关于软件的安全更新研究.docx
《关于软件的安全更新研究.docx》由会员分享,可在线阅读,更多相关《关于软件的安全更新研究.docx(8页珍藏版)》请在冰点文库上搜索。
关于软件的安全更新研究
关于软件的安全更新研究
技 术 应 用
关于软件的安全更新研究
张艳
广州大学数学与信息科学学院 广东 510006
摘要:
随着网络的快速发展,计算机系统正遭受着众多病毒的侵害,无形中给计算机用户带来了极大的损失。
软件更新可以有效的避免病毒的侵袭,提高系统安全。
本文首先介绍了基于补丁的漏洞攻击,以此说明由于目前补丁发布方式的缓慢,造成大量蠕虫对系统的攻击,然后提出了利用End-host based multicast模式进行补丁的发布,达到迅速发布补丁的效果,改善目前补丁发布迟缓的现况。
新补丁发布方式是基于理想状况下提出的,具体实践需要进一步的研究与证实。
关键词:
软件更新;补丁发布;基于终端的多播技术(End-host based multicast) ; 逆向工程( reverse engineer) 基于补丁的漏洞自动生成技术(APEG)
0 引言后24小时内,仅有80%不同IP地址的计算机用户访问了服务
所谓的软件更新,就是给软件的漏洞打上补丁,而漏洞器,进行补丁的下载。
根据当前的补丁发布策略,更新的过是各种软件在设计上所存在的问题与缺陷,这是任何程序都程包括:
补丁的发布、补丁的下载与补丁的安装,整个过程无法绝对避免的。
随着病毒和漏洞的结合,CodeRed,Nimda,通常需要几小时,几天或者更长的时间,这将严重阻碍补丁SQLSlammer,Blaster等蠕虫通过网络对全球计算机系统造成的有效利用,给恶意用户提供攻击系统的机会。
了严重的破坏。
这些危害,正是利用了操作系统或者应用
补丁。
经实验证明,Gkantsidis et al发现微软的补丁在发布1. if (input %2 == 0) goto 2 else goto 4
2009.1069技 术 应 用
2. s :
= input + 2;行补丁的分发(图1)。
3. goto 5 ;
4 . s :
= input +3;
5 . <nop>
6 . ptr :
= realloc ( ptr , s ) ;
7 . . . . use of ptr . . . ;
P′:
input is a user input
1 . if ( input % 2 == 0) goto 2 else goto 4 ;
2 . s :
= input +2;图1 Client / Server体系
3 . goto 5 ;按照这种补丁发布模式,当用户量很少时,是可以在很
4 . s :
= input +3;短时间内完成软件的更新。
但如果需要下载的补丁较大,客
5 . i f ( s > input ) goto 6 else goto ERROR;户端数目众多,在同一时间段内有数百万的计算机登录到服
6 . ptr :
= realloc ( ptr , s ) ;务器上进行软件的更新,将会给服务器带来难以承受的负荷,
7 . . . . use of ptr . . .不仅会减缓传播速度,也会堵塞网络的流通。
通过分析可以发现在程序P的第2、4行,有可能出现整为了改善这种状况,提高补丁的发布速度,我们提出数溢出(具体情况不作详述),这个漏洞将引起系统拒绝服务,了End-host based multicast方式进行补丁的发布。
这是一发生浏览器崩溃现象。
打了补丁的程序P’在第5行加入了检种基于终端用户的多播式体系结构,借鉴于点对点(peer-查整数是否溢出的语句,修复了此缺陷。
实验发现,EBDS只to-peer)技术,使每个下载补丁的用户既充当客户端又具花费了371.9秒就定位出程序P与P’之间的区别。
换句话说,有服务器功能。
恶意用户在接收到补丁后的几分钟之内,就可以利用APEG3 End-host based multicast模式
定位漏洞,编写蠕虫代码,对还未安装补丁的用户发起针对基于终端用户的多播技术,其原理就是从补丁服务器发DSA_SetItem的漏洞攻击。
然而,根据目前的补丁发布方式,布一次补丁后,经路由器复制转发给K个客户端,随后接收在几分钟之内使所有用户都安装上补丁是根本办不到的。
到补丁的K个客户端充当下一次转发的服务器,继续将补丁
根据目前蠕虫的传播速度,我们知道要想真正有效的发转发给K2个未打补丁的客户端,以次类推进行补丁的发布挥补丁的修复作用,保障系统的安全,就必须赶在蠕虫大范(图2)。
围传播之前,给系统安装上补丁,这是一个蠕虫与补丁赛跑
的过程,谁的速度快,谁就可以最终阻止对方的入侵。
因此,
