2014工业控制系统的安全研究与实践 被引量：26

1

作者 李鸿培 忽朝俭 王晓鹏 《计算机安全》 2014年第5期36-59,62,共25页

在2013年,工业控制系统的安全问题在国内许多信息安全相关的技术大会上作为重要的研讨议题频繁出现,已成为工业控制系统相关的各行业以及信息安全领域的研究机构、厂商所关注的热点方向之一。同时,国家在政策订、技术标准研制、科研基... 在2013年,工业控制系统的安全问题在国内许多信息安全相关的技术大会上作为重要的研讨议题频繁出现,已成为工业控制系统相关的各行业以及信息安全领域的研究机构、厂商所关注的热点方向之一。同时,国家在政策订、技术标准研制、科研基金支持、促进行业内合作等方面也在逐步加大推动的力度。在此背景下,"2014工业控制系统的安全研究与实践"报告首先基于绿盟科技2013年推出的"工业控制系统及其安全性研究报告",进一步讨论工业控制系统在2013年新增公开漏洞的变化趋势及统计特征、分析工业控制系统所面临的安全威胁及APT攻击的特征,探索针对工业控制系统脆弱性及攻击威胁的检测及防护方法,提出安全防护建议。其次,结合绿盟科技的项目实践经验选择了电力、市政这两个行业的典型系统(智能变电站、自来水厂)作为案例,对其相关工业控制系统的安全问题进行了较为详细分析讨论,并分别通过两个虚构的攻击场景对它们可能存在的安全风险给出了一个直观的描述。最后则是讨论了关于工业控制系统的安全保障需要国家、行业监管部门、用户、工业控制系统提供商以及信息安全厂商等多方面协同努力的行业发展建议,并初步探讨了信息安全厂商关于工业控制系统相关的安全研究、产品开发及安全服务提供的发展思路。该报告的内容将有助于工业控制系统的用户了解工业控制系统的脆弱性、所面临的安全威胁及初步的防护建议,提升用户的信息安全意识。同时,报告对于行业政策的制订者以及工业控制系统安全的产品及服务提供商也有一定的参考价值。 展开更多

关键词 工业控制系统 安全问题 技术标准 研究机构 信息安全 科研基金 多信息 行业

下载PDF 职称材料

MySQL存储引擎与数据库性能 被引量：11

2

作者 顾治华 忽朝俭 《计算机时代》 2006年第10期8-10,共3页

MySQL中的数据用各种不同的技术存储在文件(或者内存)中,其每一种技术都使用不同的存储机制、索引技巧、锁定水平,并且最终提供广泛的功能。这些技术以及配套的相关功能被称作存储引擎(或表类型)。文章讨论了索引顺序访问方法(MyISAM),I... MySQL中的数据用各种不同的技术存储在文件(或者内存)中,其每一种技术都使用不同的存储机制、索引技巧、锁定水平,并且最终提供广泛的功能。这些技术以及配套的相关功能被称作存储引擎(或表类型)。文章讨论了索引顺序访问方法(MyISAM),InnoDB,内存(Memory)或堆(Heap),合并(Merge)以及实例(Example)等几种常见的MySQL存储引擎的特点,然后比较了MyISAM与InnoDB两种存储引擎在Windows和Linux两种平台下性能上的差异。 展开更多

关键词 MYSQL 存储引擎 MyISAM INNODB 数据库性能

下载PDF 职称材料

Windows内核级Rootkits隐藏技术的研究 被引量：10

3

作者 龚广 李舟军 +2 位作者 忽朝俭 邹蕴珂 李智鹏 《计算机科学》 CSCD 北大核心 2010年第4期59-62,共4页

随着Rootkits技术在信息安全领域越来越受到重视,各种Anti-rootkits新技术不断出现。在各种Anti-root-kits工具的围剿下,常规的Rootkits隐藏技术难以遁形。在系统分析和深入研究传统内核级Rootkits隐藏技术的基础上,提出了一个集驱动模... 随着Rootkits技术在信息安全领域越来越受到重视,各种Anti-rootkits新技术不断出现。在各种Anti-root-kits工具的围剿下,常规的Rootkits隐藏技术难以遁形。在系统分析和深入研究传统内核级Rootkits隐藏技术的基础上,提出了一个集驱动模块整体移位、内核线程注入、IRP深度内联Hook 3种技术为一体的Rootkits隐藏技术体系。实验结果显示,基于该隐藏技术体系所实现的Rootkits能够很好地躲避专业的Anti-rootkits工具(如Rootkit Unhooker和冰刃)的检测,从而充分表明了这种三位一体的Rootkits隐藏技术体系的有效性。 展开更多

