基于免疫原理的可执行文件签名验证模型的研究

病毒发现和防治策略是操作系统安全框架的重要组成部分.目前通过特征码匹配进行查杀病毒的方法通常落后于计算机病毒的发展,已经不能满足日益迫切的安全需求.文章根据生物体免疫系统检测病毒的机理,提出了一种对可执行文件签名验证的模型,通过文件签名界定"自我"和"非我",并以此为依据完成系统中恶意代码的发现.最后介绍了在Windows操作系统下开发的基于可执行文件签名验证模型的病毒检测系统.     

Windows下代码签名验证的研究与实现

简要讨论了在Windows系统下代码签名验证的方法和实现,增加了系统抵御病毒和入侵的能力,从而增强了系统安全性.提出了一种解决方案,实现了对Windows下可执行文件的签名和验证.最后描述了可能存在的问题和今后的发展.     

基于即时通信的安全保护策略

分析了IM面临的主要安全威胁及其特点,阐述并借鉴了现有的解决方案,提出了一套即时通信(IM)安全保护策略,利用公钥基础设施机制、“安全套接字层”、CAPTCHA等技术,通过加密、签名、验证签名、解密、CAPTCHA验证和IM消息流量监控等方法,保障了IM的连接安全和数据交换安全,保护了IM系统的配置信息和通信记录,减轻了病毒和蠕虫的威胁。     

有界模型检查可执行文件的安全属性

引入模型检查方法对可执行文件进行脆弱性分析.对可执行文件形式化建模,采用有界模型检查技术验证可执行文件的安全属性,并在X86体系结构上开发了一个用于可执行文件的模型检查器.实验以内存泄漏和栈溢出漏洞为例,将其属性描述为线性时序逻辑公式,在可执行文件的状态迁移系统模型中验证公式是否能满足,实验结果表明对可执行文件的有界模型检查是一种有效的静态分析方法.     

基于模糊集合的完整性信任度评估模型

完整性度量是可信计算得以实现的一项重要技术。根据影响操作系统完整性的内核模块、二进制可执行文件等因素,通过定义直接信任度、间接信任度和综合信任度等计算公式构建了一个操作系统的完整性信任度评估模型,该模型利用模糊集合理论将完整性度量化为[0,1]之间的具体数值,并根据隶属函数将操作系统的信任度划分为四个信任等级。该模型改变了原有完整性度量中一致执行、不一致停止的二值状态,为远程验证者提供较为精确的操作系统完整性度量值,提高了系统的可用性。仿真实验结果表明该模型较客观地提供了操作系统的完整性信息。     

XML数字签名在工作流系统中的应用

针对工作流系统中存在的多重签名以及对文档进行较细粒度的签名需求,提出了“签名之上的签名”的机制,建立了以该机制为核心的XML数字签名在工作流系统中的应用模型。该模型通过将待签名的文档转化为XML数据,方便了系统对待签文档的处理。在对XML文档的处理进程中,各处理节点在前任处理节点的基础上对待签XML文档进行验证和签名。最后开发了采购审批工作流系统,并通过一个典型的采购审批场景验证了该模型的正确性和有效性,为XML数字签名在工作流系统中的应用提供了可行的解决途径。     

国家计算机病毒中心:发现恶意后门程序新变种

<正>国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种恶意后门程序变种Backdoor_Poison.SAK,提醒用户小心谨防。该变种通过对具有签名的可执行文件进行DLL劫持来加载到内存中,使其不被防病毒软件检测其内部的结构情况,误认为此可执行文件的进程是安全的。     

基于可信计算平台的静态客体可信验证系统的设计与实现

在安全操作系统中,通常采用了多种访问控制模型来保证静态客体的内容的机密性和完整性.但是,传统的访问控制政策不能保证静态客体内容的真实性.因此,安全操作系统中的客体并不可信.本文首先分析了操作系统中客体的类型,总结了安全操作系统中对静态客体的处理存在的问题,提出可信静态客体的概念并分析其特点.为了保证可信静态客体内容的真实性,提出了基于TPM的静态客体可信验证系统.该系统将生成可信静态客体的映像文件,映像文件记录某可信静态客体的来源、各次处理行为和内容变化的签名并存于TPM中.最后对该可信验证系统进行了安全和性能分析.分析表明,该可信验证系统可以保证可信静态客体内容的真实性,为进一步建立可信计算环境提供了基础.     

