基于代码改写的JavaScript动态污点跟踪

随着Web技术的飞速发展,JavaScript的使用越来越常见,尤其是在追求快速及时响应的Web应用中,这也导致了众多安全问题的产生。该文提出了一种基于代码改写的JavaScript动态污点跟踪方法JSTA,通过JavaScript代码的改写,让改写后的代码在执行过程中对敏感数据进行污点标记和跟踪,可及时发现敏感数据泄露行为并给出告警。与以往的研究不同的是,JSTA是独立于JavaScript引擎实现的,可以适用于多种浏览器。测试结果表明,JSTA可有效地跟踪敏感数据并检测敏感数据泄露行为。     

基于控制依赖分析的Android远程控制类恶意软件检测

为检测Android远程控制类恶意软件,该文通过对实际的该类软件进行分析,提出一种基于控制依赖分析的动态污点检测方法。动态污点分析技术是一种检测恶意软件的主流技术。该文对传统的动态污点分析进行扩展以检测Android远程控制类恶意软件。首先采用静态分析确定条件转移指令的控制范围;再使用静态插桩在目标应用中添加分析控制依赖的功能。插桩后的应用可在运行时检查敏感操作是否控制依赖于污染数据,进而对远程控制类恶意软件进行有效的分析和检测。该文实现了一个原型检测系统。实验结果表明:应用此方法可以有效地检测出实际的Android远程控制类恶意应用。     

基于污点信息的函数内存模糊测试技术研究

针对二进制程序文件处理漏洞的挖掘,目前业界主流自动化方案为基于文件变异的模糊测试,但该方法盲目性高、代码覆盖率低、效率低下。为研究具有高针对性的测试方法,该文讨论了一种新型的函数内存模糊测试技术。该技术利用动态污点分析的结果,获取目标程序中处理输入数据流的函数与指令。测试中基于二进制插桩,对上述函数构造循环执行结构,并针对内存中的污点数据进行变异。原型系统实验表明:该测试方法可有效用于栈溢出等漏洞类型的挖掘;相比传统模糊测试,消除了因数据盲目测试造成的执行路径中断瓶颈,且在执行效率上具有95%以上的提升。     

基于插桩技术的程序谱构建方法

为了满足软件测试、软件调试和程序优化等领域对程序谱的需求,提出了基于插桩技术的程序谱构建模型,主要包括插桩预处理、双缓冲处理、有穷自动机处理识别插桩点、植入探针生成插桩代码、编译连接并执行插桩程序以收集执行轨迹构建程序谱。采用双缓冲处理机制,可有效提高源代码处理效率,有穷自动机能够准确识别插桩点。在软件错误定位中的应用结果表明基于插桩技术构建的程序谱可为准确、高效的程序理解和分析提供方便。     

Java程序数据竞争的增量式检测

针对静态竞争检测无额外运行开销但精度低,而动态竞争检测精度高但因插桩有额外运行开销,在实际Java虚拟机的即时编译器中以竞争检测遍形式设计实现了一种精确有效的增量式竞争检测算法.结合锁集和发生序关系,依次对即时编译的每个方法进行一次方法内分析,收集独立于上下文的方法摘要,并以方法摘要为基础自下而上进行上下文敏感的跨线程方法间分析,增量计算并及时输出潜在的竞争信息.实验表明,算法对应用程序无插桩且不受程序规模限制,具有与O'Callahan等人的动态竞争检测算法类似的精度,检测时间仅占总编译时间的2%～4%.     

利用动态污点跟踪优化模糊测试的方法

针对目前模糊测试方法存在大量无效测试用例的缺陷,提出了一种利用动态污点跟踪优化模糊测试的方法.该方法通过将外部输入的测试用例标记为污点数据,并记录污点数据的传播路径,然后利用传播路径相似度比对来判断某个测试用例是否有效,若测试用例无效则直接丢弃,若测试用例有效则进行并行化处理,进一步对测试用例进行分析.通过构建原型系统对上述方法进行验证,结果表明优化后的模糊测试比未优化的模糊测试在性能上提升了近一倍.     

