检索结果-南通市图书馆

HeapAFL:基于堆操作行为引导的灰盒模糊测试

在线全文

学校读者我要写书评

暂无评论

计算机研究与发展 2023年第7期60卷 1501-1513页

作者：余媛萍苏璞睿中国科学院软件研究所可信计算与信息保障实验室北京100190 中国科学院大学计算机科学与技术学院北京100190 中国科学院大学网络空间安全学院北京100190

随着软件开发环境和业务逻辑的复杂度不断增加,大量的堆内存对象生命周期及其引用关系造成堆内存操作行为错综复杂,极易引发程序错误造成漏洞.模糊测试作为高效的软件代码错误检测技术,常用于漏洞挖掘.然而,目前最先进的模糊测试工具专... 详细信息

随着软件开发环境和业务逻辑的复杂度不断增加,大量的堆内存对象生命周期及其引用关系造成堆内存操作行为错综复杂,极易引发程序错误造成漏洞.模糊测试作为高效的软件代码错误检测技术,常用于漏洞挖掘.然而,目前最先进的模糊测试工具专注于代码全覆盖功能测试,忽略了执行时堆内存操作状态信息,从而错过堆内存漏洞发现机会.针对上述问题,提出了一种基于堆操作行为引导的灰盒模糊测试方法HeapAFL,在不依赖漏洞先验知识的情况下,其通过静态分析插桩基础堆操作函数及其参数监测执行时控制流和数据流变化,反馈堆操作行为信息,指导模糊测试中种子优先变异阶段,探索多样化堆操作行为从而更高概率触发堆内存错误类漏洞.在6个真实应用程序上验证方法效果,并与6个最先进的模糊测试工具进行比较,实验中的CPU总共测试了4032 h.实验结果表明,HeapAFL在漏洞挖掘效果和崩溃发现效率上优于对比工作.在漏洞挖掘数量上,HeapAFL相比于基准模糊测试方法AFL,AFLFast,PathAFL,TortoiseFuzz,Angora,Memlock分别提升了1.32倍,1.39倍,1.92倍,1.56倍,2.78倍,2.08倍.最终,HeapAFL在数据集上挖掘到了25个堆内存错误类漏洞,其中包括19个已知的漏洞(即1 day)和6个未知的漏洞(即0 day),并报告给CVE(common vulnerabilities and exposures)官方漏洞库后已经获得了2个CVE漏洞编号,其余漏洞正在等待审核.

关键词：模糊测试堆操作行为漏洞挖掘开源软件优先变异

基于基因规划的主机异常入侵检测模型(英文)

在线全文

学校读者我要写书评

暂无评论

软件学报 2003年第6期14卷 1120-1126页

作者：苏璞睿李德全冯登国中国科学院软件研究所信息安全国家重点实验室北京100800

异常检测技术假设所有的入侵行为都会偏离正常行为模式.尝试寻找一种新的异常入侵检测模型改善准确性和效率.模型利用应用程序的系统调用序列,通过基因规划建立了正常行为模式.模型的一个例程管理一个进程.当它发现进程的实际系统调用... 详细信息

异常检测技术假设所有的入侵行为都会偏离正常行为模式.尝试寻找一种新的异常入侵检测模型改善准确性和效率.模型利用应用程序的系统调用序列,通过基因规划建立了正常行为模式.模型的一个例程管理一个进程.当它发现进程的实际系统调用序列模式偏离正常的行为模式时,会将进程设标记为入侵,并采取应急措施.还给出了基因规划的适应度计算方法以及两个生成下一代的基本算子.通过与现有一些模型的比较,该模型具有更好的准确性和更高的效率.

关键词：入侵检测基因规划异常检测行为模式

在线全文

学校读者我要写书评

暂无评论

基于进程行为的异常检测模型

电子学报 2006年第10期34卷 1809-1811页

作者：苏璞睿冯登国中国科学院软件研究所信息安全国家重点实验室北京100080

利用系统漏洞实施攻击是目前计算机安全面临的主要威胁.本文提出了一种基于进程行为的异常检测模型.该模型引入了基于向量空间的相似度计算算法和反向进程频率等概念,区分了不同系统调用对定义正常行为的不同作用,提高了正常行为定义的... 详细信息

利用系统漏洞实施攻击是目前计算机安全面临的主要威胁.本文提出了一种基于进程行为的异常检测模型.该模型引入了基于向量空间的相似度计算算法和反向进程频率等概念,区分了不同系统调用对定义正常行为的不同作用,提高了正常行为定义的准确性;该模型的检测算法针对入侵造成异常的局部性特点,采用了局部分析算法,降低了误报率.

