导读:本文包含了移动代码安全论文开题报告文献综述及选题提纲参考文献,主要关键词:Android,语法树,特征提取,同源性检测
移动代码安全论文文献综述
占力超[1](2017)在《移动互联网应用代码同源性安全分析》一文中研究指出近些年来移动互联网蓬勃发展,市场上出现了各种各样的移动互联网应用。但有一些不法分子为了自身利益,将官方出品的移动互联网应用进行非法修改并重新签名打包,并在第叁方应用市场上架,供不知情的用户下载,危害用户权益,窃取用户信息。当前移动互联网应用主要集中在美国苹果公司的iOS系统和Google公司的Android系统两大平台。相较于iOS系统,Android系统有着开源的特性,因此上述不良现象在Android系统平台上更为猖獗。以此同时,我国国内存在着大量第叁方Android移动互联网应用商店。相比于官方商店,第叁方应用商店的应用审核标准较为宽松,而据统计我国大部分Android系统用户下载应用渠道都来源于第叁方应用商店,因此我国Android系统用户面临的信息安全威胁远远大于其他移动操作系统平台用户。根据以上现象分析,本文将移动互联网应用代码同源性安全分析的研究对象设定为基于Android系统平台开发的移动互联网应用。经过调研,当前面向Android应用代码同源性检测方法主要集中在对应用行为相似度的检测上,而该种方法存在着以下问题:首先,面向应用行为相似度检测方法中采用的特征模型准确度不高,难以准确描述Android移动互联网应用特征,且提取特征算法的复杂度普遍过高;其次,Android移动互联网应用发展至今,应用种类繁多、体量庞大,应用的发布渠道也较为分散,面向应用行为相似度检测方法在特征提取及比较流程上过于复杂,无法有效应对实际生产环境中的复杂场景需求。Android应用代码同源性检测需要准确的特征模型对被检测应用进行特征信息提取,同时需要较少的时间执行检测。本文经过研究,提出了一种基于语法树特征模型的Android应用同源性检测方法,并以此为基础实现了一套完整的检测平台。该方法通过对Android应用反编译后得到的java代码文件进行语法词法分析构建语法树,根据语法树节点特征计算节点特征hash值,一定程度上解决了特征提取复杂的问题,同时也使得即使应用经过混淆变形处理后,应用的结构仍够保持不变;在相似比对阶段,将语法树非线性存储结构转化为数组线性存储结构,进行树节点信息的逐个比对,避免了对语法树的多次遍历,提升了算法的处理效率。并通过实验比对,该方法针对Android移动互联网应用同源性检测具有较高的准确率。(本文来源于《北京邮电大学》期刊2017-01-07)
周超,唐竞池,姜海涛,郭雅娟,黄伟[2](2016)在《安卓移动应用代码安全加固系统设计及实现》一文中研究指出安卓平台已经逐渐成为最受欢迎的移动终端操作系统,基于安卓系统的软件应用数量众多,同时安全威胁也在不断增加。介绍了Android系统的安全风险及加固的核心技术,据此提出了一种安卓应用程序的安全加固系统,设计和实现了基于代码混淆的DEX加固技术和基于安全壳技术的bin文件加载技术。最后,进行了系统的实现和测试。实验结果表明,加固后的代码无法被成功反编译,bin文件被安全载入文件成功替换,从而达到了移动应用安全加固的目的。(本文来源于《2016智能电网发展研讨会论文集》期刊2016-06-25)
方凯彬,闫巍[3](2013)在《移动互联网应用代码安全测试方法的使用》一文中研究指出随着移动互联网终端的普及应用,移动互联网业务得到了前所未有的快速发展,相关的移动业务应用软件也被越来越多的个人或企业用于处理各种私密信息、敏感信息和高价值信息,例如个人隐私、商务谈判信息等,这使得移动业务应用软件成为企图获取这些信息攻击者的攻击目标。软件代码编写阶段引入的安全漏洞是最常见的安全漏洞,如何设计一种有效的代码安全测试方法,以检测存在于源代码中的潜在威胁是非常必要且迫切的。软件代码的漏洞主要通过静态方法和动态方法进行检测。虽然动态方法对代码的规模没有限制,可以对大型程序进行检测,但不足之处是检测的效果严重依赖输入方法,只有当特定的输入使代码执行到危险点时,漏洞才会被发现,所以这种方法漏报率较高。基于约束分析和模型检验的代码安全漏洞检测方法提出一种约束分析的模型检测方法对缓冲区溢出漏(本文来源于《中国检验检疫》期刊2013年11期)
