【摘要】：傳統(tǒng)的軟件安全防御方法一直存在易攻難守的問題,為構(gòu)建易守難攻的軟件安全防御體系,論文基于移動目標防御的思想設(shè)計和實現(xiàn)了一種復(fù)合式軟件縱深安全防御方法,抵御基于軟件漏洞的攻擊行為.該方法分別在源代碼和二進制代碼層面引入軟件隨機化方法,并通過元數(shù)據(jù)庫的設(shè)計實現(xiàn)基于源碼和基于二進制隨機化機制的有機協(xié)同,從而形成縱深形式的軟件安全防護能力.原型系統(tǒng)的實驗結(jié)果表明,該方法能夠自動、有效地生成隨機化軟件系統(tǒng),且生成的目標軟件在靜態(tài)分析和動態(tài)運行兩個方面都呈現(xiàn)出不確定性,使攻擊者難以分析和攻擊,從而有效抵御基于軟件漏洞的網(wǎng)絡(luò)攻擊.
【圖文】：

塊為單位，主要從３個方面實施隨機化操作：一是指令等價替換，比如ＣＭＰ比較指令，將操作數(shù)進行調(diào)換，完全不會影響程序的功能；二是指令重排，通過指令間依賴分析發(fā)現(xiàn)塊內(nèi)某些指令的執(zhí)行順序并不影響程序功能，此時，可以對這些進行重新排序，改變執(zhí)行順序；三是重新分配寄存器，通常寄存器的分配是在編譯時完成的，但其分配過程是編譯器任意選取的，因此，可以在二進制層面重新分配寄存器來進行代碼隨機化操作．２復(fù)合式軟件隨機化安全防御方法２．１總體框架設(shè)計復(fù)合式軟件隨機化安全防御方法總體框架如圖１所示，，主要通過協(xié)同考慮面向源碼和面向二進制的軟件隨機化方法來形成縱深形式的軟件安全防御方法．圖１復(fù)合式軟件隨機化安全防御方法框架在源碼層面主要實現(xiàn)目標代碼的生成隨機和內(nèi)存結(jié)構(gòu)動態(tài)隨機，生成具備一定隨機性的中間軟件和支撐二進制隨機化的元數(shù)據(jù)庫，中間軟件和數(shù)據(jù)庫部署到目標系統(tǒng)后，通過二進制隨機機制在運行之前進一步進行隨機化處理，生成最終可執(zhí)行的目標軟件．一般來講，軟件隨機化方法需要一種合理的軟件部署和更新策略來保證安全性，更新越頻繁，可用漏洞的暴露概率就越小，但是可用性和易用性則越低．通過采用復(fù)合式的軟件隨機化方法，能夠在可用性、易用性和安全性之間提供最大的可調(diào)整空間．將部分的隨機化任務(wù)遷移到軟件的運行環(huán)境，從而能夠相對自由地控制隨機化頻度，提供可調(diào)的安全性指標．２．２面向源碼的隨機化機制設(shè)計２．２．１抗優(yōu)化分析的指令替換方法從源碼層面實現(xiàn)生成隨機化目標軟件的方法很多，包括冗余指令插入、指令等價替換、寄存器隨機化、變量重新排序、指令重新排序、函數(shù)重新排序、程序基址隨機化等［４］．這些基本方法原則上都

