一个新的软件行为动态可信评测模型

针对软件动态可信性度量方法和理论研究中存在的问题,提出以行为轨迹和检查点场景来刻画软件行为的动态特性,通过计算系统调用上下文值以及构造系统调用参数关系约束规则来评测行为轨迹和检查点场景的偏离程度.构建了基于软件行为自动机的动态可信评测模型.实验结果表明,本模型能够准确获取软件行为信息,正确检测出攻击行为,且系统开销较低.     

综合控制流与数据流分析的主机异常检测新方法

传统主机异常检测方法只针对控制流信息或数据流信息进行分析,在两个研究方向上产生了很大的分化,不能很好地吸取彼此的成果。基于这种情况,提出一种新的综合控制流与数据流分析的新方法。该方法首先使用系统调用定长序列构建模式库,再用关联规则挖掘方法挖掘同一模式或不同模式下属性间的关联规则,构建用于检测评估的两种规则集。实验结果表明,基于控制流上下文的数据流分析新方法能够发现先前数据流分析所不能发现的更精准更有用的规则从而检测出更多的异常行为。     

基于系统调用的软件行为模型

由于系统调用信息可以在一定程度上反映程序的行为特性,因此利用系统调用来对程序行为进行建模是目前入侵检测领域的研究热点。以静态建模、动态建模和混合建模这3种不同的建模方式为切入点,按照时间顺序将基于系统调用的软件行为模型的发展划分为3个阶段:初期阶段、发展阶段和综合发展阶段。然后剖析了各阶段内的模型的发展轨迹以及它们之间的内在联系,并对它们做了横向对比分析。研究表明,基于系统调用的软件行为建模技术的发展趋势应是结合静态和动态建模技术以及结合系统调用的控制流信息和数据流信息,并综合考虑其他实时信息,如环境变量和上下文信息等,开发出检测能力更强、完备性更高以及实际可行性高的软件行为模型。     

基于软件行为的可信评价研究

为了准确合理地评价软件可信性,提出了基于软件行为的可信评价模型。首先,在软件行为迹中设置监控点,根据监控点各属性的性质及其在可信评价系统中的作用,将监控点的属性分为控制流和数据流两级。其次,针对控制流级属性,提出基于支持向量机(Support Vector Machine,SVM)的软件行为迹的评价方法;针对数据流级属性,提出基于模糊层次分析法的场景属性评价方法。最后,实验分析表明,基于软件行为的可信评价模型能够准确地评价 软件可信性,并且具有较高的效率。     

一个准确高效的基于程序行为的异常检测模型

提出一个高效准确的基于程序行为的异常入侵检测模型,该模型对于静态链接的程序部分以及函数递归基于优化的堆栈遍历技术获得调用堆栈状态信息;对于程序循环,使用代码插入和Null挤压技术来高效地获得系统调用上下文信息;基于动态通知技术,处理非标准的控制转移;从而,能够获得完备的系统调用上下文信息,提高了模型的准确度.给出了模型的描述和实施,分析了其优点.在Linux程序上的实验表明,该模型可保持检测的高效率.     

基于系统调用的入侵检测新方法*

通过分析系统调用行为特征,提出了程序的系统调用行为可以用有限状态自动机来描述的方法,证明了算法产生的自动机的完整性,并给出算法性能分析结果。     

基于进程轨迹最小熵长度的系统调用异常检测

进程的系统调用轨迹蕴藏着程序行为不变性和用户行为不变性这两种不变性,其中,程序行为不变性可进一步细分为时间顺序不变性和频度不变性。已有的系统调用异常检测技术研究工作均集中于程序行为不变性,忽视了用户行为不变性。从系统调用中的频度不变性出发,研究了系统调用轨迹中的用户行为不变性及其描述手段,并提出采用最小熵长度描述这种不变性。在 Sendmail 数据集上的实验表明,最小熵长度较好地描述了系统调用轨迹中的用户行为不变性,结合程序行为不变性,可以极大地提高系统调用异常检测性能。     

智能电子商务的工作流结构与标准化问题

研究了基于Web文档数据结构交换的规范XML、描述任务元数据的RDF模型和Agen嗵信语言KQML，扩充了KQML原语行为，提出了智能电子商务系统结构。该系统允许用户定义任务，调用系统内部的工作流模板重构数据流和控制流，提高了系统的柔性、敏捷性和自适应能力。     

