动静结合的攻击代码检测方法

缓冲区溢出攻击是近年来最主要的安全问题之一,攻击者利用缓冲区溢出漏洞执行远程代码,从而达到攻击的目的。Shelleode作为攻击的载体,是缓冲区攻击检测的主要对象。随着检测技术的发展,攻击者更倾向于使用多态技术对Shellcode进行加密来绕过IDS的检测。针对MS Windows操作系统下的Shellcode,提出了一种将静态检测和动态执行相结合的新的攻击代码检测方法。在判断依据上做了新的定义,既使用动态模拟技术提高了对使用多态技术的Shellcode的检侧率,也兼顾了检测的效率。基于该方法,设计和实现了一套原型系统,并进行了检测率、误报率和吞吐率等方面的测试。测试结果表明,该系统在检测Shellcode的准确率和性能方面都达到了令人满意的效果。     

基于动态模拟的多态Shellcode检测系统

通过分析多态Shellcode的行为特征,提出基于动态模拟的判决准则。以此准则为核心,针对现有方法的性能和应用性较差的问题,设计并实现了一个基于动态模拟的多态Shellcode检测系统,其模块采用多种优化技术以提高系统性能。使用3.3 GB实际网络数据和 11 000个多态Shellcode样本对原型系统进行实验,其虚警和漏警率均为0,提高了系统的吞吐量。     

PE文件加壳技术研究与实现

为了维护软件开发者的利益,在软件发布前利用软件保护技术对其进行加密处理已经成为软件开发环节中必不可少的一部分。利用加壳程序对软件加壳就是一种有效的保护软件的方法。常用的加壳程序都会有对应的脱壳程序,不能完全满足软件保护的需求。文章通过分析PE文件结构,研究PE文件的加载机制,设计和实现了一种PE文件加壳程序,实验结果表明其可以有效的实现加壳保护功能。     

虚拟机在软件加壳中的应用研究

为提高壳的安全性,研究了基于虚拟机的加壳技术.虚拟机通过编译器,把原始字节码编译成伪指令;在执行时,通过虚拟机的解释器把伪指令翻译成原始字节码.设计了伪指令,实现了编译器,并对PE文件补充解释器,构建新的PE头部、节表和节.实验表明,基于虚拟机加壳提高了软件的安全性.     

基于融合编译的软件多样化保护方法

针对现有主流保护方法存在的特征明显、模式单一等问题,以 LLVM 开源编译框架为基础,提出了一种基于融合编译的软件多样化保护方法,该方法将目标软件进行随机化加密处理,并在编译层面与掩护软件进行深度融合,通过内存执行技术,将加密后的目标软件进行解密处理,进而在内存中以无进程的形式执行,利用掩护代码的多样性、融合策略的随机性来实现目标软件的多样化保护效果。选取了多款常用软件作为测试集,从资源开销、保护效果、对比实验等多个角度对所提方法进行了实例测试,从测试结果可以看出,所提方法资源开销较小,相较于混淆、加壳等传统方法,所提方法在抗静态分析、抗动态调试等方面具有较大优势,能有效对抗主流代码逆向分析和破解手段。     

虚拟机自省技术研究与应用进展

虚拟机自省技术是备受学术界和工业界关注的安全方法,在入侵检测、内核完整性保护等多方面发挥了重要作用.该技术在实现过程中面临的一个核心难题是底层状态数据与所需高层语义之间的“语义鸿沟”,该难题限制了虚拟机自省技术的发展与广泛应用.为此,本文基于语义重构方式的不同将现有的虚拟机自省技术分为四类,并针对每一类自省技术中的关键问题及其相关工作进行了梳理;然后,在安全性、性能及可获取的高层语义信息量等方面对这四类方法进行了比较分析,结果显示不同方法在指定比较维度上均有较大波动范围,安全研究人员需综合考虑四类方法的特点设计满足自身需求的虚拟机自省方案.最后,本文详细介绍了虚拟机自省技术在安全领域的应用情况,并指出了该技术在安全性、实用性及透明性等方面需深入研究的若干问题.     

PE文件中脱壳技术的研究

对PE(Portable Executable)文件进行加壳是保护软件的有效手段,但恶意程序也会通过加壳来保护自己.作为一名病毒分析师或软件安全分析员,只有先将其脱壳,才能进行彻底的分析.以Windows记事本程序为实例,首先分析了PE文件结构及其加壳原理,其次阐述了脱壳的一般步骤,然后从压缩壳和加密壳的角度,重点探讨了脱壳技术的原理和方法.最后对伪装壳和多重壳及程序自校验进行了探讨和分析.     

