騰金輝，光焱，舒輝，張冰

基于流量分析的軟件升級(jí)漏洞自動(dòng)檢測(cè)方法

騰金輝，光焱，舒輝，張冰

（戰(zhàn)略支援部隊(duì)信息工程大學(xué)，河南 鄭州 450001）

軟件升級(jí)過(guò)程中，缺乏對(duì)升級(jí)信息或升級(jí)包的認(rèn)證可能會(huì)導(dǎo)致基于中間人攻擊的遠(yuǎn)程代碼執(zhí)行漏洞。為此，提出一種升級(jí)漏洞自動(dòng)檢測(cè)方法。該方法通過(guò)提取升級(jí)過(guò)程中的網(wǎng)絡(luò)流量，對(duì)升級(jí)機(jī)制自動(dòng)畫(huà)像，將其與漏洞特征向量匹配，預(yù)判升級(jí)漏洞；在模擬驗(yàn)證環(huán)境中，利用畫(huà)像信息實(shí)施中間人攻擊，驗(yàn)證檢測(cè)結(jié)果?；谠摲椒ㄔO(shè)計(jì)了升級(jí)漏洞自動(dòng)分析與驗(yàn)證系統(tǒng)，對(duì)184個(gè)Windows應(yīng)用軟件樣本進(jìn)行測(cè)試，檢測(cè)出117個(gè)樣本的升級(jí)漏洞，證明了本方法的有效性。

軟件升級(jí)；流量分析；漏洞檢測(cè)；自動(dòng)化分析與驗(yàn)證

1 引言

在整個(gè)軟件生命周期中，軟件的維護(hù)升級(jí)工作是最重要的環(huán)節(jié)[1]，通過(guò)升級(jí)至新版本，可以達(dá)到增添軟件功能、修復(fù)已知錯(cuò)誤與漏洞、提升用戶體驗(yàn)等目的。然而，從軟件安全性角度考慮，一方面，升級(jí)過(guò)程通常包括可執(zhí)行文件的下載與自動(dòng)執(zhí)行；另一方面，用戶對(duì)升級(jí)過(guò)程中下載的可執(zhí)行文件，往往有著遠(yuǎn)超一般可執(zhí)行文件的信任程度。因此，若升級(jí)過(guò)程存在漏洞，由此引發(fā)的升級(jí)文件被篡改或替換，極易導(dǎo)致用戶遭受遠(yuǎn)程代碼自動(dòng)執(zhí)行攻擊，對(duì)用戶系統(tǒng)的安全性造成嚴(yán)重?fù)p害。此外，基于軟件升級(jí)的攻擊方法是多種攻擊手段的綜合利用，如中間人攻擊、流量劫持、軟件逆向等，因而單一的防御方法不能有效對(duì)抗這種攻擊，較之平常的攻擊手段，其成功率更高，更隱蔽[2]。升級(jí)過(guò)程產(chǎn)生的流量也能更順利地通過(guò)基于流量檢測(cè)方法的防火墻、殺毒軟件、IDS等的防御監(jiān)控體系，即使用戶終端建立了較為完善的邊界安全防護(hù)機(jī)制、用戶具備較高的安全意識(shí)水平，也依然難以填補(bǔ)這一缺陷。

基于軟件升級(jí)漏洞的攻擊有較多案例。2017年7月，中國(guó)山東、山西、浙江、福建等省爆發(fā)大規(guī)模軟件升級(jí)劫持事件，大量計(jì)算機(jī)在升級(jí)過(guò)程中感染木馬病毒；2017年8月，攻擊者通過(guò)劫持烏克蘭流行專用會(huì)計(jì)軟件M.E.Doc的升級(jí)服務(wù)器，向用戶推送包含NotPetya病毒的升級(jí)包，對(duì)政府、銀行、電力系統(tǒng)、通信系統(tǒng)等實(shí)施攻擊；2018年12月，一款木馬通過(guò)“驅(qū)動(dòng)人生”的升級(jí)通道，利用“永恒之藍(lán)”漏洞攻擊了超過(guò)10萬(wàn)用戶；2019年3月，卡巴斯基實(shí)驗(yàn)室曝光華碩（ASUS）的軟件升級(jí)服務(wù)器遭到入侵，攻擊者通過(guò)軟件升級(jí)，在用戶電腦中安裝惡意程序。上述安全事件都反映出軟件升級(jí)機(jī)制漏洞會(huì)導(dǎo)致巨大安全風(fēng)險(xiǎn)。

目前，已有的針對(duì)軟件升級(jí)漏洞的相關(guān)研究主要圍繞升級(jí)漏洞利用、檢測(cè)以及安全防御展開(kāi)。在升級(jí)漏洞利用方面，2017年，360天擎團(tuán)隊(duì)發(fā)布關(guān)于國(guó)內(nèi)政企類軟件安全性的分析報(bào)告，其中包含了針對(duì)軟件升級(jí)的相關(guān)漏洞的案例以及攻擊原理分析；2015年，彭先覺(jué)等[2]提出一種HTTP協(xié)議通信校驗(yàn)值誤用類型軟件升級(jí)漏洞的攻擊方法，并對(duì)某團(tuán)購(gòu)網(wǎng)站的舊版軟件進(jìn)行了實(shí)際攻擊測(cè)試，驗(yàn)證了該攻擊的可行性。在升級(jí)漏洞檢測(cè)方面，2015年，傅建明等[3]提出一種靜態(tài)分析與動(dòng)態(tài)分析相結(jié)合的針對(duì)殺毒軟件升級(jí)流程安全性分析方法。2017年，Adam K提出了一種基于特征信息匹配的升級(jí)漏洞自動(dòng)檢測(cè)方法，能夠捕獲針對(duì)軟件升級(jí)過(guò)程的攻擊。在安全防御方面，2018年，周振飛[4]從機(jī)理與防御兩個(gè)方面，對(duì)軟件供應(yīng)鏈污染攻擊進(jìn)行研究，并提出了針對(duì)特定種類攻擊的解決方案；2015年，Catuogno等[5]提出一種升級(jí)框架，不同于已有的升級(jí)框架（如WinGup）使用SSL協(xié)議保證升級(jí)過(guò)程的安全性，該框架基于非交互式密鑰進(jìn)行升級(jí)，同時(shí)依賴于靜態(tài)屬性策略的軟件安裝與升級(jí)框架，并對(duì)該方案進(jìn)行了性能分析。

