一种基于静、动态分析相结合的漏洞挖掘分析方法

基于源码与二进制文件的的静态漏洞挖掘分析可以检测出很多漏洞,但同时存在很多漏报以及误报。动态分析技术分析动态调试器中程序的内存、状态以及调试器的寄存器等信息,进而发现潜在的安全漏洞,具有较高的准确率和较强的针对性。但动态漏洞分析技术在输入数据格式较为复杂时,很容易构造出触发程序异常的数据。针对二者的不足,本文提出了一种基于静、动态结合的漏洞挖掘分析方法,为漏洞挖掘分析增添了新的思路。     

C/C++程序静态内存泄漏警报自动确认方法

内存泄漏是C/C++程序的一种常见的、难以发现的缺陷,一直困扰着软件开发者,尤其是针对长时间运行的程序或者系统软件,内存泄漏的后果十分严重.针对内存泄漏的检测,目前主要有静态分析和动态测试两种方法.动态测试实际运行程序,具有较大开销,同时依赖测试用例的质量;静态分析技术及自动化工具已经被学术界和工业界广泛运用于内存泄漏缺陷检测中,然而由于静态分析采取了保守的策略,其结果往往包含数量巨大的误报,需要通过进一步人工确认来甄别误报,但人工确认静态分析的结果耗时且容易出错,严重限制了静态分析技术的实用性.本文提出了一种基于混合执行测试的静态内存泄漏警报的自动化确认方法.首先,针对静态分析报告的目标程序中内存泄漏的静态警报,对目标程序进行控制流分析,并计算警报的可达性,形成制导信息;其次,基于警报制导信息对目标程序进行混合执行测试;最后,在混合执行测试过程中,监控追踪内存对象的状态,判定内存泄漏是否发生,对静态警报进行动态确认并分类.实验结果表明该方法可以对静态内存泄漏警报进行有效的分类,显著降低了人工确认的工作量.实验详情参见：http://ssthappy.github.io/memleak/.     

基于行为分析的黑客攻击软件自动化分析工具的设计与实现

静态分析和动态分析是两种主流的恶意代码分析技术.随着反调试、程序补丁、代码混淆、多态和变型等技术的出现,静态分析技术的局限性越来越明显.该文设计了一种基于内核调用和正则表达式技术的恶意软件自动化分析工具,并用熊猫烧香病毒进行了验证,此工具提高了自动化分析的效率.     

一种面向二进制的控制流图混合恢复方法

控制流图恢复是进行二进制文件安全性分析的基础,静态恢复分析速度快,但其精确度欠缺;动态恢复方法的优点是精确度高,但分析效率较低。将两者优点结合,提出了面向二进制程序的混合分析恢复方法,在对二进制文件进行静态分析生成控制流图的基础上,结合局部符号执行技术和反向切片技术对间接分支跳转的目的地址进行求解,之后再分析边和节点的可达性,合并不可达的边和节点。经实验验证,混合方法的分析效率与静态方法相近,远高于纯动态分析方法,其精确度较静态方法有较大提高。     

面向动态加载的Android恶意行为动静态检测方法

动态加载是Android提出的一种新的执行体分类的运行时加载机制,能够有效提高动态行为配置能力。但由于动态加载部分的程序不包含在APK中,因此静态分析技术无法对动态加载点的恶意行为形成有效检测,而动态分析技术则难以覆盖到所有执行路径,也无法形成充分的检测。针对该问题,提出一种动静态结合的检测方法。先对宿主APK进行静态分析提取Call-Graph,以获得动态加载点的执行路径,再通过路径制导的动态执行获取动态加载的程序,从而形成完整的分析。通过实例研究验证了该方法的有效性。     

程序动态分析系统中插装方式的改进

动态分析是程序理解的重要方法,而插装技术是其中常用的关键技术之一.介绍了QESat/C 中动态分析子系统的插装策略,在其基础上提出并实现了新的插装器并改进了插装探针库的效率.实验表明,改进后的动态分析子系统具有插装速度快、动态结果文件小、动态信息合并效率高的优点.展望了现有系统如何支持新的动态分析技术,最后对全文进行了总结.     