操作系统安全机制复合行为模型掘取技术研究*

以信息安全理论和软件逆向工程技术为依托,研究了操作系统安全机制复合行为模型掘取技术及其实现方法和技术路线。通过结合操作系统的多尺度软件逆向理解技术,对操作系统安全机制的相关程序进行逆向分析、模型掘取和形式化描述,从而发现潜在漏洞、后门、隐通道等操作系统高层安全机制存在的安全问题,为实施修补、反制及利用等相应安全措施提供有力依据。在该技术基础上实现了一套原型系统,实验验证该系统的程序理解和模型掘取结果满足要求。     

Linux系统中基于系统调用序列的病毒检测方法研究

Linux病毒防治策略是linux安全框架的一个重要组成部分。大多数现存的依照特征进行查毒的方法通常落后于病毒的发展,已经不能满足日益迫切的安全需求。文章提出了一种基于免疫学理论的依据进程执行行为进行查毒的方法,它主要通过系统调用序列界定操作系统中的自我和非我,并以此为根据完成系统中恶意代码的发现。最后通过实验数据对该方法进行了验证。     

HDM-Analyser: a hybrid analysis approach based on data mining techniques for malware detection

Today’s security threats like malware are more sophisticated and targeted than ever, and they are growing at an unprecedented rate. To deal with them, various approaches are introduced. One of them is Signature-based detection, which is an effective method and widely used to detect malware; however, there is a substantial problem in detecting new instances. In other words, it is solely useful for the second malware attack. Due to the rapid proliferation of malware and the desperate need for human effort to extract some kinds of signature, this approach is a tedious solution; thus, an intelligent malware detection system is required to deal with new malware threats. Most of intelligent detection systems utilise some data mining techniques in order to distinguish malware from sane programs. One of the pivotal phases of these systems is extracting features from malware samples and benign ones in order to make at least a learning model. This phase is called “Malware Analysis” which plays a significant role in these systems. Since API call sequence is an effective feature for realising unknown malware, this paper is focused on extracting this feature from executable files. There are two major kinds of approach to analyse an executable file. The first type of analysis is “Static Analysis” which analyses a program in source code level. The second one is “Dynamic Analysis” that extracts features by observing program’s activities such as system requests during its execution time. Static analysis has to traverse the program’s execution path in order to find called APIs. Because it does not have sufficient information about decision making points in the given executable file, it is not able to extract the real sequence of called APIs. Although dynamic analysis does not have this drawback, it suffers from execution overhead. Thus, the feature extraction phase takes noticeable time. In this paper, a novel hybrid approach, HDM-Analyser, is presented which takes advantages of dynamic and static analysis methods for rising speed while preserving the accuracy in a reasonable level. HDM-Analyser is able to predict the majority of decision making points by utilising the statistical information which is gathered by dynamic analysis; therefore, there is no execution overhead. The main contribution of this paper is taking accuracy advantage of the dynamic analysis and incorporating it into static analysis in order to augment the accuracy of static analysis. In fact, the execution overhead has been tolerated in learning phase; thus, it does not impose on feature extraction phase which is performed in scanning operation. The experimental results demonstrate that HDM-Analyser attains better overall accuracy and time complexity than static and dynamic analysis methods.     

