针对Android应用组件间通信的模糊测试技术研究

Intent是Android应用中最常用的组件间相互通信的载体。然而,如果应用组件对Intent处理不当,极有可能导致应用异常甚至崩溃。以Android应用的各个组件为研究对象,提出了一种通过构造Intent对象来测试Android应用组件间通信健壮性的模糊测试方法。首先分析应用组件的注册文件,提取需要测试的组件及其相关信息。然后,反编译APK源文件,获得目标组件的源代码并提取Intent的附加信息。接着,基于状态压缩批量生成目标组件的Intent测试用例用于自动化测试,并监控目标组件的运行日志来获取其运行状态反馈,据此判断应用组件在响应Intent时是否发生异常。最后,基于相似度匹配的错误日志去重算法,准确地将同一缺陷生成的错误日志归为一类,降低人工分析的工作量。实验表明,所提方法相较于现有前沿研究Hwacha,能够少生成9%的测试用例,多发现14%的程序异常,并通过去重算法显著降低了需要人工研判错误类别的工作量。

基于Jump-SBERT的二进制代码相似性检测技术研究

二进制代码相似性检测技术在不同的安全领域中有着重要的作用。针对现有的二进制代码相似性检测方法面临计算开销大且精度低、二进制函数语义信息识别不全面和评估数据集单一等问题,提出了一种基于Jump-SBERT的二进制代码相似性检测技术。Jump-SBERT有两个主要创新点,一是利用孪生网络构建SBERT网络结构,该网络结构能够在降低模型的计算开销的同时保持计算精度不变;二是引入了跳转识别机制,使Jump-SBERT可以学习到二进制函数的图结构信息,从而更加全面地捕获二进制函数的语义信息。实验结果表明,Jump-SBERT在小函数池(32个函数)中的识别准确率可达96.3%,在大函数池(10000个函数)中的识别准确率可达85.1%,比最先进(State-of-the-Art,SOTA)的方法高出36.13%,且Jump-SBERT在大规模二进制代码相似性检测中的表现更加稳定。消融实验表明,两个主要创新点对Jump-SBERT均有积极作用,其中,跳转识别机制的贡献最高可达9.11%。

基于遗传算法的黑箱测试用例自动生成模型

介绍基于遗传算法的测试用例自动生成技术,研究了利用动态调试技术和静态反汇编技术计算遗传算法中适应度函数的方法,设计了基于遗传算法的黑箱测试用例自动生成模型。该模型可直接对可执行文件自动生成测试用例,避免对程序进行源代码插装,降低对程序源代码的要求,扩展了基于遗传算法的测试用例自动生成技术的应用范围。

Fuzzing技术综述

通过分析比较多种Fuzzing技术的定义,结合其当前发展所基于的知识和采用的方法,给出了Fuzzing技术的一个新的定义;重点从与黑盒测试技术的区别、测试对象、架构和测试数据产生机理四个方面总结了当前Fuzzing技术采用的一些新思想、新方法以及它们的缺陷。针对这些缺陷和实际应用中的需求,分别提出了当前Fuzzing技术下一步的具体研究方向和对应的研究方法。

基于文件格式的漏洞挖掘技术研究

文件格式漏洞的严重威胁性和挖掘复杂性使基于文件格式的软件漏洞挖掘技术成为信息安全领域的一个研究热点。总结了文件格式漏洞挖掘技术的发展历程,重点分析了当前该技术在实际应用中存在的不足,最后提出下一步可能的研究方向。

利用智能疫苗防治多网络蠕虫的方法

对于多种网络蠕虫的防治一直是网络安全界急需解决的问题,在分析现有疫苗技术和点对点(P2P)技术的基础上,提出了一种基于P2P通信的智能疫苗.首先,智能疫苗能根据目标主机的不同漏洞进行智能变换,预防或查杀多种网络蠕虫;其次,智能疫苗采用P2P通信方式,解决了穿透防火墙通信问题,提高了疫苗的利用率.

多网络蠕虫智能防治系统IPCS的设计

在分析现有防治技术的基础上,设计了一个针对多种网络蠕虫的智能防治系统IPCS。该文给出了IPCS的系统结构以及系统的工作流程,介绍了智能防治中心,讨论了智能疫苗的分类、智能变换及其通信技术。

串空间理论的扩展和应用

根据安全协议分析的需要,阐述经扩展后的串空间理论,在该理论中加入Diffie-Hellman密钥交换等操作,在此基础上扩展理想和诚实的概念,使用扩展的串空间理论分析SIGMA-R协议的核心安全特性——保密性和认证特性,并通过数学方法加以验证。

