基于层次模型的浏览器漏洞精确分类挖掘方案

温 妍

(大同市公安消防支队 开发区消防大队，山西 大同 037000)



基于层次模型的浏览器漏洞精确分类挖掘方案

温 妍

(大同市公安消防支队 开发区消防大队，山西 大同 037000)

深入分析浏览器安全漏洞的形成原因及利用效果，结合层次分类模型，设计了一种架构于APH模型的浏览器安全漏洞分类方法.该方法由漏洞成因与攻击效果两个维度来分类浏览器的安全漏洞，还将分类结果和CNNVD分类方法的分类结果作了对比分析.研究结果表明，文中的分类方法具备更广的适用范围.

安全漏洞；层次模型；浏览器；两个维度

近年来，网络覆盖面逐渐增加，浏览器已发展成我们平时对Internet进行访问过程中最常用的一个工具，其在很大程度上关系着广大用户的切身利益，所以浏览器安全已经成为业界高度重视的一个问题；伴随其代码规模的逐渐提高，所反映出的不足同样在逐渐增加.因此，对其安全漏洞加以分类，在此基础上适当地区分各种漏洞，具有非常重要的意义，使人们能够充分掌握其特点，同时还可以为做好防护工作提供指导和借鉴.

自20世纪70年代RISOS(Research Into Secure Operating System)项目[1]起，理论领域一直在探讨漏洞分类这一个课题，先后推出Landwehr[2]、Aslam[3]、Bishop[4]等一系列非常具有代表性的漏洞分类技术.此处，我们主要分析了中国国家信息安全漏洞库CNNVD(China National Vulnerability Database of Information Security)与漏洞信息库CEV(Comom Vulnerability and Exposures)的具体划分技术及其主要特征，在此基础上，充分兼顾到浏览器漏洞的主要特点，阐明了基于层次分类法AHP(Analytic Hierarchy Process)结构的分类法.

1 分类方法

1.1 CEV安全漏洞库

到2014年元旦为止，这一个列表[5]之中共收录漏洞条目60 718项，在此基础上，将它们分成XSS、SQL-Inject、buffer overflow、informatoinleak、menory leak、spoof、design error、double free等37种，在此不再一一赘述.

设S1与S2为2个类型的漏洞，在这种情况下对两者进行分类必须满足下列基本规则[6]：第一，若S1与S2两者的属性特征存在着差异，在这种情况下，我们将两者归入异类之中；若已知其中1个的属性特征，在这种情况下将两者归入异类之中；若两者的属性特征均为未知，在这种情况下就对两者同等对待；第二，若S1与S2两者具有相同的属性特征，然而两者的存在范围不同，在这种情况下则将两者归入异类之中；第三，若S1与S2两者具有相同的属性特征，同时两者具有相同的存在范围，在这种情况下则将两者归入同类之中；第四，若S1与S2通过相同的核心代码引起，然而两者所属的软件类型不同，在这种情况下需要参考它们的核心代码进行划分.

CEV安全组织将在其中收录的每一漏洞进行编号、命名，在此基础上通过标准化的方式来进行表示，且根据上述4个规则将它们归入各类之中，为业界相关人士开展安全工作提供指导和借鉴，使他们的效率明显提升.然而，这一个方法还存在着一定的不足之处，其参考的属性特征相对繁杂，同时并未对它们加以归纳，除此之外，还具有相对较低的完备性，现实之中的许多漏洞并无法通过该技术来划分.

注：其他类别包括信息泄露、设计错误、格式化字符串等其他一些漏洞类别.图1 CNNVD漏洞分类统计

1.2 CNNVD安全漏洞库

CNNVD安全漏洞库[7]通常将漏洞划分成SQL注入、缓冲区溢出等诸多种类，具体来说，该技术一般参考漏洞的产生根源或其具体的攻击作用来进行.

CNNVD对各种安全漏洞加以划分，在此基础上还指出了它们的具体描述以及补丁信息，能够为相关人员分析漏洞、评估软件的风险状况创造有利条件，同时还能够确保系统的安全.然而，CNNVD技术具有一定的缺点，其尚未达到完备状态，其中超过五分之一的漏洞无法通过该技术加以划分，具体见图1.不仅如此，其必须通过多层面来描述漏洞，鉴于这个方面的原因，从多个层面来划分同样是非常重要的事情.尽管CNNVD兼顾到其成因与攻击效果等，然而实际划分过程中并未进行区分.例如“CNNVD-201309-304”，从其成因方进行分析，其属于资源管理错误型，然而从其具体的利用效果进行分析，其属于信息泄露型，需要注意的问题是，CNNVD只是将其划分成第一种类型.

2 架构于AHP模型的浏览器安全漏洞分类方法

2.1 层次分类模型

我们知道，产生浏览器安全漏洞的具体根由非常繁杂，另一方面，利用效果同样存在着一定的差异，所以怎样最大限度地科学划分其类型，具有很大的难度.对漏洞进行划分旨在为业界人士进行深入探讨提供参考依据.基于此，在分类过程中应当最大限度地分析漏洞的属性特征，所以应根据其各种属性特征，从各个维度来加以分类，设计相应的分类方法.

