污点标记技术在恶意代码分析中的应用

利用虚拟机技术对恶意代码进行动态分析的方法成为目前安全领域研究的重点,国内外相关的研究大部分集中于理论方面,而相关的应用较少。提出以基于全系统模拟器QEMU作为监控平台,通过编写远程控制模块,对目标程序进行动态的实时分析,提取出目标程序的API调用序列以及对应的参数信息,并利用污点标记技术对产生的数据进行关联,有效地提取出目标代码的行为特征,给判断未知程序是否为恶意代码提供了依据。实验表明,相比同类工具,自动分析平台具有更好的分析结果。

基于污点分析的二进制程序漏洞检测

针对现有动态污点分析平台由于欠污染和过污染导致的准确度问题,研究并实现了一种面向二进制程序的动态污点分析方法。从污点标记、污点传播和污点检测三个方面对现有污点分析技术的准确率问题进行改进,扩展了污点标记状态空间与污点传播状态转换的行为实体,根据指令特征对X86架构指令进行分析和归类,设计了兼顾数据流传播策略与控制流传播策略的污点传播策略,扩充了关于间接污染、潜在漏洞、污点清除等污点传播规则,定义了新的污点检测安全规则与相应的处理方式,完善了污点检测处理方法。基于上述方法实现了改进的动态污点分析原型系统ODDTA,对原型系统的实验结果表明,该方法可有效解决现有污点分析平台的漏报和误报问题,提升污点分析的准确率和执行效率。

基于污点传播动态分析的Android安全系统研究

随着移动互联网的飞速发展,Android系统得到了大量用户和开发人员的青睐。针对Android系统的恶意软件层出不穷,由此引发的危害也越来越严重。目前针对Android系统应用程序的检测多采用静态分析技术,通过分析代码发现其恶意行为,因此准确度并不是很高,而且对于新的恶意软件变种的检测存在较多问题,而动态分析技术恰好可以弥补这一不足。基于污点传播的动态分析技术,在应用程序运行时监测其行为并记录相关信息进行分析,确定其是否具有恶意软件性质。不仅对系统运行负载较小,也便于系统移植进行多平台的开发测试。

基于分隔符的跨站脚本攻击防御方法

通过分析跨站脚本攻击的特性,提出一种基于分隔符的跨站脚本攻击防御方法,该方法适用于UTF-8编码的Web应用程序。首先,仅对可信数据中的分隔符进行积极污点标记;然后,利用字符UTF-8编码值的转换轻量级完成污点标记,该污点信息可随着字符串操作直接传播到结果页面;最后,根据结果页面中分隔符的污点信息及页面上下文分析,检查脚本执行节点的合法性和脚本内容的可靠性,精确地检测并防御跨站脚本攻击。针对PHP平台实现了原型系统XSSCleaner。实验证明,XSSCleaner可轻量级地完成污点分析,并且能够对跨站脚本攻击进行精确防御,页面生成的时间开销平均为12.9%。