一种在不可信操作系统内核中高效保护应用程序的方法

在现代操作系统中,内核运行在最高特权层,管理底层硬件并向上层应用程序提供系统服务,因而安全敏感的应用程序很容易受到来自底层不可信内核的攻击.提出了一种在不可信操作系统内核中保护应用程序的方法AppFort.针对现有方法的高开销问题,AppFort结合x86硬件机制(操作数地址长度)、内核代码完整性保护和内核控制流完整性保护,对不可信内核的硬件操作和软件行为进行截获和验证,从而高效地保证应用程序的内存、控制流和文件I/O安全.实验结果表明:AppFort的开销极小,与现有工作相比明显提高了性能.     

基于RTEMS的实时进程设计与实现

以嵌入式实时操作系统RTEMS为原型设计实现了实时进程.将RTEMS操作系统内核与应用程序隔离,使二者运行在不同的特权级别下,应用程序的错误不会导致操作系统崩溃,从而提高了整个系统的可靠;同时对内核内存管理和地址映射机制进优化,保证原有系统的性能.从系统的可靠性、实时性以及设计实现的复杂性等方面进行试验和分析,试验结果表明,实时进程的设计与实现提高了系统可靠性,并且能够保证原有系统实时性和简单性.     

基于数据特征的内核恶意软件检测

内核恶意软件对操作系统的安全造成了严重威胁.现有的内核恶意软件检测方法主要从代码角度出发,无法检测代码复用、代码混淆攻击,且少量检测数据篡改攻击的方法因不变量特征有限导致检测能力受限.针对这些问题,提出了一种基于数据特征的内核恶意软件检测方法,通过分析内核运行过程中内核数据对象的访问过程,构建了内核数据对象访问模型;然后,基于该模型讨论了构建数据特征的过程,采用动态监控和静态分析相结合的方法识别内核数据对象,利用EPT监控内存访问操作构建数据特征;最后讨论了基于数据特征的内核恶意软件检测算法.在此基础上,实现了内核恶意软件检测原型系统MDS-DCB,并通过实验评测MDS-DCB的有效性和性能.实验结果表明：MDS-DCB能够有效检测内核恶意软件,且性能开销在可接受的范围内.     

面向物联网设备安全的多层次内核访问控制方法

物联网设备受能耗、计算能力等因素限制, 通常采用轻量化的操作系统以及精简化的安全保护机制, 导致物联网设备的操作系统安全保护能力不足, 更容易被用户态程序攻破。为了增强操作系统的隔离能力, 现有的安全保护方法通常限制应用程序可访问的系统调用种类, 使其仅能访问运行所必须的系统调用, 从而缩小操作系统的攻击面。然而, 现有的动态或者静态程序分析方法无法准确获取目标程序运行所依赖的系统调用。动态跟踪方法通过跟踪程序执行过程中触发的系统调用, 仅能获取程序依赖系统调用的子集, 以此作为依据的访问控制可能会影响程序的正常执行。而静态分析方法通常构造程序及其依赖库的控制流图并分析其可达的系统调用, 然而由于静态分析无法精准构建控制流图, 仅能获取目标程序依赖系统调用的超集, 会在访问控制中引入多余的系统调用, 造成操作系统攻击面依然较大。针对现有系统调用访问控制面临的可用性以及精准度问题, 研究多层次的内核访问控制方法, 在现有系统调用访问控制的基础上, 引入了动态链接库的访问控制, 并提出了多层联动的动态安全分析机制, 以动态分析的方法排除由于静态分析不准确引入的额外系统调用, 从而进一步缩小物联网系统的攻击面, 提升物联网设备的隔离能力与安全性。实验结果表明, 相比于现有内核访问控制方法, 本文提出的方法能够抵御更多漏洞而且引入的实时负载更低。     

一种LINUX系统下隔离设备驱动故障的方法

设备驱动程序相对操作系统内核更容易产生错误,也是引发内核故障的主要原因.本文通过分析Linux操作系统的结构特点提出了一种实现对设备驱动程序中的错误进行隔离,使其不影响操作系统内核正常工作的方法.并讨论了其中内存保护,信息交互控制等功能的实现方式.     

