Springer Science and Business Media LLC

This paper gives an overview of our research in the automation of the process of software protection analysis. We will focus more particularly on the problem of obfuscation. Our current approach is based on a local semantic analysis, which aims to rewrite the binary code in a simpler (easier to understand) way. This approach has the advantage of not relying on a manual search for “patterns” of obfuscation. This way of manipulating the code is, at the end, quite similar to the optimising stage of most of compilers. We will exhibit concrete results based on the development of a prototype and its application to a test target. Current limitations and future prospects will be discussed in as well.

Masquerade detection by automated means is gaining widespread interest due to the serious impact of masquerades on computer system or network. Several techniques have been introduced in an effort to minimize up to some extent the risk associated with masquerade attack. In this respect, we have developed a novel technique which comprises of Naïve Bayes approach and weighted radial basis function similarity approach. The proposed scheme exhibits very promising results in comparison with many earlier techniques while experimenting on SEA dataset in detecting masquerades.

People have now come to understand the risks associated with MS Office documents: whether those risks are caused by macros or associated breaches. PDF documents on the contrary seem to be much more secure and reliable. This false sense of security mainly comes from the fact that these documents appear to be static. The widespread use of Acrobat Reader is most likely also accountable for this phenomenon to the detriment of software that modifies PDFs. As a consequence, PDF documents are perceived as images rather than active documents. And as everyone knows, images are not dangerous, so PDFs aren’t either. In this article we present the PDF language and its security model, and then the market leader of PDF software, Acrobat Reader. Finally, we will show how this format can be used for malicious purposes.

By looking on how computer security issues are handled today, dealing with numerous and unknown events is not easy. Events need to be normalized, abnormal behaviors must be described and known attacks are usually signatures. Parallel coordinates plot offers a new way to deal with such a vast amount of events and event types: instead of working with an alert system, an image is generated so that issues can be visualized. By simply looking at this image, one can see line patterns with particular color, thickness, frequency, or convergence behavior that gives evidence of subtle data correlation. This paper first starts with the mathematical theory needed to understand the power of such a system and later introduces the Picviz software which implements part of it. Picviz dissects acquired data into a graph description language to make a parallel coordinate picture of it. Its architecture and features are covered with examples of how it can be used to discover security related issues.

This paper describes an optimised finite state automata based hardware design for implementing high speed regular expression matching. Automata based implementations of regular expression matching can become quite complex and if table driven can use large amounts of memory—this can be a problem for hardware based implementations, as the amount of memory available within standard Field Programmable Gate Array (FPGA) components can be quite small as compared with the amount of resources we expect to find within a software environment. This work uses an existing ‘packed array’ style of table based automata implementation, but then adds a form of input compression to group together characters that are treated identically by the automata. A hardware design for such a system has been created for use within a Xilinx Field Programmable Gate Array and tested by simulation. The design operates at a fixed scan rate of 2.0 Gbps independent of the regular expression used or the input data being scanned. The regular expression rules are first compiled by software and then loaded into the design at run time and may be updated dynamically without modification to the design.

This paper presents a supervised methodology that detects malware based on positive selection. Malware detection is a challenging problem due to the rapid growth of the number of malware and increasing complexity. Run-time monitoring of program execution behavior is widely used to discriminate between benign and malicious executables due to its effectiveness and robustness. This paper proposes a novel classification algorithm based on the idea of positive selection, which is one of the important algorithms in Artificial Immune Systems (AIS), inspired by positive selection of T-cells. The proposed algorithm is applied to learn and classify program behavior based on I/O Request Packets (IRP). In our experiments, the proposed algorithm outperforms ANSC, Naï ve Bayes, Bayesian Networks, Support Vector Machine, and C4.5 Decision Tree. This algorithm can also be used in general purpose classification problems not just two-class but multi-class problems.

Bảo mật đầu cuối đã trở thành nhu cầu cấp thiết cho các thiết bị di động với sự phổ biến của các trợ lý kỹ thuật số cá nhân và điện thoại di động. Giao thức bảo mật tầng vận chuyển (TLS) là một giao thức bảo mật đầu cuối thường được sử dụng trên Internet, cùng với phiên bản tiền nhiệm của nó, giao thức SSL. Bằng cách triển khai giao thức TLS trong thế giới di động, chúng ta có thể tận dụng lợi thế của mô hình bảo mật đã được chứng minh của giao thức này. Mục tiêu thiết kế chính của giao thức bảo mật đầu cuối cho di động là khả năng duy trì và mở rộng. Các thao tác mã hóa được thực hiện với thư viện miễn phí, Bouncy Castle Cryptography Package. Kiến trúc đối tượng của việc triển khai giao thức bảo mật đầu cuối được đề xuất làm cho việc thay thế thư viện này bằng một gói mã hóa khác dễ dàng hơn. Việc triển khai đã được thử nghiệm với các trường hợp khác nhau, đại diện cho việc sử dụng các thuật toán mã hóa khác nhau.

Hầu hết các bộ phát hiện phần mềm độc hại đều dựa trên các chữ ký cú pháp để xác định các chương trình độc hại đã biết. Cho đến nay, kiến trúc này vẫn đủ hiệu quả để vượt qua hầu hết các cuộc tấn công phần mềm độc hại. Tuy nhiên, độ phức tạp của mã độc vẫn tăng lên. