您的位置: 首頁(yè) >互聯(lián)網(wǎng) >

一種新的防御技術(shù)可以通過(guò)使軟件更加笨拙來(lái)阻止攻擊者

2019-06-12 17:04:27 編輯: 來(lái)源:
導(dǎo)讀 紐約大學(xué)的研究人員最近設(shè)計(jì)了一種新的網(wǎng)絡(luò)防御技術(shù),它通過(guò)添加所謂的糠蟲(chóng)蟲(chóng),不可利用的漏洞,而不是消除現(xiàn)有的漏洞。他們的創(chuàng)造性研究的

紐約大學(xué)的研究人員最近設(shè)計(jì)了一種新的網(wǎng)絡(luò)防御技術(shù),它通過(guò)添加所謂的“糠蟲(chóng)蟲(chóng)”,不可利用的漏洞,而不是消除現(xiàn)有的漏洞。他們的創(chuàng)造性研究的預(yù)印本版本上周上傳到ArXiv。

每天,越來(lái)越復(fù)雜的攻擊者發(fā)現(xiàn)計(jì)算機(jī)軟件中的錯(cuò)誤,評(píng)估其可利用性,并開(kāi)發(fā)利用它們的方法。大多數(shù)現(xiàn)有的防御技術(shù)旨在消除這些錯(cuò)誤,限制它們,或添加可能使開(kāi)發(fā)更具挑戰(zhàn)性的緩解措施。

“我們的項(xiàng)目基于我們與麻省理工學(xué)院林肯實(shí)驗(yàn)室和東北大學(xué)合作進(jìn)行的一些早期工作,評(píng)估了在軟件中發(fā)現(xiàn)缺陷的不同策略,”進(jìn)行這項(xiàng)研究的研究人員之一Brendan Dolan-Gavitt告訴Tech Xplore。“為此,我們構(gòu)建了一個(gè)系統(tǒng),可以將數(shù)千個(gè)錯(cuò)誤放入程序中,這樣我們就可以測(cè)量每個(gè)錯(cuò)誤發(fā)現(xiàn)策略在檢測(cè)錯(cuò)誤方面的效果。”

在他們開(kāi)發(fā)了這個(gè)系統(tǒng)后,研究人員開(kāi)始考慮在提高軟件安全性的背景下應(yīng)用它的可能性。他們很快就意識(shí)到攻擊者通常會(huì)發(fā)現(xiàn)并利用軟件中的漏洞存在瓶頸。

“需要花費(fèi)大量的時(shí)間和專(zhuān)業(yè)知識(shí)來(lái)確定哪些漏洞可以利用并開(kāi)發(fā)出有效的漏洞,”Dolan-Gavitt解釋道。“所以我們意識(shí)到,如果我們能夠以某種方式確保我們添加的所有錯(cuò)誤都是不可利用的,我們就可以壓倒攻擊者,將他們淹沒(méi)在誘人但卻最無(wú)害的錯(cuò)誤之中。”

添加大量可證明但不明顯不可利用的錯(cuò)誤可能會(huì)使攻擊者感到困惑,使他們浪費(fèi)時(shí)間和精力尋找這些故意放置的漏洞的漏洞。研究人員稱(chēng)這種新方法可以阻止攻擊者“嫌疑”。

“我們的系統(tǒng)會(huì)自動(dòng)添加箔條漏洞,旨在用于開(kāi)發(fā)人員構(gòu)建軟件時(shí),”Dolan-Gavitt說(shuō)道。“我們使用兩種策略來(lái)確保錯(cuò)誤是安全的:要么保證攻擊者只能破壞程序未使用的數(shù)據(jù),要么確保攻擊者可以注入的值限制在我們可以確定的范圍內(nèi)很安全。“

在他們最近的研究中,研究人員使用這兩種策略自動(dòng)將數(shù)千個(gè)不可利用的錯(cuò)誤添加到實(shí)際軟件中,包括Web服務(wù)器NGINX和編碼器/解碼器庫(kù)libFLAC。他們發(fā)現(xiàn)該軟件的功能沒(méi)有受到損害,并且糠蟲(chóng)漏洞似乎可用于當(dāng)前的分類(lèi)工具。

“最有趣的發(fā)現(xiàn)之一就是可以自動(dòng)構(gòu)建這些不可利用的漏洞,我們可以告訴它們不可利用,但攻擊者很難做到這一點(diǎn),”Dolan-Gavitt說(shuō)。“當(dāng)我們開(kāi)始時(shí)這對(duì)我們來(lái)說(shuō)并不明顯,這是可行的。我們也認(rèn)為這種應(yīng)用某種經(jīng)濟(jì)邏輯的方法 - 找出攻擊者資源稀缺然后試圖瞄準(zhǔn)它們 - 是一個(gè)富有成效的探索領(lǐng)域在軟件安全方面。“

雖然他們的研究收集了有希望的結(jié)果,但仍需要克服一些挑戰(zhàn)才能使這種方法變得切實(shí)可行。最重要的是,研究人員需要找出一種方法,使這些不可利用的錯(cuò)誤與真正的錯(cuò)誤完全無(wú)法區(qū)分。

“現(xiàn)在,我們添加的漏洞非常具有人工外觀,因此在尋找可利用的漏洞時(shí),攻擊者可以利用這一事實(shí)來(lái)忽略我們的漏洞,”Dolan-Gavitt說(shuō)道。“我們目前主要關(guān)注的是如何找到方法讓我們添加的錯(cuò)誤看起來(lái)更像是自然發(fā)生的錯(cuò)誤,然后運(yùn)行實(shí)驗(yàn)來(lái)證明攻擊者真的被我們的糠蟲(chóng)錯(cuò)誤所欺騙。”


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。