浙江大学百人计划研究员申文博:容器场景下的内核安全

已于 2022-06-22 19:25:16 修改
阅读量1.9k 收藏 3
点赞数
文章标签: 安全 java 开发语言 云原生 微服务
于 2022-06-22 19:24:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46700908/article/details/125415176
版权
浙江大学百人计划研究员、博士生导师申文博以内核传统攻击和防护演化为切入,分享了容器给内核安全带来的新挑战——抽象资源攻击和内存计数问题。
摘要由CSDN通过智能技术生成

嘉宾 | 申文博 整理 | 哪吒

出品 | CSDN云原生

2022年6月7日,在CSDN云原生系列在线峰会第7期“安全技术峰会”上,浙江大学百人计划研究员、博士生导师申文博以内核传统攻击和防护演化为切入,分享了容器给内核安全带来的新挑战——抽象资源攻击和内存计数问题。

据统计,2008-2019年,Linux内核代码量急剧增长,到2019年已超过2300万行,而最新统计数据显示,Linux内核代码量更是将近2800万行。

与此同时,Linux只是Android生态的一部分,在Linux内核之上,还有HAL、Runtime、Framework、Applications等多层。

我们知道,代码量跟Bug数量或者跟漏洞数量成正比,也就是说,代码量越多,Bug数量、漏洞数量也会越大。这些漏洞往往会被攻击者利用,产生新型的攻击。

同时,新型的攻击又催生了新型的防护,所以对操作系统内核的攻防是在不断的对抗中演化升级的,可谓没有绝对安全的系统,也没有绝对强的攻击手段。

内核传统攻击和防护演化

攻防一般围绕着代码注入、代码重用、数据攻击进行对抗。下图展示的是内核攻击和防护的演化历程。

代码注入攻防

通过内核漏洞

  • 篡改已有代码text section

  • 注入新的代码

最低0.47元/天 解锁文章
CSDN云原生
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
容器安全指南.pdf
09-02
NIST-800-190 应用容器安全指南(中文版)。独自翻译了英文版,欢迎大家提出建议。应用容器技术,也称为容器,是操作系统虚拟化与应用程序软件打包结合的一种形式。容器提供了一种打包,运行应用程序的便携式,可重用和自动化方式
容器安全技术其它内核安全机制
m0_73803866的博客
10-12 202
各个环节的等待时间,减少了很多重复性、手工性的工作,使得解决问题的成本明 显降低,提高了敏捷开发的效率。CGroups 虽然不能实现容器间的隔离,但是其对资源的审计和限制,对于缓解拒绝服务攻击有着重要的作用, 尤其是像公有云和私有云的 PaaS 服务在面对多租户时,保证每个租户容器的正常运行,防止恶意租户滥用资源。从传统的单体应用到微服务应用,安全一直是人们关注的热点,传统的单体应用由于暴露服务端口少,攻击 面较为单一,安全人员也知道常见的攻击点,所以做好相应的防护即可解决大部分问题。
通过代码重用攻击绕过现代XSS防御
最新发布
白帽子佳奇的博客
05-28 641
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。
linux内核 攻击,安全详解:如何清理Linux内核被攻击现象
weixin_32380501的博客
04-30 198
处理Linux内核安全,对于电脑用户来说,Windows的强大功能服务了广大用户,不过Windows安全问题还是让很多人头疼,所以很多人开始应用Linux,不过Linux内核安全也不知大疏忽,今天就讲讲Linux内核安全问题清理。Windows的安全问题比谷仓里的跳蚤还要多,但Linux也未必就对自身的安全漏洞免疫。最近有两个明显的bug被发现,不过很快就修好了。为了保证你不受困扰,你需要尽快地为...
【论文总结】针对操作系统级虚拟化的抽象资源攻击
Ohh24的博客
04-10 722
这篇论文揭示了一种操作系统级虚拟化的固有问题-共享内核变量和数据结构。和物理资源(CPU,内存)相比,这些内核变量和数据结构也被称为抽象资源。基于这些共享抽象资源,该论文提出一种新型攻击 - 抽象资源攻击。
NPCon 2023 容器与微服务实践峰会(上海站)圆满落幕!
CSDN资讯
12-20 946
12月16日,由 CSDN、《新程序员》、腾讯云联合主办的 NPCon 2023 容器与微服务实践峰会在上海召开。邀请腾讯云原生产品中心调度负责人赵贇,浙江大学网络空间安全学院研究员、博士生导师申文博,CSA云原生技术专家申屠鹏会,EMQX 云原生工程师张奇怪 4 位大咖,在 CSDN 上海站主理人陈政的主持下,深入解析容器与微服务的新技术、新应用、新实践,紧贴数字时代脉搏,共同探索未来技术发展之...
