摘要：针对编译优化、跨编译器、混淆等带来的二进制代码相似性识别准确率低的问题,提出并实现了一种基于用户系统调用序列的识别方案UstraceDiff。首先,基于Intel Pin框架设计了一个动态分析插桩工具,动态提取二进制代码的用户系统调用序列及参数;其次,通过序列对齐获得被分析的2个二进制代码的系统调用序列的公有序列,并设计了一个有效参数表用于筛选出有效系统调用参数;最后,为评估二进制代码的相似性,提出一种算法利用公有序列及有效参数,计算它们的同源度。使用Coreutils数据集在4种不同的编译条件下对UstraceDiff进行了评估。实验结果表明,相较于Bindiff和DeepBinDiff,UstraceDiff对于同源程序识别的平均准确率分别提高了35.1个百分点和55.4个百分点,对于非同源程序的区分效果也更好。

摘要：基于系统调用数据的异常检测无法完成进程生命周期内的入侵行为同步感知任务,且存在实时异常检测准确率低的问题。提出一个基于集成学习的系统调用实时异常检测框架,其中包括数据处理与切片、集成学习、异常检测与反馈模块。在数据处理与切片模块中,对处于生命周期内的进程行为轨迹进行采集与分析,根据线上待分析数据与线下模型训练数据对时效性的不同要求,设计2种系统调用轨迹的切分策略;在集成学习模块中,改进GPT语言模型和门控循环神经单元用于构建系统调用轨迹片段行为轮廓,以集成学习思想融合异常检测异构模型同时抓取单向语义特征与统计特征;在异常检测与反馈模块中,采用考虑单个系统调用重要度的异常判决方法,引入同步感知与实时裁决共存的异常预警机制。在公开数据集上的实验结果表明,该框架具有进程生命周期内的入侵同步感知能力,所构建的集成模型在保证低误报率(0.2%)的同时具有高异常检测准确率(99.3%),优于决策树模型、单分类SVM、BiLSTM等对比模型。

摘要：针对现有的基于系统调用的异常入侵检测方法使用单一轨迹模式无法准确反映进程行为的问题,基于系统调用轨迹的顺序和频率模式对进程行为进行建模,设计了一个数据驱动的异常检测框架。该框架可以同时检测系统调用轨迹的顺序异常和定量异常,借助组合窗口机制,通过满足离线训练和线上检测对提取轨迹信息的不同需求,可以实现离线细粒度学习和线上异常实时检测。在ADFA-LD入侵检测标准数据集上进行了针对未知异常检测性能的对比实验,结果表明,相比4类传统机器学习方法和4类深度学习方法,该框架的综合检测性能提高了10%左右。

摘要：现阶段综合化航空电子系统的应用领域和场景日益广泛,在地面状态部署或调试应用软件时,主机端与目标机端的交互需求也随之增加。综合化航空电子系统通常使用基于ARINC653标准的分区操作系统来完成软件时间和空间上的隔离,分区操作系统中采用系统态和用户态的权限划分,从而保证系统程序与应用软件的访问和执行特权。主机端与目标机端的交互使用目标机交互工具。在介绍系统态与用户态的基础上,阐述系统态下目标机交互工具的功能及基本设计原理,并提供一种在用户态下进行目标机交互的解决方案。基于多个项目对该方案进行了实验,验证了其可行性。

摘要：列车内部的主机设备搭载Linux嵌入式操作系统,外部应用需要执行系统调用来访问系统内核。随着列车通信网络的兼容性和开放性不断提升,车载主机设备存在遭受网络攻击的风险。当网络攻击发生时,恶意程序同样会通过系统调用与内核产生交互并留下相应痕迹,因此可基于系统调用序列实现车载主机设备的入侵检测。文章分析了Linux系统结构和系统调用序列的原理,设计了包含特征提取、特征词袋处理、特征逆频率处理和特征降维的原始数据特征处理方法,构建了基于网格搜索-K近邻(Grid Search-K-Nearest Neighbor, GS-KNN)的入侵检测模型。试验证明,文章提出的方法准确率达到了96.62%,相较于其他轻量级算法存在优势,能够实现网络入侵的有效检测。

摘要：针对传统PDF文档检测误报率过高的问题,提出一种基于图神经网络与深度学习的检测模型DGNN。通过收集文档运行时各线程产生的系统调用数据生成相应的系统调用图,运用所提基于H指数的图采样策略缩减数据规模;采样后的子图作为模型DGNN的输入,借助图卷积网络提取关联关系的同时,利用深度学习提取系统调用对的属性特征并完成特征融合,通过系统调用图的性质判别完成检测。实验结果表明,与其它方法相比,该模型特征提取与训练时间短,有效提高了PDF文档的检测效果。

摘要：同步是实现基于表决的容错计算机系统的关键过程.现有的采用基于硬件或应用软件同步技术的系统存在设计和制造困难、兼容性差和难以使用等问题.提出了一种基于操作系统调用的同步机制;描述了其同步算法;介绍了在Linux操作系统上的实现.该同步机制对应用程序完全透明,同步点无需人工设置,同步算法由软件和硬件结合的方式实现.实验结果表明该同步机制是可行的,较好地达到了系统易设计和好使用的目标.

摘要：结合程序局部性原理,提出系统调用序列中位置间的相关度定义.利用相关度给出了实际系统调用序列与正常系统调用序列间的模糊匹配方法,利用该方法判断应用程序运行状况,进行入侵检测.给出了一个采用该方法的主机入侵检测系统,说明了其整体结构设计、模块间调用关系、模块设计原理、模块实现方法及用于验证该入侵检测系统的实验环境.通过实验结果验证了检测方法是有效的.

摘要：提出了一种不定长序列模式的寻找算法,目标是从训练序列中找出一组基本的、相对独立的不定长序列模式。并在模式集的更新过程中自动定义了模式间的前后次序关系,以此构建了一个描述进程执行模式的DFA。针对已有基于不定长序列模式的模式匹配算法需要向前预测若干个系统调用号的缺点,文章设计了一个更好的模式匹配算法。实验结果表明,算法在模式寻找过程中是稳定的,并在保持一组规模很小的模式集的情况下,取得了很低的误报率和漏报率。

摘要：操作系统作为计算机中的基础软件,负责整个计算机的指挥与控制工作,而系统调用作为用户访问操作系统内核空间的唯一接口,对其自主可控性进行测试尤为重要。由此,在分析Linux操作系统的传统系统调用机制和快速系统调用机制的基础上,运用Linux5614内核版本对系统调用测试自动化程序进行设计,包括测试过程中的环境配置、用例执行、结果记录和结果分析等模块。并通过面向SylixOS的功能测试与分析,结果表明,本文提出的系统调用测试自动化设计在测试用例设计方面具有较强的完备性和灵活性,且适用于国产操作系统。