嵌入式浏览器JavaScript引擎的研究与设计

针对JavaScript引擎在即时编译模式下的开销过高和网页加载时间过长的问题,改进JavaScript引擎中即时编译模式的编译方式,设计一种对JavaScript代码的动态编译方式,只对JavaScript代码中频繁执行的热点区域进行即时编译,其余代码则运行在解释模式下,合理地利用了即时编译模式。实验测试结果表明,动态编译方式能够减少JavaScript引擎的开销耗费,加快网页的加载速度。     

面向SGX2代新型可信执行环境的内存优化系统

可信执行环境(trusted execution environment, TEE)是一种应用于隐私计算保护场景的体系结构方案,能为涉及隐私相关的数据和代码提供机密性和完整性的保护,近年来成为机器学习隐私保护、加密数据库、区块链安全等场景的研究热点.主要讨论在新型可信硬件保护下的系统的性能问题:首先对新型可信硬件(IntelSGX2代)进行性能剖析,发现在配置大安全内存的前提下, Intel SGX1代旧有的换页开销不再成为主要矛盾.配置大容量安全内存引起了两个新的问题:首先,普通内存的可用范围被压缩,导致普通应用,尤其是大数据应用的换页开销加剧;其次,安全内存通常处于未被用满阶段,导致整体物理内存的利用率不高.针对以上问题,提出一种全新的轻量级代码迁移方案,将普通应用的代码动态迁入安全内存中,而数据保留在原地不动.迁移后的代码可使用安全内存,避免因磁盘换页导致的剧烈性能下降.实验结果表明:该方法可将普通应用因为磁盘换页导致的性能开销降低73.2%-98.7%,同时不影响安全应用的安全隔离和正常使用.     

SiCsFuzzer: 基于稀疏插桩的闭源软件模糊测试方法

传统的基于覆盖率反馈的模糊测试工具通过跟踪代码覆盖率来指导测试用例的变异,从而发现目标程序中潜在的漏洞。但在闭源软件的模糊测试过程中,跟踪覆盖率不仅带来额外的开销,而且在模糊测试开销中占据主导。本文通过对Windows平台闭源软件模糊测试开销的剖析,锁定其中两个主要来源,插桩开销和“预热”开销。基于上述分析,提出了一种基于稀疏插桩跟踪的模糊测试方法,在不影响覆盖率计算精度的前提下,采用基于稀疏插桩的跟踪策略,仅对目标程序中覆盖率不可推导的基本块或分支进行插桩跟踪,并根据跟踪结果推导其余基本块或分支的被覆盖情况;同时结合“预热”优化,避免因动态插桩平台反复启动以及对目标程序代码的重复翻译所引入的时间开销。基于上述方法实现的原型工具SiCsFuzzer,在Windows平台9个规模在286KB~19.3MB,类型涉及图片处理、视频处理、文件压缩、加密和文档处理等类型应用所组成的测试集上,跟踪覆盖率引入的额外开销为程序正常执行时间的1.1倍,比传统的基于覆盖率反馈的模糊测试工具快3倍,并发现PDFtk和XnView程序最新版本中的未知漏洞各1个。     

基于AMD硬件内存加密机制的关键数据保护方案

长期以来,保护应用程序关键数据（如加密密钥、用户隐私信息等）的安全一直是个重要问题,操作系统本身巨大的可信计算基使其不可避免的具有许多漏洞,而这些漏洞则会被攻击者利用进而威胁到应用程序的关键数据安全。虚拟化技术的出现为解决此类问题提供了一定程度的帮助,虚拟化场景下虚拟机监控器实际管理物理内存,可以通过拦截虚拟机的关键操作为应用程序提供保护,而硬件内存加密机制则能够解决应用程序在运行时内存中明文数据被泄露的问题。本文基于虚拟化技术和AMD的硬件内存加密机制,提出了一套高效的关键数据保护方案,并通过应用解耦和技术将关键数据与代码与其余的正常数据与代码分离并置于隔离的安全环境中运行从而达到保护关键数据的目的。测试显示,软件带来的系统性能开销小于1%,关键部分的性能开销小于6%,常见应用的延迟在接受范围内。系统能够成功保护应用程序如私钥等关键数据免受恶意操作系统的读取与Bus Snooping、Cold Boot等物理攻击。     