上述工作從多個(gè)方面揭示了軟件升級(jí)漏洞的原理以及相應(yīng)的檢測(cè)方法。然而，這些工作存在兩方面問(wèn)題：一是缺乏清晰明確的升級(jí)漏洞分類特征描述模型，影響漏洞檢測(cè)的范圍和準(zhǔn)確性；二是漏洞分析與檢測(cè)的自動(dòng)化程度較低，難以滿足大批量樣本條件下的檢測(cè)要求。

為解決上述問(wèn)題，本文提出一種基于流量分析的軟件升級(jí)漏洞自動(dòng)檢測(cè)方法。該方法通過(guò)對(duì)軟件升級(jí)過(guò)程中網(wǎng)絡(luò)通信流量特征的分析，建立面向流量特征的升級(jí)漏洞特征分類模型；綜合使用字符串模糊匹配和頻率加權(quán)比對(duì)等方法，實(shí)現(xiàn)對(duì)升級(jí)過(guò)程網(wǎng)絡(luò)數(shù)據(jù)流特征的提取與分析，實(shí)現(xiàn)對(duì)升級(jí)過(guò)程的自動(dòng)畫(huà)像，進(jìn)而通過(guò)特征向量匹配，實(shí)現(xiàn)對(duì)多種類型升級(jí)漏洞的自動(dòng)化檢測(cè)。同時(shí)，設(shè)計(jì)漏洞自動(dòng)化驗(yàn)證平臺(tái)，通過(guò)模擬攻擊的方法，對(duì)漏洞檢測(cè)的結(jié)果進(jìn)行自動(dòng)驗(yàn)證，提高檢測(cè)結(jié)果的準(zhǔn)確性。

2 升級(jí)漏洞特征模型

2.1 升級(jí)漏洞的分類

軟件在線升級(jí)的內(nèi)容本身，無(wú)論是程序組件還是完整的升級(jí)包，都可視為公開(kāi)的數(shù)據(jù)和資源，無(wú)須進(jìn)行保密。軟件升級(jí)過(guò)程的漏洞，主要體現(xiàn)為對(duì)升級(jí)服務(wù)器和升級(jí)包的認(rèn)證機(jī)制漏洞，主要包括對(duì)升級(jí)服務(wù)器身份認(rèn)證缺失，以及對(duì)升級(jí)包的真實(shí)性、完整性與新鮮性認(rèn)證的缺失等。從升級(jí)漏洞的具體形式來(lái)看，主要體現(xiàn)在升級(jí)過(guò)程的3個(gè)不同階段。分別是發(fā)起階段，客戶端與服務(wù)器交互，獲取相關(guān)配置信息與升級(jí)包URL；下載階段，客戶端根據(jù)URL下載升級(jí)包；安裝階段，安裝升級(jí)包。涉及網(wǎng)絡(luò)數(shù)據(jù)的主要為前兩個(gè)階段，根據(jù)這兩個(gè)階段網(wǎng)絡(luò)數(shù)據(jù)特征，對(duì)升級(jí)漏洞進(jìn)行分類，如表1所示。

(1) HTTP協(xié)議通信類漏洞

對(duì)于無(wú)防護(hù)，在流量側(cè)可直接通過(guò)中間人的方式劫持并篡改發(fā)起階段的數(shù)據(jù)包中的升級(jí)包下載鏈接，將其替換為惡意代碼的下載鏈接從而實(shí)現(xiàn)惡意代碼的下載，并在安裝階段實(shí)現(xiàn)遠(yuǎn)程代碼與程序的自動(dòng)執(zhí)行，具體實(shí)例如CNTV央視影音客戶端（測(cè)試版本4.4.0.0，受影響版本4.6.2.1及以下，CNNVD=201903-1283）。

對(duì)于校驗(yàn)誤用，在流量側(cè)可直接通過(guò)中間人的方式劫持并篡改發(fā)起階段的數(shù)據(jù)包中的新版本下載鏈接以及對(duì)應(yīng)的校驗(yàn)值，將其替換為惡意代碼的下載鏈接以及對(duì)應(yīng)的校驗(yàn)值，從而實(shí)現(xiàn)惡意代碼的下載并在安裝階段實(shí)現(xiàn)遠(yuǎn)程代碼與程序的自動(dòng)執(zhí)行，具體實(shí)例如優(yōu)酷視頻播放器（測(cè)試版本7.2.6.8110，受影響版本7.7.7.4191及以下，CNVD-2018-06299）。

(2) HTTPS協(xié)議通信類漏洞

對(duì)于HTTPS保護(hù)缺失，在流量側(cè)可通過(guò)中間人的方式劫持篡改完成。對(duì)于發(fā)起階段使用HTTP協(xié)議的，可劫持該階段的配置信息并進(jìn)行篡改。對(duì)于下載階段可通過(guò)強(qiáng)制返回虛假重定向數(shù)據(jù)包，完成發(fā)起階段或下載階段的HTTPS協(xié)議繞過(guò)，實(shí)現(xiàn)惡意代碼的下載，從而在安裝階段實(shí)現(xiàn)遠(yuǎn)程代碼與程序的自動(dòng)執(zhí)行，具體實(shí)例如5K Player（加密傳輸配置信息，下載階段使用HTTP協(xié)議，測(cè)試版本5.0，受影響版本5.7及以下），GOM AUDIO（HTTP協(xié)議傳輸HTTPS鏈接以及配置信息，測(cè)試版本2.3.35.5296，受影響版本2.3.38.5300及以下）。

對(duì)于HTTP重定向誤用，在流量側(cè)可分別劫持下載階段或發(fā)起階段的重定向的返回?cái)?shù)據(jù)包并對(duì)重定向鏈接進(jìn)行篡改，完成HTTPS協(xié)議繞過(guò)，實(shí)現(xiàn)惡意代碼的下載，從而在安裝階段實(shí)現(xiàn)遠(yuǎn)程代碼與程序的自動(dòng)執(zhí)行，具體實(shí)例如SweetHome3D（下載過(guò)程使用重定向，測(cè)試版本5.5，受影響版本5.7及以下），TunesKit Audiobook Converter （發(fā)起階段使用重定向，測(cè)試版本3.0.3，受影響版本3.0.8及以下）。

表1 漏洞分類特征描述

2.2 升級(jí)漏洞特征向量

為實(shí)現(xiàn)軟件升級(jí)漏洞的自動(dòng)化檢測(cè)，首先需要對(duì)升級(jí)漏洞特征進(jìn)行定義和描述。然后通過(guò)對(duì)實(shí)例分析總結(jié)，從升級(jí)過(guò)程的網(wǎng)絡(luò)流量數(shù)據(jù)中，篩選出與升級(jí)漏洞檢測(cè)相關(guān)的22種關(guān)鍵信息要素，將其取值對(duì)應(yīng)的向量。作為升級(jí)漏洞的檢測(cè)依據(jù)，即升級(jí)漏洞特征向量，信息要素按照升級(jí)的發(fā)起和下載兩個(gè)階段劃分如表2所示。

