【网安智库】饶志宏:群智漏洞挖掘技术
随着互联网各种新兴技术的广泛应用,计算机信息系统的安全漏洞逐步成为网络安全领域的重要命题。利用群体智能构建的群智漏洞挖掘平台和生态链,能够有效地提高网络安全水平,保障经济发展和社会秩序。
1 漏洞挖掘的需求与挑战
1.1 漏洞的定义
网络安全漏洞是指存在于计算机网络系统中,可能对系统组成部分和数据造成损害的一切因素,其存在于硬件、软件、协议的具体实现或系统安全策略等多个维度。
任何一个信息系统都会存在漏洞,漏洞的本质是系统在规划、设计、实现和运行等环节因人为、管理和技术因素而存在的无法避免的缺陷。比如在体系架构上的缺陷,规划与设计之间对接的不完全,底层代码以及应用呈现方式的不完善,用户使用时的不规范等等,多个环节的安全问题积累最后使得系统有极大概率出现漏洞。另外,系统开发者或供应方在硬件上留“陷阱”,在软件中开“后门”,在服务里做“手脚”,也是漏洞的一个生成途径。
1.2 漏洞的安全意义
网络安全漏洞不同于病毒,它是计算机网络系统固有的缺陷,在现有的技术条件无法实现彻底根除。漏洞本身没有危害,但一旦被发现就意味着系统存在被病毒和恶意代码攻击的可能。
对漏洞进行发现和利用需要一定的技术环境条件和时间窗口,攻防两端便围绕这个窗口进行对抗博弈。对攻击者而言,先发现漏洞,就能立即设计漏洞利用机制,开展针对网络信息系统的破坏攻击,或出售资料满足其经济目的;对防御者而言,先发现漏洞,就可立即着手修补工作,建立免疫机制,有效减少来自网络的威胁,降低潜在的损失。因此,对于漏洞的发现和利用,成为了网络攻防博弈的基础和根源。
1.3 漏洞的战略价值
在当前的网络空间中,广泛相联的计算、存储和服务是一把双刃剑,它既便利了使用者,又便利了攻击者。任何暴露在互联网上的信息系统都有可能遭受攻击,且这种打击以光速传导,瞬时生效。而随着工业互联网和物联网的迅猛发展,漏洞带来的危害逐步从虚拟空间蔓延到实体层次,使得社会实体经济和秩序极大程度上会受到来自网络的安全威胁。在这种安全风险不断增大的复杂网络空间形势下,漏洞日益成为各国网络安全的关键资源,也成为了网络空间安全治理与管理的核心命题。
1.4 漏洞挖掘的现状
目前,我国在漏洞挖掘领域仍面临重大挑战,还存在诸多不足之处。比如:漏洞挖掘方法目前主要包括开源代码分析和逆向分析等,以手工实施为主,方法陈旧,效率低下;防御者漏洞挖掘速度难以满足攻击防御的需求,安全事件仍频发,深层次、大规模、智能化漏洞挖掘研究需求十分迫切;移动互联网、工业控制网等新应用新技术带来新挑战,现有的漏洞分析与发现能力与新应用大规模使用带来的安全风险相差较大;漏洞研究团队资源分散,顺畅协作机制尚未形成,使得国家对漏洞战略资源把控力较弱,无法形成合力。
国外漏洞挖掘技术的进展较为迅速,主要集中在漏洞挖掘分析的自动化和规模化协同两个前沿领域上。对于前者,业界尝试多种技术组合的方式来提高挖掘分析能力,如卡耐基梅隆大学研究的 Mayhem 自动挖掘与利用系统,可自动发现二进制代码中的可利用漏洞,成果获得 DARPA CGC 挑战赛第一,有效实现了漏洞挖掘分析的自动化;对于后者,以 Google 研制的并行漏洞挖掘与分析系统为代表,能够并发数万个节点进行漏洞挖掘和分析,系统可以处理16TB 的初始样本集,在规模化协同上处于领先地位。
面向网络空间安全攻防对抗白热化,以及我国在这一领域与国外先进水平的现存差距,研究突破高效化、规模化、协同化的漏洞挖掘方法,提升对漏洞资源的掌控和管理能力,已成为维护国家安全和公众权益的重要保障和迫切需求。
2 群体智能漏洞挖掘模型
2.1 群体智能
