面向对比评估的软件系统安全度量研究

保护质量是指安全模块在进行安全处理时需要达到的安全目标.它是以一定的量化标准来衡量的.如何客观有效地评估现有软件系统是否满足保护质量的要求已成为研究热点之一.目前,大多数安全领域的从业者使用的是具有较高主观性的定性评估方法,使得评估结果依赖于个人经验而并不可靠,从而需要独立、客观、定量的安全度量方法.针对安全度量的复杂性和实施困难的情况,提出了基于对比评估的安全度量模型,分别从攻击面、拒绝服务和攻击图的角度讨论了两个或多个软件系统之间的相对安全性,并对评估的过程和结果进行了综合分析与研究.     

面向软件攻击面的Web应用安全评估模型研究

Web应用已成为互联网和企事业单位信息管理的主要模式。随着Web应用的普及,攻击者越来越多地利用它的漏洞实现恶意攻击,Web应用的安全评估已成为信息安全研究的热点。结合Web应用的业务逻辑,提出了其相关资源软件攻击面的形式化描述方法,构造了基于软件攻击面的攻击图模型,在此基础上,实现对Web应用的安全评估。本文构造的安全评估模型,在现有的通用漏洞检测模型基础上,引入业务逻辑安全性关联分析,解决了现有检测模型业务逻辑安全检测不足的缺陷,实现了Web应用快速、全面的安全评估。     

多变体执行安全防御技术研究综述

软件和信息系统的高速发展在给人们生活带来诸多便利的同时,也让更多的安全风险来到了我们身边,不法分子可以很方便的利用无处不在的网络和越来越自动化、低门槛的攻击技术去获得非法利益。面对这种现状,传统被动式的安全防御已显得力不从心,更高的防御需求,促进了安全领域不断研究新的主动防御技术。这其中,基于攻击面随机化扰动的移动目标防御技术和基于异构冗余思想的多变体执行架构技术受到了广泛的关注,被认为是有可能改变网络空间游戏规则的安全技术,有望改变攻防双方不平衡的地位。本文对近年来多变体执行架构技术在安全防御方面的研究工作进行归纳总结,梳理了该方向的关键技术及评价体系。在此基础上,分析了多变体执行架构在安全防御方面的有效性,最后指出多变体执行架构技术当前面临的挑战与未来的研究方向。     

基于信息熵的软件攻击面威胁评估方法研究

随着网络科技的不断进步,传统的软件攻击面威胁评估方法,在面对层出不穷的软件攻击方式时对攻击面威胁的评估与处理分离,因此威胁评估效率低,无法实现对软件攻击面威胁的精准评估.针对这一问题,进行基于信息熵的软件攻击面威胁评估方法研究.通过确定软件攻击面的威胁评估指标,建立软件攻击面二级威胁指标赋值矩阵,基于信息熵计算软件攻击面威胁权值,评估软件攻击面威胁.通过对比实验证明基于信息熵的软件攻击面威胁评估方法可以提高软件攻击面威胁评估的威胁评估效率.     

编译支持的多变体融合执行设计与实现

多变体执行是由异构冗余变体并行执行来检测攻击的一种技术。作为一种主动防御技术,多变体执行(multi-variantexecution, MVX)通过并行运行的异构执行体之间一致性检查发现攻击行为。相较于补丁式的被动防御, MVX可在不依赖攻击特征信息的情况下防御已知漏洞乃至未知漏洞威胁,在网络安全领域具有广泛的应用前景。然而该技术在实际部署中,由于多变体执行架构的边界不清晰,将随机数、进程PID号等被动地纳入到了表决范围,从而产生误报,导致多变体执行无法兼容更多的软件系统。本文分析了多变体执行假阳问题产生的原因,提出I-MVX,一种编译支持的多变体融合执行架构,包括多变体同步编程框架和运行时同步模块。I-MVX通过添加少量编译指示,在编译阶段对程序内部引起假阳性问题的代码和变量进行插桩标识,在运行时由监视器对变体进程内部和外部的变量及资源进行同步处理,消除多变体执行中的误报。本文基于LLVM/Clang编译器和Linux内核加载模块设计实现了I-MVX的编译器和同步监视器。性能实验评估显示, I-MVX在SPEC 2006基准测试集和tinyhttpd测试程序下引入的平均开销分别为2...     

