所屬技術領域

本發明屬于互聯網安全技術領域，具體涉及一種對計算機軟件漏洞利用進行捕獲的方法及系統。

背景技術

隨著網絡和計算機技術的快速發展，計算機和計算機網絡已經成為各行各業的關鍵技術之一。與此同時，廣泛存在的計算機軟件漏洞成為一個巨大的威脅。一個漏洞利用(Vulnerability?Exploit)，指一段數據或者程序，可以使被利用的存在漏洞的軟件完成攻擊者預先指定的惡意功能，例如使存在漏洞的計算機軟件終止，或者使其成為一個木馬后門等。目前，漏洞利用已經成為了一種戰略資源。各國都成立了自己的漏洞庫，比較著名的有美國國家漏洞數據庫(National?Vulnerability?Database)，中國國家信息安全漏洞庫(China?NationalVulnerability?Database?of?Information?Security)，國家信息安全漏洞共享平臺，(China?NationalVulnerability?Database)，以及國際著名漏洞庫CVE(Common?Vulnerabilities&Exposures)。這些漏洞庫中收錄了數萬種漏洞以及它們的利用(Exploit)。

計算機軟件漏洞利用和計算機軟件漏洞是緊密關系的，每一個軟件漏洞利用都對應至少一個軟件漏洞，而一個軟件漏洞不一定有其利用。換句話說，一個軟件漏洞是不一定可以被利用的。于是，軟件漏洞發掘是一種可能獲得軟件漏洞利用的方法。軟件漏洞發掘已經成為了計算機安全的研究熱點之一，從分類上可以將其分為靜態分析、動態分析以及混合分析三類。這些方法可以發掘出前人不知道的漏洞，也被成為零日漏洞(0day?Vulnerability)。零日漏洞的價值非常高。退而求其次，在互聯網上捕獲他人攻擊使用的漏洞利用，亦可獲得漏洞利用。如果在一個打滿最新補丁的計算機上捕獲了一個攻擊者的漏洞利用，那么就意味著捕獲到了一個即日的漏洞利用(1day?Vulnerability?Exploit)。這類漏洞利用有多種用途，例如用來加固計算機系統的防御功能，也可再次用于戰略用途等。于是計算機軟件利用捕獲也成為了一項很關鍵的技術。使用計算機軟件利用捕獲技術，可以“守株待兔”地得到漏洞利用。

漏洞利用捕獲系統是這樣一類系統：它由一臺或若干臺計算機(通常是虛擬機)組成，這些計算機被接入到互聯網，等待被惡意代碼攻擊，并實時記錄下攻擊行為并生成一個“簽名”，這個“簽名”可以用來識別或代表一個漏洞利用。同時，簽名被存儲下來，用于之后的分析等。

目前已有的軟件漏洞利用捕獲技術都是基于軟件虛擬機(Software?Virtual?Machine)，它們可以明確地分為兩類：使用污點分析(Taint?analysis)的漏洞利用分析，和用來改進計算機網絡入侵檢測系統的網絡報文提取系統。第一類技術以BitBlaze為代表，可見文章“A?NewApproach?to?Computer?Security?via?Binary?Analysis，Dawn?Song，et?al，In?Proceedings?of?the?4thInternational?Conference?on?Information?Systems?Security，December?2008”。這類技術的特點是，利用污點傳播原理，從漏洞觸發點精確回溯到程序輸入中，獲得漏洞利用的全過程，幫助重建漏洞利用。并用形式化的方法生成指紋。這類技術的不足是，時間代價過于龐大，根本無法用于實際分析，動輒一個漏洞分析就要幾天甚至幾周。一個具體利用該原理的已經投入實用的漏洞利用捕獲系統是Argos。第二類方法的代表是在文章“Detecting?Targeted?Attacks?UsingShadow?Honeypots，KG?Anagnostakis，et?al，SSYM′05?Proceedings?of?the?14th?conference?onUSENIX?Security?Symposium”中被提出的。這類方法使用軟件虛擬機，將軟件漏洞觸發和當時的網絡數據報文相關聯，識別出哪些網絡數據報文會觸發軟件漏洞，并在計算機網絡的入侵檢測系統中添加這些網絡數據報文的特征作為指紋，從而使這種網絡數據報文被過濾掉，不會再次觸發計算機上的軟件漏洞。該方法的優點是可以在一定程度上抵御該漏洞利用的再次利用。缺點是無法獲知該漏洞的詳細利用原理，并且無法抵御可能存在的變形多態代碼攻擊。此外，這兩項技術的共同缺點是，均使用了軟件虛擬機，很容易被攻擊者檢測出，從而不表現出惡意行為，讓這兩種技術均失效。