自動化漏洞挖掘與攻擊檢測

文偉平

系統(tǒng)、軟件當(dāng)中存在的漏洞使其在運行期間面臨惡意攻擊的威脅，漏洞挖掘旨在及時發(fā)現(xiàn)系統(tǒng)、軟件中可能存在的漏洞，先于攻擊者利用之前及時修補以有效減少面臨的威脅.因此主動進行漏洞挖掘與分析對網(wǎng)絡(luò)安全具有重要意義.此外，由于網(wǎng)絡(luò)攻擊層出不窮，攻擊檢測技術(shù)越來越受到安全從業(yè)者的關(guān)注，并構(gòu)成保障網(wǎng)絡(luò)安全中的重要一環(huán).

國家漏洞數(shù)據(jù)庫(NVD)收集了市場上所有公認的軟件產(chǎn)品的漏洞，根據(jù)該數(shù)據(jù)庫的數(shù)據(jù)統(tǒng)計，自1997年以來，已經(jīng)發(fā)現(xiàn)9萬多個漏洞.由于黑客技術(shù)的發(fā)展，漏洞數(shù)量迅速增加.2010—2015年，CVE(通用漏洞枚舉)數(shù)據(jù)庫中新注冊了約8萬個漏洞.隨著計算機技術(shù)的廣泛應(yīng)用，軟件數(shù)量急劇增加，巨大的軟件數(shù)量使得漏洞的存在更加普遍且更具有隱蔽性.軟件的高復(fù)雜性和漏洞形態(tài)的多樣化給軟件安全漏洞研究帶來了嚴峻挑戰(zhàn)，傳統(tǒng)的漏洞挖掘方法由于效率低下等問題已經(jīng)無法滿足日益增長的軟件安全性需求.

隨著計算機的廣泛應(yīng)用，網(wǎng)絡(luò)攻擊的數(shù)量與危害性日益增加，攻擊者可以通過惡意攻擊破壞計算機的正常功能、竊取敏感信息等.隨著網(wǎng)絡(luò)環(huán)境的日益復(fù)雜，網(wǎng)絡(luò)攻擊的形式與方法也更加多樣.例如，APT攻擊將多種攻擊方式進行組合與調(diào)整，長期且持續(xù)地對目標(biāo)進行攻擊.因此，針對網(wǎng)絡(luò)攻擊的檢測與防護需要更加有效的方式與技術(shù)來進行.

《信息安全研究》為促進漏洞挖掘與攻擊檢測相關(guān)技術(shù)的發(fā)展與創(chuàng)新，組織了本期以“自動化漏洞挖掘與攻擊檢測”為主題的專題.本期所選文章涉及漏洞挖掘、漏洞管理、攻擊防護與檢測等方面，在內(nèi)容上注重漏洞挖掘與攻擊檢測技術(shù)的自動化實現(xiàn)，反映了漏洞挖掘與攻擊檢測技術(shù)的發(fā)展現(xiàn)狀與趨勢.作者既有來自北京大學(xué)、中國科學(xué)院、北京航空航天大學(xué)、四川大學(xué)、中南大學(xué)、福建師范大學(xué)等的科研團隊，也有中國民航、北京安芯網(wǎng)盾等的參與，期望在有限的篇幅中盡可能展現(xiàn)當(dāng)前漏洞挖掘與攻擊檢測技術(shù)研究的概貌.具體如下：

1) 劉宇航等人針對智能合約代幣買賣漏洞和權(quán)限轉(zhuǎn)移漏洞進行研究，總結(jié)了代幣買賣漏洞和owner權(quán)限轉(zhuǎn)移漏洞模型.在智能合約字節(jié)碼和源碼層面，提出了針對智能合約代幣買賣漏洞和owner權(quán)限轉(zhuǎn)移漏洞的自動化檢測工具.

2) 蘇文超等人對現(xiàn)有的覆蓋率引導(dǎo)的灰盒模糊測試方法進行研究，對其通用框架以及方法的實驗效果進行介紹，并討論了實驗評估存在的問題，對其面臨的挑戰(zhàn)、發(fā)展現(xiàn)狀以及進一步的研究工作進行了分析和展望.