关键词 ROOTKITS Anti—rootkits 驱动模块整体移位 内核线程注入 IRP深度内联Hook

下载PDF 职称材料

写污点值到污点地址漏洞模式检测 被引量：9

4

作者 忽朝俭 李舟军 +1 位作者 郭涛 时志伟 《计算机研究与发展》 EI CSCD 北大核心 2011年第8期1455-1463,共9页

设备驱动是允许高级程序与硬件设备交互的底层程序.通常设备驱动中的漏洞较之应用程序中的漏洞对计算机系统的安全具有更大的破坏性.写污点值到污点地址是Windows设备驱动程序中频繁出现的一种漏洞模式.首次明确地对该种漏洞模式进行描... 设备驱动是允许高级程序与硬件设备交互的底层程序.通常设备驱动中的漏洞较之应用程序中的漏洞对计算机系统的安全具有更大的破坏性.写污点值到污点地址是Windows设备驱动程序中频繁出现的一种漏洞模式.首次明确地对该种漏洞模式进行描述,提出一种针对二进制驱动程序中该种漏洞模式的自动检测方法,并实现相应的原型工具T2T-B2C.该方法基于反编译和静态污点分析技术,与其他方法相比,既可以分析C代码,也可以分析本地二进制代码.该工具由T2T和B2C两个组件组成:首先B2C基于反编译技术将二进制文件转换为C语言文件;然后T2T基于静态污点分析技术检测B2C生成的C代码中出现写污点值到污点地址漏洞模式的语句.使用多种反病毒程序中的二进制驱动对T2T-B2C进行了评估,发现了6个未公开漏洞.评估结果表明:该工具是一款可实际应用的漏洞检测工具,可应用于对较大规模的程序进行检测. 展开更多

关键词 漏洞 二进制 设备驱动 反编译 污点分析

下载PDF 职称材料

一种重构二进制代码中类型抽象的方法 被引量：8

5

作者 马金鑫 李舟军 +2 位作者 忽朝俭 张俊贤 郭涛 《计算机研究与发展》 EI CSCD 北大核心 2013年第11期2418-2428,共11页

重构二进制代码中的类型信息对逆向工程、漏洞分析及恶意代码检测等方面具有重大的意义,由于类型信息在编译过程中被移除,且二进制代码中的低级抽象难以理解,因此类型重构一直被认为是恢复高级抽象遇到的困难问题之一,现有的大多工具对... 重构二进制代码中的类型信息对逆向工程、漏洞分析及恶意代码检测等方面具有重大的意义,由于类型信息在编译过程中被移除,且二进制代码中的低级抽象难以理解,因此类型重构一直被认为是恢复高级抽象遇到的困难问题之一,现有的大多工具对类型重构的准确度不够高.提出一种保守的类型重构方法,针对类型重构引入一种简单的中间语言,基于这种中间语言构造寄存器抽象语法树,并使用寄存器抽象语法树部分解决了基址指针别名问题,可有效收集基本类型和结构体类型的类型约束信息.提出一种判断二进制代码中的循环结构及识别循环变量的方法,可有效收集数组类型的约束信息,并据此生成类型约束,然后通过处理类型约束来重构最终的类型.使用CoreUtils中的15个程序作为测试用例,将该方法与IDA Pro进行对比实验.实验结果表明提出的方法不仅可以高效地重构数据类型,而且在结构体类型重构方面可恢复比IDA Pro多达5倍的数据.对这些数据的人工验证与分析表明,使用该方法重构的类型准确率高. 展开更多

