基于混合分析的二进制程序控制流图构建方法

构建控制流图(CFG)是二进制程序分析的基础工作,针对静态构建方法无法处理间接跳转,动态构建方法效率低、不适用于大规模程序的问题,提出结合静态分析和动态分析的混合分析方法.使用静态分析获得基础的控制流信息;采用模糊测试生成测试用例以进行动态分析,利用动态插桩获得间接跳转信息;融合静态分析和动态分析结果生成控制流图.基于该混合分析方法,设计并实现了面向x86平台二进制程序的控制流图构建工具CFGConstructor.分别在示例程序和CGC数据集上进行实验,评估该工具的有效性和性能.实验结果表明CFGConstructor相比于静态分析能够构建更加完备的控制流图,相比于动态分析分析效率更高,能够适用于大规模程序.

基于过程蓝图的程序环路复杂性度量方法

提出一种基于过程蓝图的程序环路复杂性度量实现方法。将传统基于程序控制流图的度量信息抽取变为对过程蓝图的实现层表示-抽象实现结构图的信息抽取,避免程序源代码的语法分析和控制流图的构造,简化度量过程和实现,并提高度量处理的效率。

基于消息掩码的云化SCADA路径覆盖测试

为解决云化SCADA在线测试问题,依托消息掩码认证技术设计以业务组件为最小粒度的路径覆盖测试方法:构建探针类的消息掩码认证组件,插装到业务组件中;解析测试用例,实时推送测试消息给测试通讯总线;设计包含测试用例管理、测试消息抽取、传播路径分析和覆盖率分析的测试工具,分析消息在“微服务间”或“服务内业务组件间”的传播路径,计算路径覆盖率。在阿里云上验证方法的可行性,指导评价云服务的组合水平。

一种基于深度学习的恶意代码克隆检测技术

恶意代码克隆检测已经成为恶意代码同源分析及高级持续性威胁(APT)攻击溯源的有效方式。从公共威胁情报中收集了不同APT组织的样本,并提出了一种基于深度学习的恶意代码克隆检测框架,目的是检测新发现的恶意代码中的函数与已知APT组织资源库中的恶意代码的相似性,以此高效地对恶意软件进行分析,进而快速判别APT攻击来源。通过反汇编技术对恶意代码进行静态分析,并利用其关键系统函数调用图及反汇编代码作为该恶意代码的特征。根据神经网络模型对APT组织资源库中的恶意代码进行分类。通过广泛评估和与MCrab模型的对比可知,改进模型优于MCrab模型,可以有效地进行恶意代码克隆检测与分类,且获得了较高的检测率。