CON-MVX：一种基于容器技术的多变体执行系统

多变体执行是一种网络安全防御技术,其利用软件多样性生成等价异构的执行体,将程序输入分发至多个执行体并行执行,通过监控和比较执行体的状态来达到攻击检测的目的。相较于传统的补丁式被动防御技术,多变体执行不依赖于具体的攻击威胁特征进行分析,而是通过构建系统的内生安全能力来对大多数已知、甚至未知的漏洞做出有效防御。近年来,多变体执行技术在不断改进和完善,但是误报问题是制约其发展的主要因素。本文针对多变体执行产生误报的原因进行了详细分析,并在此基础上提出利用容器技术实现多变体执行系统在解决误报问题上的优势。为提升多变体执行技术的可用性,本文设计并实现了一种基于容器技术的多变体执行系统CON-MVX,有效解决传统多变体执行系统的误报问题。CON-MVX利用多个经过运行时随机化技术构建的异构容器作为执行体,使用可重构的模块化组件和独立的容器管理工具对容器执行体进行编排管理,建立进程间监控器CGMon,在内核层级实现对多个执行体的输入同步和输出裁决。同时,为满足与客户端良好交互性,建立中继端口策略,保证系统运行状态的正常反馈。实验结果表明,CON-MVX在保证安全能力的前提下,能有效降低多变体执行系统的误报率,在双冗余度执行条件下使用SPEC CPU 2006测试集测试时,系统带来的平均额外性能损耗不超过15%。     

编译支持的多线程程序多变体执行方法

多变体执行（multi-variant execution,MVX）是目前最流行的主动防御技术之一。理想情况下,当未受到攻击时,多变体执行架构提供正常的程序功能。但不幸的是,当多线程程序在多变体执行架构下运行时,由于各个程序变体中共享资源操作的线程执行顺序不一致,不同变体将会产生状态不一致,从而产生攻击误报,该问题导致了多线程程序难以以多变体执行方式运行。基于多变体执行环境,提出了一种编译支持的多线程程序对共享资源操作的同步编译模型,该模型以共享资源操作为同步点,分析确定多线程程序中对共享资源的操作时机和操作方式,保证各程序变体在运行时多线程对共享资源操作的一致性,从而消除了由此而引起的攻击误报。以LLVM 12.0编译框架为基础,设计实现了基于该同步编译模型的原型系统,并对该原型系统进行了仿真实验测试。实验结果显示,经过原型系统处理的多线程程序在多变体执行架构中的误报率显著降低,表明该同步编译模型作为一种通用性的方法,可有效消除多线程程序在多变体执行架构下运行时的攻击误报,提高了多变体执行的可用性。     

编译支持的多变体融合执行设计与实现

多变体执行是由异构冗余变体并行执行来检测攻击的一种技术。作为一种主动防御技术,多变体执行(multi-variant execution,MVX)通过并行运行的异构执行体之间一致性检查发现攻击行为。相较于补丁式的被动防御,MVX可在不依赖攻击特征信息的情况下防御已知漏洞乃至未知漏洞威胁,在网络安全领域具有广泛的应用前景。然而该技术在实际部署中,由于多变体执行架构的边界不清晰,将随机数、进程PID号等被动地纳入到了表决范围,从而产生误报,导致多变体执行无法兼容更多的软件系统。本文分析了多变体执行假阳问题产生的原因,提出I-MVX,一种编译支持的多变体融合执行架构,包括多变体同步编程框架和运行时同步模块。I-MVX通过添加少量编译指示,在编译阶段对程序内部引起假阳性问题的代码和变量进行插桩标识,在运行时由监视器对变体进程内部和外部的变量及资源进行同步处理,消除多变体执行中的误报。本文基于LLVM/Clang编译器和Linux内核加载模块设计实现了I-MVX的编译器和同步监视器。性能实验评估显示,I-MVX在SPEC 2006基准测试集和tinyhttpd测试程序下引入的平均开销分别为2.13%和13.2%。多变体融合执行架构能够以少量的性能损耗为代价有效解决多变体执行中的假阳问题,提升多变体执行的可用性。基于真实CVE漏洞的安全性测试表明,I-MVX在保证多变体执行安全防御有效性基础上提升了多变体执行的兼容性。     

