关 闭

新聞中心

瑞彩祥云

作者:朝晖時間:2019-07-08來源:快科技收藏

近日,全球安全学术顶会Computer and Communications Security(美国计算机学会旗下计算机与通信安全会议,下称“”),將阿裏安全的“內核漏洞檢測方法”列入其論文收錄庫。這是舉辦26年以來,中國互聯網企業投中的第一篇論文。

本文引用地址:/article/201907/402381.htm

計算機操作系統分爲應用層和內核。如果內核存在漏洞,對整個系統的影響可能是毀滅性的。如果將內核比做一棟房子,阿裏安全獨創的“內核漏洞檢測方法”,可以快速發現這棟房子上的細微裂縫,防患于未然。

正是憑借短時間內即發現34個內核信息泄露,並獲得微軟20個CVE(公共漏洞披露)確認的超強成績單,“內核漏洞檢測方法”得以通過層層評審獲得組委會認可。

業內人士指出,相比每年工業界頂會國內公司數十次中稿,曆年學術頂會,企業中稿數基本爲零,難度可見一斑。

阿裏安全獨創的內核漏洞檢測方法示意圖,可檢測隱蔽性最高的內核漏洞

漏洞一直是基礎軟件廠商們頭痛卻又未能有良好解法的安全隱患。2014年,OpenSSL的心髒滴血(CVE-2014-0160)漏洞,造成了很多操作系統的用戶密鑰及個人隱私等嚴重泄漏,並持續發酵蔓延,一度引發全球恐慌。

阿裏安全獵戶座實驗室資深安全專家修谟指出,“內核漏洞檢測方法”的原理是通過多次執行程序指令流並記錄結果的方式,以差分方法檢測未初始化變量,進而發現是否存在內核信息泄漏這一高危安全問題。

 “我们的检测方法,已经在Windows 7和Windows 10(x86/x64)系统上进行了验证,并提交给微软进行了修复,从准确性、性能、问题定位能力等方面,都超过了谷歌Project Zero团队提出的Bochspwn漏洞挖掘技术,可有效提升操作系统安全性。” 阿里安全猎户座实验室负责人杭特称。

“今年3月,我們獨創的業界首個‘公開可驗證(PVC)’安全兩方計算方案也被歐洲密碼學頂會收錄,連續兩次創下國內互聯網企業首次,足以說明阿裏安全技術已達到全球頂尖的技術水准,也將引領全球技術風向。”阿裏安全技術負責人錢磊表示。



評論


相關推薦

技術專區

關閉