基于符号执行的内核级Rootkit静态检测

Rootkit是攻击者用来隐藏踪迹和保留访问权限的工具集.加载入系统内核的内核级Rootkit使得操作系统本身变得不可信任,造成极大安全隐患.构建了一个完整的通过静态分析检测内核级Rootkit的模型,构造了描述Rootkit行为的普遍适用的定义并证明了其充分必要性,采用符号执行法进行静态分析,利用污点传播机制,针对模型特点对分析过程进行优化.基于这个模型的内核级Rootkit检测具有高准确性和较好的前瞻性.     

KFUR:一个新型内核扩展安全模型

保障内核扩展的安全性对操作系统具有重要意义.当前存在大量针对内核函数使用规则的攻击,内核扩展中也存在大量违反内核函数使用规则的错误,因此针对内核函数使用规则的安全性检测十分必要.虽然存在多种提高内核扩展安全性的方法,但很少有方法对内核函数的使用规则进行安全性检测.文中设计了KFUR( Kernel Function Usage Rule)内核扩展安全模型系统,用于在运行时检测内核扩展调用内核函数是否遵守内核函数使用规则.如果内核扩展调用内核函数满足模型安全运行条件,则允许对该内核函数进行调用,否则将错误报告给操作系统内核并终止该内核扩展的运行.文中所述研究在Iinux操作系统上对KFUR安全模型系统进行实现,并将其运用于e1000网卡驱动、SATA硬盘驱动和HDA声卡驱动内核扩展.安全性评测表明安全模型系统能够对内核函数使用规则进行安全性检测,性能评测表明安全模型系统带来的开销很小.     

一种基于属性的操作系统内核自动验证方法

传统的模型检测摒除了很多软件实现细节,要检测实际的代码,就需要从代码中直接建立抽象描述.而操作系统内核结构复杂,手动对源代码进行抽象存在建模工作量大、人工参与过多易出错以及属性难以描述和检测等问题.本文以Linux内核作为实验对象,提出了一种基于属性的OS内核自动验证方法,利用模型抽取工具Modex自动的从inux内核源代码抽取模型,试图保证模型与实现代码一致性的同时减少因人工参与产生的人为错误,然后用时间轴属性来描述属性,最后用模型检测工具Spin对Linux内核代码模型进行检测.实验选取了Linux内核中接口和数据结构相对复杂的调度器进行模型的自动抽取与属性检测,验证了该方法在操作系统内核模型检测中的有效性和实用性.     

基于国产平台的虚拟化操作系统架构研究及其实现

高性能计算操作系统面临独特的需求与挑战,这些需求与挑战涵盖并发与高效、系统弹性与容错、异构性、I/O和访存带宽、低噪等诸多方面。传统宏内核操作系统并不能完全满足HPC领域的独特需求,因而需要为HPC定制操作系统。提出虚拟化操作系统架构,该架构主要包含两部分：（1）虚拟机监视器与轻量级内核相结合的虚拟化操作系统架构;（2）支持分时复用虚拟机与空间分割虚拟机相结合的虚拟机监视器架构。在国产平台上设计并实现了一个简单的系统原型Hypervk,说明了上述架构的可行性。初步的实验结果表明,系统具有较好的效率、低噪特性与可行性,在一定程度上可以满足HPC操作系统独特的需求。     

一种通用的嵌入式操作系统内存保护设计

详细介绍了一种基于分页机制的嵌入式操作系统内存保护技术,主要对应用程序和操作系统内核的域进行保护,该设计简单,且具有通用性,能适用不同体系结构的CPU,也能在现有操作系统中使用,最后用示例简单介绍了移植方法。     

Surveying concurrency bug detectors based on types of detected bugs

Concurrency bugs widely exist in concurrent programs and have caused severe failures in the real world. Researchers have made significant progress in detecting concurrency bugs, which improves software reliability. In this paper, we survey the most up-to-date and well-known concurrency bug detectors. We categorize the existing detectors based on the types of concurrency bugs. Consequently, we analyze data race detectors, atomicity violation detectors, order violation detectors, and deadlock detectors, respectively. We also discuss some other techniques which are mostly related to concurrency bug detection, including schedule bounding techniques, interleaving optimizing techniques, path expanding techniques, and deterministic replay techniques. Additionally, we statistically analyze the reviewed detectors and get some interesting findings, for instance, nearly 86% of previous detectors focus on data races and atomicity violations, and dynamic approaches are popular (74%). We also discuss the limitations of previous detectors, finding that 91% of previous detectors suffer from false negatives and 64% of previous detectors suffer from runtime overhead. Based on the reviewed detectors and statistical analysis, we conclude some future research directions, including accuracy, performance, applicability, and integrality.     