关键词：入侵检测异常检测非层次聚类

在线全文

学校读者我要写书评

暂无评论

用于IP追踪的包标记的注记(英文)

软件学报 2004年第2期15卷 250-258页

作者：李德全苏璞睿冯登国中国科学院软件研究所信息安全国家重点实验室北京100080

拒绝服务攻击是一类最难对付的网络安全问题.近来,人们提出了多种对策.其中由Savage等人提出的一类基于概率的包标记方案比较有研究价值.这里先对拒绝服务攻击的对策作一简述,然后分析了几种包标记方案,指出了它们的一些缺陷,并提出了... 详细信息

拒绝服务攻击是一类最难对付的网络安全问题.近来,人们提出了多种对策.其中由Savage等人提出的一类基于概率的包标记方案比较有研究价值.这里先对拒绝服务攻击的对策作一简述,然后分析了几种包标记方案,指出了它们的一些缺陷,并提出了一些改进措施.其中,对基本型概率包标记方案的一个修改使得计算量大大减少.

关键词：网络追踪拒绝服务 DoS 分布式拒绝服务 DDoS 包标记

在线全文

学校读者我要写书评

暂无评论

基于动态对等网层次结构的网络预警模型研究

计算机研究与发展 2010年第9期47卷 1574-1586页

作者：许佳冯登国苏璞睿信息安全国家重点实验室(中国科学院软件研究所) 北京100190 信息安全国家重点实验室(中国科学院研究生院) 北京100049

借助恶意代码快速传播搭建的分布式平台对互联网实施大规模入侵,已经成为网络安全领域的热点问题."协同安全"是应对恶意代码分布式攻击的必然趋势,因此提出了一个基于动态对等网层次结构的网络预警模型.该模型的体系结构包含自上而下的... 详细信息

借助恶意代码快速传播搭建的分布式平台对互联网实施大规模入侵,已经成为网络安全领域的热点问题."协同安全"是应对恶意代码分布式攻击的必然趋势,因此提出了一个基于动态对等网层次结构的网络预警模型.该模型的体系结构包含自上而下的两层对等覆盖网和4类节点角色,可以有效地整合网络中各种异构安全防护设施的数据和资源,并且使网络安全防护体系具备了动态自适应调整和跨安全域协作的能力.初步实验表明,该模型不仅可以进行报警消息聚合和关联分析、攻击场景图的生成和实施一定的主动防护,并且具备良好的鲁棒性、扩展性和可管理性.

关键词：恶意代码网络预警协同安全对等覆盖网分布式共享

基于有限约束满足问题的溢出漏洞动态检测方法

在线全文

学校读者我要写书评

暂无评论

计算机学报 2012年第5期35卷 898-909页

作者：陈恺冯登国苏璞睿中国科学院信息工程研究所信息安全国家重点实验室北京100195 中国科学院软件研究所北京100190

溢出型漏洞是最为普遍且最具危害的漏洞类型之一,溢出漏洞检测也是目前国内外研究的热点问题.目前漏洞检测方法主要分为白盒测试和黑盒测试两类.前者主要针对程序指令进行漏洞分析,但存在效率较低、检测结果不准确等缺点;后者难以保证... 详细信息

溢出型漏洞是最为普遍且最具危害的漏洞类型之一,溢出漏洞检测也是目前国内外研究的热点问题.目前漏洞检测方法主要分为白盒测试和黑盒测试两类.前者主要针对程序指令进行漏洞分析,但存在效率较低、检测结果不准确等缺点;后者难以保证程序覆盖的全面性与测试数据的针对性.文中提出了一种基于有限约束满足性问题(Constraint Satisfaction Problem,CSP)的溢出漏洞动态检测方法.在程序执行过程中,结合动态污点传播和动态循环分析,选取可能产生溢出漏洞的语句并生成CSP表达式,表达式包括语句的执行条件和漏洞产生条件两部分;通过对此CSP表达式化简求解,验证漏洞的存在性与漏洞的触发条件.该方法可直接分析可执行程序,解决了间接跳转、多态代码等静态分析中难以解决的问题.为了验证该方法的有效性,作者开发了一套原型系统并进行相关实验,结果表明该方法缩小了漏洞分析范围,提高了分析效率.

