金然
- 作品数:14 被引量:60H指数:4
- 供职机构:解放军信息工程大学信息工程学院更多>>
- 发文基金:国家高技术研究发展计划更多>>
- 相关领域:自动化与计算机技术建筑科学更多>>
- 基于分支序列距离的恶意代码分类
- 对新出现的恶意代码进行快速准确的分类有利于提高对它们的分析效率,从而缩短应急响应时间.提出了一种分支序列模型用来描述恶意代码对系统函数的调用行为,同时介绍了计算这种分支序列间距的算法,基于此距离采用kNN算法对恶意代码进...
- 金然魏强王清贤
- 关键词:恶意代码KNN系统函数
- 文献传递
- 使用类型限定的系统依赖图检测整型错误被引量:1
- 2008年
- 目前大多数的源码安全审计工具在整型错误的检测上具有局限性,往往只能检测整型溢出类型的漏洞。针对这个问题,对已有的系统依赖图(system dependence graph,SDG)检测模型进行了改进,结合类型限定理论提出了基于类型限定的系统依赖图(type-qualified SDG,QSDG)检测模型。该模型不仅可以用来检测C代码中潜在的绝大多数整型错误,而且还能根据其出错原因将其分类到所定义的八种错误类型。与SDG检测模型仅采用图同构算法进行检测相比,先使用类型推断算法再对QSDG进行检测可以降低检测所花费的时间。
- 魏强金然王清贤
- 关键词:系统依赖图
- 基于结构化指纹的恶意代码变种分析被引量:2
- 2008年
- 提出了一种基于结构化指纹的静态分析模型,用于辅助逆向工作者对恶意代码及其变种进行分析。该方法依据所提取的恶意代码及其变种的结构化指纹特征,在调用图和控制流图两个层次对两个文件进行同构比较,找出发生改变的函数以及发生改变的基本块,从而帮助逆向工作者迅速定位和发现恶意代码及其变种的不同之处,便于进一步分析。该模型采用了结构化特征及素数乘积等方法,可以较好地对抗一些常见的代码迷惑手段,从而识别出一些变形的代码是等价的。
- 魏强金然王清贤
- 关键词:恶意代码
- BIOS安全防护技术研究被引量:13
- 2008年
- 随着BIOS攻击事件的日益增多,计算机硬件系统的安全面临着新一轮的挑战,而对BIOS安全防护技术的研究能够掌握与之对抗的能力。通过对BIOS的攻击手段进行分析了解和对BIOS病毒的实现机理等相关技术进行深入剖析,提出了基于植入企图预测、文件指纹认证的模块检测以及基于BIOS指令执行检测的攻击技术对策。
- 杨培吴灏金然
- 关键词:恶意代码篡改
- 基于安全协处理器保护软件可信运行框架被引量:4
- 2008年
- 软件可信运行是许多应用领域的基础,但恶意主机问题使得很难保证一个软件可信运行。在传统的基于硬件加密平台保护软件可信运行机制中,运行于安全硬件中的代码和运行于主机中的代码不在同一个执行上下文中,因此难以给用户提供完善的保护策略。为此,提出了一种新的基于安全协处理器保护软件可信运行的框架,在该框架下,软件设计者可以根据待保护软件特点和自身要求定制更加完善和灵活的保护。
- 魏强金然寇晓蕤王清贤
- 关键词:安全协处理器可信计算
- Linux下的隐蔽攻击及解决方案
- 2003年
- 隐蔽攻击是攻击者为了长期控制一台被攻陷主机而采用的一种攻击方法。本文全面总结了针对Linux 操作系统的各种隐藏技术,同时提出了相应的的解决方案。
- 金然王清贤
- 关键词:LINUX操作系统文件管理
- 基于可信基点的结构化签名比较算法被引量:2
- 2007年
- 提出了一种基于可信基点的结构化签名比较算法,对现有的结构化签名比较算法在基点初始化和传播过程中的不足进行了改进,并证明了改进的算法更可信。同时,通过增加循环属性、相同参数信息等方法作为新的划分属性采更细致地刻画函数信息,提高了可信基点在初始化和传播过程中的正确性和匹配率。还提出了一种启发式策略对比较结果是否存在错误匹配进行校验。
- 魏强金然王清贤
- 针对指令乱序变形技术的归一化研究被引量:4
- 2008年
- 新出现的恶意代码大部分是在原有恶意代码基础上修改转换而来。许多变形恶意代码更能自动完成该过程,由于其特征码不固定,给传统的基于特征码检测手段带来了极大挑战。采用归一化方法,并结合使用传统检测技术是一种应对思路。本文针对指令乱序这种常用变形技术提出了相应的归一化方案。该方案先通过控制依赖分析将待测代码划分为若干基本控制块,然后依据数据依赖图调整各基本控制块中的指令顺序,使得不同变种经处理后趋向于一致的规范形式。该方案对指令乱序的两种实现手段,即跳转法和非跳转法,同时有效。最后通过模拟测试对该方案的有效性进行了验证。
- 金然魏强王清贤
- 关键词:归一化恶意代码检测
- 基于哈希和流量分析的IP回溯被引量:3
- 2004年
- 由于IP数据包的源地址可以任意伪造,因此在回溯DoS攻击数据包走过的真实路径时是很困难的。基于哈希和流量分析的方法(HashandTrafficAnalysisbasedScheme,简记为HTAS)使得路由器不需太多的存储空间便能长时间地记录下经过它的可疑数据流,受害者据此可以在遭到DoS攻击时或以后进行回溯。该文详细阐述了该方法的工作模型,并对其性能进行了分析。
- 金然王清贤
- 关键词:DOSIP哈希
- 基于归一化的变形恶意代码检测被引量:8
- 2008年
- 许多未知恶意代码是由已知恶意代码变形而来。该文针对恶意代码常用的变形技术,包括等价指令替换、插入垃圾代码和指令重排,提出完整的归一化方案,以典型的变形病毒Win32.Evol对原型系统进行测试,是采用归一化思想检测变形恶意代码方面的有益尝试。
- 金然魏强王清贤
- 关键词:归一化恶意代码检测
