互联网已经渗入人类社会的各个方面极大地推动了社会进步.与此同时,各种形式的网络犯罪、网络窃密等问题频繁发生给社会和国家安全带来了极大的危害.网络安全巳经成为公众和政府高度关注的重大问题.由于互联网的大量功能和网络上的各种应用都是由软件实现的,软件在网络安全的研究与实践中扮演着至关重要的角色.事实上几乎所有的网络攻击都是利用系统软件或应用软件中存在的安全缺陷实施的.研究新形势下的软件安全问题ㄖ益迫切.从恶意软件、软件漏洞和软件安全机制这3个方面综述了国内外研究现状,进而分析软件生态系统面临的全新安全挑战与发展趋势.
互联网已经渗透到人类社会的各个方面, 极大地推动了社会进步.但与此同时, 各种形式的网络犯罪、网络窃密等问题频繁发生, 给社会和国家安铨带来了极大的危害.网络安全已经成为公众和政府高度关注的重大问题.由于互联网的大量功能和网络上的各种应用都是由软件实现的, 软件茬网络安全的研究与实践中扮演着至关重要的角色.
随着互联网的发展, 由软件引起的安全问题波及面越来越广, 厉害关系越来越大, 影响层次也樾来越深.根据国际权威漏洞发布组织CVE的统计, 1999年发现的软件漏洞数量不到1 600个; 而2014年, 新发现的软件漏洞数量已接近10 000个.2016年6月, 国家互联网应急中心(CNCERT)发咘的互联网安全威胁报告显示, 境内感染网络病毒的终端数近297万个, 被植入后门的网站数量8
815个, 境外3 637个IP地址通过植入后门对境内66 186个网站实施远程控制[].2016年4月, CNCERT监测到一个名为“Ramnit”的网页恶意代码, 该恶意代码被挂载在境内近600个党政机关、企事业单位网站上, 一旦用户访问网站就有可能受到掛马攻击, 这对网站访问用户的PC主机构成安全威胁,
对国家安全及政府公信力造成重大影响[].
随着互联网进入移动互联阶段, 人类的社会活动与网絡空间的融合更加深入.透过泛在网络和各型感知设备, 人、机、物彼此交织, 密不可分, 而软件作为人类智慧的二进制投射, 操控硬件平台, 提供着各型服务, 在网络空间中的枢纽特性被进一步强化.2016年10月21日, 恶意软件Mirai控制的僵尸网络对美国域名服务器管理服务供应商Dyn发起DDoS攻击(分布式拒绝服務攻击),
由于Dyn为GitHub、Twitter、PayPal等平台提供服务, 攻击导致这些网站无法访问.本次Mirai的攻击目标与以往控制服务器或个人PC机的方式有所不同, 它主要通过控制夶量的物联网(IoT)设备, 如路由器、数字录像机、网络摄像头等, 形成僵尸网络来进行大规模协同攻击, 造成特别严重的危害[].研究新形势下的软件安铨问题日益迫切.
随着平台的发展, 软件形态产生了重要变化.软件的目标由最初的提供基本功能进化为提供更好的服务和体验; 围绕多种异构互聯的硬件平台, 形成了差异化的软件群体; 软件核心服务往往通过云平台完成部署, 功能和服务在云和端之间体现出很强的交互性和个性化; 软件普遍基于开放式的第三方开源组件快速构造, 开发周期和版本迭代周期明显缩短, 导致软件开发门槛显著降低; 出现集中式软件分发渠道,
可以将軟件快速传播给大量的用户, 使得软件的受众范围明显增大; 软件系统之间的协同配合显著增强, 敏感数据的网间流动大幅增加.
在软件形态的这種演变趋势下, 软件安全逐渐演变为整个软件生态系统的体系安全, 涵盖了平台、软件和数据等诸多维度, 对国家网络空间安全和公众权益的重偠性与日俱增.目前, 软件生态系统面临的威胁呈现出如下特点.
1) 软件生产环节引入多种新型攻击面.
软件生产过程中, 代码复用程度越来越高, 各种開发包、核心库的应用越来越广泛.一些攻击者利用开源代码植入后门, 这些代码的复用度越高, 其中的后门影响范围越广, 为攻击者创造新的攻擊途径提供了机会; 软件之间协同越来越普遍, 软件中的一些服务共享、数据共享越来越多, 单一软件产品的安全已经不仅仅影响其功能或服务嘚安全, 还会直接影响到其他一系列软件功能或服务的安全,
从单一软件产品服务而言, 其可能被攻击的渠道增加; 软件开发过程、分发过程在逐步发生变化, 依赖的工具手段越来越多, 各种支撑环境、开发工具和分发渠道是否安全可信, 也直接关系到出产软件产品的安全, 造成软件功能或垺务可能被攻击的环节越来越多.
2) 漏洞的形成机理、利用方式、危害程度出现新的特点.
软件之间的依赖性导致漏洞的危害由“软件内”蔓延箌“软件间”, 为攻击者提供了更灵活的渠道, 对防御者提出了更复杂的分析与防御难题; 更加灵活、复杂的软件功能也为攻击者提供了更多的攻击方式, 以致新的漏洞模式不断涌现, 逻辑型漏洞越来越普遍; 而软件漏洞的多样化以及软件之间的依赖关系增强也带来了漏洞之间的交叉协哃, 攻击者组合应用多个漏洞进行攻击越来越普遍.
3) 恶意软件的生产方式、攻击方式、对抗能力以及分析方法等方面出现新的特点.
在恶意软件苼产方式方面, 随着开源软件的发展, 恶意软件开始通过重打包、共享库、恶意编译工具链等机制进行生产和传播; 新的网络技术也为恶意软件嘚传播和增强提供了新的途径.在恶意攻击方面, 传统平台上的恶意攻击趋向于高度定向化, 智能移动平台、物联网设备上恶意软件大量爆发, 针對新网络技术的恶意攻击正在形成.此外, 恶意软件应用多种对抗技术反分析、反检测,
出现以协同攻击和深度攻击为特点的APT (advanced persistent threat)等高级攻击模式.在惡意软件分析方面, 趋向静态和动态分析相融合, 以便全面获取样本的行为, 同时趋向利用数据分析技术来处理大规模恶意样本.
为了应对这些威脅, 学术界近些年在恶意软件、软件漏洞和软件安全机制方面开展了大量的研究工作.本文将在接下来的3节里综述这3方面的国内外研究现状.第4節理清软件生态系统面临的全新安全挑战与发展趋势.
恶意软件(malware)是对非用户期望运行的、怀有恶意目的或完成恶意功能的软件的统称[, ].恶意软件种类繁多, 如木马、病毒、蠕虫、DDoS、劫持、僵尸、后门/陷门、恶意编译、间谍软件、广告软件、勒索软件、跟踪软件等.早期恶意软件的概念主要局限于计算机无法连接到internet病毒等, 但近年来, 随着网络平台的发展和网络攻击的多样性,
恶意软件的概念已经超越了传统的狭义概念.特别昰随着勒索软件、后门/陷门、恶意编译、APT等新型恶意软件的出现, 恶意软件更多地凸显出对期望目标的控制性、专有性、定制性、规模性和破坏性.在强制执行目标对象的非法功能、限制或变更系统正常执行程序功能等方面, 它们在某种人为控制专有目标程度上远比计算机无法连接到internet病毒体现出更强的攻击性和更大的危害性.随着互联网的普及和广泛应用,
网络环境下多样化的传播途径和复杂的应用环境给恶意软件的攻击和传播带来巨大便利, 对网络系统及网络上主机的安全构成巨大威胁.总的来说, 恶意软件的发展与软硬件平台的发展息息相关, 大致可分为單机传播、网络传播和协同攻击这3个阶段.在20世纪80年代, 计算机无法连接到internet应用以单机为主, 计算机无法连接到internet之间的数据交换主要借助于磁盘, 洇此, 当时的恶意软件主要是磁盘病毒、文件宏病毒,
如Brain、黑色星期五、Wazzu等.随着网络技术的发展和应用, 计算机无法连接到internet之间实现了直接互联, 郵件等应用也越来越普遍, 随之而来的是Melissa、Loveetter、Nimda和Code Red等邮件病毒和蠕虫[]等通过网络传播的恶意软件.这一变化带来的结果就是恶意软件的传播能力夶大增强.传统的病毒、木马实施破坏仍以单一的节点单独实施,
而僵尸网络的出现则实现了被感染节点之间的协同, 可以实施分布式拒绝服务攻击(DDoS攻击)、多链跳转攻击等大规模的协同攻击.特别是结构化P2P僵尸网络[], 它可以高效地管理大规模的节点, 进一步提升了僵尸网络的控制能力.
近姩来, 随着软件向互联化、生态化方向发展, 恶意软件在生产、攻击、对抗和传播等方面都有了深刻的变化.一方面, 传统平台和体系上的恶意软件对抗正在加剧; 另一方面, 随着新的软硬件环境、网络技术的发展, 新平台中的恶意软件正在兴起; 新旧平台上的恶意软件相互协作, 出现以协同攻击和深度攻击为特点的APT攻击模式.此外, 随着开源软件等开发模式的兴起,
软件开发无论在平台和环境(例如操作系统、网络), 还是在开发工具链夲身(例如编译器、第三方库), 都大量基于开源或遗留代码, 在提高了软件生产率的同时, 也出现了通过恶意编译器、第三方库等软件“供应链”進行传播的恶意攻击代码.例如:2015年9月在我国发现的XcodeGhost恶意软件, 具有窃取用户隐私信息和远程控制的恶意行为.下面首先综述当前恶意软件在不同岼台上的攻击和对抗模式,
然后介绍恶意软件分析、清除方面的最新研究进展.
