锁闭保护:基于程序行为分析的非预期执行攻击阻断 被引量：2

1

作者 杨佳庚 方滨兴 +4 位作者 冀甜甜 张云涛 王田 崔翔 王媛娣 《计算机学报》 EI CAS CSCD 北大核心 2024年第7期1697-1712,共16页

投递恶意代码以调用安全敏感服务是网络攻击中实施窃取、损毁、致瘫攻击的必要行为,使网络空间面临严重威胁。本文将此类攻击称为非预期执行攻击,现有的防御技术难以检测以合法载体实施的这类攻击.本文提出了一种称为锁闭保护结构的安... 投递恶意代码以调用安全敏感服务是网络攻击中实施窃取、损毁、致瘫攻击的必要行为,使网络空间面临严重威胁。本文将此类攻击称为非预期执行攻击,现有的防御技术难以检测以合法载体实施的这类攻击.本文提出了一种称为锁闭保护结构的安全防护机制,作为现有防御技术的补充和安全底线,是阻断恶意行为实施的最后一道防线.通过分析目标程序针对安全敏感服务的预期行为,监控程序实际行为,阻断与预期行为不一致的服务执行,实现对非预期执行攻击的防御。基于对影响服务行为的关键要素的观察,本文提出了锁闭保护模型,作为阻断非预期执行攻击的理论支撑。然后,在Linux实验环境下实现了一个锁闭保护原型系统,使用真实的高级持续性威胁攻击样本、内核权限提升漏洞以及流行的应用程序进行了有效性验证,并评估了其产生的性能开销.实验结果表明,该原型系统能成功抵御典型的非预期执行攻击,仅引入不超过5%的性能开销. 展开更多

关键词 安全敏感服务 非预期执行攻击 锁闭保护 程序行为监控 攻击阻断

在线阅读 下载PDF 职称材料

基于系统调用和齐次Markov链模型的程序行为异常检测 被引量：19

2

作者 田新广 高立志 +1 位作者 孙春来 张尔扬 《计算机研究与发展》 EI CSCD 北大核心 2007年第9期1538-1544,共7页

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用... 异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能. 展开更多

关键词 入侵检测 MARKOV链 异常检测 程序行为 系统调用

在线阅读 下载PDF 职称材料

利用动态二进制翻译加速应用程序行为特征分析 被引量：6

3

作者 赵天磊 唐遇星 +3 位作者 付桂涛 贾小敏 齐树波 张民选 《计算机研究与发展》 EI CSCD 北大核心 2012年第1期35-43,共9页

应用程序运行时典型行为特征分析的一种重要方法是SimPoint,但是为SimPoint生成基本块向量剖析(basic block vector profile,BBV profile)文件非常耗时.首先提出了一个利用动态二进制翻译技术生成BBVprofile的通用框架DBT-BBV,然后详细... 应用程序运行时典型行为特征分析的一种重要方法是SimPoint,但是为SimPoint生成基本块向量剖析(basic block vector profile,BBV profile)文件非常耗时.首先提出了一个利用动态二进制翻译技术生成BBVprofile的通用框架DBT-BBV,然后详细分析了几种降低开销的优化技术,最后基于DBT-BBV和提出的优化技术设计实现了一个高效的BBVProfile收集工具QPoint.利用SPEC2006测试程序集评估了所提出的优化技术和QPoint的性能和开销.与现有工具相比,QPoint有两个优势:①QPoint的性能高于现有工具,在普通PC机上最高速度为292MIPS,平均速度为109MIPS,BBV Profile收集的平均开销小于4%,在同类工具中最低;②QPoint支持众多体系结构平台,包括x86/x86_64,ARM,POWER,SPARC,MIPS等,并且可跨指令集收集BBVProfile.结果显示,动态二进制翻译技术在应用程序行为特征分析加速方面具有非常好的效果. 展开更多

关键词 应用程序行为分析 二进制翻译 SimPoint BBV PROFILE QPoint

在线阅读 下载PDF 职称材料

基于LSM的程序行为控制研究 被引量：5

4

作者 张衡 卞洪流 +3 位作者 吴礼发 张毓森 崔明伟 曾庆凯 《软件学报》 EI CSCD 北大核心 2005年第6期1151-1158,共8页

程序行为控制作为一种主动检测机制,主要在4个方面进行研究:审计数据源选择、行为描述、正常行为模式的建立与行为匹配.对事件序列模型作了深入研究,提出了采用另外一种与系统调用完全不同的数据源——LSM(Linuxsecuritymodules,简称Li... 程序行为控制作为一种主动检测机制,主要在4个方面进行研究:审计数据源选择、行为描述、正常行为模式的建立与行为匹配.对事件序列模型作了深入研究,提出了采用另外一种与系统调用完全不同的数据源——LSM(Linuxsecuritymodules,简称Linux安全模块)截获点,并从理论和实践两个方面来验证LSM数据源的有效性,即基于信息理论的数据质量分析和实际系统的运行结果分析.结果表明,由于LSM数据源的粒度更细以及和安全更相关,使得它更适合作为事件序列模型的审计事件. 展开更多

