自動(dòng)化漏洞挖掘與攻擊檢測(cè)

文偉平

系統(tǒng)、軟件當(dāng)中存在的漏洞使其在運(yùn)行期間面臨惡意攻擊的威脅，漏洞挖掘旨在及時(shí)發(fā)現(xiàn)系統(tǒng)、軟件中可能存在的漏洞，先于攻擊者利用之前及時(shí)修補(bǔ)以有效減少面臨的威脅.因此主動(dòng)進(jìn)行漏洞挖掘與分析對(duì)網(wǎng)絡(luò)安全具有重要意義.此外，由于網(wǎng)絡(luò)攻擊層出不窮，攻擊檢測(cè)技術(shù)越來越受到安全從業(yè)者的關(guān)注，并構(gòu)成保障網(wǎng)絡(luò)安全中的重要一環(huán).

國家漏洞數(shù)據(jù)庫(NVD)收集了市場上所有公認(rèn)的軟件產(chǎn)品的漏洞，根據(jù)該數(shù)據(jù)庫的數(shù)據(jù)統(tǒng)計(jì)，自1997年以來，已經(jīng)發(fā)現(xiàn)9萬多個(gè)漏洞.由于黑客技術(shù)的發(fā)展，漏洞數(shù)量迅速增加.2010—2015年，CVE(通用漏洞枚舉)數(shù)據(jù)庫中新注冊(cè)了約8萬個(gè)漏洞.隨著計(jì)算機(jī)技術(shù)的廣泛應(yīng)用，軟件數(shù)量急劇增加，巨大的軟件數(shù)量使得漏洞的存在更加普遍且更具有隱蔽性.軟件的高復(fù)雜性和漏洞形態(tài)的多樣化給軟件安全漏洞研究帶來了嚴(yán)峻挑戰(zhàn)，傳統(tǒng)的漏洞挖掘方法由于效率低下等問題已經(jīng)無法滿足日益增長的軟件安全性需求.

隨著計(jì)算機(jī)的廣泛應(yīng)用，網(wǎng)絡(luò)攻擊的數(shù)量與危害性日益增加，攻擊者可以通過惡意攻擊破壞計(jì)算機(jī)的正常功能、竊取敏感信息等.隨著網(wǎng)絡(luò)環(huán)境的日益復(fù)雜，網(wǎng)絡(luò)攻擊的形式與方法也更加多樣.例如，APT攻擊將多種攻擊方式進(jìn)行組合與調(diào)整，長期且持續(xù)地對(duì)目標(biāo)進(jìn)行攻擊.因此，針對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)與防護(hù)需要更加有效的方式與技術(shù)來進(jìn)行.

《信息安全研究》為促進(jìn)漏洞挖掘與攻擊檢測(cè)相關(guān)技術(shù)的發(fā)展與創(chuàng)新，組織了本期以“自動(dòng)化漏洞挖掘與攻擊檢測(cè)”為主題的專題.本期所選文章涉及漏洞挖掘、漏洞管理、攻擊防護(hù)與檢測(cè)等方面，在內(nèi)容上注重漏洞挖掘與攻擊檢測(cè)技術(shù)的自動(dòng)化實(shí)現(xiàn)，反映了漏洞挖掘與攻擊檢測(cè)技術(shù)的發(fā)展現(xiàn)狀與趨勢(shì).作者既有來自北京大學(xué)、中國科學(xué)院、北京航空航天大學(xué)、四川大學(xué)、中南大學(xué)、福建師范大學(xué)等的科研團(tuán)隊(duì)，也有中國民航、北京安芯網(wǎng)盾等的參與，期望在有限的篇幅中盡可能展現(xiàn)當(dāng)前漏洞挖掘與攻擊檢測(cè)技術(shù)研究的概貌.具體如下：

1) 劉宇航等人針對(duì)智能合約代幣買賣漏洞和權(quán)限轉(zhuǎn)移漏洞進(jìn)行研究，總結(jié)了代幣買賣漏洞和owner權(quán)限轉(zhuǎn)移漏洞模型.在智能合約字節(jié)碼和源碼層面，提出了針對(duì)智能合約代幣買賣漏洞和owner權(quán)限轉(zhuǎn)移漏洞的自動(dòng)化檢測(cè)工具.

2) 蘇文超等人對(duì)現(xiàn)有的覆蓋率引導(dǎo)的灰盒模糊測(cè)試方法進(jìn)行研究，對(duì)其通用框架以及方法的實(shí)驗(yàn)效果進(jìn)行介紹，并討論了實(shí)驗(yàn)評(píng)估存在的問題，對(duì)其面臨的挑戰(zhàn)、發(fā)展現(xiàn)狀以及進(jìn)一步的研究工作進(jìn)行了分析和展望.