动态指令流差分分析在恶意软件分析中的应用*

针对静态分析方法已不能满足安全分析的需求,而传统的动态分析技术不能快速定位关键信息,且分析效率不高,提出了一种动态指令流差分分析技术,描述了差分分析模型和分析方法。该分析技术能够高速有效地分析恶意软件的关键数据,识别加密算法,分析混淆代码的功能模块和数据扩散情况。通过实验对其可行性和高效性进行了验证。     

面向Java EE程序的SQLIA漏洞分析和验证方法

SQLIA漏洞破坏Web后台数据库的完整性,一直是Web应用安全的主要威胁。提出一种检测和验证Java Web程序的SQLIA漏洞的解决方案,将静态分析与动态验证相结合,并且形式化定义指令级污点传播操作语义,能够有效跟踪跨文件和跨页面的污点传播。静态分析首先对Source进行预处理和分类得到真实可靠的Source集合,然后应用方法、请求、会话、方法调用等多重关系匹配潜在的Source和Sink对,使得分析过程可以过滤无关Source和Sink,最后结合静态污点分析和活跃变量分析排除不可能存在污点传播路径的Source和Sink。动态验证首先对程序插桩,然后在执行程序的同时进行动态污点传播并生成Trace,基于Trace验证静态分析结果的正确性,获得真实污点传播路径的漏洞集合。原型系统基于Soot框架实现,对若干开源程序的实验结果表明了方法的有效性。     

Java指针分析综述

近年来静态程序分析已成为保障软件可靠性、安全性和高效性的关键技术之一.指针分析作为基础程序分析技术为静态程序分析提供关于程序的一系列基础信息，例如程序任意变量的指向关系、变量间的别名关系、程序调用图、堆对象的可达性等.介绍了Java指针分析的重要内容：指针分析算法、上下文敏感、堆对象抽象、复杂语言特性处理、非全程序指针分析，特别是对近年来指针分析的研究热点选择性上下文敏感技术进行了梳理和讨论.     

动态事件序列制导的Android应用漏洞验证技术

目前Android应用漏洞检测方法分为静态分析和动态分析。其中,静态分析存在误报率较高的问题,动态分析降低了误报率,但是存在运行效率和覆盖率较低的问题。针对动态分析存在的问题,首次提出了动态事件序列制导的Android应用漏洞验证技术,该技术使用自动化UI触发的方法生成Activity跳转关系图,然后对漏洞嫌疑路径进行精确制导,最后对漏洞触发嫌疑路径是否执行进行验证。经过对10 122个应用进行自动化漏洞分析,结果为召回率96.12%,误报率2.66%。实验结果表明,动态事件序列制导的Android应用漏洞验证技术对于自动化分析应用漏洞有很好的效果。     

二进制代码安全分析综述

近几十年来,计算机硬件性能和软件规模技术已不同以往,其承载了人类社会生活生产的方方面面.计算机技术的飞速发展,也带来了人们对程序安全问题的关注.由于市面上存在着较多的遗留软件,这些软件无人维护且缺乏源代码支持,其安全性令人担忧,而二进制分析技术被用来解决该类软件问题.二进制分析技术根据其检测方式不同可分为:基于静态的二进制代码分析技术、基于动态的二进制代码分析技术和动静态混合的二进制代码分析技术.本文调研了近年来的二进制代码安全分析领域上相关研究,分别详细阐述了这3类技术中的主要方法,并对其关键技术进行详细介绍.     

基于Java3D化工网络虚拟场景的构建

分析3D技术的异同,选取Java3D构建化工网络虚拟场景。以超临界萃取的实验场景为研究对象,以场景的构建技术为区分标准,分别描述了构建静态场景和动态场景的实现技术。静态场景包括单元设备和复杂流程的构建;动态场景包括表面贴图和动态组合的构建,动态组合又细分为Moved object、Animated object、Picked object三类内容分支。静态场景与动态场景混合构建的方式展示了实验操作和实验现象。最后对该领域的前景作出展望并提出未来的研究方向。     

Parameter reference immutability: formal definition, inference tool, and comparison

Knowing which method parameters may be mutated during a method’s execution is useful for many software engineering tasks. A parameter reference is immutable if it cannot be used to modify the state of its referent object during the method’s execution. We formally define this notion, in a core object-oriented language. Having the formal definition enables determining correctness and accuracy of tools approximating this definition and unbiased comparison of analyses and tools that approximate similar definitions. We present Pidasa, a tool for classifying parameter reference immutability. Pidasa combines several lightweight, scalable analyses in stages, with each stage refining the overall result. The resulting analysis is scalable and combines the strengths of its component analyses. As one of the component analyses, we present a novel dynamic mutability analysis and show how its results can be improved by random input generation. Experimental results on programs of up to 185 kLOC show that, compared to previous approaches, Pidasa increases both run-time performance and overall accuracy of immutability inference.     

