[01423878]网络安全威胁主动感知及研判的方法与技术

“网络安全威胁主动感知及研判的方法与技术”是国家高技术发展计划（863计划）项目（2007AA01Z411）、国家自然科学基金（90718005、61202387）、华为合作项目（YBWL2009139）、百度合作项目（1812202P02128）、金山可牛网络合作项目（RD-140001）的支持下,武汉大学计算机学院和空天信息安全与可信计算教育部重点实验室研制的一款计算机软件,属于信息安全类产品。以可信计算的理论和技术为基础,以国家可信计算的技术规范和标准为依据,以可信计算平台的可信特征的测评为研究重点,提出面向可信计算平台安全的测评模型,以及相关的测试方法与技术。同时,以可信计算平台为基础,把可信延生到内核、库、软件、应用和接口等网络安全威胁可能存在的位置,构建整个软件系统的可信运行环境,抑制和阻断了恶意代码的传播与利用网络漏洞的攻击,确保了网络空间基础设施健康运行,降低整体系统维护成本。 在同一体系框架下,实现“兼容多套技术规范”的目标,延伸了信任链的长度,减少了信任链中信任损失;反射机制提升了工具的可扩展性。以控制意图检测未知木马和恶意行为,提高了检测精度。采用合法性和等价关系检查有效地提高随机测试用例生成效率;从低维的软件行为建模高维的控制意图,降低误报;采用静态数据指纹和动态行为指纹有机结合建模,全面减低软件的攻击面;直接采用硬件虚拟化技术对内核关键数据和代码加锁,以较小代价检测内核态的恶意行为。以最小代价阻挡利用栈布局的漏洞攻击;从内核态检测栈异常和重构异常栈,有效检测黑客攻击和漏洞点的定位;提高补丁比对的效率和精度;以已知漏洞和协议规范为导向,采用并发协同技术挖掘未知漏洞;以语义感知为导向,设计绕过WAF的有效测试用例;采用自动化的UI点击触发,以及多层次的纵深行为监控,可以缓解动态分析覆盖和捕获不完整的问题。其实际效果比同类工具好。 本系统所采用的技术都已经具有相当的成熟度,尤其是在可信计算方面。在具体的系统开发过程中,也对恶意代码、漏洞攻击、软件行为监控等技术有了相当程度的积累和掌握。 武汉大学于2000年就开始了可信计算的相关理论的研究工作,空天信息安全与可信计算教育部重点实验室设计实现密码芯片J2810以及安全计算机SQY-14该产品于2004年通过国家密码管理委员会的安全审查与技术鉴定。作为主要参与单位,参与了我国可信计算技术标准的制定工作,参与制定了国家密码管理局《可信计算密码支撑平台功能与接口规范》系列技术规范。与企业合作成功地推出了可信计算机产品,并通过了国家密码管理委员会的鉴定。这些研究为可信计算平台安全测评提供较好的基础。 在系统开发过程中,我们共申请了“基于最小测试集的可信PC信任链测试系统及其测试方法. ZL200810197942.8”、“一种Android软件敏感行为监控与拦截方法与系统”等16项国家发明专利,“基于主机行为感知的未知木马检测系统”等5项软件著作权,在国际权威期刊“IEEE Transactions on Parallel and Distributed System”和国内权威期刊“中国科学”等发表高质量学术论文100余篇,集成系统已通过武汉光庭信息技术有限公司测评中心的测评,表明该系统已具备较高的技术成熟度。 本平台的主要目标市场包括：政府机要部门、国家安全部门、军队安全部门、企事业单位及终端用户,保护这些系统和主机免受恶意代码和安全漏洞的安全,达到预防、检测和响应的目的,其产品市场前景广阔。 本平台在北京因特信安软件科技有限公司、中铁科工集团有限公司机械成套分公司、武汉虹旭信息技术有限责任公司、国家电网湖南电力公司、北信源、武汉市工程科学技术研究院、珠海市君天电子科技有限公司（金山）、国家保密局单位、长江水文局、部队单位、船舶研究所等单位中使用,相关技术成果应用于金山火眼平台、北信源等产品中,为下一步的产业化打下了较好的基础。 网络安全保护产品总是不断与网络安全威胁做博弈,存在的问题是：（1）如何面对新的攻击方式和恶意代码,该平台需要不断完善其检测机制和防御机制,确保能不断应对新的威胁;（2）如何面对软件系统的新业务和新功能,这些需要保护的对象需要融合到该平台的安全策略中,并不断优化策略,确保与系统同步前进。无