大咖授課｜安芯網盾CTO姚紀衛講解基於記憶體安全的惡意程式碼執行時檢測與防範技術

介紹：CTO姚紀衛受邀出席“關鍵資訊基礎設施安全防護專家認證培訓”，並作為講師授課

2023年4月13日至14日，由國家資訊中心、中國網路空間安全協會指導，國家網路安全人才與創新基地、《資訊保安研究》雜誌社主辦，中國計算機學會電腦保安專業委員會、航天雲網科技發展有限責任公司、光明網數字化頻道&網路安全頻道協辦的“數字政府安全建設高峰論壇暨關鍵資訊基礎設施安全防護專家認證培訓”在武漢順利召開。

本次論壇由國家資訊中心辦公室副主任呂欣研究員主持，北京市海淀區網信辦劉傑副主任，鄭州大學網空學院院長、中國計算機學會安全專委會常務委員胡傳平，武漢大學網路空間安全學院黨委書記趙波，國家資訊中心資訊與網路安全部政務外網安全監測處處長劉蓓，國家資訊中心研究員李新友等出席併發言。 安芯網盾CTO姚紀衛受邀出席“關鍵資訊基礎設施安全防護專家認證培訓”，並作為授課講師為在場嘉賓講解“基於記憶體安全的惡意程式碼執行時檢測與防範技術”。

安芯網盾CTO姚紀衛

在課程中， 姚紀衛基於現階段全球高階威脅攻擊事件及紅隊攻擊行為進行分析，提出記憶體安全是當下最新的檢測和響應高階威脅的技術路線，介紹了記憶體安全技術原理及基於記憶體安全的惡意程式碼漏洞識別技術在實戰中的檢測案例和優勢。

惡意程式的發展現狀及危害

姚紀衛表示，當前惡意程式和漏洞數量正在逐年增加，特別是漏洞利用攻擊和無檔案攻擊逐漸成為最受紅隊和惡意攻擊者歡迎的攻擊手段。根據CNCERT的資料顯示，2021年CNVD收錄安全漏洞數量共計20704個，同比增長27.9%，2016年以來年均增長率為17.6%。其中，高危漏洞數量為7420個(佔35.8%)，同比增長52.1%;零日漏洞數量為8902個。2021年，“零日”漏洞收錄數量為 7,107 個(佔 54.3%)，同比大幅增長 55.1%。

2016-2020年 CNVD 收錄的安全漏洞數量趨勢

零日漏洞的大量利用給全球不同國家政府和企業機構都帶來極其重大的影響，傳統的安全產品在面對零日漏洞時無法及時有效進行應對，使數字資產長期暴露在不安全環境中。

記憶體安全為惡意程式檢測提供新的技術路線

姚紀衛介紹道，當前各種檢測方法，如：特徵碼檢測技術、啟發式檢測技術、主動防禦技術、AI技術、EDR和NDR，這些技術對於傳統攻擊行為都具有不錯的檢出效果，但隨著惡意程式碼製作逐漸呈組織化、職業化、不惜代價化，使得惡意程式碼目標性、對抗性、隱藏性增強，使上述檢測方法不能從根本上防範0Day漏洞利用、無檔案攻擊和APT攻擊威脅，這就需要安全檢測技術與時俱進。

在這種背景下，記憶體安全技術應運而生，透過專注於應用程式程式細粒度行為和記憶體訪問行為，為檢測和響應高階威脅提供了新的技術路線。記憶體安全技術是一種從記憶體訪問行為和程式行為監控出發，依據採集到行為做實時行為關聯分析識別威脅的技術。這是一種基於攻擊行為的檢測方法，因為無論惡意程式碼怎麼變化，它的行為收斂，數量極少，所以這是一個很好的檢測思路。

記憶體安全技術原理及優勢

姚紀衛說：“記憶體是所有威脅的匯聚點”，儘管高階威脅攻擊在基於 API 監控的檢測方法上蛛絲馬跡甚少，但是最終會在記憶體中“展現”和執行。在馮 · 諾伊曼體系結構中， 任何資料都需要經過 CPU 進行運算、都需要經過記憶體進行儲存，理論上基於記憶體和CPU這一層面實現的安全防護可以有效防護所有威脅。

記憶體安全技術原理示意圖

基於此，安芯網盾想到了一種新的思路來應對此類高階威脅，也就是在記憶體和 CPU 指令集這一層來構建安全方案，不依賴靜態特徵，基於程式的動態記憶體訪問行為和程式執行行為進行檢測。 無需頻繁升級，即可達到對未知威脅已知威脅相同的檢測效果，擺脫了先有毒後防毒的被動局面，做到了“未雨綢繆、防患於未然”。

同時，安芯網盾針對記憶體安全的三層防護體系基於底層技術構建上層安全的一體化思路

能夠很好地補足當前針對高階威脅防護的空白：

· 記憶體層，採用記憶體保護技術，能有效防範記憶體攻擊、二進位制漏洞利用等威脅;

· 系 統層，結合ACDR攻擊鏈檢測與響應技術，對惡意程式碼、入侵檢測和未知漏洞實現有效防護;

· 應用層，採用RASP執行時安全防護技術，能很好防禦web攻擊、記憶體馬、webshell、和中介軟體漏洞。

安芯網盾的使命是保護數字世界的安寧，作為記憶體安全領域的開拓者和領軍者，我們始終希望將我們在產品和技術上的積澱都能轉化為客戶的價值，為客戶主機安全保駕護航。