开发者福音 国内首款AI自动化漏洞挖掘系统上线测试
发布时间:2022-07-22 09:18:34 所属栏目:安全 来源:互联网
导读:企业数字化转型,安全是基石。软件漏洞是信息安全风险的主要根源之一,是网络攻防对抗中的重要目标。无论从国家层面的网络安全战略,还是社会层面的信息安全防护,安全漏洞已经成为信息对抗双方博弈的核心问题之一。 目前,对于软件漏洞挖掘主要从源代码和二
|
企业数字化转型,安全是基石。软件漏洞是信息安全风险的主要根源之一,是网络攻防对抗中的重要目标。无论从国家层面的网络安全战略,还是社会层面的信息安全防护,安全漏洞已经成为信息对抗双方博弈的核心问题之一。 目前,对于软件漏洞挖掘主要从源代码和二进制程序两个层次展开。其中面向二进制程序的漏洞挖掘,从其现实意义到实现难度都是源代码层无法比拟的。针对发现漏洞的最佳实践方式有源代码审查、模糊测试、基于规则的静态分析、基于规则的动态分析等,这些方法在特定情况下针对特定二进制程序可以产生很好的检测效果,但仍然存在一些很难突破的先天缺陷。 鉴于此,国内一家专注于AI技术在网络安全行业的应用与研究的高新技术企业极光无限推出了一款基于图神经网络的AI自动化漏洞挖掘系统 ——“维阵”,这款SaaS产品专注于二进制安全缺陷的快速发现;对二进制文件的程序流图(CFG)进行漏洞挖掘分析,着眼目标文件中的函数、库函数以及各种间接跳转,获得程序的控制流图的节点,结合反汇编出来的代码或者脚本语言,从而识别出可疑的汇编代码序列,进而快速有效地发现未知漏洞的一款自动化漏洞挖掘产品。 不仅如此,产品采用的是SaaS的服务模式,用户只需要将需要进行检测的二进制文件拖入,剩下的检测工作将完全交给系统来完成。随着AI自我学习的完善,该系统的漏洞检测率将越来越高,漏洞检测时间将越来越短。这意味着,这款AI自动化漏洞挖掘系统不仅仅适用于安全研究人员,对于并不擅长漏洞挖掘的开发人员而言,同样适用。这样做的好处显而易见——在产品上线之前,就能发现存在的安全问题,进一步提高产品的安全性,避免未来因安全漏洞造成更大的损失。 据了解,目前极光无限公司已经正式上线“维阵”的公测版本,邀请广发开发者试用公测(公测地址:https://vul.secwx.com)。目前该系统由于版权、隐私保护等相关政策需要完善,仅支持X64架构Linux平台的开源二进制文件检测,Windows平台的二进制文件禁止上传。另外其将优先支持区块链领域的二进制文件检测和国产操作系统(如UOS)的检测,其他架构平台(ARM、MIPS等)后续也将提供支持。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号