群体智能是自然界中的个体与群体间的交互协作,涌现出来的明显超越个体智能水平的集体智慧,是面向共同任务时自发形成的集体脑。其在人工智能领域的理论探索和实践应用得到了各方的重视,是 2017 年我国《新一代人工智能发展规划》中指出的五大重点发展方向之一。
群体智能的内在理念和特点与新时期漏洞挖掘内在需求不谋而合。具体而言,群体智能的多元性,能够实现漏洞发现评估验证主体的广泛参与,有效地提高挖掘效率;其天然的并发性,能够使得挖掘工作齐头并进,规模效果显著,实现更快的挖掘速度;而良好的协同性,可以使不同水平级别人员实现能力互补,降低挖掘成本;高鲁棒性和自恢复性带来的强大适应性,可以从经验定式中学习改进挖掘能力,达到更优化的挖掘迭代。
网络安全是“全民战争”。群体智能与漏洞挖掘的结合,能够有效利用群体安全从业者的知识、经验和能力,发挥长板效应,能够完成远超个体能力极限的复杂安全任务,将为扭转攻防非对称的局面提供强力支撑。
2.2 群体智能的漏洞挖掘模型
正确的理论方法是技术突破和应用创新的基础,实现漏洞挖掘的群体智能工程也需要相应的理论建模。具体而言,漏洞挖掘技术与四大因素相关,即参与漏洞挖掘的主体(人 - 机)、挖掘使用的工具、挖掘需要达成的目标任务和挖掘所处的物理与网络环境。
主体的动态性、工具的多样性、目标的非线性和环境的时变性,在面对这些高度随机复杂的影响因素时,需要归纳出一种形式化流程语义的计算模型,才能生成可控的引导规则。主体集合 A:参与群体漏洞挖掘的主体包括不同能力水平的人员,也包括不同功能性能的计算机。通过对主体静态属性和动态属性的提炼描述,形成关于主体能力的整体画像,促进人机协同、机群协同、工具选取和任务分配的自动化。画像包括主体的静态属性和动态属性,静态属性是指主体相对稳定的属性,如名称、类型、单位、角色、经历等;动态属性则是主体较易发生变动的属性,如地点、项目、职责、技能、行为等。基于本体论和领域知识图谱,构建多主体背景知识图谱库,去除二义性,通过 RDF 存储画像的相关知识条目,能够有效地提高信息的组织、管理和推理,为选择合适的主体,最大限度发挥主体能力,高效快速更全面完成任务提供基本资源。
工具集合 T:归纳整理出适应群智漏洞挖掘的工具谱系,按照“挖掘工具 - 功能组件 -原子能力”三级模型分解和组织,实现工具在支撑挖掘目标方面的灵活组织、重构和编排。挖 掘 工 具 包 括 RIPS、ClairZ3、AVA、Ponce、Valgrind、Triton、manticore、radamsa 等 等, 功能组件则包括符号执行功能、模糊测试功能、代码审计功能、控制流分析功能、模型检测功能、程序切片功能等。
目标任务集合 G:漏洞挖掘的任务目标是一个复杂集合,而并非点状或者线性分布。具体实施时,需要根据系统状态、环境态势和进度情况,动态分解生成子任务集合,并监督子任务的资源规划、路径规划和动作规划。针对群智漏洞挖掘目标,必须综合考虑可利用资源、任务环境、问题求解效率和时间要求,以及时间、空间上分散的分布式漏洞挖掘主体和相匹配的工具集,将群智漏洞挖掘任务流程划分成矩阵式交织的可编排过程,构建多级分层次分布式工作流控制体系规范。
环境上下文 E:环境上下文既包括群体智能漏洞挖掘过程所依赖的环境,也包括该过程所改变的环境。能够对漏洞挖掘产生影响的环境要素包括政策、法规、条令、网络、通信、资源、激励、评估等,不同要素施加的影响程度、环节、对象各不相同,建模需要逐步求精。为简化问题,可将环境建模成由一系列寄存器代表的各种参数,通过赋值和取值来模拟环境的影响效果。
