使用符号化驱动环境检测Linux设备驱动程序的漏洞

研究表明,驱动程序的漏洞是造成Linux系统安全问题的主要原因之一,可引发提权、拒绝服务等高危情况。针对无具体设备的情况下,无法对驱动程序进行运行时漏洞检测的问题,提出了对驱动程序进行符号化执行的思路,提出了一种基于符号执行技术实现的驱动程序模拟环境,可以用于分析和检测Linux设备驱动程序中存在的安全漏洞。该环境通过模拟内核提供给驱动程序的服务接口,使驱动程序可以在应用层进行符号执行进而可对其进行漏洞检测。同时,该环境无需真实硬件的支持,并且具备覆盖率高、执行速度快、易于扩展等特点。通过将该环境作用于6个不同的Linux设备驱动,检测出了6个真实的漏洞,其中三个漏洞已向驱动维护者提交补丁并被接受。实验结果表明,符号化驱动环境具备一定的漏洞检测能力,并且拥有资源消耗低、检测速度快和不依赖于硬件设备的特点。     

一种非堆喷射的IE浏览器漏洞利用技术研究

随着互联网技术的进步和发展,计算机成为人们日常生产生活不可缺少的工具,计算机系统的安全问题愈加重要。目前,利用各类系统或软件的漏洞已经成为主流的攻击方法。为更加有效防御针对漏洞的攻击,就需要对各类漏洞利用方法深入研究。文章基于流行的IE浏览器漏洞利用方法的研究,介绍了一种新型的浏览器漏洞利用技术,并在已知漏洞中得到了验证。     

针对安卓手机提权漏洞的新型防范模型设计与验证

目前,智能手机安全问题引起了人们高度的重视。木马作为一种隐蔽性、欺骗性很高的攻击手段,在该平台上不断蔓延,虽然受到广泛关注,但却没有很好的防范手段。在各种漏洞中,提权漏洞对于Android系统的安全威胁巨大,一旦攻击者有机会获得内核的内存地址,就能够通过关闭内核内存的写保护获得向内核内存写入恶意指令的权限,并实现下载木马病毒的目的。为应对这一漏洞,首先分析SEAndroid机制,并基于此机制提出一种新型的将内核加强和数据包过滤2种方法结合的提权漏洞防范模块,并通过实验对所提出的防范模块的有效性进行验证。     

缓冲区溢出漏洞攻击的分析研究

缓冲区溢出漏洞是当前互联网中存在的最主要的威胁之一.本文针对Linux系统存在的缓冲区溢出漏洞,讨论了缓冲区溢出漏洞的产生原理和一般的攻击手段,介绍了不同的防御手段并比较了其优缺点.     

劫持Linux系统调用封杀Core Dump漏洞攻击

Core Dump漏洞影响kernal2.6.13-2.6.17.3的多款Linux操作系统,它可以引发拒绝服务攻击和本地权限提升攻击,危害巨大。恶意进程使用prctl系统调用,通过故意制造Core Dump,可以旁路操作系统安全控制,攻击系统。通过劫持prctl系统调用,对发起系统调用的进程进行行为监视,进而检测攻击,可以有效地阻止和防御攻击的发生。把防御程序编译为可动态插入内核的模块,能在多款受影响的系统上稳定高效地运行。     

基于安卓系统的手机恶意软件提权漏洞研究

随着互联网技术的发展,手机在人们日常生活中扮演着越来越重要的角色,安卓系统手机软件也越来越多,但手机应用软件漏洞也越来越严重。部分不法分子利用软件漏洞从事非法行为,对用户造成了较大影响。笔者主要研究了基于安卓系统的手机恶意软件提权漏洞发现和防护,通过分析安卓系统常见的可利用漏洞类型,分析安卓系统手机软件提权漏洞,提出了手机用户的防护应对措施。     

辅助检测Linux驱动中漏洞的符号驱动环境

Linux系统中的驱动漏洞被证实是内核漏洞的主要来源,可以被利用导致严重的安全问题。通过系统模型、驱动与内核的交互和驱动与设备的交互这三部分的设计与实现,构建了符号驱动环境,用于辅助检测Linux驱动中的漏洞。使用符号驱动环境对两个真实的驱动进行检测,成功检测出了两个漏洞,证实了该工具的可行性。与SymDrive工具的性能相比,符号驱动环境执行速度快90%,覆盖率提高20%。     

基于安卓系统的手机恶意软件提权漏洞研究

研究基于安卓系统的手机恶意软件提权漏洞发现和防护,通过分析安卓系统常见的可利用漏洞类型,并结合案例剖析了利用漏洞实施恶意行为的恶意软件,提出了手机用户的防护应对措施.     

