定量和定性相結合的物聯網漏洞分類方法研究*

蘭 昆，朱治丞，張宇光

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

2018年以來，以VPNFilter為代表的物聯網大規模攻擊事件層出不窮，各種物聯網僵尸網絡變種屢出，物聯網漏洞和安全問題日趨嚴重。物聯網系統軟件和硬件異構同源、跨平臺等特點，導致其漏洞分類方法發生新變化，在當前漏洞分類研究中關注較少，是亟需深入研究的新課題。文獻[1]深入分析比較有代表性的Microsoft公司、CVE安全組織和Fortify Software公司的漏洞分類方法；文獻[2]對漏洞分類的研究現狀、漏洞分類模型等進行分析；文獻[3]指出對信息系統漏洞進行分類的基本原則，并對25種漏洞分類方法進行了對比分析；文獻[4]提出了一種基于星型網模型的安全漏洞分類方法，利用星型網的特點，將所有漏洞構造成一個7維數據空間。但是，目前的漏洞分類方法主要集中于計算機和網絡系統，沒有專門針對物聯網漏洞的分類方法，將已有分類方法直接應用于物聯網存在準確性、覆蓋全面性等問題[5]，需要開展深入的物聯網漏洞分類方法研究。本文在深入討論物聯網漏洞特點的基礎上，提出了一種新的物聯網漏洞分類方法——VCECI。該方法從物聯網設備、同源跨平臺漏洞、漏洞的影響效果和漏洞利用復雜度3個維度對物聯網漏洞進行科學分類，采用定量和定性相結合的途徑劃分物聯網漏洞，對物聯網漏洞分類方法的研究和應用具有一定的參考意義。

1 物聯網漏洞分析

1.1 物聯網漏洞簡述

物聯網漏洞是產品自帶或其設計方面存在的弱點，入侵者可以利用該弱點執行惡意指令、訪問未授權數據或實施拒絕服務攻擊等。漏洞可能存在于物聯網系統的不同位置，最明顯的是物聯網系統的軟件和硬件、系統策略和供應鏈以及用戶本身[6]。

1.2 物聯網漏洞特點

消費性和生產性物聯網以及智慧城市的高速發展，推動數百億物聯網設備上線聯網運行。數據和場景的高維多態，設備的隨機和隨需分布，導致物聯網漏洞的復雜性、存在方式和利用方法等將超過傳統互聯網領域。

物聯網系統的硬件和軟件通常都可能存在漏洞。硬件漏洞非常難識別，并且由于硬件兼容性、互操作性以及修復漏洞代價大，已識別出的硬件漏洞很難修復。軟件漏洞可以出現在操作系統、應用軟件、控制軟件、通信協議和設備驅動程序中。開發人員和軟件復雜性等很多因素會導致軟件設計缺陷，不完全理解目標需求，任務開始執行前沒有制定周密的研發計劃，開發者和用戶間缺乏深入溝通，資源、技術和知識缺乏，以及管理和控制系統開發失敗等人為因素，通常會造成技術漏洞。

物聯網系統的漏洞存在遺傳性。由同種因素產生的物聯網軟件或硬件漏洞，往往會通過跨不同操作系統平臺或CPU的編譯操作，以及“寄生”在功能模塊或組件中被第三方開發用戶調用等，導致新開發的產品與生俱來帶有該類型漏洞或者變種。例如，2017年曝光的某國際知名產商調制解調器漏洞，在其系列產品和相關設備均存在同樣屬性的硬編碼后門賬號漏洞，攻擊者可以利用這類性漏洞架設僵尸網絡等，造成了嚴重破壞。

1.3 物聯網漏洞分類面臨的挑戰

從物聯網漏洞挖掘與利用角度分析，對其進行分類主要存在3方面挑戰。

（1）物聯網終端漏洞在受影響實體、類型劃分、存在位置、產生原因、利用方式以及造成危害等方面，具有不確定、不清晰的特征。物聯網產品存在定制化的生產模式，造成同源跨平臺的微差異化漏洞呈幾何倍數增加，導致物聯網漏洞的數量遠遠超過傳統互聯網系統漏洞；