使用共享变量分析和约束求解检测安卓应用数据竞争

安卓系统在移动端操作系统始终占据主导地位,在增强用户体验和提高程序性能的同时,其特有的事件驱动模型和多线程模型也造成了并发缺陷.并发程序中,线程调度的不确定性和难以再现性是并发缺陷检测困难的原因.现有技术主要在动态生成执行路径的基础上进行发生序（happens-before）分析,进而检测安卓应用的并发缺陷,但仍然存在低覆盖率、误报、漏报等问题.结合共享变量分析和约束求解方法实现了安卓应用数据竞争的检测,并实现了检测工具RaceDetector.该工具首先根据安卓系统的特性和数据竞争的定义,通过静态分析抽取相关信息,并进一步使用安卓共享变量分析来提高准确性和性能,继而进行可疑数据竞争分析,得出可疑的数据竞争集合;接着根据每一个可疑的数据竞争候选者,通过约束求解的方法在所有事件调度和线程调度解空间下识别发生序关系,并最终检测出真正的数据竞争.实验部分是从Google Play等来源收集了15个流行的应用APK文件作为数据集,RaceDetector平均报告了340个数据竞争,误报率为13%（44/340）.与现有工具EventRacer（默认产生300随机事件触发应用执行,平均检测2个有害数据竞争）相比,RaceDetector能够解析全部源码,覆盖了所有线程调度和事件调度,平均检测出15个有害数据竞争.     

运用变异测试的并行程序测试用例最小化算法

在并行程序测试中,测试输入和线程交互时序是影响并行错误检测的两个关键因素。以缩减并行错误检测的输入空间为目标,给出一种基于变异测试的测试用例最小化算法。首先对并行程序进行研究,选取与并行错误密切相关的9个变异算子,并以此为基础为待测程序生成多种变异体;采用JPF作为线程调度工具来执行测试用例,根据变异评分与平均时间成本对测试用例进行排序,在优化后的测试用例集中选取检测能力不重复的测试用例,从而得到面向并行错误检测的最小测试用例集。实验结果证明,该方法能有效减小测试用例集的规模,并大幅缩短运行时间,从而提高了并行程序的测试效率。     

Debugging Concurrent Software: Advances and Challenges

Concurrency debugging is an extremely important yet challenging problem that has been hampering developer productivity and software reliability in the multicore era. We have worked on this problem in the past eight years and have developed several effective methods and automated tools for helping developers debugging shared memory concurrent programs. This article discusses challenges in concurrency debugging and summarizes our research contributions in four important directions: concurrency bug reproduction, detection, understanding, and fixing. It also discusses other recent advances in tackling these challenges.     

On the Dynamic Semantics and the Timing Behavior of Ravenscar Kernels

Mature research advances in scheduling theory show that carefully-crafted concurrent computational models permit static analysis of real-time behavior. This evidence enables designers to consider using suitable forms of explicit concurrency to model the inherent concurrency of real-time systems. The Ravenscar Profile, a specifically tailored subset of the Ada 95 tasking model, defines a compact and efficient concurrent computational model, especially suited for the development of high integrity, high efficiency real-time systems.Ravenscar runtimes can be implemented by small, efficient, reliable and certifiable kernels. At least two such implementations already exist and are being industrially deployed. The simplicity and intrinsic determinism of Ravenscar kernels facilitate the definition of metrics that cater for very accurate characterization of the dynamic behavior of the runtime and of the execution time of its primitives. Accurate runtime metrics enable forms of response time analysis that minimize the pessimism in the prediction of the runtime influence on the application. This is especially useful for concurrent systems that exhibit significant dependency on runtime support services. This paper recalls the motivations of the Ravenscar Profile, outlines the definition of it and formulates a precise characterisation of the associated runtime metrics.     

基于变量访问序模式的中断数据竞争检测方法

在航天嵌入式软件等中断驱动型软件中,中断数据竞争问题十分突出.然而中断在并发语义、同步机制、调度机制等方面与线程（任务）有诸多不同,具有Ad-hoc特征,难以统一刻画,因此主流的数据竞争检测方法并不适用.以航天嵌入式软件数据竞争案例库为基础进行了系统分析,提出刻画有害中断数据竞争的7种缺陷模式.针对其中最常见且最难解决的单变量访问序模式,基于抽象解释提出一种支持过程间分析、中断并发分析的高效检测方法.设计并实现了相应的检测工具SpaceDRC.实验表明,SpaceDRC能够在145毫秒内检测出约21400行程序中的真实数据竞争.SpaceDRC已经在多个航天重点型号中进行了应用,使得中断数据竞争专项分析的效率提高了至少5倍,并且降低了问题遗漏率.     

