江苏省自然科学基金(BK2007136)
- 作品数:6 被引量:8H指数:2
- 相关作者:谢立茅兵陈平房陈肖海更多>>
- 相关机构:南京大学更多>>
- 发文基金:江苏省自然科学基金国家自然科学基金国家高技术研究发展计划更多>>
- 相关领域:自动化与计算机技术农业科学更多>>
- 基于运行时类型分析的整形漏洞二进制检测和定位系统被引量:3
- 2011年
- 整形漏洞(Integer-based vulnerability)是一种存在于C或C++代码中的漏洞,具有极其严重的破坏性。2006年CVE指出缓冲区溢出漏洞呈下降趋势,而其他一些漏洞,如整形溢出、符号转换错误等呈上升趋势。设计并实现了一种针对整形漏洞的二进制实时检测和定位的方法。针对整形漏洞攻击,首先将二进制文件转化为一种中间语言VEX;然后在运行时将与外部输入相关的数据着色,截获相关语句并记录信息;最后依据制定的检测策略对着色的数据进行检测并定位。选用常见的含有内存漏洞的程序来测试系统的有效性及其性能损耗。实验结果表明,该工具可以检测并且定位软件中绝大多数的整形漏洞,而且误报和漏报率都很低。
- 肖海陈平茅兵谢立
- 基于攻击特征签名的自动生成
- 2012年
- 签名可以基于攻击特征的相关信息生成。在栈上针对控制流攻击中对函数调用返回值和函数调用指针的攻击以及非控制流中对与判断相关联的数据的攻击,结合动态分析技术生成二进制签名。首先,识别出漏洞相关指令;然后,用虚拟机监控运行上述指令;最后,修改虚拟机以在监控到恶意写行为时报警并生成签名。同时生成的补丁文件记录恶意写指令以便后继执行时跳过。签名可迅速分发给其他主机,在轻量级虚拟机上监测程序运行。实验表明,二进制签名具有准确、精简的优点,可以防御多态攻击,同时具有较低漏报率,结合使用轻量级虚拟机可使签名生成和后继检测都快速高效。
- 王国栋陈平茅兵谢立
- 关键词:计算机安全软件漏洞
- 基于内存更新记录的漏洞攻击错误定位方法被引量:2
- 2009年
- 软件漏洞攻击威胁日益严重。其中基于内存腐败漏洞的攻击最为普遍,如缓冲区溢出和格式化串漏洞。提出一种针对内存腐败漏洞攻击的自动错误定位方法。基于内存更新操作记录,可以回溯找到程序源代码中腐败关键数据的语句,从而提供有益的信息修复漏洞并生成最终补丁。
- 葛毅茅兵谢立
- 关键词:程序源代码
- 基于访问控制的动态着色技术在攻击检测中的研究
- 2010年
- 内存腐烂攻击在软件安全攻击中占据着较大的比重。近来,动态着色技术得到了越来越多的关注,这种技术通过在访问内存时检测指针的完整性来抵御攻击。然而,存在一类可以绕过指针完整性检查的策略来进行攻击的实例,比如数组的越界访问攻击。提出了一种基于动态着色跟踪分析的方法来解决这类已有着色技术不能检测的问题。其思想是,借助于内存访问控制的思路,首先像已有的动态着色技术那样,在内存访问时对指针进行完整性检查,然后检查指针将要访问的内存区域是否处于指针合理的访问范围之内。原型系统是基于Valgrind的,并不需要源码,因此可以用于很多商业软件。初步实验验证结果表明,该方法可以有效地检测出很多类型的攻击,系统的性能损耗接近于Memcheck这种常用的内存错误检测工具。
- 王磊王磊茅兵
- 关键词:内存访问
- 基于动态染色的内存漏洞定位技术被引量:4
- 2010年
- 针对程序漏洞,提出利用基于二进制的程序染色和程序分析技术来检测恶意攻击并有效定位程序漏洞,采用数据依赖关系分析和动态染色的方法,记录起传播作用的写指令及目的内存地址,当检测到漏洞攻击时,通过内存地址找到恶意写指令并定位漏洞。实验结果证明,该方法能成功定位常见内存漏洞的位置,并能定位到有漏洞的库函数的调用点。
- 房陈茅兵谢立
- 关键词:程序漏洞攻击检测缓冲区溢出
- 基于攻击特征的自动证据筛选技术
- 2011年
- 为了自动获得入侵证据,提出一种基于攻击特征的自动证据筛选方法.其原理是首先根据被调查攻击的特征重构出攻击行为细节,并从中抽取筛选证据需要的"特征信息".然后,再根据候选数据与这些特征信息的匹配程度筛选出该攻击相关的证据.基于DARPA2000的实验表明这种方法具有很高的准确率,其完备性更是接近100%.而与现有方法的比较则显示出这种方法能克服现有方法人工干预较多、效率低下、仅能筛选特定证据类型、不适合处理复杂攻击等诸多缺陷.
- 伏晓谢立
- 关键词:入侵取证特征信息