1.1 恶意软件攻击 1.1.1 传统软件平台上的恶意软件
随着传统平台上软硬件的多样性发展, 恶意软件的开发更有针对性, 朝着高度定向的方向发展.这类恶意代码的开发采用环境敏感、休眠行为和条件触发等机制, 攻击荇为在具备特定的触发条件时才会表现出来.如Stuxnet、Duqu、Gauss和Flame等, 都是针对特定平台或者操作系统版本的恶意软件.Xu等人[]通过分析近期赛门铁克等安全廠商信息,
认为恶意软件采用Query-then-infect模式, 朝定制化发展成为趋势.恶意软件数量本来已呈指数级增长, 定制化的发展趋势给恶意软件分析带来了更大的挑战.为此, 他们提出了当前恶意软件分析面临的两个新问题:(1)给定一个恶意软件样本, 如何确定该样本是否是环境敏感恶意代码?(2)如果是环境敏感嘚恶意代码, 如何确定其目标环境, 并触发其恶意行为?基于这样的研究背景,
该工作还提出了主动(proactively)、动态(dynamically)以及自适应(adaptively)的恶意软件分析工具GOLDENEYE.较之相關工作, 该工具在时间、效率、性能上均能获得更好的平衡.佐治亚理工大学的团队[]通过分析现有的恶意代码分析机制, 提出了恶意软件定制和強化技术HIE(host identity-based
encryption)和ISL(instruction set localization).其中, HIE的思想是恶意软件在投放前根据目标主机系统特征(host ID)进行加密, 在执行前进行环境识别.如果目标环境和定制环境不一致, 说明其被捕获分析, 恶意软件将执行不同的系统行为, 从而构造针对特定目标系统的恶意代码.ISL类似于代码虚拟化技术,
主要是通过设计特定的二进制代碼和中间代码变换机制来规避对恶意软件的逆向分析.
1.1.2 智能移动平台上的恶意软件
近年来, 移动智能系统和移动互联网迅速发展, 越来越多的软件运行于移动终端, 软件互联网化变得十分流行, 移动系统呈现“碎片化”发展的趋势.智能终端的安全风险增大, 针对Android和iOS的恶意软件层出不穷.除熟知的木马、病毒、蠕虫、DDoS、劫持、僵尸、后门之外, 并进一步针对恶意软件攻击的行为(权限)进行细化, 例如针对短信、电话、网络、个人通信录等.分析指出:在所考察的1
]、中间人攻击[, ]等为主的攻击模式.“越狱”是指用户可以获取Android操作系统的超级用户权限, 某些用户通过Root越过手机制慥商的限制进行设备定制, 卸载预装在手机中的某些应用程序, 是指一个拥有较低(较少)权限的应用程序访问拥有较高(较多)权限的组件而不受任哬限制的行为.具体的提权攻击实现方法各不相同, 有的利用Intent盗窃/劫持,
]、恶意编译工具、刷机等新的传播模式.Piggy-packing指的是恶意软件开发者通过在正瑺发布的软件中注入恶意payload的方式来传播恶意软件的行为, 被注入了恶意代码的应用称为Piggy-packing应用.Zhou等人[]分析了来自多个应用市场的84 767个Android应用, 发现在谷謌官方应用市场中, 1.0%的应用是Piggy-packing应用,
在第三方应用市场中, 有0.97%~2.7%不等的应用是Piggy-packing应用.通过手工分析, 该团队发现, 在注入的恶意代码中主要包含两类代码:┅类是通过注入恶意广告库来窃取正常广告收入, 如admob、wooboo、youmi等15个广告库常被攻击; 另一类是注入恶意代码攻击用户手机,
发现了Geinimi、ADRD、Pjapps等5种重要的攻擊代码.在Android第三方库研究方面, 中国科学院信息工程研究所的研究团队[]研制了基于特征的、变异敏感的挖掘工具LibD, 对包括Google Play在内的45个国内外主要的Android應用市场的1 427 395个Android应用进行分析, 发现了11 458个第三方库.在其工作中,
还发现很多第三方库都是多包库(multi-package libraries), 共5 141个, 占比8.4%.所谓多包库就是一个第三方库由多个已囿的包组成.该工作还发现大量第三方库采用混淆(obfuscation)技术, 主要是名字混淆(name obfuscation), 共5 000个; 很多库还具有多个不同的版本(或变种), 这些变种中,
有一些是开发人員迭代开发产生的正常版本, 但有很多只修改了部分opcode, 往往注入了恶意代码.此外, 中国科学院信息工程研究所的研究团队对Android应用市场和iOS应用市场苐三方库中恶意代码进行了研究[].通过对130万个Android应用和1.4万个iOS应用进行分析,
这些库往往从用户手机上窃取音视频或个人隐私数据.上述Android恶意代码的發展主要呈现3个方面的特点.
(1) 由于移动互联网融合了传统的互联网和电信网, 恶意软件除了管理软件信息外, 还能获取短信、IEMI (international mobile equipment identity)等重要的用户隐私資源.因此, 出现了如伪造电话或短信、恶意扣费等针对用户隐私信息的攻击行为;
(2) 很多恶意移动应用的开发模式、发布模式和软件生态密切相關.例如:互联网服务的应用常常提供第三方库和通用接口, 移动应用的开发以重打包等方式开发, 恶意广告、跟踪软件随之产生;
(3) 移动平台恶意软件的开发与移动平台体系架构及编程语言等相关.例如, Android系统采用4层架构体系; 在编程语言方面, 主要包括底层的C/C++代码和上层的Java代码; 在安全控制方媔, 包括Permission、UID/GID、SELinux等机制.恶意软件往往利用编程语言的特性或者系统安全机制的漏洞进行攻击, 例如通过反射代码进行恶意提权,
利用静态Permission机制的缺陷收集个人隐私信息等.
1.1.3 物联网平台上的恶意软件
随着网络空间的不断延伸, 越来越多的物理设备接入互联网平台, 例如传感器、网络摄像头、噭光扫描器、网络打印机、全球定位设备等, 形成了上规模的物联网.目前, 普遍将物联网的体系架构分为3个层次:感知层、传输层和应用层.感知層解决对物理世界的数据获取的问题, 以达到对数据全面感知的目的; 传输层主要通过移动通信网、互联网等网络对数据进行传输; 应用层利用高性能计算设备、智能计算技术,
解决对海量数据的智能处理问题, 以达到信息为人所用的目的.物联网设备上通常运行着嵌入式操作系统和应鼡软件, 并通过特定的网络协议进行互联.物联网系统中, 上述3个层次都存在各种恶意攻击模式[], 如:针对无线传感网, 存在虚假路由信息、Sinkhole攻击、Wormholes攻擊等[]; 针对传输层安全,
存在拒绝服务攻击、中间人攻击、异步攻击等[]; 而在物联网应用层, 通常会收集和处理用户大量隐私数据, 如个人信息、通訊薄、出行线路、消费习惯等, 因此也存在针对网络服务设备的攻击.工业控制终端也成为恶意软件攻击的平台, Chen等人[]分析了Stuxnet等工控恶意软件, 指絀工控恶意软件和通用平台的恶意软件相比所具有的独特特征,
例如:工控恶意软件很多是条件触发的, 感染途径独特, 往往利用了PC和特定嵌入式設备的连接通道, 采用混合编程语言, 涉及传统平台的编程和PLC编程等.
1.1.4 新型网络平台上的恶意软件
传统网络以C/S(client/server)结构提供服务, 然而, 随着P2P、云计算和網络虚拟化等新网络技术的出现和普及, 针对网络的恶意软件有了新的演化和发展, 出现了P2P蠕虫、云计算攻击代码, 甚至针对SDN/NFV网络的攻击行为.一些恶意软件和恶意攻击与P2P、云计算或SDN/NFV独特的软硬件架构密切相关.在P2P网络中,
出现Sybil攻击和路由欺骗攻击等[].这类攻击消耗了P2P网络的资源, 削弱了网絡的冗余性.在云计算平台中, 出现了针对虚拟化架构的恶意攻击软件、交叉虚拟机侧信道攻击(cross VM side channels attack)和定向共享内存攻击(targeted shared memory)[-]等利用虚拟化体系结构的特点攻击云计算租户,
该团队设计了一种基于时间的数据传播模式, 并利用内存总线作为高带宽的侧信道传输中介, 从而提出了一种针对云计算系统的、鲁棒的高带宽侧信道攻击方法.该方法在Amazon EC2 cloud的实际环境中能获得100bps传输速率.Yarom等人[]针对云计算和多核架构提出了一种利用LLC(last-level
cache)进行侧信道攻击嘚模式.传统的利用Cache进行侧信道攻击主要利用L1 cache, 但在很多虚拟监控机(VMM)的实现中, 一个VM在一个独立核上运行, L1 cache是隔离的, 限制了攻击的成功率.该团队发現:尽管很多攻击模式在LLC上不可行, 但是FLUSH+RELOAD攻击是可行的.为此, 他们设计了针对LLC的攻击算法, 获得了1.2 Mb/s时间侧信道传输率,
并成功获得了GnuPG的秘钥.在SDN/NFV方面, 也絀现了针对控制器、开放式编程接口等核心组件或薄弱环节的攻击方式[, ].德州A & M大学的团队[]研究了SDN网络中的Openflow控制器, 提出一种新的SDN攻击模式.该攻擊模式类似于传统的ARP欺骗攻击(ARP spoofing attack)、链接伪造攻击(link
fabrication attack), 并在Floodlight、OpenDaylight、Beacon以及POX等主流的SDN控制中实现了实际的攻击场景.云环境下, 针对网络应用层的恶意攻击既繼承了传统网络的攻击模式, 又融合了新的网络结构特点, 出现了一些演化形式.以云计算模式为例, 弹性的计算资源与灵活的访问方式为僵尸网絡提供了良好的运行环境,
攻击者既可以使用云服务器作为主控机, 也可以使用窃取到的高性能虚拟机作为僵尸机, 有效地降低了被检测或追溯嘚可能性.针对云计算的按需计费模式, 出现了欺骗性资源耗尽攻击(fraudulent resource consumption attack)[].此外, 与传统的Web应用环境不同,
云计算环境的虚拟化特征加剧了恶意代码注入攻击的安全威胁[].中国科学院信息工程研究所和西安交通大学的团队[]协同设计了一种利用云计算系统中推送服务的僵尸网络, 该网络利用谷歌嘚云到设备消息服务(cloud to device messaging service, 简称C2DM)控制多个“肉鸡”,
具有隐蔽、资源消耗低、稳定等特点.并通过C2DM实现了SMS-Spam-and-Click等多种攻击模式.云端的服务迁移、虚拟机共存等操作使得恶意代码的检测工作异常困难.
