基于流量分析的软件升级漏洞自动检测方法

doi:10.11959/j.issn.2096-109x.2020004

Abstract

Abstract:

During the software upgrade process,the lack of authentication for upgrade information or packages can lead to remote code execution vulnerabilities based on man-in-the-middle attack.An automatic detection method for upgrading vulnerabilities was proposed.The method described the upgrade mechanism by extracting the network traffic during the upgrade process,then matched it with the vulnerability feature vector to anticipate upgrading vulnerabilities.In a validation environment,the man-in-the-middle attack using the portrait information was carried out to verify the detection results.In addition,an automatic vulnerability analysis and verification system based on this method was designed.184 Windows applications samples was test and 117 upgrade vulnerabilities were detected in these samples,which proved validity of the method.

Key words: software upgrade, network traffic analysis, vulnerability detection, automated analysis and validation

CLC Number:

TP309.5

Jinhui TENG,Yan GUANG,Hui SHU,Bing ZHANG. Automatic detection method of software upgrade vulnerability based on network traffic analysis[J]. Chinese Journal of Network and Information Security, 2020, 6(1): 94-108.

Figures/Tables 22

References 8

[1]	张海藩 . 软件工程导论[M]. 北京: 清华大学出版社, 1998.
	ZHANG H F . Introduction to software engineering[M]. Beijing: Tsinghua University PressPress, 1998.
[2]	彭先觉, 胡勇 . 利用软件在线升级的攻击[J]. 通信技术, 2015(10): 1183-1186.
	PENG X J , HU Y . Attacks using online software upgrade[J]. Communications Technology, 2015(10): 1183-1186.
[3]	傅建明, 刘高, 李鹏伟 . 一种杀毒软件升级流程的安全性分析方法[J]. 武汉大学学报(理学版), 2015(6): 509-516.
	FU J M , LIU G , LI P W . A security analysis method of antivirus software upgrade process[J]. Journal of Wuhan University (Natrual Science Edition), 2015(6): 509-516.
[4]	周振飞 . 软件供应链污染机理与防御研究[D]. 北京:北京邮电大学, 2018.
	ZHOU Z F . Research on software supply chain pollution mechanism and defense[D]. Beijing:Beijing University of Posts and Telecommunications, 2018.
[5]	CATUOGNO L , GALDI C , PERSIANO G . Guaranteeing dependency enforcement in software updates[M]. Secure IT Systems. Springer International Publishing, 2015.
[6]	赵作鹏, 尹志民, 王潜平 ,等. 一种改进的编辑距离算法及其在数据处理中的应用[J]. 计算机应用, 2009,29(2): 424-426.
	ZHAO Z P , YIN Z M , WANG Q P ,et al. An improved edit distance algorithm and its application in data processing[J]. Journal of Computer Applications, 2009,29(2): 424-426.
[7]	刘倩 . 基于 Kali Linux 的网络安全技术探讨与研究[D]. 长春:吉林大学, 2018.
	LIU Q . Discussion and research on network security technology based on Kali Linux[D]. Changchun:Jilin University, 2018.
[8]	王乾 . 基于动态二进制分析的关键函数定位技术研究[D]. 郑州:信息工程大学, 2012.
	WANG Q . Research on key function location technology based on dynamic binary analysis[D]. Zhengzhou:Information Engineering University, 2012.

Metrics

Recommended 0

No Suggested Reading articles found!

I级分类	II级分类	分类简述	阶段特征
I级分类	II级分类	分类简述	发起阶段	下载阶段	安装阶段
HTTP协议通信类漏洞	无防护	采用HTTP协议明文传输配置信息	配置信息传输采用 HTTP 协议明文/简单编码，其中无升级包校验信息	采用HTTP协议发起，TCP协议下载	无消息校验机制，直接安装升级包
HTTP协议通信类漏洞	校验误用	采用HTTP协议明文传输配置信息	配置信息传输采用 HTTP 协议明文/简单编码，其中包含升级包校验信息	采用HTTP协议发起，TCP协议下载	安装升级包之前校验升级包校验值
HTTPS协议通信类漏洞	保护缺失HTTPS	发起阶段使用HTTPS协议，下载阶段用HTTP协议	采用HTTPS协议传输配置信息，其中无升级包检验信息	采用HTTP协议发起或将HTTPS服务器降级提供 HTTP 服务发起，TCP协议下载	无消息校验机制，直接安装升级包
		发起阶段使用HTTP协议下载阶段使用HTTPS协议	采用HTTP协议明文/简单编码传输含有HTTPS下载链接的配置信息	采用 HTTPS 协议发起，TCP 协议下载	消息校验机制可选，直接安装升级包
	重定向误用	下载阶段使用HTTP重定向	采用HTTPS协议传输配置信息，其中无升级包校验信息	采用HTTP重定向将新版本程序的 HTTP 链接升级为 HTTPS 链接，随后使用 HTTPS 协议发起与下载	无消息校验机制，直接安装升级包
	重定向误用	发起阶段使用HTTP重定向	采用 HTTP 重定向将配置信息由 HTTP 链接升级为HTTPS链接	采用 HTTPS 协议发起，TCP 协议下载	消息校验机制可选，直接安装升级包

