[发明专利]一种计算机软件漏洞利用的捕获方法及系统

说明书

所属技术领域

本发明属于互联网安全技术领域，具体涉及一种对计算机软件漏洞利用进行捕获的方法及系统。

背景技术

随着网络和计算机技术的快速发展，计算机和计算机网络已经成为各行各业的关键技术之一。与此同时，广泛存在的计算机软件漏洞成为一个巨大的威胁。一个漏洞利用(Vulnerability Exploit)，指一段数据或者程序，可以使被利用的存在漏洞的软件完成攻击者预先指定的恶意功能，例如使存在漏洞的计算机软件终止，或者使其成为一个木马后门等。目前，漏洞利用已经成为了一种战略资源。各国都成立了自己的漏洞库，比较著名的有美国国家漏洞数据库(National Vulnerability Database)，中国国家信息安全漏洞库(China NationalVulnerability Database of Information Security)，国家信息安全漏洞共享平台，(China NationalVulnerability Database)，以及国际著名漏洞库CVE(Common Vulnerabilities&Exposures)。这些漏洞库中收录了数万种漏洞以及它们的利用(Exploit)。

计算机软件漏洞利用和计算机软件漏洞是紧密关系的，每一个软件漏洞利用都对应至少一个软件漏洞，而一个软件漏洞不一定有其利用。换句话说，一个软件漏洞是不一定可以被利用的。于是，软件漏洞发掘是一种可能获得软件漏洞利用的方法。软件漏洞发掘已经成为了计算机安全的研究热点之一，从分类上可以将其分为静态分析、动态分析以及混合分析三类。这些方法可以发掘出前人不知道的漏洞，也被成为零日漏洞(0day Vulnerability)。零日漏洞的价值非常高。退而求其次，在互联网上捕获他人攻击使用的漏洞利用，亦可获得漏洞利用。如果在一个打满最新补丁的计算机上捕获了一个攻击者的漏洞利用，那么就意味着捕获到了一个即日的漏洞利用(1day Vulnerability Exploit)。这类漏洞利用有多种用途，例如用来加固计算机系统的防御功能，也可再次用于战略用途等。于是计算机软件利用捕获也成为了一项很关键的技术。使用计算机软件利用捕获技术，可以“守株待兔”地得到漏洞利用。

漏洞利用捕获系统是这样一类系统：它由一台或若干台计算机(通常是虚拟机)组成，这些计算机被接入到互联网，等待被恶意代码攻击，并实时记录下攻击行为并生成一个“签名”，这个“签名”可以用来识别或代表一个漏洞利用。同时，签名被存储下来，用于之后的分析等。

目前已有的软件漏洞利用捕获技术都是基于软件虚拟机(Software Virtual Machine)，它们可以明确地分为两类：使用污点分析(Taint analysis)的漏洞利用分析，和用来改进计算机网络入侵检测系统的网络报文提取系统。第一类技术以BitBlaze为代表，可见文章“A NewApproach to Computer Security via Binary Analysis，Dawn Song，et al，In Proceedings of the 4thInternational Conference on Information Systems Security，December 2008”。这类技术的特点是，利用污点传播原理，从漏洞触发点精确回溯到程序输入中，获得漏洞利用的全过程，帮助重建漏洞利用。并用形式化的方法生成指纹。这类技术的不足是，时间代价过于庞大，根本无法用于实际分析，动辄一个漏洞分析就要几天甚至几周。一个具体利用该原理的已经投入实用的漏洞利用捕获系统是Argos。第二类方法的代表是在文章“Detecting Targeted Attacks UsingShadow Honeypots，KG Anagnostakis，et al，SSYM′05 Proceedings of the 14th conference onUSENIX Security Symposium”中被提出的。这类方法使用软件虚拟机，将软件漏洞触发和当时的网络数据报文相关联，识别出哪些网络数据报文会触发软件漏洞，并在计算机网络的入侵检测系统中添加这些网络数据报文的特征作为指纹，从而使这种网络数据报文被过滤掉，不会再次触发计算机上的软件漏洞。该方法的优点是可以在一定程度上抵御该漏洞利用的再次利用。缺点是无法获知该漏洞的详细利用原理，并且无法抵御可能存在的变形多态代码攻击。此外，这两项技术的共同缺点是，均使用了软件虚拟机，很容易被攻击者检测出，从而不表现出恶意行为，让这两种技术均失效。