基于最小攻击树的UEFI恶意行为检测模型

UEFI malicious behavior detection model based on minimal attack tree

下载PDF

导出

摘要指出了UEFI中源代码、自身扩展模块及来自网络的安全隐患,分析了传统的BIOS与已有的UEFI恶意代码检测方法的不足,定义了结合UEFI平台特点的攻击树与威胁度,构建了动态扩展的威胁模型库与恶意行为特征库相结合的攻击树模型,设计了针对UEFI恶意行为检测的加权最小攻击树算法。实验证明了模型的有效性与可扩展性。 The potential risk from source code, extension modules of Unified Extensible Firmware Interface （UEFI） and network is pointed out. The shortcomings of existing BIOS and UEFI malicious code detection methods are ana- lyzed, UEFI attack tree and threat level are defined, a UEFI threats model database and malicious behavior character database are built together as an attack tree model with dynamic expansion, weighted minimal attack tree algorithm is designed for UEFI malicious behavior detection. The experimental results show the effectiveness and the expand- ability of this proposed model.

作者姜政伟王晓箴刘宝旭

机构地区中国科学院研究生院中国科学院高能物理研究所计算中心

出处《计算机工程与应用》 CSCD 2012年第32期14-17,46,共5页 Computer Engineering and Applications

基金国家科技支撑计划课题(No.2012BAH14B02) 中科院知识创新重点方向项目(No.YYYJ-1013)

关键词统一可扩展固件接口恶意代码攻击树安全风险 Unified Extensible Firmware Interface（UEFI） malicious code attack tree security risk

分类号 TP309.1 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献11

1UEFI specifications[EB/OL].http://www.uefi.org/specs.
2Zhou Zhenliu,Fan Jiapeng,Zhang Nan,et al.Advance and development of computer firmware security research[C]//Proceedings of the2009International Symposium on Information Processing,China,2009:258-262.
3King S T,Tucek J,Cozzie A,et al.Designing and implementing malicious hardware[C]//Proceedings of the1st USENIX Workshop on Large-Scale Exploits and Emer-gent Threats,US,2008:1-8.
4Heasman J.Hacking the extensible firmware interface[Z].2007.
5王晓箴,刘宝旭,潘林.BIOS恶意代码实现及其检测系统设计[J].计算机工程,2010,36(21):17-18. 被引量：6
6池亚平,许盛伟,方勇.BIOS木马机理分析与防护[J].计算机工程,2011,37(13):122-124. 被引量：7
7张翠艳,张平,胡刚.基于硬件资源访问控制的固件恶意行为研究[J].计算机工程应用研究,2011,28(7):2709-2714.
8付思源,刘功申,李建华.基于UEFI固件的恶意代码防范技术研究[J].计算机工程,2012,38(9):117-120. 被引量：6
9Schneier B.Attack trees:modeling security threats[J].Dr Dobb’s Journal,1999,24(12):21-29.
10Ray I,Poolsapassit N.Using attack trees to identify ma-licious attacks from authorized insiders[C]//Proceedings of the10th European Symposium on Research in Computer Security,Italy,2005:231-246.

二级参考文献33

1王辉,刘淑芬.一种可扩展的内部威胁预测模型[J].计算机学报,2006,29(8):1346-1355. 被引量：22
2苏璞睿,冯登国.基于进程行为的异常检测模型[J].电子学报,2006,34(10):1809-1811. 被引量：17
3CNCERT/CC.CNCERT/CC 2007年上半年网络安全工作报告[OL].http://www.cen.org.cn/UserFiles/File/CNCERTCC200701.pdf,2008.
4Trusted Computing Group. TCG Specification Architecture Overview Specification Revision 1.2[ S]. https://www. trustedcomputinggroup. org. Apt 2004.
5L M Adleman. An abstract theory of computer viruses[ J] .Lecture Notes in Computer Science, 1990,403:109- 115.
6F Cohen,Computer viruses:Theory and experiments[J]. Computers and Security, 1987,6(1) : 22 - 35.
7M Christodorescu, S Jha. Static Analysis of Executables to Detect Malicious Pattems[ A ]. Proceedings of the 12th USENIX Security Symposium[ C]. Washington DC, August 2003. 169 - 186.
8J Bergeron,M Debbabi, J Desharnais,M Erhioui, Y Lavoie,N Tawbi. Static detection of malicious code in executable programs[ A]. In: 1st Symposium on Requirements Engineering for Information Security[ C]. Indianapolis, 2001.525 - 530.
9W Landi. Undecidability of static analysis[ A]. ACM Letters on Programming Languages and Systems (LOPLAS) [ C ]. ACM Press, 1992.323 - 337.
10E M Myers. A precise interprocedural data flow algorithm[ A]. In Conference Record of the 8th Annual ACM Symposium on Principles of Programming Languages ( POPL' 81 ) [ C]. ACM Press, 1981.219 - 230.

