自主網絡系統的安全脆弱性評價和分析

■ 南京審計大學金審學院 王海濤

陸軍工程大學指揮控制工程學院 宋麗華

江蘇經貿職業技術學院智能工程學院 彭志專

編者按：自主網絡管理在極大提高網絡管理效率的同時，也帶來了新的安全問題。本文簡要說明了自主網絡管理的基本特征和網絡架構，介紹了脆弱性管理的概念和一般過程，并詳細闡述了脆弱性管理的三項核心技術，即脆弱性發現、脆弱性描述和脆弱性檢測技術。

網絡規模的發展和網絡服務的日益豐富極大增加了網絡管理的復雜性和艱巨性，迫切需要某種有效的技術手段來緩解網絡管理人員的負擔。業界已提出包括軟件代理、主動網絡和策略管理等技術手段，提高了對網絡的管理和控制能力。但是這些管理手段仍是反應式的，不能適應業務目標或用戶需求的動態變化。

針對這種情況，基于自主計算模式的自主網絡管理技術（ANM）應運而生，并在近年來得到普遍關注和研究。自主管理允許將管理操作委派給網絡元素自身來緩解網絡管理的負擔，管理員只需指定高層管理目標而不需關注具體管理操作細節。也就是說，ANM 系統的目標是在不需要人為干預（或最小化人為干預）情況下以獨立和自治的方式預測、診斷和解決網絡中出現的各種問題，并能適應網絡規模結構和用戶服務需求的動態變化。

然而，自主網絡面臨大量各種各樣的安全威脅，網絡脆弱性管理和評價是確保網絡安全的重要手段之一。

基本特征和網絡架構

自主網絡具有一系列鮮明的自主管理特征，主要體現在四個方面：自配置提供了自動配置網絡組件和服務以簡化網絡操作的方式；自優化根據系統管理規律通過主動檢測和調整網絡參數以優化網絡服務性能；自愈可以自動檢測、診斷和修復網絡中存在的軟硬件故障；自保護提供了識別和防御潛在網絡威脅和攻擊的行動和方法。

自主網絡實體以閉環的形式控制網絡系統的動態行為，涉及網絡環境的外部輸入激勵和網絡自身的內部反饋調節。具體來說，自主網絡實體的控制行為通常包括以下步驟：實時監控網絡狀態，分析網絡可用信息，謀劃未來行為，按照特定的高層目標來執行生成的操作計劃。盡管這種自主操作目的是解決高層目標需求，但具體實現比較復雜并且面臨諸多難題。

此外，自主實體在根據高層應用目標執行一系列操作時不可避免地會帶來網絡脆弱性和安全隱患，如自配置和自優化由于片面追求網絡性能執行的某些操作而給網絡攻擊者帶來可乘之機。為此，自主網絡和系統迫切需要一種網絡脆弱性評價和安全管理機制。

自主網絡中的脆弱性管理是需要考慮的核心問題并且不限于自配置、自優化、自愈和自保護操作。自主網絡中的脆弱性管理隸屬和服務于自主管理操作，通過一個閉環控制來評價和修復自主管理活動產生的各種脆弱性狀態，從而最大限度確保網絡安全。脆弱性評價和管理可以分解為脆弱性發現、脆弱性描述和脆弱性檢測三類活動，并將其嵌入到自主網絡管理的常規操作中。

脆弱性管理

自主管理操作在追求網絡優化目標的同時可能會帶來各種意想不到的脆弱性問題，如造成網絡不穩定、服務不可用和信息泄密等。脆弱性管理包括脆弱性評價和脆弱性恢復。本文關注脆弱性評價工作，包括脆弱性發現、描述和檢測過程。