（2）對物聯網設備的硬件驅動程序進行漏洞分析，面臨種類繁多、逆向分析十分耗時費力等問題。特別是一些小型化、低成本物聯網設備的固件提取難以入手，且現有工具對物聯網終端設備固件的支持并不完備，是傳統互聯網漏洞分析方法在物聯網漏洞挖掘方面遇到的挑戰；

（3）傳感器、微型控制器等物聯網裝置的安全防護能力較弱，且極易成為網絡攻擊跳板。但是，此類設備存在的漏洞主要是邏輯型漏洞，軟件實現多以第三方代碼庫跨平臺編譯部署的“拼裝”方式為主，因此對此類漏洞的表述和分類方法需要新的思路。

2 已有漏洞分類方法

2.1 代表性的漏洞分類方法分析

目前，對漏洞的分類在國際上還沒有統一的標準和通用的方法，主流漏洞分類方法主要有以下幾類[7]。

（1）微軟公司的漏洞分類法。依據不同的軟件類型對軟件漏洞做出分類，或者根據軟件自身的漏洞所導致的影響以及漏洞利用方法對軟件漏洞進行分類，通用性差，且存在同一漏洞屬于不同分類方法的重疊情況，并沒有很好地指出軟件漏洞本身的特征和漏洞的運行機制[8]。

（2）CVE（Common Vulnerabilities &Exposures）安全組織的分類方法。CVE建立了一套統一的表述語言和命名流程，為認同度高的信息安全漏洞或者較為明確的弱點給出一個公共名稱，使用一個共同的名字。CVE分類方法目前還沒有形成系統的漏洞分類方法體系，沒有體現漏洞自身的屬性特征。

（3）Fortify Software公司漏洞分類方法。它是以軟件代碼自身的程序輸入、API調用錯誤、安全策略、時間和狀態、錯誤處理、代碼質量、區分以及環境方面存在的缺陷為標準對漏洞進行分類，對專用漏洞分析工具有一定的依賴性。

（4）OWASP（Open Web Application Security Project）開源計劃也提出了針對物聯網漏洞的分類方法。該方法按照用戶名枚舉、弱口令、賬戶鎖定、未加密服務、雙因素身份認證、加密不完善、更新過程未加密、代碼更新位置可寫、拒絕服務、存儲介質可移除、沒有手動更新機制、更新升級機制缺失、固件更新的最新時間不可查、固件和存儲內容可提取、設備的代碼執行流可控、設備管理員權限暴露以及不安全的第三方組件，將物聯網漏洞分為17類[9]，但交叉重疊現象明顯。

此外，國內有些研究機構針對計算機軟件漏洞分類，提出了復雜巨系統理論結合系統工程中定性定量的方法對軟件漏洞進行分類的方法[10]。

2.2 已有漏洞分類方法應用于物聯網漏洞分類的不足

在物聯網漏洞的發現和防護過程中，目前的互聯網漏洞分類方法存在明顯不足。

（1）目前的漏洞分類方法對于物聯網特有的同源跨平臺漏洞涵蓋較弱[11]；

（2）目前公開報道的專門針對物聯網漏洞分類方法的研究很少；

（3）已有典型軟件漏洞分類方法的本質是以商業服務的視角對軟件漏洞做出分類[12]，直接應用于物聯網漏洞分類，較為零散；

（4）常見的分類方法并不能夠表現出物聯網漏洞利用過程中的復雜程度，在漏洞的防治機理和方法上也不能夠給出相應的參考價值；

（5）已有分類方法沒有涵蓋物聯網感知層系統或裝置的新型漏洞，如各類小微傳感器的資源耗盡漏洞[13]、“黑洞”攻擊類漏洞等；

（6）目前的分類方法沒有體現物聯網產品研發過程中的異構多源結合、第三方開源資源復用以及多平臺編譯融合的特點，對物聯網中間件、平臺環境類軟件漏洞屬性表現較弱[14]。