面向进程多变体软件系统的攻击面定性建模分析

攻击面是衡量软件系统安全性的一个重要指标,采用攻击面描述可以通过集合的方式描述软件系统的安全性并对其进行度量。一般的攻击面模型基于I/O自动机模型对软件系统进行建模,其一般采用非冗余的架构,难以应用于类似多变体系统这类异构冗余的系统架构。Manadhatad等提出了一种在非相似余度系统中进行攻击面度量的方式,但其采用的系统架构表决粒度和表决方式与多变体系统不同,无法准确度量多变体系统的攻击面。因此,在传统攻击面模型基础上,结合多变体系统异构冗余架构的特点,对传统攻击面模型进行扩展,并构建多变体系统的攻击面模型;使用形式化方式表示多变体系统的攻击面,根据多变体系统在系统出口点处的表决机制对传统攻击面模型进行改进,以使其能解释多变体系统攻击面缩小的现象,通过该建模方式,能够说明采用多变体架构的多变体系统在运行过程中攻击面的变化。采用了两组多变体执行架构的软件系统进行实例分析,分别通过与未采用多变体架构的功能相同的软件系统在未受攻击和遭受攻击两种情境下进行攻击面的对比分析,体现多变体系统在攻击面上的变化。结合攻击面理论与多变体执行系统的特点提出了一种面向多变体执行系统的攻击面建模方法,目前可以定性分析多变体执行系统攻击面的变化,未来将在定量分析多变体执行系统攻击面的方向继续进行深入研究。     

面向多变体系统的执行体多样性度量方法

近年来,以内生安全为主要技术机制的多变体系统在防御零日漏洞攻击中表现出了巨大的潜力.但是现有研究很少涉及多样性和安全性之间的量化评估.对此,提出面向多变体系统的执行体多样性度量方法,该方法通过执行体属性和属性类型构建执行体属性矩阵,结合属性多样性和局部多样性综合评估执行体集的空间多样性,并针对矩阵参数及其多样性权重进行分析以达到系统最大多样化.构建了一个典型的多变体系统及零日攻击模型来评估该指标的有效性,评估结果表明,该多样性度量方法能有效衡量多变体系统中执行体间的异构性,并根据执行体异构性和系统攻击成功率的关系,间接评估出多变体系统的整体安全性.根据结论,该方法为构建更加多样化和安全的系统方面提供了一些指导.     

多变体系统服务质量及损耗评估方法

多变体系统利用多样化技术和动态冗余策略从架构层面实现系统的高安全性和高可靠性，然而现有研究很少涉及多变体系统服务质量（QoS）的量化评估。针对以上问题，提出一种多变体系统QoS及损耗评估方法。首先，在多变体系统架构形式化建模的基础上，基于QoS属性及权重矩阵提出QoS评估模型和流程，并使用信息熵法则评估QoS属性的重要程度；然后，构造典型的多变体系统测试实例，设计并选取影响系统性能和安全性的QoS属性；最后，量化评估系统的QoS属性权重、QoS值、QoS差异和损耗，其中，性能属性平均损耗15.86个百分点，安全属性增益4.98个百分点。评估结果表明多变体机制存在QoS损耗，但它的安全属性带来了一定程度的QoS增益，可为构造高QoS以及低QoS损耗的多变体系统提供一些参考。     

基于异常检测的NVP表决器

一般的表决器多是针对一维输出进行表决,构建表决器相对应的决策树,预先给出阈值来制定表决策略。但是对于多维输出的表决器研究相对较少,尤其是输出各个变量之间非独立的情况下,不能将多维输出的每个变量进行单独表决,否则会引入异常点,影响表决结果。实验表明,将异常检测技术引入到表决器中,净化需要表决的数据,可以提高表决结果的准确率。     

一种基于执行体异构度的拟态裁决优化方法

网络空间拟态防御技术通过构建动态异构冗余的系统架构来提高系统的安全性能,而裁决器的表决机制是防御链中的关键步骤,直接影响拟态系统的安全性和效率。针对拟态表决环节的任务特性,对一致表决算法进行改进,设计基于执行体异构度的拟态裁决优化方法。结合拟态防御系统的异构特性,在选择执行体表决输出时引入执行体间的异构度作为决策因素,同时综合考虑执行体数目和历史记录信息,使表决算法更适用于拟态架构面临的威胁场景。实验结果表明,与一致表决算法相比,该算法能够显著提高拟态系统的安全性能,有效规避共模逃逸的风险。     