基于动态和静态分析的单体应用FaaS改造方法

作为Serverless架构的一种典型形态,函数即服务（function as a service,FaaS）架构将业务抽象为细粒度的函数,并且提供弹性的自动伸缩等自动化运维功能,能够大幅降低运维成本.当前,许多在线服务系统中的一些高并发、高可用、灵活多变的业务（如支付、红包等）都已经迁移到了FaaS平台上,但是大量传统单体应用还是难以利用FaaS架构的优势.针对这一问题,提出了一种基于动态和静态分析的单体应用FaaS改造方法.该方法针对指定的单体应用API,通过动态分析和静态分析相结合的方式识别并剥离其实现代码和依赖,然后按照函数模板完成代码重构.针对函数在高并发场景下的冷启动问题,该方法利用基于IO多路复用的主从多线程Reactor模型优化了函数模板,提高了单个函数实例的并发处理能力.基于该方法实现了针对Java语言的原型工具Codext,在开源Serverless平台OpenFaaS上,面向4个开源单体系统进行了实验验证.     

面向开源源码大数据的数据质量研究

基于开源源码大数据进行代码生成、缺陷预测等是当前智能化软件开发方法与技术的重要研究内容。然而现有的关注点主要聚焦于各种推荐、预测等智能算法的研究,较少对研究所使用数据的质量进行评估与分析。大部分智能化软件开发研究的数据来源于开源数据托管平台,受限于开发者自身水平,它们并不能保证都具有较高质量。根据"garbage in,garbage out",这会影响最终结果质量。源码数据的质量对相关的研究有重要影响,却没有得到足够的重视。针对上述问题,提出了一种面向开源源码大数据的方法块数据质量评估方法。首先研究如何定义和评估GitHub上抽取的源码的数据质量问题,然后对开源源码从不同维度进行质量评估。通过该源码数据质量评估方法可以帮助相关研究人员构建具有更高质量的数据集,进而提高智能化相关研究,比如代码生成、缺陷预测等的结果质量。     

基于事件结构的并发程序可视化调试方法

在多核和并发技术得到广泛应用的今天,如何有效地调试并发程序,成为一个重要且亟待解决的研究课题.并发程序的不确定性及其行为的复杂性,使得传统的调试技术难以得到有效的应用;而软件维护场景中错误发现与错误调试过程的分离使得错误重现难以实现,面向缺陷报告的调试需求使得自动的错误定位技术难以应用,加剧了调试的困难.针对软件维护阶段由缺陷报告导向的程序调试场景,提出了可视化的并发程序调试方法.该方法能够根据缺陷报告中的信息对程序进行切片,缩小需要分析的代码范围;通过静态分析构造出程序行为的全局视图,帮助程序员发现隐含的程序执行路径;根据事件结构的语义简化程序行为视图,使得行为模型规模可控;根据图形中的分支,引导用户关注路径中的关键操作,从而更快地发现程序中的缺陷.与动态调试方法相比,该方法能够避免错误重现的代价.借助缺陷报告中的信息以及事件结构模型的特点,该方法能够尽量减少状态爆炸的发生.已开发出的交互式并发程序调试工具原型JESVis Debugger,初步实现了所提出的方法.     

Detection and classification of non-linearities based on Volterra kernels processing

Modelling and identification of the real systems, which are more or less non-linear, are important activities not only for scientific research but also for real-time applications like fault detection and compensation. In this paper the non-linear system is defined by a serial combination of a linear part followed by a variable static parameterised non-linearity. A structure to detect and classify some non-linearities based on Volterra kernels is proposed. Such kernels can be estimated from the I–O measurements of the system under study. Processing Volterra kernels means estimation followed by classification. Mainly artificial neural networks to obtain a fast answer process the Volterra kernels. The neural methods and the detection structure can be developed to study more complicated non-linear models for fault detection purposes and structural identification of complex non-linear systems. The feasibility of the method is demonstrated using a simulated example.