Android框架层完整性度量方案

长期以来Android系统一直是黑客攻击的主要目标之一,自发布以来一直面临着root、镜像篡改、恶意程序等安全风险,框架层是在系统安全中容易被忽视但又能产生极高的安全风险.本文分析了Android系统中框架层的表现形式和框架层的使用方式,针对框架层特点提出了一种框架层完整性度量方法（FIMM）,以此保障Android系统框架层代码完整性和运行时的完整性.对于Android系统针对框架层组件完整性保护的缺失,该方法能提供框架层组件在加载时的完整性度量和完整性校验.而对于Android的系统服务,我们考虑到其较长的运行周期的特征,于是研究了系统服务的调用过程并为其提供了较为细粒度的动态度量,在每次系统服务调用时确认系统服务进程代码段的完整性.最后我们给出了基于Android模拟器的原型系统的实现,并分析了FIMM的安全性和性能损耗,认为FIMM能完全达到我们的安全预期,并且只会造成少量的性能损耗.     

并行分类信任链传递模型

目前的信任链传递模型在解决应用层的信任传递问题上采用串行完整性度量方案,增加了系统的时间开销,影响系统效率。论文提出了一种新的信任链传递模型,该模型利用虚拟化技术提出并行分类完整性度量方法,降低了应用层可信传递过程中的完整性度量时间开销,同时用户也可以根据自己的需求决定是否允许应用程序运行;通过对所提模型的形式化验证,表明新模型满足可信传递需求。     

开放网络环境完整性按需度量模型

完整性度量是可信计算的关键问题之一.首先分析了目前研究成果在开放网络环境下存在的问题及其原因.提出了一种开放网络环境下完整性按需度量模型.该模型由度量请求者根据具体要求定制完整性度量策略,完整性度量策略由程序指令度量策略和数据流度量策略组成,度量响应者根据度量策略来度量自身组件的完整性,并为每个度量请求构造相应的可信链实例.该模型动态地度量完整性,改善了度量结果的新鲜性,兼顾软件代码和用户数据的完整性度量,克服了度量目标的片面性.在该模型的基础上实现了远程证明及其原型系统.并在流媒体服务网络中进行实验测试,实验结果表明该模型以较低的资源开销解决了存在的问题,能够适应开放网络环境下完整性度量的要求.     

一种借助系统调用实现基于信息流的完整性度量的方法

提出一种借助系统调用实现基于信息流的完整性度量的方法。该方法将度量过程分为离线阶段和运行阶段。在离线阶段,软件执行的系统调用被监控和记录,结合系统调用和信息流的关系抽象出软件的信息流基准值。在运行阶段,分析软件运行时的系统调用信息,获得软件运行时的信息流,根据信息流基准值检查软件的信息流是否出现异常,度量软件的完整性。为了验证方法的可行性,文章以Apache服务器为例,实现该方法的原型系统。实验表明该方法能够发现软件运行时完整性被破坏而出现的异常信息流。     

基于策略嵌入和可信计算的完整性主动动态度量架构

针对已有的一些完整性度量方法在度量主动性、灵活性和运行效率等方面的不足,提出了基于策略嵌入和可信计算的完整性主动动态度量架构(PEDIAMA)。将度量策略嵌入到度量目标内部,因此不需要专门的内存空间来集中维护所有的策略,节省了策略的查询和维护成本,提高了运行效率。由于策略方便存取,制订灵活,不仅可以实时接收外部的度量请求,也可以依据内嵌的策略主动进行度量,主动防御性更强。同时,通过TPM硬件来保护度量架构和度量过程的安全,并对度量策略和相关度量结果进行签名保护,提高了整个系统的安全性。经过测试,PEDIAMA能够即时检测出针对运行实体的攻击,并且度量开销较小。     

基于动态信任根的虚拟机监控器动态完整性度量架构

现有虚拟机监控器(VMM)动态完整性度量架构在度量信任根的安全性方面存在问题,同时没有综合考虑VMM中需要进行完整性度量的数据,为此提出了一种基于动态信任根的VMM动态完整性度量架构。采用基于AMD的安全虚拟机技术构建动态信任根,可以实现对度量程序加载执行前的完整性度量;同时构建封闭独立的执行环境,从而可以有效地解决度量信任根的问题。通过分析VMM运行时的内存状态,对所有需要进行完整性保护的静态持久化数据进行完整性度量,从而可以保证度量内容的完备性。同时给出该架构在Xen上的实现。实验结果表明,该架构可以有效地解决度量信任根的问题,并且对度量内容具有良好的扩展性,从而保证度量内容的完备性;此外,该度量架构与现有架构Hyper Check-SMM相比有23.3%的性能提升。     