在嵌入式Java芯片中使用即时编译技术

Java虚拟机具有面向堆栈与面向对象的特点,不利于硬件有效支持字节码的直接执行,传统JIT也不适应嵌入式系统的应用环境,介绍了在自行设计的嵌入式Java芯片中使用JIT的技术途径,通过对Java虚拟机堆栈和复杂指令的支持,密切配合JIT软件,较好地解决了Java芯片设计中的问题。测试结果表明,相对于目前前界最好的picoJava-Ⅱ内核而言内核而言,JC401的编译后代码性能提高了1．2至1．9倍,在硬件复杂度、执行速度、内存开销等方面都有较大程度的改善,适合于嵌入式应用。     

利用冗余核的MPSoC故障检测方法

在处理器可靠性研究中,为在容错机制部署与容错开销之间达到较好的平衡,提出一个利用冗余核进行检测代码计算任务的多处理器片上系统(MPSoC)故障检测方法。该方法利用多核系统天然的冗余特性,将用于进行故障检测的冗余代码中的大部分计算任务转移到冗余核中进行,检测软件控制流的正确性和数据的一致性,实现MPSoC的故障检测。所提方法无需添加额外硬件,通过指令级的冗余进行故障检测,可满足系统可靠性需求,同时又能减少面积开销,在性能方面和花销上做到有效的权衡。在一个MPSoC上对所提方法进行验证实验,通过故障注入,运行多个基准程序进行有效性验证,并将所提方法与几种具有代表性的软件检测硬件故障方法故障检测能力、面积、内存以及性能花销等方面进行比较,实验结果证明所提方法有效且能够在性能和花销之间取得较好的权衡。     

利用冗余核的MPSoC故障检测方法

在处理器可靠性研究中,为在容错机制部署与容错开销之间达到较好的平衡,提出一个利用冗余核进行检测代码计算任务的多处理器片上系统(MPSoC)故障检测方法。该方法利用多核系统天然的冗余特性,将用于进行故障检测的冗余代码中的大部分计算任务转移到冗余核中进行,检测软件控制流的正确性和数据的一致性,实现MPSoC的故障检测。所提方法无需添加额外硬件,通过指令级的冗余进行故障检测,可满足系统可靠性需求,同时又能减少面积开销,在性能方面和花销上做到有效的权衡。在一个MPSoC上对所提方法进行验证实验,通过故障注入,运行多个基准程序进行有效性验证,并将所提方法与几种具有代表性的软件检测硬件故障方法故障检测能力、面积、内存以及性能花销等方面进行比较,实验结果证明所提方法有效且能够在性能和花销之间取得较好的权衡。     

如何防止unFoxPro反编译数据库应用程序

FoxPro编译应用软件采用了伪编译技术,把程序转换成对应的二进制代码,存放在编译后执行文件的覆盖模块中。这样,编译过程比较简单,但特别容易反编译。目前市面上出现了几种反编译FoxPro的工具,如微宏出的反编译博士、慧软出的unFoxPro等等,对于一般的数据库应用程序,非常轻松地就反编译出完整的源程序。通用的加密软件,如果不对FoxPro应用软件做特殊处理,也一样挡不住反编译工具,数据库的开发者为此非常头痛。如何防止unFoxPro等工具反编译自己的数据库软件已经提到一个非常重要的位置。     

