12月31日,复旦大学大数据研究院内生安全实验室举办“研究生创新活动月”系列活动:内生安全学术报告研讨交流会。本次研讨会主要研究讨论了共模漏洞理论方法、网络协议漏洞挖掘方法、定向fuzz技术和DOP攻击构造方法评估等内容,并通过专家互动的形势,对上述学生报告内容进行逐一探讨和点评。复旦大学大数据研究院青年研究员陈平老师全程主持会议。
会上,博士研究生刘宇作“基于不变量的共模漏洞挖掘理论和方法”学术报告。报告中就什么是共模漏洞,如何说明程序不变量做了明确解释,并结合漏洞挖掘理论方法,对共模漏洞挖掘技术进行了简要分析。报告阐述了“动态异构冗余”(DHR)的基本构成原理,并举例说明异构体间“伪异构”的情况难以避免。同时,报告对程序不变量做出了详细说明,并解释了基于不变量的共模漏洞挖掘系统理论方法,通过程序分析理论中不变量映射程序执行状态,对不同语言进行语言无关的符号化表示,进而借助模糊测试等漏洞挖掘技术,可以系统地挖掘多层面共模漏洞,进一步丰富和增强DHR架构的理论方法和安全属性。专家们针对该报告提出四点问题,包括共摸漏洞与N-version/M-variant programming的关系,差异fuzzing中同样的协议用不同的实现是否有现实中使用的例子,不变量是否可以自动化地进行识别和共摸漏洞与非共摸漏洞之间在概念上的区别等问题。
图1. 共模漏洞
博士研究生邓黎明作“网络协议漏洞挖掘方法综述”学术报告。报告中首先解释协议漏洞安全问题不可忽视,并对相关漏洞测试方法做出说明。报告中指出,协议模糊测试的发展以AFLNET工具为分界线,在此之前,主流协议模糊测试工具通常采用黑盒方法,如AutoFuzz、SPIKE和Sulley && BooFuzz等。鉴于其测试手段不能得到SUT的反馈,后续基于覆盖的有状态灰盒模糊测试成为协议模糊测试的主流方法。报告详细阐述了如NSFuzz、SNPSFuzzer和SGFuzz等一系列经典有状态灰盒模糊测试方法,并逐一列举上述方法的优缺点。最后,报告提出未来的研究方向可以从两个方向出发,一是改进种子筛选策略,以更快更有效地发现深层次的漏洞;二是引入状态感知和结构感知的变异,使模糊测试变异阶段能够生成更有效、更有价值的测试用例。专家们针对该报告提出协议漏洞安全未来还有哪些新的科研方向可以进行下一步研究等问题。
图2.协议Fuzz发展时间线
硕士研究生陈文灏作“基于输入结构语义分析的定向Fuzz”学术报告。报告中首先介绍了基于输入结构语义分析的定向Fuzz的背景,指出定向灰盒模糊将大部分时间预算用于到达特定的目标位置而不会浪费资源强调不相关的部分。然后介绍了生成高度结构化输入技术、程序分析技术、约束求解和语法推理等相关工作。还将这些工作与目前的研究工作进行了对比,指出相比于之前的GRIMOIRE方法无法推断语义而只能通过基于生成的片段生成同样的假设组合输入导致了存在大量缺陷,目前的研究工作是针对节点的类型和功能等进行启发式推断与突变,以推断语法中的节点为基础节点来改善约束求解方法,从而提供更好的语法推理基础。最后也指出可能存在语法部分与语义部分存在鸿沟、约束求解和类型推断效果不佳所导致的种子质量低和探索的无效数据过多等问题。在讨论中专家们针对该报告提出两点问题,包括技术的创新点是什么和该研究的应用场景有哪些等。
图3.生成高度结构化输入方法
博士研究生卫今作“Data-Oriented Programming (DOP) 攻击构造方法评估”学术报告。报告中首先介绍了从控制流攻击到面向数据的攻击的发展过程,展示了DOP的Gadgets如何在受限制的语义下实现算术、逻辑、赋值、加载、存储、跳转、条件跳转等操作。指出DOP能够实现图灵完备攻击、只能使用内存传递数据和Gadgets必须符合控制流图不能发生非法的控制流转移等三个特征。然后分别介绍了按照攻击目的和攻击语义信息对DOP的目标敏感数据的交叉分类、按照Gadgets的语义进行分类和Dispatcher中所涉及的重要敏感数据。同时介绍了ProFTPD 1.3.0 源文件中所涉及的重要敏感数据、ProFTPD中Gadgets所涉及的重要敏感数据的比例和ProFTPD中Enable ASLR后随机化后的数据等实验结果。最后总结DOP所关注的Sensitive Data在程序中占比较小因此现有的防御可以重点关注这些Sensitive Data而无需进行大范围的数据的保护,DOP能够实现图灵完备攻击但是在构造Gadgets和Dispatcher时受程序语义限制较多。专家们针对该报告提出两点问题,包括针对DOP的防御如何进行和该研究中与行业趋势更贴近的问题有哪些等。
图4.Data-Oriented Programming
交流会上,各位参会专家们提出的问题与建议让学生受益匪浅,大家表示将认真学习领会各位专家的点评和建议,并在会后作好总结工作,不断提高研究能力。