基于软件完整性级别的软件可靠性度量选取框架

选取合适的软件可靠性度量,对于软件质量保证及项目管理有着重要意义。现有的软件可靠性度量选取方法没有考虑软件完整性级别这个重要的设计属性。完整性级别表示软件特性的取值范围,该范围对将系统风险保持在可容忍的限度内是必需的,其对软件可靠性水平有显著影响。提出了一种基于完整性级别的可靠性度量选取框架:首先给出基于完整性级别的度量选取体系;然后在选取体系的基础上,给出相应的度量选取方法;最后,将提出的度量选取框架应用于ISO/IEC 9126质量模型中的外部软件可靠性度量,根据度量的特点将每种度量不同程度(基本、条件及参考)地推荐给不同的完整性级别。实例表明,基于完整性级别的度量选取技术是系统且有效的,所推荐的度量可以满足软件尤其是安全关键软件在不同完整性级别上的需求。     

基于ARM虚拟化扩展的Android内核动态度量方法

针对现阶段内核级攻击对Android系统完整性的威胁,提出一种基于ARM虚拟化扩展的Android内核动态度量方法DIMDroid。该方法利用ARM架构中的硬件辅助虚拟化技术,提供度量模块与被度量Android系统的隔离,首先通过分析在Android系统运行时影响内核完整性的因素从而得到静态和动态度量对象,其次在度量层对这些度量对象进行语义重构,最后对其进行完整性分析来判断Android内核是否受到攻击;同时通过基于硬件信任链的启动保护和基于内存隔离的运行时防护来保证DIMDroid自身安全。实验结果表明,DIMDroid能够及时发现破环Android内核完整性的rootkit,且该方法的性能损失在可接受范围内。     

基于内存取证的内核完整性度量方法

内核级攻击对操作系统的完整性和安全性造成严重威胁.当前,内核完整性度量方法在度量对象选取上存在片面性,且大部分方法采用周期性度量,无法避免TOC-TOU攻击.此外,基于硬件的内核完整性度量方法因添加额外的硬件使得系统成本较高;基于Hypervisor的内核完整性度量方法,应用复杂的VMM带来的系统性能损失较大.针对现有方法存在的不足,提出了基于内存取证的内核完整性度量方法KIMBMF.该方法采用内存取证分析技术提取静态和动态度量对象,提出时间随机化算法弱化TOC-TOU攻击,并采用Hash运算和加密运算相结合的算法提高度量过程的安全性.在此基础上,设计实现了基于内存取证的内核完整性度量原型系统,并通过实验评测了KIMBMF的有效性和性能.实验结果表明：KIMBMF能够有效度量内核的完整性,及时发现对内核完整性的攻击和破坏,且度量的性能开销小.     

一种基于完整性保护的终端计算机安全防护方法

终端计算机是网络空间活动的基本单元,其安全性直接关系着网络环境和信息系统的安全.提出了一种基于完整性保护的终端计算机安全防护方法,它将完整性度量和实时监控技术相结合,保证终端计算机运行过程的安全可信.建立了以TPM为硬件可信基、虚拟监控器为核心的防护框架,采用完整性度量方法建立从硬件平台到操作系统的基础可信链;在系统运行过程中监控内核代码、数据结构、关键寄存器和系统状态数据等完整性相关对象,发现并阻止恶意篡改行为,以保证系统的完整、安全和可靠.利用Intel VT硬件辅助虚拟化技术,采用半穿透结构设计实现了轻量级虚拟监控器,构建了原型系统.测试表明,该方法能够对终端计算机实施有效的保护,且对其性能的影响较小.     

针对ROP攻击的动态运行时检测系统

根据面向返回的编程(ROP)攻击及其变种的攻击原理,设计一个针对ROP攻击的动态运行时检测系统。该系统包括静态插桩和动态运行监控2个阶段。静态插桩为待检测程序装配分析代码,动态运行利用ret完整性检测、call完整性检测和jmp完整性检测方法分析程序的控制流和数据流,判断是否为ROP攻击。实验结果表明,该方法能完全检测出ROP恶意代码。     

A transparent and adaptive reconfigurable system

In the current scenario, where computer systems are characterized by a high diversity of applications coexisting in a single device, and with the stagnation in frequency scaling because of the excessive power dissipation, reconfigurable systems have already proven to be very effective. However, they all present two major drawbacks, which are addressed by this work: lack of transparency (the need for special tools or compilers that changes the original code) and no ability to adapt to applications with different behaviors and characteristics, so significant gains are achieved only in very specific data stream oriented applications. Therefore, this work proposes the Dynamic Instruction Merging (DIM), a Binary Translation mechanism responsible for transforming sequences of instructions into a coarse-grained array configuration at run-time, in a totally transparent process, with support to speculative execution. The proposed system does not impose any kind of modification to the source or binary codes, so full binary compatibility is maintained. Moreover, it can optimize any application, even those that do not present specific kernels for optimization. DIM presents, on average, 2.7 times of performance gains and 2.35 times of energy savings over a MIPS processor, and a higher IPC than an out-of-order superscalar processor, running the MIBench benchmark set.     