关键词 程序行为控制 短序列模型 Linux安全模块(LSM)

在线阅读 下载PDF 职称材料

基于系统调用属性的程序行为监控 被引量：7

5

作者 李珍 田俊峰 杨晓晖 《计算机研究与发展》 EI CSCD 北大核心 2012年第8期1676-1684,共9页

程序的行为轨迹常采用基于系统调用的程序行为自动机来表示.针对传统的程序行为自动机中控制流和数据流描述的程序行为轨迹准确性较低、获取系统调用上下文时间开销大、无法监控程序运行时相邻系统调用间的程序执行轨迹等问题,提出了基... 程序的行为轨迹常采用基于系统调用的程序行为自动机来表示.针对传统的程序行为自动机中控制流和数据流描述的程序行为轨迹准确性较低、获取系统调用上下文时间开销大、无法监控程序运行时相邻系统调用间的程序执行轨迹等问题,提出了基于系统调用属性的程序行为自动机.引入了多个系统调用属性,综合系统调用各属性的偏离程度,对系统调用序列描述的程序行为轨迹进行更准确地监控;提出了基于上下文的系统调用参数策略,检测针对系统调用控制流及数据流的行为轨迹偏离;提出了系统调用时间间距属性,使得通过系统调用及其参数无法监控的相邻系统调用间的程序行为轨迹在一定程度上得到了监控.实验表明基于系统调用属性的程序行为自动机能够更准确地刻画程序行为轨迹,较传统模型有更强的行为偏离检测能力. 展开更多

关键词 程序行为 异常检测 系统调用 自动机 时间间距

在线阅读 下载PDF 职称材料

一种基于控制流的程序行为扩展模型 被引量：8

6

作者 陆炜 曾庆凯 《软件学报》 EI CSCD 北大核心 2007年第11期2841-2850,共10页

提出一种基于控制流的程序行为扩展模型EMPDA(extended model based on push down automaton).对控制流模型加入不变性约束扩展,该模型能够表达程序正常运行时所应保持的不变性质约束,增强了模型的监控能力;通过以实际应用区分系统调用... 提出一种基于控制流的程序行为扩展模型EMPDA(extended model based on push down automaton).对控制流模型加入不变性约束扩展,该模型能够表达程序正常运行时所应保持的不变性质约束,增强了模型的监控能力;通过以实际应用区分系统调用重要性,将模型划分为核心模型和辅助模型,以降低模型整体消耗,提高模型学习效率.实验结果表明,该扩展模型较之原模型有更好的覆盖速度、误报率以及检测能力. 展开更多

关键词 程序行为模型 异常检测 控制流 不变性约束 系统调用

在线阅读 下载PDF 职称材料

基于程序行为累积分析的软件故障定位方法 被引量：1

7

作者 贾晓霞 吴际 +1 位作者 金茂忠 柳永坡 《北京航空航天大学学报》 EI CAS CSCD 北大核心 2006年第5期607-611,共5页

软件出现失效后,如何根据软件运行时的输入以及运行行为来快速定位引发失效的故障是一个非常有价值的研究问题.提出了故障定位的锥状框架,并基于其将故障定位问题表示为一个分层细化的过程.在软件输入层,利用程序行为累积分析技术对软... 软件出现失效后,如何根据软件运行时的输入以及运行行为来快速定位引发失效的故障是一个非常有价值的研究问题.提出了故障定位的锥状框架,并基于其将故障定位问题表示为一个分层细化的过程.在软件输入层,利用程序行为累积分析技术对软件的行为进行建模分析,得到了统计故障定位模型,从而解决了软件输入层的故障定位问题.为了检验故障定位模型的效果,选择了5个软件进行实验,对其中4个设计并植入故障,另外1个为真实软件,实验获得了平均0.803的定准率和平均0.697的定全率.在此基础上,如何应用程序行为累积分析技术在软件设计模块层解决故障定位问题得到了进一步的分析. 展开更多