3) 馮美琪等人通過分析網(wǎng)絡(luò)包構(gòu)建攻擊特征，以此構(gòu)建模型檢測Apache Shiro反序列化漏洞攻擊，同時判斷攻擊是否成功并流轉(zhuǎn)至人工確認及處置環(huán)節(jié)，提高安全事件處置效率.

4) 蔣建春等人分析了高安全等級系統(tǒng)的抗攻擊能力測評需求，提出一種基于網(wǎng)絡(luò)安全威脅路徑想定的抗攻擊能力測評方法.通過構(gòu)建高安全等級系統(tǒng)APT威脅能力庫，模擬實現(xiàn)不同類型的APT組織以分析等級保護對象的保護能力，驗證保護對象相關(guān)安全機制的效用.

5) 李成揚等人針對虛擬機軟件保護技術(shù)進行研究，對當(dāng)前虛擬機保護面臨的問題，包括評估指標(biāo)和優(yōu)化方法上的創(chuàng)新局限性進行了介紹，并對VMP架構(gòu)和安全性進行了闡述，總結(jié)現(xiàn)有成果，對未來發(fā)展趨勢進行了展望.

6) 劉小樂等人提出一種基于深度圖神經(jīng)網(wǎng)絡(luò)檢測EK活動的方法，該方法根據(jù)EK網(wǎng)絡(luò)會話中的HTTP頭信息和響應(yīng)實體內(nèi)容提取重定向關(guān)系，根據(jù)自定義節(jié)點和邊生成規(guī)則構(gòu)建重定向圖，并使用深度圖卷積神經(jīng)網(wǎng)絡(luò)提取多尺度的圖結(jié)構(gòu)特征.

7) 姚紀(jì)衛(wèi)等人以二進制漏洞攻擊防護作為研究對象，提出一種底層防護技術(shù)思路和軟件框架，通過內(nèi)存保護技術(shù)實現(xiàn)對二進制漏洞利用的防護，在無文件攻擊、內(nèi)存攻擊、內(nèi)存馬攻擊等高級威脅方面具有良好的應(yīng)用.

8) 陳圣楠等人基于任務(wù)-角色的訪問控制模型，從用戶屬性、資源屬性、任務(wù)時效等維度對權(quán)限進行靜動態(tài)約束，構(gòu)建多約束安全工作流模型.基于多約束安全工作流對漏洞管理流程進行設(shè)計建模，實現(xiàn)半自動化的漏洞閉環(huán)管理.

9) 付博揚等人通過流特征篩選控制節(jié)點，梳理控制行為，通過圖數(shù)據(jù)庫將關(guān)系數(shù)據(jù)導(dǎo)出實現(xiàn)可視化，從而直觀發(fā)現(xiàn)節(jié)點間的多級控制關(guān)系，找出跳板節(jié)點和可能的核心控制節(jié)點，從而構(gòu)建一種多級僵尸網(wǎng)絡(luò)可視化分析系統(tǒng)，對僵尸網(wǎng)絡(luò)溯源提供幫助.

本期專題所刊載的9篇論文展示了我國漏洞挖掘和攻擊檢測相關(guān)領(lǐng)域的專家學(xué)者、科研人員以及信息安全從業(yè)人員的部分研究成果.成果去粗取精、求同存異，力圖勾勒出當(dāng)前漏洞挖掘與攻擊檢測技術(shù)的發(fā)展方向，為學(xué)術(shù)研究、產(chǎn)品開發(fā)和管理決策提供有實用價值的理論借鑒和技術(shù)參考.

本期專題的出版得到了作者、審稿專家和編輯部等各方面的大力支持，作為本期專題特約責(zé)任編委，衷心感謝大家的辛勤付出和通力合作，希望本期專題能夠為廣大讀者和國內(nèi)同行提供一些有益的參考和幫助.