基于硬件cache锁机制的Java虚拟机即时编译器优化

Java虚拟机即时编译器以方法为单位进行编译,编译器将字节码方法编译成可执行代码,并经过数据cache存入内存中,当再次执行到该代码段时,处理器需要从包含该代码段的内存区域取指令执行,如果该内存区域在数据cache中已经建立映射,就可以直接从数据cache中读取数据,读数据的性能就会有大幅度的提高.但是编译生成的大量可执行代码在cache中频繁替换,当生成代码被替换出cache后,代码再次执行时处理器必须访问速度较慢的主存储器,成为编译器的性能瓶颈.设计并实现了硬件cache锁机制,提出了一种软硬件协同设计的即时编译方法.通过该方法,生成代码执行时的cache失效次数降低了6.9%,SPECjvm2008中程序最高获得了17.9%的性能提升,平均性能提升4.2%.     

编译支持的多变体融合执行设计与实现

多变体执行是由异构冗余变体并行执行来检测攻击的一种技术。作为一种主动防御技术,多变体执行(multi-variant execution,MVX)通过并行运行的异构执行体之间一致性检查发现攻击行为。相较于补丁式的被动防御,MVX可在不依赖攻击特征信息的情况下防御已知漏洞乃至未知漏洞威胁,在网络安全领域具有广泛的应用前景。然而该技术在实际部署中,由于多变体执行架构的边界不清晰,将随机数、进程PID号等被动地纳入到了表决范围,从而产生误报,导致多变体执行无法兼容更多的软件系统。本文分析了多变体执行假阳问题产生的原因,提出I-MVX,一种编译支持的多变体融合执行架构,包括多变体同步编程框架和运行时同步模块。I-MVX通过添加少量编译指示,在编译阶段对程序内部引起假阳性问题的代码和变量进行插桩标识,在运行时由监视器对变体进程内部和外部的变量及资源进行同步处理,消除多变体执行中的误报。本文基于LLVM/Clang编译器和Linux内核加载模块设计实现了I-MVX的编译器和同步监视器。性能实验评估显示,I-MVX在SPEC 2006基准测试集和tinyhttpd测试程序下引入的平均开销分别为2.13%和13.2%。多变体融合执行架构能够以少量的性能损耗为代价有效解决多变体执行中的假阳问题,提升多变体执行的可用性。基于真实CVE漏洞的安全性测试表明,I-MVX在保证多变体执行安全防御有效性基础上提升了多变体执行的兼容性。     

基于特征融合的恶意加密流量识别

随着加密技术的全面应用, 越来越多的恶意软件同样采用加密的方式隐藏自身的网络活动, 导致基于规则和特征的传统方法无法满足准确性和普适性的要求. 针对上述问题, 提出一种层次特征融合和注意力的恶意加密流量识别方法. 算法具备层次结构, 依次提取数据包的特征和会话流的特征, 前一阶段设计全局混合池化方法进行特征融合; 后一阶段使用注意力机制提高BiLSTM网络分析序列关系的能力. 最终, 实验采用CIC-AndMal 2017数据集进行验证, 结果表明: 模型设计合理, 相比TextCNN模型和HST-MHSA模型, 漏报率分别降低5.8%和2.6%, 加权F1值分别提高4.7%和3.5%, 在恶意加密流量识别和分类方面体现良好的优化效果.     

一种具有时间多样性的虚拟机软件保护方法

软件核心算法防逆向保护,是软件研发乃至软件产业发展的迫切需求,也是当前软件安全研究领域的热点之一.虚拟机软件保护作为一种保护强度高、商业应用广的技术,已被用于软件核心算法保护,并在很大程度上能够抵御攻击者的逆向分析.但这种保护方法难以抵御累积攻击,无法提供更加持久的保护.时间多样性是指一个软件在不同时间被执行时,执行路径不同,主要用于抵御累积攻击.将时间多样性与虚拟机软件保护相结合,提出了一种具有时间多样性的虚拟机软件保护方法,称为TDVMP.在TDVMP中,通过构造多条相异的执行路径,使得被保护软件在不同次执行时,能够动态选取不同执行路径,从而极大地增加了攻击者进行累积的核心算法逆向分析攻击的难度.同时,对于TDVMP设计中的关键问题,比如多执行路径的构造与选择等进行了详细讨论.此外,提出了时间多样性保护效果的评价指标,并给出了其度量及计算方法.以所实现的原型系统为基础,通过一组具有一定实用价值的实例,对所提出的方法进行了测试、实验.结果表明,TDVMP对于软件核心算法防逆向保护是有效且实用的.     

