基于行为轨迹属性的软件动态可信模型*

针对软件动态可信度量方法中准确性和效率存在的问题,提出以行为区间划分软件的结构并以行为轨迹属性刻画软件行为的基于行为轨迹属性的软件动态可信模型SBMDB(Software Behavior Model for Dynamic Trustworthiness Based on Behavior Path Properties)。通过对软件功能进行分析,划分软件的行为轨迹区间,提取区间的行为轨迹属性。同时,针对区间的包含、嵌套问题提出了区间化简算法,建立软件的行为模型。该模型以行为轨迹区间为度量基本单位,降低了度量时的整体消耗,提高了度量的效率。实验分析表明,该模型能够精确获取软件的行为信息,有效地检测攻击行为。与其它模型相比,SBMDB可以在保证度量结果准确性基础上提高度量效率。     

一个新的软件行为动态可信评测模型

针对软件动态可信性度量方法和理论研究中存在的问题,提出以行为轨迹和检查点场景来刻画软件行为的动态特性,通过计算系统调用上下文值以及构造系统调用参数关系约束规则来评测行为轨迹和检查点场景的偏离程度.构建了基于软件行为自动机的动态可信评测模型.实验结果表明,本模型能够准确获取软件行为信息,正确检测出攻击行为,且系统开销较低.     

一种可信软件设计方法及可信性评价

针对可信计算组织TCG(Trusted Computing Group)的信任链无法保障软件运行时动态可信的问题,对该信任链进行扩充,引入对软件运行时动态可信性的检测,提出了可信引擎驱动的可信软件信任链模型,并在此基础上提出了一种可信软件设计方法及可信性评价策略.通过引入描述软件可信行为轨迹的可信视图,在可信软件检查点处植入检查点传感器,将软件可信性融入软件设计中.通过对软件的完整性度量以及运行过程中软件行为轨迹的监测,实现软件的可信性保障.实验分析表明:采用该方法设计的软件能够有效地检测软件异常,并且成功检测软件异常的能力明显优于基于TCG信任链的软件.     

软件安全逆向分析中程序结构解析模型设计

提出了一种基于二进制文件的程序结构解析模型。该模型通过对二进制文件反汇编,去除汇编文件中的冗余信息,对汇编文件进行静态分析,构建带有索引依赖信息的基本块,并以该基本块为基础提取二进制程序的内部控制流与函数调用关系信息,最后给出程序内部控制流图以及函数调用关系图。该模型不依赖程序的源文件,以二进制文件为分析对象,实用性和通用性比较好;实验结果表明模型对二进制程序内部结构解析具有较高的准确性。     

基于行为的可信动态度量的状态空间约简研究

针对复杂并发计算机系统行为可信的动态度量研究中,细粒度动态度量所引发的状态空间爆炸问题一直是研究的难点.文中基于并发理论研究复杂并发计算机系统行为可信问题,在保障度量可靠性的前提下对系统状态空间进行约简,即通过标记变迁系统模型描述行为系统,通过事件结构模型研究行为关系,依据行为关系对变迁系统中各条路径进行重构,合并重构路径中相同的路径,实现变迁关系集约简,缩小状态空间.通过上述方法缓解了状态空间爆炸,并且,根据约简后的状态空间得到面向行为的可信动态度量的行为预期,增加细粒度动态度量方法在复杂系统中应用的可行性.     