一种基于导向式模糊测试的IoT设备固件漏洞分析方法

为提高物联网(Internet of Things,IoT)设备漏洞分析的准确度,在深入分析了50余个MIPS架构的IoT设备固件漏洞的基础上,提出了一种基于导向式模糊测试的动静结合IoT设备固件漏洞分析方法。获取固件程序中所有函数信息,依据数据引入函数与漏洞触发函数的函数调用关系图,定位危险代码区域。基于危险代码区域详细控制流图,计算执行路径中基本块到达漏洞触发函数的距离,动态调控种子能量,实现面向漏洞触发函数的导向性模糊测试。设计实现了面向MIPS架构的IoT设备固件漏洞分析系统DirFirmFuzz。实验结果表明,相较于已有工具,系统漏洞分析的误报率平均缩减了73.31%,到达漏洞触发函数的平均速度加快了1.1~7倍。同时,在实际环境测试过程中,发现了D-Link、Cisco等多个厂商的12个0-day漏洞,均已报送相关厂商进行修补。

基于符号执行的Tcache Poisoning堆漏洞自动验证方法研究

Tcache Poisoning是面向堆管理机制的一种堆漏洞利用方法,现有的堆漏洞自动验证工作未考虑Tcache带来的影响,无法适用于高版本Glibc堆漏洞自动验证。分析Tcache机制以及Tcache Poisoning验证方法的原理,提出一种基于符号执行的Tcache Poisoning堆漏洞自动验证方法。定义多元组对堆块的状态进行形式化描述,通过对关键API函数的挂钩,在程序运行过程中收集堆块的状态信息,并引入符号变元将外部输入数据符号化,实现关键信息的获取。通过状态监控检测堆漏洞触发,依据Tcache Poisoning堆漏洞自动验证模型,逐步生成Tcache Poisoning攻击约束和攻击载荷约束,最后通过约束求解生成漏洞验证代码。基于S2E符号执行平台实现自动验证系统TPAEG,并对10个测试程序进行测试,其中在Tcache Poisoning方法的7个测试程序中有5个生成了验证代码。实验结果表明,TPAEG可有效地检测堆溢出漏洞和释放后重用漏洞,并能够针对符合Tcache Poisoning攻击特征的场景实现自动验证,完成控制流的劫持并生成验证代码。

基于预训练汇编指令表征的二进制代码相似性检测方法

二进制代码相似性检测技术近年来被广泛用于漏洞函数搜索、恶意代码检测与高级程序分析等领域,而由于程序代码与自然语言有一定程度的相似性,研究人员开始借助预训练等自然语言处理的相关技术来提高检测准确度。针对现有方法中未考虑程序指令概率特征导致的准确率提升瓶颈,提出了一种基于预训练汇编指令表征技术的二进制代码相似性检测方法。设计了面向多架构汇编指令的分词方法,并在控制流与数据流关系基础上,考虑指令间顺序出现的概率与各个指令单元使用的频率等特征设计预训练任务,以实现对指令更好的向量化表征;结合预训练汇编指令表征方法,对二进制代码相似性检测下游任务进行改进,使用表征向量替换统计特征作为指令与基本块的表征,以提高检测准确率。实验结果表明,与现有方法相比,所提方法在指令表征能力方面最高提升23.7%,在基本块搜索准确度上最高提升33.97%,在二进制代码相似性检测的检出数量上最高增加4倍。

基于变异树的Fuzzing技术研究

针对目前Fuzzing技术中变异因子彼此之间是独立的,存在着测试效率不高以及由于前期静态分析不正确而产生漏报的缺点,提出了变异树的概念。将变异因子以树模型的方式组织起来,设计了有效的变异策略。在当前Fuzzing平台的基础上,实现了基于变异树的Fuzzing平台设计,最后通过当前的Fuzzing平台和基于变异树的Fuzzing平台对Visualpng以及KMPlayer进行Fuzzing测试结果的比较,表明了该方法的可行性。

Java软引用防止内存泄漏技术的研究

GC自动地进行内存管理,但长时间对象强引用而忘了释放,可能导致内存泄漏,软引用有较强的引用功能,在程序中申请内存时,GC自动判断是否处于软可及状态的对象。当内存不够时才回收这些由软引用的对象,从而保证了内存不溢出。

基于符号执行的堆溢出fastbin攻击检测方法

为弥补当前软件漏洞自动检测系统无法对含堆溢出漏洞的程序进行自动检测的缺陷,提出一种Linux平台下面向堆溢出的fastbin攻击的自动检测方法。基于已有的fastbin攻击实例,利用fastbin攻击特征,建立fastbin攻击检测模型,并基于该模型给出一种fastbin攻击检测方法。运用污点分析和符号执行技术,通过监控符号数据到达漏洞触发点的关键信息构建路径约束以及触发fastbin攻击的数据约束,基于对约束的求解,判断程序是否存在fastbin攻击的可能,并生成测试用例。实验结果表明,面向堆溢出的fastbin攻击检测方法能够实现对fastbin攻击的准确检测。