交叉特征融合和RASPP驱动的场景分割方法

本文针对场景中目标多样性和尺度不统一等现象造成的边缘分割错误、特征不连续问题, 提出了一种交叉特征融合和RASPP驱动的场景分割方法. 该方法以交叉特征融合的方式合并编码器输出的多尺度特征, 在融合高层语义信息时使用复合卷积注意力模块进行处理, 避免上采样操作造成的特征信息丢失以及引入噪声的影响, 细化目标边缘分割效果. 同时提出了深度可分离残差卷积, 在此基础上设计并实现了结合残差的金字塔池化模块——RASPP, 对交叉融合后的特征进行处理, 获得不同尺度的上下文信息, 增强特征语义表达. 最后, 将RASPP模块处理后的特征进行合并, 提升分割效果. 在Cityscapes和CamVid数据集上的实验结果表明, 本文提出方法相比现有方法具有更好的表现, 并且对场景中的目标边缘有更好的分割效果.     

一种基于文件过滤驱动的Windows文件安全保护方案

针对提高文件安全级别需要较高安全成本问题,提出了一种低成本高安全的Windows文件保护方法。该方法采用Windows NT驱动框架,基于文件系统过滤驱动技术实现对文件进行透明加解密。文件内容用快速的对称算法加密,并且一文件一密钥。文件密钥用安全性更高的非对称算法加密,加密密钥保存于专用密钥文件中,用户私钥存放在密钥U盘里。在此基础上,提出了一种文件安全共享的方法。分析和应用表明,该方案在增加较少硬件成本基础上,可有效保护存储设备遗失或被盗、管理员密码被破解、文件共享时的文件安全。     

基于大数据分析的用户信息多重加密存储技术

在大数据的分析中,当前方法对信息进行加密存储时,主要以线性微分求解对混合加密存储方法进行优化。在对密钥进行扩展的过程中,信息链路加密存储的信息出现非线性的突变,造成加密存储的信息安全性较低。鉴于此,提出一种基于超带宽的用户信息多重加密存储方法。利用混沌映射给用户信息增加反破解的保护外壳,以 达到大数据分析下用户信息多重加密的目的,克服了当前方法存在的弊端,降低了加密信息存储产生的非线性突变。利用超带宽多重加密存储技术对用户信息进行多重加密存储,有效地增强了加密存储信息的抗攻击性,提高了用户信息多重加密存储的安全性,完成了对基于大数据分析的用户信息多重加密存储技术的研究。实验结果表明,利用该方法进行信息的多重加密存储提高了信息的安全性。     

申威众核处理器访存与通信融合编译优化

申威众核片上多级存储层次是缓解众核“访存墙”的重要结构.完全由软件管理的SPM结构和片上RMA通信机制给应用性能提升带来很多机会,但也给应用程序开发优化与移植提出了很大挑战.为充分挖掘片上存储层次特点提升应用程序性能,同时减轻用户编程优化负担,本文提出了一种多级存储层次访存与通信融合的编译优化方法.该方法首先设计了融合编译指示,将程序高层信息传递给编译器.其次构建了编译优化收益模型并设计了启发式循环优化方案迭代求解框架,并由编译器完成循环优化方案的求解和优化代码的变换.通过编译生成的DMA和RMA批量数据传输操作,将较低存储层次空间中高访问延迟的核心数据批量缓冲进低访问延迟的更高存储层次空间中.在三个典型测试用例上进行了优化实验测试与分析,结果表明本文所提出的优化在性能上与手工优化相当,较未优化版程序性能有显著提升.     

