为了使Android平台重打包应用检测的方法在面向大规模移动应用中既能实现快速、准确地检测重打包应用又能对抗代码混淆攻击,本文提出了一种基于程序语义的重打包应用抗混淆检测方法.该方法首先进行粗粒度的检测,即先将应用的程序依赖图抽象成程序语义特征,通过计算程序语义特征之间的相似性,实现快速的可疑重打包应用检测;然后使用程序依赖图作为应用的特征,完成可疑重打包应用细粒度的准确检测.基于文中的方法设计并实现了原型系统DroidFAR(Fast,Accurate and Robust).实验结果表明,本文方法检测的准确率达到95.1%,误报率低于1.2%,且能够有效地抵御代码混淆攻击.
隐写分析盲检测存在着检测模型的检测准确性和通用性难以兼顾的问题.本文提出一种用于隐写分析的快速支持向量分类算法FC-SS2LM(fast classification for small sphere with two large margins),通过构造最小超球体和双边最大间隔隐...
详细信息
隐写分析盲检测存在着检测模型的检测准确性和通用性难以兼顾的问题.本文提出一种用于隐写分析的快速支持向量分类算法FC-SS2LM(fast classification for small sphere with two large margins),通过构造最小超球体和双边最大间隔隐写分析模型,使检测模型既能准确构造分类边界又能考虑不同隐写样本的分布特点,达到了兼顾检测准确性和通用性的目的.在BOSSBase标准图像库上对提出的隐写分析盲检测模型进行验证,实验结果表明,该方法在一定程度上克服了传统隐写分析模型通用性差的缺点,同时提高了实际应用中训练数据样本不平衡情况下的检测准确率.即使在实际应用中训练集样本过大、支持向量较多的情况下,采用该方法计算也可以减小算法复杂度,提高泛化能力和分类速度.
针对现有二进制程序同源性判别方法受限于特定编程语言或环境、难以应对复杂的代码混淆攻击、易受依赖库影响等问题,提出了一种基于内存对象访问序列动态胎记(dynamic birthmarks based on memory object access sequences, DBMOAS)的...
详细信息
针对现有二进制程序同源性判别方法受限于特定编程语言或环境、难以应对复杂的代码混淆攻击、易受依赖库影响等问题,提出了一种基于内存对象访问序列动态胎记(dynamic birthmarks based on memory object access sequences, DBMOAS)的程序同源性判别方法。该方法将程序对数据结构的访问顺序流作为程序语义的一种鲁棒性特征并加以分析,能较好地应对复杂的代码混淆攻击;基于动态污点分析,表征程序的数据结构,解决了二进制程序缺少数据结构与类型的语义表示问题。为验证DBMOAS方法的可信性和弹性,在窗口大小取值不同的情况下,测试具有相似功能的独立程序间的相似度;针对不同编译器、编译选项、混淆方法、版本迭代产生的同源样本,测试程序间的相似度。实验结果表明,本文方法能有效判别程序间的同源性,可信性评估中误判率仅为6. 7%,弹性评估中无漏判情况。
暂无评论