关键词：计算机安全漏洞检测动态检测 CSP 可执行程序

在线全文

学校读者我要写书评

暂无评论

基于延后策略的动态多路径分析方法

计算机学报 2010年第3期33卷 493-503页

作者：陈恺冯登国苏璞睿中国科学院研究生院信息安全国家重点实验室北京100049 中国科学院软件研究所信息安全国家重点实验室北京100190 信息安全共性技术国家工程研究中心北京100190

多路径分析是弥补传统动态分析方法的不足、对可执行程序全面分析的重要方法之一.现有多路径方法主要采用随机构造或者根据路径条件构造输入进行路径触发,这两者均存在路径分析不全面和缺乏针对性的问题.文中通过对路径条件分析,确定了... 详细信息

多路径分析是弥补传统动态分析方法的不足、对可执行程序全面分析的重要方法之一.现有多路径方法主要采用随机构造或者根据路径条件构造输入进行路径触发,这两者均存在路径分析不全面和缺乏针对性的问题.文中通过对路径条件分析,确定了检测条件的基本组成元素,提出了弱控制依赖和路径引用集的概念和计算规则,并以此为基础提出一种延后策略的多路径分析方法.在程序分析过程中,对特定的程序检测点和检测点条件,有针对性地进行路径筛选,从语义上进行路径表达式简化,在保证检测点可达和检测表达式具有相同构造形式的前提下,简化检测表达式,减少分析路径的数量.对7款恶意软件的分析实验结果表明,该方法提高了分析效率和准确性.

关键词：多路径分析可执行程序漏洞检测动态分析延后策略

在线全文

学校读者我要写书评

暂无评论

基于遗传算法的恶意代码对抗样本生成方法

电子与信息学报 2020年第9期42卷 2126-2133页

作者：闫佳闫佳聂楚江苏璞睿中国科学院大学计算机科学与技术学院北京100190 中国科学院软件研究所可信计算与信息保障实验室北京100190

机器学习已经广泛应用于恶意代码检测中,并在恶意代码检测产品中发挥重要作用。构建针对恶意代码检测机器学习模型的对抗样本,是发掘恶意代码检测模型缺陷,评估和完善恶意代码检测系统的关键。该文提出一种基于遗传算法的恶意代码对抗... 详细信息

机器学习已经广泛应用于恶意代码检测中,并在恶意代码检测产品中发挥重要作用。构建针对恶意代码检测机器学习模型的对抗样本,是发掘恶意代码检测模型缺陷,评估和完善恶意代码检测系统的关键。该文提出一种基于遗传算法的恶意代码对抗样本生成方法,生成的样本在有效对抗基于机器学习的恶意代码检测模型的同时,确保了恶意代码样本的可执行和恶意行为的一致性,有效提升了生成对抗样本的真实性和模型对抗评估的准确性。实验表明,该文提出的对抗样本生成方法使MalConv恶意代码检测模型的检测准确率下降了14.65%;并可直接对VirusTotal中4款基于机器学习的恶意代码检测商用引擎形成有效的干扰,其中,Cylance的检测准确率只有53.55%。

关键词：恶意代码检测机器学习对抗样本

在线全文

学校读者我要写书评

暂无评论

可控内存写漏洞自动利用生成方法

通信学报 2022年第1期43卷 83-95页

作者：黄桦烽苏璞睿杨轶贾相堃中国科学院软件研究所可信计算与信息保障实验室北京100190 中国科学院大学计算机科学与技术学院北京100190

针对现有漏洞自动利用生成方法无法实现从“可控内存写”到“控制流劫持”的自动构造问题,提出一种可控内存写漏洞的自动利用生成方法。首先,基于内存地址控制力度的动态污点分析方法检测可控内存写漏洞;然后,基于漏洞利用模式进行利用... 详细信息

针对现有漏洞自动利用生成方法无法实现从“可控内存写”到“控制流劫持”的自动构造问题,提出一种可控内存写漏洞的自动利用生成方法。首先,基于内存地址控制力度的动态污点分析方法检测可控内存写漏洞;然后,基于漏洞利用模式进行利用要素搜索,通过约束求解自动构造可控内存写漏洞的利用。实验结果表明,所提方法可以有效检测可控内存写漏洞,搜索漏洞利用要素,自动生成从可控内存写到控制流劫持的利用。

关键词：可控内存写控制流劫持动态污点分析漏洞利用要素自动利用生成

同方期刊数据库博看期刊