多变体执行是由异构冗余变体并行执行来检测攻击的一种技术.作为一种主动防御技术,多变体执行(multi-variant exe-cution,MVX)通过并行运行的异构执行体之间一致性检查发现攻击行为.相较于补丁式的被动防御,MVX可在不依赖攻击特征信息的情况下防御已知漏洞乃至未知漏洞威胁,在网络安全领域具有广泛的应用前景.然而该技术在实际部署中,由于多变体执行架构的边界不清晰,将随机数、进程PID号等被动地纳入到了表决范围,从而产生误报,导致多变体执行无法兼容更多的软件系统.本文分析了多变体执行假阳问题产生的原因,提出I-MVX,一种编译支持的多变体融合执行架构,包括多变体同步编程框架和运行时同步模块.I-MVX通过添加少量编译指示,在编译阶段对程序内部引起假阳性问题的代码和变量进行插桩标识,在运行时由监视器对变体进程内部和外部的变量及资源进行同步处理,消除多变体执行中的误报.本文基于LLVM/Clang编译器和Linux内核加载模块设计实现了 I-MVX的编译器和同步监视器.性能实验评估显示,I-MVX在SPEC 2006基准测试集和tinyhttpd测试程序下引入的平均开销分别为2.13％和13.2％.多变体融合执行架构能够以少量的性能损耗为代价有效解决多变体执行中的假阳问题,提升多变体执行的可用性.基于真实CVE漏洞的安全性测试表明,I-MVX在保证多变体执行安全防御有效性基础上提升了多变体执行的兼容性.

多变体执行;编译指示;网络空间安全

李秉政;张铮;马博林;邢福康;邬江兴

数学工程与先进计算国家重点实验室 郑州 中国 450001;国家数字交换系统工程技术研究中心 郑州 中国 450002

信息安全学报

[1]李秉政;张铮;马博林;邢福康;邬江兴-.编译支持的多变体融合执行设计与实现)[J].信息安全学报,2022(04):114-123

编译指示,Clang,tinyhttpd

多变体执行,异构冗余,并行执行,主动防御技术,multi,variant,exe,cution,MVX,行运,异构执行体,一致性检查,攻击行为,补丁,不依,攻击特征,特征信息,安全领域,PID,表决,误报,软件系统,编程框架,在编,假阳性,代码,插桩,监视器,行同,同步处理,LLVM,编译器,Linux,模块设计,设计实现,性能实验,实验评估,SPEC,基准测试集,测试程序,开销,可用性,CVE,安全性测试,测试表明,安全防御,兼容性,网络空间安全

0.301739