关键词 故障定位 程序行为累积分析 软件调试 统计方法

在线阅读 下载PDF 职称材料

一种基于异常控制流的错误程序行为分析方法 被引量：2

8

作者 江建慧 吴捷程 孙亚 《同济大学学报（自然科学版）》 EI CAS CSCD 北大核心 2018年第7期972-981,共10页

通过静态分析程序显式异常控制流收集到程序中可引起异常的差错信息,采用故障注入实验,分析了程序的"故障-差错-异常"传播过程.结合函数级异常控制流的描述,对异常相关的差错及其对程序行为的影响进行了分析,建立了基于异常... 通过静态分析程序显式异常控制流收集到程序中可引起异常的差错信息,采用故障注入实验,分析了程序的"故障-差错-异常"传播过程.结合函数级异常控制流的描述,对异常相关的差错及其对程序行为的影响进行了分析,建立了基于异常控制流的错误程序行为模型,开发了相应的分析工具.以OpenStack核心组件为对象进行实验,结果表明从异常层次对错误程序行为进行分析是合理而有效的.该方法为具有异常处理机制的大规模程序的错误行为自动分析和差错数据的收集提供了新手段. 展开更多

关键词 错误程序行为 软件差错 异常控制流 故障注入

在线阅读 下载PDF 职称材料

一种基于环境约束的异常程序行为模型

9

作者 何加浪 徐建 张宏 《计算机科学》 CSCD 北大核心 2010年第5期112-114,142,共4页

在控制流模型中加入影响程序运行的环境因素,结合静态分析方法的优点,建立了程序异常行为分析模型,用以标记函数调用指令,并在动态运行时进行返回值一致性约束,从而解决了一般方法回避函数指针导致的间接调用问题。同时根据程序的局部... 在控制流模型中加入影响程序运行的环境因素,结合静态分析方法的优点,建立了程序异常行为分析模型,用以标记函数调用指令,并在动态运行时进行返回值一致性约束,从而解决了一般方法回避函数指针导致的间接调用问题。同时根据程序的局部运行原理,将分析范围限定在函数范围内。实验结果表明模型具有较好的精确性和较低的性能影响。 展开更多

关键词 控制流 运行环境 程序行为

在线阅读 下载PDF 职称材料

规避非货币出资程序行为法律责任探究

10

作者 高旭军 《同济大学学报（社会科学版）》 2006年第6期94-100,110,共8页

本文探究了规避非货币出资程序行为的若干法律问题。文章首先分析了规避行为的危害性和引发规避行为的原因,接着探讨了规避行为的法律性质及其构成要件,最后文章论述了其构成要件和举证责任问题。文章的基本观点是:规避行为会及资本充... 本文探究了规避非货币出资程序行为的若干法律问题。文章首先分析了规避行为的危害性和引发规避行为的原因,接着探讨了规避行为的法律性质及其构成要件,最后文章论述了其构成要件和举证责任问题。文章的基本观点是:规避行为会及资本充实原则,因而应该通过追究当事股东及其他相关责任者的法律责任来禁止这种行为。 展开更多

关键词 非货币出资程序 规避非货币出资程序行为 构成要件 法律后果

在线阅读 下载PDF 职称材料

对计算机系统中程序行为的分析和研究 被引量：2

11

作者 朱国强 刘真 李宗伯 《计算机应用》 CSCD 北大核心 2005年第12期2739-2741,共3页

对程序行为的三种提取方法进行了分析比较,并采用LKM(LinuxKernelModule)方式对程序行为进行提取分析。从字符串参数长度分布,字符串参数字符特征分布及特殊系统调用参数三个方面来对系统调用参数进行分析,丰富了程序行为分析手段,提高... 对程序行为的三种提取方法进行了分析比较,并采用LKM(LinuxKernelModule)方式对程序行为进行提取分析。从字符串参数长度分布,字符串参数字符特征分布及特殊系统调用参数三个方面来对系统调用参数进行分析,丰富了程序行为分析手段,提高了程序异常检测精度。 展开更多

关键词 程序行为 系统调用参数 LINUX内核模块

在线阅读 下载PDF 职称材料

基于改进HMM的程序行为异常检测方法 被引量：2

12

作者 吴鑫 严岳松 刘晓然 《信息网络安全》 2016年第9期108-112,共5页

程序行为的异常检测是网络异常检测中的重要部分,针对传统隐马尔科夫模型中状态转移概率及观测值概率仅与前一状态有关的不足,而导致误报率高、检测效率低的问题。文章提出一种改进的基于隐马尔科夫模型的检测方法,该方法重点是利用系... 程序行为的异常检测是网络异常检测中的重要部分,针对传统隐马尔科夫模型中状态转移概率及观测值概率仅与前一状态有关的不足,而导致误报率高、检测效率低的问题。文章提出一种改进的基于隐马尔科夫模型的检测方法,该方法重点是利用系统调用局部规律性来建模;同时为了减少模型训练时间,该模型采用更为简单快捷的参数重估方法。最后,通过仿真实验,与传统HMM模型和二阶HMM做横向对比,证明了该模型的实用性。 展开更多