关键词 类型重构 寄存器抽象语法树 中间语言 循环变量 别名分析

下载PDF 职称材料

基于控制流精化的反汇编方法 被引量：6

6

作者 马金鑫 忽朝俭 李舟军 《清华大学学报（自然科学版）》 EI CAS CSCD 北大核心 2011年第10期1345-1350,共6页

反汇编过程是整个逆向工程的基础和重要部分。为提高反汇编过程的效率及反汇编结果的准确度,通过对传统反汇编方法的探究,提出了一种基于控制流图精化的静态反汇编方法。该方法把二进制代码通过函数定位切分成单个函数,然后再对单个函... 反汇编过程是整个逆向工程的基础和重要部分。为提高反汇编过程的效率及反汇编结果的准确度,通过对传统反汇编方法的探究,提出了一种基于控制流图精化的静态反汇编方法。该方法把二进制代码通过函数定位切分成单个函数,然后再对单个函数生成初始的过程内控制流图,使用图论的方法与汇编指令的特征匹配相结合,提炼出真实的控制流图。使用CoreUtils中的22个程序作为测试基准,使用2种线性扫描算法作为比较基准。实验结果表明:本文所提出的反汇编方法比Objdump快63.2%,并且可以高度精确地绘制出控制流图,因此具有准确度高、效率高的显著特性。 展开更多

关键词 反汇编 控制流图 模糊化

原文传递

工业控制系统的安全研究与实践 被引量：5

7

作者 李鸿培 忽朝俭 王晓鹏 《保密科学技术》 2014年第4期17-23,共7页

工业控制系统(以下简称工控系统)的重要性、脆弱的安全状况以及日益严重的攻击威胁,已引起世界各国的高度重视,并在政策、标准、技术、方案等方面展开了积极应对。进入2013年以来,工控系统安全更成为备受工业和信息安全领域研究机构关... 工业控制系统(以下简称工控系统)的重要性、脆弱的安全状况以及日益严重的攻击威胁,已引起世界各国的高度重视,并在政策、标准、技术、方案等方面展开了积极应对。进入2013年以来,工控系统安全更成为备受工业和信息安全领域研究机构关注的研究热点。就目前统计的工控系统相关的漏洞情况来看,仅CVE漏洞库中统计的工控系统公开漏洞就达到了数百个之多。因此,针对工控系统软件自身的安全性评测分析及脆弱性评估将是当前首要考虑的问题之一。 展开更多

关键词 工控系统 工业控制系统 安全防御体系 信息安全 脆弱性分析 安全性分析 攻击技术 用户安全意识 研究

原文传递

基于NDIS Hook的网络数据包拦截和发送技术研究 被引量：3

8

作者 李智鹏 李舟军 +1 位作者 忽朝俭 龚广 《计算机安全》 2010年第1期5-8,共4页

结合实际项目经验,主要介绍了目前个人防火墙最为广泛使用的技术——NDIS Hook技术,重点探讨了如何使用NDIS Hook技术在NDIS层实现数据包的拦截与发送。

关键词 Windows驱动程序 NDIS HOOK 数据包拦截 数据包发送

下载PDF 职称材料

基于可执行代码的漏洞检测技术 被引量：2

9

作者 忽朝俭 张甲 +2 位作者 李舟军 时志伟 张 《清华大学学报（自然科学版）》 EI CAS CSCD 北大核心 2009年第S2期2176-2180,共5页

源代码和可执行代码之间存在语义差异,仅对源代码进行分析会遗漏隐藏在可执行代码里的漏洞。基于对漏洞模式的分析,通过结合静态反汇编分析、动态自动调试和基于函数特征的参数注入3种思想,本文设计并实现了一种直接基于可执行代码的安... 源代码和可执行代码之间存在语义差异,仅对源代码进行分析会遗漏隐藏在可执行代码里的漏洞。基于对漏洞模式的分析,通过结合静态反汇编分析、动态自动调试和基于函数特征的参数注入3种思想,本文设计并实现了一种直接基于可执行代码的安全漏洞检测原型工具。本文的检测原型工具在一组CVE(通用漏洞披露)benchmark以及两个真实的可执行程序上都检测到缓冲区溢出漏洞。实验结果表明,本文提出的"三位一体"检测方法能够直接用于检测可执行代码中的安全漏洞。 展开更多

关键词 漏洞检测 可执行代码 反汇编分析 自动调试 参数注入

原文传递

基于Linux环境日志服务器的线程调度问题 被引量：2

10

作者 顾治华 忽朝俭 《武汉理工大学学报（信息与管理工程版）》 CAS 2007年第1期59-62,共4页

讨论了基于L inux操作系统的一种高效的网络日志服务器的线程调度问题。通过网络套接字接收前端的数据源服务器的日值数据包;然后对日值数据包进行必要的分析并析取数据;连接MySQL数据库服务器,将日值数据写入MySQL数据库保存。

