26年首次！阿里獨創(chuàng )內核漏洞檢測法獲國際認可：打破國內零記錄

近日，全球安全學(xué)術(shù)頂會(huì )Computer and Communications Security（美國計算機學(xué)會(huì )旗下計算機與通信安全會(huì )議，下稱(chēng)“CCS”），將阿里安全的“內核漏洞檢測方法”列入其論文收錄庫。這是CCS舉辦26年以來(lái)，中國互聯(lián)網(wǎng)企業(yè)投中的第一篇論文。

計算機操作系統分為應用層和內核。如果內核存在漏洞，對整個(gè)系統的影響可能是毀滅性的。如果將內核比做一棟房子，阿里安全獨創(chuàng )的“內核漏洞檢測方法”，可以快速發(fā)現這棟房子上的細微裂縫，防患于未然。

正是憑借短時(shí)間內即發(fā)現34個(gè)內核信息泄露，并獲得微軟20個(gè)CVE（公共漏洞披露）確認的超強成績(jì)單，“內核漏洞檢測方法”得以通過(guò)層層評審獲得組委會(huì )認可。

業(yè)內人士指出，相比每年工業(yè)界頂會(huì )國內公司數十次中稿，歷年學(xué)術(shù)頂會(huì )，企業(yè)中稿數基本為零，難度可見(jiàn)一斑。

阿里安全獨創(chuàng )的內核漏洞檢測方法示意圖，可檢測隱蔽性最高的內核漏洞

漏洞一直是基礎軟件廠(chǎng)商們頭痛卻又未能有良好解法的安全隱患。2014年，OpenSSL的心臟滴血（CVE-2014-0160）漏洞，造成了很多操作系統的用戶(hù)密鑰及個(gè)人隱私等嚴重泄漏，并持續發(fā)酵蔓延，一度引發(fā)全球恐慌。

阿里安全獵戶(hù)座實(shí)驗室資深安全專(zhuān)家修謨指出，“內核漏洞檢測方法”的原理是通過(guò)多次執行程序指令流并記錄結果的方式，以差分方法檢測未初始化變量，進(jìn)而發(fā)現是否存在內核信息泄漏這一高危安全問(wèn)題。

 “我們的檢測方法，已經(jīng)在Windows 7和Windows 10(x86/x64)系統上進(jìn)行了驗證，并提交給微軟進(jìn)行了修復，從準確性、性能、問(wèn)題定位能力等方面，都超過(guò)了谷歌Project Zero團隊提出的Bochspwn漏洞挖掘技術(shù)，可有效提升操作系統安全性?！?阿里安全獵戶(hù)座實(shí)驗室負責人杭特稱(chēng)。

“今年3月，我們獨創(chuàng )的業(yè)界首個(gè)‘公開(kāi)可驗證（PVC）’安全兩方計算方案也被歐洲密碼學(xué)頂會(huì )收錄，連續兩次創(chuàng )下國內互聯(lián)網(wǎng)企業(yè)首次，足以說(shuō)明阿里安全技術(shù)已達到全球頂尖的技術(shù)水準，也將引領(lǐng)全球技術(shù)風(fēng)向?！卑⒗锇踩夹g(shù)負責人錢(qián)磊表示。