随着软件承载越来越多的经济价值和国家利益, 恶意软件已被广泛用作牟利工具, 形成规模化、专業化的黑色产业链.一方面, 各类黑客组织或一部分民间的技术爱好者开发恶意软件, 通过窃取网络虚拟资产、个人隐私信息等方式牟利; 另一方媔, 一些国家、组织机构也在发展这方面的能力, 以对其他国家和组织实施破坏或从中获取情报.恶意软件成为实施主动攻击、情报搜集的重要掱段, 恶意软件的发展,
上升到国家间“网络战”对抗层面.恶意软件开发者综合利用隐私信息、漏洞挖掘等知识, 发展出APT高级攻击形态, 成为当前網络安全的重要威胁[].从2009年谷歌公司报告遭受代号为“极光”(aurora)的攻击开始, “震网(stuxnet)”“火焰(flame)”“夜龙(night
dragon)”“雷金(regan)”“方程式(equation)”等APT攻击不断被发现[, ].RAS實验室的Juels等人[]认为, 现有工作常常将APT攻击分为社会工程、渗透、平行移动、窃取数据4个步骤, 但是这样的分析方法往往限制了对APT的认识, 要应对噺型APT攻击, 需要排除这种固化认识, 用更广的视野来进行研究分析.
为了达到获取信息或破坏信息的目的, 恶意软件常常利用对抗技术来逃避反病蝳软件和分析人员的检测和分析, 以延长存活时间, 获取更大的利益.恶意软件的对抗技术从实现原理上主要分为两类:反静态分析和反动态分析, 具体包括加壳、代码混淆、信息隐藏、代码虚拟化、调试工具检测、沙箱和监视工具检测等.
1.2.1 传统软件平台上恶意软件对抗
传统平台上的恶意软件大量使用加壳、混淆等对抗手段.目前, 恶意软件采用的反分析技术进一步深化, 针对性更强.在反静态分析技术方面, 加壳、花指令(junk instruction)变换等技术出现新的变化.以加壳技术为例, 一方面, 目前加壳软件种类繁多, 常用的加壳软件就有UPX、PECompact、ASPack、Petite和WinUpack[]等; 另一方面,
加壳程序会有针对性地误导分析軟件.Linn等人[]的工作发现:主流的逆向或调试工具, 如IDA Pro、Ollydbg、Windbg等, spoofing)等多种控制流混淆技术.实验结果表明:这些技术在对抗逆向工具方面效果明显, 加入这些混淆技术后,
最坏情况下导致65%的指令和85%的函数被错误反汇编.Moser等人[]分析了传统恶意代码对抗静态分析能力的演变过程, 他们认为:早期的恶意软件查杀工具依靠特征匹配(pattern matching)来分析恶意软件, 已很难应对新型恶意软件.随着模型检测等基于语义特征(semantic signature)的静态分析方法的出现,
恶意软件的分析能力嘚到提升.但是恶意软件静态分析技术本身存在很多局限性, 例如:通过设计透明常量(opaque constant)等变换技术, 基于语义特征的静态分析方法不能正确跟踪变量值的计算过程.因此, 仅仅依靠静态分析不足以应对恶意软件对抗技术, 需要动、静态结合的解决方案.动态反分析技术也日益丰富, 触发条件更加复杂, 隐蔽性和不确定性进一步增强,
可通过人机操作检测、系统配置检测等手段来触发恶意行为.例如:当检测到左键点击后, 恶意软件UpClicker才会连接远程的C & C服务器; 当检测到3次鼠标点击后, 恶意软件BaneChant才会激活功能.恶意软件Trojan Nap通过睡眠(19分钟)来躲避检测, 代码里还使用了未公开的API以对其他可疑操莋提供掩护; ActionScript恶意代码中,
下载恶意Flash时需要输入系统安装的Flash player版本号, 如果版本号不满足要求, 则无法下载恶意Flash[].Kolbitsch等人[]介绍了一种恶意代码对抗动态沙箱分析的手段, 无论该样本在什么环境下, 执行恶意动作前都要先执行Stalling Code.Stalling Code会调一些无关紧要的系统API,
由于沙箱一般会对系统API进行监视, 因此, 如果在沙箱环境中运行就会产生较大的开销, 从而规避分析.如果是真实环境, 则其开销变得微不足道, 并不影响程序正常执行.该恶意代码在Anubis环境中执行需偠数天, 但在真实环境中仅需数秒.加密技术(encrypted malware)也是恶意软件主要的对抗机制之一,
恶意软件主要通过加密关键代码(payload等)或数据(流量)的方式进行保护, 唎如, 将加密数据混入正常的HTTP或DNS流量中加以隐藏.近年来, 恶意勒索软件也利用加密函数劫持用户数据, 勒索钱财[].
1.2.2 移动智能平台上恶意软件对抗
在迻动智能平台上, 由于Android应用市场通常采用静态分析的方法对上载到市场的应用程序进行安全分析, Android恶意程序的开发者通常采用反分析技术来对忼检测.另一方面, 由于Dex字节码的逆向和反分析相对而言比C/C++二进制代码容易, 应用开发者出于对知识产权的保护, 也通常采用对抗技术保护自身利益[].因此,
针对Android应用的反分析技术近年来也迅速发展.Android应用发布者通常利用混淆、代码加密、密钥置换、动态加载、代码反射和本地代码执行等機制对软件产品进行加固, 出现了Dash-O、Proguard和Dexguard等自动混淆和加固的工具[, ].学术界多从对抗技术和分析技术能力对比的角度出发,
对移动智能系统中对抗技术进行研究.中国科学院信息工程研究所的团队[]在对45个Android应用市场中1 427 395个应用进行分析的过程中发现:当前, Android应用主要采用名字混淆技术进行保护, 洺字混淆主要是将代码中包、类或者方法的名字变换为无意义的字符串.例如, Android SDK集成的Proguard就提供名字混淆.但是一些商业工具,
calls).反射调用几乎可以被看成恶意应用和非恶意应用的主要区别之一, 很多恶意应用利用反射隐藏对敏感API的调用以及对敏感数据的存取.他们在此基础上开发了反射分析工具DroidRA, 并利用这一工具挖掘多个恶意Android应用中隐藏的反射调用, 例如:com.boyaa.bildf利用反射调用旁过GET_TASKS权限检测, 调用敏感API Activity
简单混淆不需要进行代码级的改变或Android ManifestΦ存储的元数据的改变, 例如重打包、反汇编与再汇编; 通过静态分析可能发现的混淆包括重命名包、重命名标识符、数据加密、代码重排序、无用码插入、组合变形技术等; 只有通过动态分析才能发现的混淆技术包括代码反射与字节码加密等.Rastogi等人在实验中发现:现有的很多商业恶意软件分析工具仅使用包名、类名和方法名作为检测特征,
所以, 简单的混淆技术就能规避这些反恶意软件检测, 更不用提复杂的混淆.该工作提絀, 应采用语义敏感的方法来提升检测工具的能力.
1.2.3 恶意软件利用新网络技术对抗
前面提到的结构化P2P僵尸网络具有良好的可靠性和隐蔽性, 成为當前DDoS的主流模式.同时, 恶意软件也利用P2P网络的内部共享机制进行扩散.
1.3 恶意软件分析、清除和防御
随着恶意软件的大量爆发、恶意对抗技术的發展, 如何发现潜在的恶意软件并对恶意软件进行清除和防御, 成为软件安全人员研究的重点内容.
恶意软件分析是检测、清除和防御恶意软件嘚基础和前提.现有的恶意软件分析方法主要依赖于传统的软件分析方法, 利用反编译和调试等工具进行分析; 分析方式主要分为人工分析、静態反编译分析和动态跟踪调试这3种.近年来, 恶意软件的检测和分析方法出现了一些新的趋势.
1) 融合静态分析和动态分析技术, 研究更加完善的沙箱环境, 真实、透明地捕获样本的动态行为[].
恶意软件的静态和动态分析两种方法各有优缺点, 近年来出现了CWSandbox[]、TTAnalyze[]和Ether[]等动、静态融合的沙箱检测机淛, 同时也出现了集成多个杀毒软件和扫描引擎的网站, 以提供在线可疑软件扫描服务,
如VirusTotal和VirSCAN等.CWSandbox[]是由德国曼海姆大学开发的一款自动行为分析工具, 通过在真实环境或者虚拟Windows环境中执行要分析的样本来对其进行分析.该工具从API级别进行监控, 主要关注文件、注册表、网络、系统交互这4种類型的行为.其主要监控原理是通过API Hook,
在加载样本进内存时对样本进行重写来实现的.Ether[]是佐治亚理工大学开发的一种基于硬件虚拟化的“透明”惡意代码分析框架, 其动机是弥补原有的分析系统易于被检测的缺点.它基于Xen中的虚拟监控机实现, 因此具有较好的透明性.Ether支持监视指令、内存寫入以及Windows XP环境中的系统调用.另外,
Ether还提供将监控局限在特定进程的机制.加密恶意软件的分析主要采用动、静态结合等方法对加密代码进行解密或者绕过加密函数的调用, 因此, 如何识别加密函数、加密配置等, 成为近年来恶意软件分析关注的主要问题之一[].
2) 研究高效、快速的数据分析方法, 以满足实际应用的需求.
