2018-11-22 19:26:2310606人阅读
关于网络漏洞的攻防博弈,从来都是场持久战。而AI时代的到来,在为全球网络卫士们提供了全新的视角和武器同时,也让网络安全战场的半径大为扩展。
在以百度安全为代表的众多安全企业和从业者的共同努力下,包括漏洞攻防技术领域在内的我国网络安全市场正在经历一个快速的成长期。整个行业也深刻的感受到与理论研究完备的学术界等各方协作的重要性。
11月17日,在百度安全主办的2018天府国际网络安全高峰论坛AI安全分论坛上,北京大学软件与微电子学院文伟平教授发表了名为“从永恒之蓝看漏洞攻防技术的发展”的主题演讲,系统阐述了网络漏洞分析、利用和修复原理及技术,为AI时代的网络安全攻防发展指明了方向,并分享了最新的研究成果.
“永恒之蓝”事件是指2017年5月12日起,全球范围内爆发的基于Windows网络共享协议进行攻击传播的“WannaCry”蠕虫恶意代码,不法分子通过改造之前泄露的美国国家安全局(NSA)黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。病毒爆发的3天内,包括美国、俄罗斯、整个欧洲以及我国在内的超过150个国家的高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
文伟平教授介绍,“永恒之蓝”事件中的“WannaCry”蠕虫恶意代码涉及三类安全技术。首先,是漏洞攻防技术,包括“永恒之蓝”本身的MS17-010系列漏洞;其次,是密码技术,不法分子采用AES算法加密本地文件,同时通过RSA2048算法加密AES的加密密钥;第三,在敲诈勒索环节采用时下流行的比特币进行支付。
“对于不法分子来说,比特币是个‘比较好’的选择,区块链是去中心化,在进行交易的时候身份也是匿名的,有相对隐蔽的支付环境。”文伟平教授表示,“比特币的交易行为,如果能和其他匿名性更强的虚拟币种进行相互交易的话,我们现有的技术是很难查询和溯源的。”
那么,对于防守一方的我们来说,该如何应对类似“永恒之蓝”这样的挑战呢?文伟平教授认为,漏洞的防御体系建设是“贯穿安全漏洞生命周期的技术”,他将漏洞攻防技术分为漏洞分析、漏洞利用和漏洞修复三个部分。
漏洞分析技术主要包括源代码审核、Fuzzing测试、API函数参数测试、补丁对比、静态分析、动态污点传播等;漏洞利用技术则包括漏洞触发、代码语义理解、内存布局分析、安全机制绕过和漏洞利用生成;而漏洞修复技术,主要是分析漏洞、修复代码、生成补丁及应用系统级防御策略的研究。
事实上,在传统的软件漏洞分析领域,文伟平教授和他的团队已经取得了不小的进展,研究成果包括系统内核函数无序调用分析技术、参考安全补丁、基于协议握手、基于Crash信息、基于浏览器对象UAF、基于FLASH对象UAF等多种漏洞分析技术。但在文伟平教授看来,未来漏洞分析的技术方向一定是向自动化、智能化发展。
“在自动化漏洞分析方面业内也经做了大量的工作,主要有两种方法:一种是利用软件度量进行漏洞分析,其能够在一定程度上能反应哪些文件可能会包含漏洞,但其问题在于这个漏洞的特征描述往往是不充分的,在本质上和安全漏洞本身并没有很强的相关性,构建的漏洞分析模型的性能依然较低;另一种是基于语法语义的漏洞分析,相比软件度量其有更详细的表征方式,但它最大的阻碍是抽象语法树路径爆炸的问题。”
文伟平教授认为,未来机器学习和程序分析技术的结合,以及深度学习的发展能够解决漏洞分析向自动化演进中的一些瓶颈。但他也坦承,自动化的漏洞利用还是有难度的。“首先要定位这个漏洞点的位置,第二是要有可利用的路径,以及内存布局的信息,这些都是需要解决的问题。”而自动化漏洞修复就更为困难,“现在我们的漏洞修复更多的是停留在人工层面。”
作为国内学术界顶尖的科研团队,在演讲中,文伟平教授也介绍了北京大学软件安全研究小组与自动化、智能化漏洞研究相关的两个探索项目——Unisan和Android恶意应用检测。
Unisan是北京大学软件安全研究小组的指导老师卢康杰教授主导研究的漏洞自动化发现项目,该项目中提出了一种自动化的方法,来检测与修复由于未正确初始化造成的内核信息泄露漏洞。据文伟平教授介绍,当下内核信息泄露漏洞不仅比缓冲区溢出漏洞更普遍,而且随着操作系统的发展,泄露的数量也在增加。其中近60%的内核信息泄露是由于已分配堆栈对象未被合理初始化并被复制到用户空间。
“Unisan将内核源代码转化为LLVM IR进行分析,对内核信息泄漏点进行定位、初始化,并生成安全的内容映像,便于及时修复。”LLVM是以C++语言编写的构架编译器的框架系统,为苹果、Google、Facebook等大公司采用。
文伟平教授透露,目前UniSan已成功防止43个已知和未知的未初始化数据泄露漏洞。其中19个新漏洞已被Linux和Google确认,并获得了CVE漏洞信息库编号。
Android恶意应用检测是文伟平教授的团队所开发的另外一个项目,其核心环节在于机器学习模型的训练和测试,应用了SVM支持向量分类器、朴素贝叶斯和多层神经网络MLP等多种机器学习模型算法。“精确率还是比较高,超出了我们的预期,机器学习确实是我们检测移动恶意方面比较有效的手段。”
事实上,不论是Unisan还是Android恶意应用检测,以文伟平教授和他的团队所带来的学术成果为代表,来自学术界的研究力量已然成为我国网络安全事业发展的重要推动力。而以标准驱动、技术赋能、生态共建为支点,百度安全也始终保持着与高校和科研机构的深度合作,内容涵盖漏洞安全评估、恶意网址黑产、数据隐私保护及人才交流共建等诸多方面。
从Think Mobile到Think AI,AI时代,产学研各界联手同行,让更安全的AI驱动产业互联网的变革,打造AI安全生态,实现产业共赢。