將表1中的漏洞分類與表2中信息要素相結(jié)合，得到不同類型的升級(jí)漏洞特征向量，如表3所示。

3 升級(jí)漏洞的自動(dòng)檢測(cè)方法

基于漏洞特征向量，本節(jié)給出一種軟件升級(jí)漏洞自動(dòng)化檢測(cè)方法，以關(guān)鍵信息要素的提取與分析為基礎(chǔ)，按照“升級(jí)畫(huà)像—漏洞檢測(cè)—漏洞驗(yàn)證—結(jié)果確認(rèn)”的方法，實(shí)現(xiàn)升級(jí)漏洞自動(dòng)分析與檢測(cè)，流程如圖1所示。

漏洞流程分為4步。

Step1 升級(jí)畫(huà)像。結(jié)合文件操作記錄與升級(jí)流量記錄，對(duì)升級(jí)過(guò)程中與漏洞檢測(cè)相關(guān)的關(guān)鍵數(shù)據(jù)包進(jìn)行定位，提取其中的關(guān)鍵信息要素，構(gòu)建描述升級(jí)過(guò)程與機(jī)制的“升級(jí)畫(huà)像”。

Step2 漏洞檢測(cè)。根據(jù)升級(jí)畫(huà)像的向量描述，結(jié)合漏洞特征向量，進(jìn)行基于向量匹配的漏洞檢測(cè)，得到漏洞檢測(cè)預(yù)結(jié)果。

Step3 漏洞驗(yàn)證。在模擬攻擊環(huán)境下，根據(jù)檢測(cè)結(jié)果進(jìn)行驗(yàn)證形成最終的檢測(cè)結(jié)論。該方法綜合了理論分析與實(shí)際驗(yàn)證，有效確保了分析的準(zhǔn)確性。

Step4 結(jié)果確認(rèn)。根據(jù)模擬攻擊結(jié)果對(duì)檢測(cè)結(jié)論進(jìn)行確認(rèn)，并輸出畫(huà)像、檢測(cè)結(jié)果、漏洞驗(yàn)證配置文件。

表2 升級(jí)關(guān)鍵信息要素

【注】*項(xiàng)目實(shí)際情況可為空，括號(hào)中內(nèi)容為表3中漏洞特征向量的對(duì)應(yīng)值。

表3 升級(jí)漏洞特征向量

【注】*項(xiàng)目根據(jù)實(shí)際情況可選（具體值可為空/0/1），空白為使用HTTPS協(xié)議無(wú)法提取具體值，值的說(shuō)明參見(jiàn)表2括號(hào)中內(nèi)容。

圖1 漏洞檢測(cè)流程

Figure 1 The flow of vulnerability detection

下面按照流程分別介紹各個(gè)步驟所使用的具體方法。

3.1 升級(jí)流量記錄

升級(jí)過(guò)程中軟件客戶端與升級(jí)服務(wù)器之間的網(wǎng)絡(luò)通信數(shù)據(jù)中，包含關(guān)于升級(jí)方式、升級(jí)流程、升級(jí)安裝包格式等一系列關(guān)鍵信息。為了對(duì)升級(jí)過(guò)程網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行提取與分析，本文使用tshark進(jìn)行實(shí)現(xiàn)。為便于對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)包的自動(dòng)化分析，將流量記錄以json格式保存，單個(gè)json格式流量包結(jié)構(gòu)示例如圖2所示。

圖2 json數(shù)據(jù)包結(jié)構(gòu)

Figure 2 The structure diagram of json data packet

3.2 升級(jí)畫(huà)像

升級(jí)畫(huà)像所需的信息提取關(guān)鍵在于對(duì)發(fā)起階段和下載階段的相關(guān)數(shù)據(jù)包進(jìn)行準(zhǔn)確定位。根據(jù)目標(biāo)軟件升級(jí)模式的不同，采用分別基于下載階段信息和發(fā)起階段信息兩種信息定位和提取方法。

3.2.1 基于下載階段信息的升級(jí)畫(huà)像

該方法首先在流量記錄的同時(shí)，通過(guò)文件監(jiān)控，獲取升級(jí)包文件名，并計(jì)算該文件對(duì)應(yīng)的各種可能校驗(yàn)值（校驗(yàn)值類型見(jiàn)表2 發(fā)起階段prog_verify信息欄）。在此基礎(chǔ)上，按照4個(gè)步驟實(shí)現(xiàn)基于下載階段的升級(jí)畫(huà)像，流程如圖3所示。

Step1 通信協(xié)議掃描記錄

對(duì)所有的通信數(shù)據(jù)包進(jìn)行掃描，判斷通信協(xié)議并記錄，如果存在HTTP協(xié)議，進(jìn)行Step2，否則結(jié)束。

Step2 下載階段數(shù)據(jù)包定位

采用兩種算法對(duì)下載階段數(shù)據(jù)包進(jìn)行定位

算法1 基于升級(jí)包文件名的精確搜索定位

輸入 升級(jí)包文件名，升級(jí)流量數(shù)據(jù)包

輸出 下載階段數(shù)據(jù)包信息

算法步驟：

1) 對(duì)所有HTTP協(xié)議的流量數(shù)據(jù)包進(jìn)行“GET”關(guān)鍵字匹配，提取下載請(qǐng)求及其對(duì)應(yīng)的URL；

2) 在1)提取的所有下載請(qǐng)求及其對(duì)應(yīng)的URL中，搜索文件監(jiān)控到的升級(jí)包文件名，提取該文件下載請(qǐng)求的URL及其所在數(shù)據(jù)包的通信五元組并輸出。

算法結(jié)束

算法2 基于文件類型的模糊匹配定位

輸入 軟件名，升級(jí)流量數(shù)據(jù)包

輸出 下載階段數(shù)據(jù)包信息

圖3 基于下載階段信息的升級(jí)畫(huà)像流程

算法步驟：

1) 對(duì)所有HTTP協(xié)議的流量數(shù)據(jù)包進(jìn)行“GET”關(guān)鍵字匹配，提取下載請(qǐng)求及其對(duì)應(yīng)的URL；

2) 在1)提取的所有下載請(qǐng)求及其對(duì)應(yīng)的URL中，篩選exe、msi、rar、zip等類型的可執(zhí)行文件的下載請(qǐng)求及其URL；

