一种基于被动DNS数据分析的DNS重绑定攻击检测技术

基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大.DNS重绑定需要通过设置恶意域名才能实现.针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC).通过引入...     

面向漏洞类型的Crash分类研究

Crash（程序崩溃）分析是漏洞挖掘与利用的关键阶段，判定Crash是由何种类型漏洞产生的是进行Crash分析和漏洞利用的前提。针对现有漏洞检测平台无法有效识别Crash类型的问题，提出一种二进制可执行程序漏洞检测和Crash类型判定的方法。该方法通过对二进制可执行程序Fuzz出的Crash进行污点标记，在污点传播阶段兼顾污点清除、间接污染等污点传播规则，在污点检查阶段通过收集崩溃点上下文信息，匹配多种漏洞触发规则。基于上述方法开发出对二进制程序漏洞检测和判定Crash所属漏洞类型的原型系统，实验结果表明，该方法适用于栈溢出、格式化字符串、堆溢出等漏洞导致的覆盖返回地址、函数指针等模式，具有较高准确率。     

基于变异树的Fuzzing技术研究

针对目前Fuzzing技术中变异因子彼此之间是独立的,存在着测试效率不高以及由于前期静态分析不正确而产生漏报的缺点,提出了变异树的概念。将变异因子以树模型的方式组织起来,设计了有效的变异策略。在当前Fuzzing平台的基础上,实现了基于变异树的Fuzzing平台设计,最后通过当前的Fuzzing平台和基于变异树的Fuzzing平台对Visualpng以及KMPlayer进行Fuzzing测试结果的比较,表明了该方法的可行性。     

多网络蠕虫智能防治系统IPCS的设计

在分析现有防治技术的基础上，设计了一个针对多种网络蠕虫的智能防治系统IPCS。该文给出了IPCS的系统结构以及系统的工作流程，介绍了智能防治中心，讨论了智能疫苗的分类、智能变换及其通信技术。     

针对Android应用组件间通信的模糊测试技术研究

Intent是Android应用中最常用的组件间相互通信的载体。然而,如果应用组件对Intent处理不当,极有可能导致应用异常甚至崩溃。以Android应用的各个组件为研究对象,提出了一种通过构造Intent对象来测试Android应用组件间通信健壮性的模糊测试方法。首先分析应用组件的注册文件,提取需要测试的组件及其相关信息。然后,反编译APK源文件,获得目标组件的源代码并提取Intent的附加信息。接着,基于状态压缩批量生成目标组件的Intent测试用例用于自动化测试,并监控目标组件的运行日志来获取其运行状态反馈,据此判断应用组件在响应Intent时是否发生异常。最后,基于相似度匹配的错误日志去重算法,准确地将同一缺陷生成的错误日志归为一类,降低人工分析的工作量。实验表明,所提方法相较于现有前沿研究Hwacha,能够少生成9%的测试用例,多发现14%的程序异常,并通过去重算法显著降低了需要人工研判错误类别的工作量。     

基于符号执行的Tcache Poisoning堆漏洞自动验证方法研究

Tcache Poisoning是面向堆管理机制的一种堆漏洞利用方法，现有的堆漏洞自动验证工作未考虑Tcache带来的影响，无法适用于高版本Glibc堆漏洞自动验证。分析Tcache机制以及Tcache Poisoning验证方法的原理，提出一种基于符号执行的Tcache Poisoning堆漏洞自动验证方法。定义多元组对堆块的状态进行形式化描述，通过对关键API函数的挂钩，在程序运行过程中收集堆块的状态信息，并引入符号变元将外部输入数据符号化，实现关键信息的获取。通过状态监控检测堆漏洞触发，依据Tcache Poisoning堆漏洞自动验证模型，逐步生成Tcache Poisoning攻击约束和攻击载荷约束，最后通过约束求解生成漏洞验证代码。基于S2E符号执行平台实现自动验证系统TPAEG，并对10个测试程序进行测试，其中在Tcache Poisoning方法的7个测试程序中有5个生成了验证代码。实验结果表明，TPAEG可有效地检测堆溢出漏洞和释放后重用漏洞，并能够针对符合Tcache Poisoning攻击特征的场景实现自动验证，完成控制流的劫持并生成验证代码。