关键词 程序行为 异常检测 隐马尔科夫模型

在线阅读 下载PDF 职称材料

一个准确高效的基于程序行为的异常检测模型 被引量：1

13

作者 李红娇 李建华 《小型微型计算机系统》 CSCD 北大核心 2008年第11期2070-2073,共4页

提出一个高效准确的基于程序行为的异常入侵检测模型,该模型对于静态链接的程序部分以及函数递归基于优化的堆栈遍历技术获得调用堆栈状态信息;对于程序循环,使用代码插入和Null挤压技术来高效地获得系统调用上下文信息;基于动态通知技... 提出一个高效准确的基于程序行为的异常入侵检测模型,该模型对于静态链接的程序部分以及函数递归基于优化的堆栈遍历技术获得调用堆栈状态信息;对于程序循环,使用代码插入和Null挤压技术来高效地获得系统调用上下文信息;基于动态通知技术,处理非标准的控制转移;从而,能够获得完备的系统调用上下文信息,提高了模型的准确度.给出了模型的描述和实施,分析了其优点.在Linux程序上的实验表明,该模型可保持检测的高效率. 展开更多

关键词 基于程序行为的异常检测 系统调用 CPDA模型 堆栈遍历 代码插入

在线阅读 下载PDF 职称材料

一种基于JVMTI实现程序行为模型的强制实施方案

14

作者 费利明 郑晓娟 +1 位作者 刘培兴 杨志财 《东北师大学报（自然科学版）》 CAS CSCD 北大核心 2011年第2期46-50,共5页

对保护主机防止潜在的恶意移动代码问题进行了研究,在携带模型代码方法的基础上,针对已被广泛使用的Java平台和Java移动代码,提出了Java运行环境下基于JVMTI实现程序行为模型的强制实施方案,并对此方案的可行性和效率进行了验证.

关键词 移动代码 MCC 程序行为模型和强制实施 JVMTI

在线阅读 下载PDF 职称材料

基于RST修正核单类SVM的程序行为控制系统

15

作者 骆玉霞 刘金刚 《计算机工程》 CAS CSCD 北大核心 2008年第3期154-156,共3页

程序行为控制系统对程序行为进行建模、检测和响应。单类支持向量机(SVM)在有限样本的情况下用于异常检测,具有较好的分类精度和泛化能力。针对以前利用单类支持向量机进行异常检测的研究中没有考虑属性权重的问题,该文提出利用粗糙集理... 程序行为控制系统对程序行为进行建模、检测和响应。单类支持向量机(SVM)在有限样本的情况下用于异常检测,具有较好的分类精度和泛化能力。针对以前利用单类支持向量机进行异常检测的研究中没有考虑属性权重的问题,该文提出利用粗糙集理论(RST),引入反映属性重要性程度的权重值。给出通过找出决策系统中所有约简的集合确定属性权重的方法,并利用属性权重修正单类SVM的核函数。实验表明基于RST修正核的单类SVM具有更好的检测能力。 展开更多

关键词 粗糙集理论 单类支持向量机 程序行为控制 异常检测

在线阅读 下载PDF 职称材料

一种内嵌式程序行为监控框架IPBMF

16

作者 王友荣 曾庆凯 《计算机工程》 CAS CSCD 北大核心 2008年第6期82-84,共3页

内嵌引用监视器是实现动态程序行为监控的重要途径。目前的监视器采用各自的方法实现监视器的自身保护和降低负载,结构不统一,增加了协同工作的难度和开发的代价。该文提出一个引用监视器的框架IPBMF,给出了通用的机制,实现了对监视器... 内嵌引用监视器是实现动态程序行为监控的重要途径。目前的监视器采用各自的方法实现监视器的自身保护和降低负载,结构不统一,增加了协同工作的难度和开发的代价。该文提出一个引用监视器的框架IPBMF,给出了通用的机制,实现了对监视器的保护和高效运行。提供了引用监视器的组合机制,有利于对程序行为的有效监控。 展开更多