3) 根據(jù)Levenshtein Distance算法[6]分別計(jì)算所有下載請(qǐng)求URL中的文件名和測(cè)試軟件名之間的相似度為：

4) 選取與舊版本程序文件名相似度最大的新下載程序文件名，提取對(duì)應(yīng)下載請(qǐng)求中的升級(jí)包URL及通信五元組，并輸出。

算法結(jié)束

Step3 發(fā)起階段數(shù)據(jù)包定位

根據(jù)Step2提取到的升級(jí)包URL，采用基于加權(quán)向量的配置信息數(shù)據(jù)包定位算法對(duì)數(shù)據(jù)包進(jìn)行定位。

算法3 基于加權(quán)向量的發(fā)起階段數(shù)據(jù)包定位

輸入 升級(jí)包URL，升級(jí)流量數(shù)據(jù)包

輸出 發(fā)起階段數(shù)據(jù)包信息

算法步驟：

1) 對(duì)算法2提取的升級(jí)包URL按照協(xié)議名稱：//服務(wù)器名稱（IP地址）/路徑/文件名進(jìn)行拆分，形成搜索字典；

2) 對(duì)1)中的搜索字典，在所有HTTP協(xié)議的流量數(shù)據(jù)包的http_file_data數(shù)據(jù)段內(nèi)容中進(jìn)行搜索匹配，統(tǒng)計(jì)搜索字典中各個(gè)字符串在該數(shù)據(jù)段中出現(xiàn)的次數(shù)，形成各個(gè)數(shù)據(jù)包相應(yīng)的字典統(tǒng)計(jì)向量；

3) 分別計(jì)算各個(gè)數(shù)據(jù)包對(duì)應(yīng)的字典統(tǒng)計(jì)向量加權(quán)和，權(quán)重及計(jì)算公式如表4所示。

表4 權(quán)重信息

4) 在所有HTTP協(xié)議的流量數(shù)據(jù)包的http_file_data數(shù)據(jù)段內(nèi)容中，對(duì)以http://或https://開(kāi)頭，以.ini/.dat/.xml/.cfg等配置文件類型擴(kuò)展名結(jié)尾的URL進(jìn)行搜索匹配，匹配成功，則截取其URL，通信五元組并輸出，轉(zhuǎn)至5)；

5)根據(jù)3)、4)定位數(shù)據(jù)包對(duì)應(yīng)的通信五元組進(jìn)行發(fā)起階段數(shù)據(jù)包定位，提取發(fā)起升級(jí)請(qǐng)求的內(nèi)容及對(duì)應(yīng)的升級(jí)請(qǐng)求URL并輸出。

算法結(jié)束

Step4 重定向掃描

算法4 重定向掃描

輸入 發(fā)起階段和下載階段通信五元組，升級(jí)流量數(shù)據(jù)包

輸出 升級(jí)過(guò)程重定向信息

算法步驟：

1) 對(duì)所有HTTP協(xié)議的流量數(shù)據(jù)包進(jìn)行“301/302/303 Found”匹配，記錄所有的重定向請(qǐng)求包以及回應(yīng)包；

2) 在1)提取的所有重定向數(shù)據(jù)包中，對(duì)Step2中發(fā)起階段請(qǐng)求URL和Step3中下載階段升級(jí)包URL進(jìn)行掃描匹配，記錄匹配結(jié)果中重定向請(qǐng)求包以及響應(yīng)包中的URL、協(xié)議類型以及對(duì)應(yīng)的升級(jí)階段并輸出。

算法結(jié)束

Step5 畫(huà)像信息輸出

將Step1~Step4輸出的信息進(jìn)行整理，填充到表2升級(jí)畫(huà)像的對(duì)應(yīng)位置，輸出畫(huà)像。

3.2.2 基于發(fā)起階段信息的升級(jí)畫(huà)像

該方法首先在流量記錄的同時(shí)，通過(guò)文件監(jiān)控，獲取升級(jí)包文件名，并計(jì)算該文件對(duì)應(yīng)的各種可能校驗(yàn)值（校驗(yàn)值類型見(jiàn)表2 發(fā)起階段prog_verify信息欄）。在此基礎(chǔ)上，按照4個(gè)步驟實(shí)現(xiàn)基于下載階段的升級(jí)畫(huà)像，流程如圖4所示。

圖4 基于發(fā)起階段信息的升級(jí)畫(huà)像流程

Figure 4 The flow of upgrade process based on request stage information

Step1 通信協(xié)議判別

對(duì)所有的通信數(shù)據(jù)包進(jìn)行掃描，判斷通信協(xié)議并記錄，如果存在HTTP協(xié)議，則進(jìn)行Step2，否則結(jié)束。

Step2 發(fā)起階段數(shù)據(jù)包定位

采用兩種算法對(duì)新版本程序下載數(shù)據(jù)包進(jìn)行定位。

算法5 基于升級(jí)包文件名的精確搜索定位

輸入 升級(jí)包文件名，升級(jí)流量數(shù)據(jù)包

輸出 發(fā)起階段數(shù)據(jù)包信息

算法步驟：

1) 在所有HTTP協(xié)議的流量數(shù)據(jù)包的http_file_data數(shù)據(jù)段內(nèi)容中進(jìn)行搜索匹配，截取所有以http://或https://開(kāi)頭，以.exe/.msi/.zip/.rar等可執(zhí)行文件后綴名結(jié)尾的URL字符串，并記錄；

2) 在1)提取的結(jié)果中，對(duì)文件監(jiān)控獲得的升級(jí)包文件名進(jìn)行匹配，如果匹配成功，記錄該URL及其所在數(shù)據(jù)包的通信五元組，并在該數(shù)據(jù)段中搜索相關(guān)的校驗(yàn)信息，記錄使用的相關(guān)校驗(yàn)方法以及校驗(yàn)值并輸出，轉(zhuǎn)至4)，如果URL提取失敗，轉(zhuǎn)至3)；

3) 在所有HTTP協(xié)議的流量數(shù)據(jù)包的http_file_data數(shù)據(jù)段內(nèi)容中對(duì)以http://或https://開(kāi)頭，以.ini/.dat/.xml/.cfg等配置文件類型擴(kuò)展名結(jié)尾的URL進(jìn)行搜索匹配，若匹配成功，則將其URL進(jìn)行截取，提取其通信五元組并輸出；

4) 根據(jù)2)3)定位數(shù)據(jù)包對(duì)應(yīng)的通信五元組進(jìn)行發(fā)起階段數(shù)據(jù)包定位，提取發(fā)起升級(jí)請(qǐng)求的內(nèi)容及對(duì)應(yīng)的升級(jí)請(qǐng)求URL并輸出。