陈良,高成敏[4](2010)在《安全的移动代码计算完整性检测协议》一文中研究指出在假设移动代码可抽象为由函数构成的前提下,提出函数嵌入算法和代数同态加密算法,前者实现了计算完整性检测,后者可加密函数嵌入算法并具有抵抗已知明文攻击的能力。基于上述2种算法,设计移动代码计算完整性检测及其机密性保护协议。该协议能使检测函数和正常计算函数耦合在一起,无法被删除,完整性检测易于构造和实现。(本文来源于《计算机工程》期刊2010年14期)
吕嘉伟[5](2010)在《移动智能终端Java虚拟机代码安全机制的研究与实践》一文中研究指出随着嵌入式设备和软件技术的发展,移动终端在人们的生活中扮演着越来越重要的角色,桌面应用正逐渐转移到手机平台上来,如电子商务,移动互联网应用等,因而安全性成为移动设备不可避免的、迫切需要解决的问题。作为移动平台上广泛使用的开发平台之一,Java的跨平台性和安全性为移动应用带来了良好的契机。虽然Java同时引入了语言级安全和虚拟机级安全,却忽视了对类文件进行保护。由于类文件中包含大量源代码的信息,并且字节码的格式简单,导致反编译类文件十分容易。为此,研究人员提出了多种保护Java字节码的方案,包括字节码混淆、字节码水印技术、本地化技术等,但是仍未消除字节码的安全风险。本文研究了Java的固有安全架构,着重分析Java的字节码和类文件格式,指出了Java现有安全体系的不足。基于参考文献[1]的成果,本文提取了可变指令系统的原理,并加以改造,设计出适合字节码格式特点的变换算法,实现了相应的变换器,并定制了Java的类装载器,将可变指令系统的原理融入Java虚拟机JVM。通过引入可变指令系统的概念,我们最终使得Java的字节码文件变得不易被理解。由于指令系统发生改变,反编译很难进行。并且经过变换的类文件必须配合相应的类装载器才能够被JVM识别,同时由于定制的类装载器的引入,配合JVM的类文件验证器,使得在传输过程中被非法篡改的代码无法在客户JVM上执行,从而有利保障了软件开发者的权益和客户代码的安全性,填补了JVM的一大安全漏洞。(本文来源于《北京邮电大学》期刊2010-01-10)
陈良[6](2009)在《基于同态加密的移动代码安全技术研究》一文中研究指出移动代码是一种新的适合大规模分布式应用的设计范型,在主动网络、移动代理、电子商务等方面有广阔的应用前景。其安全性是一个亟需解决的问题,如何保护移动代码不被恶意主机篡改和所携带的信息不被泄漏是研究的难点。移动代码安全威胁可归纳为机密性攻击、完整性攻击、可用性拒绝和验证风险四大类。其中,机密性安全技术和完整性安全技术是解决机密性攻击和完整性攻击的两个重要的安全技术,可以解决移动代码的篡改问题和所携带秘密信息的泄漏问题。保护移动代码的安全技术,最初采用防篡改硬件的方法,对基于密码学的纯软件保护的方法研究较少。防篡改硬件方法的实质是数据加密,它存在如下缺点:系统扩展性差;密钥的安全更换非常困难;节点主机必须调用硬件保护驱动模块及可信软件保护模块;硬件也有可能被攻破从而泄漏用户的秘密信息;必须相信硬件制造商。移动代码的加密理论与方法是当前纯软件保护方法研究的一个重要方向,它包括保密电路计算、混淆算法和同态加密。它们是对移动代码进行加密变换的解决方案。保密电路计算是基于布尔电路复杂性的盲计算方案,可以提供对代码算法和秘密信息的机密性保护,是许多安全方案的基础,缺点是要在通信双方进行多轮的交互。