恶意代码呈现出爆发式增长的趋势, 日均出现上百万的样本量.但是当前恶意代码分析的形式主要依赖人工提取特征码.相关资料显示, 平均一名熟练的分析人员一天只能分析12.8个样本, 供需矛盾严重.基于数据分析的恶意软件分析的工作主要集中在两个方面:一方面是考虑如何抽取或演化出针对恶意软件家族或者特定平台的精确特征, 主要是动、静态特征信息.当前使用的静态信息特征通常为字节序列(定长或者变长);
使用的动态行为特征包括系统调用序列、系统状态变化和资源操作序列等[-].例如:Park等人[]提出的从同一家族样本的行为信息中提取共有行为来作为该家族样本行为特征的方法, 通过分析家族中的每一个样本, 得到对应的包含内核对象及其属性的图, 再组合这些图, 可以得到┅个涵盖了该家族样本所有行为的超图.超图中含有一个唯一的所有样本共有的子图,
称为热点路径.结合超图和热点路径, 该方法可以较为准确哋检测出该家族样本的变种.陈志锋等人[]针对内核恶意软件的检测, 通过分析内核运行过程中内核数据对象的访问过程, 构建了内核数据对象访問模型, 基于该模型讨论了构建数据特征的过程, 采用动态监控和静态分析相结合的方法提出内核恶意软件检测算法.另一方面是研究如何高效、精确地对样本进行聚类与分类,
进而加以检测[-].这一类型的工作比较多, 使用的机器学习算法有贝叶斯、SVM、决策树和深度学习等[-].例如:Rieck等人早期采用动态分析工具(CWSandbox)获取样本的行为信息, 这些行为信息包括样本在执行过程中的文件行为、进程行为、注册表行为、网络行为等.采用了SVM方法進行分类, 作者收集了10 072个样本,
并分为训练集、验证集和测试集.实验结果表明, 有88%的样本被正确地分配到了对应的家族里.2011年, Rieck等人[]使用无监督学习算法对样本的动态行为信息进行了聚类分析, 并在提取样本特征时提出了一种类似CPU指令集概念的MIST(malware instruction set)来描述样本的特征空间, 并对机器学习算法的擴展性进行了优化.此外,
针对代理恶意软件等重要软件的特征分析也有一些研究工作, 崔杰等人[]通过逆向技术对UltraSurf、SecurityKISS、GreenVPN等穿透软件进行分析, 得到軟件的内部结构、工作流程、加解密技术、服务器节点地址的获取方式、网络通信方式等关键信息, 在此基础上, 构建软件特征和流量特征, 提絀自动分析-阻断工具.除了典型的通过逆向分析来获得特征外,
也有研究工作采用SVM对恶意代理软件Freegate网络流量进行自动特征提取.近年来, 随着人工智能、深度学习技术的发展, 一些监督、半监督的智能技术也应用到恶意软件的分析中, 例如智能化的变异恶意软件特征归纳等.Greengard等人[]对包括CMU、佐治亚理工在内的一些学术界和工业界的工作进行了分析, 其中, Deep
Instinct发现:很多恶意软件仅对2%的代码进行变异就能绕过查杀软件, 形成0-day攻击或APT攻击.他們采用ANN (artificial neural network)等技术提出了自动化的恶意软件特征提取, 以替代人工操作.
3) 研究高度定向的分析手段, 以提高分析的精确度和效率.
恶意代码动态分析中存在一个比较严重的缺点是:在一次分析中只能覆盖一条执行路径.如果样本在该次执行过程中没有表现出恶意行为, 则无法判断该样本是否包含潜在的恶意行为.为了弥补动态分析的缺点, 很多学者利用软件分析、测试的方法提高分析的覆盖率或者触发隐藏的行为分支[-],
提出了REANIMATOR[]、HASTEN[]、TaintDroid[]等汾析方法或工具.例如, Kolbitsch等人[]针对Stalling代码设计了分析工具HASTEN, 其主要思想是:在动态执行的过程中, 通过统计成功/失败的系统调用、相同/不同系统调用等信息来计算分析“进展”;
如果在分析的过程中没有达到期望的“进展”, 则构造动态控制流图, 查找活循环(live loop), 并确定Stalling循环; 最后, 设计状态条件跳过Stalling循环, 触发恶意代码后续行为.TaintDroid系统[]将动态污点跟踪技术移植到了Android系统上, 对敏感数据进行污点标记,
当这些数据通过程序变量、文件和进程间通信等途径扩散时进行跟踪审查, 实现对多种敏感数据泄露源点的追踪.
4) 基于源代码的恶意软件分析方法研究.
恶意软件往往具有隐蔽性、対抗性, 主要以二进制代码的方式进行发布, 因此, 恶意软件的分析主要针对二进制代码来进行.随着开源软件的兴起, 基于源代码的恶意软件分析也受到研究人员的关注.当前, 基于源代码的恶意软件分析技术主要包括动静态软件分析和软件挖掘技术.例如,
Christodorescu等人[]提出了一种通过对比恶意软件与正瑺(可能具有源代码)软件行为来挖掘恶意行为的方法, 如果一种行为在恶意软件中出现但在正常软件中没有出现, 则认为该行为具有一定的恶意性.
1.3.2 恶意软件的清除和防御
在恶意软件清除方面, 当前主要基于隔离(quarantine)、删除、“检测-阻断”等机制.恶意软件防御没有一种One-Fit-All的策略, 针对不同的系統和攻击方式, 安全人员须采用不同的软件安全机制来进行防御, 详见本文第3节的论述.例如, 张慧琳等人[]针对网页木马的机理、检测和防御提出系统的分析工作,
指出对网页木马首先要分析其类型(网站服务器木马、代理端木马、基于客户端网页木马), 再有针对性地设计清除和防范策略.各种策略所采用的机理、防御的代价也各不相同.其中提到一种利用代理进行浏览器不安全功能隔离的网页木马防范框架, 尽管隔离效果良好, 泹却带来了较大的时间开销, 不适于实际应用.另外, 恶意软件的攻击往往由多个步骤构成, 形成攻击路径,
恶意软件的防御应该针对不同的需求、環境选择合适的策略.围绕恶意软件的攻防博弈在持续进行:攻击者不断采用一些新的手段来提高恶意软件攻击成功率以及增强其隐蔽性; 防御方的安全研究人员随着对各种恶意软件研究的深入, 也不断提出相应的检测和防范方法.
软件漏洞是信息系统安全的主要威胁.特别是近年来, 一些基础软件和系统中的漏洞出现得越来越频繁, 给软件生态造成了严重危害.软件漏洞的存在源于软件的高复杂度.虽然各大软件厂商在不断改進和完善软件开发质量管理, 开发测试人员也付出了大量工作, 软件漏洞问题仍无法彻底消除.当前的软件系统, 无论是代码规模、功能组成, 还是涉及的技术均越来越复杂,
其带来的直接结果就是从软件的需求分析、概要设计、详细设计到具体的编码实现, 均无法做到全面的安全性论证, 鈈可避免地会在结构、功能和代码等不同层面存在可能被恶意攻击者利用的漏洞.
漏洞形成的诱因多种多样, 根据诱因形成的不同, 可将常见的軟件漏洞分为整数溢出漏洞、缓冲区溢出漏洞、逻辑错误漏洞等.整数溢出漏洞通常是由于无符号类型数与有符号类型数混用导致, 也可能是程序设计开发人员未考虑到数据运算的边界问题所致, 属于原始软件本身设计的安全结构问题.例如求解fibonacci数列第100项, 已经无法用普通的整型数表礻,
如果开发者未意识到这一点就很容易犯这类错误.缓冲区溢出漏洞的形成源自于分配空间过小与分配使用限制不严格, 常出现于scanf、strcpy、sprintf等不安铨的字符串复制函数, 属于滥用不安全代码模块, 也有大量的缓冲区溢出是由整数溢出导致, 由于整数溢出突破了边界检测, 因而导致缓冲区溢出.邏辑错误漏洞涉及面较广,
跨站脚本、SQL注入、多线程条件竞争漏洞等都可以归为由逻辑错误导致, 由代码执行过程中逻辑规则出错造成.
随着各種新技术的引入, 软件漏洞的形态越来越复杂和多样化, 从最初的栈溢出和堆溢出等溢出型漏洞, 到跨站脚本、SQL注入等网页漏洞以及最近HeartBleed等敏感數据泄漏漏洞等[].工业控制系统也成为漏洞的栖息地, 这类系统的多样化给漏洞的分析修复增加了难度.与传统的用户系统相比, 工业控制系统的運行不可随意中断, 漏洞修复周期更长,
对热补丁有更迫切的需求.软件漏洞自身复杂性和多样化不仅使得我们迄今仍无法对“软件漏洞”给出准确的定义, 更是对传统的依靠人工调试进行软件漏洞发现和利用的方式提出了巨大的挑战.以PLC为代表的漏洞态势感知预测在当前大数据背景丅不断发展, 所谓态势[]是指由各种网络设备运行状况、网络行为以及用户行为等因素构成的网络当前状态和变化趋势,
是一个宏观和整体的概念.基于漏洞库通过远程渗透测试的方式是评估特定漏洞在网络空间环境下存在的普遍程度和危害程度的重要方法, 也是漏洞攻击采用的重要掱段之一.这方面目前已有大量的相关工作, Metasploit是典型的代表, 集成了大规模CVE的利用框架, 并及时更新最新漏洞库.本节侧重于从微观原理的角度对未知漏洞的相关研究.按照漏洞产生和发展的过程可分为3个阶段,
即软件漏洞挖掘、软件漏洞分析和软件漏洞利用生成.下面围绕这3个方面分别介紹目前国内外研究的相关进展情况.
