基于软件机器人的工控靶场应用软件行为模拟

工控靶场为开展工业控制系统(ICS)安全研究提供重要支撑。面向工控靶场关键任务之一的应用软件行为模拟,提出一种软件机器人方法以实现工控靶场应用软件行为的逼真模拟。考虑软件图形界面及软件内在显隐式规则,提出基于尺度不变特征变换(SIFT)图像相似度的软件菜单采集算法及混合状态机模型对应用软件行为进行建模。针对软件机器人的智能化问题,使用深度Q网络(DQN)算法驱动软件机器人对应用软件行为进行自主学习,同时结合多重经验回访和多重目标网络对DQN算法进行优化。实验结果表明:基于DQN的软件机器人能够对工控软件进行有效学习,且优化后的DQN算法自主学习效果更佳。

基于对象的软件行为模型

以传统有限自动机(finite state automata,简称FSA)为基础,从系统调用参数中解析出系统对象,提出了一种基于系统对象的软件行为模型(model of software behavior based on system objects,简称SBO).该模型的行为状态由软件所关联的所有系统对象表示,从而赋予状态的语义信息,解决了不同行为迹中PC(program counter)值的语义不相关问题;同时,该模型可以对抗系统调用参数的直接和间接修改,从而可以检测基于数据语义的攻击.最后,实现了基于SBO的软件异常检测原型工具(intrusion detection prototype system based on SBO,简称SBOIDS),其实验和分析结果表明,该模型可以有效地检测基于控制流的攻击、模仿攻击以及针对数据语义的攻击,并给出了该工具的性能开销.

一个新的软件行为动态可信评测模型

针对软件动态可信性度量方法和理论研究中存在的问题,提出以行为轨迹和检查点场景来刻画软件行为的动态特性,通过计算系统调用上下文值以及构造系统调用参数关系约束规则来评测行为轨迹和检查点场景的偏离程度,构建了基于软件行为自动机的动态可信评测模型.实验结果表明,本模型能够准确获取软件行为信息,正确检测出攻击行为,且系统开销较低.

面向软件行为的需求模型及特性检测

软件需求模型及其检测是软件需求工程中的重要工作.在分析现有需求建模方法和软件行为相关研究的基础上,对将软件行为概念引入需求模型进行了详细的阐述,提出一个面向软件行为的需求模型描述语言BDL(behavior description language),定义了它的语法、语义;讨论了CCS(calculus of communication system)与BDL的转换关系,构造了BDL到CCS的转换函数M〖-〗;给出了需求模型的系统一致性、系统安全性、行为可信性及行为非终止性等4种系统特性的时序逻辑描述;最后用模型验证工具CWB(Concurrency Work Bench)对BDL描述的具体实例进行验证分析.

基于软件行为的检查点风险评估信任模型

针对当前软件行为可信研究中往往忽略风险因素影响,为提高软件行为可信性评价的准确性和合理性,通过在软件行为轨迹中织入若干检查点,提出一种基于软件行为的检查点风险评估信任模型(CBRA-TM);通过累积多个有疑似风险的检查点,利用风险评估策略,判定有疑似风险的检查点;采用奖励或处罚机制求出软件行为的可信度,最终判断软件行为是否可信.仿真实验结果表明,该模型能够有效地识别软件行为中潜在的风险,能够较准确地计算软件行为的可信度,验证了模型的有效性和可行性.

基于软件行为轨迹的可信性评价模型

软件动态可信性评价已经成为信息安全领域研究的一个热点问题.为了提高评价的精确性,在充分考虑了软件的运行流程和运行背景的基础上,提出了基于软件行为轨迹的可信性评价模型(CEMSBT).该模型引入软件行为轨迹描述软件行为,软件行为轨迹由运行轨迹和功能轨迹构成,运行轨迹表示软件运行时的有序操作,表征为有序的检查点向量;功能轨迹则由能够表征软件功能的一系列场景来刻画.为了减少可信性评价的时间和空间开销,给出了软件行为轨迹的化简规则.模型应用检查点的标识评价规则和场景评价规则对实际的软件行为进行评价.考虑到分支给程序带来的随机性很可能被入侵者利用,分支处的检查很必要.模型通过场景确定分支的走向,从而降低了分支处异常情况的漏报率.仿真实验表明CEMSBT具有较高的精确性和效率.