算法結(jié)束

算法6 基于文件類型的模糊匹配定位

輸入 程序名，升級(jí)流量數(shù)據(jù)包

輸出 發(fā)起階段數(shù)據(jù)包信息

算法步驟：

1) 在所有HTTP協(xié)議的流量數(shù)據(jù)包的http_file_data數(shù)據(jù)段內(nèi)容中進(jìn)行搜索匹配，截取數(shù)據(jù)包中所有以http://或https://開(kāi)頭，以.exe/.msi/.zip/.rar等可執(zhí)行文件后綴名結(jié)尾的字符串，并記錄；

2) 在1)提取的結(jié)果中，提取所有URL中文件名部分，根據(jù)Levenshtein Distance算法分別計(jì)算每個(gè)URL中文件名與舊版本程序文件名的相似度，選取超過(guò)閾值且最大的即為升級(jí)包URL，并在該數(shù)據(jù)段中搜索相關(guān)的校驗(yàn)信息，記錄使用的相關(guān)校驗(yàn)方法以及校驗(yàn)值，提取其所在數(shù)據(jù)包的通信五元組并輸出，轉(zhuǎn)至4)，如果URL提取失敗，轉(zhuǎn)至3)；

3) 在所有HTTP協(xié)議的流量數(shù)據(jù)包的http_file_data數(shù)據(jù)段內(nèi)容中對(duì)以http：//或https://開(kāi)頭，以.ini/.dat/.xml/.cfg等配置文件類型擴(kuò)展名結(jié)尾的URL進(jìn)行搜索匹配，匹配成功，則截取其URL，提取其通信五元組并輸出，轉(zhuǎn)至4）；

4) 根據(jù)2)、3)定位數(shù)據(jù)包對(duì)應(yīng)的通信五元組進(jìn)行發(fā)起階段數(shù)據(jù)包定位，提取發(fā)起升級(jí)請(qǐng)求的內(nèi)容及對(duì)應(yīng)的升級(jí)請(qǐng)求URL并輸出。

算法結(jié)束

Step3 下載階段數(shù)據(jù)包定位

算法7 基于搜索匹配的下載階段數(shù)據(jù)包定位

輸入 升級(jí)包URL，升級(jí)流量數(shù)據(jù)包

輸出 下載階段數(shù)據(jù)包信息

算法步驟：

1) 對(duì)所有HTTP協(xié)議的包進(jìn)行“GET”關(guān)鍵字匹配，提取下載請(qǐng)求及其對(duì)應(yīng)的URL

2) 在1)提取的所有下載請(qǐng)求及其對(duì)應(yīng)的URL中，搜索匹配Step2中提取的升級(jí)包URL，記錄匹配成功的下載請(qǐng)求數(shù)據(jù)包及其信五元組并輸出。

算法結(jié)束

Step4 重定向掃描

方法同基于下載階段信息的升級(jí)畫(huà)像中對(duì)應(yīng)部分。

Step5 畫(huà)像信息輸出

將Step1—Step4輸出的信息進(jìn)行整理，填充到表2升級(jí)畫(huà)像的對(duì)應(yīng)位置，輸出畫(huà)像。

以上兩種算法相結(jié)合可針對(duì)表1中包含的四大類升級(jí)漏洞完成信息提取，對(duì)比如表5所示。

兩種升級(jí)畫(huà)像算法的核心都是獲取升級(jí)包的URL，并以此為線索完成對(duì)發(fā)起階段和下載階段數(shù)據(jù)包的定位，基于發(fā)起階段信息的升級(jí)畫(huà)像算法是先通過(guò)對(duì)HTTP協(xié)議數(shù)據(jù)包http_file_data數(shù)據(jù)段掃描獲取升級(jí)包的URL及其配置信息，然后根據(jù)該URL完成對(duì)下載階段數(shù)據(jù)包的定位，基于下載階段信息的升級(jí)畫(huà)像算法是先通過(guò)對(duì)HTTP 協(xié)議數(shù)據(jù)包中所有的“GET”請(qǐng)求掃描獲取升級(jí)包URL，然后根據(jù)該升級(jí)包URL完成對(duì)發(fā)起階段數(shù)據(jù)包的定位。

以央視影音客戶端（無(wú)防護(hù)類，漏洞編號(hào)：CNNVD=201903-1283）為示例，升級(jí)畫(huà)像算法在分析過(guò)程中提取的關(guān)鍵信息如紅框所示，升級(jí)畫(huà)像如圖5所示。

表5 算法能力分析

【注】“√”表示算法可提取該情況下畫(huà)像信息，“×”表示算法不可提取該情況下畫(huà)像信息。

圖5 央視影音客戶端升級(jí)發(fā)起階段數(shù)據(jù)包

Figure 5 The data packet of request stage during CNTV client upgrade process

發(fā)起階段：程序使用HTTP協(xié)議請(qǐng)求新版本的配置信息（編號(hào)178），隨后服務(wù)器使用HTTP協(xié)議對(duì)請(qǐng)求進(jìn)行了回應(yīng)（編號(hào)181）。

回應(yīng)的配置信息以明文方式傳輸，其中包含了新版本程序的下載鏈接以及相關(guān)校驗(yàn)值如圖6所示。

下載階段：程序根據(jù)配置信息中的URL使用HTTP協(xié)議進(jìn)行升級(jí)包的下載（編號(hào)2256）。央視影音客戶端升級(jí)下載階段數(shù)據(jù)包如圖7所示。

央視影音客戶端升級(jí)畫(huà)像如圖8所示。

圖6 央視影音客戶端升級(jí)發(fā)起階段信息

Figure 6 The infomation of request stage during CNTV client upgrade process

圖7 央視影音客戶端升級(jí)下載階段數(shù)據(jù)包

Figure 7 The data packet of download stage during CNTV client upgrade process

圖8 央視影音客戶端升級(jí)畫(huà)像

Figure 8 The portrait of CNTV client upgrade process

3.3 漏洞檢測(cè)

本節(jié)采用基于自動(dòng)驗(yàn)證的漏洞檢測(cè)模式并提出基于畫(huà)像信息升級(jí)向量匹配算法進(jìn)行升級(jí)流程漏洞的自動(dòng)化檢測(cè)，其中漏洞檢測(cè)算法具體實(shí)現(xiàn)如下。

