酷应用

XCon 2020：绿盟科技带您聚焦堆管理内核池和智能威胁推荐引擎

百家作者：绿盟科技 2020-08-20 19:13:57

2020年的安全焦点信息安全技术峰会（XCon 2020）于8月19日至20日在云端举行。作为国内为数不多的“硬核“安全技术交流平台，XCon从2002年创办至今，从稚嫩迈向成熟的同时，也在努力坚持自己的初心。

XCon 2020共有十个技术议题，覆盖云安全、人工智能、漏洞利用与缓解、逆向工程等多个领域。其中，绿盟科技天机实验室负责人张云海以及绿盟科技创新中心天枢实验室高级安全研究员张润滋博士，分别以《Windows Heap Backed Pool Internals》和《打造风险驱动的智能威胁推荐引擎》为题，奉献了两场干货满满的分享。

本文，绿盟君为您带来这两场议题的精华内容。

Windows Heap Backed Pool Internals

（基于堆的内核池）

绿盟科技天机实验室专注于安全漏洞挖掘和利用技术的研究。本次 XCon 议题，张云海从 Windows 堆管理的演进切入，重点介绍 Windows10基于堆的内核池管理的实现机制，评估了这一变化对内核漏洞利用所带来的影响，介绍了该机制自身的攻击面，并给出了一些利用示例。

绿盟科技天机实验室负责人张云海

堆是用来存放动态数据的内存区域，通常是位于保留的虚拟地址空间中的一个区域。堆的物理存储器从内存中分配，在释放时有专门的堆管理器负责对已占用的物理存储器进行回收。应用程序可以使用系统提供的一系列函数来创建自己的堆并对堆中的内存进行管理。

可以说，堆管理是一种重要的动态内存管理机制。随着 Windows 版本不断更迭，微软多年来一直在持续改进堆内存的管理。从 Windows XP 中的 NT Heap，到 Windows Vista 中的 Low Fragmentation Heap，再到 Windows 10的 Segment Heap。在完善用户态堆内存管理的同时，微软也在尝试将堆管理的机制引入内核态，启用了基于堆管理的内核池（Heap Backed Pool），并在 Windows 10版本1903中彻底取代了原来的内核池管理机制，以期能更安全、高效的管理内核内存。

阐述完该主题的背景，张云海详细介绍了内核中堆管理相关的关键数据结构以及内存分配与释放的算法等实现机制。

明确安全机制是寻找攻击面的前提。张云海认为，内核态的堆管理在安全机制方面主要有四个较为突出的点，对链表与红黑树节点的保护、分配一个额外的 Guard Page 页面来防止缓冲区溢出后越过边界改写后续内存、对关键数据进行编码保护、LFH 分配内存的随机化。这些安全机制中依然遗留了一些潜在的攻击面，比如部分关键的数据并没有进行编码保护，通过 SegContext 分配的内存则没有 Guard Page 保护。

张云海表示内核动态内存管理机制的切换，也会影响到内核漏洞的利用，主要集中在三方面：针对内核池元数据的攻击需要重新设计、对内存布局的控制以及对已释放内存的占位都会变得更加困难。

议题最后，张云海简单给出了三个针对 Heap Backed Pool 的利用思路。

打造风险驱动的智能威胁推荐引擎

平台的自动化、智能化水平，正逐渐成为网络空间攻防双方的角力焦点。我们希望得到的，是一个能吞吐海量异构多源数据，快速检测、推理、响应、追踪威胁事件，高度自动化的统一平台及工具集，辅助安全人员进行安全运营、研究和对抗。然而，大数据技术对安全人员而言，不仅带来了机遇，还有数据爆炸和告警疲劳。安全平台汇聚的多源数据规模正快速膨胀，而我们的威胁聚焦能力却在逐渐退化。

张润滋博士认为，风险驱动的智能威胁推荐引擎，是能有效缓解安全运营平台所面临的“信息过载”问题的可选答案。通过构建可解释的威胁推荐系统，自适应提取多维度特征，动态学习专家的风险偏好，构建人机智能协同的闭环，可以在一定程度提升对关键威胁的聚焦，特别是安全运营中告警自动分级、威胁狩猎辅助等关键任务的处理效率。

绿盟科技创新中心天枢实验室高级安全研究员

张润滋博士

安全运营的大数据挑战，是安全运营不容忽视的难关。信息过载带来的遗漏，让真实、特别是未知威胁更难以被及时响应。这就需要基于威胁视角、风险驱动的推荐系统，根据企业的真实风险偏好，帮助企业聚焦那些应该优先处理的安全事项，更合理的分配有限的人力。

据张润滋博士介绍，威胁推荐和我们常见的商品或内容推荐引擎一样是基于对偏好的学习，以及需要倚赖大规模、信噪比低的数据集；但威胁推荐的候选集合是低频但高风险的攻击事件，而且有较强的时间约束，试错成本巨大。

威胁推荐系统的核心是召回引擎、推荐排序引擎以及关键特征解释引擎。

技术实现上，包括通过多层次、多维度的威胁评估系列模型及算法，构建风险驱动的推荐候选特征集合。通过 Wide & Deep经典排序模型，学习专家用户的运营风险偏好，以提升日常运营告警分类分级、红蓝对抗威胁狩猎等关键安全运营任务的处理效率。进一步，针对黑盒机器学习模型缺乏透明性的问题，集成SHAP等可解释模型层，提供关于推荐结果的关键特征标注，支撑人-机交互的闭环流程的构建。

张润滋博士表示，现阶段，在召回引擎方面，更多的是提升覆盖率，倾向于高可解释模型；在推荐排序引擎方面，则是同时需要浅层的记忆与深层的泛化；在解释引擎方面，要求原始特征和推荐算法均可解释。

此外，对于推荐系统的效果评估，张润滋博士建议，应从上至下囊括企业愿景、安全运营目标、数据和分析指标，构建以可运营为导向、针对安全运营层次化目标的指标体系，并介绍了结合企业日常运营和红蓝对抗工作的相关实践成果。

议题最后，张润滋博士从深度交互、实时性、覆盖率、自动化评估与优化、多层次推荐等角度，介绍了威胁推荐领域未来的工作方向。同时，从 AISecOps 支撑安全运营自动化能力提升的角度，进一步展望了打造可信任安全智能，数据、智能驱动安全运营这一技术方向。

结语

无论是天机实验室深入Windows 10内核池的漏洞研究，还是天枢实验室基于 AISecOps 理念的技术实践，这两者无一不体现了绿盟科技对安全研究的深入与创新。

XCon 是一个纯粹的安全技术交流和分享平台。但安全研究的价值要想超越研究本身，还需合理、前瞻性的布局，更要能够快速、准确的向安全产品、安全服务进行能力转化。这是一家有积淀、成熟的安全能力提供商才会有的优势。这也是绿盟科技能够深受客户信赖，成为巨人背后专家的深层次原因。