一种基于安全优先架构的细粒度可信监测度量方法

Linux下的Rootkit通常使用修改系统内核关键位置数据的手段破坏系统内核完整性。可信计算是保护系统内核完整性的重要方法,可以使用它对Rootkit攻击进行监测。相较传统的被动可信计算体系,主动可信计算体系因其对上层应用透明、安全机制与计算功能充分隔离、可信根完全受硬件保护等特点,可以更有效地进行系统内核完整性保护。但目前的主动可信监测度量方法存在监测结果粒度较粗的问题,不能为防御者进行攻击对抗提供更详细的信息。针对这一问题,本文提出了一种基于安全优先架构的细粒度可信监测度量方法,安全域通过解析计算域内存语义信息,实现符号级别的细粒度可信度量,得到可用来对攻击进行分析的监测结果。实验表明,该方法可以在计算域受到Rootkit攻击时检测到全部被篡改的.text和.rodata段的符号,使用该方法得到的细粒度监测结果可以用来分析Rootkit的攻击手段和攻击目的,同时该方法对计算域的性能几乎没有影响。     

一种抵御内部人员攻击的云租户密钥保护方法

云计算作为一种新兴计算模式,近几年来对传统IT架构产生了巨大影响。然而,云计算也面临着新的安全挑战,例如,存储在云虚拟机内存中口令、密钥等易受到云平台内部人员发起的攻击。恶意云运维人员可通过简单命令获取云虚拟机的内存快照,再从内存快照中提取敏感数据（称作内存快照攻击）。本文为保护虚拟机内的加密密钥免受内存快照攻击,提出HCoper方案,HCoper在CPU内部完成所有加密计算,保证密钥不被加载到RAM中。HCoper采用key-encryption-key结构实现密钥动态调度,以支持多应用多密钥场景。主密钥存储在CPU寄存器中,数据加密密钥由主密钥加密后存储在RAM中。HCoper执行加密计算时,数据加密密钥将被解密并直接加载到CPU寄存器进行加密计算。HCoper作为Xen的内核模块,可防止其他进程访问持有密钥的CPU寄存器。HCoper旨在为租户提供加密计算服务,同时保证密钥（即主密钥,数据加密密钥）不受内部恶意人员的攻击。实验结果表明,HCoper可有效地防御内部人员发起的内存快照攻击,其带来的性能开销不影响实用性。     

可编程模糊测试技术

模糊测试是一种有效的漏洞挖掘技术.为改善模糊测试因盲目变异而导致的效率低下的问题,需要围绕输入特征、变异策略、种子样本筛选、异常样本发现与分析等方面不断定制模糊测试器,从而花费了大量的定制成本.针对通用型模糊测试器（即支持多类输入格式及目标软件的模糊测试器）的低成本定制和高可扩展性需求,本文首次提出了一种可编程模糊测试框架,基于该框架漏洞挖掘人员仅需编写模糊测试制导程序即可完成定制化模糊测试,在不降低模糊测试效果的基础上可大幅提高模糊测试器开发效率.该框架包含一组涉及变异、监控、反馈等环节的模糊测试原语,作为制导程序的基本语句;还包含一套编程规范（FDS）及FDS解析器,支持制导程序的编写、解析和模糊测试器的生成.基于实现的可编程模糊测试框架原型Puzzer,在26个模糊测试原语的支持下,漏洞挖掘人员平均编写54行代码即可实现当前主流的5款万级代码模糊测试器的核心功能,并可覆盖总计87.8%的基本操作.基于Puzzer实现的AFL等价模糊测试器,仅用51行代码即可达到与AFL相当的模糊测试效果,具有良好的有效性.     

语音识别系统对抗样本攻击及防御综述

语音是人类与智能手机或智能家电等现代智能设备进行通信的一种常用而有效的方式。随着计算机和网络技术的显著进步,语音识别系统得到了广泛的应用,它可以将用户发出的语音指令解释为智能设备上可以理解的数字指令或信号,实现用户与这些设备的远程交互功能。近年来,深度学习技术的进步推动了语音识别系统发展,使得语音识别系统的精度和可用性不断提高。然而深度学习技术自身还存在未解决的安全性问题,例如对抗样本。对抗样本是指在模型的预测阶段,通过对预测样本添加细微的扰动,使模型以高置信度给出一个错误的目标类别输出。目前对于对抗样本的攻击及防御研究主要集中在计算机视觉领域而忽略了语音识别系统模型的安全问题,当今最先进的语音识别系统由于采用深度学习技术也面临着对抗样本攻击带来的巨大安全威胁。针对语音识别系统模型同样面临对抗样本的风险,本文对语音识别系统的对抗样本攻击和防御提供了一个系统的综述。我们概述了不同类型语音对抗样本攻击的基本原理并对目前最先进的语音对抗样本生成方法进行了全面的比较和讨论。同时,为了构建更安全的语音识别系统,我们讨论了现有语音对抗样本的防御策略并展望了该领域未来的研究方向。     