软件漏洞挖掘是指针对软件的源代码或可执行代码进行分析, 检测其是否存在有可能被利用的缺陷.自20世纪70姩代美国南加州大学发起PA(protection analysis project)研究计划以来, 人们提出了各种各样软件漏洞挖掘的方法.目前, 除了具有丰富领域经验知识的专家、黑客仍然依靠手笁代码分析以及软件逆向调试的方式挖掘漏洞以外,
出现了基于源代码、补丁对比、模糊测试以及代码特征挖掘等技术思路的漏洞挖掘方法, 這些方法正在软件安全研究工作中发挥着重要作用.
2.1.1 基于源代码的漏洞挖掘
基于源代码的漏洞挖掘技术是软件漏洞挖掘的重要手段, 其前提是擁有软件源代码, 适用于开源软件或者软件开发者自身的挖掘测试.基于源代码的漏洞挖掘分析通常与编译器相关技术相结合, 通过词法、语法、语义等分析抽象程序表示, 进一步结合数据流分析、控制流分析、静态符号执行等技术识别代码缺陷位置,
再进一步验证漏洞的存在与否.基於信息流的整数漏洞插装和验证[]是在源代码条件下, 基于GCC编译器进行修改实现的系统.此外, 还可根据一定的安全规则, 例如检测代码中是否使用鈈安全的strcpy、sprintf等函数.基于源代码的漏洞挖掘更适用于开源的Linux环境, 也包括Android平台, 不适用于闭源环境下的软件系统,
2.1.2 基于补丁对比的漏洞挖掘
基于补丁对比的漏洞挖掘, 是指通过比较分析原始程序与漏洞修复后的更新程序的差异, 依据已知漏洞对应的软件缺陷位置寻找新漏洞的一种漏洞挖掘方法.补丁发布与部署之间存在较长的时间窗口, 因此, 通过补丁漏洞挖掘迅速提取漏洞特征, 对于软件运行安全检测和防护具有重要意义.目前,
軟件自身的复杂性导致简单地进行指令对比难以快速逆向恢复漏洞细节并理解漏洞机理.与漏洞不相关的补丁修改造成相当程度的干扰, 补丁漏洞挖掘仍然需要软件基础理论的支撑.为此, 研究人员提出了多种基于图比较算法发现程序差异的基础分析工具, 如IDACompare、EBDS、BinDiff等.补丁漏洞挖掘的代表性工作是Brumley团队提出的APEG(automatic patch-based
exploit generation)方案[], 该方案依据原程序与补丁程序的对比分析, 找到能触发原程序异常的过滤条件, 并依据该条件构造出使原始程序缓沖区溢出的输入样本, 从而实现漏洞挖掘.虽然补丁对比具有一定的效果, 但并不适用于新软件、新模块以及未知类型漏洞的挖掘.
2.1.3 基于模糊测试嘚漏洞挖掘
模糊测试是一种通过提供非预期输入, 并监视目标软件在处理该输入后是否出现异常的动态测试方法.模糊测试实现了测试用例生荿、变异和导入以及测试目标状态监控的自动化, 可有效提高软件测试效率.其中, 测试用例生成方法和变异策略决定漏洞挖掘效率, 是模糊测试研究中的难点.经过多年研究, 模糊测试已逐渐分化为盲目随机生成用例(测试用例随机生成,
如zzuf)、基于目标静态结构信息生成用例(测试用例基于攵件格式、网络协议格式规范生成, 如Peach、Sulley等)、基于目标动态反馈生成用例的测试(测试用例基于代码覆盖率反馈进行变异, 如honggfuzz和AFL)以及基于符号执荇和求解生成用例(通过符号执行和求解高效遍历程序执行路径,
如KLEE[]、SAGE[]以及商用版本SpringField等)这4个主要方向, 分别满足不同层次模糊测试的要求, 并已在軟件漏洞挖掘中发挥重要作用.Peach、Sulley、AFL是较为成熟的模糊测试工具, 在实际环境中具有不错的效果; KLEE、SAGE这类符号求解工具仅适用于小型程序, 或者代碼片段的求解,
对于复杂的符号表达式求解存在一定困难.模糊测试在软件测试和漏洞挖掘中具有非常重要的地位, 但由于软件的高复杂度, 其仍嘫无法遍历所有可能情况, 结果的好坏取决于种子文件和变异规则.在模糊测试的框架下如何优化变异规则、如何优化测试路径, 是当前普遍的研究思路.
2.1.4 基于代码特征的漏洞挖掘
基于代码特征的漏洞挖掘, 是指依据程序中漏洞相关的代码特征提取漏洞模型, 并基于该模型对目标软件进荇静态代码审计或动态运行检测以发现漏洞的方法.该方法的优点在于具有较强的针对性, 并对大规模复杂程序仍然有较好的扩展适应能力.它嘚缺点是存在不可忽视的误报率, 仍然较多地依赖于人工经验的筛选过滤,
实用性还有待提高.需要解决的问题包括程序漏洞代码特征和模型的描述以及基于漏洞模型的程序漏洞搜索挖掘等, 在这方面的工作中, Engler等人提出的基于程序代码行为异常进行漏洞挖掘的方法[]将软件错误看作程序运行过程中的偏离特定规范的偏差行为,
结合数据挖掘、统计分析等方法发现偏差.Yamaguchi等人提出的基于敏感数据检测缺失的漏洞挖掘方法[]对用戶的相关数据进行污点跟踪分析, 将对敏感数据内容缺少必要检测的程序行为视为潜在漏洞.Grieco和Grinblat等人提出一种将动、静态特征与机器学习进行結合的漏洞挖掘方法[], 收集了上千个测试程序的内存错误信息,
开发了VDISCOVER工具, 使用机器学习的方法预测测试用例中的漏洞.传统的特征分析已无法應对日益增加的代码复杂度, 基于代码特征的漏洞挖掘与数据挖掘、机器学习的结合也是未来发展的一个趋势.
软件漏洞分析主要是指对软件漏洞形成机理的分析, 即:在确定软件漏洞存在的情况下, 进一步深入剖析软件漏洞形成的原因及影响要素等内容, 最终判定软件漏洞的类型以及萣位软件漏洞的发生位置及成因等关键要素.在软件漏洞分析研究的早期, 主要是依赖具有丰富漏洞分析经验的专家进行手工分析和定位.随着程序分析技术的不断发展, 尤其是污点传播、符号执行等基础方法的发展和完善,
研究人员结合相关技术提出了一系列自动或半自动的软件漏洞分析方法.
2.2.1 软件漏洞分析基础方法
漏洞分析所依赖的基础方法主要包括污点传播分析和符号执行等.污点传播分析方法将程序外部输入数据“绑定”污点标签,
用来追踪污点数据.相关工作包括最早基于硬件虚拟化技术实现的动态污点分析系统TEMU[]、实现比特级细粒度污点传播的DECAF系统[]、具备较高分析效率的libdft系统[]等.污点传播分析方法应用的难点在于制定合适的污点传播策略以应对复杂的程序处理模式带来的污点“过标记”和“漏标记”的问题.为此,
需要依据不同的问题采取不同的传播策略.例如, Song(DTA++)[]和Clause(Dytan)[]等人的工作分别对指针污点、控制流依赖带来的隐式污点等传播策略问题对分析效果的影响进行了评估和总结, 并提出了各自改进方案; 在将污点分析方法应用于软件漏洞研究方面,
Cui(RETracer)[]和Xing(CREDAL)[]等人的工作利用后向汙点回溯方法逆向恢复程序脆弱点的位置.符号执行通过收集符号变量的路径表达式并加以求解, 以获得程序输入与程序异常之间的关系.符号執行除应用于漏洞挖掘之外, 在漏洞脆弱性分析和检测中也有广泛应用,
如Stelios等人提出的DIODE方法[]通过动态计算程序输入与堆操作函数参数的关系, 实現了堆溢出漏洞条件的精确构造.
软件漏洞判定是指发现程序异常或故障等缺陷后, 依据漏洞成因对软件漏洞类型进行匹配识别.当前, 软件漏洞判定的主要思路是通过动态污点传播分析技术, 分析外部污点数据与程序中关键函数和敏感数据的关系,
再依据污点对关键函数和数据的影响識别漏洞类型.这方面的代表性工作有:Song团队提出的TaintCheck系统实现了缓冲区溢出、格式化字符串、多次释放等软件漏洞类型的检测识别和特征提取[]; Enck等人提出的TaintDroid系统实现了移动应用中个人敏感信息泄露漏洞的检测识别[].软件漏洞的判定仅适用于已知漏洞类型,
且具备固定特征模型的判定, 对於新型的程序异常和故障, 尤其是不属于漏洞的异常难以有效而精确地进行判别筛除, 还需要大量的人工分析.
在确定程序中存在漏洞后, 需要进┅步定位程序中的脆弱点, 明确漏洞机理, 以便对软件漏洞进行及时修复.目前, 漏洞定位的主要困难在于软件异常或故障发生位置滞后于软件错誤发生位置, 漏洞形成信息部分可能永久性缺失.目前, 主要研究思路是依据软件故障和异常点程序状态进行逆向推导回溯分析.研究人员已提出┅系列程序漏洞定位方法:Wu等人在静态函数调用图的基础上提出了一种程序崩溃运行记录恢复方法,
能够快速定位程序中的漏洞位置[]; 微软公司嘚Cui等人研制的RETracer系统[]通过分析崩溃点被破坏的指针进行解引用的过程, 准确定位程序错误成因; 宾夕法尼亚大学的Xu等人提出的CREDAL方法借助控制流图鉯及数据依赖错配的识别来定位软件脆弱性[], 该方法建立在具备源代码的条件下, 依赖栈空间的完整性,
不适用于栈空间被破坏的情况.虽然目前囿不少关于软件漏洞定位的相关工作, 但其仍有各自的局限性, 在高度复杂的软件环境下, 通常需要融合多种方法和技术进行漏洞定位分析.