基于演化博弈的NFV拟态防御架构动态调度策略

构建网络功能虚拟化（NFV）拟态防御架构能够打破防御滞后于攻击的攻防不对等格局,其中动态调度策略是关键实现技术。然而,现有拟态防御架构中的动态调度策略大多根据执行体自身固有的特点进行调度,没有进一步利用裁决机制对异常执行体的定位感知能力做优化调整。通过引入演化博弈理论,设计一种新的NFV拟态防御架构动态调度策略。在NFV拟态防御架构中增加一个分析器,用于对历史裁决信息进行分析研究。根据分析器中得到的反馈信息,从攻防双方的有限理性出发构建多状态动态调度演化博弈模型,并采用复制动态方程求解该博弈模型的演化均衡策略,利用李雅普诺夫间接法对均衡策略进行稳定性分析,提出基于演化博弈的动态调度策略选取算法。仿真结果表明,该策略能够利用裁决机制对异常执行体的定位感知能力,通过深入分析研究和不断调整优化选择具有适应性和针对性的调度策略,有效提升系统的安全收益和防御效能。     

基于差异距离反馈的多执行体裁决算法与调度算法

针对现有多执行体裁决算法和调度算法主要将执行体受攻击的次数作为可信度的参考依据,难以区分每次攻击行为的恶意程度,也难以应对执行体输出为数值且允许存在误差的应用场景的问题,以电力系统状态估计异常检测作为应用场景,提出根据归一化的执行体输出差异距离调整其可信度的裁决算法,以及基于运行时长、可信度和切换开销等构造收益函数的调度算法。仿真实验结果表明,相比同等权重的裁决算法和随机切换的调度算法,所提算法在系统执行开销基本相同的情况下,可以将系统平均失效率降低43.8%,能够有效地提升工业网络防护设备的防御能力。     

多变体执行安全防御技术研究综述

软件和信息系统的高速发展在给人们生活带来诸多便利的同时,也让更多的安全风险来到了我们身边,不法分子可以很方便的利用无处不在的网络和越来越自动化、低门槛的攻击技术去获得非法利益。面对这种现状,传统被动式的安全防御已显得力不从心,更高的防御需求,促进了安全领域不断研究新的主动防御技术。这其中,基于攻击面随机化扰动的移动目标防御技术和基于异构冗余思想的多变体执行架构技术受到了广泛的关注,被认为是有可能改变网络空间游戏规则的安全技术,有望改变攻防双方不平衡的地位。本文对近年来多变体执行架构技术在安全防御方面的研究工作进行归纳总结,梳理了该方向的关键技术及评价体系。在此基础上,分析了多变体执行架构在安全防御方面的有效性,最后指出多变体执行架构技术当前面临的挑战与未来的研究方向。     

Intrusion detection alarms reduction using root cause analysis and clustering

As soon as the Intrusion Detection System (IDS) detects any suspicious activity, it will generate several alarms referring to as security breaches. Unfortunately, the triggered alarms usually are accompanied with huge number of false positives. In this paper, we use root cause analysis to discover the root causes making the IDS triggers these false alarms; most of these root causes are not attacks. Removing the root causes enhances alarms quality in the future. The root cause instigates the IDS to trigger alarms that almost always have similar features. These similar alarms can be clustered together; consequently, we have designed a new clustering technique to group IDS alarms and to produce clusters. Then, each cluster is modeled by a generalized alarm. The generalized alarms related to root causes are converted (by the security analyst) to filters in order to reduce future alarms’ load. The suggested system is a semi-automated system helping the security analyst in specifying the root causes behind these false alarms and in writing accurate filtering rules. The proposed clustering method was verified with three different datasets, and the averaged reduction ratio was about 74% of the total alarms. Application of the new technique to alarms log greatly helps the security analyst in identifying the root causes; and then reduces the alarm load in the future.     

基于虚拟化技术的有效提高系统可用性的方法

针对安全攸关的客户机在安全工具发生警报时往往会进行暂停、检测、恢复等操作,而安全工具误报（虚报、漏报）的发生和发现存在延迟,从而对客户机造成可用性影响的问题,提出一种基于虚拟化技术的有效解决方案。在误报发生时,首先正确控制可疑进程行为,避免该进程对系统造成实质性影响。其次记录可疑进程行为,并根据其与系统其他进程的交互行为形成进程间依赖关系。当误报被发现时,以记录的进程行为及进程间依赖关系为依据,对可疑进程及与其存在依赖关系的相关进程采取恢复进程行为、杀死相关进程等措施,使系统快速达到正确运行状态。实验结果表明,所提方案能够在安全工具发生误报时,避免回滚、恢复等操作带来的时间开销,相对于未采取措施的情况,所提方案将误报存在时的处理时间减少20%~50%。所提方案能够有效降低安全工具误报对客户机可用性造成的影响,可应用在安全攸关的客户机所在的云平台之上。     