关键词 程序行为监控 内嵌引用监视器 抽象资源 多保护域进程

在线阅读 下载PDF 职称材料

基于满十六叉有序树的程序行为建模搜索方法

17

作者 骆玉霞 刘金刚 《计算机工程与科学》 CSCD 2007年第6期4-6,54,共4页

程序行为建模及搜索是异常检测研究中的关键问题。本文提出利用系统调用发生时的程序计数器值对应的段号和段内偏移作为事件,将滑动窗口在有序事件上滑动得到事件序列集合,利用满十六叉有序树算法建立正常行为模型库。满十六叉有序树是... 程序行为建模及搜索是异常检测研究中的关键问题。本文提出利用系统调用发生时的程序计数器值对应的段号和段内偏移作为事件,将滑动窗口在有序事件上滑动得到事件序列集合,利用满十六叉有序树算法建立正常行为模型库。满十六叉有序树是为提高规则库的存储及搜索的效率而设计的,其存储的字节顺序隐含着结点间关系信息。在规则库中搜索某条规则的时间复杂度仅与树的深度有关,树的深度固定时的时间复杂度为O(1)。文中给出了满十六叉有序树的定义,分析了它的特点,并给出生成算法和搜索算法。 展开更多

关键词 正常程序行为模型库 事件 满十六叉有序树 异常检测

在线阅读 下载PDF 职称材料

网络计算机典型应用程序的d-TLB行为分析 被引量：1

18

作者 曲宁 袁鹏 +1 位作者 管雪涛 程旭 《北京大学学报（自然科学版）》 EI CAS CSCD 北大核心 2007年第1期85-91,共7页

网络计算机是瘦客户计算模式下的一种交互式信息设备,其上的典型应用程序行为分析对于处理器设计、系统开发有着重要意义。本文基于北大众志网络计算机平台,详细分析了d-TLB结构和页面大小等配置参数的变化,对典型应用程序d-TLB失效率和... 网络计算机是瘦客户计算模式下的一种交互式信息设备,其上的典型应用程序行为分析对于处理器设计、系统开发有着重要意义。本文基于北大众志网络计算机平台,详细分析了d-TLB结构和页面大小等配置参数的变化,对典型应用程序d-TLB失效率和d-TLB失效导致的性能损失等所产生的影响。实验结果阐明了北大众志系统芯片中TLB部件在自身结构和多种页面支持等方面的设计原理和优势。 展开更多

关键词 网络计算机 d-TLB 应用程序行为分析 全系统模拟器 踪迹驱动模拟

在线阅读 下载PDF 职称材料

程序化行为对篮球罚篮命中率影响的实验研究 被引量：14

19

作者 洪晓彬 刘欣然 李孟华 《首都体育学院学报》 2007年第2期49-50,55,共3页

通过文献资料、实验、数理统计等方法探讨了不同教学方法对篮球罚篮命中率的影响。结果显示:常规教学法,即采用传统篮球投篮技术的教学方法;程序化教学法,即在常规教学法的基础上,加入一些投篮前的程序化行为;两种教学方法都能有效地提... 通过文献资料、实验、数理统计等方法探讨了不同教学方法对篮球罚篮命中率的影响。结果显示:常规教学法,即采用传统篮球投篮技术的教学方法;程序化教学法,即在常规教学法的基础上,加入一些投篮前的程序化行为;两种教学方法都能有效地提高篮球罚篮命中率,都是提高篮球罚篮命中率行之有效的方法。但与常规教学方法相比,程序化教学方法对于提高篮球罚篮命中率的效果更明显。 展开更多

关键词 程序化行为 篮球罚篮 实验研究

在线阅读 下载PDF 职称材料

体育运动领域中行为程序研究综述 被引量：3

20

作者 井玲 洪晓彬 邓丽星 《武汉体育学院学报》 CSSCI 北大核心 2009年第11期95-100,共6页

在回顾国外研究的基础上,对体育运动领域中行为程序研究进行全面的阐述。行为程序包括动作行为和认知或心理两个方面的内容;行为程序作用理论机制包括图式理论、运动技能学习阶段理论、定势假说和心理演练;主要研究领域包括运动技能学... 在回顾国外研究的基础上,对体育运动领域中行为程序研究进行全面的阐述。行为程序包括动作行为和认知或心理两个方面的内容;行为程序作用理论机制包括图式理论、运动技能学习阶段理论、定势假说和心理演练;主要研究领域包括运动技能学习和运动竞赛领域;影响行为程序效果的变量包括技能水平、性别和行为程序的时间节律。从实践的角度,认为体育教师和教练员应当重视行为程序,应用行为程序来提高学生的技能水平和运动员的运动成绩;从研究的角度,认为国内研究者应加大这一领域的研究。 展开更多

关键词 行为程序 认知干预 行为干预 体育运动

在线阅读 下载PDF 职称材料