3 物聯網漏洞分類方法——VCECI

3.1 基礎或依據

物聯網設備類型復雜，形態各異，隨處可見。利用同一個平臺或套件進行軟件、硬件的模塊化迭代開發，從而適配不同行業應用的需求，即所謂同源性。這是目前物聯網設備/系統研發較為普遍的模式[15]，因此將導致不同設備的軟/硬件及其存在漏洞的差異化，以及漏洞利用方式的多樣性。此外，物聯網漏洞的影響效果和漏洞利用復雜度具有很強的相關性[16]。

3.2 基于物聯網漏洞的同源性、影響效果和利用復雜度的分類方法——VCECI

根據上述分析，提出物聯網漏洞三維分類方法 ——VCECI（Vulnerability Classification Based on IoT Equipment Name、Consanguine Cross-platform Vulnerability、Influence），從物聯網設備、同源跨平臺漏洞、漏洞的影響效果和漏洞利用復雜度3個維度對物聯網漏洞進行科學分類和標識。VCECI是一種定量和定性相結合的漏洞分類方法，物聯網設備和同源跨平臺漏洞屬于定性方面，而漏洞的影響效果和漏洞利用復雜度從定量角度對物聯網漏洞進行劃分。

3.2.1 VCECI分類方法

VCECI科學分類方法從3個維度對物聯網漏洞進行分類：①根據物聯網產品類型；②根據漏洞的同源跨平臺漏洞屬性；③漏洞的影響效果和漏洞利用復雜度。VCECI科學分類方法如表1所示。

表1 VCECI分類方法

其中，物聯網產品類型漏洞可以包含幾乎已知的物聯網產品；同源跨平臺漏洞分成已知漏洞和未知漏洞兩類，對于已知漏洞強調對同源漏洞在不同平臺上的標識，對于未知漏洞則著重體現同一種未知漏洞源特征在不同平臺上的標識；漏洞的影響效果和利用復雜度則從漏洞利用的方法和可能造成的危害后果進行劃分。

3.2.2 VCECI方法的標識機制

（1）物聯網產品類型漏洞的標識：XXX產品漏洞的方式，如網絡攝像頭漏洞、智能門鎖、智能電視、智能穿戴腕表以及路由器漏洞等；

（2）同源跨平臺漏洞的標識分為兩種：已知漏洞標識形式為漏洞源名稱_平臺名稱，如“OpenSSL_ARM”等；未知漏洞標識形式為未知漏洞特征_平臺名稱，如“OMG CORBA中間件崩潰_MIPS”等，其中平臺名稱特別關注同一漏洞源的跨平臺特性；

（3）漏洞的影響效果和漏洞利用復雜度劃分的漏洞標識：漏洞影響效果|漏洞利用復雜度系數（系數的產生將由數學計算公式計算得出），如DDoS|1。

3.2.3 定性和定量相結合的綜合標識機制

在VCECI方法中，通過漏洞的影響效果和漏洞利用復雜度劃分漏洞的過程，使用了漏洞影響效果結合漏洞利用復雜度系數的定性和定量結合的綜合標識方法，如圖1所示。

圖1 定性和定量相結合的綜合標識機制

這種方法將每一個物聯網漏洞從危害程度和利用難度進行深入分解，極大地降低了以往漏洞分類方法中存在的交叉重復性。其中，定性方法是對物聯網漏洞影響效果的特征性、概括性描述，描述清楚漏洞導致什么后果或危害。漏洞利用復雜度系數屬于定量方法，需要依據數學計算公式計算漏洞利用復雜度系數，是VCECI方法區別于常規分類方法的重點內容。