多变体执行误报问题分析与解决方法综述

从安全角度出发,多变体执行（multi-variant execution,MVX）被广泛应用于网络安全防御,但多变体执行存在一个共性问题：即各路执行体向裁决器返回内容时,合路产生的误报难以解决。排除机器环境等客观因素,产生误报是因为表决器收到合路信息后开始对非一致变量作安全判断,除真实攻击造成的非一致变量外,还夹杂着正常系统运行产生的非一致变量（如内存描述符、端口号、随机数、代码及进程内的线程调用顺序）,从而造成表决器误判,影响多变体系统正常运行。如果能降低多变体执行的误报率,则可以有效地提高系统效率及防御能力。对近年来多变体执行的类型进行归类,并对多变体执行产生的误报问题及解决策略进行归纳总结,分析多变体执行产生裁决误报的原因,选择Pina算法进行同步的策略、编译器模块插桩的策略、缩小表决边界的策略,对三种方案在特定应用场景下进行实验分析,分析每个方法的功能及性能,指出各自策略的优点及缺点。最后讨论现有多变体执行现有技术未解决的难点和未来的研究方向。     

移动目标防御的攻击面动态转移技术研究综述

移动目标防御作为一种动态、主动的防御技术,能够通过不断转移攻击面,减少系统的静态性、同构性和确定性,以此挫败攻击者的攻击.随着网络攻击手段的不断发展和变化,深入研究移动目标防御对网络空间安全具有重要意义,而攻击面的动态转移技术作为移动目标防御领域的重点问题,一直受到研究人员的广泛关注.利用攻击面动态转移技术所具有的不确定性、动态性和随机性等优势,实现信息系统的动态防御,可以有效克服传统防御手段的确定性、静态性和同构性的不足.首先梳理了攻击面的基本概念,并具体阐释了攻击面以及攻击面转移的形式化定义;其次,分析了攻击面4个层次的动态转移技术——数据攻击面、软件攻击面、网络攻击面和平台攻击面,并对不同的动态转移技术进行分析和比较,分别指出它们的优点和缺陷;最后,还从多层次攻击面动态转移技术的融合、攻击面动态转移的综合评估方法、基于感知的攻击面动态转移方法、基于三方博弈模型的攻击面转移决策等方面讨论了未来移动目标防御中攻击面动态转移可能的研究方向.     

CON-MVX：一种基于容器技术的多变体执行系统

多变体执行是一种网络安全防御技术,其利用软件多样性生成等价异构的执行体,将程序输入分发至多个执行体并行执行,通过监控和比较执行体的状态来达到攻击检测的目的。相较于传统的补丁式被动防御技术,多变体执行不依赖于具体的攻击威胁特征进行分析,而是通过构建系统的内生安全能力来对大多数已知、甚至未知的漏洞做出有效防御。近年来,多变体执行技术在不断改进和完善,但是误报问题是制约其发展的主要因素。本文针对多变体执行产生误报的原因进行了详细分析,并在此基础上提出利用容器技术实现多变体执行系统在解决误报问题上的优势。为提升多变体执行技术的可用性,本文设计并实现了一种基于容器技术的多变体执行系统CON-MVX,有效解决传统多变体执行系统的误报问题。CON-MVX利用多个经过运行时随机化技术构建的异构容器作为执行体,使用可重构的模块化组件和独立的容器管理工具对容器执行体进行编排管理,建立进程间监控器CGMon,在内核层级实现对多个执行体的输入同步和输出裁决。同时,为满足与客户端良好交互性,建立中继端口策略,保证系统运行状态的正常反馈。实验结果表明,CON-MVX在保证安全能力的前提下,能有效降低多变体执行系统的误报率,在双冗余度执行条件下使用SPEC CPU 2006测试集测试时,系统带来的平均额外性能损耗不超过15%。     