算其中代碼片段隨機化比例，當計算所得的隨機化比例均值變化率小于１％時，停止測試過程．實驗過程記錄的數(shù)據(jù)繪圖處理后如圖５所示．可以看到，實驗數(shù)據(jù)中得到的最低的代碼片段隨機化比例為７２％，最高的隨機化比例達到了９０％，隨機化比例均值從第１０次實驗后就趨于穩(wěn)定，約為８０％．作為對比，文獻［６］給出了一種針對二進制軟件的隨機化方法，其隨機化效果的結(jié)果為：其中８５％以上的二進制文件中的７０％的ＲＯＰ片段被隨機化方式打亂．圖５代碼片段隨機化比例圖６代碼隨機化占比與防護效果趨勢圖顯然，復(fù)合式軟件隨機化方法的隨機化效果要優(yōu)于單一隨機化機制．這是由于復(fù)合式軟件隨機化方法有元數(shù)據(jù)庫做支撐，能夠很好地對幾乎所有二進制代碼執(zhí)行隨機化處理，從而提高軟件的隨機化比例．４．２有效性分析通過復(fù)合式軟件隨機化方法生成的目標軟件，其中的可變代碼片段的比例相比于傳統(tǒng)的面向源碼或面向二進制的方法更高，因此，能夠更好地抵御現(xiàn)有的軟件攻擊方法．以ＲＯＰ攻擊方法為例，假設(shè)成功構(gòu)建ＲＯＰ鏈所需的代碼片段數(shù)量為ｎ，目標軟件中可用代碼片段重量為ｔ，而代碼片段中被隨機化打亂的數(shù)量為ｘ，則要能成功抵御惡意攻擊的條件為：被隨機化打亂的代碼片段集合與構(gòu)建ＲＯＰ鏈所選取的代碼片段集合交集不為空，也可表述為攻擊代碼片段中至少有一個代碼片段是被隨機化打亂的片段的概率為１，即１９５第２期韓濵等：復(fù)合式軟件隨機化安全防御方法
【作者單位】： 西安電子科技大學(xué)通信工程學(xué)院;西安通信學(xué)院信息安全系;
【基金】：國家自然科學(xué)基金資助項目(61401331) 國家重點研發(fā)計劃政府間專項資助項目(2016YFE0123000)
【分類號】：TP309

【參考文獻】

相關(guān)期刊論文 前1條

1 朱承丞;董利達;;一種多線程軟件并發(fā)漏洞檢測方法[J];西安電子科技大學(xué)學(xué)報;2015年02期

【共引文獻】

相關(guān)期刊論文 前3條

1 韓濵;張海林;吳波;辛丹;任智源;;復(fù)合式軟件隨機化安全防御方法[J];西安電子科技大學(xué)學(xué)報;2017年02期

2 徐志立;;養(yǎng)老系統(tǒng)監(jiān)管效果定量評估仿真研究[J];計算機仿真;2016年12期

3 黃理;顧乃杰;曹華雄;;基于Petri網(wǎng)的多線程程序死鎖檢測[J];計算機工程;2016年04期

【相似文獻】

相關(guān)期刊論文 前5條

1 張文軍;張潤杰;古德祥;;具有隨機化統(tǒng)計檢驗的聚類分析算法與網(wǎng)絡(luò)實現(xiàn)[J];計算機工程與科學(xué);2006年12期

2 溫晗;林懷忠;;利用PCA增強隨機化隱私數(shù)據(jù)保護方法[J];計算機應(yīng)用與軟件;2008年02期

3 劉子盟;陳先朝;;基于SHA-1算法的FPGA加密設(shè)計[J];計算機安全;2012年02期

4 張千里;李星;;保持前綴地址隨機化的混合算法[J];清華大學(xué)學(xué)報(自然科學(xué)版);2006年10期

5 ;[J];;年期

相關(guān)會議論文 前2條

1 陳冬;夏結(jié)來;蔣志偉;王永吉;;臨床試驗中貝葉斯自適應(yīng)隨機化的介紹與評價[A];2011年中國衛(wèi)生統(tǒng)計學(xué)年會會議論文集[C];2011年

2 劉紅霞;鄭青山;;臨床試驗中的中央隨機技術(shù)和電子化數(shù)據(jù)管理[A];定量藥理研究方法學(xué)培訓(xùn)班講義[C];2010年

相關(guān)博士學(xué)位論文 前1條

1 蔡宏偉;基于網(wǎng)絡(luò)的最小化隨機分組設(shè)盲系統(tǒng)[D];第四軍醫(yī)大學(xué);2006年

相關(guān)碩士學(xué)位論文 前6條

1 詹s

本文編號：2546074