基于前后端关联性分析的固件漏洞静态定位方法

目前大多数物联网设备通过Web服务接口进行远程管理,利用Web服务漏洞发起攻击成为当前物联网设备安全面临的主要威胁之一。文章提出一种针对物联网设备Web服务漏洞的静态挖掘方法,首先基于前端脚本文件与边界二进制程序之间的关联性特征,通过对前后端文件进行关联分析,识别固件中的边界二进制程序,确定在边界二进制程序中针对Web输入数据的起始处理位置。然后利用污点分析技术判断输入数据是否会被漏洞触发函数处理,定位程序中的危险函数区域。最后实现固件漏洞静态方法的原型系统FBIR,并对10款固件进行实验,通过定位危险函数的方式验证45个已知漏洞并挖掘出12个零日漏洞。在漏报率只有14.9%的基础上,与传统人工分析的方法对比,文章所提方法将程序函数分析范围平均缩小了86%。

面向堆内存漏洞的double free攻击方法检测

已有的软件测试系统只能检测出栈溢出漏洞和格式化字符串漏洞,并不能检测堆内存漏洞。为了实现面向堆内存漏洞double free攻击方法的自动检测,提出了一种堆内存漏洞double free攻击方法自动检测方法。该方法使用符号执行和污点分析技术,通过总结double free攻击特征,建立double free攻击检测模型,并根据模型提出了相应的特征检测算法,实现了double free攻击的自动检测。使用五个公开测试集测试用例,通过CRAX方法来作对比。CRAX对五个测试用例都无法生成利用代码,而该方法可以针对其中三个生成利用代码。实验证明,提出的面向堆内存漏洞的double free攻击检测方法能够有效实现对double free攻击的检测。

一种基于被动DNS数据分析的DNS重绑定攻击检测技术

基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大。DNS重绑定需要通过设置恶意域名才能实现。针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC)。通过引入被动DNS数据,从域名名称、时间、异常通信及恶意行为等4个测度集刻画DNS重绑定相关域名;基于C4.5决策树、KNN、SVM及朴素贝叶斯等分类方法对数据进行混合分类、组合训练及加权求值。交叉验证实验表明,DRC模型对相关恶意域名的识别能够达到95%以上的精确率;与恶意域名检测工具FluxBuster进行对比,DRC模型能够更准确地识别相关恶意域名。

基于QRNN的网络协议模糊测试用例过滤方法

目前,网络协议模糊测试的目标趋向于大型协议实体,而传统的测试用例过滤方法主要是基于测试对象的运行状态信息,测试对象越庞大,其执行单个测试用例的时间也越长。因此,针对传统的网络协议模糊测试用例过滤方法存在无效执行时间长、效率低下的问题,依据循环神经网络模型对序列数据较强的处理和预测能力,提出一种基于QRNN的网络协议模糊测试用例过滤方法。通过学习网络协议的结构特征,包括字段取值范围和字段间约束关系,该方法可以自动过滤无效测试用例,减少协议实体测试用例的执行次数。实验结果表明,与传统的网络协议模糊测试用例过滤方法相比,所提方法可以有效降低网络协议漏洞挖掘的时间成本,显著提高网络协议模糊测试的效率。

ASLR机制脆弱性自动分析方法

地址随机化是一种针对控制流劫持漏洞的防御机制。已有的漏洞自动分析与利用技术缺少对地址随机化机制影响的分析,导致生成的测试用例在实际环境中的运行效果受到极大限制。针对地址随机化的缺陷及其绕过技术的特点,提出了一种地址随机化脆弱性分析方法。该方法使用有限状态机描述程序运行路径中各关键节点的状态;针对常见的内存泄漏与控制流劫持场景建立约束条件;通过求解内存泄漏状态约束与控制流劫持状态约束的兼容性,分析地址随机化机制在特定场景下的脆弱性。实验结果表明,该方法可有效检测通过内存泄漏导致的地址随机化绕过及控制流劫持攻击,实现自动化的地址随机化脆弱性分析,提高针对软件安全性分析的效率。

面向漏洞类型的Crash分类研究

Crash(程序崩溃)分析是漏洞挖掘与利用的关键阶段,判定Crash是由何种类型漏洞产生的是进行Crash分析和漏洞利用的前提。针对现有漏洞检测平台无法有效识别Crash类型的问题,提出一种二进制可执行程序漏洞检测和Crash类型判定的方法。该方法通过对二进制可执行程序Fuzz出的Crash进行污点标记,在污点传播阶段兼顾污点清除、间接污染等污点传播规则,在污点检查阶段通过收集崩溃点上下文信息,匹配多种漏洞触发规则。基于上述方法开发出对二进制程序漏洞检测和判定Crash所属漏洞类型的原型系统,实验结果表明,该方法适用于栈溢出、格式化字符串、堆溢出等漏洞导致的覆盖返回地址、函数指针等模式,具有较高准确率。