总体设计：

采用基于主机的被动式漏洞检测方法实现对计算机系统的检测

采用C/S模式进行设计（能充分利用客户端计算机的资源，将很多本地任务完成后再提交给服务器）

漏洞检测及修复系统的网络部署结构

漏洞检测及修复系统分为2部分：漏洞检测及修复系统服务端程序和漏洞检测及修复系统客户端程序。从图中看出，系统服务器负责更新漏洞及补丁的相关信息，同时向一定数量的客户端代理提供检测及修复服务。

系统功能结构：

客户端代理主要实现了系统信息收集以及具体的漏洞检测与补丁安装功能。

系统服务器关键问题研究：

客户端代理登录管理：因为传统的用户名密码登录比对数据库中的用户表存在一些问题，诸如存在大量用户要更改密码时系统开销过大；某一用户长时间不登录但是需要为其维护用户信息，这样使得用户信息表越来越庞大。。。这样就不优秀。