国防科技重点实验室基金(9140C1104020903)
- 作品数:5 被引量:9H指数:1
- 相关作者:张小松刘智刘飞连碧应陈周国更多>>
- 相关机构:电子科技大学中国电子科技集团第三十研究所更多>>
- 发文基金:国防科技重点实验室基金更多>>
- 相关领域:自动化与计算机技术更多>>
- 一种基于污点分析的文件型软件漏洞发现方法被引量:6
- 2012年
- 基于黑盒测试思想的Fuzzing是漏洞分析的主要方法,但效率较低且不能分析未知格式.基于污点分析,提出一种针对文件型软件的漏洞发现新方法.利用污点分析寻找输入中能导致执行流到达脆弱点的字节,再改变这些字节产生新输入;同时根据污点信息产生特征码.利用插桩工具实现了原型系统,对三个真实漏洞进行了测试.实验结果表明该方法能有效发现漏洞,生成的测试用例远小于Fuzzing,且不依赖输入格式;特征码的误报率漏报率均较低.
- 刘智张小松
- 关键词:漏洞污点分析插桩特征码
- 基于NDIS的恶意程序通信隐藏检测方法
- 通过研究当今恶意程序的发展趋势,系统比较在通信隐藏和检测方面的诸多技术和方法,综合分析它们存在的不足,提出了一种基于NDIS来进行恶意程序隐藏检测的方法,很好的补充了恶意程序检测体系,实验表明该方法可以检测出当前所有进行...
- 连碧应张小松刘飞
- 关键词:NDIS恶意程序
- 文献传递
- 僵尸网络分析及其防御被引量:1
- 2011年
- 近年来随着计算机网络技术的发展,网络攻击事件频繁发生,使网络安全受到极大挑战。僵尸网络以其强大的破坏性,成为计算机网络安全面临的最大安全威胁之一。通过分析比较僵尸网络的典型拓扑结构、特点和命令控制机制等,清晰揭示了僵尸网络及其网络行为过程和发展趋势,据此,给出通过检测、分析和阻断其命令控制机制的方法,防御反制僵尸网络的有效思路,为防御反制网络犯罪提供新的视角和参考。
- 陈周国
- 关键词:僵尸网络拓扑结构
- 一种有效的Return-Oriented-Programming攻击检测方法被引量:1
- 2013年
- Returned-Oriented-Programming(ROP)攻击能突破传统防御机制如DEP和W⊕X.目前ROP攻击检测误报率较高,无法准确区分ROP攻击与正常指令执行.ROP攻击需执行系统调用完成攻击,执行系统调用前寄存器须设置为正确的值,并且每条x86指令对应一个或多个gadget.基于上述特点,提出一种有效的二进制代码级ROP攻击检测方法:截获返回指令并作为起始点计算gadget数目,并在系统调用执行前判断寄存器是否被修改为与其参数类型相同的值.该方法不依赖启发式学习,能准确检测栈溢出的ROP攻击.通过动态插桩工具实现原型系统,对ROP攻击和正常程序进行了测试,实验结果表明系统漏报率和误报率较低,且性能损失较小.
- 刘智张小松吴跃
- 关键词:ROPGADGET
- 基于NTFS磁盘解析的Rootkit检测技术
- 2009年
- 木马程序尤其是Rootkit的安全威胁越来越大,如何消除此类威胁成为当今安全研究的重点之一。丈中引入了交叉检测思想,采用了NTFS文件系统磁盘解析技术检测隐藏文件,从而有助于Rootkit类木马程序的检测。在此基础上,给出了完整的设计方案及评估方法,对于加固系统安全具有重要意义。
- 王鼎张小松龙小书
- 基于NTFS磁盘解析的Rootkit检测技术
- 木马程序尤其是Rootkit的安全威胁越来越大,如何消除此类威胁成为当今安全研究的重点之一。文中引入了交叉检测思想,采用了NTFS文件系统磁盘解析技术检测隐藏文件,从而有助于Rootkit类木马程序的检测。在此基础上,给...
- 王鼎张小松龙小书
- 文献传递
- 基于NDIS的恶意程序通信隐藏检测方法被引量:1
- 2009年
- 通过研究当今恶意程序的发展趋势,系统比较在通信隐藏和检测方面的诸多技术和方法,综合分析它们存在的不足,提出了一种基于NDIS来进行恶意程序隐藏检测的方法,很好的补充了恶意程序检测体系,实验表明该方法可以检测出当前所有进行通信隐藏的恶意程序。
- 连碧应张小松刘飞
- 关键词:NDIS恶意程序
