应凌云
- 作品数:44 被引量:173H指数:7
- 供职机构:中国科学院软件研究所更多>>
- 发文基金:国家自然科学基金北京市自然科学基金国家重点基础研究发展计划更多>>
- 相关领域:自动化与计算机技术电子电信更多>>
- 一种抗混淆的大规模Android应用相似性检测方法被引量:9
- 2014年
- 随着代码混淆、加壳技术的应用,基于行为特征的Android应用相似性检测受到的影响愈加明显.提出了一种抗混淆的大规模Android应用相似性检测方法,通过提取应用内特定文件的内容特征计算应用相似性,该方法不受代码混淆的影响,且能有效抵抗文件混淆带来的干扰.对5.9万个应用内的文件类型进行统计,选取具有普遍性、代表性和可度量性的图片文件、音频文件和布局文件作为特征文件.针对3种特征文件的特点,提出了不同内容特征提取方法和相似度计算方法,并通过学习对其相似度赋予权重,进一步提高应用相似性检测的准确性.使用正版应用和已知恶意应用作为标准,对5.9万个应用进行相似性检测实验,结果显示基于文件内容的相似性检测可以准确识别重打包应用和含有已知恶意代码的应用,并且在效率和准确性上均优于现有方案.
- 焦四辈应凌云杨轶程瑶苏璞睿冯登国
- 一种动态链接库形式的恶意代码的动态分析方法
- 本发明提供一种针对动态链接库形式的恶意代码的动态分析方法。其步骤如下:解析配置文件,判断配置文件中是否包含动态链接库的导出函数名表以及各导出函数对应的参数表;如是,则对该动态链接库的各导出函数进行遍历调用;如否,则载入该...
- 闫佳应凌云聂眉宁苏璞睿
- 文献传递
- 基于Dalvik寄存器污点分析的Android漏洞检测方法被引量:5
- 2018年
- 针对Android应用中存在的漏洞易被恶意攻击者利用进行攻击的问题,提出了一种基于Dalvik寄存器污点分析的Android应用漏洞检测方法。首先对Android应用进行预分析以获取应用基本信息并构建函数调用图,然后将指定的Dalvik寄存器作为污点,实现对污点的前向分析和后向分析功能,最后使用脚本执行器连接预分析模块、污点分析模块和漏洞检测脚本,共同完成漏洞检测功能。基于该检测方法实现了原型系统Andro Detector并进行了对比性实验,实验结果表明此漏洞检测方法检测范围更广且准确率更高。
- 靖二霞应凌云路晔绵苏璞睿
- 关键词:漏洞检测污点分析
- 速变服务网络行为特征分析被引量:2
- 2013年
- 速变(Fast-Flux)服务网络通过返回不断变化的DNS解析结果,以大量被攻陷主机的IP地址作为服务地址,利用被攻陷主机进行重定向形成服务网络.长时间跟踪并记录了分布在全球6大洲的300个DNS服务器对23000多个域名的解析结果.根据DNS解析数据,文章对比其他研究成果从多个维度对Fast-Flux恶意域名和Fast-Flux服务网络的行为特征进行了全面讨论,并进一步开展特征辨识度分析.关于Fast-Flux服务网络行为特征的分析揭示了FFSN新的行为变化,为恶意域名检测、网络资源保护等提供了依据.
- 褚燕琴应凌云冯登国苏璞睿
- 关键词:DNS
- 结构化对等网测量方法研究被引量:4
- 2014年
- 网络测量是深入开展结构化对等网研究的基础,结构化对等网络协议设计、共享内容检索、态势感知乃至安全性的研究都需要以网络测量为前提.在节点分布对等、实时变化显著、未知瞬发扰动频繁的结构化对等网络中,获得其准确、完整的网络信息更是十分困难的.通过形式化分析结构化对等网节点搜索过程,研究节点信息在全网分布情况与查询返回率之间的关系,将历史测量数据与具体对等网特征信息相结合挖掘节点搜索优化策略,提出了一种网络资源占用显著降低、搜索速度较快、信息完备率较高的搜索测量优化方法.KAD网络是目前得到大规模部署运行的为数不多的结构化对等网络之一,以KAD网络为主要研究对象开发了KadCrawler对等网搜索系统,进行了大量测量和分析,验证了搜索优化方法的可行性和有效性;同时,对当前KAD网络拓扑结构特征、节点重名等现象进行了初步分析,发现KAD网络近年来发生了显著的变化.