共引文献42

1赵登科.恶意代码多种运行分支的探索[J].新课程学习（中）,2009,0(5):83-84.
2陈莉,方勇,刘亮,钟倩.基于扩展攻击树的文件安全度评估研究[J].信息网络安全,2010(2):67-69. 被引量：1
3李晓勇,周丽涛,石勇,郭煜.虚拟行为机制下的恶意代码检测与预防[J].国防科技大学学报,2010,32(1):101-106. 被引量：6
4王超,郭渊博,马建峰,裴庆祺,徐栋.基于隐马尔可夫模型的资源滥用行为检测方法研究[J].电子学报,2010,38(6):1383-1388. 被引量：4
5李华,刘智,覃征,张小松.基于行为分析和特征码的恶意代码检测技术[J].计算机应用研究,2011,28(3):1127-1129. 被引量：10
6程春玲,张登银,高德华.基于自适应学习的Rootkit检测模型[J].计算机应用与软件,2011,28(8):90-92.
7余林琛,沈江波,何仲彻,钟贝,刘路.一种基于用户行为习惯的主机安全性检测方法[J].微电子学与计算机,2011,28(9):158-159. 被引量：1
8李鹏,王汝传,高德华.基于模糊识别和支持向量机的联合Rootkit动态检测技术研究[J].电子学报,2012,40(1):115-120. 被引量：7
9朱俚治.病毒检测技术的研究与0.5级环[J].计算机技术与发展,2012,22(9):225-227. 被引量：3
10李晓勇,马威.动态代码的实时可信传递研究[J].电子学报,2012,40(10):2009-2014. 被引量：1

1唐文彬,祝跃飞,陈嘉勇.统一可扩展固件接口攻击方法研究[J].计算机工程,2012,38(13):99-101. 被引量：9
2李辉,侯义斌,黄樟钦.基于RFID技术的伪造攻击模型的仿真研究[J].系统仿真学报,2009,21(22):7121-7126.
3刘挺.UEFI BIOS实现原理与结构分析[J].电子技术与软件工程,2015(20):171-171. 被引量：2
4王辉,刘淑芬.一种可扩展的内部威胁预测模型[J].计算机学报,2006,29(8):1346-1355. 被引量：22
5钱升华.UEFI平台上测试IPMI LED的方法[J].电脑编程技巧与维护,2016(9):5-7.
6霍卫华.基于UEFI的安全模块设计分析[J].信息安全与通信保密,2008,30(7):91-93. 被引量：2
7周洁,谢智勇,余涵,吴荣泉.基于UEFI的国产计算机平台BIOS研究[J].计算机工程,2011,37(S1):355-358. 被引量：2
8朱贺新,王正鹏,刘业辉,方水平.基于统一可扩展固件接口的可信密码模块驱动研究与设计[J].计算机应用,2013,33(6):1646-1649.
9吴俊昌,罗圣美,巫妍,程绍银,蒋凡.使用Android系统机制的应用程序恶意行为检测[J].计算机工程与科学,2014,36(5):849-855. 被引量：3
10王辉,刘淑芬.改进的最小攻击树攻击概率生成算法[J].吉林大学学报（工学版）,2007,37(5):1142-1147. 被引量：4

计算机工程与应用

2012年第32期

浏览历史

内容加载中请稍等...

基于最小攻击树的UEFI恶意行为检测模型

参考文献11

二级参考文献33

共引文献42

相关作者

相关机构

相关主题

浏览历史