自动化漏洞挖掘与攻击检测
2022-11-27文伟平
文伟平
系统、软件当中存在的漏洞使其在运行期间面临恶意攻击的威胁,漏洞挖掘旨在及时发现系统、软件中可能存在的漏洞,先于攻击者利用之前及时修补以有效减少面临的威胁.因此主动进行漏洞挖掘与分析对网络安全具有重要意义.此外,由于网络攻击层出不穷,攻击检测技术越来越受到安全从业者的关注,并构成保障网络安全中的重要一环.
国家漏洞数据库(NVD)收集了市场上所有公认的软件产品的漏洞,根据该数据库的数据统计,自1997年以来,已经发现9万多个漏洞.由于黑客技术的发展,漏洞数量迅速增加.2010—2015年,CVE(通用漏洞枚举)数据库中新注册了约8万个漏洞.随着计算机技术的广泛应用,软件数量急剧增加,巨大的软件数量使得漏洞的存在更加普遍且更具有隐蔽性.软件的高复杂性和漏洞形态的多样化给软件安全漏洞研究带来了严峻挑战,传统的漏洞挖掘方法由于效率低下等问题已经无法满足日益增长的软件安全性需求.
随着计算机的广泛应用,网络攻击的数量与危害性日益增加,攻击者可以通过恶意攻击破坏计算机的正常功能、窃取敏感信息等.随着网络环境的日益复杂,网络攻击的形式与方法也更加多样.例如,APT攻击将多种攻击方式进行组合与调整,长期且持续地对目标进行攻击.因此,针对网络攻击的检测与防护需要更加有效的方式与技术来进行.
《信息安全研究》为促进漏洞挖掘与攻击检测相关技术的发展与创新,组织了本期以“自动化漏洞挖掘与攻击检测”为主题的专题.本期所选文章涉及漏洞挖掘、漏洞管理、攻击防护与检测等方面,在内容上注重漏洞挖掘与攻击检测技术的自动化实现,反映了漏洞挖掘与攻击检测技术的发展现状与趋势.作者既有来自北京大学、中国科学院、北京航空航天大学、四川大学、中南大学、福建师范大学等的科研团队,也有中国民航、北京安芯网盾等的参与,期望在有限的篇幅中尽可能展现当前漏洞挖掘与攻击检测技术研究的概貌.具体如下:
1) 刘宇航等人针对智能合约代币买卖漏洞和权限转移漏洞进行研究,总结了代币买卖漏洞和owner权限转移漏洞模型.在智能合约字节码和源码层面,提出了针对智能合约代币买卖漏洞和owner权限转移漏洞的自动化检测工具.
2) 苏文超等人对现有的覆盖率引导的灰盒模糊测试方法进行研究,对其通用框架以及方法的实验效果进行介绍,并讨论了实验评估存在的问题,对其面临的挑战、发展现状以及进一步的研究工作进行了分析和展望.
3) 冯美琪等人通过分析网络包构建攻击特征,以此构建模型检测Apache Shiro反序列化漏洞攻击,同时判断攻击是否成功并流转至人工确认及处置环节,提高安全事件处置效率.
4) 蒋建春等人分析了高安全等级系统的抗攻击能力测评需求,提出一种基于网络安全威胁路径想定的抗攻击能力测评方法.通过构建高安全等级系统APT威胁能力库,模拟实现不同类型的APT组织以分析等级保护对象的保护能力,验证保护对象相关安全机制的效用.
5) 李成扬等人针对虚拟机软件保护技术进行研究,对当前虚拟机保护面临的问题,包括评估指标和优化方法上的创新局限性进行了介绍,并对VMP架构和安全性进行了阐述,总结现有成果,对未来发展趋势进行了展望.
6) 刘小乐等人提出一种基于深度图神经网络检测EK活动的方法,该方法根据EK网络会话中的HTTP头信息和响应实体内容提取重定向关系,根据自定义节点和边生成规则构建重定向图,并使用深度图卷积神经网络提取多尺度的图结构特征.
7) 姚纪卫等人以二进制漏洞攻击防护作为研究对象,提出一种底层防护技术思路和软件框架,通过内存保护技术实现对二进制漏洞利用的防护,在无文件攻击、内存攻击、内存马攻击等高级威胁方面具有良好的应用.
8) 陈圣楠等人基于任务-角色的访问控制模型,从用户属性、资源属性、任务时效等维度对权限进行静动态约束,构建多约束安全工作流模型.基于多约束安全工作流对漏洞管理流程进行设计建模,实现半自动化的漏洞闭环管理.
9) 付博扬等人通过流特征筛选控制节点,梳理控制行为,通过图数据库将关系数据导出实现可视化,从而直观发现节点间的多级控制关系,找出跳板节点和可能的核心控制节点,从而构建一种多级僵尸网络可视化分析系统,对僵尸网络溯源提供帮助.
本期专题所刊载的9篇论文展示了我国漏洞挖掘和攻击检测相关领域的专家学者、科研人员以及信息安全从业人员的部分研究成果.成果去粗取精、求同存异,力图勾勒出当前漏洞挖掘与攻击检测技术的发展方向,为学术研究、产品开发和管理决策提供有实用价值的理论借鉴和技术参考.
本期专题的出版得到了作者、审稿专家和编辑部等各方面的大力支持,作为本期专题特约责任编委,衷心感谢大家的辛勤付出和通力合作,希望本期专题能够为广大读者和国内同行提供一些有益的参考和帮助.