混淆算法是一种可以用于对移动代码安全和软件知识产权进行保护的程序变换技术。使转换后的程序或其反编译结果难以被理解。混淆算法的性能和安全性度量的基础是软件时间和空间复杂性度量技术。但抗攻击时间较难估计,对携带的秘密信息不能有效保护。同态加密是基于数学难题的计算复杂性理论的密码学技术。但它不同于传统的数据加密。它允许在没有解密算法和解密密钥的条件下对加密的数据进行运算,解密后的结果和在明文状态下直接计算的结果相同。基于同态加密的移动代码保护方案是移动代码纯软件保护研究的一个重要研究方向。它在如下的两个假设前提下形成了两个研究方向和解决方案:1)大粒度假设,假设移动代码是由函数构成的;如果能对所有类型的函数进行同态加密计算,移动代码的保密计算问题将最终解决。但函数种类繁多,要找到一个通用的函数加密计算方案,其困难和挑战是巨大的。2)小粒度假设,假设移动代码是由算术运算(+,-,×,÷)、关系运算(<,>,=)、逻辑运算(and, or, not)和位运算(与,或,非,移位)构成。相应地,如果有一个安全的同态加密方案能实现所有运算的加密计算,则移动代码的保密计算问题也将彻底解决。但找到一个对上述运算同时具有同态加密能力的同态加密算法是相当困难的。对同态加密和基于同态加密的移动代码安全解决方案的研究还处于起步阶段,存在以下不足:同态加密只限于整数环的加密;被加密的函数限于有理多项式函数类;被加密函数的多项式骨架信息仍为明文;对实数的算术运算加密存在已知明文攻击的安全问题、小数和正负信息的泄漏问题、减法加密的受限问题、不能用于非交互保密计算的问题等;对关系运算加密的计算和通信开销比较大。完整性检测易被删除和构造困难。本文针对以上不足进行了如下研究:实数域同态加密理论与技术;非交互初等函数保密计算;多项式骨架信息的隐藏问题;安全无信息泄漏的实数定义域算术运算的加密计算;公平高效安全的关系运算的加密计算;基于密码学的完整性检测协议与算法。取得了如下的研究成果和主要创新点:1)基于修改的ElGamal提出了实数定义域的公钥同态加密算法。该算法可以抵抗已知明文攻击、不会泄漏小数和正负的信息、减法加密不受限制、可用于非交互保密计算。2)基于以上的同态加密算法和泰勒级数将加密的函数类别从正整数定义域的有理多项式函数扩大到实数定义域的初等函数,并实现了非交互初等函数加密计算。3)提出了通过增加加密的冗余项和对指数加密的幂同态加密概念及算法隐藏多项式骨架信息的两种解决方案,并且实现了这两种方案。4)基于费马小定理提出了实数定义域的算术同态加密算法。该算法可以抵抗已知明文攻击、不会泄漏小数和正负的信息、减法加密不受限制、可用于非交互保密计算。5)提出了公平高效安全的实数比较协议和算法,降低了加密的关系运算的计算和通信开销。6)提出了加密的函数嵌入算法用于移动代码的完整性检测。该方案易于构造和实现,同时由于嵌入的函数与正常的计算函数耦合在一起,若被删除则正常的计算功能也将遭到破坏。(本文来源于《华南理工大学》期刊2009-10-09)
刘巍伟[7](2009)在《基于可信计算技术的移动代码安全研究》一文中研究指出互联网的飞速发展使移动代码及相关技术得到了极大的发展,广泛存在的诸如“动态内容(Active Contents)”、“脚本语言(Scripting)”、“宏(Macro)”、“应用程序(Applet)”、“自定义控制(Custom Control)”等,这类代码被统称为“移动代码”。由于移动代码的移动性、动态性和多态性,在给用户带来方便性的同时,移动代码所引发的安全问题也突现。关于移动代码的安全一直是难以解决的问题,特别是在对安全要求较高的环境中,安全问题严重影响着移动代码的发展和应用。本文主要基于可信计算思想及技术研究如何防范恶意的移动代码对主机资源的破坏以及恶意的主机对于移动代码的攻击。