中国科学院大学 中国科学院大学新闻网

【新闻网讯　 王晓甜】5月23日上午，宾夕法尼亚州立大学刘鹏教授，应信息安全国家重点实验室副主任荆继武教授的邀请，来到中关村教学园区，向广大科学院学子做了一场题为《SigFree：A Signature-free Buffer Overflow Attack Blocker》的精彩报告。报告由信息安全国家重点实验室副主任荆继武教授主持。 刘鹏教授现在是宾夕法尼亚州立大学终生教授，他的研究方向包括可生存性系统、网络安全、数据库安全、隐私安全、分布式系统安全、身份窃取等领域。刘鹏教授曾担任ACMCCS2004程序委员会主席，IEEEGlobecom 2006 – Network Security Systems、ACMCCS 2006、ACSAC2006、IEEECHINACOM 2006等国际会议的程序委员会成员。 报告伊始，刘鹏教授首先介绍了他们项目组的成员，项目进展情况以及发表的学术论文。然后介绍了这次报告的主要内容，包括项目动机、相关工作及现状、实现方法、性能评估和最后的讨论。在整个报告过程中，刘教授以一口流利的英语为我们讲授了很多技术细节，使我们受益匪浅。 之后，刘教授介绍了缓冲区溢出的概念并指出缓冲区溢出在目前的网络攻击中是最主要的攻击手段之一，造成的危害非常严重。在大多数Internet服务中，典型的缓冲区溢出攻击在发给服务器的请求包中包含可执行的代码，而合法的客户端的请求是不包含可执行代码的。根据以上情况，刘教授提出了基于SigFree的缓冲区溢出攻击检测的概念，SigFree是一种实时的、非签名的缓冲区溢出攻击检测方法，通过检测消息的内容来判断是否存在攻击，如果包含可执行代码，则认为存在攻击。 然后，刘教授分析并指出当前已有的一些防范技术和它们存在的缺陷。刘教授将目前的缓冲区溢出技术分为7类，分别为：在源码中发现bugs，编译器扩展，修改操作系统，修改硬件，防御方采用迷惑技术，捕获有缓冲区溢出攻击特征的代码，利用蠕虫特征码。刘教授指出这些技术还不能达到以下四个方面的要求：维护方面的简易性，对服务器系统、应用软件和硬件的透明性，对迷惑性事务处理的弹性，互联网实现的经济性。 接着刘教授提出了他们的想法和技术。他们采用基于代理的方式，在防火墙和服务器之间增加了在应用层实现的基于代理的SigFree。整体结构是：客户端向服务器发送一个请求，在通过防火墙之后，SigFree首先进行解码，为了加快速度，使用ASCII过滤器将请求信息提取出来，接着使用指令序列提取器生成一系列的指令序列，这主要是通过反汇编实现，最后由指令序列分析器对每一条指令序列进行分析，判断是否存在可执行代码并采取相应的响应措施。采用通用算法，对于一个N字节的请求需要O(N )时间来获得所有可能的指令序列，刘教授提出一种新的算法，将时间降低到O(N)，并使用扩展的控制流向图结构来描述指令序列。在生成指令序列后为了提高效率，需要删除一些不可能是一个序列入口的节点。在SigFree结构中，最主要的一部分就是指令序列分析器ISA。刘教授给出两种方案。方案一：利用操作系统特性。刘教授指出，通过观察发现一个程序包含一些特性可以体现出它所运行的操作系统平台。所以他们采用推调用的模式的数量作为临界值，如果超过临界值，就认为存在攻击。方案二：利用数据流异常。刘教授指出，通过观察发现一个随机的指令序列包含很多数据流异常，而一个有意义的程序含有很少或者没有数据流异常。基于数据流异常，一些指令是无用的，而一个程序至少有一个执行路径还有一定数量的有用的指令。如果有用指令的数量超过一个临界值，则认为指令序列是一个程序片段。 刘教授对他们提出的系统和方案进行了性能评估与测试。刘教授指出，SigFree对正常的Web请求的处理的影响几乎可以忽略。他们的系统和方案具有很强的实用性，应用前景广阔，可以为不允许可执行二进制被包含在请求中的Internet服务提供保护，这些Internet服务包括：数据库服务器，邮件服务器，名字服务器等等；可以实时保护文件系统；可以保护客户端桌面系统。 最后，刘教授针对他们目前存在的一些问题和未来的研究热点发表见解，刘教授指出他们的想法和技术还有待完善，欢迎大家提出宝贵意见和建议。并指出他认为在过去，安全大多数是针对保护服务器，而现在随着网络应用的普及，对客户端桌面系统的保护将成为今后研究的热点。 报告结束时，同学们对刘教授致以热烈的掌声。