3.3 物聯網漏洞利用復雜度系數的計算

漏洞利用一直是網絡安全研究人員關注的熱門話題之一。一種新型漏洞利用方式的出現，意味著一種新的安全漏洞的產生。不同的物聯網漏洞對應著不同的漏洞利用方法，其復雜性呈現出很大的差異性，但對于漏洞利用復雜度目前并沒有標準的描述[17]。在本文的研究過程中，著重考察研究方法的可行性，因此對漏洞利用復雜度進行了基本定義。

3.3.1 基本定義

經過對物聯網漏洞進行系統性研究，認為決定物聯網漏洞利用復雜度的影響因子主要有3個方面：漏洞利用步驟、漏洞利用所需資源、編寫漏洞利用代碼。

（1）漏洞利用步驟為S，S為變量，即漏洞利用過程共需要有n步；

（2）漏洞利用所需工具資源為R，R為變量，即漏洞利用過程中需要借助使用的工具（如固件分析工具Binwalk、代碼動態調試工具Ollydbg等）數量；

（3）編寫漏洞利用代碼為D，D為變量。在項目研究的初期階段，為集中開展原理性研究；簡化計算過程暫時定義D為二進制變量，只有兩種狀態：需要編寫漏洞利用代碼則D=1，不需要編寫漏洞利用代碼則D=0，如弱口令漏洞，僅需直接輸入猜中的口令即可完成權限獲取。隨著研究工作的深入，可以把D設置為非二進制變量。

（4）漏洞利用復雜度為函數Y，Y=F(S,R,D)。通過函數F計算Y值，進而標定出漏洞利用復雜度，亦可以將Y計算值進行歸一化處理，從而得出歸一化處理值的范圍（1、2、3、4、5……）。

3.3.2 函數Y的形式分析

物聯網漏洞利用復雜度=（漏洞利用步驟、漏洞利用所需資源、編寫漏洞利用代碼），即Y=F(S,R,D)，可以有多種數學方法體現3因素決定的物聯網漏洞利用復雜程度，如加權求和平均法、判斷矩陣等。可以視研究工作的深度，選擇不同的數學模型，進而通過Y值大小比較出物聯網漏洞利用的難易程度。

4 VCECI分類方法應用與相關實驗

4.1 物聯網漏洞利用復雜度數學計算公式設定

考慮到項目研究的階段性特征和物聯網漏洞挖掘技術的不斷進步，物聯網漏洞利用復雜度=（漏洞利用步驟、漏洞利用所需資源、編寫漏洞利用代碼），即Y=F(S,R,D)，初步設計為采用加權求和平均函數。Y=r1S+r2R+r3D，其中r1、r2、r3為加權系數。根據物聯網漏洞的特點，結合前期工作經驗，設定權重分別為r1=4.4、r2=3.6、r3=2，于是Y=4.4S+3.6R+2D。通過公式計算出每種物聯網漏洞的Y值Y1、Y2、Y3、…、Yn，在此基礎上依據多次實驗的結果分析可進一步分析出歸一化方法。對Y值進行歸一化處理，Y值越小，表明漏洞利用越簡單。

對物聯網漏洞利用復雜度進行數學計算，是VCECI方法能夠明顯減少漏洞重復的核心之一，但其具體計算途徑將不僅限于此處討論的方法。隨著研究工作的深入，可以使用其他數學方式進行計算。

4.2 評價指標

考慮到漏洞分類方法的實用性問題，結合已有漏洞分類方法的評估方式，實驗評價主要考慮3個方面。

（1）VCECI方法確定的漏洞類型所劃分出漏洞的重復率；

（2）VCECI漏洞分類方法對已有漏洞庫的兼容情況；

（3）VCECI漏洞分類方法對新發現漏洞的兼容情況。

4.3 實驗步驟與結果分析

4.3.1 實驗步驟

（1）選取2019年9月30日前Microsoft公司、CVE安全組織和Fortify Software公司等發布漏洞庫中的物聯網漏洞，作為已有漏洞庫的實驗樣本；