- 闫佳应凌云刘海峰苏璞睿冯登国
- 关键词:网络测量KADEMLIAKAD网络
- 移动社交应用的用户隐私泄漏问题研究被引量:43
- 2014年
- 智能移动终端以其强大的处理能力和丰富的功能应用迅速得到普及,成为人们日常生活中存储和处理个人信息必不可少的工具.在众多的移动应用中,社交通信类应用致力于为人们提供便捷的日常通信服务,这类应用相比移动通信运营商提供的传统短消息服务更加经济实用,同时提供多媒体通信方式进一步增强用户的社交体验,从而迅速地被广泛接受.为了进一步巩固自身的用户群体,增加用户黏度,这类应用在其内部增添了一种称为"通讯录匹配"的功能.该功能能够向用户推荐其手机通讯录中已经注册过该应用的线下联系人为好友,从而帮助用户快速地将线下社交圈移植到应用线上.然而,用户在获得便利的同时也面临着潜在的隐私泄露风险.文中首次提出了一种独立于各移动智能平台的、能有效利用移动社交通信类应用的通讯录匹配功能实现大规模收集用户私人数据的方法,该方法能够收集到存储于目标应用服务器的用户个人资料,包括手机号码和虚拟应用账户资料以及两者之间的映射关系;其次,为了获取规模更大,内容更全面、更真实的用户资料,文本提出了基于多款社交通信类应用的跨应用整合分析方法以及针对不同应用来源的用户资料数据一致性与真实性分析;最后,在信息获取和分析方法的指导下,文中建立了利用上述漏洞的原型系统,进行了大规模数据实验,最终验证了上述方法的有效性和良好的可扩展性.
- 程瑶应凌云焦四辈苏璞睿冯登国
- 关键词:智能移动终端隐私泄露隐私保护智能手机
- 一种网络安全应急响应方法
- 本发明公开了一种网络安全应急响应方法,属于网络技术领域。本方法为:1)服务器端建立一网络安全应急策略库,并设置该策略库中每一策略的属性;2)将网络探针从待检测网络环境中探测的安全事件报告上报到服务器;3)服务器提取当前安...
- 程瑶冯登国应凌云苏璞睿
- 一种恶意代码捕获方法
- 本发明公开了一种恶意代码捕获方法,属于网络安全技术领域。本方法为:1)配置硬件模拟器,加载并启动目标操作系统;2)硬件模拟器读取目标操作系统的虚拟内存,识别所有进程及进程所加载的动态库中的导出表,获取所述导出表中所有AP...
- 杨轶冯登国苏璞睿应凌云
- 恶意软件网络协议的语法和行为语义分析方法被引量:23
- 2011年
- 网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系.
- 应凌云杨轶冯登国苏璞睿
- 关键词:恶意软件分析网络安全
- 基于行为依赖特征的恶意代码相似性比较方法被引量:21
- 2011年
- 恶意代码相似性比较是恶意代码分析和检测的基础性工作之一,现有方法主要是基于代码结构或行为序列进行比较.但恶意代码编写者常采用代码混淆、程序加壳等手段对恶意代码进行处理,导致传统的相似性比较方法失效.提出了一种基于行为之间控制依赖关系和数据依赖关系的恶意代码相似性比较方法,该方法利用动态污点传播分析识别恶意行为之间的依赖关系,然后,以此为基础构造控制依赖图和数据依赖图,根据两种依赖关系进行恶意代码的相似性比较.该方法充分利用了恶意代码行为之间内在的关联性,提高了比较的准确性,具有较强的抗干扰能力;通过循环消除、垃圾行为删除等方法对依赖图进行预处理,降低了相似性比较算法的复杂度,加快了比较速度.实验结果表明,与现有方法相比,该方法的准确性和抗干扰能力均呈现明显优势.
- 杨轶苏璞睿应凌云冯登国
- 关键词:恶意代码