移动终端软件可信性度量模型研究

目前软件可信性度量的理论方法尚未完善,对于移动终端软件可信性的度量研究还没有相关的理论方法。文章以Android系统为例对可信行为声明进行研究,提出了基于Android系统的可信行为声明的描述内容。最后从软件可信性度量与评价问题入手,建立了Android软件可信性度量模型。     

度量行为信息基的可信认证

为了提高远程认证的灵活性和效率,提出将Merkle哈希树应用到基于可信平台的行为动态验证中,给出创建认证度量行为信息基AM_AIB的过程。通过度量当前行为,计算得到行为发生时根哈希值,然后远程认证。根哈希值由可信平台模块(TPM)签名,传递给服务器端验证,如果和服务器端的根哈希值一致,表明该行为是可信的。可根据行为特性设计不同粒度的行为信息基。实验结果表明,该模型能提高时间性能,验证方式灵活,保护平台隐私,克服了基于属性验证的静态特点,确保了平台应用软件运行时可信。     

基于威胁模型的软件安全性测试

相对于传统测试主要关注软件的肯定需求,安全性测试则主要关注软件的否定需求。基于威胁模型的软件安全性测试是从攻击者的角度对软件进行测试。使用UML顺序图对安全威胁进行建模,从威胁模型中导出消息序列,从消息序列中导出威胁行为轨迹。程序编码完成后,对代码进行插桩以记录程序运行时的方法调用和执行的轨迹。设计测试用例,执行插桩后的程序并记录程序运行时的执行轨迹,将记录的程序执行轨迹与模型中导出的威胁行为轨迹进行比较,以确定程序中是否存在违反安全策略的威胁行为。     

基于软件行为轨迹的可信性评价模型

软件动态可信性评价已经成为信息安全领域研究的一个热点问题.为了提高评价的精确性,在充分考虑了软件的运行流程和运行背景的基础上,提出了基于软件行为轨迹的可信性评价模型(CEMSBT).该模型引入软件行为轨迹描述软件行为,软件行为轨迹由运行轨迹和功能轨迹构成,运行轨迹表示软件运行时的有序操作,表征为有序的检查点向量;功能轨迹则由能够表征软件功能的一系列场景来刻画.为了减少可信性评价的时间和空间开销,给出了软件行为轨迹的化简规则.模型应用检查点的标识评价规则和场景评价规则对实际的软件行为进行评价.考虑到分支给程序带来的随机性很可能被入侵者利用,分支处的检查很必要.模型通过场景确定分支的走向,从而降低了分支处异常情况的漏报率.仿真实验表明CEMSBT具有较高的精确性和效率.     

基于静态行为轨迹的异常特征检测技术

针对现有程序静态异常特征检测中存在的对未知变种识别率低的问题,本文提出一种基于静态行为轨迹的特征提取与检测方法,特征建模阶段采用变长n-gram算法对样本的函数调用序列进行特征建模,并从中提取异常特征。检测阶段,通过对函数调用序列的分片所生成的轨迹段与特征库中的序列段进行匹配,并将可信度加入判决值的计算中,与判决阈值做比较,以克服静态基于字节序列的特征码检测误报率较高的缺陷。实验表明,基于静态行为轨迹的异常特征检测技术具有较高的准确率和较低的误报率。     

基于系统调用属性的程序行为监控

程序的行为轨迹常采用基于系统调用的程序行为自动机来表示.针对传统的程序行为自动机中控制流和数据流描述的程序行为轨迹准确性较低、获取系统调用上下文时间开销大、无法监控程序运行时相邻系统调用间的程序执行轨迹等问题,提出了基于系统调用属性的程序行为自动机.引入了多个系统调用属性,综合系统调用各属性的偏离程度,对系统调用序列描述的程序行为轨迹进行更准确地监控;提出了基于上下文的系统调用参数策略,检测针对系统调用控制流及数据流的行为轨迹偏离;提出了系统调用时间间距属性,使得通过系统调用及其参数无法监控的相邻系统调用间的程序行为轨迹在一定程度上得到了监控.实验表明基于系统调用属性的程序行为自动机能够更准确地刻画程序行为轨迹,较传统模型有更强的行为偏离检测能力.     

