Reusable Function Discovery by Call-Graph Analysis

Nowadays, one of the IT challenges faced by many enterprises is the maintenance of their legacy system and migration of those systems to modern and flexible platform. In this paper, we study the network properties of software call graphs, and utilize the network theories to understand the business logic of legacy system. The call graphs turn out approximately scale-free and small world network properties. This finding provides new insight to understand the business logic of legacy system: the methods in a program can be naturedly partitioned into the business methods group and supportive methods group. Moreover, the result is also very helpful in reusing valuable functionality and identifying what services should be to expose in the migration from legacy to modern SOA context.

call图与基于call图的相关分析

call图用来反映程序中过程之间的调用关系,在程序分析和程序转换中起着重要的作用。本文首先讨论了简单情形下call 图的构造算法,然后提出了过程向量及其映射函数的概念,从而设计出一种针对允许过程作为参数时call 图的构造算法,并对该算法进行了详细的分析,其时间复杂度为O(n)。本文最后讨论并分析了基于call 图的程序相关分析方法。

基于Graph Embedding的话单分析

现阶段大多是利用社交网络理论进行分析,发现话单数据中的潜在人员。社交网络理论是将数据中的实体用节点表示,节点间的关系用线表示。大数据时代很多传统的算法在针对多特征的数据时,分析结果的理想性越来越差。而机器学习这几年在数据分析工作中大放异彩,为很多经典问题提供了一种新的解决思路。论文正是基于这样的背景,提出了一种新的推荐算法,用图嵌入的方法研究话单数据,将通话网络中的点和关系向量化,使机器学习算法用于话单分析成为可能。

基于EBRCG的API结构模式信息增强方法研究

针对API调用模式缺乏结构信息及结果高冗余等问题,提出了基于扩展的分支保留调用图(the Extended Branch-Reserving Call Graph,EBRCG)的API结构模式信息增强方法。以Java开源项目源代码为研究对象,使用EBRCG来表示Java类的方法的结构信息,在EBRCG中,同时考虑了API调用语句、分支语句(将if语句和所有循环语句视为分支语句)、switch-case多分支语句、异常语句等,并提出了EBRCG裁剪算法来获取特定API调用模式的代码结构。同时,采用聚类和排序的方法对API调用模式的多个代码结构信息进行筛选,最终选择具有代表性的API调用模式的代码结构。为验证该方法的效果,将该方法与TextRank方法进行了3组实验比较。结果显示,该方法能有效地获取API调用模式的代码结构,相比TextRank方法能更准确地描述API的使用,有一定的研究意义,并为软件开发人员提供了参考。

基于局部路径图的自动化漏洞成因分析方法

快速的漏洞成因分析是漏洞修复中的关键一环,也一直是学术界和工业界关注的热点.现有基于大量测试样本执行记录进行统计特征分析的漏洞成因分析方法,存在随机性噪声、重要逻辑关联指令缺失等问题,其中根据测试集测量,现有统计方法中的随机性噪声占比达到了61%以上.针对上述问题,提出一种基于局部路径图的漏洞成因分析方法,其从执行路径中,提取函数间调用图和函数内控制流转移图等漏洞关联信息.并以此为基础筛除漏洞成因无关指令(即噪声指令),构建成因点逻辑关系并补充缺失的重要指令,实现一个面向二进制软件的自动化漏洞成因分析系统LGBRoot.系统在20个公开的CVE内存破坏漏洞数据集上进行验证.单个样本成因分析平均耗时12.4 s,实验数据表明,系统可以自动剔除56.2%噪声指令和补充并联结20个可视化漏洞成因相关点指令间的逻辑结构,加快分析人员的漏洞分析速度.

面向小程序的函数调用图构建方法

小程序以弱类型的JavaScript语言作为开发语言,对弱类型语言数据流和控制流的分析是准确构建函数调用图的关键.但由于小程序框架代码闭源,现有工具无法分析出其框架代码和业务代码交互的数据流和控制流信息,使其无法准确构建出函数调用图.为此本文提出了融合指针分析和关系图谱的小程序函数调用图构建方法,该方法先对文档知识进行抽取和融合构建初始关系图谱模型,再通过对代码逻辑数据流的分析来完善关系图谱,最后利用关系图谱整合和挖掘出的交互信息来指导指针分析算法对小程序函数调用图进行构建.基于该方法本文实现了小程序静态分析工具MiniDroid,实验表明MiniDroid构建的小程序函数调用图准确性达到89%,与现有工具相比提升了39%.MiniDroid对敏感API检测准确率为92%,相比于前人检测方法提升了14%.