On optimal scheduling of integrity assertions in a transaction processing system

Semantic integrity of a database is guarded by a set of integrity assertions expressed as predicates on database values. The problem of efficient evaluation of integrity assertions in transaction processing systems is considered. Three methods of validation (compile-time, run-time, and post-execution validations) are analyzed in terms of database access costs. The results show that if transactions are executed independently of each other, the cost of compile-time validation is never higher than the cost of run-time validation; in turn the cost of the latter is never higher than the cost of post-execution validation.This work was partly supported by the U.S. Department of Transportation Contract DOT-RC-92031.     

Detection of file-based race conditions

Multiprocessing environments such as Unix are susceptible to race conditions on the file space, since processes share files in the system. A process accessing a file may get unexpected results while executing in a critical section if the binding between the file name and the file object is altered by another process. Such errors, called time-of-check-to-time-of-use (TOCTTOU) binding flaws, are among the most prevalent security flaws. This paper presents a model that detects TOCTTOU binding flaws by checking the integrity of bindings between file names and file objects at run time and a simplified prototype of the detection model. We discuss the properties of the detection model and its run-time overhead, based on the results of experiments on the prototype .     

基于构件动态演化的行为一致性验证方法

为了保证构件在动态演化中的行为一致性,避免不合法的构件演化,提出一种基于进程代数的构件模型,引入对外主动请求接口和内部连接,形式化描述构件及其对外交互协议,给出相关定理和验证算法。实例证明,该构件模型可以验证动态演化中的接口兼容性、外部交互行为一致性,以及运行时行为完整性。     

高机密性数据安全存储与访问系统设计

研究并设计了一套安全模型的原型,主要用于为高机密性的数据提供安全保护.数据保护与访问方案可以分为静态保护与动态保护两种,本原型系统在加强静态保护的同时更加注重数据访问时的动态安全性.基于此提出了密码保险箱结构,用于保护运行时的机密数据,并且设计了一系列安全措施用以保障程序本身与用户数据的安全性与完整性,防御重放攻击,替换攻击等诸多攻击手段.对该原型系统的安全性进行了理论分析,并通过实际测试分析表明了系统的安全性与有效性.     

复杂机械产品设计系统与设计能力关系模型

针对支持正向设计的设计系统与企业设计能力关系问题,结合设计资源类型及集成技术成熟度方法创新性,提出设计能力衡量指标及其算法.设计能力衡量指标由设计流程完整率、设计工具完整率、设计准则完整率和设计数据使用率4项指标组成,设计流程完整率通过设计流程占当前整理的设计流程总数的比例获得,设计工具完整率通过设计工具占当年整理的流程任务节点所需工具总数的比例获得,设计准则完整率通过设计遵循的设计准则所占当年整理的设计活动所需准则总数的比例获得,设计数据使用率用非结构化数据使用率来表示.采用灰色关联和模糊综合评价改进模型求出设计能力衡量指标的准则权重,考虑到延时因素对设计系统与设计能力交互关系的影响,以logistic方程为基础构建考虑延时的设计系统与设计能力作用模型,为企业的设计系统应用决策和设计能力提升提供依据和方法.     

Ordering and selecting production rules for constraint maintenance:complexity and heuristic solution

Presents a technique for analyzing the run-time behavior of integrity constraint repair actions, i.e. active database rules that are specifically designed to correct violations of database integrity. When constraints become violated due to an incorrect user transaction, rule computation is started to restore the database to a correct state. Since repair actions may be numerous and may conflict with each other, automated support for the analysis of their run-time behavior is necessary. The proposed technique helps the rule base administrator define a repair rule selection strategy such that the computation terminates for every input transaction, the final database state satisfies all the constraints, and the user's preferences among different ways to restore integrity are taken into account. In addition, it can be used by the rule designer to spot “dangerous” rules that may be subject to redesign. This problem is formulated as an optimization problem on directed hypergraphs, which we demonstrate to be NP-hard and which we solve by means of a heuristic algorithm     

A Heuristic Search for Identifying Required Application Libraries Supporting a Run-Time Security Policy

On a Windows platform it is possible to inject a DLL into a running process creating a new thread of execution within an authorized process. Security tools monitoring or examining DLLs loaded into the memory space of a given process rely on policies to determine the validity of the library. Two approaches to the policy specification include “all or nothing” and “per executable” rules also referred to as a run-time security policy. Developing the run-time policy requires the running of every executable for a period of time to train the system. An alternative to the training method of the run-time approach is to determine ahead of time which DLL should be loaded before execution. A tool called LibMon was developed to monitor loading of libraries by running applications. A heuristic search algorithm was created based on the analysis of the data collected with LibMon.