基于目标代码的格式串漏洞检测模型研究

当前有关格式串漏洞的检测技术大多局限于源代码层次,针对二进制文件的研究较少。以格式串栈指针和参数栈指针为切入点,分析研究了格式串漏洞的攻击原理,在目标代码的层次提出了一种新的格式串漏洞检测技术,给出了构造攻击代码的具体方法,重点研究了不同系统中攻击代码的构建过程,最后结合实例对检测方法进行了验证。通过与实例源代码的比较,充分证明了检测方法的有效性,具有重要的应用价值。     

防御TCP SYN Flood攻击的防火墙技术改进

以Linux系统防火墙为研究平台,针对DoS攻击中典型攻击方式TCP SYN Flood攻击进行分析研究,找出防火墙在防御这种攻击时的不足之处。通过在Linux的内核中添加改进后的算法模块实现改进,使防火墙在工作时功能得到完善。通过测试表明该改进在一定的范围内,可以有效地抵御TCP SYN Flood攻击。     

拟态防御体系攻击检测研究与分析

网络空间拟态防御技术是一种采用动态异构冗余架构的新型主动防御技术,论述了基于拟态防御体系的攻击检测方法,能够检测定位漏洞并及时修复,完成从静态防御到动态防御的转变,提高对未知漏洞和后门攻击的防御能力。     

基于Windows的CSRSS进程漏洞分析与利用

随着技术的进步,Windows 操作系统日益完善,多种内存保护技术的结合使得传统的基于缓冲区溢出攻击越来越困难。在这种情况下,内核漏洞往往可以作为突破安全防线的切入点,一旦漏洞被病毒、木马利用,将会彻底瓦解安全软件的所有防御,沉重打击系统安全。随着 Windows NT 的开发,操作系统被设计成可以支持多个子系统,包括 POSIX、OS/2以及Windows 子系统（也被称为客户端/服务器运行时子系统或者 CSRSS）。文章展开了一系列关于 CSRSS 的研究,描述了 CSRSS 内部机制。尽管一些研究已经在少数文章中有所提及,但是直到现在没有深入的案例研究。文章详细地介绍了 CSRSS 及其通信机制,以及最近常见于现代操作系统的 CSRSS 变化。另外,站在安全的角度,文章对 Windows 内核漏洞进行了分类,并且提出了一套漏洞研究的流程。按照这套流程,研究了 CSRSS 进程的权限提升漏洞和拒绝服务漏洞。文章通过对 CVE-2011-1281漏洞的分析,发现 use-after-free 漏洞不仅出现在浏览器漏洞中,在系统软件中同样有可能出现。     

Defense techniques for low-rate DoS attacks against application servers

Low-rate denial of service (DoS) attacks have recently emerged as new strategies for denying networking services. Such attacks are capable of discovering vulnerabilities in protocols or applications behavior to carry out a DoS with low-rate traffic. In this paper, we focus on a specific attack: the low-rate DoS attack against application servers, and address the task of finding an effective defense against this attack.Different approaches are explored and four alternatives to defeat these attacks are suggested. The techniques proposed are based on modifying the way in which an application server accepts incoming requests. They focus on protective measures aimed at (i) preventing an attacker from capturing all the positions in the incoming queues of applications, and (ii) randomizing the server operation to eliminate possible vulnerabilities due to predictable behaviors.We extensively describe the suggested techniques, discussing the benefits and drawbacks for each under two criteria: the attack efficiency reduction obtained, and the impact on the normal operation of the server. We evaluate the proposed solutions in a both a simulated and a real environment, and provide guidelines for their implementation in a production system.     