圖1 脆弱性管理的周期性活動

關于系統脆弱性的研究早已有之，并廣泛存在多個領域。例如，在軍事應用領域，脆弱性通常指系統不能抵抗敵方生成的惡劣環境的程度。在信息技術領域，脆弱性是始終存在的客觀事實，如系統威脅和信息安全問題，并且隨著信息系統的應用普及此類問題層出不窮。為此，脆弱性管理也成了信息系統不可或缺的一項關鍵任務，并且研制開發了許多相關系統。例如，通用脆弱性揭示系統用于識別所有已知的系統脆弱性，安全內容自動化協議（SCAP）可以自動執行脆弱性管理活動。

隨著自主計算的發展，我們希望將脆弱性管理集成到自主網絡管理整理中。從自主計算的演化發展路徑看，脆弱性管理的核心在于基于高層安全管理目標通過感知和收集網絡狀態信息來發現和檢測可能存在的脆弱點并采取適應性行動。為了檢測脆弱點，需要為系統定義一組指明系統期望的正常操作和安全狀態的策略規范，然后根據系統既定策略和目標，將脆弱性管理過程涉及的活動映射為自主網絡管理中的相關一系列操作，如圖1 所示。自主管理器包括要活動階段構成一個閉環循環過程，即監測/感知、分析、學習、規劃/ 決策和執行。自主管理器對被管對象提供資源管理接口，對管理用戶提供自主管理接口，可將自主管理器視為被管設備和上層用戶之間的管理中間件。

從圖1 中不難看出，脆弱性評價階段需要利用可用的安全知識來發現安全問題并進行分類，隨后的脆弱性修復階段需要根據預定的策略調整和執行計劃來盡量修復網絡脆弱點并將網絡恢復到安全狀態。自主網絡管理使管理員只需制定合理的高層策略和目標，而將底層的管理操作細節交給自主管理器執行。但是，必須考慮和評估自主管理操作對網絡安全性帶來的影響。例如，針對性能優化的自主操作很可能會犧牲系統安全性能。

為此，需要考慮采取一些能夠解決目標沖突或降低自主管理操作影響的措施和機制。但是迄今為止，很多配置管理關注確保配置的正確性和對服務的影響，而很少有研究工作真正涉及自主網絡或系統的脆弱性管理問題。因此，今后的自主管理必須在設計實現時考慮集成脆弱性影響評估和脆弱性修復操作。

網絡管理的復雜性與關鍵業務的性能緊密相關，在盡量降低網絡管理投入的成本的基礎上平衡網絡服務性能和安全性?，F有的許多工作常使用包括貝葉斯網絡在內的推理方法來分析設計要素和行為決策之間的關系，并評估分析設計更改造成的安全風險和影響。然后，可以利用分析評價結果來決策實施合理的配置更改行為和風險修復操作，以便平衡應用性能和安全風險。增加系統脆弱性評估和診斷對于自主系統管理是非常重要的環節。例如，基于多代理的系統脆弱性檢測機制可以為系統提供大量的相關安全威脅和系統漏洞信息，并基于系統脆弱性歷史記錄預測其今后的趨勢，以便自主安全管理機制及時采取應對措施。

如前所述，脆弱性評價和管理可以分解為脆弱性發現、脆弱性描述和脆弱性檢測三類活動，具體內容將在下面逐一說明。

脆弱性發現

洞悉整個系統所有潛在的脆弱性是脆弱性發現希望達到的目標，為此需要開發和研究了解和發現脆弱性的工具和方法，這對于保護自主網絡系統也是至關重要的。從更大的安全生態系統而言，系統安全性不僅涉及系統脆弱性和安全缺陷發現，而且還要考慮系統中的各類人員的行為和動機。此外，現有的很多方法各自為政，沒有納入自主網絡管理的統一框架下，也缺少足夠的自適應性和擴展性。本節主要概述當前一些常用的有潛力的脆弱性發現技術和手段。