同态公钥加密系统的图像可逆信息隐藏算法

同态加密技术在加密信息、对信息进行隐私保护的同时,还允许密文数据进行相应的算术运算(如云端可直接对同态加密后的企业经营数据进行统计分析),已成为云计算领域的一个研究热点.然而,由于云存在多种安全威胁,加密后信息的安全保护和完整性认证问题仍然突出.另外,信息在加密后丢失了很多特性,密文检索成为了云计算需要攻克的关键技术.为了实现对加密图像的有效管理及其安全保护,本文提出了一种基于同态加密系统的图像可逆信息隐藏算法.该算法首先在加密前根据密钥选择目标像素,并利用差分扩展DE(Difference Expansion)的方法将目标像素的各比特数据嵌入到其它像素中.然后,利用Paillier同态加密系统对图像进行加密得到密文图像.在加密域中,利用待嵌入信息组成伪像素,加密后替换目标像素,完成额外信息的嵌入.当拥有相应的密钥时,接收方可以分别在密文图像或明文图像中提取出已嵌入的信息.当图像解密后,通过提取出自嵌入目标像素的各比特数据来恢复原始图像.实验仿真结果表明,该算法能够在数据量保持不变的前提下完成同态加密域中额外信息的嵌入,信息嵌入快速高效,并可分别从加密域和明文域中提取出嵌入的信息.     

基于SqueezeNet的轻量级图像融合方法

现有深度红外和可见光图像融合模型网络参数多,计算过程需要耗费大量计算资源和内存,难以满足移动和嵌入式设备上的部署要求。针对上述问题,提出了一种基于SqueezeNet的轻量级图像融合方法,该方法利用轻量级网络SqueezeNet提取红外和可见光图像特征,并通过该网络提取的特征获得权重图并进行加权融合,进而获得最后的融合图像。通过与ResNet50方法进行比较发现,该方法在保持融合图像质量相近的情况下,模型大小和网络参数量分别被压缩为ResNet50方法的1/21和1/204,运行速度加快了4倍。实验结果表明,该方法不仅降低了融合模型的大小,加快了图像融合速度,同时得到了比其他传统融合方法更好的融合效果。     

模拟电路免疫记忆网络故障诊断新方法

提出了一种基于免疫记忆网络理论与$k$近邻算法的模拟电路故障诊断方法。首先,利用免疫记忆网络寻找各故障空间的最佳记忆抗体。在免疫记忆网络中根据浓度来选择记忆抗体,以促进记忆抗体在各故障空间的均匀分布。利用克隆和超级变异机制来保证抗体多样性,再利用浓度和期望值对抗体进行促进和抑制,以避免早熟现象的产生;然后,根据所得到的各故障空间的最佳记忆抗体,使用改进的阈值k近邻算法对抗原进行故障分类;最后,以带通滤波器为诊断实例,利用实际电路测试数据和仿真数据作为测试样本进行故障诊断性能评估;实验结果证明该故障诊断方法具有较高的故障诊断率。     

动态进化多目标优化中的串式记忆方法

如何利用过去搜索到的最优解对新的环境变化做出快速响应,是动态进化多目标优化(Dynamic Evolutio-nary Multi- objective Optimization,DEMO)研究的一大挑战。为此提出了一种串式记忆(Bunchy Memory,BM)方法。设计了基于极小化效应函数的抽取过程,从非支配集中抽取一串记忆串,以便保持记忆的多样性;将记忆体组织成串式队列的方式,以便将过去数次环境变化下抽取的记忆串存入记忆体;提出了基于二进制锦标赛选择的检索过程以复用记忆体中过去的最优解,来快速响应新的变化。BM方法具有良好的记忆效果,显著地提高了DEMO算法的收敛性和多样性。4个标准测试问题上的实验结果表明,BM方法比其它3种方法具有更好的记忆能力。相应地,集成了BM方法的DEMO算法所获得解集的收敛性与多样性也明显好于其它3种DEMO算法。