基于离线汇编指令流分析的恶意程序算法识别技术

识别二进制程序中的算法,在恶意程序检测、软件分析、网络传输分析、计算机系统安全保护等领域有着广泛的应用和重要的意义。该文提出基于离线汇编指令流分析的恶意代码算法识别技术,综合运用二进制插桩、污点跟踪、循环识别等技术,从行为语义、关键常数2个维度对程序进行描述,并且分析提取特征。算法识别模型使用机器学习算法,针对双维度特征生成初阶识别模型,并通过模型融合优化识别效果,实现对广义程序算法的高准确率识别。     

Java虚拟机中的动态锁cache优化

Java虚拟机在运行过程中使用即时编译器编译Java程序的热点方法,然后直接执行热点方法的本地代码.锁cache机制允许Java虚拟机将编译方法的本地代码锁在cache中,以提高编译执行时的指令cache命中率.通过分析Java虚拟机中编译方法的调用规律,得到编译方法的活跃时间段、平均大小和内存分布情况.基于编译方法的调用规律,给出Java虚拟机中的动态锁cache优化方法.在Java热点方法的活跃期将其本地代码段锁在cache中,以减少cache失效.最后,在龙芯3A的HotSpot虚拟机上实现了动态锁cache优化方法.实验结果表明,Java虚拟机中的动态锁cache优化方法能够使SPECjvm2008运行时的cache失效次数平均降低8.5%,性能平均提升4%.     

结合路径标签和数据变异的模糊测试关键数据定位方法

针对现有的二进制程序模糊测试中关键数据定位方法资源消耗大、误报率较高等问题,提出一种结合路径标签和数据变异的模糊测试关键数据定位方法.该方法通过静态分析对二进制程序中的危险操作进行定位;使用动态插桩跟踪程序的执行过程,获取危险操作的路径标签和参数;通过分析输入数据变异前后跟踪结果的异同从而进行关键数据定位.实验结果表明,该方法能够在较低的资源消耗下有效进行关键数据定位,误报率小于0.3%,同时查全率大于70%,精确率大于60%;可用于提高二进制程序模糊测试的漏洞挖掘能力,具有较强的实用价值.      

Matlab与C语言程序的应用编程接口

针对MATLAB与C语言混合编程的接口问题,提出了采用MAT文件、MEX文件和MATLAB引擎三种接口方法。通过MAT文件实现与其它编程环境的数据交换;通过MEX文件实现在MATLAB环境中调用其它语言编写的程序;通过MATLAB引擎实现在其它编程环境中使用MATLAB的计算功能。在详细阐述了三种方法原理的过程中,说明了三种接口方法的使用特点、调用方法、编译过程和使用中的注意事项。通过混合编程,利用了C语言高效的特点,在发挥MATLAB强大的计算功能的同时,又弥补其执行速度慢的缺点。     

基于模拟用户的Ajax Web自动化测试模型

针对一般爬虫不能获取动态页面,导致源码获取障碍,从而无法对Web应用进行自动化渗透测试分析这一问题,提出了一种基于模拟用户的Ajax Web自动化测试模型,通过模拟用户触发JavaScript事件后利用JavaScript引擎解析该事件,从而获取相应的动态页面,然后利用Fuzzing测试检测相应的Web安全漏洞.以结构化查询语言注入攻击和跨站脚本攻击为例,通过实验发现:所提出的测试模型能有效发现采用Ajax技术的Web应用中存在的Web安全问题.     

应用动态生成树的GPU显存数据复用优化

针对手工优化GPU(Graphic Processing Unit)显存级数据复用过程复杂和编译时优化数据复用开销过大的问题,提出了一种基于动态生成树在运行时进行数据复用的优化方法,可为程序员提供一种透明且高效简单的优化方式.该方法将已经执行的GPU计算任务的数据访问抽象为生成树的叶子节点,利用动态生成树管理GPU数据访问信息,实现了运行时GPU显存级数据的复用优化,并通过运行时对生成树的搜索和维护,动态地发掘和优化GPU显存级数据复用,因此,在编程时不需要进行复杂且困难的数据复用分析,直接调用文中提出的运行时库就能有效减少程序执行过程中CPU内存和GPU显存之间的冗余数据传输次数,从而提升应用的运行性能.实验结果表明,使用文中提出的优化方法可有效消除未进行数据复用优化的CPU-GPU应用程序中的冗余数据传输,最大加速比达原始执行的3～10倍,额外开销不到优化后程序总执行时间的5％.     

