基于图嵌入的二进制代码模块划分方法

软件逆向分析作为网络空间安全领域研究的核心支撑技术,在软件漏洞分析、恶意代码行为分析等方面有着广泛应用.二进制代码的模块划分是该领域研究中的关键问题,通过将复杂或者大体量软件合理划分为若干模块,对于帮助分析者快速、准确理解软件结构与功能,提高分析效率起着重要作用.对此,常见方法是将代码中的函数及其调用关系看作复杂网络,通过社区发现算法来进行函数聚类,实现模块划分,该类方法通常只考虑节点之间的连接关系,忽略了节点的属性、节点之间的相似度等信息,且对噪声和异常值比较敏感.为了解决这些问题,提出了一种基于图嵌入的二进制代码模块划分(graph embedding based binary code modularization,GEBCM)方法.该方法首先将软件系统抽象为属性图,然后通过带有注意力机制和排名机制的图嵌入聚类方法对函数节点进行嵌入表示并聚类.通过聚类将二进制文件分组为更具有完整功能的独立部分,揭示了复杂程序结构中分离的模块语义信息.在2个数据集上进行的实验评估,验证了所提出的GEBCM方法的有效性.评估结果表明,相比其他二进制模块化工作,GEBCM的F1值平均提高10.2个百分点.此外,在针对恶意样本的评估实验中,GEBCM能有效地划分出恶意代码的模块,表现出优秀的可扩展性.

循环分块在MPI程序设计中的应用研究

提出了循环分块在MPI系统中的块分配方案———列组分配方案,并给出了在不同并行体系结构下依据列组分配方案计算块分配大小的算法。实验表明算法计算出的块分配方法对于发挥循环流水并行的效率有着较好的作用。

基于软件执行轨迹差异比对的关键函数定位技术研究

关键函数是指应用软件在某个运行阶段发挥着关键作用的核心功能函数。对软件中的关键函数进行快速定位是提高逆向分析效率的有效手段。目前,在软件逆向工程领域对关键函数进行定位大多是利用人工分析的方法。利用动态二进制插桩技术,提出了一种切实可行的基于软件执行轨迹差异的关键函数自动定位方法。当软件具有2类不同的输入,分别触发、不触发关键函数时,该方法能够快速、准确地识别关键函数。

安全多播系统中的密码API

密码技术的应用领域不断扩大。如何为非密码专业的编程人员提供清晰、简单而通用的密码API,是密码技术得以在信息安全系统中推广应用的关键因素。文章描述了安全多播系统中的密码API的设计与实现,并讨论了密码算法实现中的优化问题。

随机性测试的研究与实现

介绍随机性测试方法的数理统计原理,给出16种常见的随机性测试,研究密码算法随机性测试的流程,讨论测试ID的编排方法,并用这些方法对欧洲加密标准——Camellia算法进行随机性测试,实验结果表明,该算法3轮以上的缩减轮版本所产生的密文具有较高的随机性。

基于动态二进制平台的缓冲区溢出过程分析

提出一种基于动态二进制平台的缓冲区溢出过程分析方法,并实现基于该方法的原型系统。分析缓冲区溢出攻击方法的特点,给出基于异常捕获、控制流分析和内存状态检查的溢出检测方法。通过对内存读写指令、控制转移指令进行监控,获得函数调用序列和数据传递关系,定位导致缓冲区溢出的代码。实验结果表明,该系统能有效检测缓冲区溢出,准确定位导致溢出的代码位置。

一种shellcode动态检测与分析技术

提出一种基于动态二进制平台DynamoRIO的shellcode模型识别与功能分析方法,并实现了基于该方法的原型系统.首先总结了shellcode利用技术,分析了shellcode动态执行特征,利用自动机理论,对shellcode各执行阶段进行了形式化的描述,并给出了各阶段相应的自动机模型及检测分析算法,据此归纳得到shellcode的一般执行模式;其次,提出了一种shellcode的API调用序列分析方法,根据API类型和参数,实现了对shellcode的功能分析.实验结果表明,该方法能够有效检测shell-code,识别执行模式,判定shellcode执行功能.该检测方法对高效检测shellcode、快速判明网络攻击意图和提高对网络攻击事件的响应能力具有重要的应用价值.