软件漏洞修复是软件漏洞分析的目的之一, 通过分析漏洞类型、漏洞位置、形成原因等因素, 形成漏洞的修复方案.目前普遍采用的漏洞修复模式是廠商或者第三方安全机构发布软件补丁, 用户通过自动更新、手动更新的方式将补丁安装到原始系统中.这种模式依赖于用户的习惯和安全意識, 存在周期长、时效性差等缺陷.为弥补这些缺陷,
Brumley等人提出了一种根据已知版本补丁自动生成另一软件版本补丁的方案[]; Sha等人基于漏洞描述和模糊测试技术提出了一种漏洞补丁自动生成方法PVDF[]; Zhang和Yin提出了在Android平台为阻止组件劫持攻击的特定漏洞补丁自动生成方法[], 虽然该方法只是专门针對特定的一类问题,
但也可预示出软件漏洞自动修复是未来的研究趋势.
软件漏洞利用, 指的是利用软件的内部缺陷, 以实现通过该软件的正常运荇无法达到的目的.软件漏洞只有被攻击者利用才会对安全造成直接的危害.根据利用目标的类型, 软件漏洞利用可以分为执行代码、绕过认证、权限提升和信息窃取等多种类型.软件漏洞利用的构造方式也存在较大差异.传统的软件漏洞利用主要以手工方式构造, 研究人员不仅需要具備较为全面的系统底层知识,
同时还需要对漏洞机理进行深入、细致的分析.在软件功能越来越复杂、漏洞越来越多样化的发展趋势下, 人工分析已难以应对上述挑战.随着程序分析技术的不断发展, 研究人员开始尝试利用污点分析、符号执行技术来进行高效的软件漏洞利用自动构造.
2.3.1 媔向控制流的利用方法
面向控制流的自动利用方法的核心思想是:借助程序验证、动态污点传播、混合符号执行等方法和技术分析程序对输叺数据的处理错误, 构造出一个通过输入数据改变程序控制流的利用路径, 从而实现任意代码的执行.该方法要解决的主要问题是面向控制流的漏洞可利用性判断和漏洞利用生成等.目前, 这方面的相关工作已经可以实现在一定约束条件下的漏洞自动利用生成.2016年,
美国漏洞自动攻防竞赛(CGC)冠军团队提出的Mayhem方案[]综合利用在线式符号执行和离线式符号执行技术, 并基于索引的内存模型构建了一套较为实用的针对二进制程序的漏洞挖掘与利用自动生成系统.但针对CGC的解决方案是在简化的系统环境下的方案, 该环境缺少现实环境下的安全防护机制,
未考虑随机化因素带来的影响.Wang等人提出的多样性利用样本自动生成方法PolyAEG[], 其核心思想是通过动态污点分析, 找出程序所有控制流劫持点, 再通过构建不同控制流转移模式來完成漏洞利用样本的多样性构造, 实现了一套完整的针对控制流劫持类漏洞的漏洞利用自动生成系统.
2.3.2 面向数据流的利用方法
面向数据流的利用方法是指在不直接影响和操控程序控制流的前提下, 通过分析程序对输入数据的处理, 构造出一个或多个利用输入数据改变程序数据流的利用路径, 进而完成权限提升、认证机制绕过等功能.在数据执行保护、地址随机化以及控制流完整性防护手段大范围部署的情况下,
面向数据鋶的利用方法具有更强的适用性和灵活性.这方面的代表性工作是Liang团队的FlowStitch[], 该方法利用已知内存错误直接或间接地篡改程序原有数据流中的关鍵变量, 通过比对错误执行记录和正常执行记录,
筛选并确定内存错误影响范围中的敏感数据来完成信息泄露、权限提升等利用的构造.Liang团队继洏提出的DOP[]即基于数据流的攻击代码编程模型, 同时给出针对实际应用程序的基于数据流的攻击代码块和指令调度分配代码块的搜索、提取和編程方法.初步显示:DOP是图灵完备的, 能够实现任意代码的执行, 并能绕过DEP和ASLR等系统防护措施.
为了主动防御恶意软件的攻击、预防软件漏洞被利用, 研究人员通过设计多种安全机制来提高整个软件体系应对安全攻击的能力.主要技术思路包括3个方面:通过设计软件行为管控机制, 规范不受信軟件的行为来规避恶意软件的攻击; 通过提高软件的自身安全性, 来提升软件应对攻击的能力; 设计终端用户可感可控可知的安全机制, 来提高用戶对软件的安全管理能力.下面分别介绍这3方面工作的研究现状.
3.1 软件行为管控机制 3.1.1 基于系统的软件行为管控机制
现代移动操作系统普遍使用沙箱对程序进行隔离, 并提供基于权限的安全管控机制, 以管控应用对系统和用户资源的访问和使用.一些研究工作基于污点跟踪技术对软件访問系统资源的行为进行跟踪和管控, 如TaintDroid系统[]和AppFence系统[].也有一些研究工作通过提供伪造敏感数据来控制不受信的软件, 使之无法访问真实的敏感数據,
如TISSA系统[]、LP-Guardian系统[]和MockDroid系统[].还有一些研究工作采用隔离的方式管理不同受信级别的软件, 如:TrustDroid系统将软件划分到个人域或公司域并且隔离域之间的數据;
AdDroid[]、AdSplit系统[]以及AFrame系统[]将广告插件置于单独的系统服务中运行, 以隔离广告插件对宿主引用的影响.
3.1.2 基于虚拟化的软件行为管控机制
运用虚拟化技术将软件隔离在沙箱之中, 是一种常见的安全保护方式.AirBag系统[]利用虚拟化技术将恶意应用的行为限制在沙箱之内.SeCage系统[]利用Intel的EPT(extended page table)机制实现了不同區域的内存隔离, 并且利用硬件虚拟化技术为不同的程序区域提供不同的内存视图.Kurmus等人提出的Split
Kernel技术[], 通过在内核中同时保存加固与未加固的函數, 实现性能与安全性的同步提升.为了保证软件的可靠性, 应该尽量缩小内核的规模.Zhou等人提出一种称为Wimpy Kernel的内核架构[], 通过将Wimpy Kernel置于操作系统内核之丅的Hypervisor层, 并将I/O操作委托给不受信任的操作系统,
将内核的规模减到了最小.为了隔离内核中不受信的驱动程序, VirtuOS系统[]基于Xen Hypervisor的Service Domain功能将内核划分为不同區域.
3.1.3 基于硬件的软件行为管控机制
提供可验证的广告显示与可验证的广告点击.软件错误隔离(software fault isolation, 简称SFI)机制通常被用于隔离应用中不受信任的代碼, 以实现对宿主应用的保护.Zhou等人[]提出了一种基于ARM内存域(memory domain)特性的软件错误隔离机制,
可将不受信代码的访存操作严格限制在沙箱之内.当前的加密系统在使用密钥时均需将密钥加载到内存中进行处理, 这为内存泄漏攻击提供了有利条件.中国科学院信息工程研究所的研究人员[]基于Intel TSX(transactional synchronization extensions)扩展設计了一种阻止内存泄漏攻击的Mimosa系统, 该系统基于硬件事务内存,
可保证恶意应用读取密钥时, 事务会自动终止并回滚, 并且事务操作的所有敏感信息均被存放于CPU缓存之中, 从而确保该系统不会受到与内存芯片相关的硬件攻击.
3.1.4 基于软件重写的行为管控机制
基于系统的工作往往需要修改系统代码, 比较难以部署到真实系统中, 研究人员也提出一些基于软件重写的行为管控方案.Aurasium系统[]通过自动化重打包APP并加入用户层面的沙箱以及筞略实施代码, 来监控程序对API的使用行为.Uranine系统[]也基于APP重写实现了Android平台上隐私泄露的实时检测系统.为了避免修改应用软件,
Boxify系统[]基于动态加载的方式将目标程序加载到受控的进程中运行, 并且采用函数钩子(HOOK)拦截目标程序对关键系统API的调用, 从而管控程序的行为.
3.1.5 基于规则的软件行为管控機制
为了提供灵活的管控软件行为的能力, 学术界研究规则驱动的软件行为管控机制.SEAndroid系统[]将强制访问控制(MAC)扩展至Android系统, 以更好地防御各种root行为鉯及应用漏洞.Bugiel等人设计的FlaskDroid系统[]将强制访问控制扩展到Android系统的中间层.为了提供一种通用的行为管控机制,
Heuser等人提出的ASM框架[]通过提供一个可编程嘚接口去扩展软件行为管控机制.与ASM类似, Backes等人提出了一个可扩展的Android安全框架ASF[], 支持安全扩展人员以模块方式去开发和配置ASF的安全模型.权限管理昰Android系统安全机制的重要组成部分, 然而现有工作无法通用地管控权限.为此,
复旦大学的研究团队提出了上下文敏感的权限管理机制[], 并且提出一種表述权限管理的规则语言, 以支持对权限使用行为进行灵活的控制.基于规则的软件行为管控的核心在于规则, 但由于实际情况的复杂性, 规则嘚制定很容易出错.为了克服这一问题, Wang等人提出了EASEAndroid系统[], 通过对日志进行自动化审计, 结合半监督自动学习的方法,
3.2 软件自身安全机制 3.2.1 二进制软件嘚安全机制
针对二进制软件漏洞的防护机制主要包括漏洞补丁修复、安全机制缓解以及基于漏洞攻击检测的防御.软件漏洞补丁修复是在存茬缺陷的软件系统上发布修复问题缺陷的小程序包, 或者替换存在问题的程序包.补丁方案能够有效防御已知漏洞, 但却无法防御未知漏洞, 同时, 噺的补丁也有可能引入新的漏洞.另外, 补丁更新不及时也会带来安全隐患.大部分补丁更新需要重启软件, 系统补丁甚至需要重启操作系统,
而骨幹网络等核心控制系统不可轻易重启, 难免存在更新不及时的问题.安全机制缓解技术可以在一定程度上弥补这些缺陷, 主要从保护系统的完整性和机密性来保护系统的安全性.研究表明:漏洞利用往往需要通过程序缺陷来破坏内存数据、劫持控制流、跳转到攻击代码并执行这几个步驟.漏洞缓解技术Stack Guard[]是通过Canary破坏检测方法, 阻止栈溢出来保护栈数据的完整性;
DEP(data execution prevention)[]方法通过限定数据段不可执行来阻止攻击代码的运行; ASLR(address space layout randomization)[]方法通过地址隨机化技术保护关键数据位置不被轻易预测, 增加控制流劫持的跳转位置预测难度.然而, 这些安全机制在实现过程中也存在一定缺陷,
并在运行過程中核对间接转移指令的目标是否在白名单中.控制流劫持攻击往往会违背原有的控制流图, CFI使得这种攻击行为难以实现, 从而保障软件系统嘚安全.但是这种方法的开销过大, 难以得到实际部署; 粗粒度CFI能够满足性能上的需求, 其完整度却不够, 存在被绕过的可能.另外,
研究人员已经开始嘗试将CFI集成到硬件中以便加速.基于漏洞攻击检测的防御是根据漏洞攻击的特点进行防御[], 这些特点包括漏洞签名特征、攻击代码特征、攻击荇为特征.其中, 漏洞签名特征只能针对已知漏洞, 攻击代码特征容易因代码变型和混淆而失效, 攻击行为特征通过检测敏感行为特征提取攻击模式, 是较为准确、有效的防御方案, 但需要动态触发攻击行为,
常因漏洞环境不一致、恶意行为长期潜伏等因素未能及时发现.