我们不得不重新考虑现有的补丁发布策略,提出更加迅速的
补丁发布方式。
2 现有补丁发布方式
目前,补丁发布广泛采用的都是Client / Server体系。
例
如,微软的Windows更新,使用的是WSUS (Windows Server
Update Services)进行补丁的管理。
首先从微软的补丁服务器
获取软件更新,然后将其分发给网络中的子服务器和客户端。
它的基本原理是先由WSUS服务器从Microsoft Update下载
软件更新,再由WSUS服务器向下游服务器及网络客户端进图2 End-host based multicast模式702009.10
技 术 应 用
具体过程如下:
的网络传输性能;
(1) 用户向更新服务器申请下载补丁;(3)对用户要求低,普遍适用于广大公众,不要求用户(2)服务器以多播方式将补丁PUSH给一级客户端;有专门的技术,无须更改现有的网络设备。
(3)用户进行补丁的安装;通过分析,可以发现基于终端的多播技术可以有效改(4) 一级客户端通过地址列表服务器tracker获取下一级善目前补丁发布速度慢,无法遏止蠕虫传播的现状。
当然,补丁分发的IP列表;这种模式的提出是基于理想状况下的研究,实际应用中还(5) 一级客户端依据地址列表将补丁转发给下一级客户存在着许多问题,例如怎样保证补丁下载过程的安全性,端;对于不在线客户端如何进行更新等,需要进一步的实验与(6)回到第3步。
研究。
以次类推进行补丁发布。
4 结论
在利用End-host based multicast模式发布补丁时,tracker软件的更新,可以保证系统的安全性与软件的稳定性,地址服务器起到管理与分配客户端地址的作用,已下载补丁不仅为用户提供了安全保障也为开发商节省了资源。
通过对的客户端在选择下一级用户列表时,可以有多种算法。
为了本文的分析与了解,我们可以发现补丁的快速传播是软件更提高补丁的发布速度,需要考虑多种因素,如RTT、带宽等。
新过程中的首要因素,补丁传播速度快了,蠕虫的危害也就
自然减少了。
因此提出新的补丁发布策略,改进补丁发布速因此,可以使用一种偏好邻居算法,当用户从tracker获取转
度成为目前网络安全噬待解决的新课题。
发地址时,tracker会选择和请求者位于同一个ISP的用户作为参考文献
地址列表中的主要组成部分。
[1]David Brumley,Dawn Song,Jiang Zheng.Automatic Patch-Based
一般认为, 位于同一本地网络或ISP内部的用户之间的Exploit Generation is Possible.Techniques and Implications.2006.hops会比跨不同本地网络或ISP的用户要小。
因此通过限定[2]Milan Vojnovic and Ayalvadi Ganesh.On the Race of Worms,用户之间的hops可以将用户的连接限制在同一本地网络或Alerts and Patches.
ISP内,以减少ISP间的流量和提高文件的下载速度。
所以,[3]Windows update and automatic updates.http:
//tinyurl.com/我们认为利用End-host based multicast模式发布补丁,可以有r8kl5Last Viewed June 26.2006.
效的提高下载速度,扩大补丁的传播范围。
[4]B.LaMacchia.Personal communication.June 2006.
相比现有的补丁发布策略,C/S模式需要服务器承担很大[5]Lei guo,Songqing Chen,Zhen Xiao.Enhua Tan/A Performance的工作量,而且要在很长的时间内才能完成补丁的下载,而Study of BitTorrent-like Peer-to-Peer Systems.2006.End-host based multicast模式具有如下的优点:
[6]eEyE Security. eEye binary diffing suite (EBDS).http:
//research.(1)传播速度快,能及时有效地向用户推送(push)软件的eeye.com/html/tools/ RT20060801-1.html.Version 1.0.5.更新信息,改善了传统拉取补丁的方式;[7]张雨,龚向阳,阙喜戎,王文东.一种基于Traceroute的Peer选(2)充分利用了客户端的网络带宽,将服务器的网络负择算法.2006.
荷分摊到每一个客户端上,减轻了服务器的负担,具有很好
2009.1071
升级会员 