信息网络安全 ›› 2022, Vol. 22 ›› Issue (3): 39-52.doi: 10.3969/j.issn.1671-1122.2022.03.005

• 技术研究 • 上一篇    下一篇

计算机系统漏洞自动化利用研究关键技术及进展

冯光升, 张熠哲(), 孙嘉钰, 吕宏武   

  1. 哈尔滨工程大学计算机科学与技术学院,哈尔滨 150001
  • 收稿日期:2021-12-22 出版日期:2022-03-10 发布日期:2022-03-28
  • 通讯作者: 张熠哲 E-mail:995338514@qq.com
  • 作者简介:冯光升(1980—),男,山东,教授,博士,主要研究方向为网络技术与信息安全|张熠哲(1998—),男,江苏,硕士研究生,主要研究方向为网络技术与信息安全|孙嘉钰(1993—),男,河南,博士研究生,主要研究方向为5G/6G网络技术、网络安全、移动边缘计算|吕宏武(1983—),男,山东,副教授,博士,主要研究方向为网络技术与信息安全。
  • 基金资助:
    国家自然科学基金(61872104)

Key Technologies and Advances in the Research on Automated Exploitation of Computer System Vulnerabilities

FENG Guangsheng, ZHANG Yizhe(), SUN Jiayu, LYU Hongwu   

  1. 1. College of Computer Science and Technology, Harbin Engineering University, Harbin 150001, China
  • Received:2021-12-22 Online:2022-03-10 Published:2022-03-28
  • Contact: ZHANG Yizhe E-mail:995338514@qq.com

摘要:

网络空间的安全形势日趋复杂,随着软件迭代的速度加快,安全漏洞的数量也呈爆炸式增长。过去依靠安全专家进行评估的方式在面对隐蔽且数量众多的漏洞时需要耗费巨大的人力物力,因此,如何高效地自动寻找软件漏洞、生成对应的漏洞报告并进行后续利用成为当今的一个热点研究方向。文章旨在对漏洞自动化利用的最新进展进行综述,首先提炼漏洞自动化利用的相关技术,然后介绍主流的漏洞自动化利用系统,最后分析总结了目前存在的问题并对未来的研究进行了展望。

关键词: 网络空间, 软件漏洞, 自动化利用

Abstract:

The security situation of cyberspace is becoming more and more complex. Security vulnerabilities exploded in the past few decades with the acceleration of software iteration. Facing with the challenge of hidden and numerous vulnerabilities, traditional methods relying on security experts to conduct assessments often requires huge manpower and material resources. Thus, how to efficiently find software vulnerabilities automatically, generate corresponding EXP (exploit) and make subsequent usage have become a hot spot which attracts widespread attention. This paper aims to summarize the latest developments in the automated exploitation of vulnerabilities. First, this paper refines the related technologies for software vulnerabilities automated exploiting. Second, this paper reviews mainstream software vulnerability automated exploitation systems. Finally, this paper analyzes and summarize the current problems and prospect the future research.

Key words: cyberspace, software vulnerabilities, automatic exploit

中图分类号: