基于抽象解释的数据迷惑正确性分析

数据迷惑是代码迷惑中重要的一类迷惑变换,在软件保护领域中应用广泛,常被用于防止攻击者对程序进行数据流分析、程序切片等逆向工程攻击。从语义的角度,给出了一种基于抽象解释的数据迷惑正确性的分析方法。首先使用抽象解释理论,从程序语义的角度,对数据迷惑进行形式化描述,用一种语义变换形式化地描述数据迷惑。然后在形式化描述的基础上,由语义变换和语法变换之间的关系,构造得到数据迷惑算法。最后在基于抽象解释的数据迷惑的形式化描述的基础上,对数据迷惑变换的正确性进行分析和讨论。     

基于硬件架构和虚拟化扩展机制的虚拟机自省机制研究

针对现有虚拟机自省技术利用不可信被监控操作系统的内核数据结构在内存中的期望布局及内核函数构建被监控系统语义、无法抵抗直接内核数据结构操纵攻击的问题,对虚拟机自省机制的能力进行全面分析,并对利用虚拟机自省机制可应对的恶意攻击进行分类,提出更具健壮性的基于硬件体系架构和虚拟化扩展机制的虚拟机自省技术,通过硬件体系结构提供的虚拟机自省特性被动地观察与收集被监控系统信息,并利用虚拟硬件扩展机制主动地截获客户虚拟机内部的事件和指令,达到主动监控的目的.描述了基于硬件的虚拟机自省机制在系统调用序列收集与监控上的应用,并进行了效率测试分析.     

基于KVM的Windows虚拟机用户进程防护

为保护Windows虚拟机中进程的内存和系统调用执行路径免受恶意代码的威胁,提出了一种基于KVM的虚拟机用户进程防护方案。结合硬件虚拟化技术,为Windows虚拟机构造一份影子内核以绕过恶意代码对原内核系统调用路径的挂钩,保护进程系统调用路径的安全。同时,在监控代理中过滤跨进程系统调用,在KVM中拦截虚拟机页表切换行为并监控虚拟机断点异常与调试异常,保护进程内存的安全。另外,构造影子监控代理,实现对虚拟机监控代理内存的安全防护。最后,实现了基于KVM的虚拟机用户进程防护系统VMPPS,并对其有效性进行了系统测试与分析。实验结果表明,在性能损失可接受范围内,进程内存与进程系统调用执行路径能够得到有效防护。     

一种优化的跨平台可逆调试器

针对大型软件系统中调试效率低下以及并发程序错误难以重现的问题,设计和实现了基于虚拟技术的可移植优化逆向调试器(PORD)．PORD动态翻译被调试程序的二进制可执行代码,并且在翻译过程中向检查点处植入代码来保存程序运行状态,使程序在执行过程中以增量的形式自动生成状态日志．PORD中集成的功能扩展的GDB远程控制虚拟机,根据检查点的状态日志重建历史执行状态,从而达到逆向执行目的．当被调程序与宿主机有相同的指令集架构时,动态二进制翻译就被优化为直接拷贝执行被调试程序的二进制可执行码,使被调程序能够以接近本地速度的速度执行．实验结果表明,PORD可以为程序提供快速的可移植的逆向调试环境．     

基于影子内存的无代理虚拟机进程防护

为了提高虚拟机中进程的安全性,避免系统调用表SSDT和系统调用执行流被恶意挂钩,提出一种基于影子内存的无代理虚拟机进程防护方案。首先利用VMM的高特权级在虚拟机的非换页内存区透明构建一块影子内存,通过向影子内存透明注入SSDT和跳转函数,构建全新SSDT和系统调用执行流,保证SSDT和系统调用执行流的完整性。通过主动挂钩影子内存中的SSDT,利用硬件虚拟化的自动陷入机制检测进程的敏感行为,在VMM中过滤针对受保护进程的非法操作,实现无代理的进程防护。实验结果表明,该方案可以有效地对虚拟机中指定进程进行防护并过滤大部分的rootkit攻击,对虚拟机性能的影响在3%以下。     

基于虚拟机监控器的类蜜罐实时内存取证

为了解决传统的基于“镜像-分析”的内存取证技术面临的提取内存镜像时间过长及无法有效截获瞬时性内存攻击的问题,提出类蜜罐的实时内存取证方法（RTMF）.利用虚拟机监控器针对性地提取内存片段,对提取的数据进行语义重构,以获得操作系统级语义信息.利用扩展页表机制设置关键内存页面的访问权限,将这些内存页面作为蜜罐;针对蜜罐的违规访问会触发扩展页表故障而陷入虚拟机监控器,实时拦截攻击.结果表明,在发现内存攻击后,RTMF既可记录攻击者对内存的修改历史,又可对攻击者追踪溯源.经微基准测试,该方法引入的性能开销在可接受的范围内.     

基于Java字节码的混淆技术研究

混淆是一种可以用于对移动代码和软件知识产权进行保护的程序变换技术。本文首先介绍了逆向工程和混淆技术原理,然后针对Java语言的跨平台性,对基于Java字节码的混淆算法进行了研究,该方案增加了生成字节码文件的复杂性;增加了抵抗攻击者动态分析的能力,增加了反编译的难度。     

增强本地代码安全性的Android软件保护方法

目前针对Android平台的软件保护大多集中在如何保护Dalvik字节码程序,对于本地代码程序的安全性还没有引起人们足够的重视. 为了阻止攻击者对本地代码的破坏,设计实现了一种Android平台本地代码保护方法. 在原始代码中插入多个冗余数据和完整性校验代码,并且对编译后的程序进行加密,使本地代码具备了抵抗攻击者静态分析和动态篡改的能力. 实验结果表明,该方法可以在攻击者对本地代码进行篡改时及时地发现篡改行为,从而有效地保护Android平台本地代码,增强整个应用软件的安全性.     

因果图增强的APT攻击检测算法

随着信息技术的发展，网络空间也面临着越来越多的安全风险和威胁。网络攻击越来越高级，高级持续性威胁(APT)攻击是最复杂的攻击之一，被现代攻击者普遍采用。传统的基于网络流的统计或机器学习检测方法难以应对复杂且持续的高级持续性威胁攻击。针对高级持续性威胁攻击检测难的问题，提出一种因果图增强的高级持续性威胁攻击检测算法，挖掘网络节点在不同时刻的网络交互过程，用于甄别网络流中攻击过程的恶性数据包。首先，利用因果图对网络数据包序列进行建模，将网络环境的互联网协议(IP)节点之间的数据流关联起来，建立攻击和非攻击行为的上下文序列；然后，将序列数据归一化，使用基于长短期记忆网络的深度学习模型进行序列二分类；最后，基于序列分类结果对原数据包进行恶性甄别。基于DAPT 2020数据集构建了一个新的数据集，所提算法在测试集上的受试者工作特征曲线的曲线下面积(ROC-AUC)指标可达0.948。实验结果表明，基于因果图序列的攻击检测算法具有较显著的优势，是一种可行的基于网络流的高级持续性威胁攻击检测算法。     

融合注意力与卷积的系统调用异常检测

基于系统调用数据是实施主机异常检测的一种有效手段，然而现有检测技术无法有效应对混淆攻击。提出一种融合注意力与卷积的系统调用异常检测模型，能够同时关注到系统调用序列展现的进程全局行为与每一个时间窗口的局部行为。首先，设计了一种混淆攻击数据模拟生成方法解决样本数据不平衡问题，提出基于进程行为特征的序列补齐方法增强系统调用语义特征；其次，融合注意力机制与一维权重卷积网络同时从系统调用序列的全局与局部提取数据特征；最后，基于单一变量原则和交叉验证方式获得最优异常检测模型，进而得到异常检测结果。与其他传统异常检测方法对比得出，所提模型具有更高的准确率(96.6%)和较低的误报率(1.9%),同时此模型具有抵抗混淆攻击的能力。     

基于关键点复用的恶意行为检测方法

针对恶意程序使用反虚拟执行技术,分析人员在虚拟环境中不能检测到恶意行为的问题,提出了基于关键点复用的恶意行为检测方法.首先通过静态分析,检测程序中的反虚拟执行关键点;提取程序动态运行时调用的API函数,并在程序运行至关键点时创建当前快照;最后,当运行至路径结束点时通过关键点复用运行另一路径.实验结果表明,该方法能有效对抗恶意程序采用的反虚拟执行技术,从而检测恶意行为.     

基于虚拟仪器的压铸机实时控制系统的研究

文章设计了一种基于虚拟仪器的压铸机控制系统。其中包括控制方案的确定、硬件的选型及软件框架设计。压铸机控制系统由上、下位机组成,下位机由PLC和工艺参数检测系统构成。上位机软件采用美国NI公司的LabVIEW图形化编程语言,使用数据流编程方法来描述程序的执行。该系统可完成组合逻辑的输入输出控制,且可实时监控压铸机的工作状态及其故障检测,显示合型力、速度等重要参数。该研究对国产压铸机控制系统的升级换代,提高整机性能有着实际工程意义。     

函数Native化的Android APP加固方法

调研动态恢复攻击的逻辑思路和Android APP中函数调用执行流程. 通过对原DEX文件进行重构和加密,将其关键Java函数属性改为Native,并添加壳DEX文件;Android APP启动后首先执行壳DEX文件,然后对原DEX进行解密和动态加载,当调用被保护函数时,保持该函数在内存中的Native属性,通过Hook技术和反射机制隐式恢复并执行原Java函数. 实验和对比分析结果表明,该方法能够在较低资源损耗和无需反编译源码的前提下获取高强度的保护效果,可以有效抵御静态分析攻击、DEX动态恢复和动态脱壳攻击.     

Java程序调用流迷惑技术

提出了一种Java程序迷惑技术,将用户自定义类中的一些方法的代码提取出来,嵌入到对象池中的某个对象的方法中。由于所有位于对象池中的对象都被上溯到它们的基类型,方法多态使得只有在运行时刻才能真正确定到底哪个对象的方法被执行。从而能够显著隐藏程序的调用流程,有效防止静态分析。结合一些增强机制,在一定程度上可以抵御动态分析。实验结果显示,变换后的程序对性能影响很小。     

面向入侵检测的机器学习方法综述

入侵检测方法是基于网络的入侵检测系统的核心,可以是基于特征的,也可以是基于异常的。基于特征的检测方法具有较高的检测率,但不能检测到未知新型攻击;基于异常的检测方法可以检测到新型攻击,但误报率较高。为了降低入侵检测的误报率并提高其检测率,许多机器学习技术被应用到入侵检测系统中。通过对大量带有入侵数据训练样本的学习,构建了一个用于区分正常状态和入侵状态的入侵检测模型。针对目前入侵检测系统存在的高误报率、低检测速度和低检测率等问题,对机器学习技术在入侵检测系统中的的优势、系统检测的通用数据集以及系统评估指标进行了详细阐述,并对未来研究趋势进行了展望。     

使用虚拟机技术搭建网络安全教学的平台

为了提高网络安全课程的教学效果，引入虚拟机技术，并介绍虚拟机软件VMware的安装和使用，在单机上搭建虚拟网络环境，模拟网络安全攻击和防范，从而提升理论课和实践课的教学效果。并在文中分析了虚拟机技术作为一种新的教学辅助手段在计算机网络辅助教学中的应用前景。     

云环境下的“云滴冻结”攻击

根据云计算环境下服务器集群部署的特征,提出一种新型的、实用的分布式拒绝服务攻击模型--“云滴冻结”攻击．实验表明,攻击者可通过控制受感染的僵尸虚拟机发动该攻击,不仅使云服务器集群的内部网络带宽产生严重的拥塞,而且极大地消耗了物理主机的内存和CPU等资源．该攻击通过非法占用原本分配给合法虚拟机的资源,从而达到拒绝服务的效果．通过量化分析攻击原理,结合传统拒绝服务攻击和防御相关技术,讨论了防御“云滴冻结”攻击的思路．