基于攻击树的木马检测方法

木马是以获取主机控制权和窃取信息为主要目的恶意程序,对网络安全和信息安全造成极大危害.研究并总结了木马攻击行为的规律,提出了一种通过静态分析PE文件采发现木马的方法.对现有的攻击树模型进行改进,设计了扩展攻击树模型,以此对木马攻击中常见的危险系统调用序列进行建模,将分析PE文件得到的API调用集合与建模得到的攻击树作匹配,来预测程序中可能存在的攻击行为,并能有效地区分木马文件和正常文件.     

Windows NT可执行文件的块结构剖析

深入地剖析了ＷｉｎｄｏｗｓＮＴ可执行文件的块表与埠之间的构结关系,探讨了获取系统文件块的方法,揭示了可执行文件重要信息块的结构及运行机制;并结合ＷｉｎｄｏｗｓＮＴ系统程序ＳＥＴＵＰ ＥＸＥ验证了这一分析的正确性。     

基于PE文件格式的信息隐藏技术研究

根据PE文件结构的特点,提出了利用PE文件结构中的冗余空间,冗余字段和利用PE文件中静态分配的字符串存储空间进行信息嵌入的几种方法;借助对数据以不同的形式进行解释,提出了对嵌入数据中所装载的信息进行伪装,来阻止嵌入数据所装载的信息被理解和篡改;结合秘密共享技术,提出了如何对原始信息进行重新分配和组织并借助部分重新分配后的信息对原始信息进行恢复的方法。     

DSP外部Flash存储器的自烧写方式研究

阐述了Flash存储器在线编程的自烧写程序设计思想.被烧写目标文件作为数据嵌入到烧写程序中,经过编译链接生成最终的执行文件.运行烧写执行文件时,执行文件时将嵌入的目标数据烧写到Flash存储器中,从而实现在线或在系统编程.给出了相关程序的核心代码,并测试通过,可作为DSP嵌入式系统设计的参考.     

基于Windows的文件完整性检测系统的设计和实现

有些计算机病毒和木马一旦进入系统,就会伪装自己,使系统难以觉察。通过对主机文件系统的完整性验证,能有效地拦截系统未 知的病毒和木马。在Windows系统中,使用拦截技术,当可执行程序运行时对其进行拦截,并验证其文件完整性,确保程序未受感染后,才 允许程序执行。利用文件完整性检查防范计算机病毒和木马,具有较好的实时性和主动性。     

一种基于人工免疫和代码相关性的计算机病毒特征提取方法

现有的计算机病毒检测方法利用病毒特征码来检测病毒,已经不能适应病毒技术的发展,特别是其无法检测出病毒的新变种与未知病毒.受自然免疫系统的启发,该文提出了一种基于人工免疫的利用计算机病毒代码相关性的计算机病毒特征提取方法.这种特征提取方法在底层提取出与病毒相关的字节模式,在相对更高的层面上记录这些字节模式之间的共同作用信...     

Android系统应用程序组件安全性分析

针对当前Android系统第三方应用程序组件中普遍存在的各种安全问题,分析了引起这种问题的原因。提出了一种基于静态分析Android应用程序中四种组件的属性信息和Java系统服务中的敏感API（Application Programming Interface）调用信息,通过构建Android应用程序的函数调用关系图,检测组件入口函数和和敏感API之间可能存在的不安全的静态可执行路径。该方案主要利用反编译、XML（extensible markup language）文件解析和正则表达式匹配技术以获取应用程序的组件和敏感API的调用信息。实验结果表明了该方案的可行性和有效性。     

Elastos平台上可执行文件的三种入口规范

Elastos嵌入式操作系统是基于CAR构件技术、支持构件化应用的操作系统,是国家863计划支持的TD-SCDMA的操作系统标准。Elastos平台上的可执行文件是Elastos嵌入式操作系统中最重要的文件类型,因为可执行文件是完成操作的真正执行者。可执行文件的大小、运行速度、资源占用情况及可扩展性等与文件加载过程和文件的入口规范紧密相关。研究可执行文件的加载过程、执行流程和入口规范对编写高性能程序和一些黑客技术的运用都是非常有意义的。