AHP是专门对相对繁琐与不明确的问题进行决策的手段，具体来说，其一般在分析决策方面应用，用来处理许多无法定量研究的问题.通过AHP模型，对各个层次通过各种属性特征来进行划分，构建浏览器安全漏洞的AHP模型.通过该方式进行分类，不仅能够通过划分结果非常清晰地弄清楚漏洞的不同属性特征，还能够为业界人士通过该技术来研究浏览器安全提供有力条件[8].就某个浏览器漏洞来说，依次从其具体成因与攻击效果对其实施分析，这样能够非常明确地反映上述2个属性特征(具体见图2).

图2 浏览器安全漏洞层次分类模型

2.2 漏洞分类的结果

图2依次从其具体成因与攻击效果对其实施分析，这样能够非常明确地反映上述2个属性特征.接下来我们对分类结果加以描述.

2.2.1 基于成因的漏洞分类

按照其形成的具体原因，从相对抽象的层次上将其划分成访问码、输入验证错误等诸多种，另一方面，从相对偏低的层次进行划分，能够将上述几种划分成更多类型.具体如下所示.

(1)缓冲区溢出漏洞

如果程序想要写入某缓冲区比其大的数据，在这种情况下将发生缓冲区溢出，形成该种漏洞.在代码层面上，一般情况下该种主要划分为以下2种类型，其一为程序与编程者提前的假设相违背，其二为程序之中引入危险函数(包括strcpy()等)，它们并未对所输入数据实施边界检查.该种漏洞具有非常大的危害，能够造成内存里面其余的信息被覆盖、程序崩溃等后果.

(2)代码注入漏洞

所谓代码注入，即在应用程序不可预知的条件下，通过某技术将攻击者的代码引入许多应用程序里面，通过这种方式来改变其进程或结果.该种漏洞将造成用户数据外泄，保密数据丢失，有时候还能够使黑客控制机器，具体来说，其中主要有SQL注入漏洞等.比如，在用户请求中插进“〈script〉alert(’XSS’);〈/script〉”的时候(http://testapp.com/test.php?input=〈script〉alert(’XSS’);〈/Script〉)，在这种情况下，若目标WebServer没有对请求进行相应的加工则返回页面，这样当浏览器解析返回结果的时候，会将“〈script〉alert(’XSS’);〈/Script〉”视为脚本命令，然后对其进行执行，也就是将有警告的对话框弹出，另一方面，若插入的为恶意代码，那么后者就会被执行，于是或许将造成数据外泄的安全事故.

(3)访问控制绕过漏洞

为避免一些信息受到非法访问，并且为能够充分确保合法者的正当权限，通常情况下，系统往往均具有自身的访问控制策略.然而，如果其设计具有能够被使用的逻辑错误，在这种情况下，或许将会被非法使用，将相应的策略绕过.该种类型的漏洞可以造成非法者的权限增加，使其能够访问或私自窃取那些受保护信息.不仅如此，其所造成的后果并非单纯停留在自身方面，而且可以使相关漏洞的危害明显提高.

(4)释放后使用漏洞

当系统对那些释放的内存进行引用的时候，则将发生该种漏洞.如果程序对那些释放的内存进行使用，有时内存或许已被分配至其他的指针，这样如果重新对其使用，因数据信息早就发生了变化，正是这个方面的原因，或许将对合法内存产生危害.不仅如此，一定条件下，例如空间较小而不能对输入数据进行处理的时候，浏览器或许将其中的内存(正在使用)释放掉，使得非法者的数据得以进入，这样，如果重新对那些释放的内存进行调用，则将造成执行错误.

(5)路径遍历漏洞

用户利用浏览器向server发起读取请求的时候，一般通过在URL中向server提交的参数来确定该文件名，例如：“http://wwww.xxxxxx.com/getfile=image.jpg”.当server对接收到的image.jpg进行处理后，将为其添加相应的路径，其具体形式如下所示：“d://site/image/image.jpg”，向用户返回读取的信息.然而，若攻击者使用server的上述特性，例如通过“～/”、“/..”等来实现目录跳转回溯，在这种情况下，则能够实现对数据信息的越权访问.孟永党等相关专家学者在研究过程中指出，一种基于AHP模型的分类方法2319或覆盖掉服务器的敏感数据，该种漏洞叫做路径遍历漏洞.

2.2.2 基于攻击效果的漏洞分类

按照利用效果将漏洞划分成以下几种类型，接下来分别进行阐述.

(1)信息泄露漏洞

当调试信息或系统数据经由日志函数或输出流而发生外泄的时候，在这种情况下，将出现该种漏洞.具体来说，系统之中的敏感信息往往利用下列渠道发生外泄：

①攻击者对统计信息进行查询，利用这种方式，能够从中找出许多敏感信息；

②攻击者通过server给予的错误数据，能够在攻击过程中得到敏感信息；

③利用标准数据通道对敏感数据进行传输的过程中，或许将导致后者外泄；

④程序并未将全部异常信息捕获的时候，在这种情况下，调试信息将会发生外泄，黑客将会利用它来进行攻击.