算法8 漏洞檢測(cè)算法

輸入 升級(jí)流程預(yù)畫(huà)像，漏洞檢測(cè)規(guī)則集

輸出 升級(jí)流程漏洞檢測(cè)預(yù)結(jié)果

算法步驟：

1) 讀入升級(jí)流程預(yù)畫(huà)像，用于漏洞檢測(cè)；

2) 對(duì)升級(jí)流程預(yù)畫(huà)像各個(gè)階段信息數(shù)據(jù)進(jìn)行處理，形成升級(jí)流程向量形式的描述；

3) 根據(jù)漏洞檢測(cè)規(guī)則集中的向量特征進(jìn)行匹配，如果匹配成功，輸出對(duì)應(yīng)的匹配結(jié)果。

算法結(jié)束

以央視影音客戶端為例，如圖9所示，根據(jù)其畫(huà)像，得到的升級(jí)流程向量為[0 1 0 0 1 1 1 1 1 0 0 0 0 0 0 1 0 0 0 1 1 1]，將該向量與表3中的漏洞特征向量進(jìn)行匹配，可判定其漏洞類型為無(wú)防護(hù)漏洞。

圖9 央視影音漏洞檢測(cè)向量

Figure 9 The vulnerability detection vectors of CNTV client

3.4 漏洞驗(yàn)證

為提高檢測(cè)結(jié)果的準(zhǔn)確性，防止漏報(bào)、誤報(bào)，構(gòu)建模擬驗(yàn)證環(huán)境，對(duì)漏洞檢測(cè)結(jié)果進(jìn)行驗(yàn)證，整體思路如圖10所示。

圖10 漏洞驗(yàn)證思路

Figure 10 The method of vulnerability validation

(1) 目標(biāo)載荷預(yù)處理

對(duì)目標(biāo)載荷進(jìn)行預(yù)處理，處理內(nèi)容如下。

1) 根據(jù)畫(huà)像檢查升級(jí)包是否有壓縮，是否特殊格式，若有則在不影響載荷功效的情況下將載荷調(diào)整為相同格式。

2) 根據(jù)畫(huà)像檢查升級(jí)包是否有校驗(yàn)，且讀取出是哪一類校驗(yàn)，調(diào)用openssl庫(kù)函數(shù)的對(duì)應(yīng)校驗(yàn)函數(shù)對(duì)步驟1)處理后的載荷計(jì)算校驗(yàn)值，將計(jì)算出的校驗(yàn)值替換原升級(jí)包的散列值。

3) 根據(jù)畫(huà)像檢查升級(jí)包是否有文件大小校驗(yàn)，計(jì)算經(jīng)過(guò)步驟2)處理后的載荷大小，將結(jié)果替換原有畫(huà)像的數(shù)值。

4) 根據(jù)畫(huà)像信息更改惡意載荷名稱與原升級(jí)包名稱一致。

5) 惡意載荷上傳至惡意程序服務(wù)器等待目標(biāo)主機(jī)下載。

(2) 漏洞驗(yàn)證配置文件生成

驗(yàn)證配置信息中包含幾項(xiàng)內(nèi)容。

1) 升級(jí)關(guān)鍵數(shù)據(jù)包定位信息

依據(jù)畫(huà)像信息中的發(fā)起階段和下載階段相關(guān)的協(xié)議類型以及關(guān)鍵信息如URL、檢驗(yàn)信息等進(jìn)行實(shí)時(shí)流量的劫持與定位。

2) 中間人攻擊待篡改信息

根據(jù)漏洞檢測(cè)預(yù)結(jié)論，針對(duì)不同類型的漏洞，結(jié)合畫(huà)像信息和惡意載荷信息將實(shí)時(shí)升級(jí)過(guò)程中的配置文件數(shù)據(jù)包，重定向數(shù)據(jù)包中的URL、相關(guān)校驗(yàn)信息等關(guān)鍵字段信息篡改為惡意載荷的信息。

漏洞驗(yàn)證配置文件生成如圖11所示。

(3) 模擬攻擊目標(biāo)主機(jī)

將漏洞驗(yàn)證配置文件輸入到監(jiān)聽(tīng)執(zhí)行模塊，惡意程序服務(wù)器啟動(dòng)，目標(biāo)主機(jī)進(jìn)行軟件升級(jí)時(shí)進(jìn)行關(guān)鍵數(shù)據(jù)劫持與篡改，促使目標(biāo)主機(jī)下載惡意載荷，完成攻擊。

以央視影音客戶端為例，漏洞驗(yàn)證過(guò)程如圖12所示。

根據(jù)漏洞檢測(cè)預(yù)結(jié)論，指導(dǎo)提取畫(huà)像中升級(jí)流量定位信息與待篡改關(guān)鍵信息，同時(shí)將惡意載荷上傳至服務(wù)器并獲取URL，將以上信息整理形成漏洞驗(yàn)證配置文件并上傳至中間人攻擊監(jiān)聽(tīng)執(zhí)行模塊，實(shí)施中間人攻擊。

圖11 漏洞驗(yàn)證配置文件生成

Figure 11 The generation of configuration files for vulnerability validation

圖12 漏洞驗(yàn)證過(guò)程

Figure 12 The vulnerability validation process

3.5 結(jié)果確認(rèn)

驗(yàn)證過(guò)程中，若模擬環(huán)境監(jiān)測(cè)到目標(biāo)主機(jī)完成了惡意載荷的下載，校驗(yàn)與自動(dòng)執(zhí)行則判定預(yù)檢測(cè)結(jié)果正確，輸出最終的升級(jí)漏洞檢測(cè)結(jié)果。

4 方法實(shí)現(xiàn)與驗(yàn)證

為了驗(yàn)證上述檢測(cè)方法的有效性，本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于該方法的升級(jí)漏洞自動(dòng)分析與驗(yàn)證系統(tǒng)。系統(tǒng)包含數(shù)據(jù)分析模塊、漏洞檢測(cè)模塊與漏洞驗(yàn)證模塊，分別實(shí)現(xiàn)升級(jí)流量記錄與畫(huà)像生成、升級(jí)過(guò)程漏洞檢測(cè)，以及對(duì)檢測(cè)結(jié)果驗(yàn)證的功能。利用該系統(tǒng)，對(duì)184個(gè)Windows應(yīng)用軟件樣本進(jìn)行了分析測(cè)試，證明了方法的有效性。

4.1 系統(tǒng)組成

設(shè)計(jì)升級(jí)漏洞自動(dòng)分析與驗(yàn)證系統(tǒng)，系統(tǒng)架構(gòu)如圖13所示。

數(shù)據(jù)分析模塊：由升級(jí)流量記錄模塊和升級(jí)流程畫(huà)像生成模塊兩部分組成，該部分負(fù)責(zé)升級(jí)流程的網(wǎng)絡(luò)數(shù)據(jù)信息的記錄與分析，系統(tǒng)使用tshark（wireshark的命令行工具）對(duì)升級(jí)流程的所有網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行記錄，并將記錄的pcapng格式數(shù)據(jù)包轉(zhuǎn)為json格式數(shù)據(jù)包后，進(jìn)行流量數(shù)據(jù)分析，形成升級(jí)流程畫(huà)像。

