超级会员免费看
固件漏洞发现与威胁指标识别的前沿技术
在当今数字化时代,固件安全和威胁指标识别是网络安全领域的关键议题。本文将介绍两种创新技术:Anatomist固件漏洞发现方法和AspIOC威胁指标识别模型,它们在提升安全检测效率和准确性方面展现出显著优势。
Anatomist:增强型固件漏洞发现方法
-
实验对比:与FirmAFL的较量
- 研究人员选择了先进的FirmAFL固件漏洞发现方法作为对比对象,在其数据集上进行实验。不过,利用其开源代码仅能重现4个测试用例,其余用例在重现过程中崩溃退出。
- 实验流程为:先使用FirmAFL对目标固件进行模糊测试,期间将其生成的变异输入同步发送给Anatomist。Anatomist基于程序状态异常判定对执行路径进行深度分析,识别出路径中存在但未触发的漏洞。
- 从实验结果(表1)来看,Anatomist在检测漏洞方面效率远超FirmAFL。以CVE - 2017 - 3193在DIR - 850L上的情况为例,FirmAFL在2小时43分3秒才模糊测试出崩溃,而Anatomist在6分6秒就发现了该漏洞。这表明FirmAFL在6分6秒时生成的变异输入对应的执行路径已通过漏洞点,但程序未崩溃,从而遗漏了该未触发的漏洞。Anatomist则能基于程序异常判定准确识别,避免资源浪费。平均而言,Anatomist检测漏洞的效率比FirmAFL提高了741.64%。
| ID | Type | Vendor Device | FirmAFL | Anatomist | Improvement |
|---|---|---|---|---|---|
| CVE - 2017 - 3193 | Memory overflow | Dlink DIR - 850L | 2 h 43 m 3 s | 6 m 6 s | 2672.95% |
| CVE - 2016 - 1558 | Memory overflow | Dlink DAP - 2695 | 2 h 59 m 4 s | 3 m 48 s | 4712.28% |
| EDB - ID - 38720 | Memory overflow | Dlink DIR - 817LW | 19 m 11 s | 6 m 59 s | 274.70% |
| EDB - ID - 24926 | Memory overflow | Dlink DIR - 815 | 1 h 31 m 58 s | 44 m 14 s | 207.91% |
| Average | 1 h 53 m 19 s | 15 m 17 s | 741.64% |
-
发现新漏洞:展现强大实力
- 为方便获取固件,研究人员选取了DSC - 930L、Tenda AC15和Dir - 850L三种目标设备,使用Anatomist对其固件进行漏洞挖掘。
- Anatomist成功发现了3个0日漏洞,包括2个内存损坏类溢出漏洞和1个逻辑类命令注入漏洞。其中2个漏洞获得了CNVD编号,1个漏洞已报告。
- 这两个内存损坏类0日漏洞是通过分析网络上捕获的正常消息发现的,这些消息未导致程序崩溃,但Anatomist基于程序状态异常判定,找到了可能导致程序内存状态异常的执行路径中的漏洞。而命令注入0日漏洞则是通过分析FirmAFL生成的变异输入发现的,即便该漏洞未被触发且被FirmAFL遗漏,Anatomist仍能发现用户可控制命令字符串参数的异常程序语义状态。与只能发现导致程序崩溃的内存损坏漏洞的模糊测试方法相比,Anatomist能成功识别内存损坏和逻辑漏洞,显著提高了漏洞挖掘的有效性。
| ID | Type | Vendor Device | Version | Time(s) |
|---|---|---|---|---|
| CNVD - 2021 - 34233 | Memory overflow | Dlink DSC - 930L | 1.05 | 41.5 |
| CNVD - 2021 - 37577 | Memory overflow | Tenda Tenda AC15 | 15.03 | 51.3 |
| Reported | Command injection | Dlink Dir - 850L | 1.03 | 49.6 |
AspIOC:面向威胁指标识别的深度神经网络模型
-
背景与问题提出
- 在非结构化威胁信息中,指标(如IP地址和域名)格式相对统一,但威胁情报文本中存在大量非恶意的IP和域名,使用正则表达式难以判断提取结果是否为恶意。
- 以往的方法,如Dionísio和Long采用的命名实体识别方法,因难以提供合适的初始IOC嵌入,预测能力有限;Liao和Zhu尝试的文本分类和句法依赖方法,因依赖外部语言模型且未考虑威胁情报文本特点,准确性较低。
-
AspIOC模型介绍
- AspIOC将IOC识别问题定义为方面级文本极性分类问题,把识别恶意IP和域名的问题视为方面级文本极性分类,其中方面词是句子中的IP或域名。
- 该模型由三部分组成:从方面词提取字符级特征、通过预训练模型提取上下文特征、从方面词和上下文提取交互特征。
- 研究人员收集了约100,000个样本,利用开源网络平台构建了数据集。实验结果表明,该IOC发现方法的准确率和F1值均达到99.92%,优于当前最先进的方法,满足行业IOC识别标准。
-
相关工作回顾
