Reusable Function Discovery by Call-Graph Analysis

Nowadays, one of the IT challenges faced by many enterprises is the maintenance of their legacy system and migration of those systems to modern and flexible platform. In this paper, we study the network properties of software call graphs, and utilize the network theories to understand the business logic of legacy system. The call graphs turn out approximately scale-free and small world network properties. This finding provides new insight to understand the business logic of legacy system: the methods in a program can be naturedly partitioned into the business methods group and supportive methods group. Moreover, the result is also very helpful in reusing valuable functionality and identifying what services should be to expose in the migration from legacy to modern SOA context.

基于图神经网络与深度学习的PDF文档检测模型

针对传统PDF文档检测误报率过高的问题,提出一种基于图神经网络与深度学习的检测模型DGNN。通过收集文档运行时各线程产生的系统调用数据生成相应的系统调用图,运用所提基于H指数的图采样策略缩减数据规模;采样后的子图作为模型DGNN的输入,借助图卷积网络提取关联关系的同时,利用深度学习提取系统调用对的属性特征并完成特征融合,通过系统调用图的性质判别完成检测。实验结果表明,与其它方法相比,该模型特征提取与训练时间短,有效提高了PDF文档的检测效果。

基于RTL的函数调用图生成工具CG-RTL

为了分析操作系统内核等大型软件的模块间函数调用关系,针对传统的函数调用关系生成工具不适用于模块间调用关系分析以及其依赖编译器具体特定版本等不足,提出一种基于寄存器传送语言(Register Transfer Language,RTL)的函数调用图生成方法,并根据该方法实现了一个生成模块间函数调用图的工具CG-RTL(call graph based on RTL,简称为CG-RTL).CGRTL首先从编译过程所生成的中间结果中提取出函数定义和调用关系信息,然后利用开源图形可视化工具Graphviz将其绘制出来,并最终将该功能集成到在线源代码浏览工具LXR中去.实验结果表明:通过该方法获得的函数调用关系与目标代码较为一致,而且可以分析用户指定模块间的函数调用关系,而且该方法同时可以生成相对应的函数调用关系列表,更加细致的描述函数调用关系.

一种基于图的程序行为相似性比较方法

针对目前的软件盗版现象,在没有软件源代码的情形下提出一种程序相似性的比较方法。该方法是运用程序系统调用之间的参数依赖关系组成依赖图,对程序行为进行描述;在此基础上定义了一种动态程序胎记,用它比较两个功能类似的应用程序。最后的试验数据表明,该方法能够有效地检测出相似程度不一的各组程序之间的相似度,具有一定的可信度和适用性。

基于内核跟踪的动态函数调用图生成方法

针对目前大多数的函数调用关系分析工具无法分析函数指针、系统启动过程以及可加载模块的函数调用关系的现象,在CG-RTL的基础上提出了基于内核跟踪的动态函数调用图生成方法,并开发了动态函数调用图生成工具DCG-RTL(dynamic call graph based on RTL)。DCG-RTL在S2E模拟器中运行待跟踪内核,通过指令捕获插件和函数解析插件记录运行时的函数调用和返回信息,分析跟踪信息得到动态和静态函数调用关系,利用CG-RTL工具在浏览器中展示。实验结果表明,DCG-RTL能全面和准确地跟踪包括函数指针引用和可加载内核模块在内的函数调用关系。

基于语义特征的恶意代码检测综述

通过对基于不同语义特征的恶意代码检测技术进行梳理归纳,厘清不同语义特征在恶意代码检测过程中的作用,为恶意代码检测技术路线、判定算法的选择奠定了基础。

前端渲染函数调用图工具的设计与实现

针对内核在线分析工具,使用服务器计算函数调用图存在渲染时间长、网络传输数据量大等问题,基于Node.js的前端渲染函数调用图工具FRCG(front-end rendering call graph),使用前后端分离的方式,将数据处理与调用图渲染拆分到前后端分别进行。服务器异步处理请求,返回JSON数据,优化传输数据量。前端页面请求数据,动态渲染函数调用图,页面通过对数据的更新实现图的切换和操作功能,提高调用图的灵活性。对比测试表明,FRCG工具有效提高了函数调用图生成速度,减少了传输数据量。

基于状态转换图的入侵检测模型STGIDM

近年来,计算机系统的安全问题日益突出,相应的安全防范技术也成为了人们研究的热点.入侵检测技术作为一种重要的安全技术,从80年代中期就已经引起人们的注意[1],与其它安全技术相比(如身份认证、访问控制等),入侵检测技术具有鲜明的特点:其它绝大多数安全技术主要强调预防或阻止外来入侵者进入系统,或者控制内部用户获取非法权限;而入侵检测主要在其它安全措施被突破、入侵者正在(或已经)进入系统的情况下发挥作用,该技术主要通过监视系统中的异常行为,及时发现入侵者,并采用相应措施(如断开网络连接、报告管理员等),以避免或尽可能减少入侵造成的损失[2].