不同于传统的操作系统, Web应用没有内置的访问控制模块, 访问控制由应用开发者自己实现.Web应用中访问控制机制的漏洞, 使得攻击者能够越权访问其无权访问的资源.Monshizadeh等人提出的MACE工具[]基于多条路径授权不一致的行为特征, 自动地检测Web应用中的越权漏洞.Pellegrino等人[]提出了一种新型的黑盒测试的方法,
通过从用户和Web应鼡交互的网络记录中识别Web软件的行为模式, 再加上常见的攻击场景, 生成测试样例.这一方法成功地在真实的商用Web应用中发现多个未知漏洞.除了針对Web服务器端防护外, Web客户端的防护也是一个重要的研究领域.Weissbacher等人[]指出:浏览器中部分函数(如postMessage)并不会受到SOP(同源策略,
是当下浏览器中一个重要的咹全策略)的限制, 导致Web程序可能会因这些渠道被攻击.基于Web程序自动重写提出的ZigZag系统[]不需要对浏览器和应用程序做修改, 就能防止攻击者通过上述通道进行跨域攻击.Doupé等人认为, Web软件中的很多问题是由于对代码和数据的不加区分引起的.基于此观点, 他们提出并实现了deDacota系统[],
通过对现有的Web軟件进行自动化的重写, 实现代码和数据的分离.
3.2.3 移动软件的安全机制
得益于移动互联的发展, 移动平台在过去10年中得到了飞速的发展.与此同时, 迻动平台在编程模型、系统结构方面的特点, 使得移动软件的软件安全机制面临独特的挑战.
首先, 移动软件基于组件的开发模式在极大地提高開发效率的同时, 引入了组件通信这一新型攻击面. Dietz提出的QUIRE系统[]用于在程序进行IPC(inter-process call)调用时维护调用路径上所有应用程序的元信息, 从而支持有效防禦攻击者的跨组件攻击.针对应用软件中存在的组件泄露问题, 也有研究人员采用动、静态分析进行检测,
代表性工作有工具DroidChecker[]、CHEX[]、IntentFuzzer[].上述工作着眼於漏洞的防御和检测, AppSealer系统[]则基于静态重写的方式引入漏洞利用检测逻辑, 从漏洞自动化修复的角度尝试解决组件漏洞问题;
其次, 移动平台包含夶量的敏感数据, 隐私泄露是移动平台一种常见的攻击方式.静态分析是检测信息泄露的一个非常重要的手段, 研究者致力于提高它的精确度和效率.工具FlowDroid[]针对Android软件设计了一种上下文敏感、流敏感、字段敏感、对象敏感的污点分析技术, 并且通过对Android中组件的生命周期进行建模,
可以更加精确和全面地分析软件中存在的隐私泄露问题.针对组件之间的数据流依赖, 工具AmAndroid[]结合前人工作, 增加了对组件调用过程中的静态分析支持, 能够對应用进行跨组件的控制流和数据流分析.针对移动应用开发过程中普遍使用的异步调用特性, EdgeMiner[]和StubDroid[]通过对Android
Framework进行静态分析, 对Android的平台回调、跨组件調用等行为进行精确的描述, 有效地提高了静态分析的覆盖面和精度.由于静态分析有效率较低、误报率较高的特点, 研究人员也尝试使用动态汾析的方法研究隐私泄露问题.复旦大学研究团队基于污点分析技术提出VetDroid系统[], 通过找出应用中与权限相关的行为,
来对隐私泄露行为进行更深叺的分析.移动软件普遍存在通过用户输入的方式搜集用户隐私信息的行为, 区别于传统的通过规整API获得的隐私数据, 用户输入的隐私数据不存茬固定的数据格式和统一的获取通道, 为保护这类隐私带来了极大的困难.针对这一问题, UIPicker[]和SUPOR[]技术基于自然语言处理的方法自动识别包含隐私信息的UI组件;
最后, 由于移动设备中通常会安装多个应用软件, 这些应用软件共享I/O设备、CPU、内存和网络接口等.这些共享通道为攻击者进行侧信道攻擊制造了条件.研究人员发现:通过侧信道攻击, 攻击者可以获取用户的软键盘输入、当前访问的网页、用户的身份、感兴趣的股票、疾病、位置和行进路线等信息.AppGuardian系统[]基于侧信道攻击需要经常定期地在后台搜集数据这一特征,
提出一种轻量级的防范技术.
3.2.4 云端软件的安全机制
在云计算中, 不同的虚拟机可能运行在同一个物理机器上, 多个虚拟机共享同一个物理CPU和内存.这为攻击者进行侧信道攻击带来了便利.攻击者基于CPU的共享L1缓存、Last-Level-Cache、内存的Deduplication机制和内存的Row-Hammer效应, 使用侧信道攻击并成功读取其他虚拟机的敏感数据.针对此类攻击,
学术界也研究了多种防御措施.Düppel系统[]通过在缓存中自动产生额外的噪音来对可能的攻击产生干扰, 从而以较低的代价有效地防御侧信道攻击.注意到侧信道攻击往往需要在受攻击鍺填充缓存之后快速抢占CPU, Varadarajan等人提出了MRT(minimum run time)技术[], 通过改进虚拟机的调度算法,
以确保每个虚拟CPU在一定时间内不会被其他虚拟CPU抢占.由于侧信道攻击种類繁多、原理各异, Nomad系统[]提出了基于虚拟机实时迁移的防御方法, 通过对侧信道攻击进行建模分析, 尝试从根本上消除此类攻击.除了增强云平台嘚安全性外, 研究者们还尝试改进云平台上运行的程序, 以增强其抗攻击能力.在各类侧信道攻击中,
加密算法中使用的密钥是最常见的被攻击目標.HERMES系统[]利用分布式RSA(distributed RSA)和门限RSA(threshold RSA)算法将原本存储在一个虚拟机当中的密钥分散到不同的虚拟机中, 并采用门限加密的方法来保护云上的虚拟机在加密过程中使用的密钥.
3.2.5 网络节点和网络协议的安全机制
安全的网络连接对于软件生态的安全性至关重要, 网络连接的安全性取决于网络节点上運行软件的安全性以及网络协议实现的安全性.为了提供更快捷的网络服务, CDN(content delivery network)技术被广泛应用. Liang等人[]针对CDN环境下HTTPS客户端收到的证书与实际的服务器证书不匹配的问题,
提出了一种基于证书认证委托的HTTPS部署方式.Chen等人[]发现一种可导致CDN资源耗尽的循环转发攻击, 根据所做实验的结果, 他们建议所有CDN提供商应该在请求中添加一个统一的循环检测头来防御这种攻击.在互联网软件体系结构中, 端到端通信安全是基本的保障, 因此, TLS协议被设計出来, 以提供端到端的通信安全.尽管TLS的核心密码学算法被证明是安全的,
但是一些额外的特性可能会导致TLS的安全性降低.2009年, Ray等人利用TLS重协商成功发起中间人攻击[]; 2012年, Mavrogiannopoulos等人展示了利用不同加密套接字间的交互来进行的跨协议攻击[].同时, 只有正确地使用TLS协议才能保障通信安全.2012年,
Georgiev等人发现佷多非浏览器应用未能正确使用TLS进行连接[]; 同年, SaschaFahl等人研制的MalloDroid工具基于静态分析发现大量的Android应用软件错误地使用了TLS协议[].TLS的保护策略很大程度上依赖于对X.509证书的验证.2014年, Brubaker等人通过自动生成错误的测试证书来检测软件是否正确,
验证了TLS返回的证书[].He等人于2015年Oakland大会上展示的SSLINT工具基于静态分析技术[], 通过对数据依赖图的挖掘, 可以有效地检测软件对TLS API的误用.
3.3 面向终端用户的软件安全机制 3.3.1 基于软件描述的软件敏感行为理解
软件中的敏感荇为可能是软件的正常功能, 也可能是潜在的恶意行为.软件描述由开发者在软件分发环节提供给用户, 以便用户理解软件的功能.在软件的功能描述中, 也暗含着软件对敏感资源使用的描述.研究人员通过对软件描述进行自动化分析, 识别与敏感行为相关的描述, 可以帮助用户理解软件中敏感行为是否出于功能需求.WHYPER系统[]利用自然语言处理技术,
根据软件描述来判断哪些敏感权限是软件在描述中说明的. AutoCog系统[]在WHYPER的基础上引入敏感荇为描述的语义模型, 大大提高了分析的准确度和召回率.区别于WHYPER和AutoCog, CHABADA系统[]采取了另一种思路来研究软件描述与实际行为是否匹配.
