阿里创新内核漏洞检测方法首度获得国际认证，结束国内零突破局面

日前，在全球安全学术盛会Computer and Communications Security（CCS，美国计算机学会主办的计算机与通信安全会议）上，阿里安全的“内核漏洞检测技术”成功入选该会议的论文收录目录。这标志着自CCS创办以来，中国互联网企业的首篇录用论文。

计算机操作系统可以分为应用层和内核。内核的漏洞一旦存在，对系统整体的影响可能是巨大的。如果将内核视为一座建筑，阿里安全研发的“内核漏洞检测技术”能够迅速揭示这座建筑上微小的裂缝，从而及早防范潜在风险。

通过在短时间内发现34个内核信息泄漏问题，并获得微软确认的20个CVE（公共漏洞披露），这项“内核漏洞检测技术”得以通过层层审核，获得评审委员会的认可。

业内专家指出，尽管国内公司每年在工业界顶级会议中多次发表论文，但在历届学术顶级会议上，企业的录用数量几乎为零，难度可见一斑。

阿里安全独创的内核漏洞检测技术示意图，能够检测到隐蔽性极高的内核漏洞

漏洞一直是基础软件厂商所面临的一大顽疾，而有效解决方法却屈指可数。2014年的OpenSSL心脏滴血漏洞（CVE-2014-0160），造成诸多操作系统用户密钥与个人隐私的严重泄漏，广泛传播，引发全球性的恐慌。

阿里安全猎户座实验室的资深安全专家修谟表示，“内核漏洞检测技术”的核心原理是通过多次执行程序指令流并记录其结果，运用差分方法检查未初始化变量，从而发现是否存在内核信息泄漏这一高危安全隐患。

“我们的检测技术已经在Windows 7和Windows 10 (x86/x64)系统上进行了有效验证，并反馈给微软进行修补。在准确性、性能和问题定位能力等方面，超过了谷歌Project Zero团队提出的Bochspwn漏洞挖掘技术，能够有效提升操作系统的安全性。” 阿里安全猎户座实验室的负责人杭特表示。

“今年3月，我们推出的业界首个‘公开可验证（PVC）’的安全双方计算方案也被欧洲密码学顶会接纳，标志着国内互联网企业连续两次取得首次成就，充分表明阿里安全技术已达到国际顶尖水平，并将引领全球技术发展趋势。” 阿里安全技术负责人钱磊指出。

Tags： 阿里巴巴 

提示：本站文章来源于网络或投稿