基于指针时空分析的软件异常可利用性判定

软件异常的可利用性是评估漏洞威胁等级的重要指标。针对目前二进制程序异常可利用性判定方法存在检测模式少、分析深度和精度不足、准确率低的问题,通过分析多重指针的时空局部有效性,利用独立可控数据的内存布局构造从异常指令到跳转指令的指针引用路径,能够快速收敛搜索域,提高控制流劫持成功率和判定准确率。实验结果表明,该方法适用于栈溢出、堆溢出、整型溢出导致覆盖返回地址、函数指针等模式,具有较高的准确率和较小的性能开销。

Crash可利用性分析方法研究综述

Fuzzing技术是现阶段用于漏洞挖掘的主流技术,目前绝大多数的软件漏洞都是利用该技术发现的。但是Fuzzing技术存在的一个主要问题是其会产生大量的crash样本,如何对这些crash样本进行快速的分析分类,是当前基于Fuzzing技术进行漏洞挖掘工作所面临的主要问题。针对crash可利用性分析的研究,首先,总结了导致程序crash的原因并对其分析技术发展的现状进行了概述;其次,着重分析了当前利用动态污点分析和符号执行等技术进行crash可利用性判定的4种有效分析方法;最后,对比了这4种方法之间的差异,并探讨了crash可利用性分析技术未来的发展方向及趋势。

基于动态污点分析的栈溢出Crash判定技术

Fuzzing技术和动态符号执行技术以发现程序异常为测试终止条件,却无法进一步评估程序异常的威胁严重等级。为此,阐述用于Crash可利用性分析的3种主要方法。在二进制插桩平台Pin上,提出一种基于动态污点分析技术的Crash可利用性自动化分析框架。实验结果表明,该框架能够准确有效地判断Crash的可利用性程度。

软件与系统漏洞分析与发现技术研究构想和成果展望

软件与系统漏洞是国家网络空间安全的重要战略资源。中国关键基础设施和重要信息系统部分核心技术受制于人,软件与系统漏洞普遍存在的现状短期之内无法根除,需要开展深层次、大规模、智能化漏洞挖掘研究;随着移动互联网、工业控制网和物联网等领域的新技术和新应用的推广,现有漏洞挖掘分析技术体系不能满足新的需求;此外,中国漏洞研究团队资源相对分散,国家层面漏洞研究协作机制尚未形成,难以支撑国家对漏洞战略资源的把控。以提升国家开展漏洞战略资源把控能力为导向,针对软件与系统漏洞研究现状,目前亟待解决的四大难题,即漏洞挖掘分析智慧性弱、大流量监测精度低、危害评估验证难、规模协同能力缺。围绕四大难题开展攻关:一是,软件与系统漏洞智慧挖掘方法及关键技术,包括模糊推理经验库的构建方法、基于基因图谱的漏洞挖掘方法、智能引导优化问题、基于策略的漏洞识别方法。二是,软件与系统漏洞分析与可利用性判定技术,包括漏洞成因分析技术、程序异常路径构造技术、同源性漏洞分析技术、漏洞可利用性判定技术、多场景漏洞分析平台建设。三是,基于网络流量的漏洞分析与检测技术,包括利用动静态方法的漏洞攻击样本检测技术、研制软件漏洞攻击样本自动化检测原型系统、针对疑似网络攻击流量的深度检测与智能识别技术、网络攻击样本自动化分析与精准验证、面向攻击流量的漏洞检测与综合服务平台。四是,漏洞危害评估与验证技术,包括基于硬件虚拟化的动态污点分析技术、漏洞自动利用技术、研制基于虚拟环境的漏洞自动化验证系统、漏洞危害性评估体系和危害性评估算法。五是,漏洞规模化协同挖掘分析技术研究与应用,包括多任务多引擎自适应均衡规模化漏洞挖掘技术、多维度多任务智能协同技术、开放协作的知识复用技术、面向多计算环境的规模化协同漏洞发掘的一体化平台、规模化协同条件下漏洞挖掘、分析和可利用性评估技术、规模化协同漏洞发掘一体化平台在典型行业的应用验证。通过以上研究内容实现以下五个方面创新:一是,基因图谱定式复盘,基于基因图谱构建与经验知识复用的漏洞智慧挖掘技术;二是,多源分析多态利用,基于多源漏洞分析的多态可利用性评估技术;三是,动静结合意图推演,大流量环境下基于数据驱动与行为认知关联的攻击检测技术;四是,状态切片叠加复现,活体漏洞库构建技术;五是,智能连接迭代适应,多任务多引擎自适应均衡规模化漏洞挖掘技术。最终,构建集漏洞挖掘、分析、监测、评估、验证于一体的规模协同平台,形成知识复用、智能连接、开放协作的生态系统,为国家摸清网络空间安全家底、扭转攻防博弈被动局面提供技术支撑。