(2)恶意代码执行漏洞

设计工作者在源码编写过程中，并未对其中某些接口实施过滤操作，当用户将执行命令提交给浏览器的时候，将使得后者在并未指定路径的前提下对其执行，这样或许将准许黑客利用改变MYMPATH等方式来执行恶意代码，该种漏洞叫做恶意代码执行漏洞.

(3)拒绝服务漏洞.

通过该种类型的漏洞，攻击者能够进行DOS攻击，通过这种方式来消耗系统的资源，使其逐渐消耗完，最终使程序丧失响应能力或陷入崩溃局面.一般情况下，之所以会发生该种漏洞，往往是由于系统自身存在着一定的不足或没有妥善处理错误.

3 架构于AHP模型的漏洞分类方法显示的效果

为对该种技术的实际应用效果进行评估，我们在此处开展了相应的验证试验.比如，CNNVD-200606-050与CNNVD-200606-051，上述两者属于“Mozilla Firefox”的2个漏洞，接下来我们对两者在CNNVD中与新方法中的分类进行对比分析，具体对比数据见表1.

表1 CNNVD与本文分类方法的分类结果对比

通过表1能够得知，对比来说，本文方法和CNNVD存在着明显的差异，我们的方法依次从成因与效果两方面来划分，该划分模式具有相对突出的优势，能够非常直观地体现漏洞的成因及其所造成的负面作用.不仅如此，对许多漏洞(例如上文中所阐述的“CNNVD-200606-051”)，CNNVD体现出明显的劣势，无法实现细致的划分，此处我们主要从两个方面来对该漏洞实施划分(对“CNNVD-200606-051”，如上表所示，我们依次将其划分成信息泄露与输入验证两种类型).

另一方面，我们还从CNNVD中任选漏洞285个(具体见表2)，然后通过我们提出的方法来加以划分，同时与CNNVD加以比较.通过比较可以看出，对我们选取的285个漏洞，CNNVD无法对其中49个分类，所占份额为17.2%；而我们提出的方法只存在16个无法进行分类，所占份额只有5.6%，后者明显小于前者，所以我们所提出的方法具有相对较高的适用性.

表2 两种分类方法的分类结果比较

4 结语

综上所述，本文阐明了基于AHP模型的浏览器安全漏洞分类方法，主要是从成因与效果两方面来分析.同时，本文还对CNNVD与我们提出的方法进行对比研究.研究结果表明，相对于CNNVD来说，我们提出的新方法具有相对较好的分类效果，因此其实用价值相对较高.

[1] ABBOTT R P,CHIN J S,DONNELLEY J E,et al.Security analysis and enhancements of computer operating system[R].NBSIR 76-1041,Institute for Computer Sciences and Technology,National Bureau of Standards,1976.

[2] LANDWHER C E,BULL A R,MCDERMOTT J P,et al.Ataxonomy of computer program security flaws[J].ACM Computing Surveys,1994,26(3)：211-254.

[3] ASLAM T,KRSUL I,SPAFFORD E.Use of a taxonomy of security [C]∥proc of the 19th NCSC National Information Systems Security Conference,1996：1.

[4] BISHOP M.A taxonomy of Unix system and network vulnerabilities[R].Technical Report 95-10,Davis：Department of Computer Science,University of California,1995.

[5] Commonvulnerabilities and eExposures(CVE)[EB/OL].[2014-04-10].http:∥www.cve.mitre.org/.

[6] CHRISTEY S M.CVE abstraction content decisions：Rationale and application[EB/OL].[2014-04-10].http:∥www.cve.mitre.org/cve/editorial_policies/Cd_abstraction.html#big_four.

[7] China Information Technology Security Evaluation Center.China national vulnerability database of information security [EB/OL].[2014-04-10].http:∥www.cnnvd.org.cn/.

[8] DU Jing-nong,LU Yan-sheng.Taxonomy of web-base dapplication vulner abilities[J].Computer Engineering and Applications,2009,45(25):10-14.

[责任编辑 马云彤]

A Precision Classification and Searching Scheme forBrowser Vulnerabilities Based on Hierarchical Model

WEN Yan

(Development Zone Brunch, Datong Public Security Fire Brigade, Datong 037000, China)

In this paper, the reasons for the formation of the browser security vulnerabilities and the use of the results are analyzed in depth, combined with the hierarchical classification model, a browser vulnerability classification method based on APH model is designed. This method can classify the security vulnerabilities of the browser from two aspects including the cause of the vulnerability and the effect of the attack, and the classification results are compared with the classification results of the CNNVD classification method. The results show that the classification method has a wider range of application.

security vulnerabilities; hierarchical model; browser; two dimensions

1008-5564(2016)04-0039-05

2016-04-27

温 妍(1983—),女，山西大同人，大同市公安消防支队开发区消防大队工程师，主要从事计算机通信与消防研究.

TP393

A