Diskaller:基于覆盖率制导的操作系统内核漏洞并行挖掘模型

内核是操作系统的核心,它构建了操作系统各类程序运行时需要的基础环境：如进程调度、存储管理、文件系统、设备驱动和网络通信等。操作系统内核漏洞的存在可能使得计算机系统遭受拒绝服务、信息泄露、超级用户权限提升等攻击,因此,针对内核的漏洞挖掘一直是网络安全领域的研究热点。本文在现有的研究基础上,提出一种基于覆盖率制导的内核漏洞并行模糊测试模型,该模型以代码覆盖率为导向,以计算节点和控制节点组成的星型结构作为并行模型,各计算节点通过代码覆盖率对系统内核持续测试,控制节点完成计算节点间代码覆盖率的收集与交互,突破了传统测试模型对计算资源要求限制和数据竞争的瓶颈,极大的提升了代码覆盖率及测试速度,加快了漏洞挖掘的效率。为了验证模型的实用性及有效性,利用Diskaller与Syzkaller和Triforce进行对比,一定条件下Diskaller覆盖率较Syzkaller提升12.8%,执行速率提升229%,较Triforce覆盖率提升335%,执行速率提升450%,并且发现了Linux内核中两个先前未被发现的漏洞。     

一种基于运行时信息的以太坊智能合约防御技术

智能合约是区块链技术最成功的应用之一,已经被广泛集成到应用程序中,成为应用去中心化的常见实现方案.然而,智能合约由于其独有的金融特性,一直以来饱受安全攻击,各种新的恶意攻击类型层出不穷.现有的研究工作提出了多种有效检测合约漏洞的方法,但在实际应用中都存在着各种局限:仅针对已知的漏洞类型,需要修改合约代码来消除漏洞,链上开销过大.由于智能合约部署到链上后的不可修改性,这些针对特定漏洞类型的检测防御手段无法对原有的合约进行修复,因此很难及时地应对新型的漏洞和攻击.为此,提出了一种基于运行时信息的智能合约可升级防御技术,通过引入运行时的各种信息,为链下对攻击和漏洞的检测提供实时的数据.同时,设计了一套部署在合约上的访问控制机制,基于动态检测的结果,对合约的访问进行限制,从而在不需要修改合约代码的情况下实现动态的防御.由于以太坊本身的机制无法对实时攻击进行识别和拦截,为了减小这一影响,利用竞争(race condition)的机制来增强防御的效果.实验结果分析表明:该防御技术可以有效地检测并防御攻击,对于后续的攻击交易,可以实现100%的拦截成功率,对于首次检测到的实时攻击,利用竞争可以达到97.5%的成功率.     

基于攻击检测和节点脆弱性的网络安全风险分析方法

随着网络技术的不断发展,被动防御已经渐渐不能满足需求,主动防御的需求越来越迫切。主动防御的基础是网络风险分析。本文提出一种基于攻击检测和节点脆弱性的网络风险分析方法。该方法利用攻击信息和节点脆弱性信息计算攻击造成的影响度,从而分析网络风险并确定网络系统的薄弱点。与基于节点脆弱性的网络风险分析方法相比较,本文方法模型更加完善,结果更加准确。     

编译支持的多变体融合执行设计与实现

多变体执行是由异构冗余变体并行执行来检测攻击的一种技术。作为一种主动防御技术,多变体执行(multi-variant execution,MVX)通过并行运行的异构执行体之间一致性检查发现攻击行为。相较于补丁式的被动防御,MVX可在不依赖攻击特征信息的情况下防御已知漏洞乃至未知漏洞威胁,在网络安全领域具有广泛的应用前景。然而该技术在实际部署中,由于多变体执行架构的边界不清晰,将随机数、进程PID号等被动地纳入到了表决范围,从而产生误报,导致多变体执行无法兼容更多的软件系统。本文分析了多变体执行假阳问题产生的原因,提出I-MVX,一种编译支持的多变体融合执行架构,包括多变体同步编程框架和运行时同步模块。I-MVX通过添加少量编译指示,在编译阶段对程序内部引起假阳性问题的代码和变量进行插桩标识,在运行时由监视器对变体进程内部和外部的变量及资源进行同步处理,消除多变体执行中的误报。本文基于LLVM/Clang编译器和Linux内核加载模块设计实现了I-MVX的编译器和同步监视器。性能实验评估显示,I-MVX在SPEC 2006基准测试集和tinyhttpd测试程序下引入的平均开销分别为2.13%和13.2%。多变体融合执行架构能够以少量的性能损耗为代价有效解决多变体执行中的假阳问题,提升多变体执行的可用性。基于真实CVE漏洞的安全性测试表明,I-MVX在保证多变体执行安全防御有效性基础上提升了多变体执行的兼容性。     