一种混合的Android恶意应用检测方法

针对静态检测和动态检测方式存在的问题,提出了一种基于混合方式的恶意移动应用检测方法。该方法采用静态分析和动态分析相结合的方式,通过静态分析获取权限特征和函数调用特征,通过动态分析在沙盒环境下借助于事件仿真获取系统调用序列并提取函数调用依赖关系特征;在此基础上,提出了一种基于集成学习的分类器构造方法,区分恶意应用和正常应用。在来自于第三方应用市场中的3000个样本集上进行了实验验证,结果表明基于混合方式的恶意应用检测效果要优于基于静态分析的方式和基于动态分析的方式;考虑多种类型特征的样本上的检测精度要高于采用单一特征刻画的样本上的值;采用集成分类器具有较好的检测精度。     

Using Static Analysis to Reduce Dynamic Analysis Overhead

Dynamic analysis (instrumenting programs with code to detect and prevent errors during program execution) can be an effective approach to debugging, as well as preventing harm from being caused by malicious code. One problem with this approach is the runtime overhead introduced by the instrumentation. We define several techniques that involve using the results of static analysis to identify some cases where instrumentation can safely be removed. While we have designed the techniques with a specific dynamic analysis in mind (that used by the Runtime Type-Checking tool), the ideas may be of more general applicability.     

混合视觉系统的运动物体检测和静态地图重建

复杂动态背景环境下的运动物体检测和静态地图重建中容易出现运动物体检测不完整的问题。针对上述问题,提出了一种混合视觉系统下点云分割辅助的运动物体检测方法。首先,提出了直通滤波+随机采样一致性（PassThrough+RANSAC）方法来克服大面积墙壁干扰以实现点云地面点的识别;其次,将非地面点数据作为特征点投射到图像上,并估计其光流运动向量和人工运动向量,从而对动态点进行检测;然后,采用动态阈值策略对点云进行欧氏聚类;最后,整合动态点检测结果与点云分割结果来完整地提取出运动物体。此外,通过八叉树地图（Octomap）工具将点云地图转换为三维栅格地图以完成地图的构建。通过实验结果和数据分析可知,所提方法可以有效提高运动物体检测的完整性,同时重建出低损耗、高实用性的静态栅格地图。     

串扰目标识别框架

提出了一个全面识别静态和动态串扰噪声的算法框架,在静态串扰噪声的识别中,通过静态串扰噪声的峰值以及噪声宽度信息来识别串扰目标。在动态串扰噪声的识别中,引入了混合时序分析,缩小了时间窗区间,并通过测试生成来验证信号间的逻辑关系,通过这些准确的时序及逻辑信息,识别出串扰目标。     

Subroutine Inlining and Bytecode Abstraction to Simplify Static and Dynamic Analysis

In Java bytecode, intra-method subroutines are employed to represent code in “finally” blocks. The use of such polymorphic subroutines within a method makes bytecode analysis very difficult. Fortunately, such subroutines can be eliminated through recompilation or inlining. Inlining is the obvious choice since it does not require changing compilers or access to the source code. It also allows transformation of legacy bytecode. However, the combination of nested, non-contiguous subroutines with overlapping exception handlers poses a difficult challenge. This paper presents an algorithm that successfully solves all these problems without producing superfluous instructions. Furthermore, inlining can be combined with bytecode simplification, using abstract bytecode. We show how this abstration is extended to the full set of instructions and how it simplifies static and dynamic analysis.     

静态二进制翻译中动态地址解析恢复技术研究

静态二进制翻译的入口点通常为main函数,所以main函数执行之前的动态地址解析部分就无法在目标机上恢复。通过分析基于ELF文件的动态地址解析机制,提出了在目标代码中插入代码模拟动态地址解析的方法来解决该问题。该方法已在静态二进制翻译项目中实现,测试结果表明该方法是有效的。     

可信操作系统中可信客体的研究

分析了操作系统中客体的类型,将客体分为静态客体和动态客体,然后总结了安全操作系统中对客体的处理存在的问题。在此基础路上,提出可信静态客体、可信动态客体和可信客体的概念,并分析了可信客体的特点以及与安全客体的关系。最后提出了在可信操作系统客体的可信需求。为下一步将要开展的工作奠定基础。