面向时变体数据的特征可视化方法

目的 自然界中的大部分现象本质上都是在空间上随时间的流逝不断发展变化的物理或化学过程,可以表述为含有时间变量的数据场,这些数据场称为时变体数据。随着科学计算技术、计算机仿真技术以及现代观测技术的发展,能够以前所未有的精度对自然现象进行仿真或者观测,但同时也面临时变体数据体积大、时间长以及变量数目多的难题。为了更有效地显示时变体数据并挖掘数据中的关键信息,针对时变体数据的可视化,本文提出一种基于数据特征的方法,用于探索时变体数据中感兴趣区域(即特征)的特点与变化。方法 通过将特征提取、特征跟踪、运动检测和提出的3种特征可视化方法(数据帧特征可视化、单个运动过程特征可视化和空间多运动过程特征可视化)置于同一个框架之中,提供一种从时间域和空间域探索多变量时变体数据的一站式解决方案,并突出时变体数据的动力学特性。结果 本文方法在4组不同的时变体数据上应用,对数据中特征各变量的变化以及感兴趣的运动进行了特征可视化。结论 实验结果显示本文方法能以较小的时间成本有效显示数据中的特征以及用户定义的运动,方法的有效性与实用性得到了验证。     

变体飞机建模及自适应动态面控制

为了描述变体飞机在变体过程中的动态特性,将变体飞机看成一个质点系,对质点系进行受力分析,得到变体飞机的力方程和力矩方程,并推导出一种变后掠翼飞机的纵向运动方程.为了确保变体飞机在变体过程中的飞行稳定性,提出一种基于动态面的自适应backstepping控制器,通过引入一阶滤波器,避免了传统backstepping设计中的计算膨胀问题.采用径向基(RBF,radial basis function)网络逼近系统不确定项,基于Lyapunov稳定性理论,给出自适应输出反馈控制器和RBF网络权值向量的自适应律,并证明了闭环系统是半全局一致有界.仿真结果表明实际系统的输出响应较好地跟随参考指令,不受变体速率的影响,满足鲁棒性要求.     

面向多变体系统的执行体多样性度量方法

近年来,以内生安全为主要技术机制的多变体系统在防御零日漏洞攻击中表现出了巨大的潜力.但是现有研究很少涉及多样性和安全性之间的量化评估.对此,提出面向多变体系统的执行体多样性度量方法,该方法通过执行体属性和属性类型构建执行体属性矩阵,结合属性多样性和局部多样性综合评估执行体集的空间多样性,并针对矩阵参数及其多样性权重进行分析以达到系统最大多样化.构建了一个典型的多变体系统及零日攻击模型来评估该指标的有效性,评估结果表明,该多样性度量方法能有效衡量多变体系统中执行体间的异构性,并根据执行体异构性和系统攻击成功率的关系,间接评估出多变体系统的整体安全性.根据结论,该方法为构建更加多样化和安全的系统方面提供了一些指导.     

MVX-CFI:一种实用的软件安全主动防御架构

软件安全是网络空间安全中最重要的环节。早期的软件安全解决方案大多是发现安全威胁后再逐一解决的被动防御方案。为了有效应对各类安全威胁,防御方法逐渐从被动过渡到主动。在众多的主动防御方法中,从系统执行架构角度出发构建内生防御能力的软件多变体执行架构技术受到了广泛关注,它通过异构、冗余执行体之间的相对正确性检查发现攻击行为,不依赖于具体安全威胁的特征检测,可实时检测并防御大多数已知、甚至未知安全威胁。然而,该方法面向实际应用部署存在较大的性能瓶颈。控制流完整性（CFI）是一种理想的安全解决方案,但由于其性能损失和兼容性问题也未被广泛采用。本文将两者有效结合提出一种基于多变体执行架构的CFI （MVX-CFI）。MVX-CFI是一种基于执行架构的、动态、透明的CFI实施方法,它能够有效捕获软件整个运行时控制流的走向并发现由攻击等恶意行为引起的非法路径转移。MVX-CFI通过MVX可形式化验证的高可信表决机制在运行时动态建立描述应用程序高频执行路径的控制流子图（Sub-CFG）,并作为检测模型正向反馈到MVX用于辅助检测,减少了传统MVX大量重复的表决工作,提高了MVX的执行性能。Sub-CFG具有在线分离软件执行过程中高频路径和低频路径的能力,这一特性为软件预置后门的检测提供了一种思路。实验评估表明,本文的改进方法提高了原架构的执行效率,同时保证了在安全防御方面的有效性。     

