基于即时编译的动态污点跟踪优化

动态污点跟踪技术展现了在移动隐私保护方面强大功能,但存在系统性能较低问题.提出了一个基于即时编译的动态污点传播优化方法.首先,将程序逻辑精确抽象为污点传播逻辑,简化污点传播分析复杂性;然后,提出了一个污点传播框架并证明了在该框架下污点传播分析的正确性和有效性;最后,采用消除,替换和移动等方法将冗余低效的污点传播代码转化为高效等价的污点传播代码.实验结果表明经过优化后单条热路径的污点传播代码节省了38%内存占用和指令执行时间,系统整体性能平均提升了6.8%.     

基于消息语义解析的软件网络行为分析

通过对软件网络行为的研究,提出了通过结合动态分析软件行为技术和网络消息语义解析技术对软件网络行为进行分析的系统模型。系统主要由动态二进制分析模块、消息语义解析模块和网络行为分析模块组成。通过动态二进制分析,利用行为监控和劫持机制,获取软件对于应用程序编程接口(API)函数和系统函数的调用情况;通过动态污点分析,对消息语义进行解析。实验验证表明,软件行为和消息语义解析的结合可以用于分析软件网络行为。     

一种粗细粒度结合的动态污点分析方法

针对当前污点分析工具不能兼顾速度和精确度的缺陷,研究并实现一种粗细粒度结合的二进制代码动态污点分析方法。对比粗粒度污点分析和细粒度污点分析的实现过程,提出两者结合的新型分析框架。预先在线执行粗粒度污点分析以筛选有效指令,之后离线执行细粒度污点分析以计算污点信息。根据粒度的差异分别建立粗细粒度污点数据的引入标记方法,制定粗细粒度条件下的数据流和控制流传播策略,设计离线轨迹记录结构作为粗细粒度污点分析的传递文件。在原型系统上的测试结果表明,该方法通过在线粗粒度模式保证了污点分析信息采集的快速性,同时采用离线细粒度模式以合理的时间消耗提升了污点分析的精确度。     

基于动态污点分析的栈溢出Crash判定技术

Fuzzing技术和动态符号执行技术以发现程序异常为测试终止条件,却无法进一步评估程序异常的威胁严重等级。为此,阐述用于Crash可利用性分析的3种主要方法。在二进制插桩平台Pin上,提出一种基于动态污点分析技术的Crash可利用性自动化分析框架。实验结果表明,该框架能够准确有效地判断Crash的可利用性程度。     

基于对象跟踪的J2EE程序动态污点分析方法

Web程序的安全威胁主要是由外部输入未验证引发的安全漏洞,如数据库注入漏洞和跨站脚本漏洞,动态污点分析可有效定位此类漏洞。提出一种基于对象跟踪的动态分析方法,与现有动态方法跟踪字符和字符串对象不同,追踪所有可能被污染的Java对象。方法应用对象哈希值表示污点对象,定义方法节点和方法坐标记录污点传播时的程序位置,支持污点传播路径追踪,针对Java流对象装饰模式提出流家族污点传播分析。方法设计一种语言规范对Java类库中污点传播相关的方法集合以及用户自定义方法建模,按照污点引入、传播、验证和使用,对方法集分类后设计和形式化定义各类方法的污点传播语义。在SOOT平台实现对J2EE源码或字节码插桩框架,使用静态分析计算可达方法集以减少插桩规模,应用原型系统对真实网站的测试结果表明该方法可有效发现注入漏洞。     

污点分析技术研究综述

污点分析技术是保护隐私数据安全和实现漏洞检测的重要技术手段，也是信息安全研究的热点领域。对近年来污点分析技术的研究现状和发展情况进行综述，介绍了污点分析的理论基础以及静态污点分析和动态污点分析的基本概念、关键技术和研究进展，并从技术实现方式的角度出发，阐述了基于硬件、软件、虚拟环境和代码等四种污点分析技术的实现方式、核心思想以及优缺点；然后，从污点数据流向的角度出发，概述了污点分析技术在相关领域的两种典型应用，即隐私数据泄露检测和漏洞探测；最后，简要分析了污点分析的缺点和不足，并展望该技术的研究前景和发展趋势。     

基于污点分析的源代码脆弱性检测技术

基于源代码的静态分析技术是检测软件脆弱性的一种重要手段.针对不可信数据输入导致软件脆弱性的问题,提出一种基于污点分析的脆弱性检测方法.通过跟踪程序参数、环境变量等各种外部输入,标记输入的类型,在构造控制流图基础上,利用数据流分析中的相关信息,污点传播至各类脆弱性函数,从而解决缓冲区溢出、格式化字符串等问题.利用控制流、数据流分析的相关信息,提高了准确率,降低了漏报率.实验表明,该技术是一种有效的脆弱性分析方法.     

一种改进的基于在线解耦的轻量级动态污点分析方法

在针对二进制程序的实际分析场景中,动态分析方法因具有更高的准确性而得到更为广泛的关注和运用.但是以动态污点分析为代表的细粒度分析方法通常会产生较高的性能和资源开销.为缓解这些问题,本文提出一种改进的轻量级在线解耦的动态污点分析方法,其主要思想是在线解耦程序执行和指令分析,同步构建分析代码并完成分析.该方法能够进一步降低...     

