基于机器学习的Android混合应用代码注入攻击漏洞检测

Android混合应用具有良好的跨平台移植性,但其使用的WebView组件中的HTML和JavaScript代码能够通过内部或外部通道调用数据来访问相关资源,从而产生代码注入攻击漏洞.针对这个问题,提出一种基于机器学习的Android混合应用代码注入攻击漏洞检测方法.首先,通过反编译Android混合应用,将其进行代码分片;然后,提取出与Android混合应用申请的敏感权限和能够触发数据中恶意代码的API,组合起来生成特征向量;最后,构建多种机器学习模型进行训练和分类预测.实验结果表明,随机森林模型的识别准确率较高,能够提高Android混合应用代码注入攻击漏洞检测的准确性.

基于指令集随机化的抗代码注入攻击方法

代码注入攻击是应用程序面临的一种主要安全威胁,尤其是Web应用程序,该种攻击源于攻击者能够利用应用程序存在的漏洞/后门,向服务器端注入恶意程序并执行,或者利用应用程序对用户输入的参数缺乏验证和过滤,造成输入作为恶意程序执行,从而达到攻击目的。源程序分析和输入规则匹配等现有防御方法在面对代码注入攻击时都存在着固有缺陷,为了提高Web应用程序对于代码注入攻击的防御性,提出一种基于指令集随机化的抗代码注入方法,该防御方法不依赖于攻击者采用何种攻击方式,能够抵御未知的代码注入攻击。基于该技术及动态、冗余构造方法,设计一套原型系统,采用广义随机Petri网(Generalized Stochastic Petri Net,GSPN)建模计算,攻击者即使在获得随机化方法先验知识的情况下也极难突破系统的防御机制。尽管该方法需要对应用程序源代码进行随机化变换,但处理过程是完全自动化和具有普适性的,通过实验和现网测试表明该方法能够有效抵御大部分代码注入攻击,实现了对攻击的主动防御。

面向数字货币特征的细粒度代码注入攻击检测

数字货币的迅速发展使其被越来越多的恶意软件利用.现有勒索软件通常使用数字货币作为支付手段,而现有代码注入攻击检测手段缺乏对相关恶意特征的考虑,使得其难以有效检测勒索软件的恶意行为.针对此问题,提出了一种细粒度的代码注入攻击检测内存特征方案,利用勒索软件在引导被攻击者支付过程中表现的数字货币内存特征,结合多种通用的细粒度内存特征,实现了一种细粒度的代码注入攻击检测系统.实验结果表明:新的内存特征方案能够在多个指标上有效提升现有检测系统内存特征方案的检测性能,同时使得基于主机的代码注入攻击检测系统能够准确检测勒索软件行为,系统还具有较好的内存特征提取性能及对未知恶意软件家族的检测能力.

基于指令集随机化的代码注入型攻击防御技术

针对当前代码注入型攻击防御机制容易被绕过的现状,提出一种基于指令集随机化的防御技术。该技术制定了指令集随机化规则,利用该规则改变obj文件中的指令,从而实现了指令集的随机化。外部注入代码与生成的指令集不兼容,经过动态二进制分析平台翻译后,程序代码正常执行而注入代码变为乱码。基于该技术设计了一套原型系统,并通过大量实验表明可以防御大部分代码注入型攻击。该技术打破了缓冲区溢出漏洞利用所需要的稳态环境,实现了对攻击的主动防御。

基于硬件的动态指令集随机化框架的设计与实现

针对现有的指令集随机化方法存在从代码段中剥离数据困难、静态指令集随机化密钥固定和伪随机数密钥不安全等问题,设计并实现了基于硬件的动态指令集随机化框架(HDISR),通过在装载程序时加密程序代码,将指令集随机化引入内核层和应用层的安全防护,内核使用单独的内核密钥,不同的应用程序使用不同的用户密钥。实验结果表明,HDISR能将代码注入攻击降级为拒绝服务攻击,且额外硬件损耗少于2.57%,每兆字节代码加密的启动延时0.31 s。