基于行为特征和语义特征的多模态Android恶意软件检测方法

现有的Android恶意软件检测方法只考虑单一种类的特征,并不能全面描述Android软件的特征。为解决此类问题,文中从权限、字节码概率矩阵和函数调用图3种类型特征出发,提出了一种基于行为特征和语义特征的多模态Android恶意软件检测方法。同时,为了解决函数节点特征表示问题,文中针对函数调用图的生成过程提出了一种新的节点特征生成方法。为了丰富操作码语义信息,提出了一种基于2-gram的字节概率矩阵生成方法。通过实验证明了文中方法相较于其他方法可更加全面地描述Android软件的特征,检测准确率达到95.2%,相较于已有方法准确率平均提升了22%,有效提高了Android恶意软件的检测能力。

基于图神经网络与深度学习的PDF文档检测模型

针对传统PDF文档检测误报率过高的问题,提出一种基于图神经网络与深度学习的检测模型DGNN。通过收集文档运行时各线程产生的系统调用数据生成相应的系统调用图,运用所提基于H指数的图采样策略缩减数据规模;采样后的子图作为模型DGNN的输入,借助图卷积网络提取关联关系的同时,利用深度学习提取系统调用对的属性特征并完成特征融合,通过系统调用图的性质判别完成检测。实验结果表明,与其它方法相比,该模型特征提取与训练时间短,有效提高了PDF文档的检测效果。

UML模型和Java代码之间的一致性检测方法

针对代码与模型之间的不一致性问题,提出了一种基于UML模型和Java代码之间的一致性检测方法。首先,对UML类图和时序图进行形式化描述,并提出时序调用图(SD-CG)这一概念,在此基础上完成类的关联关系到关联属性的转换以及UML时序图到时序调用图SD-CG的转换;其次,通过方法调用图CG来表达类方法之间的调用关系,从而反映代码动态行为,由此通过对Java源代码的词法分析与语法分析,可获得类的信息及方法调用图CG;然后设计了UML模型与Java源代码间一致性检测算法,包括对类间静态信息以及时序调用图SD-CG与方法调用图CG间的一致性检测;最后,通过开发UML模型与Java源代码一致性检测工具,验证了所提出的方法是可行有效的。

基于简化控制流监控的程序入侵检测

针对程序漏洞的攻击是目前一个非常严重的安全问题.该文提出了一个程序运行时候控制流监控的简化方法.与基于系统调用的入侵检测方法相比,该方法有更细的监控粒度;而与完全函数调用关系监控的方法相比,该方法同样有效但实施更为简单.测试结果表面该方法能够有效地针对已有的多种攻击类型进行防范.

一种结合动态与静态分析的函数调用图提取方法

完整准确地提取函数调用图是基于函数调用图进行恶意程序相似性分析的基础。为此,提出一种动静结合的恶意程序函数调用图提取方法。在对程序进行静态反汇编的基础上抽取恶意程序的可执行路径,使用隐藏信息主动发现策略找出恶意程序中隐藏的指令和函数调用,采用动态反馈机制完成动静结合分析过程中的信息同步。实验结果表明,该方法能够有效应对各种恶意程序反分析技术,完整准确地提取出恶意程序的函数调用图。

基于RTL的函数调用图生成工具CG-RTL

为了分析操作系统内核等大型软件的模块间函数调用关系,针对传统的函数调用关系生成工具不适用于模块间调用关系分析以及其依赖编译器具体特定版本等不足,提出一种基于寄存器传送语言(Register Transfer Language,RTL)的函数调用图生成方法,并根据该方法实现了一个生成模块间函数调用图的工具CG-RTL(call graph based on RTL,简称为CG-RTL).CGRTL首先从编译过程所生成的中间结果中提取出函数定义和调用关系信息,然后利用开源图形可视化工具Graphviz将其绘制出来,并最终将该功能集成到在线源代码浏览工具LXR中去.实验结果表明:通过该方法获得的函数调用关系与目标代码较为一致,而且可以分析用户指定模块间的函数调用关系,而且该方法同时可以生成相对应的函数调用关系列表,更加细致的描述函数调用关系.