Adapting system execution traces to support analysis of software system performance properties

UNITE is a method and tool that analyzes software system performance properties, e.g., end-to-end response time, throughput, and service time, via system execution traces. UNITE, however, assumes that a system execution trace contains properties (e.g., identifiable keywords, unique message instances, and enough variation among the same event types) to support performance analysis. With proper planning, it is possible to ensure that properties required to support such analysis are incorporated in the generated system execution trace. It, however, is not safe to assume this to be the case with many existing software systems.     

信任攻击建模方法

针对信任环境系统中存在的客观弱点和主观弱点,使用弱点利用规则和信任关系盗用规则来描述信任关系状态之间的转移过程,构建了信任攻击模型TAM。在该模型中,攻击者将客观弱点用于信任级别的提升,将主观弱点用于信任关系传递,将主、客观弱点的综合利用将导致信任关系的渗透与扩散,从而可导致攻击可达距离更大;提出了复杂度为多项式时间的TAM信任关系传递闭包生成算法,该算法可以给出当前弱点状态下的所有信任攻击路径。通过对真实弱点的建模,证明此模型可以对信任的安全性进行综合分析,生成信任攻击图、信任攻击路径等详细信息,展示攻击者和信任主体之间的交互过程,对攻击特征有更好的描述能力,帮助管理者预测所有可能的信任攻击,进而为相应的安全措施的制定提供依据。     

基于攻击图的网络安全度量研究综述

网络安全度量面临的主要挑战之一,即如何准确地识别目标网络系统中入侵者利用脆弱性之间的依赖关系进行威胁传播,量化对网络系统的潜在影响。攻击图由于具备优越的可视化展示能力,是解决该问题的有效途径之一。首先,介绍了安全度量的概念、发展历程和通用测度模型;然后,阐述攻击图构建、分类和应用的相关研究;其次,提出一种基于攻击图的层次化安全度量框架,从关键“点”、攻击“线”和态势“面”3个层次总结归纳了现有网络安全度量方法;最后,阐述了目前研究面临的难点问题与发展趋势。     

基于信息熵和攻击面的软件安全度量

对软件实施安全度量是开发安全的软件产品和实施软件安全改进的关键基础。基于Manadhata等(MANADHATA P K, TAN K M C, MAXION R A, et al. An approach to measuring a system's attack surface, CMU-CS-07-146. Pittsburgh: Carnegie Mellon University, 2007; MANADHATA P K, WING J M. An attack surface metric. IEEE Transactions on Software Engineering, 2011, 37(3): 371-386)提出的攻击面方法,结合信息熵理论,提出结合信息熵和攻击面的软件安全度量方法,可以有效地利用信息熵的计算方法对软件攻击面的各项资源进行威胁评估,从而提供具有针对性的威胁指标量化权值。在此基础之上,通过计算软件攻击面各项资源的指标值可以实现软件的安全度量。最后,通过具体的实例分析说明结合信息熵和攻击面的方法可以有效地应用于软件的安全开发过程和软件安全改进过程,为软件的安全设计开发指明可能存在的安全威胁,帮助提早避免软件产品中可能存在的漏洞;而对于已经开发完成待实施安全改进的软件则可以指出明确的改进方向。     

互联网络攻击的控制与防范

计算机网络的攻击技术越来越成熟，新一代的攻击目标直指互联网基础协议TCP／IP和操作系统层次，本文介绍了主动式Sniffer、内核rootkits、sniffer/Backdoors、DRDoS等新出现的网络攻击技术，分析了其原理和特性，着重介绍了与传统攻击手段的不同之处，提出了应对网络攻击、加强网络安全防范、健全网络安全体系的五项措施，为解决网络安全做出了有益的探索。