电网运行驾驶舱集中操控台技术

一体化电网运行智能系统(OS2)是南方电网提出来的新一代电网调度运行系统,电网运行驾驶舱(POC)是OS2的顶层应用,POC由关键性能指标(key performance indicator,KPI)监视预警、运行全景视图和集中操控台三个核心功能组成。集中操控台通过集成现有各类操作和控制手段,以电网调控任务为导向,合理编排操控功能,形成"一站式"控制台,解决了调度员工作需要在多个业务系统间切换的问题。介绍了集中操控台的技术架构和功能定位,分析了操控功能集成、远程画面调用、操控安全、业务流程定义等关键技术,并通过南方电网OS2网级主站运行驾驶舱操控台进行了试点应用。

系统服务Rootkits隐藏行为分析

用挂钩系统服务来实现进程、文件、注册表、端口等对象的隐藏是最常见的rootkits实现方式。然而大量的检测方法并不能将rootkits和其所隐藏的对象对应起来。本文分析了用户层和内核层系统服务rootkits的隐藏行为,建立了6种模型。在检测出系统服务rootkits的基础上,提出了一种分析其二进制执行代码,匹配模型,找出隐藏对象的方法,实现了一个隐藏行为分析原型。实验结果证明这种隐藏行为分析方法能有效分析出隐藏对象。

一种基于深度学习的恶意代码克隆检测技术

恶意代码克隆检测已经成为恶意代码同源分析及高级持续性威胁(APT)攻击溯源的有效方式。从公共威胁情报中收集了不同APT组织的样本,并提出了一种基于深度学习的恶意代码克隆检测框架,目的是检测新发现的恶意代码中的函数与已知APT组织资源库中的恶意代码的相似性,以此高效地对恶意软件进行分析,进而快速判别APT攻击来源。通过反汇编技术对恶意代码进行静态分析,并利用其关键系统函数调用图及反汇编代码作为该恶意代码的特征。根据神经网络模型对APT组织资源库中的恶意代码进行分类。通过广泛评估和与MCrab模型的对比可知,改进模型优于MCrab模型,可以有效地进行恶意代码克隆检测与分类,且获得了较高的检测率。

基于API依赖关系的代码相似度分析

针对传统系统调用依赖图(SCDG)不能很好地消除API噪声、API重排等API特征混淆的问题,提出一种基于API依赖关系的恶意代码相似度分析方法。采用由API控制依赖关系和4类数据依赖关系组成的SCDG程序行为描述方式,通过数据依赖关系分析和控制依赖关系归一化,消除SCDG中的API噪声和API重排。实验结果表明,与API序列相似度分析方式相比,该方法能提高恶意代码相似度分析的准确性。

基于数据库的在线函数调用图工具

针对基于文件的内核函数调用图工具存在的文件系统可扩展性和适用性等方面的不足,设计并实现了基于数据库的DBCG-RTL工具(Data Based Call Graph Tool Based on RTL,DBCG-RTL),该工具可用于分析大型软件模块间的函数调用关系.DBCG-RTL通过查找编译过程中生成的符号表而获得函数入口地址、返回行号等相关函数信息,绘制相应的关系图并标识出调用次数等信息,建立了相关的虚目录;将需要分析的对象通过分析工具跟踪到的数据转换成标准化格式并存入数据库.论文结果表明,该方法扩展了动态函数调用关系分析的功能,增加了虚目录函数调用关系分析等新方法;改善了工具执行效率,提高了工具的分析精度.

基于函数调用图的Android重打包应用检测

针对Android第三方市场中重打包应用日益增多的现象,提出一种利用函数调用图检测Android重打包应用的方法。对应用进行反编译,提取并分析Smali代码生成函数调用图,同时将函数中的操作码作为结点的属性对函数调用图进行处理,实现第三方库过滤并保留与界面相关的应用程序接口。在此基础上,用Motif子图结构表示函数调用图,根据子图的相似度计算应用的相似度,从而判断是否为重打包应用。通过对市场中1 630个应用的检测结果表明,该方法具有较高的准确性和良好的可扩展性。

基于动静结合的Android恶意代码行为相似性检测

针对同家族恶意软件行为具有相似性的特点进行研究,提出通过静态分析与动态运行程序相结合的方式度量软件行为的相似性。通过反编译和soot代码转换框架获取程序控制流图,利用行为子图匹配算法从静态方面对程序行为相似性进行度量;通过自动化测试框架运行程序,利用文本无关压缩算法将捕获到的trace文件压缩后进行相似性度量。该检测方法综合静态检测执行效率高和动态检测准确率高的优点,提高了软件行为相似性度量的效率和准确率。实验分析表明,该检测技术能够准确度量程序之间行为的相似性,在准确率上相较于Androguard有大幅提升。

基于敏感点覆盖的恶意代码检测方法

为提高恶意代码及其变种的检测效率和准确率,提出了一种动静态结合的基于敏感点覆盖的恶意代码检测分析方法。首先通过静态分析技术识别包含敏感恶意行为的敏感点及敏感路径,然后通过动态符号执行技术对敏感路径进行执行分析,提取能够表达恶意代码行为语义的系统函数调用图特征,最后采用特征图匹配的方法进行恶意代码的检测识别。实验表明,该方法能够有效提高恶意代码及其变种的分析效率和检测识别率。

基于RDMA高速网络的高性能分布式系统

高速的RDMA网络设备已经被广泛部署在现代数据中心。RDMA可以从两方面加速分布式系统:首先可以提供一种快速的消息处理机制,其次RDMA提供了新的硬件原语。这极大地提升了处理器的利用率以及对RDMA的使用率,但是需要重新设计系统。介绍了RDMA的研究进展,概述了近年来利用RDMA加速分布式系统的工作,包括基于RDMA重新设计的系统以及如何更好地利用RDMA的设计,并给出了未来的研究方向。