MVX-CFI:一种实用的软件安全主动防御架构

软件安全是网络空间安全中最重要的环节。早期的软件安全解决方案大多是发现安全威胁后再逐一解决的被动防御方案。为了有效应对各类安全威胁，防御方法逐渐从被动过渡到主动。在众多的主动防御方法中，从系统执行架构角度出发构建内生防御能力的软件多变体执行架构技术受到了广泛关注，它通过异构、冗余执行体之间的相对正确性检查发现攻击行为，不依赖于具体安全威胁的特征检测，可实时检测并防御大多数已知、甚至未知安全威胁。然而，该方法面向实际应用部署存在较大的性能瓶颈。控制流完整性（CFI）是一种理想的安全解决方案，但由于其性能损失和兼容性问题也未被广泛采用。本文将两者有效结合提出一种基于多变体执行架构的CFI （MVX-CFI）。MVX-CFI是一种基于执行架构的、动态、透明的CFI实施方法，它能够有效捕获软件整个运行时控制流的走向并发现由攻击等恶意行为引起的非法路径转移。MVX-CFI通过MVX可形式化验证的高可信表决机制在运行时动态建立描述应用程序高频执行路径的控制流子图（Sub-CFG），并作为检测模型正向反馈到MVX用于辅助检测，减少了传统MVX大量重复的表决工作，提高了MVX的执行性能。Sub-CFG具有在线分离软件执行过程中高频路径和低频路径的能力，这一特性为软件预置后门的检测提供了一种思路。实验评估表明，本文的改进方法提高了原架构的执行效率，同时保证了在安全防御方面的有效性。  

多变体执行安全防御技术研究综述

软件和信息系统的高速发展在给人们生活带来诸多便利的同时，也让更多的安全风险来到了我们身边，不法分子可以很方便的利用无处不在的网络和越来越自动化、低门槛的攻击技术去获得非法利益。面对这种现状，传统被动式的安全防御已显得力不从心，更高的防御需求，促进了安全领域不断研究新的主动防御技术。这其中，基于攻击面随机化扰动的移动目标防御技术和基于异构冗余思想的多变体执行架构技术受到了广泛的关注，被认为是有可能改变网络空间游戏规则的安全技术，有望改变攻防双方不平衡的地位。本文对近年来多变体执行架构技术在安全防御方面的研究工作进行归纳总结，梳理了该方向的关键技术及评价体系。在此基础上，分析了多变体执行架构在安全防御方面的有效性，最后指出多变体执行架构技术当前面临的挑战与未来的研究方向。  

编译支持的多变体融合执行设计与实现

多变体执行是由异构冗余变体并行执行来检测攻击的一种技术。作为一种主动防御技术,多变体执行(multi-variant execution,MVX)通过并行运行的异构执行体之间一致性检查发现攻击行为。相较于补丁式的被动防御,MVX可在不依赖攻击特征信息的情况下防御已知漏洞乃至未知漏洞威胁,在网络安全领域具有广泛的应用前景。然而该技术在实际部署中,由于多变体执行架构的边界不清晰,将随机数、进程PID号等被动地纳入到了表决范围,从而产生误报,导致多变体执行无法兼容更多的软件系统。本文分析了多变体执行假阳问题产生的原因,提出I-MVX,一种编译支持的多变体融合执行架构,包括多变体同步编程框架和运行时同步模块。I-MVX通过添加少量编译指示,在编译阶段对程序内部引起假阳性问题的代码和变量进行插桩标识,在运行时由监视器对变体进程内部和外部的变量及资源进行同步处理,消除多变体执行中的误报。本文基于LLVM/Clang编译器和Linux内核加载模块设计实现了I-MVX的编译器和同步监视器。性能实验评估显示,I-MVX在SPEC 2006基准测试集和tinyhttpd测试程序下引入的平均开销分别为2.13%和13.2%。多变体融合执行架构能够以少量的性能损耗为代价有效解决多变体执行中的假阳问题,提升多变体执行的可用性。基于真实CVE漏洞的安全性测试表明,I-MVX在保证多变体执行安全防御有效性基础上提升了多变体执行的兼容性。