基于图卷积网络的恶意代码聚类

许多新型恶意代码往往是攻击者在已有的恶意代码基础上修改而来,因此对恶意代码的家族同源性分析有助于研究恶意代码的演化趋势和溯源.本文从恶意代码的API调用图入手,结合图卷积网络(GCN),设计了恶意代码的相似度计算和家族聚类模型.首先,利用反汇编工具提取了恶意代码的API调用,并对API函数进行属性标注.然后,根据API对恶意代码家族的贡献度,选取关键API函数并构建恶意代码API调用图.使用GCN和卷积神经网络(CNN)作为恶意代码的相似度计算模型,以API调用图作为模型输入计算恶意代码之间的相似度.最后,使用DBSCAN聚类算法对恶意代码进行家族聚类.实验结果表明,本文提出的方法可以达到87.3%的聚类准确率,能够有效地对恶意代码进行家族聚类.

改进的基于图的可执行文件比较算法

讨论了可执行文件的比较方法,在基于图的指令相似性比较和结构化二进制比较的基础上给出了一种改进的可执行文件比较算法。该算法首先利用结构化比较获得一组固定点,再从每个固定点开始进行指令相似性比较。该算法融合了两种方法的优点,并使得它们相互弥补了各自的不足,减少了比较结果漏报和误报的可能性。

基于函数调用图的二进制程序相似性分析

现有基于函数调用图的程序二进制文件相似性分析方法在分析经混淆处理的复杂程序时存在准确度低的问题。针对该问题提出了一种基于子图匹配的层次分析方法。以子图为最小检测单元,分层检测各个子图的相似度;再依据各个子图的相似度,采用加权平均策略计算程序二进制文件的相似度。实验结果表明,该方法抗干扰能力强,能够有效应用于恶意程序家族分类及新病毒变种检测,且具有较高的检测效率。

软件模糊测试中畸形输入数据的自动构造

提出一种畸形输入数据自动构造算法。基于软件二进制补丁比对结果及目标函数调用图,设计适应值函数,对同一种群中所有个体进行评估,寻找优秀个体并遗传到子代中。实验结果表明,该算法能够生成到达或接近到达软件脆弱点的输入数据,简化逆向分析人员构造软件畸形数据的过程。

恶意代码的函数调用图相似性分析

恶意代码的相似性分析是当前恶意代码自动分析的重要部分。提出了一种基于函数调用图的恶意代码相似性分析方法,通过函数调用图的相似性距离SDMFG来度量两个恶意代码函数调用图的相似性,进而分析得到恶意代码的相似性,提高了恶意代码相似性分析的准确性,为恶意代码的同源及演化特性分析研究与恶意代码的检测和防范提供了有力支持。

基于内核跟踪的动态函数调用图生成方法

针对目前大多数的函数调用关系分析工具无法分析函数指针、系统启动过程以及可加载模块的函数调用关系的现象,在CG-RTL的基础上提出了基于内核跟踪的动态函数调用图生成方法,并开发了动态函数调用图生成工具DCG-RTL(dynamic call graph based on RTL)。DCG-RTL在S2E模拟器中运行待跟踪内核,通过指令捕获插件和函数解析插件记录运行时的函数调用和返回信息,分析跟踪信息得到动态和静态函数调用关系,利用CG-RTL工具在浏览器中展示。实验结果表明,DCG-RTL能全面和准确地跟踪包括函数指针引用和可加载内核模块在内的函数调用关系。

针对递归函数的高级综合编译优化算法

为了消除高级综合中的递归函数调用,提出一种基于函数调用图(FCG)和分支决策的编译优化算法.首先在LLVM编译器架构下给出FCG的中间结构,将递归调用转换为非递归函数的嵌套调用,然后借助决策树的构造规则去除函数体中的分支判断及未调用的子支,最后采用子函数复用、资源预评估的方法控制实现电路的规模.实验结果表明,与内联展开算法RecursionHW相比,采用该算法综合后的逻辑单元数平均减少63%,时钟频率平均提高3.2倍,并且高级综合的总时长随递归深度的增大而呈指数级减少.

一种基于类层次图的分析面向对象程序的框架

从类层次图 CHG( class hierarchy graph)出发 ,提出一个基于 CHG的分析面向对象程序的框架 OOAF( object- oriented analyzing framework) ,讨论了 OOAF的功能、算法和设计思想 ,给出了子对象识别以及可见方法、主导方法的确定算法 ,建立了可见方法类层次图 ;并且通过计算方法的继承集、改写集以及对方法改写边界的确定 ,生成程序的虚函数调用图 。