漏洞檢測(cè)模塊：根據(jù)輸入的畫(huà)像信息，結(jié)合升級(jí)流程漏洞檢測(cè)規(guī)則集，依據(jù)升級(jí)漏洞檢測(cè)算法對(duì)升級(jí)漏洞進(jìn)行檢測(cè)并生成檢測(cè)結(jié)論。

漏洞驗(yàn)證模塊：驗(yàn)證檢測(cè)結(jié)果的正確性，模塊基于Kali Ettercap中間人攻擊框架[7]實(shí)現(xiàn)，根據(jù)畫(huà)像信息和漏洞檢測(cè)預(yù)結(jié)論生成指導(dǎo)中間人攻擊的Ettercap配置文件，在攻擊配置文件的指導(dǎo)下，在模擬環(huán)境中對(duì)軟件升級(jí)過(guò)程進(jìn)行攻擊，根據(jù)驗(yàn)證結(jié)果，得到最終的漏洞檢測(cè)結(jié)論。

圖13 升級(jí)漏洞自動(dòng)分析與驗(yàn)證系統(tǒng)架構(gòu)

Figure 13 The structure of automatic vulnerability analysis and verification system

4.2 測(cè)試環(huán)境與結(jié)果

升級(jí)漏洞自動(dòng)化檢測(cè)系統(tǒng)分為宿主機(jī)和虛擬機(jī)兩部分，主程序Updanalyze.exe運(yùn)行在宿主機(jī)上，負(fù)責(zé)將待測(cè)程序安裝包、自動(dòng)化分析腳本上傳至虛擬機(jī)與從虛擬機(jī)回傳結(jié)果。由VMware Workstation構(gòu)建的虛擬化Windows操作系統(tǒng)負(fù)責(zé)安裝待測(cè)程序、自動(dòng)化分析升級(jí)過(guò)程與自動(dòng)化驗(yàn)證。測(cè)試環(huán)境網(wǎng)絡(luò)拓?fù)淙鐖D14所示。

圖14 測(cè)試環(huán)境網(wǎng)絡(luò)拓?fù)?/p>

Figure 14 The network topology diagram of testing environment

(1) 軟件樣本測(cè)試結(jié)果

對(duì)12類184款國(guó)內(nèi)外的Windows應(yīng)用軟件進(jìn)行測(cè)試，包含有升級(jí)漏洞的樣本數(shù)量為117個(gè)，所占比例超過(guò)60%，涵蓋了瀏覽器、輸入法等12個(gè)軟件功能類別，根據(jù)漏洞類型和目標(biāo)類別，對(duì)測(cè)試結(jié)果進(jìn)行統(tǒng)計(jì)。漏洞分布統(tǒng)計(jì)如圖15所示，不同軟件類別含漏洞占比如圖16所示。

圖15 漏洞分布統(tǒng)計(jì)

Figure 15 The statistics of vulnerability distribution

圖16 不同軟件類別含漏洞占比

Figure 16 The proportion of vulnerabilities in different software types

從圖15可以看出，目前主要的漏洞形式是無(wú)防護(hù)與校驗(yàn)誤用兩個(gè)類型，占全部已分析樣本總數(shù)的58%，而重定向誤用和HTTPS防護(hù)缺失的情況相對(duì)較少，合計(jì)僅占全部樣本的12%。

從圖16可以看出，在目前已分析的12類軟件樣本中，瀏覽器類中漏洞樣本占比相對(duì)較少，僅為20%，下載工具類中漏洞的樣本占比例最高，達(dá)到100%，其余類別中，含漏洞軟件的比例從40%到80%不等。

(2) 系統(tǒng)性能測(cè)試結(jié)果

系統(tǒng)性能測(cè)試分析如表6所示。

經(jīng)過(guò)實(shí)際測(cè)試，系統(tǒng)誤報(bào)率為7%，系統(tǒng)漏報(bào)率為10%，原因分析如下。

表6 系統(tǒng)性能測(cè)試分析

系統(tǒng)誤報(bào)的樣本共8個(gè)，其中3個(gè)樣本在校驗(yàn)過(guò)程中使用了非標(biāo)準(zhǔn)密碼算法，如截短MD5，系統(tǒng)未能有效檢測(cè)，誤報(bào)為“無(wú)防護(hù)”，實(shí)際應(yīng)為“校驗(yàn)誤用”；5個(gè)樣本由于發(fā)起階段使用HTTPS協(xié)議傳輸配置信息時(shí)，其中包含了校驗(yàn)信息，由于使用加密傳輸，僅根據(jù)流量數(shù)據(jù)無(wú)法檢測(cè)，導(dǎo)致在下載階段使用了HTTP協(xié)議情況下誤報(bào)為“HTTPS保護(hù)缺失”，實(shí)際應(yīng)為“無(wú)漏洞”。針對(duì)以上問(wèn)題，可在后續(xù)的工作中，通過(guò)動(dòng)態(tài)二進(jìn)制插樁監(jiān)控軟件升級(jí)過(guò)程中的關(guān)鍵函數(shù)調(diào)用并提取其參數(shù)[8]的方法對(duì)其加解密并在校驗(yàn)過(guò)程進(jìn)行詳細(xì)分析。

系統(tǒng)漏報(bào)的漏洞共7個(gè)，其中3個(gè)樣本在軟件安裝結(jié)束后，立刻自動(dòng)完成了升級(jí)的發(fā)起階段，系統(tǒng)未能記錄到該階段的流量數(shù)據(jù)，實(shí)際2個(gè)樣本應(yīng)為“無(wú)防護(hù)”，1個(gè)樣本應(yīng)為“散列誤用”，針對(duì)此問(wèn)題，可在軟件安裝前即開(kāi)始網(wǎng)絡(luò)流量記錄，確保升級(jí)流量記錄的完整性；4個(gè)樣本在升級(jí)過(guò)程中未進(jìn)行發(fā)起階段，直接通過(guò)HTTP協(xié)議訪問(wèn)固定域名下載升級(jí)包，實(shí)際應(yīng)為“無(wú)防護(hù)”，針對(duì)此問(wèn)題，可通過(guò)人工進(jìn)行輔助判斷以提高準(zhǔn)確性。

5 結(jié)束語(yǔ)