（2）采用python語言實現本項目提出的VCECI方法及物聯網漏洞利用復雜度數學計算公式；

（3）使用VCECI方法對2019年9月30日前Microsoft公司、CVE安全組織和Fortify Software公司發布的軟件漏洞庫進行初次劃分操作；

（4）對所選取的實驗基準漏洞庫進行去重復化操作，評估實驗結果；

（5）持續跟蹤國內外從2019年10月1日開始新公開發布的物聯網漏洞，并作為實驗輸入，視為未知漏洞。

4.3.2 實驗結果

研究發現，截至目前，Microsoft、Fortify Software、CVE、CNNVD以及CNVD等國內外知名漏洞庫并沒有專門標識物聯網漏洞，需要根據公開報道的每一個漏洞描述進行判斷識別，工作量很大。實驗初期階段，選擇508個已經公開的物聯網漏洞作為實驗樣本，對這些漏洞按照VCECI方法進行重新分類，結果如下。

（1）不同分類方法對同一漏洞的分類結果比較

選擇CVE-2018-11976、CVE-2019-10540、CVE-2019-10539、CVE-2019-10921以 及 CVE-2015-2051漏洞，分別用VCECI方法分類，對比情況如表2所示。

表2 不同方法對漏洞的分類結果對比

使用VCECI分類法對CVE-2018-11976、CVE-2019-10540和CVE-2019-10539進行劃分，明確區分漏洞的產品、漏洞源和漏洞利用復雜度，并且可以對同一類型的同源漏洞進行概括，降低了重復率。

（2）漏洞重復率統計

選擇的508個漏洞均為CVE漏洞，因此應用VCECI方法的程序逐一對這508個漏洞進行研究分析。分類處理后輸出的漏洞個數為481個，發現其中重復的同源漏洞為27個，重復率約為5.3%。可見，使用VCECI方法能夠有效辨析物聯網漏洞中同源跨平臺現象，從而降低物聯網漏洞庫的重復率。兩種方法實驗結果對比情況如圖2所示。

為評估實驗結果，人工對508個CVE漏洞進行對比分析，發現其中確實存在同源跨平臺物聯網漏洞交叉重復現象，而VCECI方法可以發現這種問題。

（3）實驗結論

經過實驗，VCECI方法確定的漏洞類型所劃分的漏洞重復率較低，且可以對所選取的已知508個CVE漏洞實現全覆蓋。經過跟蹤研究，它對2019年10月1日后新出現的漏洞兼容性也較好。

圖2 漏洞分類實驗重復率比較

（4）存在的不足及下一步的工作

物聯網漏洞利用復雜度的計算方法存在人工依賴性高的問題，對于物聯網漏洞數量很多的情況，實際可操作性需要提升。后期可以利用人工智能算法訓練出較為合理的物聯網漏洞復雜度算法，提高效率，同時需要進一步加大樣本數量開展更多實驗，以驗證VCECI方法的魯棒性。

5 結 語

漏洞分類方法是研究物聯網漏洞及安全防護的重要內容。本文分析已有漏洞分類方法在表征物聯網漏洞時出現的問題，結合物聯網終端設備的軟件和硬件開發特點，提出從物聯網設備、同源跨平臺漏洞、漏洞的影響效果和漏洞利用復雜度3個維度對物聯網漏洞進行科學分類的方法——VCECI，深入闡述VCECI方法的分類過程，并選擇一定數量的物聯網漏洞，實驗驗證了VCECI方法的可行性。該方法有助于對物聯網漏洞進行有效劃分，提高分類的準確性。后續的研究工作將結合最新的物聯網漏洞庫持續開展實驗，訓練出更合理的物聯網漏洞利用復雜度系數，提高VCECI方法的適用性。