函数 F:函数可视为驱动引擎,对漏洞挖掘路径代价函数进行极值求解。在成本与收益测量方面可采用定性分析与定量分析结合的方式构建指标体系,确定指标间的依赖关系得到权重,综合考虑挖掘成本和挖掘收益,并在实践中不断训练完善。其中,挖掘成本主要包括时间人力成本(耗时和人力)、空间成本(存储、计算、通信、位置)、安全成本(法律法规、特定目标)和协同成本(先验知识、行动协调);挖掘收益主要包括全面度收益(更完整覆盖度)、准确度收益(更准确判定,无错误)、实时性收益(更迅速的结果返回)和累积性收益(更完整的演进轨迹)。
综上所述,群智漏洞挖掘模型将漏洞挖掘视为由主体集合 A、工具集合 T、目标任务集合G 和环境上下文 E 构成的多元激励空间。设计路径代价函数 F 并求得极值,使得完成任务时收益最大、成本最低,即 S=max(Fpath(A,T,G,E))。基于合作博弈论和最优化理论构建任务和行为模型,提出系统体系架构,为多智能体能力画像、工具谱系归约、任务工作流分析和时变环境交互四大任务提供框架性指导。
3 群体智能漏洞挖掘平台
3.1 平台架构
群体智能漏洞挖掘平台由理论方法层、基础设施层、资源架构层和应用服务层构成,在安全管理运维保障下有序运行。
理论方法层主要包括群体智能、合作博弈、最优化方法等理论;基础设施层主要包括人、机和各种工具集合;资源架构层主要包括漏洞库、挖掘引擎、群智引擎等;应用服务层主要包括挖掘服务、情报服务和演练服务。
平台为用户提供漏洞挖掘与分析计算资源、全息漏洞库、漏洞挖掘引擎和相关工具、以及学习交流的空间,具有群体协作、智慧连接、知识复用以及洞析万物的特点。平台聚焦漏洞的挖掘与利用,由中国网安联合国内在漏洞“挖掘、分析、监测、评估、 验证”等领域具有领先优势的 21 家单位在国家科技部重点研发计划支持下共同打造。同时探索建立国家层面漏洞研究协同机制,以北京、成都、郑州为核心,拓展上海、杭州、南京等科技基地,汇聚国内漏洞挖掘与利用优势团队。并围绕漏洞“挖、析、监、评、验”环节,开展技术攻关,解决漏洞挖掘分析智慧性弱、大流量监测精度低、危害评估验证难、规模协同能力缺等四个难题。
平台主要特点有以下四种。一是群体协作,人人协同、人机协同、机群协同;二是知识复用,动态复现、经验传承、资源共享;三是智慧连接,智能分辨、智慧融合、自动反馈;四是洞悉万物,掌控虚实融合的网络空间漏洞资源,为国家网络空间安全产业提供核心能力。
3.2 构建漏洞挖掘与分析生态链
基于群体智能漏洞挖掘平台和群智漏洞协同模式,平台将联合网络空间安全产学研用业界共同构建漏洞挖掘与分析生态。
平台将为用户提供漏洞挖掘与分析计算资源、全息漏洞库、漏洞挖掘引擎和相关工具、以及学习交流的空间,以安全众测、众包、众享的形式发现问题,解决问题,聚集国内漏洞挖掘资源,实现实时的、高效的漏洞响应,形成知识复用、智能连接、开放协作的漏洞挖掘分析生态,守卫国家与企业网络安全。
作者 >>>
饶志宏,中国网安总工程师和研究院院长,主要研究领域为保密通信、网络对抗、网络空间监测预警和工业控制系统安全等。
(本文选自《信息安全与通信保密》2019年第2期)
本微信公众号刊载的原创文章,欢迎个人转发。未经授权,其他媒体、微信公众号和网站不得转载。
网 络 强 国 建 设 的 思 想 库
—— 安 全 产 业 发 展 的 情 报 站 ——
创 新 企 业 腾 飞 的 动 力 源
···························································
投稿网址:http://www.txjszz.com
合作热线:010-88203306