3) 馮美琪等人通過分析網(wǎng)絡(luò)包構(gòu)建攻擊特征，以此構(gòu)建模型檢測(cè)Apache Shiro反序列化漏洞攻擊，同時(shí)判斷攻擊是否成功并流轉(zhuǎn)至人工確認(rèn)及處置環(huán)節(jié)，提高安全事件處置效率.

4) 蔣建春等人分析了高安全等級(jí)系統(tǒng)的抗攻擊能力測(cè)評(píng)需求，提出一種基于網(wǎng)絡(luò)安全威脅路徑想定的抗攻擊能力測(cè)評(píng)方法.通過構(gòu)建高安全等級(jí)系統(tǒng)APT威脅能力庫，模擬實(shí)現(xiàn)不同類型的APT組織以分析等級(jí)保護(hù)對(duì)象的保護(hù)能力，驗(yàn)證保護(hù)對(duì)象相關(guān)安全機(jī)制的效用.

5) 李成揚(yáng)等人針對(duì)虛擬機(jī)軟件保護(hù)技術(shù)進(jìn)行研究，對(duì)當(dāng)前虛擬機(jī)保護(hù)面臨的問題，包括評(píng)估指標(biāo)和優(yōu)化方法上的創(chuàng)新局限性進(jìn)行了介紹，并對(duì)VMP架構(gòu)和安全性進(jìn)行了闡述，總結(jié)現(xiàn)有成果，對(duì)未來發(fā)展趨勢(shì)進(jìn)行了展望.

6) 劉小樂等人提出一種基于深度圖神經(jīng)網(wǎng)絡(luò)檢測(cè)EK活動(dòng)的方法，該方法根據(jù)EK網(wǎng)絡(luò)會(huì)話中的HTTP頭信息和響應(yīng)實(shí)體內(nèi)容提取重定向關(guān)系，根據(jù)自定義節(jié)點(diǎn)和邊生成規(guī)則構(gòu)建重定向圖，并使用深度圖卷積神經(jīng)網(wǎng)絡(luò)提取多尺度的圖結(jié)構(gòu)特征.

7) 姚紀(jì)衛(wèi)等人以二進(jìn)制漏洞攻擊防護(hù)作為研究對(duì)象，提出一種底層防護(hù)技術(shù)思路和軟件框架，通過內(nèi)存保護(hù)技術(shù)實(shí)現(xiàn)對(duì)二進(jìn)制漏洞利用的防護(hù)，在無文件攻擊、內(nèi)存攻擊、內(nèi)存馬攻擊等高級(jí)威脅方面具有良好的應(yīng)用.

8) 陳圣楠等人基于任務(wù)-角色的訪問控制模型，從用戶屬性、資源屬性、任務(wù)時(shí)效等維度對(duì)權(quán)限進(jìn)行靜動(dòng)態(tài)約束，構(gòu)建多約束安全工作流模型.基于多約束安全工作流對(duì)漏洞管理流程進(jìn)行設(shè)計(jì)建模，實(shí)現(xiàn)半自動(dòng)化的漏洞閉環(huán)管理.

9) 付博揚(yáng)等人通過流特征篩選控制節(jié)點(diǎn)，梳理控制行為，通過圖數(shù)據(jù)庫將關(guān)系數(shù)據(jù)導(dǎo)出實(shí)現(xiàn)可視化，從而直觀發(fā)現(xiàn)節(jié)點(diǎn)間的多級(jí)控制關(guān)系，找出跳板節(jié)點(diǎn)和可能的核心控制節(jié)點(diǎn)，從而構(gòu)建一種多級(jí)僵尸網(wǎng)絡(luò)可視化分析系統(tǒng)，對(duì)僵尸網(wǎng)絡(luò)溯源提供幫助.

本期專題所刊載的9篇論文展示了我國漏洞挖掘和攻擊檢測(cè)相關(guān)領(lǐng)域的專家學(xué)者、科研人員以及信息安全從業(yè)人員的部分研究成果.成果去粗取精、求同存異，力圖勾勒出當(dāng)前漏洞挖掘與攻擊檢測(cè)技術(shù)的發(fā)展方向，為學(xué)術(shù)研究、產(chǎn)品開發(fā)和管理決策提供有實(shí)用價(jià)值的理論借鑒和技術(shù)參考.

本期專題的出版得到了作者、審稿專家和編輯部等各方面的大力支持，作為本期專題特約責(zé)任編委，衷心感謝大家的辛勤付出和通力合作，希望本期專題能夠?yàn)閺V大讀者和國內(nèi)同行提供一些有益的參考和幫助.