融合虚拟化和操作系统的动态程序分析框架

各种高级恶意代码在网络空间中不断出现,具有分析对抗能力强、恶意行为更隐蔽等新特点,对各类信息系统的安全性产生严重威胁。为深度了解恶意代码及相关攻击活动,需研究更实用和高效的分析方法,以提高对威胁的分析能力和响应速度。针对二进制程序分析,尽管已有较多的研究成果,但随着软硬件技术的发展,仍面临实用性和灵活性较低、性能和资源开销较高、难以适应新的应用场景等问题。因此在已有工作的基础上,本文以动态细粒度程序分析为目标,将操作系统和虚拟机监视器进行深度融合,提出一种新的二进制程序动态分析方法。该方法充分利用硬件虚拟化新特性对目标程序的执行进行动态拦截,能够更便捷地对用户模式应用程序进行自动化分析,并采用新的动态分析相关内存管理方案,以提高细粒度分析的效率和分析代码构建的灵活性;同时综合程序执行和指令分析进行分离的策略,进一步降低分析过程对目标程序运行时的性能影响。本文在Windows平台上设计了该方法的原型并实现相应的分析框架,采用基准程序和实际应用程序进行大量实验,验证了该方法的可行性和高效性,并通过数据流分析案例进一步展示了框架在实际分析中具有较高的应用价值。

Apple系统漏洞分析技术研究

在快速发展的网络安全领域,模糊测试技术具有高效、准确率高等特点,在学术界与工业界都得到了广泛的应用。同样,模糊测试技术已成为发现Apple系统中漏洞的关键工具。本文整合了该领域的关键研究和发展成果,深入探讨了模糊测试技术在这些平台安全分析中的最新进展、应用和挑战。通过揭示当前前沿模糊测试方法在macOS及iOS系统中的漏洞分析技术研究的发展趋势,强调了在苹果两个平台的系统中漏洞发现和模糊测试技术日益增加的复杂性。最后讨论了当前发展趋势对未来研究方向和系统安全性持续增强的影响,并综合当前的技术积累以及新兴的趋势,展望了未来的研究方向。

内核驱动的轻量级动态二进制程序分析框架

如今网络攻击活动越来越复杂,为更好地实现防御与溯源等目标,需对攻击代码进行深度分析。同时攻击影响也从桌面终端扩大到路由器、智能家居等物联网设备,新场景需要有轻量化和易部署的程序分析方法。为应对攻击活动分析新形势,提出一种系统内核驱动的轻量级二进制程序分析框架,通过合理利用操作系统实现机制对程序进行动态拦截,从而对目标程序进行细粒度动态分析。在此基础上结合内核特性提出一种优化的动态数据流分析方法,可进一步提升程序细粒度分析能力。通过采用基准程序和实际程序进行大量实验,验证了所提出方法的有效性和较好的分析性能,实验表明分析框架具有较好的可部署性和应用价值。

一种改进的基于在线解耦的轻量级动态污点分析方法

在针对二进制程序的实际分析场景中,动态分析方法因具有更高的准确性而得到更为广泛的关注和运用.但是以动态污点分析为代表的细粒度分析方法通常会产生较高的性能和资源开销.为缓解这些问题,本文提出一种改进的轻量级在线解耦的动态污点分析方法,其主要思想是在线解耦程序执行和指令分析,同步构建分析代码并完成分析.该方法能够进一步降低对目标程序运行时的性能影响,并易将分析过程迁移至其它上下文环境中,从而可进一步减小对目标程序运行环境的干扰.本文通过采用多种实际程序进行实验,结果表明该方法能够比传统在线污点分析具有更高的分析性能,并具有较低的系统资源消耗,易于在实际环境中进行部署和应用.

一种新的Windows木马检测方法研究

针对目前木马病毒种类多、检测难度大、隐蔽功能强等难点,在研究Windows系统下木马程序特点以及生物免疫机制的基础上,考虑到人体免疫机制与木马检测机制的相似性,提出一种基于免疫的木马检测方法,设计了基于免疫的木马检测模型,提出了改进的否定选择算法中的检测器产生算法EV-Detector,并将其用于木马检测.实验结果表明,相比同类方法,基于EV-Detector的否定选择算法EVD-NSA在检测木马方面有着较高的检测率与较低的误报率,能够有效地检测出Windows系统下新颖未知木马程序.

一种Android恶意软件多标签检测方法

针对Android恶意软件检测中多标签分类存在的困难,本文提出了一种Android恶意软件家族特征综合描述方法,针对不同的恶意软件家族,基于静态分析方法,从软件包特征、申请权限特征和软件的行为调用特征三个方面对软件进行描述;采用统计分析方法,提取恶意软件家族的特征,并给出了特征描绘方法,构造恶意软件家族特征库;并基于该特征库提出了软件恶意性检测方法.实验结果表明,这些特征能够较好的描述软件的特征,基于该特征的恶意软件检测与同类算法相比,能够在较低的时间开销下,保证较低的误报率和漏报率,达到较高的检测精度,同时能够给出恶意软件所属家族.

基于渐进扩展的二进制程序数据流分析方法

二进制程序分析技术广泛应用于软件的安全性评估,恶意代码分析等领域.动态分析技术能够准确体现程序真实的运行状态,但面临目标程序运行负载过高、难以深入了解内部结构信息等挑战.提出一种基于渐进扩展的二进制程序数据流分析方法.方法旨在充分利用在线数据流分析的能力,在局部细粒度分析的基础上逐渐扩展分析范围,从而使分析能够覆盖整个目标程序.通过设计的分治策略,可降低对目标程序运行时的性能影响,从而可使对延迟敏感的目标代码段能成功地执行.并在此基础上,进一步提出基于内存引用关系的函数参数相关性分析方法,从函数调用层面获取数据流传递信息,可辅助恢复参数的内部结构信息.通过对大量真实案例进行研究和实验,验证了所提出方法的可行性与有效性,在降低对目标程序影响的同时未引入显著的额外分析开销,能够用于实际环境下二进制程序的分析.

邮政行业网络安全人才培养探索研究

信息化时代下安全问题得到普遍重视,而专业人才缺乏仍是当前形势下存在的重要问题。如今我国邮政业快速发展,信息化程度不断提高,同时也面临网络安全威胁,邮政强国建设需要具有网络安全素养的人才队伍支撑。文章基于邮政和物流工程专业涉及的网络安全教学科研实践,总结了当前在面向行业的网络安全人才培养过程中存在的一些突出问题,并从人才培养模式和课程教学方面进行研究,阐述了关于应用型网络安全人才培养的思路和实践经验。