文博“顶流”讲解员白雪松:让人甘心“放弃李佳琦”
08-19
8. 教育与娱乐的结合:白雪松的讲解方式寓教于乐,使得文博知识更加亲民,符合现代人快节奏生活下对知识获取的需求,这种模式对于教育领域有借鉴意义。 9. 个人素养与职业发展:讲解员的专业素养、广博的知识和良好...
2021年贵州大学348文博综合考研真题
10-29
4. 贵州大学文博专业:贵州大学作为一所综合性大学,其文博专业可能结合了地域文化特色,对考生在地方历史、民族文化遗产方面的知识有所要求。考生在准备此类考研时,除了掌握通用的文博知识,还需要关注与贵州地域...
2013-2021年西北大学348文博综合考研真题
08-03
【西北大学348文博综合考研真题详解】 在准备西北大学的348文博综合考试时,历年真题是极其宝贵的参考资料。这份压缩包文件包含了2013年至2021年的全部考研真题,对于考生来说,它们提供了了解考试模式、题型分布、...
2018年山东大学348文博综合考研真题
12-21
【山东大学348文博综合考研真题详解】 山东大学作为国内知名高校,其文博专业在学术界享有很高的声誉。348文博综合是该校文博硕士研究生入学考试的专业科目,旨在全面考察考生对文博领域的理论知识、实践技能及分析...
2020-2021年辽宁大学348文博综合考研真题
09-01
"2020-2021年辽宁大学348文博综合考研真题" 是一个明确的主题,它涉及到的是辽宁大学研究生入学考试中,文博综合科目在过去两年间的实际试题。这通常包括了考古学、博物馆学、文化遗产保护等相关领域的知识考察,...
面向循环的编程:一种新的代码重用攻击以绕过现代防御
03-12
面向循环的编程:一种新的代码重用攻击以绕过现代防御
【软件与系统安全笔记】五、内存破坏防御
框架科工:Framecraft
09-12 1223
这是《【软件与系统安全】笔记与期末复习》系列中的一篇
攻防对抗形势下代码重用技术的演进
CSDNDi_Di的博客
03-17 451
动态构建、生成gadget的方式和内存在线分析的方法都是动态代码重用, 前者侧重于动态获悉已加载模块的内存分布, 后者侧重于动态生成所需的代码片段, 取消了对程序内存中其他模块的依赖性.具体来说, 在动态构建、生成所需gadget方面, 2015年, Athanasakis等人提出通过定义特定的常量, 使得浏览器中的JIT引擎动态生成所需的代码片段.此类代码片段具有较易定位的特点, 并且能够绕过当前绝大多数防御机制, 因此, 可以更加有效地用于代码重用攻击[
代码重用攻击及ROP攻击
security²-卢鸿波-安全二次方
04-08 197
什么是代码重用攻击?什么是ROP攻击?区别与联系?
软件作为信息系统的关键组成和代码重用攻击的防护
CSDNDi_Di的博客
03-17 334
软件作为信息系统的关键组成, 控制着计算机系统设备的工作方式, 其安全性关系到整个信息系统的安全、可靠和稳定.而软件作为人类智力活动的表达和产物, 在其规模和复杂程度迅速增长的同时, 就不可避免地存在漏洞(和缺陷)[1-3].在当前严峻的网络空间(cyberspace)安全形势下, 软件漏洞以其高威胁、难防御、普遍存在等特点, 被作为一种战略资源, 广泛用于攻防博弈中[4-6].而本文则是在当前系统架构和软件生态环境下, 从攻击和防护两个角度对软件漏洞利用中的二进制代码重用关键技术展开探讨和研究. 自19
代码重用攻击及栈溢出攻击
security²-卢鸿波-安全二次方
04-02 142
什么是栈溢出攻击?什么是代码重用攻击?区别与联系?
COOP绕过微软最新CFG(Control Flow Guard)
u012679087的专栏
11-16 2041
原文链接:https://bbs.pediy.com/thread-217335.htm 最新的漏洞利用开始渐渐脱离基于ROP的代码重用攻击。在过去的两年里,出现了一些关于一种新的代码重用攻击的文章,Counterfeit Object-Oriented Programming(COOP)。COOP是一种顶级的针对forward-edge的执行流完整性(CFI) 的攻击方式。
云计算安全:架构优化与挑战应对
本文作者林闯、苏文博、孟坤和刘渠等人,作为清华大学计算机科学与技术系的研究者,他们结合各自的专业背景——林闯教授在计算机网络、系统性能评价和安全分析等领域具有深厚积累,而其他几位研究人员分别在云计算...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值