軟件升級(jí)是應(yīng)用軟件的必備模塊，如果在線升級(jí)的流程設(shè)計(jì)或代碼實(shí)現(xiàn)中存在漏洞，將對(duì)用戶主機(jī)的安全性構(gòu)成嚴(yán)重威脅。然而現(xiàn)有的升級(jí)漏洞檢測(cè)方法和手段，缺乏統(tǒng)一的方法和標(biāo)準(zhǔn)，效率低下、嚴(yán)重依賴人工，難以滿足對(duì)大批量高效分析和檢測(cè)的要求。

為解決這一問(wèn)題，對(duì)大量軟件樣本升級(jí)流程和機(jī)制進(jìn)行分析與研究，本文提出了一種基于網(wǎng)絡(luò)流量的升級(jí)漏洞檢測(cè)方法。首先記錄和分析流量，生成畫(huà)像，并根據(jù)畫(huà)像通過(guò)特征匹配進(jìn)行漏洞檢測(cè)，最后對(duì)檢測(cè)結(jié)果進(jìn)行驗(yàn)證得出最終結(jié)論。本文還設(shè)計(jì)并實(shí)現(xiàn)基于此方法的面向Windows應(yīng)用軟件的升級(jí)漏洞自動(dòng)檢測(cè)與驗(yàn)證系統(tǒng)，系統(tǒng)由數(shù)據(jù)提取與分析、漏洞檢測(cè)與漏洞自動(dòng)驗(yàn)證3個(gè)子系統(tǒng)組成，實(shí)現(xiàn)了升級(jí)流程信息的自動(dòng)提取和分析，以及基于此的漏洞檢測(cè)與驗(yàn)證功能。通過(guò)對(duì)184個(gè)軟件樣本的分析測(cè)試，檢測(cè)出117個(gè)樣本的升級(jí)漏洞，證明了該方法和系統(tǒng)能夠高效準(zhǔn)確地發(fā)現(xiàn)軟件升級(jí)機(jī)制中存在的漏洞。

[1] 張海藩. 軟件工程導(dǎo)論[M]. 北京: 清華大學(xué)出版社, 1998.

ZHANG H F. Introduction to software engineering[M]. Beijing: Tsinghua University Press, 1998.

[2] 彭先覺(jué), 胡勇. 利用軟件在線升級(jí)的攻擊[J]. 通信技術(shù), 2015(10): 1183-1186.

PENG X J, HU Y. Attacks using online software upgrade[J]. Communications Technology, 2015 (10): 1183-1186.

[3] 傅建明, 劉高, 李鵬偉. 一種殺毒軟件升級(jí)流程的安全性分析方法[J]. 武漢大學(xué)學(xué)報(bào)(理學(xué)版). 2015(6): 509-516.

FU J M, LIU G, LI P W. A security analysis method of antivirus software upgrade process[J] .Journal of Wuhan University (Natrual Science Edition). 2015 (6): 509-516.

[4] 周振飛. 軟件供應(yīng)鏈污染機(jī)理與防御研究[D]. 北京: 北京郵電大學(xué), 2018.

ZHOU Z F. Research on software supply chain pollution mechanism and defense[D] .Beijing: Beijing University of Posts and Telecommunications, 2018.

[5] CATUOGNO L, GALDI C, PERSIANO G. Guaranteeing dependency enforcement in software updates[M]. Secure IT Systems. Springer International Publishing, 2015.

[6] 趙作鵬, 尹志民, 王潛平, 等. 一種改進(jìn)的編輯距離算法及其在數(shù)據(jù)處理中的應(yīng)用[J]. 計(jì)算機(jī)應(yīng)用, 2009, 29(2): 424-426.

ZHAO Z P, YIN Z M, WANG Q P, et al. An improved edit distance algorithm and its application in data processing [J]. Journal of Computer Applications, 2009, 29 (2): 424-426.

[7] 劉倩. 基于Kali Linux的網(wǎng)絡(luò)安全技術(shù)探討與研究[D]. 長(zhǎng)春: 吉林大學(xué), 2018.

LIU Q. Discussion and research on network security technology based on Kali Linux [D]. Changchun: Jilin University, 2018.

[8] 王乾. 基于動(dòng)態(tài)二進(jìn)制分析的關(guān)鍵函數(shù)定位技術(shù)研究[D]. 鄭州: 信息工程大學(xué), 2012.

WANG Q. Research on key function location technology based on dynamic binary analysis [D]. Zhengzhou: Information Engineering University, 2012.

Automatic detection method of software upgrade vulnerabilitybased on network traffic analysis

TENG Jinhui, GUANG Yan, SHU Hui, ZHANG Bing

Strategic Support Force Information Engineering University, Zhengzhou 450001, China

During the software upgrade process, the lack of authentication for upgrade information or packages can lead to remote code execution vulnerabilities based on man-in-the-middle attack. An automatic detection method for upgrading vulnerabilities was proposed. The method described the upgrade mechanism by extracting the network traffic during the upgrade process, then matched it with the vulnerability feature vector to anticipate upgrading vulnerabilities. In a validation environment, the man-in-the-middle attack using the portrait information was carried out to verify the detection results. In addition, an automatic vulnerability analysis and verification system based on this method was designed. 184 Windows applications samples was test and 117 upgrade vulnerabilities were detected in these samples, which proved validity of the method.

software upgrade, network traffic analysis, vulnerability detection, automated analysis and validation

TheNational Key R & D Program of China(No.2018YFB08011601)

TP309.5

A

10.11959/j.issn.2096?109x.2020004

騰金輝（1996? ），男，河南洛陽(yáng)人，戰(zhàn)略支援部隊(duì)信息工程大學(xué)助理研究員，主要研究方向?yàn)榛诖髷?shù)據(jù)的安全機(jī)制分析以及漏洞利用。

光焱（1983? ），男，安徽樅陽(yáng)人，博士，戰(zhàn)略支援部隊(duì)信息工程大學(xué)講師，主要研究方向?yàn)榘踩珯C(jī)制分析與漏洞挖掘。

舒輝（1974? ），男，江蘇鹽城人，戰(zhàn)略支援部隊(duì)信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、漏洞檢測(cè)。

張冰（1989? ），男，河南鄭州人，碩士，主要研究方向?yàn)檐浖こ獭?/p>

論文引用格式：騰金輝, 光焱, 舒輝, 等. 基于流量分析的軟件升級(jí)漏洞自動(dòng)檢測(cè)方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2020, 6(1): 94-108.

TENG J H, GUANG Y, SHU H, et al. Automatic detection method of software upgrade vulnerability based on network traffic analysis [J]. Chinese Journal of Network and Information Security, 2020, 6(1): 94-108.

2019?05?14；

2019?08?12

騰金輝，1013787991@qq.com

國(guó)家重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.2018YFB08011601）