当前,可信计算及其应用已经成为研究热点。可信计算在可信认证、可信度量、可信存储等方面为安全应用支撑平台的建立提供基础支持。按照可信计算技术思路,代码是否可信是基于代码的行为而言的,相比传统的以代码静态特征为依据的检测和防范手段而言,从行为的度量和控制方面研究移动代码的安全能够弥补传统技术的不足,符合信息安全的发展趋势。目前可信计算平台对于应用支持方面的研究仍存在很多值得研究的问题,本文所探讨的基于可信计算技术的移动代码安全保护就是其中一个方面,在此方面所做的探讨和研究也将对可信计算技术的进一步推广产生积极效应。本文综述了移动代码的特征以及由此引发的安全问题,分析当前研究中存在的问题和不足之处,指出现有的静态特征码扫描技术在恶意移动代码变体以及未知类型移动代码识别方面已经存在明显缺陷和短板,要解决未知移动代码的安全防护问题必须以可信计算平台技术为基础,以移动代码的行为特征为核心,构筑主动防御体系。在信息安全保障“一个中心叁重防护体系”框架下,本文针对移动代码安全提出了一个叁重防护模型,以代码行为特征为基本出发点,试图从移动代码来源控制、移动代码可信验证以及移动代码行为控制叁个层面建立移动代码安全的综合防御体系,并对其中的关键技术进行重点研究。具体来说,本文在以下方面进行了较为深入的研究。1)以源头控制为主导思想,对移动代码的来源平台进行度量和证明,提出一种基于终端行为特征的可信网络连接控制方法,将终端行为特征作为度量指标,与其它方法相比能够更加实时和准确地反映平台状态,并实时地将恶意主机阻断在网络环境之外,从源头有效控制恶意移动代码的入侵。2)移动代码“生产平台”和“消费平台”之间的信任关系建立有助于对移动代码消费平台的保护,结合自动信任协商ATN技术,依靠逐步披露的平台身份证书和行为属性证书,在陌生的移动代码生产者和移动代码消费者之间建立信任关系,该方法不仅解决了跨域平台的信任建立难题,同时保护了平台属性等隐私信息。3)当移动代码消费平台接收到外来的移动代码时,对其进行检测和验证是抵御恶意移动代码攻击的重要环节,为此本文首次提出了以移动代码宿主解释进程的综合行为特征为依据的移动代码检测和判定方法。通过引入攻击树模型描述代码在执行过程中生成和调用的所有中间代码以及目标代码的逻辑关系,计算得到移动代码恶意性权值,进而对代码是否可信作出判别。实验表明相对于已有的静态特征识别方法和行为特征序列识别方法,本文提出的方法具有极低的漏报率和误报率,并且对于未知恶意代码的识别具有积极意义。4)针对移动代码存在的不同形态,对其行为实施有效控制,把系统中的所有主客体划分为已标识域和未标识域,在生产系统中对移动代码实施标记,通过访问控制机制明确限定代码能够访问的资源范围,实现主机平台对恶意移动代码的“自免疫”。对于无法准确标记以及开放网络环境下的移动代码,提出了一种面向可信标识对象的移动代码访问控制模型,该模型以“管道封装”思想为基础,通过对移动代码及其相关资源的封装,限定代码的作用范围,同时通过对代码的可信状态进行区分,限制不可信的以及不确定的移动代码对本地资源的威胁。5)基于可信计算平台技术以及密封存储机制,对移动代码所携带资源实施密封(Seal)保护,使得只有授权的用户在授权的终端平台上才能够通过解封(UnSeal)得到移动代码和其携带的敏感资源信息的明文,以此保证移动代码中敏感资源的机密性,防止恶意主机平台对于移动代码的篡改和破坏,以及恶意用户对移动代码中敏感信息的窃取。(本文来源于《北京交通大学》期刊2009-06-01)
