权威国防科技信息门户
国防科技大数据智能情报平台
生产力促进中心会员招募
国防科技生产力促进中心
国外国防科技文献资料快报
公告:
国防科技生产力促进中心网上会员入会邀请函   国防科技工业准入渠道、申办程序取证务实培训班通知   DSTI推出国防军工单位电子邮件服务,特别优惠中   DSTIS国防军工信息资源内网服务系统2013年征订开始   下载黄页企业会员登记表 成为国防科技信息网会员  
美国防先期研究计划局寻求解决复杂软件生态系统的“零日”漏洞
2018-04-23


[据军用嵌入式网站2018422日报道]  美国国防先期研究计划局(DARPA)信息创新办公室(I2O)官员启动“计算机和人类开发软件安全”(CHESS)项目,旨在通过实现人类和计算机协同推理软件工件,开发能够以适合的速度和规模发现和解决日益增长的复杂软件生态系统“零日”漏洞的能力。



该项目设想从人为驱动的手动过程转变为基于先进的人-机协作的过程,为更广泛的技术或潜在非技术专家创造机会,以协助探测和修复已知和新出现的威胁。



信息创新办公室的CHESS项目经理Dustin Fraze表示,“工业界、政府和学术界中拥有相对较少的有技能黑客,加上当前自动化项目分析能力的局限性,使得将漏洞探测和修复扩展到当今软件环境所需的水平变得非常困难。通过CHESS项目,我们寻求将黑客专业知识收集、理解和转化为自动化分析技巧,更容易被技术人员广泛获取。通过允许更多的个人为该过程作出贡献,我们正在创建一种远远超出当前限制的方法来扩展漏洞检测。”



CHESS项目官员正在寻求跨越五个技术领域的创新提案。通过这些工作,该项目计划研究快速漏洞检测的新方法,重点在于识别需要人工协助的系统信息差距,生成适合于人类合作者的这些差距表征,捕获人类洞察并将其集成到分析过程中,并最终合成基于协作分析的软件补丁。



在第一个技术领域,研究团队将专注于捕获和分析黑客用来推断软件工件的流程——例如源代码和编译后的二进制文件。利用收集到的洞察,研究人员将为开发高效通信和其他人机交互的新形式奠定基础。



致力于第二技术领域的实施者将寻求开发能够在源代码和编译后的二进制文件中发现和修补指定漏洞类别的技术。通过这一过程,他们还将识别漏洞分析缺失但相关的信息——或信息差距——可通过在第一技术领域发现的人为洞察来解决。这两个技术领域的研究工作将高度协作,目标是创建一个易于被计算机和人类理解的漏洞检测系统。



Fraze表示,“人类具有世界知识,以及语义和语境理解,这些理解超出了自动化程序分析的范围。这些信息差距阻碍了机器对许多类软件漏洞的理解。通过适当的沟通,人类洞察力可以填补这些信息差距,并在机器速度下实现专家黑客级漏洞分析。”



第三和第四个技术领域侧重于为前两个技术领域创建的协作式人机/计算机技术创建测试和评估标准。这些领域将着眼于预先确定的一组感兴趣的漏洞类别,以创建一组真实的测试问题,以及目前最先进的漏洞检测工具和技术来创建测量基准。最后的技术领域将管理评估、集成,并寻求将最终解决方案过渡到政府和/或商业合作伙伴。



CHESS项目为期42个月,分三个阶段实施,第一个阶段18个月,第二、第三个阶段分别为12个月。每个阶段将着重于增加CHESS系统能够有效分析的应用程序复杂性。(工业和信息化部电子第一研究所  宋文文)



相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天工程咨询中心 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
DSTI简介 | 大事记 | 网站动态 | 产品介绍 | 广告服务 | 客户服务 | 联系方式 | 共建单位 | 合作媒体  
国防科技信息网 dsti.net © 2006 - 2018 版权所有 京ICP备10013389号