网络设备硬件漏洞研究

在对软件漏洞进行研究的基础上,从发掘网络设备硬件漏洞的角度对网络信息安全进行了思考.分析了网络信息安全现状,列举了当前主要的网络防御技术,分析了交换芯片AL216的组成结构和设计原理,研究了如何利用交换芯片AL216为核心设计实现以太网交换设备,并讨论了利用该芯片设计交换设备可能存在的硬件漏洞.通过论述表明了网络设备硬件漏洞存在的可行性和隐蔽性.     

针对插入攻击型Bootkit的分析及检测

通过分析Bootkit采用的关键技术,研究目前已有Bootkit样本的工作原理,给出插入攻击型Bootkit形式化描述,建立一个通用的插入攻击型Bootkit模型.针对该模型建立了Bootkit检测模型,并在检测模型基础上提出新的检测算法.新算法不仅能检测目前已有的样本,而且适用于所有符合插入攻击型Bootkit模型的未知Bootkit.最后对该检测算法进行了测试,实验结果表明,提出的算法可对Windows平台上的多款基于NT内核的Bootkit实现有效检测,同时能够确定Bootkit的类型.     

面向固件代码分析的虚拟指令集体系结构设计

传统虚拟指令集体系结构不能同时满足简单性和高效性的要求。为此,提出一种面向固件代码分析的虚拟指令集体系结构构造方法。设计多目标固件代码分析平台,在可配置虚拟硬件结构的基础上,获取最小完备指令集,并说明扩展虚拟指令集的方法。实验结果表明,该方法能降低翻译代码膨胀率,目标指令模拟时间比传统方法减少19%~35%。     

基于敏感位置识别的状态化简技术研究

 模型构建是模型检验的基础,在微控制器代码模型构建过程中面临状态爆炸的问题。由于生成模型的状态数量与代码规模密切相关,通过简化代码可以有效缩减生成的状态数量。该文提出了敏感变量和敏感位置的概念,并以此为基础提出了结合子程序摘要信息的敏感位置识别算法;该算法从待验证的性质出发,提取敏感变量,识别代码中与敏感变量相关的敏感位置;模型构建过程中只对敏感位置对应代码进行建模,从而实现对模型状态的缩减。实验结果表明所提的方法能够有效缓解微控制器代码模型生成过程中的状态爆炸问题。     

BIOS陷门实现机理及检测技术研究

基本输入输出系统(BIOS)陷门对计算机系统影响巨大,且现有工具难以有效检测其存在。在逆向分析基础上,研究了BIOS结构及BIOS代码混淆技术。根据实现粒度,将BIOS陷门分为模块级BIOS陷门与指令级BIOS陷门,详细分析了这两类陷门的实现原理与特点。最后提出了基于模块构成分析的模块级陷门检测方法和基于完整性度量的指令级陷门检测方法。实验结果表明,两种方法能有效检测与之对应的BIOS陷门的存在。