吴杰宏,常桂然[8](2008)在《基于时间核查和代码混乱的移动代理安全方案》一文中研究指出移动代理是一种可以在计算机网络中进行自主异步传输的程序,具有很好的应用前景;但移动代理安全性问题的存在,严重阻碍了它在实际中的应用。保护代理免受恶意主机的攻击是移动代理系统独有的安全问题。由于代理必须在主机环境中运行,有效解决该问题比较困难。提出一种基于代码控制流混乱和时间核查技术的移动代理保护方案,该方案在实际网络管理系统中进行了验证,能够有效识别恶意主机,移动代理的保护率达95%以上。(本文来源于《广西师范大学学报(自然科学版)》期刊2008年01期)
朱正平[9](2006)在《移动代理安全之代码迷惑技术研究》一文中研究指出移动代码的安全问题是移动计算的一个十分关键的问题。代码迷惑技术是解决移动代码安全问题的有效技术之一。此外,代码迷惑技术还在电子商务、分布式计算、软件加解密和密码学上有着广泛的应用前景。本文对代码迷惑技术及其对抗技术进行了研究。 提出了基于程序切片的反代码迷惑技术。它把程序切片技术和动态执行技术结合在一起,通过对原始代码的动态程序切片以及记录多次动态执行时代码的状态,能够比较有效地去除一般代码迷惑技术中增加的无效代码和不透明谓词。实验结果表明了这种技术能够准确地找出无效代码和高概率地找出不透明谓词。 给出了一种基于函数合并的代码迷惑技术。这种技术主要对基于C++描述的类进行处理。它使用添加函数拷贝的方式来增加分析难度,同时利用图灵机可判定理论对函数进行处理,使相同功能的函数变得不可区分;对代码的数据部分和控制部分的迷惑技术进行改进,加入了抗基本程序切分技术的迷惑技术;对不透明谓词的生成方式进行了改进,并且根据密码学理论设计了隐藏函数入口的算法。理论分析和实验结果表明了本文给出的代码迷惑技术具有较好的迷惑效果。(本文来源于《广西大学》期刊2006-05-01)
张爱娟,纪承,殷兆麟[10](2006)在《基于重定义JVM类加载器移动代码的安全》一文中研究指出移动代理代码在目标主机代理平台上加载运行中,存在着其意图易被探测、泄露、修改的安全隐患。论文通过采用重建虚拟机的系统类加载器和自定义类加载器的方法解决这一安全问题。(本文来源于《计算机工程》期刊2006年04期)
移动代码安全论文开题报告
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
安卓平台已经逐渐成为最受欢迎的移动终端操作系统,基于安卓系统的软件应用数量众多,同时安全威胁也在不断增加。介绍了Android系统的安全风险及加固的核心技术,据此提出了一种安卓应用程序的安全加固系统,设计和实现了基于代码混淆的DEX加固技术和基于安全壳技术的bin文件加载技术。最后,进行了系统的实现和测试。实验结果表明,加固后的代码无法被成功反编译,bin文件被安全载入文件成功替换,从而达到了移动应用安全加固的目的。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
移动代码安全论文参考文献
[1].占力超.移动互联网应用代码同源性安全分析[D].北京邮电大学.2017
[2].周超,唐竞池,姜海涛,郭雅娟,黄伟.安卓移动应用代码安全加固系统设计及实现[C].2016智能电网发展研讨会论文集.2016
[3].方凯彬,闫巍.移动互联网应用代码安全测试方法的使用[J].中国检验检疫.2013
[4].陈良,高成敏.安全的移动代码计算完整性检测协议[J].计算机工程.2010
[5].吕嘉伟.移动智能终端Java虚拟机代码安全机制的研究与实践[D].北京邮电大学.2010
[6].陈良.基于同态加密的移动代码安全技术研究[D].华南理工大学.2009
[7].刘巍伟.基于可信计算技术的移动代码安全研究[D].北京交通大学.2009
[8].吴杰宏,常桂然.基于时间核查和代码混乱的移动代理安全方案[J].广西师范大学学报(自然科学版).2008
[9].朱正平.移动代理安全之代码迷惑技术研究[D].广西大学.2006
[10].张爱娟,纪承,殷兆麟.基于重定义JVM类加载器移动代码的安全[J].计算机工程.2006