2020年的安全焦點資訊保安技術峰會（XCon 2020）於8月19日至20日在雲端舉行。作為國內為數不多的“硬核“安全技術交流平臺，XCon從2002年創辦至今，從稚嫩邁向成熟的同時，也在努力堅持自己的初心。

XCon 2020共有十個技術議題，覆蓋雲安全、人工智慧、漏洞利用與緩解、逆向工程等多個領域。其中，綠盟科技天機實驗室負責人張雲海以及綠盟科技創新中心天樞實驗室高階安全研究員張潤滋博士，分別以《Windows Heap Backed Pool Internals》和《打造風險驅動的智慧威脅推薦引擎》為題，奉獻了兩場乾貨滿滿的分享。

本文，綠盟君為您帶來這兩場議題的精華內容。

Windows Heap Backed Pool Internals（基於堆的核心池）

綠盟科技天機實驗室專注於安全漏洞挖掘和利用技術的研究。本次 XCon 議題，張雲海從 Windows 堆管理的演進切入，重點介紹 Windows10基於堆的核心池管理的實現機制，評估了這一變化對核心漏洞利用所帶來的影響，介紹了該機制自身的攻擊面，並給出了一些利用示例。

綠盟科技天機實驗室負責人 張雲海

堆是用來存放動態資料的記憶體區域，通常是位於保留的虛擬地址空間中的一個區域。堆的物理儲存器從記憶體中分配，在釋放時有專門的堆管理器負責對已佔用的物理儲存器進行回收。應用程式可以使用系統提供的一系列函式來建立自己的堆並對堆中的記憶體進行管理。

可以說，堆管理是一種重要的動態記憶體管理機制。隨著 Windows 版本不斷更迭，微軟多年來一直在持續改進堆記憶體的管理。從 Windows XP 中的 NT Heap，到 Windows Vista 中的 Low Fragmentation Heap，再到 Windows 10的 Segment Heap。在完善使用者態堆記憶體管理的同時，微軟也在嘗試將堆管理的機制引入核心態，啟用了基於堆管理的核心池（Heap Backed Pool），並在 Windows 10版本1903中徹底取代了原來的核心池管理機制，以期能更安全、高效的管理核心記憶體。

闡述完該主題的背景，張雲海詳細介紹了核心中堆管理相關的關鍵資料結構以及記憶體分配與釋放的演算法等實現機制。

明確安全機制是尋找攻擊面的前提。張雲海認為，核心態的堆管理在安全機制方面主要有四個較為突出的點，對連結串列與紅黑樹節點的保護、分配一個額外的 Guard Page 頁面來防止緩衝區溢位後越過邊界改寫後續記憶體、對關鍵資料進行編碼保護、LFH 分配記憶體的隨機化。這些安全機制中依然遺留了一些潛在的攻擊面，比如部分關鍵的資料並沒有進行編碼保護，透過 SegContext 分配的記憶體則沒有 Guard Page 保護。

張雲海表示核心動態記憶體管理機制的切換，也會影響到核心漏洞的利用，主要集中在三方面：針對核心池後設資料的攻擊需要重新設計、對記憶體佈局的控制以及對已釋放記憶體的佔位都會變得更加困難。

議題最後，張雲海簡單給出了三個針對 Heap Backed Pool 的利用思路。

打造風險驅動的智慧威脅推薦引擎

平臺的自動化、智慧化水平，正逐漸成為網路空間攻防雙方的角力焦點。我們希望得到的，是一個能吞吐海量異構多源資料，快速檢測、推理、響應、追蹤威脅事件，高度自動化的統一平臺及工具集，輔助安全人員進行安全運營、研究和對抗。然而，大資料技術對安全人員而言，不僅帶來了機遇，還有資料爆炸和告警疲勞。安全平臺匯聚的多源資料規模正快速膨脹，而我們的威脅聚焦能力卻在逐漸退化。

張潤滋博士認為，風險驅動的智慧威脅推薦引擎，是能有效緩解安全運營平臺所面臨的“資訊過載”問題的可選答案。透過構建可解釋的威脅推薦系統，自適應提取多維度特徵，動態學習專家的風險偏好，構建人機智慧協同的閉環，可以在一定程度提升對關鍵威脅的聚焦，特別是安全運營中告警自動分級、威脅狩獵輔助等關鍵任務的處理效率。

安全運營的大資料挑戰，是安全運營不容忽視的難關。資訊過載帶來的遺漏，讓真實、特別是未知威脅更難以被及時響應。這就需要基於威脅視角、風險驅動的推薦系統，根據企業的真實風險偏好，幫助企業聚焦那些應該優先處理的安全事項，更合理的分配有限的人力。

據張潤滋博士介紹，威脅推薦和我們常見的商品或內容推薦引擎一樣是基於對偏好的學習，以及需要倚賴大規模、訊雜比低的資料集；但威脅推薦的候選集合是低頻但高風險的攻擊事件，而且有較強的時間約束，試錯成本巨大。

威脅推薦系統的核心是召回引擎、推薦排序引擎以及關鍵特徵解釋引擎。

技術實現上，包括透過多層次、多維度的威脅評估系列模型及演算法，構建風險驅動的推薦候選特徵集合。透過 Wide & Deep經典排序模型，學習專家使用者的運營風險偏好，以提升日常運營告警分類分級、紅藍對抗威脅狩獵等關鍵安全運營任務的處理效率。進一步，針對黑盒機器學習模型缺乏透明性的問題，整合SHAP等可解釋模型層，提供關於推薦結果的關鍵特徵標註，支撐人-機互動的閉環流程的構建。

張潤滋博士表示，現階段，在召回引擎方面，更多的是提升覆蓋率，傾向於高可解釋模型；在推薦排序引擎方面，則是同時需要淺層的記憶與深層的泛化；在解釋引擎方面，要求原始特徵和推薦演算法均可解釋。

此外，對於推薦系統的效果評估，張潤滋博士建議，應從上至下囊括企業願景、安全運營目標、資料和分析指標，構建以可運營為導向、針對安全運營層次化目標的指標體系，並介紹了結合企業日常運營和紅藍對抗工作的相關實踐成果。

議題最後，張潤滋博士從深度互動、實時性、覆蓋率、自動化評估與最佳化、多層次推薦等角度，介紹了威脅推薦領域未來的工作方向。同時，從 AISecOps 支撐安全運營自動化能力提升的角度，進一步展望了打造可信任安全智慧，資料、智慧驅動安全運營這一技術方向。

結語

無論是天機實驗室深入Windows 10核心池的漏洞研究，還是天樞實驗室基於 AISecOps 理念的技術實踐，這兩者無一不體現了綠盟科技對安全研究的深入與創新。

XCon 是一個純粹的安全技術交流和分享平臺。但安全研究的價值要想超越研究本身，還需合理、前瞻性的佈局，更要能夠快速、準確的向安全產品、安全服務進行能力轉化。這是一家有積澱、成熟的安全能力提供商才會有的優勢。這也是綠盟科技能夠深受客戶信賴，成為巨人背後專家的深層次原因。