关键词 LINUX 日志服务器 线程调度 MYSQL数据库

下载PDF 职称材料

基于二进制动态插装程序执行路径追踪 被引量：1

11

作者 常达 李舟军 +1 位作者 杨天放 忽朝俭 《信息安全与技术》 2011年第9期41-46,共6页

系统平台、编译器以及编译选项的差异,都可能会导致程序的源代码和编译得到的可执行代码之间存在语义差异,仅对源代码进行分析可能会遗漏隐藏在可执行代码里的漏洞。即使在源代码分析中验证了所需要的安全性质,也无法保证不违反可执行... 系统平台、编译器以及编译选项的差异,都可能会导致程序的源代码和编译得到的可执行代码之间存在语义差异,仅对源代码进行分析可能会遗漏隐藏在可执行代码里的漏洞。即使在源代码分析中验证了所需要的安全性质,也无法保证不违反可执行代码中的安全性质。本文基于一个二进制动态插装框架,设计并实现了一种对程序执行路径进行追踪的原型系统。实验证明,本系统在准确追踪执行路径的同时,能够过滤掉90%~99%的次要指令,极大提高了分析效率。最后,本文对其他的技术方案、现有原型系统的不足以及未来的工作进行了讨论。 展开更多

关键词 可执行程序 路径追踪 动态插装 全系统虚拟机

下载PDF 职称材料

二进制代码中数组类型抽象的重构方法 被引量：1

12

作者 马金鑫 李舟军 +2 位作者 忽朝俭 张俊贤 郭涛 《清华大学学报（自然科学版）》 EI CAS CSCD 北大核心 2012年第10期1329-1334,共6页

重构二进制代码中的类型抽象,在漏洞检测、逆向工程及恶意代码分析中具有重要的意义。提出一种新的多维数组类型重构方法,先提取汇编代码中的循环语义,再转化成对应的FOREACH式的集合,并针对FOREACH式提出5个规则,用于计算多维数组的维... 重构二进制代码中的类型抽象,在漏洞检测、逆向工程及恶意代码分析中具有重要的意义。提出一种新的多维数组类型重构方法,先提取汇编代码中的循环语义,再转化成对应的FOREACH式的集合,并针对FOREACH式提出5个规则,用于计算多维数组的维数、大小、边界、基本元素的大小及每维上元素个数等多维数组信息并最终重构出数组类型。使用gcc编译器编译的CoreUtils工具集中的15个程序作为测试用例,与IDA Pro的Hex-ray插件作比较,实验说明:该文提出的方法比IDA Pro重构的数组类型数据多16.3%。 展开更多

关键词 多维数组 循环次数变量 类型重构

原文传递

无文件系统嵌入式固件后门检测 被引量：11

13

作者 忽朝俭 薛一波 +1 位作者 赵粮 李舟军 《通信学报》 EI CSCD 北大核心 2013年第8期140-145,共6页

在无文件系统嵌入式固件中,系统代码和应用代码集成在单个文件中,无法看到熟悉的系统调用名字,故针对此类固件的分析将更为困难。以此类固件为研究对象,分析了其中的库函数识别问题,并提出了一种针对网络套接字和字符串/内存操作函数的... 在无文件系统嵌入式固件中,系统代码和应用代码集成在单个文件中,无法看到熟悉的系统调用名字,故针对此类固件的分析将更为困难。以此类固件为研究对象,分析了其中的库函数识别问题,并提出了一种针对网络套接字和字符串/内存操作函数的基于启发式规则的识别方法。在此基础上,讨论了多种典型的后门类型检测问题,包括未授权侦听者、非预期功能、隐藏功能和向外的连接请求等,并在一款实际系统上成功检测出多个后门(其中有一个严重级别的)。实验结果表明,提出的针对无文件系统嵌入式固件的库函数识别方法对于此类固件的安全分析具有重要的参考价值。 展开更多

关键词 嵌入式系统 固件 文件系统 库函数识别 后门检测

下载PDF 职称材料