Windows应用程序反动态跟踪技术

该文在剖析任务数据库数据结构的基础上，提出了利用父任务检测法辨别程序是否被跟踪的反动态跟踪技术，并给出了具体实现示例。     

基于污点跟踪的黑盒fuzzing测试

针对传统fuzzing测试中的低效率问题,提出一种基于污点跟踪的黑盒fuzzing测试方法.通过将合法输入标记为污染源,并记录污点在应用程序中的传播过程,提取关键的污点信息,用以指导新的测试用例的生成.这样生成的测试用例,具有更好的针对性,以及能够达到较深的代码深度,有良好的代码覆盖率,能更好的挖掘出潜在的漏洞和安全脆弱点.采用这种方法对几款图形处理软件和图形库进行了测试,发现了一个漏洞,并提交SecurityFocus通过.     

基于软件行为预测的动态电源管理方案

为有效管理嵌入式系统,尤其是减少移动终端的电源功耗,设计一种更加精确的动态电源管理方案。在Linux平台上运行,基于API行为特点,利用BP神经网络算法进行应用类型预测,通过对应用类型的预测,提前对系统状态进行调整。实验结果表明,在不影响系统性能的前提下,该方案可有效降低功耗,实现对嵌入式设备电源的实时、动态管理。     

基于敏感Native API的恶意软件检测方法

分析恶意软件传播与破坏的行为特征,包括进程、特权、内存操作、注册表、文件和网络等行为。这些行为通过调用相应的API函数来实现,为此,提出一种基于敏感Native API调用频率的恶意软件检测方法,采用Xen进行二次开发,设计对恶意软件透明的分析监测环境。实验结果表明,使用敏感Native API调用频率能够有效地检测多种未知恶意软件。     

基于动态行为和机器学习的恶意代码检测方法

目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码.提出一种结合动态行为和机器学习的恶意代码检测方法.搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特...     

Android动态加载与反射机制的静态污点分析研究

隐私泄露是当前Android安全中最为重要的问题之一,目前检测隐私泄露的最主要方法是污点分析.Android静态污点分析技术凭借其代码覆盖率高、漏报率低的特点而被广泛应用在Android应用隐私泄露的检测上.然而,现有的静态污点分析工具却不能对Android动态加载和反射机制进行有效污点分析.鉴于当前Android动态加载和反射机制被越来越广泛地应用的现状,对如何使Android静态污点分析工具有效地处理Android应用的动态加载和反射机制的问题进行了研究.对Android源码进行了修改,使Android系统能够对Android应用实际运行中加载的dex文件和反射调用信息进行实时存储,并利用这些信息对Android静态污点分析过程进行引导.以当前领先的静态污点分析工具FlowDroid为基础,对其进行了改进,提出了使用非反射调用语句替换反射调用语句的策略,实现了一个能够对Android动态加载和反射机制进行有效污点分析的工具——DyLoadDroid,并通过实验验证了其在处理Android动态加载和反射机制的污点分析问题上的有效性.     

基于信息流策略的污点传播分析及动态验证

基于流和上下文敏感的SSA(static single assignment)信息流分析技术,提出了一种细粒度、可扩展的污点传播检测方法.利用控制流和数据流的相关信息,跟踪污染数据及其传播路径,可以检测缓冲区溢出、格式化串漏洞等程序脆弱性.分析过程在潜在问题点自动插装动态验证函数,在无需用户干预的情况下保证了程序的运行时安全.在GCC编译器的基础上实现了分析系统,实验结果表明,该方法具有较高的精确度和时空效率.     

一种基于污点追踪的系统审计日志压缩方法

近十年来,高级持续性威胁（APT,advanced persistent threat）越来越引起人们的关注。为了防御和检测APT攻击,学者提出了基于系统审计日志的入侵取证方案。系统审计日志可以详细记录主机上的系统调用过程,因此非常适用于入侵取证工作。然而,系统审计日志也有着致命的弊端:日志庞大冗余。再加上APT攻击往往长期潜伏、无孔不入,企业不得不为每台联网主机长期保存日志,因此导致巨大的存储计算成本。为了解决这一问题,本文提出一种模仿二进制动态污点分析的日志压缩方案T-Tracker。T-Tracker首先检测日志内部与外部数据发生交互的系统调用,生成初始污点集合,然后追踪污点在主机内的扩散过程,这个过程中只有污点扩散路径上的系统调用能被保留下来,其余均不保留,从而达到日志压缩的目的。本研究的测试表明,该方案可以达到80%的压缩效果,即企业将能够存储相当于原来数量五倍的日志数据。同时,T-Tracker完整保留了受到外部数据影响的日志记录,因此对于入侵取证而言,可以等价地替换原始日志,而不会丢失攻击痕迹。     

一个面向对象的客户/服务器应用编程接口

本文介绍了一个以基本类库形式提供的客户/服务器应用编程接口IDUCOM。在IDUCOM中，我们构造了一个通信模型，并采用面向对象的技术加以设计和实现。IDUCOM既简化了客户/服务器应用的开发，又提高了应用对平台的独立性。