基于动态数据流分析的虚拟机保护破解技术

由于虚拟机采用虚拟化技术和代码混淆技术,采用传统的逆向分析方法还原被虚拟机保护的算法时存在较大困难。为此,提出一种基于动态数据流分析的虚拟机保护破解方法。以动态二进制插桩平台Pin作为支撑,跟踪记录被虚拟机保护的算法在动态执行过程中的数据流信息,对记录的数据流信息进行整理分析,获取虚拟机指令的解释执行轨迹,还原程序的控制流图,根据轨迹信息对数据生成过程进行分层次、分阶段还原,并由分析人员结合控制流图和数据生成过程进行算法重构。实验结果证明,该方法能够正确还原程序的控制流和数据生成过程,辅助分析人员完成被保护算法的重构。

分组密码统一描述模型研究

介绍分组密码统一描述模型建立的背景和现实可行性,通过对现有大量分组密码算法结构的研究,对算法各个部分的功能进行归纳,提取分组密码算法的多个通用组件,给出从2种不同角度建立的分组密码统一描述模型——模型的组件关系形式和分组密码流程形式,并对各个通用组件进行了定义和功能说明,应用该模型描述Camellia算法。

循环Cache命中率分析方法的研究与实现

循环Cache命中率的分析是编译优化中的关键技术之一。CME(CacheMissEquation)作为描述一个精确描述程序循环中数组引用的Cache冲突情况的数学模型及其相关的理论为较精确地分析循环的Cache命中率奠定了理论基础。该文以CME理论为基础,从数理统计的角度对CME抽样分析作了理论上的说明,采用序贯抽样方法来进行CME的抽样分析,并对抽样检验过程中判断线性约束条件下丢番图方程是否存在整数解这一NP问题,结合一些整数计算的理论,给出了格测试的快速算法。

缓冲区溢出攻击的自动化检测方法

基于动态二进制平台DynamoRIO,研究了面向二进制代码的缓冲区溢出攻击样本的自动化检测方法.该方法利用动态二进制平台的插桩技术,针对不同的溢出覆盖类型,通过异常捕获、控制流分析和内存状态检查实现了对缓冲区溢出的自动化检测.实验结果表明,该方法能够自动化地、准确地检测出样本中存在的缓冲区溢出攻击,在缓冲区溢出攻击的自动化检测方面具有较好的应用价值.

LBlock 中间状态的代数表示及其侧信道攻击

LBlock是吴文玲和张蕾在ACNS2011上提出的轻量级分组密码,目前未见对该体制的公开的密码分析文章。用符号计算软件Mathematica7.0得到了LBlock第三轮输出的最低比特的代数表达式（以明文和主密钥比特为自变量）。该代数表达式只与8比特密钥和9比特明文有关,可以用于对LBlock在单比特泄露模型下的侧信道攻击。模拟实验表明,假设第三轮输出的最低比特泄露,则用8个已知明文,85%的概率下可以恢复6~7比特密钥。

一个新的循环分块算法

循环分块是一种提高循环 Cache命中率的循环变换技术 ,循环分块的大小是决定循环分块效率的关键因素 .CME(cache miss equations)是一种精确分析程序中循环 Cache命中率的数学模型 ,从 CME理论模型出发 ,通过比较循环分块前后 CME的变化 ,结合 PADDING技术可以得出一个循环分块算法 .实验表明 ,通过该算法计算出的分块大小较之经典的 L RW循环分块算法 ,在确保完全消除循环中数组引用数据访问 Cache自冲突的同时 ,可以获得更大的分块 ,从而提高了循环分块的分块效率 .