基于虚拟化技术的有效提高系统可用性的方法

针对安全攸关的客户机在安全工具发生警报时往往会进行暂停、检测、恢复等操作,而安全工具误报（虚报、漏报）的发生和发现存在延迟,从而对客户机造成可用性影响的问题,提出一种基于虚拟化技术的有效解决方案。在误报发生时,首先正确控制可疑进程行为,避免该进程对系统造成实质性影响。其次记录可疑进程行为,并根据其与系统其他进程的交互行为形成进程间依赖关系。当误报被发现时,以记录的进程行为及进程间依赖关系为依据,对可疑进程及与其存在依赖关系的相关进程采取恢复进程行为、杀死相关进程等措施,使系统快速达到正确运行状态。实验结果表明,所提方案能够在安全工具发生误报时,避免回滚、恢复等操作带来的时间开销,相对于未采取措施的情况,所提方案将误报存在时的处理时间减少20%~50%。所提方案能够有效降低安全工具误报对客户机可用性造成的影响,可应用在安全攸关的客户机所在的云平台之上。     

基于模式生成的浏览器模糊测试技术

模糊测试被广泛应用于浏览器的漏洞挖掘,其效果好坏的决定因素之一是测试者编写的测试模式.针对特定测试模式实现成本高、生存时间短等问题,本文提出了一种基于模式生成的浏览器模糊测试器自动构造方法,通过解析已知漏洞触发样本,自动提取测试模式,对模式中每个模块应用传统的变异策略,完成畸形样本的自动生成.实验表明,针对5款浏览器的1089个已知漏洞触发样本,平均仅用时11.168秒即可完成1089个不同模糊测试器的自动构建,远低于人为编写的时间消耗;随机选取其中10个模糊测试器分别对IE 10、IE 11、Firefox 54.0的全补丁版本进行测试,共产生57个不同的崩溃样本,发现1个高危未知漏洞,证明本方法具有较好的未知漏洞发现能力.     

面向SAP系统的透明加解密方法

针对广泛应用于国内的企业资源计划( ERP)商用管理软件———数据处理系统应用与产品( SAP)系统存在的本地文件导出安全性问题,建立高度匹配于SAP系统特点及特定进程的文件透明加解密系统,在驱动层针对SAP系统关联的特定进程涉及的新建、读、写文件等操作进行捕获,通过卷上下文与流上下文提取缓存信息,依据所捕获的文件操作类型,完成不同的缓存置换;在应用层实现密钥的获取与分发。同时实现了文件透明加解密系统的客户化定制,通过配置可以实现对SAP系统特定进程,导出文件类型甚至特定文件的指定。实验结果表明,该系统在对用户无干扰无需人工介入的前提下,能自动与SAP系统无缝对接,对导出文件透明加解密,并限定导出文件仅能在本地计算机中使用;最终有效地与SAP系统本身自带的用户名登录、权限管控等安全控制机制整合联动,完善了SAP系统在外部商业数据输出安全性管控上的缺失,提升企业对商业数据安全使用、输出的管控及保障能力。     

内核完整性保护模型的设计与实现

非可信内核扩展模块是对操作系统内核完整性安全的重要威胁之一,因为它们一旦被加载到内核空间,将可能任意破坏操作系统内核数据和代码完整性。针对这一问题,提出了一种基于强制访问控制对操作系统内核完整性保护的模型—MOKIP。该模型的基本思想是为内核空间中的不同实体设置不同的完整性标签,然后保证具有低完整性标签的实体不能破坏具有高完整性标签的实体。基于硬件辅助的虚拟化技术实现了原型系统,实验结果表明,本系统能够抵御各种恶意内核扩展模块的攻击,其性能开销被控制在13%以内。     

一种无内核网络安全系统的实现

网络环境变得更加复杂,攻击手段多样化,对网络产品的要求也越来越高,基于通用操作系统的产品由于操作系统本身的限制,在效率和安全性上有着不足。该文设计并实现了一种无内核的网络安全系统,在设计系统的同时,每一步设计都尽量地执行效率优先的原则进行优化,最后对其性能进行了评价。     

面向云平台的多样化恶意软件检测架构

近年来,恶意软件对物理机和云平台上虚拟机均构成巨大的安全威胁。在基础设施即服务（IaaS）云平台上部署传统的杀毒软件、防火墙等恶意软件检测工具存在以下问题：1）检测工具可能被破坏或者关闭;2）单一的检测工具效果不理想;3）检测工具可能被加壳等方式绕过;4）需要给每台客户机安装额外软件,难以部署实施。为此提出一种面向云平台的多样化恶意软件检测架构。该架构利用虚拟化技术截获客户机的特定行为,抓取客户机内软件释放的代码,通过多种杀毒软件多样化的扫描确定软件的恶意性。采用的动态内存提取的方式对客户机完全透明。最后在Xen上部署该架构并进行恶意软件检测测试,该架构对加壳恶意软件的检测率为85.7%,比杀毒软件静态扫描的检测率高14.3个百分点。实验结果表明,在云平台上采用多样化恶意软件检测框架能更好地保障客户机的安全。