基于程序的异常检测研究综述

以程序正常行为描述方法为线索,将利用系统调用数据检测程序异常行为的各种技术分类为基于规范的方法、基于频率的方法、控制流分析方法、数据流分析方法。详细介绍了这些方法的基本思想、使用的各种模型以及最新研究进展,指出并分析了现有技术中存在的问题和不足,正式提出了基于程序的异常检测技术应该以各种服务器程序为研究对象的观点,介绍了一个经过初步实验验证了的、基于服务器程序运行踪迹层次结构的异常检测原型系统,该原型系统利用了服务器程序请求一应答式工作特征和一些关键系统调用的语义信息以及运行时的动态信息,通过结构模式识别技术在识别服务器程序正常行为过程中发现异常并具备分析异常、提供入侵相关详细信息的能力,而这种能力正是异常检测技术进一步研究发展的方向之一。     

基于消息日志的Web 服务接口业务协议挖掘

Web服务接口的业务协议描述了Web服务的外部行为,对于Web服务的复用具有重要意义,可以作为服务发现、组合、验证和运行期可信保障等方面的重要基础.目前,已有一些工作研究了Web服务的协议发现问题,即从Web服务的调用消息日志中挖掘Web服务接口的业务协议.但已有方法主要关注服务的控制流约束,忽略了数据流约束以及数据流和控制流的相互约束.针对这一问题,研究了如何从Web服务的调用日志中自动挖掘Web服务接口,并侧重综合考虑Web服务的数据流和控制流.首先扩展了传统Petri网,提出了一种增加了数据流描述的Web服务接口模型——BPN(business protocol net)模型.在此基础上,进一步提出了一种自动化的挖掘框架,可以从Web服务调用消息记录中合成Web服务的BPN表示.最后,通过仿真实验验证了该方法的有效性.其结果表明,所提出的挖掘算法是正确而有效的.     

System Call Monitoring Using Authenticated System Calls

System call monitoring is a technique for detecting and controlling compromised applications by checking at runtime that each system call conforms to a policy that specifies the program's normal behavior. Here, we introduce a new approach to implementing system call monitoring based on authenticated system calls. An authenticated system call is a system call augmented with extra arguments that specify the policy for that call, and a cryptographic message authentication code that guarantees the integrity of the policy and the system call arguments. This extra information is used by the kernel to verify the system call. The version of the application in which regular system calls have been replaced by authenticated calls is generated automatically by an installer program that reads the application binary, uses static analysis to generate policies, and then rewrites the binary with the authenticated calls. This paper presents the approach, describes a prototype implementation based on Linux and the Plto binary rewriting system, and gives experimental results suggesting that the approach is effective in protecting against compromised applications at modest cost.     

基于行为轨迹的软件动态可信度量

针对软件动态可信度量方法中准确性和效率较低的问题,提出了一种以编译器插桩获取软件行为轨迹的软件动态可信SDTBT模型。通过分析包含函数调用和基本块调用的C程序控制流,在GCC编译预处理过程中设计软件插桩算法,提取软件行为轨迹;模型运行时可选择基本块或函数调用作为动态可信验证的对象,提高了软件度量的灵活性和效率,同时降低了度量资源消耗。实验分析表明,该模型能够准确提取软件行为轨迹信息,有效检测基于控制流的攻击行为,相较于已有模型有较高的准确性和较低的时间消耗。     

一种层次化的恶意代码行为分析方法

提出一种层次化的恶意代码行为分析方法,首先根据程序运行时的系统调用序列获取行为信息,然后分析其行为意图并作危害性评估。在行为检测部分,设计了行为检测算法,利用系统调用函数及其参数信息识别程序行为。在行为分析部分,总结了各种恶意行为对计算机系统造成的危害,利用攻击树原理建立恶意行为危害评估模型,并给出恶意代码危害性计算方法。     