一种面向软件行为和多视点的需求模型验证方法

软件需求分析是软件开发生命周期中最重要的步骤之一.模型驱动的需求分析方法将需求模型作为需求规格说明的补充,从一个或多个角度对非形式化的需求信息进行正确性验证以发现需求规格中的不一致和不完整性等.本文在一种新型的,基于软件行为和多视点的需求建模方法基础上,依据其构造特点,提出需求模型的分析以及验证方法.该方法主要通过构造模型待验证性质的行为时序逻辑规约,以需求模型对应的有穷状态迁移系统为基础,结合On-The-Fly的方法验证性质规约是否语义满足该状态迁移系统.此外,从命题抽象的角度对该验证方法进行优化.针对该方法实现了模型验证工具原型.

面向软件行为和多视点的需求建模方法

提出一种面向软件行为和多视点的需求建模方法,包括建模步骤和建模语言.其中目标系统根据问题域以及视点源被划分成视点.视点在需求模型中以实体的方式存在,每个视点通过从需求规格说明中提取的场景来描述,作为需求模型基本组成单位的场景模型则通过基本的行为复合而成.分析了基于行为和多视点的需求建模过程,讨论了需求建模语言:行为描述语言的语法和语义,并给出相关实例分析以及所实现的建模工具简介.

基于贝叶斯网的分布式软件行为运行时可信性分析

在开放、动态和复杂的网络环境中,监测与分析软件行为可信对现代分布式软件是至关重要的.针对分布式软件运行时的外在表现特征,系统地收集相关数据,根据具体交互场景建立贝叶斯网模型.利用此模型,在上下文环境中通过监测相关的数据来对软件行为运行时可信性进行分析.建网过程中,文中提出了使用"3σ原则"来离散化连续型随机变量,其在判断样本标注异常及先验参数确定等方面具有独特优势,操作方便又符合实际情况,且提高了参数学习效率;同时,文中提出了分层方法构造先验贝叶斯网思想,通过计算节点间的相关系数来逐步修正贝叶斯网结构,降低了建网的复杂性和误差.通过仿真实验,证实了本文所提出的方法在软件行为可信性分析方面较其他方法有着独特的优势.

一种基于加权软件行为图挖掘的软件错误定位方法

已有错误定位方法通常仅给出可疑语句排序而缺少必要的上下文信息,导致难于理解软件失效的产生原因.为了解决该问题,定义了加权软件行为图来表示成功和失败的程序执行路径,由于图中边的权重表示了路径的执行频率,因此与LEAP方法相比,可以较好地分析与循环和递归等结构相关的软件错误.在此基础上,执行基于分支限界搜索的加权软件行为图挖掘算法,识别成功和失败执行之间最有差异的子图来获得错误签名,不但可以有效定位错误位置,还能输出缺陷语句相关的执行路径,从而提供失效产生的上下文.分析Siemens基准测试集和flex程序的结果表明,在检查相同百分比的语句的情况下,文中方法可以比Tarantula方法和LEAP方法定位到更多的错误.特别是对于冗余代码、缺失代码和变量替换,以及会直接改变执行路径类的错误,文中方法具有较高的定位精度.

基于层次关系分析的一种软件行为检测方法

为了提高软件行为判定的精确性,提出了一种基于层次关系分析的软件行为检测方法.首先,截获系统调用并提取动作特征,通过分析单一动作的栈返回地址、动作名称、绑定关系,关键属性得到点内关系,通过分析动作间的依赖和传递关系得到线间关系,并将各动作组成任务;然后,分析各任务间控制分支点动作的控制承接关系得到网间关系,进而利用这些层次关系生成软件行为模型;最后,比对待检测行为是否符合模型中记录的各动作之间关系,做出行为是否有害的判定.实验和分析结果表明:利用该方法能够准确描述动作流程,提高了检测准确度和效率.