	Name version		软件名版本号
	protocol		发起阶段协议类型（0：HTTP 1：HTTPS)
	request		发起升级请求的内容（0：无法提取 1：可提取）
	redirect		是否使用重定向(0：使用 1：不使用）
	redirect_up		是否通过重定向进行协议升级（0：不升级 1：升级）
	server_ip		升级配置信息服务器IP地址（0：无法提取 1：可提取）
发起阶段	server_port		升级配置信息服务器端口号（0：无法提取 1：可提取）
	local_port		本地通信端口号（0：无法提取 1：可提取）
	prog_name		升级程序（或配置信息文件）的文件名（0：无法提取 1：可提取）
	file_url		升级程序（或配置信息文件）下载链接（0：无法提取 1：可提取）
	up_file_url		重定向后配置信息文件下载链接*
	url_type		下载链接使用的协议类型（0:HTTP 1:HTTPS)
	prog_verify	hash	散列文件校验信息（如MD5、SHA-1)
		crc	循环冗余文件校验信息（如CRC32)
		size	文件大小校验信息
	protocol		下载阶段协议类型（0：HTTP 1：HTTPS)
	request		文件下载的请求数据包名称（0：无法提取 1：可提取）
下载阶段	redirect		是否使用重定向(0：使用 1：不使用）
	redirect_up		是否通过重定向进行协议升级（0：不升级 1：升级）
	up_url		重定向后新版本程序下载链接*
	server_ip		升级文件下载服务器IP地址（0：无法提取 1：可提取）
	server_port		升级文件下载服务器端口号（0：无法提取 1：可提取）
	local_port		本地通信端口号（0：无法提取 1：可提取）

	漏洞类型		无防护	校验误用	HTTPS保护缺失（下载阶段）	HTTPS保护缺失（发起阶段）	重定向误用（下载阶段）	重定向误用（发起阶段）
	画像内容				对应向量值
	protocol		0	0		0	*	1
	request		1	1		1	*	1
	redirect		*	*		0	*	1
	redirect_up		0	0		0	*	1
	server_ip		1	1		1	*	1
发起阶段	server_port		1	1		1	*	1
	local_port		1	1		1	*	1
	prog_name		1	1		1	*	1
	file_url		1	1		1	*	1
	up_file_url		*	*		0	*	1
	url_type		0	0		1	*	1
	prog_verify	hash	0	*		*	*	*
	prog_verify	crc	0	*		*	*	*
		size	0	*		*	*	*
	protocol		0	0	0	1	0	*
	request		1	1	1		1	*
下载阶段	redirect		*	*	0		1	*
	redirect_up		0	0	0		1	*
	up_url		*	*	0		1	*
	server_ip		1	1	1		1	*
	server_port		1	1	1		1	*
	local_port		1	1	1		1	*

字符串类型	主域名	路径	文件名
权重	0.2	0.2	0.6

升级画像算法	无防护	散列误用	HTTPS保护缺失		重定向误用
升级画像算法	无防护	散列误用	配置信息	下载阶段	配置信息	下载阶段
基于下载阶段信息	√	√	×	√	×	√
基于发起阶段信息	√	√	√	×	√	×

Automatic detection method of software upgrade vulnerability based on network traffic analysis

RichHTML

PDF下载

Knowledge

Abstract

Cite this article

share this article

Figures/Tables 22

References 8

Related Articles 5

Metrics

Recommended 0

类别	实际含有漏洞且分类正确样本数	实际不含有漏洞样本数
系统检测含有漏洞的样本数	106	8
系统检测不含有漏洞的样本数	7	63

[1]	Chao MU, Xin WANG, Ming YANG, Heng ZHANG, Zhenya CHEN, Xiaoming WU. Hardcoded vulnerability detection approach for IoT device firmware [J]. Chinese Journal of Network and Information Security, 2022, 8(5): 98-110.
[2]	Cheng HUANG, Mingxu SUN, Renyu DUAN, Susheng WU, Bin CHEN. Vulnerability identification technology research based on project version difference [J]. Chinese Journal of Network and Information Security, 2022, 8(1): 52-62.
[3]	Deqing ZOU, Xiang LI, Minhuan HUANG, Xiang SONG, Hao LI, Weiming LI. Intelligent vulnerability detection system based on graph structured source code slice [J]. Chinese Journal of Network and Information Security, 2021, 7(5): 113-122.
[4]	Hao CHEN, Ping YI. Code vulnerability detection method based on graph neural network [J]. Chinese Journal of Network and Information Security, 2021, 7(3): 37-45.
[5]	Zhen LI, Deqing ZOU, Zeli WANG, Hai JIN. Survey on static software vulnerability detection for source code [J]. Chinese Journal of Network and Information Security, 2019, 5(1): 1-14.