Integrated moving target defense and control reconfiguration for securing Cyber-Physical systems

With the increasingly connected nature of Cyber-Physical Systems (CPS), new attack vectors are emerging that were previously not considered in the design process. Specifically, autonomous vehicles are one of the most at risk CPS applications, including challenges such as a large amount of legacy software, non-trusted third party applications, and remote communication interfaces. With zero day vulnerabilities constantly being discovered, an attacker can exploit such vulnerabilities to inject malicious code or even leverage existing legitimate code to take over the cyber part of a CPS. Due to the tightly coupled nature of CPS, this can lead to altering physical behavior in an undesirable or devastating manner. Therefore, it is no longer effective to reactively harden systems, but a more proactive approach must be taken. Moving target defense (MTD) techniques such as instruction set randomization (ISR), and address space randomization (ASR) have been shown to be effective against code injection and code reuse attacks. However, these MTD techniques can result in control system crashing which is unacceptable in CPS applications since such crashing may cause catastrophic consequences. Therefore, it is crucial for MTD techniques to be complemented by control reconfiguration to maintain system availability in the event of a cyber-attack. This paper addresses the problem of maintaining system and security properties of a CPS under attack by integrating moving target defense techniques, as well as detection, and recovery mechanisms to ensure safe, reliable, and predictable system operation. Specifically, we consider the problem of detecting code injection as well as code reuse attacks, and reconfiguring fast enough to ensure the safety and stability of autonomous vehicle controllers are maintained. By using MTD such as ISR, and ASR, our approach provides the advantage of preventing attackers from obtaining the reconnaissance knowledge necessary to perform code injection and code reuse attacks, making sure attackers can’t find vulnerabilities in the first place. Our system implementation includes a combination of runtime MTD utilizing AES 256 ISR and fine grained ASR, as well as control management that utilizes attack detection, and reconfiguration capabilities. We evaluate the developed security architecture in an autonomous vehicle case study, utilizing a custom developed hardware-in-the-loop testbed.     

抗电路板级物理攻击的操作系统防御技术研究

计算设备处理和存储日益增多的敏感信息,如口令和指纹信息等,对安全性提出更高要求.物理攻击技术的发展催生了一种通过攻击电路板级硬件组件来获取操作系统机密信息的攻击方法：电路板级物理攻击.该类攻击具有工具简单、成本低、易流程化等特点,极容易被攻击者利用形成黑色产业,是操作系统面临的新安全威胁和挑战.在处理器上扩展内存加密引擎可抵抗该类攻击,但是目前大部分计算设备并未配备该硬件安全机制.学术界和产业界提出软件方式抗电路板级物理攻击的操作系统防御技术,该类技术已成为近年来的研究热点.深入分析了该类技术的研究进展,总结其技术优势和不足,并探讨其发展趋势.首先,介绍了电路板级物理攻击的定义、威胁模型、现实攻击实例.之后,介绍软件方式抗电路板级物理攻击的操作系统防御技术所依赖的一些基础技术.然后,对该类防御技术的研究进展按照保护范围进行分类总结和归纳.最后,分析了该类防御技术的优势与不足,给出工程实现建议,并探讨该类防御技术未来的研究趋势.     

基于攻防树的APT风险分析方法

针对目前缺少APT攻击中系统威胁风险评估理论模型的问题,提出了一种基于攻防树的网络攻击风险分析方法。将APT攻击过程分为攻击阶段与防护阶段,定义不同阶段内的参数计算方法,首先通过漏洞收集和攻击事件捕获构建攻击行为节点,并将防护对策映射为防护行为节点;其次形式化定义了漏洞成功利用概率、攻击成本、防护成本和系统损失度等参数,利用ADTool工具生成攻防树和节点参数值;然后引入攻击回报与防护回报的概念,作为系统风险分析的依据;最后构建了基于攻防树的攻击风险分析框架,并通过一个APT攻击实例对框架效果进行了验证。计算结果表明,可通过攻击回报等参数数值的变化评估采取防护对策的效果。该方法对攻防双方策略互相影响的场景描述更加贴近实际,实现了系统威胁风险度分析与防护策略效果评估的目的。