内存映射型内核级木马的研究与改进

本文对Linux下内存映射型内核级木马的隐藏和检测技术进行了深入的研究，并针对著名的内核级木马SuKit进行了剖析，指出了该木马功能上的不足和实现上的缺陷，进而提出了改进建议和实现方案，在此基础上开发了一个内存映射型内核级木马原型LongShadow。     

内核级木马隐藏技术研究与实践

文章通过对现有Linux下的内核级木马的隐藏和检测技术的分析研究，讨论了有关的隐藏和检测技术，并在此基础上实现了一个内核级木马。通过实验测试，该木马达到了较好的隐藏效果，可以避过目前大多数检测工具的检测。     

新颖的移动代理动态数据完整性保护协议

通过引入攻击者能力来对完整性的强弱进行划分和定义，在此基础上，分析了合谋情况下对动态数据进行截断攻击的问题，并给出了一个新颖的移动代理数据保护协议，该协议通过引入反向签名机制，形成一条从源节点到当前节点的信任链，实现对漫游路径的完整性保护，很好地解决了合谋情况下对动态数据的截断攻击，为自由漫游移动代理提供了更强的完整性保护。还使用形式化方法对协议的安全属性进行了分析验证。     

基于错误根因的Linux驱动移植接口补丁推荐

Linux内核版本变更带来驱动程序调用内核接口的不一致性错误非常频繁,其通过手工修复不仅工作量繁重,还可能引入新的错误.针对这个问题,驱动移植中间库辅助适配和驱动移植辅助信息等方面的已有研究提供了辅助示例,但是还需要人工分析和手工构造补丁,人工修复的工作量依然较大并且效率较低.为此,通过推荐高质量补丁降低人工修复的工作量并提高修复效率.与传统方法通过错误代码形式的相似性识别同类错误不同,提出依据错误发生的相同原因和来源识别同类错误.提出了一种分层搜索算法用于获取待修复错误对应的错误根因,通过错误根因识别同类错误的修复实例,从其中提取并选择针对性修复模板实现同类未修复错误的高质量补丁推荐.在收集的19个真实驱动程序数据集上的实验表明,所提方法相比传统方法的补丁推荐正确率有显著提高.     

面向递增累积型缺陷的灰盒模糊测试变异优化

大量访问越界、内存耗尽、性能故障等缺陷是输入中有效数据的规模过大,超过临界值引起的.而现有灰盒模糊测试技术中的数据依赖识别和变异优化技术大都针对固定规模输入数据格式,对规模递增输入数据的构造效率不高.为此,针对这类累积型缺陷模糊测试对应的状态特征值最优化问题,提出一种对特征值依赖的输入数据的格式判别和差分变异方法.根据引发特征值最值更新的有效变异的位置分布和发现频次特征,判别待发现缺陷状态优化是否依赖于输入中相关数据规模的增长,将引发最值更新的有效变异内容应用于规模递增输入数据生成,提升该类累积型缺陷的复现和定向测试效率.依据该思想,实现了模糊测试工具Jigsaw,在测评实验数据集上的实验结果表明提出的判别方法能够高效地区分特征值依赖的输入数据组织形式,且提出的差分变异方法显著提升了需要大量输入才能触发累积型缺陷的复现效率.     

基于源代码扩展信息的细粒度缺陷定位方法

基于信息检索的缺陷定位技术,利用跨语言的语义相似性构造检索模型,通过缺陷报告定位源代码错误,具有方法直观、通用性强的特点.但是由于传统基于信息检索的缺陷定位方法将代码作为纯文本进行处理,只利用了源代码的词汇语义信息,导致在细粒度缺陷定位中面临候选代码语义匮乏产生的准确性低的问题,其结果有用性还有待改进.通过分析程序演化场景下代码改动与缺陷产生间的关系,提出一种基于源代码扩展信息的细粒度缺陷定位方法,以代码词汇语义显性信息及代码执行隐性信息共同丰富源代码语义实现细粒度缺陷定位.利用定位候选点的语义相关上下文丰富代码量,以代码执行中间形式的结构语义实现细粒度代码的可区分,同时以自然语言语义指导基于注意力机制的代码语言表征生成,实现细粒度代码与自然语言间的语义映射,从而实现细粒度缺陷定位方法FlowLocator.实验分析结果表明：与经典的IR缺陷定位方法相比,该方法定位准确性在Top-N排名、平均准确率及平均倒数排名上都有显著提高.     

基于已有实例的Linux驱动程序前向移植接口补丁推荐

Linux内核版本频繁升级对驱动程序带来的关联影响程度和影响范围都很大,为了修复这种关联影响带来的驱动程序调用内核接口的不一致性错误,不断修改旧版本驱动代码进行前向移植是一个持续和紧迫的问题.驱动演化辅助理解、驱动移植中间库辅助适配和驱动移植辅助信息等方面的已有研究,通过检索语句级别的辅助信息提高了驱动移植的效率.但是已有方法仅关注了检索辅助信息本身却并没有区分其中包含的有效补丁素材,因此还需要人工分析和手工构造适配性补丁.为了克服上述限制,提出了一种全新的方法旨在推荐驱动前向移植中接口错误的高质量补丁.观察发现,依赖相同内核接口服务的多个不同驱动程序之间存在相同或相似的内核接口调用,内核版本升级后其他驱动的历史开发信息中可能存在这种复用接口及其使用变更的已有实例代码.利用出错接口语句和相似已有实例的共性分析错误问题的特点,通过已有实例的辅助作用抽取针对性的接口修改方式和修改内容等细粒度素材生成待推荐补丁.具体结合分界点识别、相似度计算、细粒度差异比较和频度计算确定有效修改方式.提出了一种基于已有实例差异特征的分类算法,通过区分修改内容的不同类型分别从2种数据源提取.最后使用编辑脚本技术生成推荐补丁列表.在9个不同类型的真实驱动程序上的实验表明,该方法能够推荐驱动移植中7类接口错误补丁,有效补丁占比约67.4%,对现有辅助方法形成了有效补充和拓展.     

基于感知哈希的图像内容鉴别性能分析

感知哈希能有效地区分不同内容的图像,常用于检测盗版或重复的图像内容鉴别应用中.针对已有的对感知哈希的图像内容鉴别应用研究主要集中在算法设计上,缺少对其性能评价的理论方法的问题,提出从理论上评价内容鉴别性能的方法.该方法基于一类图像感知哈希算法的抗碰撞特性建立了内容鉴别的判定模型,并定义内容鉴别的性能公式,最后推导出统计学上的函数作为性能评价指标.实验结果表明,文中方法能很好地估计感知哈希在内容鉴别应用中的性能.     

基于IDS报警信息源的入侵检测*

对入侵检测系统产生的报警信息进行二次分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。在对入侵检测系统报警信息进行分析的基础上,提出了全面对报警信息进行根源分析和关联分析的框架,并给出了具体实现方法。实验结果证实了该方法的有效性。     

基于系统调用的入侵检测新方法*

通过分析系统调用行为特征,提出了程序的系统调用行为可以用有限状态自动机来描述的方法,证明了算法产生的自动机的完整性,并给出算法性能分析结果。