通用代码Shell化技术研究

代码Shell化技术是一种实现程序从源码形态到二进制形态的程序变换技术。该技术可用于实现Shellcode生成,生成包括漏洞利用过程中的Shellcode及后渗透测试过程中的功能性Shellcode。文中形式化地描述了程序中代码与数据的关系,提出了一种基于LLVM(Low Level Virtual Machine)的通用程序变换方法,该方法可用于实现操作系统无关的代码Shell化。该技术通过构建代码内置全局数据表和添加动态重定位代码,将代码对数据的绝对内存地址访问转化为对代码内部全局数据表的相对地址访问,重构了代码与数据之间的引用关系,解决了代码执行过程中对操作系统重定位机制依赖的问题,使得生成的Shellcode代码具有位置无关特性。在验证实验中,使用适用于不同操作系统的不同规模的工程源码对基于该技术实现的Shellcode生成系统进行了功能测试,并对比了Shell化前后代码功能的一致性、文件大小、函数数量和运行时间,实验结果表明基于该技术的Shellcode生成系统功能正常,具有较好的兼容性和通用性。     

基于堆栈的Windows Shellcode编写方法研究

为更好地理解与防范缓冲区溢出攻击,对Windows平台下Shellcode的编写、提取技术及验证方法进行了研究.从概念出发,理清了Shellcode与Exploit的区别,分析了Shellcode的工作原理,介绍了利用Shellcode所需的3个步骤.在实验的基础上,总结了Shellcode的编写方法及提取技术,最后给出了验证Shellcode有效性的方法.     

基于二叉树存储的多用户ORAM方案

随着大数据及数据挖掘技术的发展,云计算环境中用户访问模式成为泄露用户隐私的一种途径.不经意随机存取技术(ORAM)是保护用户访问模式的一种有效途径.现有的ORAM方案中,大部分只支持单个用户,而唯一支持多用户的ORAM方案是基于分层ORAM方案设计的,但是其混淆过程的计算复杂度高.为了避免混淆过程,在基于二叉树ORAM方案的基础上,构造了一个多用户的ORAM方案.首先,改进了一个代理加密方案,然后在多个用户和服务器之间引入一个代理,利用改进的代理加密机制,将不同用户加密的数据,通过代理再次加密成相同密钥加密的数据存储到服务器.该方案的安全性基于伪随机函数的不可区分性,其最差情况下的计算复杂度和平均计算复杂度均为O(log2n),比现有的多用户ORAM方案的效率高.     

基于经验模态分解的单通道盲源分离算法

为了提高单通道盲源分离性能,首先由单路信号利用经验模态分解得到一系列本征模函数分量组合成多路信号;其次针对存在模态混叠的本征模函数分量,提出利用信号周期性构造其多路信号、并利用独立分量分析消除模态混叠的有效方法;然后利用互相关性消除上述所得到的多路信号中的虚假分量,并将剩余的分量信号与观测信号构成新的多路信号;最后利用Fast-ICA(fast-independent component analysis)算法分离得到源信号。仿真实验表明该算法能够有效分离源信号,分离性能优于目前已有的基于经验模态分解的单通道盲源分离算法。     

经验模式分解回顾与展望

经验模式分解EMD打破了Fourier变换、小波分解等传统数据分析方法需要预先设定基函数的局限,是一种完全由数据驱动的自适应非线性非平稳时变信号分解方法,可以将数据从高频到低频分解成具有物理意义的少数几个固有模态函数分量和一个余量。首先介绍了原始EMD方法的原理和算法;接着,总结归纳了EMD当前的研究现状,分析了EMD存在的端点效应、模态混叠、运行速度问题及其在二维情况下的问题并对国内外学者解决这些问题的方法进行了概述和比较;最后结合EMD研究存在的难题指出了EMD进一步研究与应用的发展方向。     

Observer Based Control of a Missile Seeker System Using Sliding Modes

Control of the seeker is important for successful operation of a missile. This paper proposes robust sliding mode control (SMC) with sliding mode observer (SMO) for the seeker. The SMO is designed for the extended state system wherein the disturbance is considered as an additional state. Estimated disturbance is used to update the SMC law.     