1.基于測試的脆弱性發現方法

基于測試的脆弱性發現方法非常適合于發現未知的系統脆弱性。舉例來說，軟件應用開發人員追求軟件功能和可用性，而軟件測試人員需要對開發的軟件進行全面測試來確保其正確性、完整性和健壯性。測試包括白箱測試、黑箱測試和灰箱測試：白箱測試允許測試人員訪問待測軟件的內部結構、算法和代碼，如靜態分析；黑箱測試則不向測試人員提供軟件內部實現的信息，如動態分析和性能測試；灰箱測試綜合了上述兩種測試的特點，在了解部分軟件內部信息的基礎上安裝黑箱方式進行測試，如內部數據庫測試。

盡管傳統的測試技術能夠發現眾多軟件問題，但是測試者一般關注軟件的功能正確性而不是安全可靠性。常規的測試輸入難以發現隱藏的未知脆弱性，為此可以采用基于隨機輸入并利用攻擊特性的模糊測試技術，通過向目標軟件產生異常不規則輸入并評測軟件行為來俘獲潛在安全缺陷。由于測試輸入空間巨大難以窮舉，因此模糊測試常采用兩種方法，即數據生成和數據變異。此外，考慮到自主系統受高層策略控制，也可將測試方法嵌入到自主管理框架以便自動檢測系統狀態是否滿足預定義的策略。

2.網絡取證方法

網絡取證通常指歸檔所有網絡流量并對其進行特定分析已評價網絡活動的過程。網絡取證隸屬于數字取證技術，數字取證過程涉及多個階段，包括證據識別、保存、收集、檢查、分析和展示。盡管網絡取證目前主要用于傳統的計算機系統安全領域，但是也可以很好集成到自主網絡管理體系中并發揮重要作用。相比于先驗式的測試放方法，網絡取證方法屬于反應式方法。衡量網絡取證技術的指標包括：有效性、證據一致性、完整性、可跟蹤性和可重現性。為了提高網絡取證的效果，可以綜合多種可用的取證工具。

3.基于經驗的方法

充分利用以往的系統經驗和歷史數據可以增強發現和應對新安全問題的能力。例如，基于案例的推理（CBR）是一種非常有效的檢測未知脆弱性的方法，利用針對原有問題的解決方案在調整改造后用于當前出現的類似問題。同樣，在自主網絡中也可以利用CBR 方法來支持網絡自配置。此外，自主網絡可以充分利用這種已有的經驗知識來輔助自主管理。

脆弱性描述

無論采用何種脆弱性發現技術和手段，都需要一種標準的機器可理解的脆弱性描述方法，以便將這些技術手段集成到自主網絡管理框架中。此外，在發現系統脆弱性缺陷到通知系統管理員或自主管理引擎再到采取適當的行動來修復脆弱性期間，可能會出現新的安全隱患。

因此，有必要構建一種健壯和一致的機制來描述、分析、檢測脆弱性并及時傳遞相關信息。針對這一問題，MITRE 公司開發了通用脆弱性和安全漏洞詞典，這是一種標準化已知信息安全隱患和漏洞的積極嘗試，針對每種發現的安全隱患給予唯一的標識和基于自然語言的描述。CVE 詞典可以增強自主系統的安全意識，但CVE 只是簡單的標記安全隱患的存在，而不能做出有效的安全評估。最近幾年，基于脆弱性簽名的脆弱性分析技術廣泛用于入侵檢測和入侵防御系統，通過分析業務流量來檢測特定的流量模式和潛在的攻擊。但是，這種基于簽名的脆弱性分析方法和告警信息交互機制都還缺少成熟的標準。同時，各安全機構和企業開發的脆弱性描述語言缺乏兼容性和互操作性。

值得欣慰的是，目前有關機構正在開發語言試圖標準化脆弱性描述的通用語言，如VulnXML、ADV.L 和OVAL。OVAL 目前已逐漸發展成為一種脆弱性描述的事實標準，OVAL 基于XML 開發，將脆弱性視為可以在目標系統上觀察到的相關條件的邏輯組合。此外，以OVAL 為范本，NIST 正在開發安全內容自動化協議（SCAP）?？梢灶A見，今后將標準化的脆弱性描述語言集成到自主網絡中必將大大增強網絡的脆弱性意識和安全管理能力。