面向软件行为的需求模型可视化研究

为提高复杂软件系统需求建模的效率和质量,提出一种图形化文本式需求模型的可视化方法。该方法应用面向行为描述语言(behavior description language,BDL)构建需求模型,定义映射规则将BDL模型的行为及行为间的关系与给定的图形模型符号关联;根据转换算法对构建的图形模型文法进行检查,并将其转换为BDL语言描述的行为模型,实现行为需求模型的可视化。最后通过实例验证了该方法的可行性。

一种面向软件行为可信性的入侵检测方法

针对现有入侵检测方法的问题,面向软件行为可信需求,提出了一种新的静态检测方法.首先讨论并给出了软件行为可信性的定义和形式化描述,并以指令序列形式进行表示;然后,提出了检测方法和流程,通过数据挖掘方法对恶意软件和正常软件进行行为知识发现,利用发现的行为知识对未知软件进行行为可信性判定;最后,对方法进行了实现,对一些行为模式使用选定的样本进行了实验验证.实验结果表明,该方法能够依据软件行为可信策略检测未知软件中的恶意行为,检测成功率高.

基于Android系统的智能终端软件行为分析方法

文章主要阐述通过动态监控及静态分析等手段对Android系统智能终端软件进行行为分析,以判断软件是否有恶意吸取话费、恶意订购业务、窃取用户手机隐私、控制手机发送垃圾短信、传播不良信息等恶意行为,并结合实例剖析静态反汇编分析原理及方法。

基于动作相关度的软件行为检测方法

软件行为是在一定上下文环境中,由一系列的动作组成的.因此可以通过检测动作序列推测行为是否有害.为了能够准确推测和判断软件行为的安全性和可靠性,提出一种基于动作相关度的行为检测方法.从消息和系统调用角度提取行为特征,根据动作的参数及其执行的上下文环境计算动作参数相关度和上下文相关度,最终计算出动作相关度.动作相关度能够衡量动作之间关联程度,利用动作相关度查找与其相关联的其它动作,把相关联的动作序列组成同一行为与规则库中规则进行对比判定.实验结果表明:利用该方法能够准确描述动作流程,区分出不同的行为,提高了检测的准确性,具有良好的检测性能.

一种基于软件行为的实时信息综合方法

对于涉及数据表较多的信息综合过程,现有的变化数据捕捉(CDC)方法由于设置工作繁琐,导致数据库的工作效率下降。针对该问题,从软件行为角度出发,设计一种实时信息综合方法。通过建立行为-数据映射的方式,实现软件行为的监控,从而使数据库的CDC计算负担分摊到各终端计算机。实际测试结果表明,该方法与数据库类型无关,具有较好的普适性和实用性。

Android平台恶意软件行为模式研究

黑客利用恶意软件攻击Android平台,这给Android平台带来巨大的安全威胁,并给用户的切身利益带来严重的损害。研究针对Android平台恶意软件的行为模式包括重新包装、嵌入式隐藏、控制权限等,获取用户的账号、密码等。这种行为一般具有一套方式,掌握其特点,以相应手段预防。

软件行为的一种静态可信度量模型

根据用户必需的软件中可能隐藏的缺陷或者破坏行为在整个软件中所占比例极低、而当前一般的恶意代码分析技术不适合此类软件的可信度量分析这种情况,提出了理想化的主体行为静态可信的强约束条件,然后结合软件业务流程的确定性、软件代码的可见性以及信息资产风险可评估性,提出了适合工程应用的主体行为静态可信的弱约束条件,并基于主体行为静态可信的弱约束条件构建了模型的实现框架,对用户必需的软件是否将如实地按照用户需求运行进行可信度量,提前确定软件中是否含有对信息系统或信息资产的潜在威胁,以便采取必要的防护措施。

基于软件行为的可信评价研究

为了准确合理地评价软件可信性,提出了基于软件行为的可信评价模型。首先,在软件行为迹中设置监控点,根据监控点各属性的性质及其在可信评价系统中的作用,将监控点的属性分为控制流和数据流两级。其次,针对控制流级属性,提出基于支持向量机(Support Vector Machine,SVM)的软件行为迹的评价方法;针对数据流级属性,提出基于模糊层次分析法的场景属性评价方法。最后,实验分析表明,基于软件行为的可信评价模型能够准确地评价软件可信性,并且具有较高的效率。