AES轮变换的代数正规型及其应用

每个布尔函数的代数正规型(ANF)是唯一的,对于研究布尔函数有重要意义。利用Mathematica软件得到了高级加密标准的轮变换(Sbox,ShiftRow和MixColumn的复合)的128个分量函数的代数正规型。每个分量函数都是32元布尔函数,其项数在448～545,平均为496,远远小于随机32元布尔函数的平均项数231。这表明AES轮变换与随机置换有巨大偏差。得到这些ANF的时间复杂度在一个2GHz的PC机上只用几分钟。该方法优于通过真值表得到ANF的经典算法——其得到128个分量函数的时间复杂度为O(128×32×232)=O(244)。作为应用,利用得到的ANF建立了一轮AES的一个方程系统,并用Cryptominisat 2.9.0进行求解。使用Guess-and-Determine的方法,利用一个已知明密对,可以在PC机上233h内得到全部128比特密钥。

基于融合编译的软件多样化保护方法

针对现有主流保护方法存在的特征明显、模式单一等问题,以LLVM开源编译框架为基础,提出了一种基于融合编译的软件多样化保护方法,该方法将目标软件进行随机化加密处理,并在编译层面与掩护软件进行深度融合,通过内存执行技术,将加密后的目标软件进行解密处理,进而在内存中以无进程的形式执行,利用掩护代码的多样性、融合策略的随机性来实现目标软件的多样化保护效果。选取了多款常用软件作为测试集,从资源开销、保护效果、对比实验等多个角度对所提方法进行了实例测试,从测试结果可以看出,所提方法资源开销较小,相较于混淆、加壳等传统方法,所提方法在抗静态分析、抗动态调试等方面具有较大优势,能有效对抗主流代码逆向分析和破解手段。

美国网络空间军民一体化组织运行体制及启示

本文从组织领导体系和协调运行机制等方面介绍了美国网络空间军民融合的发展情况,分析了美国加强网络空间力量,依托社会资源,共育网络人才的具体措施,对推进我国网络空间军民融合发展有一定的借鉴意义。

DES差分特征的分析与搜索

通过对已有的DES各轮的差分特征进行分析,发现了现有的DES高概率差分特征存在的特有现象,利用这些特点对以前的差分特征搜索算法进行改进,设计出了新的DES差分特征的搜索算法。经过程序实现,新的算法不仅能够找到现有的所有差分特征,还找到了一个目前没有的五轮特征,该特征的概率比现有的五轮特征的最大概率大。新搜索算法比原来的算法快。

CME分析中的丢番图方程求解

1.引言 循环的Cache不命中率分析是编译优化中的关键技术之一.CME(Cache Miss Equation)是美国Princeton大学的S.Ghosh博士提出的循环Cache不命中率分析的计算模型[1],它以循环中数组引用的重用向量分析为基础,根据Cache数据映射的规则用约束条件下丢番图方程对数组引用在不同重用向量上的Cache冲突情况进行精确的描述(一般为线性约束条件),明确了方程整数解的数目与Cache不命中次数之间的关系,为较为精确地分析循环的Cache不命中率奠定了基础.

通过磁盘隔离技术实现重要信息系统安全

当前人们对硬盘数据安全的要求日益提高,本文提出了一种支持多还原点的磁盘隔离系统的软件设计思想。设计磁盘过滤驱动,过滤用户对磁盘的读写操作,并通过工作映射表,确保对相同逻辑地址的读写请求映射到不同的物理地址,以此来实现隔离功能。设计还原点映射表,将还原点保存的工作映射表替换当前工作映射表来实现还原功能。实验结果表明本系统成功实现了隔离和还原功能,并且运行稳定。

数组变换与局部性

数组变换是改善循环数据访问局部性 ,提高Cache命中率的重要方法。本文在数组变换理论的基础上 ,结合矩阵初等变换和厄米标准型矩阵的理论 ,提出了依据循环中数组引用的下标表达式来进行数组变换的一般算法。最后给出的实验数据表明