脆弱性檢測

一旦發現和描述了脆弱性，檢測脆弱性的機制無疑成為自主網絡和系統的一項核心技術。當執行脆弱性檢測和評估活動中，應充分利用來自不同渠道提供的安全隱患信息。

1.設備脆弱性檢測

對設備脆弱性進行評估需要調查可能導致設備遭受攻擊的特定狀態和條件。盡管如網絡掃描這樣的黑箱技術可以在不了解設備內部細節的情況下提供有用的信息，但是灰箱技術通過訪問設備內部狀態可以更準確的對設備脆弱性進行檢查。例如，以上提到的基于OVAL 語言可以對系統脆弱性進行描述和評價，并且可看作是一種灰箱技術。OVAL 脆弱性描述和評價過程的主要步驟包括：制定配置策略，將策略編碼為OVAL 定義，收集數據，OVAL 分析，以及OVAL 結果報告。當前，業界也基于OVAL語言開發了一些簡易、可靠和健壯的脆弱性檢測工具，如基于C 內核的Ovaldi 和基于Java 內核的XOvaldi。XOvaldi 是一種輕量級的脆弱性檢測機制，非常適用于移動設備。

2.網絡脆弱性檢測

網絡脆弱性檢測和設備脆弱性檢測的一種擴展，需要對網絡中的多個相關聯的設備及其上運行的服務進行掃描，以便檢測各種可能的脆弱點。當前，常用的網絡掃描工具包括端口掃描器、漏洞掃描器和Web 應用掃描器，如Nmap、Nessus、OpenVAS 和SAINT 等。這些掃描器通過分析設備的響應來了解特定的端口、服務和應用是否激活并且是否有異常，進而檢測系統安全漏洞和缺陷。另外，業界還開發了許多用于網絡脆弱性和分析和預測的推理引擎和工具，如基于邏輯推理的網絡安全分析器MulVAL。與設備脆弱性檢測機制各自為政不同，多臺單個設備安全可靠并不代表包含多個設備的網絡不存在安全威脅，因為多個網絡設備的組合可能帶來意想不到的存在于分布式系統中的安全隱患。因此，網絡脆弱性檢測和評價必須在高層策略的統一指導下有效綜合多種網絡脆弱性掃描和分析工具，以便從整體上檢測和評價網絡脆弱性。最后，自主網絡管理引擎可以根據脆弱性分析和評價結果做出適當的脆弱性修復決策。

脆弱性表示可能被攻擊者利用的系統缺陷或安全問題，攻擊圖描述攻擊者為達到入侵系統的企圖所執行一系列活動和步驟。前者關注系統的狀態，后者專注攻擊者的行為。通過將脆弱性檢測中獲得的信息與現有的攻擊圖相關聯，可以了解攻擊者如何在入侵過程中利用存在的系統脆弱性，特別是自主網絡元素的脆弱性，進而增強自主系統抵御潛在威脅的能力。例如，可以根據了解的系統脆弱點和攻擊路徑來構建自主診斷機制。與傳統的在特定端口上監聽客戶請求的網絡服務不同，自主網絡元素需要動態通過傳感器和激勵器與網絡環境交互來提供服務。

上述攻擊圖針對攻擊行為進行分析，但是無法對攻擊的概率進行定量評價。為此，有些研究工作考慮根據獲得的系統脆弱性和攻擊歷史數據來定量評估系統的安全風險，進而指導系統的策略配置和自主操作行為。

結語

盡管自主網絡管理有著很大的吸引力和美好前景，但在當前的網絡管理系統中實現自治性面臨巨大的技術挑戰。例如，如何設計有效的脆弱性評價模型，如何高效地將傳統的網絡脆弱性發現、描述和檢測機制有機地融入自主網絡管理的統一框架中，如何分布式地協調脆弱性管理的各種活動來優化網絡服務性能。自主網絡管理是未來網絡管理的發展趨勢之一，必將引起學術界和產業界的重視，從而更好推動該領域的研發工作。