基于软件行为的可信评价研究

为了准确合理地评价软件可信性,提出了基于软件行为的可信评价模型。首先,在软件行为迹中设置监控点,根据监控点各属性的性质及其在可信评价系统中的作用,将监控点的属性分为控制流和数据流两级。其次,针对控制流级属性,提出基于支持向量机(Support Vector Machine,SVM)的软件行为迹的评价方法;针对数据流级属性,提出基于模糊层次分析法的场景属性评价方法。最后,实验分析表明,基于软件行为的可信评价模型能够准确地评价 软件可信性,并且具有较高的效率。     

基于划分的二进制文件相似性比较方法

针对传统文件结构化相似性比较法中采用基本块(BB)一对一映射而造成的巨大时空消耗及基本块比较结果的绝对化问题,提出一种基于划分思想的文件结构化相似性比较方法。该方法首先对用于基本块比较的小素数积法进行改进,通过改进方法将函数内的基本块进行分类,再结合基本块签名与属性的权重求得基本块间的相似率,从而计算出最终的函数相似率及文件相似率。通过函数相似率比较实验分析,与未考虑划分思想的绝对化基本块比较算法相比,该方法在比较效率及准确率上均有所提升。实验结果表明,该方法在减少比较时间的同时提高了比较准确率,在实际二进制文件相似性比较的应用中更可行。     

面向危险函数调用的多粒度影响分析方法研究

针对软件开发过程中,变量变更造成的缓冲区溢出检测成本高、效率低等问题,提出了一种基于数据拓扑的危险函数调用影响分析方法,从变量粒度和路径粒度分析变量变更对危险函数调用的影响。通过静态分析源代码,提取变量定义、引用及依赖关系信息、危险函数调用信息和函数调用关系等内容;构建变量依赖关系集合,对变更变量进行数据拓扑分析,结合变量在栈内的分布规律,获取变量影响域;结合函数调用关系信息建立变量影响分析模型,获取路径影响域;根据变量影响域和路径影响域获取变更变量对危险函数调用的影响。实验结果表明,此方法界定变量变更对危险函数调用的影响更加精准。该方法可理解性和可用性较高,能够有效提高软件回归测试的精度和效率。     

ELM算法在用户用电行为分析中的应用

对于非法用电行为的检测,电力企业通常采用传统的人工检查方式,而这种方式的准确率和效率往往都比较低. 提出一种将极限学习机（ELM）应用于预测存在非法用电行为用户的方法. 首先,在收集到的用户历史用电数据,对原始数据进行预处理. 然后,应用ELM算法建立异常用电行为的神经网络模型. 最后,在真实用电数据上进行实证分析,通过与随机森林算法建立的预测模型及预测结果的对比,证明提出的方法具有较高的准确率和较好的性能.     

MB90F549单片机在井下管柱状态检测系统中的应用

本文介绍了富士通公司MB90F540／545系列单片机的性能特点,阐述了以MB90F549为核心的井下管柱状态检测系统组成及基本功能,介绍了MB90F549单片机存储区结构及数据压缩存储技术,提出了低功耗的实现方法,描述了软件功能模块组成及流程图。基于MB90F549单片机的井下管柱状态检测系统性能可靠,有较大的实用价值。     

基于支持向量机的恶意软件行为评估系统

为解决恶意软件行为分析系统中分类准确率较低的问题,提出了一种基于支持向量机(SVM)的恶意软件分类方法。首先人工建立了一个以软件行为结果作为特征的危险行为库;然后捕获软件所有行为,并与危险行为库进行匹配,通过样本转换算法将匹配结果变成适合SVM处理的数据,再利用SVM进行分类。在SVM模型、核函数以及参数对(C,g)的选择方面先进行理论分析确定大致范围,再使用网格搜索和遗传算法(GA)相结合的方式进行寻优。为验证所提恶意软件分类方法的有效性,设计了一个基于SVM模型的恶意软件行为评估系统。实验结果表明,该系统的误报率和漏报率分别为5.52%和3.04%,比K近邻(KNN)、朴素贝叶斯(NB)算法更好,与反向传播(BP)神经网络相当,但比BP神经网络的训练和分类效率更高。