- IOC提取范式 :存在命名实体识别和过滤技术两种范式。Dionísio使用BiLSTM和CRF模型自动提取字符级和词级特征;Long受Transformer等注意力机制模型启发,将自注意力机制融入BiLSTM并结合人工规则;Zhao通过多粒度特征集和n - 元字符组合提高提取准确率;Liao和Zhu创建句法依赖图,划分IOC攻击阶段,前者还开发了上下文特征词集;Kazato使用GCN模型计算IOC恶意级别,Kuyama使用域名属性特征开发SVM分类模型。
- 方面级情感分析模型 :Tang提出TD - LSTM和TC - LSTM模型;Wang基于TC - LSTM强调方面词的作用;随着注意力机制的出现,Chen对相关模型进行了重构。
综上所述,Anatomist和AspIOC分别在固件漏洞发现和威胁指标识别领域展现出卓越的性能,为网络安全提供了更有效的保障。未来,这些技术有望在更多场景中得到应用和进一步发展。
固件漏洞发现与威胁指标识别的前沿技术
Anatomist的进一步探讨
-
漏洞类别与扩展性
Anatomist定义了对应内存损坏溢出漏洞和逻辑命令注入漏洞的两种危险操作,通过判断这两种危险操作的程序状态是否异常来发现漏洞。目前这两种危险操作足以展示Anatomist发现这两类漏洞的能力、有效性并详细阐述其工作流程。但实际上,可通过添加更多类型的危险操作来识别更多类型的漏洞,例如内存损坏堆漏洞和逻辑信息泄露漏洞等,后续将通过工程努力实现这一扩展。此外,研究人员仅在FirmAFL数据集的4个测试用例上测试了Anatomist,且它成功定位了所有漏洞。未来会使用Anatomist分析更多漏洞数据集,以评估漏洞检测结果的误报率和漏报率。 -
输入获取与优势
与通过自动变异输入来寻找程序漏洞的模糊测试不同,Anatomist需要程序输入来判断执行路径上的程序状态是否异常。但这并非其劣势,模糊测试是轻量级、高频次的程序测试,而Anatomist会基于程序状态异常判定对已知执行路径进行深度分析,以识别潜在的未触发漏洞。它与模糊测试技术形成互补,模糊测试生成的变异输入可发送给Anatomist进行更彻底的状态异常判定,从而发现被模糊测试遗漏的漏洞,避免资源浪费。同时,正常的网络消息也可作为Anatomist的输入,实验表明程序正常执行路径中可能存在未触发的漏洞,Anatomist能以此方式识别新漏洞。 -
路径探索展望
目前Anatomist仅能对单路径的程序状态异常进行判定,后续将开展多路径探索。现有的路径探索方法有Bunkerbuster、Directed Greybox Fuzzing和VulFuzz等。- Bunkerbuster :基于漏洞根本原因,使用特定于漏洞类别的搜索策略,如使用后释放、双重释放、溢出和格式字符串漏洞等,来扩展重构状态集并查找漏洞代码。结果显示其探索启发式比广度优先和深度优先搜索更有效。
- VulFuzz :作为面向漏洞的模糊测试框架,采用安全漏洞指标来指导和优先对最易受攻击的组件进行模糊测试。它为每个识别出的易受攻击函数分配权重,能通过易受攻击函数的种子被赋予更高优先级。基于覆盖表和加权函数计数,VulFuzz确定种子输入应添加到高优先级队列、低优先级队列还是被忽略。
- Directed Greybox Fuzzing (DGF) :以定向方式探索程序路径,旨在生成输入以有效到达给定的一组目标程序位置。它将可达性视为优化问题,利用特定的元启发式方法来最小化生成的种子与目标的距离。采用基于模拟退火的功率调度,逐渐为更接近目标位置的种子分配更多能量,为更远的种子分配更少能量。
研究人员将基于以往工作研究路径状态空间探索技术,需仔细考虑路径状态空间组成机制、路径状态空间的表示以及路径状态探索技术,目标是最终探索多个路径状态空间,高效探索更易出现漏洞的程序路径,并在这些路径上进行程序状态异常判定,以发现未知漏洞。
AspIOC模型的优势与意义
-
创新性定义问题
AspIOC将IOC识别问题创新性地定义为方面级文本极性分类问题。在威胁情报文本中,IOC(如IP地址和域名)的重要性类似于常规文本中的方面短语,因此采用方面级情感分析方法来处理该问题十分合适。这种定义方式突破了传统方法的局限,为IOC识别提供了新的思路。 -
多模型融合优势
该模型采用多模型融合技术,融合了DistillBERT预训练模型、方面词与上下文的交互融合模型以及方面词字符级特征提取模型。这种融合方式显著提高了方法的性能。预训练模型能够学习到丰富的语言知识和上下文信息,方面词的字符级特征提取可以捕捉到IOC本身的特点,而交互特征提取则能挖掘方面词与上下文之间的关系,三者结合使得模型能够更全面、准确地识别恶意IOC。 -
实际应用价值
通过构建包含约100,000个IP地址和域名样本的句子级数据集进行实验,AspIOC模型的准确率和F1值均达到99.92%。这一结果表明该模型优于当前最先进的方法,满足行业IOC识别标准。在实际的网络安全场景中,能够准确识别恶意IOC对于及时发现和防范网络威胁至关重要,AspIOC模型为保障网络安全提供了强有力的工具。
综上所述,Anatomist和AspIOC在各自领域都具有显著的创新性和优势。Anatomist通过高效的漏洞发现能力和可扩展性,为固件安全提供了有力保障;AspIOC则凭借独特的问题定义和多模型融合技术,在威胁指标识别方面取得了优异的成绩。随着网络安全形势的不断变化和发展,这两项技术有望在未来发挥更大的作用,为构建更安全的网络环境做出重要贡献。同时,它们也为相关领域的研究提供了新的方向和思路,值得进一步深入探索和优化。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
