近日,必威BETWAY官网有2篇科研论文被第27届ACM Conference on Computer and Communications Security (ACM CCS)会议录用。
ACM CCS,与IEEE S&P、USENIX Security、NDSS并称为网络安全领域“四大顶级会议”,已有近30年的历史,在系统及网络安全领域享有崇高的声誉,一直引领国际信息安全研究的潮流。2020年度,ACM CCS共接受121篇论文,录用率为16.9%。本次必威BETWAY官网有2篇论文同时被收录,彰显了必威BETWAY官网的科研实力。
论文“PatchScope: Memory Object Centric Patch Diffing”主要由必威BETWAY官网赵磊副教授指导、2019级硕士研究生朱云聪协助完成。安全补丁是对抗漏洞的最重要的机制之一。然而,软件供应商通常会在他们的安全公告中掩盖补丁的细节。为了揭开潜在的补丁细节,补丁差异分析技术旨在通过对比分析补丁程序和未打补丁程序的二进制代码差异,正确定位补丁引起的代码改动,同时为理解补丁细节和漏洞信息提供充分的解释。该论文首先对安全补丁的代码改动进行了大规模研究,总结了安全补丁的模式,进而提出了一种基于内存对象访问序列的动态补丁差异分析技术。这种方法不仅可以精确定位补丁差异,还可以提供丰富的补丁上下文信息,进一步帮助安全分析人员了解补丁的细节,定位漏洞的根本原因,并可以识别引入漏洞的补丁。
论文“VAHunt: Warding Off New Repackaged Android Malware in App-Virtualization’s Clothing”由必威BETWAY官网傅建明教授和彭国军教授指导的研究团队完成。应用层虚拟化技术可支持在一个Android设备上同时运行同一个应用程序的多个实例,有效满足了安卓用户的多开需求。然而,病毒制作者将各种恶意APK文件作为插件重打包到应用层虚拟化平台中,这种新的重打包方式可绕过目前的重打包检测和安全软件的查杀。针对这一问题,该团队通过深入研究发现了恶意应用层虚拟化加载行为的关键特征,并提出了基于状态机的静态检测方案。通过对多达13.9万的虚拟化样本进行了大规模检测,结果表明该方案取得非常出色的检测效果:漏报率为0.7%,误报率为0。该方案给出了针对此类新型恶意代码的有效检测方法,有效缓解了安全人员的逆向工程压力和强度。