面向物联网设备安全的多层次内核访问控制方法

物联网设备受能耗、计算能力等因素限制, 通常采用轻量化的操作系统以及精简化的安全保护机制, 导致物联网设备的操作系统安全保护能力不足, 更容易被用户态程序攻破。为了增强操作系统的隔离能力, 现有的安全保护方法通常限制应用程序可访问的系统调用种类, 使其仅能访问运行所必须的系统调用, 从而缩小操作系统的攻击面。然而, 现有的动态或者静态程序分析方法无法准确获取目标程序运行所依赖的系统调用。动态跟踪方法通过跟踪程序执行过程中触发的系统调用, 仅能获取程序依赖系统调用的子集, 以此作为依据的访问控制可能会影响程序的正常执行。而静态分析方法通常构造程序及其依赖库的控制流图并分析其可达的系统调用, 然而由于静态分析无法精准构建控制流图, 仅能获取目标程序依赖系统调用的超集, 会在访问控制中引入多余的系统调用, 造成操作系统攻击面依然较大。针对现有系统调用访问控制面临的可用性以及精准度问题, 研究多层次的内核访问控制方法, 在现有系统调用访问控制的基础上, 引入了动态链接库的访问控制, 并提出了多层联动的动态安全分析机制, 以动态分析的方法排除由于静态分析不准确引入的额外系统调用, 从而进一步缩小物联网系统的攻击面, 提升物联网设备的隔离能力与安全性。实验结果表明, 相比于现有内核访问控制方法, 本文提出的方法能够抵御更多漏洞而且引入的实时负载更低。     

一种基于控制流的程序行为扩展模型

提出一种基于控制流的程序行为扩展模型EMPDA(extended model based on push down automaton).对控制流模型加入不变性约束扩展,该模型能够表达程序正常运行时所应保持的不变性质约束,增强了模型的监控能力;通过以实际应用区分系统调用重要性,将模型划分为核心模型和辅助模型,以降低模型整体消耗,提高模型学习效率.实验结果表明,该扩展模型较之原模型有更好的覆盖速度、误报率以及检测能力.     

Unifying intrusion detection and forensic analysis via provenance awareness

The existing host-based intrusion detection methods are mainly based on recording and analyzing the system calls of the invasion processes (such as exploring the sequences of system calls and their occurring probabilities). However, these methods are not efficient enough on the detection precision as they do not reveal the inherent intrusion events in detail (e.g., where are the system vulnerabilities and what causes the invasion are both not mentioned). On the other hand, though the log-based forensic analysis can enhance the understanding of how these invasion processes break into the system and what files are affected by them, it is a very cumbersome process to manually acquire information from logs which consist of the users’ normal behavior and intruders’ illegal behavior together.This paper proposes to use provenance, the history or lineage of an object that explicitly represents the dependency relationship between the damaged files and the intrusion processes, rather than the underlying system calls, to detect and analyze intrusions. Provenance more accurately reveals and records the data and control flow between files and processes, reducing the potential false alarm caused by system call sequences. Moreover, the warning report during intrusion can explicitly output system vulnerabilities and intrusion sources, and provide detection points for further provenance graph based forensic analysis. Experimental results show that this framework can identify the intrusion with high detection rate, lower false alarm rate, and smaller detection time overhead compared to traditional system call based method. In addition, it can analyze the system vulnerabilities and attack sources quickly and accurately.     

对计算机系统中程序行为的分析和研究

对程序行为的三种提取方法进行了分析比较,并采用LKM（Linux Kernel Module）方式对程序行为进行提取分析。从字符串参数长度分布,字符串参数字符特征分布及特殊系统调用参数三个方面来对系统调用参数进行分析,丰富了程序行为分析手段,提高了程序异常检测精度。     

基于混杂模型的上下文相关主机入侵检测系统

主机入侵检测的关键是监测进程的运行是否正常.现有的基于静态分析建模的方法具有零虚警的优良特性,但是,由于缺乏精确性或者效率的问题仍然不能实际使用,先前的工作试图在这两者之间寻找平衡点.基于NFA(nondeterministic finite automaton)的方法高效但是不够精确,基于PDA(push down automaton)的方法比较精确但却由于无限的资源消耗而不能应用.其他模型,例如Dyck模型、VPStatic模型和IMA模型使用一些巧妙的方法提高了精确性又不过分降低可用性,但是都回避了静态分析中遇到的间接函数调用/跳转问题.提出一种静态分析-动态绑定的混杂模型(hybrid finite automaton,简称HFA)可以获得更好的精确性并且解决了这一问题.形式化地与典型的上下文相关模型作比较并且证明HFA更为精确,而且HFA更适合应用于动态链接的程序.还给出了基于Linux的原型系统的一些实现细节和实验结果.     

Application of the trace assertion method to the specification,design, and verification of automaton programs

The paper considers the application of the trace assertion method [1] for specification and verification of automaton programs [2–4]. The trace assertion method allows the programmer to define an externally visible behavior of an automaton program in a rigorous way, without considering details of its implementation. The method is employed at the requirements specification stage of the system development. The paper introduces techniques for defining semantics of some elements of an automaton program, especially those involved in interactions with the control system. A formal approach to defining states of automaton programs is described. Results of studies related to the verification of specification requirements for automaton programs are also presented.