基于roBDD的细颗粒度动态污点分析(英文)

研究了细颗粒动态污点分析的瓶颈所在,提出一种基于roBDD的细颗粒度离线污点分析方法。实验结果表明该方法能够显著提高细颗粒度污点分析的性能,并减低内存需求,为进一步扩大细颗粒度污点分析的应用提供了途径。

一种多项式时间的路径敏感的污点分析方法

提出了一种解决静态污点分析方法在进行路径敏感的分析时面临的路径爆炸的问题的方法.该方法将污点分析问题转化为加权下推自动机的广义下推后继问题,进一步利用污点数据在程序中的可达性,减少后续分析中需要精确执行的路径数.从而该方法能够以多项式的时间复杂度实现程序状态空间遍历,并能在发现程序违反安全策略时自动生成反例路径.设计实验使用该方法对击键记录行为进行了刻画,对恶意代码程序和合法软件进行了两组分析实验,并与现有的方法进行了对比分析.实验证明本文的方法可以有效地对具有较多分支的程序进行路径敏感的污点分析。

iOS安全杂谈

苹果iOS设备在移动市场（尤其是高端市场）中占据巨大份额。正因如此,针对iOS的安全研究一直以来都备受关注。一方面,苹果显然从传统PC环境下杂乱不堪的安全生态环境发展历史中汲取了大量经验教训,在iOS的安全设计上做足工夫,短时间内将iOS设备打造成一个非常安全的平台。为此,iOS采用了诸多严格的安全机制,比如可信启动链、代码签名、沙盒执行环境、权限隔离和数据加密。

白帽子社区:走出一片草原

白帽子（Whitehat）是一个标签，是为区别于黑产而贴的一个标签。今天我们所要面对的主要是白帽子社区，是南向社区。什么是南向，什么是北向？拿一个地球仪来说，上面是北，下面是南，我们谈技术时，谈务虚谈架构时都是在上面，谈具体的技术，比如谈到驱动、内存和芯片，这些技术都在下面。所谓白帽子社区，就是南向技术的社区。

纵论基础科研在软件漏洞发现中的作用

2009年10月中国信息安全测评中心宣布国家漏洞库投入运行,说明我国对安全漏洞的认识和管理进入了一个新阶段,和国际上的信息大国一样,安全漏洞正在成为我国的一种重要信息战略资源。漏洞库并不是孤立的,围绕漏洞库实际上存在一条产业链。我们在《中国信息安全》2010年1月创刊号上发表的论文《软件漏洞产业:现状与发展》,探讨了软件漏洞产业问题,将其划分成三个环节:上游是漏洞发现。