基于多变体的控制软件异构冗余与动态重构技术研究

针对控制软件的防篡改问题,从工控安全角度出发,提出了一种利用多变体技术和虚拟化技术构建控制软件动态目标防御体系的新方法;通过多变体的异构冗余、动态重构和多模表决实现了软件层面的主动防御和安全态势感知,通过虚拟化技术实现了多变体执行环境的快速构建;着重介绍了技术路线、系统架构、动态重构策略、表决算法和同步机制;研究结果表明,该技术在提高控制系统可靠性的同时,使其具备了较强的主动安全防御能力。     

The influence of alarm timing on driver response to collision warning systems following system failure

This driving simulator study focuses on false and missing alarms produced by a forward collision warning system and estimates the effect of alarm timing on driver response to alarm malfunction from the perspective of driver trust in alarms. The results show that drivers who experience late alarms are reluctant to respond to a false alarm and are not influenced by a missed alarm; however, drivers who experience early alarms tend to respond to a false alarm and suffer a delayed response to critical situations when a missing alarm happens. Furthermore, drivers whose judgement of trust is relatively high, tend to exhibit delayed braking, compared with drivers that have lower levels of trust. Driver behaviour towards false and missed alarms may vary according to alarm timing and its influence on trust in alarms; moreover, impaired system effectiveness caused by alarm malfunction may be mitigated by manipulating alarm timing.     

The influence of alarm timing on driver response to collision warning systems following system failure

This driving simulator study focuses on false and missing alarms produced by a forward collision warning system and estimates the effect of alarm timing on driver response to alarm malfunction from the perspective of driver trust in alarms. The results show that drivers who experience late alarms are reluctant to respond to a false alarm and are not influenced by a missed alarm; however, drivers who experience early alarms tend to respond to a false alarm and suffer a delayed response to critical situations when a missing alarm happens. Furthermore, drivers whose judgement of trust is relatively high, tend to exhibit delayed braking, compared with drivers that have lower levels of trust. Driver behaviour towards false and missed alarms may vary according to alarm timing and its influence on trust in alarms; moreover, impaired system effectiveness caused by alarm malfunction may be mitigated by manipulating alarm timing.     

基于数据挖掘的入侵防御研究

分析了目前比较热门的入侵防御系统,并指出了其优势和不足.提出了一种基于深度防御原则的网络安全模型,在该模型中采用数据挖掘技术来分析入侵防御系统中的警报.该模型的核心是一个管理着各分支本地安全策略服务器的全局安全策略服务器,其中每一条分支上的本地安全策略服务器又管理一个入侵防御系统.对设计的模型进行了性能分析,结果论证了该模型在提升检测率和误报率方面的可行性和有效性.     

MVX-CFI:一种实用的软件安全主动防御架构

软件安全是网络空间安全中最重要的环节。早期的软件安全解决方案大多是发现安全威胁后再逐一解决的被动防御方案。为了有效应对各类安全威胁,防御方法逐渐从被动过渡到主动。在众多的主动防御方法中,从系统执行架构角度出发构建内生防御能力的软件多变体执行架构技术受到了广泛关注,它通过异构、冗余执行体之间的相对正确性检查发现攻击行为,不依赖于具体安全威胁的特征检测,可实时检测并防御大多数已知、甚至未知安全威胁。然而,该方法面向实际应用部署存在较大的性能瓶颈。控制流完整性（CFI）是一种理想的安全解决方案,但由于其性能损失和兼容性问题也未被广泛采用。本文将两者有效结合提出一种基于多变体执行架构的CFI （MVX-CFI）。MVX-CFI是一种基于执行架构的、动态、透明的CFI实施方法,它能够有效捕获软件整个运行时控制流的走向并发现由攻击等恶意行为引起的非法路径转移。MVX-CFI通过MVX可形式化验证的高可信表决机制在运行时动态建立描述应用程序高频执行路径的控制流子图（Sub-CFG）,并作为检测模型正向反馈到MVX用于辅助检测,减少了传统MVX大量重复的表决工作,提高了MVX的执行性能。Sub-CFG具有在线分离软件执行过程中高频路径和低频路径的能力,这一特性为软件预置后门的检测提供了一种思路。实验评估表明,本文的改进方法提高了原架构的执行效率,同时保证了在安全防御方面的有效性。