一种先进的扁平化谓词及编译优化方法

谓词执行是有效挖掘控制流程序指令级并行性的一种机制.经典的谓词实现一般局部地逐个进行谓词计算而不能进行多谓词控制,有谓词计算路径过长等问题.针对经典谓词存在的问题,提出一种先进的扁平化谓词的实现方法,这种扁平化谓词可以全局地进行谓词计算,可以自然地进行多谓词控制.在此基础上,研究扁平化谓词的编译优化方法,给出了扁平化谓词编译优化框架.实验表明,本文提出的扁平化谓词及编译优化框架可以很好地提高多条件控制程序的执行效率.     

基于分隔符的跨站脚本攻击防御方法

通过分析跨站脚本攻击的特性, 提出一种基于分隔符的跨站脚本攻击防御方法, 该方法适用于UTF-8编码的Web应用程序。首先, 仅对可信数据中的分隔符进行积极污点标记; 然后, 利用字符UTF-8编码值的转换轻量级完成污点标记, 该污点信息可随着字符串操作直接传播到结果页面; 最后, 根据结果页面中分隔符的污点信息及页面上下文分析, 检查脚本执行节点的合法性和脚本内容的可靠性, 精确地检测并防御跨站脚本攻击。针对PHP平台实现了原型系统XSSCleaner。实验证明, XSSCleaner可轻量级地完成污点分析, 并且能够对跨站脚本攻击进行精确防御, 页面生成的时间开销平均为12.9%。     

基于DWR与JST的Ajax技术的实现

将Direct Web Remoting（DWR）与Java Scipt Templates（JST）进行框架整合,在J2EE环境下实现Ajax技术。将DWR引擎以Servlet的形式发布于服务器中,使得系统具有远程调用Java对象的能力;在Web页面中使用JST编辑HTML模板,用以显示DWR调用的结果。通过实例说明,该方案能够在避免大量使用JavaScript操作DOM的情况下实现Ajax技术。     

网格测试引擎:一种构建网格测试环境的基础架构

针对动态、开放、分布式网格环境动态组织资源的需要,提出了一种构建网格测试环境的基础架构——网格测试引擎.该引擎支持测试项目动态的部署、更新和执行,支持基于故障紧急等级的预警和自动处理.采用令牌方式来控制目标服务的测试压力,通过令牌迁移实现分布式测试的负载平衡.在ChinaGrid环境下的实验结果表明,基于测试引擎架构所构建的监测环境,对主机系统影响不会超过1%,并可生成符合要求的测试压力,能够相对准确地测试网格资源与服务,反映目标服务性能的变化趋势.     

基于FPGA自适应高速RS编译码器的IP核设计

针对IP核设计方法讨论了一种可动态配置编码方案的高吞吐率RS编译码器，该编译码器采用Euclid算法实现译码，编译码过程采用流水线结构提高速率，整个设计使用VHDL语言描述，并在Xilinx公司的Virtex系列上实现验证。     

一种基于流程的高效引擎开发

在某些业务环境下,对实时的处理要求较高,需要由高效的流程引擎来带动的业务功能运行.高效流程引擎使用C/C++编写引擎内核,使用共享内存作为流程定义和流程实例等相关数据的缓存,并使用高效、交互性好、易扩展的Lua脚本作为流程引擎部分类型节点的嵌入式执行内容.同时,使用流程加载和日志落地等模块,使得持久层和缓存之间进行同步,不影响流程引擎核心的执行效率.通过以上各方面的优化提高了流程引擎整体的执行效率     

变异策略动态构建的模糊测试数据生成方法

模糊测试中随机变异生成的测试数据破坏了目标程序的输入规范,导致测试数据无法通过验证,造成代码覆盖率低.针对这一问题,提出了一种变异策略动态构建的模糊测试数据生成方法,该方法利用插桩执行的反馈信息动态构建控制变异策略和关键字变异策略,指导模糊器变异出高覆盖率的测试数据.实验结果表明,与随机变异相比,该方法平均使代码分支覆盖率提高了约40%;该方法能够有效提高模糊测试的效率,具有较强的实用价值.      

高速网络环境下的新型木马快速检测方法研究

为了适应高速网络环境下的木马检测,通过分析传统的IDS,针对其在高速网络环境下对木马检测能力的不足,提出了单引擎大特征集的木马检测方法;通过分析木马的网络数据特征,对有限自动机转换过程进行优化,缩短了编译的时间,避免了重复匹配的问题,大幅度提高了基于正则表达式的木马检测方法的效率.