EMD-IT去噪算法的阈值估计方法

为解决EMD-IT去噪算法中阈值难以确定的问题,提出一种基于高斯白噪声能量分布的阈值估计方法。将含噪信号进行经验模态分解并估计各固有模态函数(IMF)中噪声的能量;根据模态单元阈值的含义,在各IMF中利用去除掉的模态单元包含的总能量等于噪声能量这一准则估计阈值。合成数据和实际心电信号的去噪仿真实验验证了该方法的有效性,其是自适应的且避免了阈值选择的主观性。     

Compact differential dual‐band bandpass filter using single quad‐mode metal‐loaded dielectric resonator

This letter presents a novel miniaturized differential dual‐band bandpass filter (BPF) using a single quad‐mode metal‐loaded dielectric resonator (DR). The differential dual‐band BPF is designed in a single‐cavity configuration with one quad‐mode DR and four feeding probes, featuring compact size. The rectangular DR is directly mounted on the bottom of the metal cavity and covered by a metal plate on the top surface. It allows two pairs of orthogonal modes (LSE₁₀ and LSM₁₀), which can be differentially excited and coupled by introducing proper perturbation for constructing dual‐band differential‐mode frequency response. To validate the proposed idea, a compact differential BPF with good performance using a quad‐mode DR cavity is designed, fabricated, and measured. The simulated and measured results with good agreement are presented.     

基于ＥＥＭＤ域统计模型的话音激活检测算法

提出了一种基于EEMD域统计模型的话音激活检测算法。算法首先利用总体平均经验模态分解(Ensemble empirical mode decomposition,EEMD)对带噪语音进行分解,得到信号的本征模式函数(Intrinsicmode function,IMF)分量,选择与原信号的相关性最高的两个分量相加组成主分量;然后对主分量进行频域分解,引入统计模型,求出EEMD域特征参数;最后利用噪声与语音的EEMD域特征参数的不同来进行语音激活检测。实验结果表明,在不同信噪比情况下,本文算法性能优于目前常用的VAD算法,特别在噪声强度大时体现出明显的优势。     

Improved bi-dimensional EMD and Hilbert spectrum for the analysis of textures

An improved bi-dimensional empirical mode decomposition (IBEMD) is proposed. Structure of image extremas represents the important feature of images, and is useful for the information extraction and analysis. The image extrema are classified into the five different sets, which are called as the structural extrema. The structural extrema are used instead of the classical extrema, and the BEMD (bi-dimensional empirical mode decomposition) algorithms based on the structural extrema are more accurate through interpolating the up and down envelopes. Specially, the IBEMD has the least NMSE (normalised mean square error) and the biggest SNR (signal-to-noise ratio) for the mode decomposition, and greatly improves the robustness of the BEMD. Moreover, quaternion Hilbert transform based space-spatial-frequency tool is improved, and applied to the texture analysis. The experiments of texture analysis show that the new approach is efficient for the application in texture analysis.     

提高宽带固定无线接入系统吞吐量的技术研究

本文从现有的一些提高宽带无线接入系统性能的技术出发,分析了它们克服无线通信缺陷的一些解决思路,总结出要提高宽带无线接入系统性能的关键在于提高现有带宽的利用率和增加系统对无线信道误帧的容忍性。然后,有针对性地提出了采用上行带宽集中动态分配策略以提高带宽利用率,采用MRARQ机制和多速率重传策略以降低系统对SNR的要求的解决方案,从而提高系统容量。     

A local normalized method to eliminate riding waves appearing in the empirical AM/FM decomposition

The intrinsic mode function (IMF) generated by empirical mode decomposition (EMD) is usually seen as an amplitude and frequency modulation (AM–FM) signal. To obtain the FM part of an IMF, an empirical AM/FM decomposition method has been proposed by Huang and his coworkers. However, riding waves may appear in the empirical decomposition, which makes the instantaneous frequency (IF) physically meaningless. To eliminate the riding waves, riding wave turnover-empirical AM/FM decomposition method has recently been developed by Yang et al. In this paper, a local normalized method is proposed to eliminate the riding waves. Different from the previous method by Yang et al., the proposed method does not need any more empirical AM/FM decomposition and is carried out locally, which can significantly reduce computational complexity.     

Nonlinear observer based control for travelling wave nuclear reactors based on the Lyapunov approach during load following operation

Power control of the nuclear reactor is one of the most important subjects in each nuclear power plant. In this paper, a nonlinear controller using sliding mode method which is a robust nonlinear controller is designed to control a Traveling Wave Nuclear Reactor (TWR) power. The reactor core is simulated based on the point kinetics equations and six delayed neutron groups. Considering the limitations of the delayed neutron precursors densities measurement, a sliding mode observer is designed to estimate their values and finally a sliding mode control based on the sliding mode observer is presented to control the reactor core power. The stability analysis is given by means Lyapunov approach, thus the control system is guaranteed to be stable within a large range. Sliding Mode Control (SMC) is one of the robust and nonlinear methods which have several advantages such as robustness against matched external disturbances and parameter uncertainties. Since it has systematic design procedure, it is one of the most powerful solutions to design many practical control systems. The designed control system is evaluated in the presence of disturbances and uncertainties. The results show the robustness and performance of the used control system.