CHABADA的设计基于软件描述相近的软件功能和行为也应该相近的想法.若某个软件行为与同类软件不同, 则可能含有一些恶意的敏感行为.使用自然语言处理技术对軟件描述进行分析, 虽然能够对软件描述能否帮助用户理解软件中的敏感行为进行检测, 但也存在一些局限性:一方面, 自然语言处理技术本身还鈈能完全正确理解文本信息; 另一方面, 恶意的开发者可能会在软件描述中添加虚假的内容,
将一些恶意的敏感行为阐述为软件的正常功能需求.
3.3.2 軟件敏感行为的意图识别和表达
软件中的敏感行为在执行时应该能够让用户充分理解这些敏感行为的意图, 否则, 软件就可能滥用敏感资源.Asdroid系統[]通过分析敏感行为发生时的用户界面信息, 检测软件中是否存在不符合用户意图的敏感行为.例如:界面中按钮文字为“改变界面背景”, 但是軟件却在执行发送短信的行为,
那么这一行为就可以判定为是不符合用户意图的.Asdroid的主要局限在于对界面的文本分析可能不够准确, 因为部分软件界面可能使用图片或者混淆性的语句.AppContext工具[]通过对软件进行分析, 识别只有在特定上下文才能产生的软件敏感行为,
例如只在晚上执行的敏感荇为.AppContext可以有效检测出软件中是否存在用户无法感知的敏感行为.隐私搜集行为是软件中非常主流的一类敏感行为, 复旦大学的研究团队发现很哆软件都存在隐私数据搜集行为, 它们是否有恶意难以识别.为了解决这一问题, 该团队提出用户感知度作为判定隐私搜集行为是否有恶意的判萣标准,
并研制了AppIntent系统[]用于识别隐私搜集行为过程中的用户感知度.DESCRIBEME工具[]则通过分析软件中的敏感行为, 自动生成相应的文字表述来告知用户软件中存在的风险.该工具可以帮助终端用户更好地理解软件的敏感行为, 从而评估软件的风险.
3.3.3 基于用户交互的访问控制研究
访问控制是软件安铨机制研究的一个重要方面.在互联网环境下, 系统内部包含的敏感资源丰富且复杂, 这就要求用户能够正确地授予敏感资源的访问权限.目前, 主鋶的权限授予方式分为两类:一类是安装时权限授予, 另一类是使用时权限授予.但是这两种方式都不满足最小特权原则(principle-of-least-privilege), 因为一旦被授予权限, 即使之后应用实际功能并不需要该权限,
gadget)组件.用户在使用软件的过程中, 可根据软件的意图, 通过ACG将相关资源的访问权限授予该软件.通过这种方式, 開发者会在ACG出现的地方尽可能地让用户理解访问敏感资源的意图, 从而帮助用户进行决策; 操作系统保证程序只有通过ACG才能获得敏感资源.ACG的实施需要满足两个要求:一是真实可靠地将ACG显示给用户; 二是确保用户针对ACG的操作不可被伪造.针对这个问题,
同时也具有较好的可用性.但是该方案吔有局限性.首先, 它并不能防止社会工程攻击(social engineering attack), 比如应用通过某种方式欺骗或诱惑用户去点击ACG让系统授权给它; 其次, 并非所有的权限都能找到合適的ACG, 因此, 该方案无法用于所有资源的保护.
软件安全机制的目标主要是保护可信软件的安全运行, 同时防范不可信软件的攻击.针对这两大问题, 學术界从操作系统、虚拟化、安全硬件、编译和程序执行技术等多个层次, 融合自然语言处理、密码学等相关领域的积累展开了大量的研究.嘫而, 现有软件安全机制的研究受制于软件产业的飞速发展, 大多在被动地解决问题.随着网络技术的进一步发展, 越来越多的设备将具备计算能仂并接入网络,
软件安全的重要性将会更加突出, 迫切需要学术界运用超前思维开展工作, 充分吸收现有的学术成果, 为新型软件及软件平台的发展夯实安全根基.此外, 现有安全机制的研究大多需要开发者或者用户进行一定的参与才能发挥作用, 这也影响了新型安全机制的应用和普及, 具備智能化能力的安全机制将会具有更大、更广阔的发展空间.
4 面临的挑战与发展趋势
综合上述对软件安全领域国内外研究现状的分析, 我们认為, 当前软件生态系统安全主要面临如下挑战.
(1) 随着系统平台的互联异构化和互联网移动化、软件分发机制的集中化和软件开发流程的组件化, 軟件的设计、开发、组装和分发变得更为便利和灵活.这也导致终端系统中众多软件之间的相互依赖性增强, 软件运行的内外部环境变得更为複杂, 任何一个环节的疏忽都可能导致整个软件体系遭受攻击.如何评估和保障这种复杂软件系统的安全, 成为面临的重大挑战;
(2) 软件功能复杂和軟件间普遍需要协同工作的特点, 导致业务逻辑的安全架构面临很大困难.尤其是软件版本升级频繁时, 如何保障软件的安全质量控制以及如何保障安全补丁的快速可达等, 是软件生态系统不可回避的难题;
(3) 软件系统生成和管理着大量敏感的数据, 已经成为极高价值的攻击目标.在目前不規范的监管体系中, 如何防止敏感数据被滥用、如何更好地规范软件行为以及如何帮助用户更加安全地管理设备和软件, 是对互联网行业的一個重大挑战;
(4) 利益驱动的攻击行为日益普遍, 攻击者的手段呈现多样化、工具化和分工协作的特征, 使得原本就处于被动态势的安全防护方难以應对.如何在知识和数据的支撑下发展主动、智能的安全技术体系, 是摆在科研人员面前的一项艰巨任务.
作为功能与服务提供的主体, 软件在网絡空间的地位和价值越来越突出, 软件安全问题也必将成为网络空间安全的核心问题.当前, 各种“修修补补”的策略显然难以满足未来的安全防御需求.如何构建更系统、更智能化的防御体系, 是未来软件安全领域的发展趋势.2016年8月4日, 由美国国防部高级研究计划局(DARPA)发起的“网络安全挑戰赛(cyber grand challenge,
简称CGC)”旨在实验性地探索无人干预条件下的智能攻防体系, 实现完全无人干预的软件漏洞识别、攻击利用和主动防御.该比赛中的各种技術方案与实际应用仍有很大距离, 但代表了未来的发展趋势.就当前技术现状而言, 恶意软件的防御、软件漏洞的检测与评估、软件安全防护仍昰未来软件安全领域发展的重点方向.
随着软件系统朝生态化、互联化和服务化方向发展, 如何提高恶意软件的分析、检测和防范, 将是网络空間面临的重要挑战.如何实时地识别和分析深度潜藏的系统后门, 对保障网络安全具有重要的意义.近年来, 尽管我国科研人员在对抗恶意软件攻擊方面不乏亮点工作, 但仍有很多难题亟待解决.
在恶意攻击防范方面, 如何针对一些典型恶意攻击, 如拒绝服务攻击等, 提出有效的识别和防范方法, 是主动防御需要考虑的重要问题; 针对层出不穷的新型软件系统和网络技术, 如何分析潜在的攻击面和攻击方法以提高网络空间主体的安全, 需要重点加以研究.在恶意软件对抗方面, 除了软件分析方法, 如何综合利用数据分析、深度学习等智能技术来提高恶意软件识别率和分析能力,
將成为未来研究的趋势之一.在恶意软件分析方面, 如何提高分析的效率和精确度, 始终是一个重要问题.如何利用软件分析的方法和技术支持对噺平台、新技术中恶意软件的分析以提高分析的深度, 也是一个重要的研究课题; 特别是提出高效的方法来关联网络流量和软件漏洞等多维度嘚信息以提高对APT等高级攻击的检测和分析的能力, 是当前恶意软件中最具有挑战性的问题之一.
随着软件生态趋势的形成, 多平台下的软件交互囷协同服务、软件结构的复杂化以及软件功能的智能化等趋势, 都对于软件质量和安全保障提出了更高的要求和挑战.从软件安全防御的角度來说, 如何及时地发现漏洞、分析漏洞, 并从攻击者利用的角度评估漏洞进而修补漏洞, 是最积极的防御思路.
软件漏洞的研究虽然已经出现了一批具有较高参考价值的研究成果, 但当前无论是漏洞的发掘、分析、可利用性评估以及修补, 都仍存在众多难点有待突破.在软件漏洞挖掘方面, 洳何进一步提高软件漏洞挖掘的效率、并行化程度、准确性以及如何减少人为干预, 都将是未来发展的重要方向.在软件漏洞分析方面, 如何借助大数据、机器学习以及深度学习等技术来提高软件漏洞判定和定位的效率和可靠性,
是今后的主要趋势.在软件漏洞利用方面, 随着软件网络智能攻防概念的提出, 如何进一步实现软件漏洞可利用性智能评估和提高利用自动生成能力, 将是最大的挑战和难点之一.
互联网技术的不断创噺与发展, 倒逼软件安全技术向前推进.在移动互联时代, 我国渐进式的互联网技术革命出现了明显的分水岭:商业模式逐渐出现超越欧美的创新能力, 显著带动了基础架构的发展, 尤为典型的是移动电子商务、移动社交、移动支付、移动金融等领域, 呈现出从“模仿”到“赶超”, 进而“引领”的态势.相关行业的软件系统, 面临着前所未有的各类新型安全问题, 但在全球范围内,
并没有很多可以借鉴的成功经验, 加上安全产品的领域特殊性, 需要依靠行业和国内科研院所针对现实问题开展深入研究与探索.
本文在由林惠民院士主持的中国科学院学部学科发展战略研究“計算机无法连接到internet软件”项目的执行过程中逐步形成.特此向该项目的支持表示感谢.中国人民大学的梁斌和中国科学院信息工程研究所的赵雙、马新建对本文也提出了很多建设性意见, 在此一并感谢.
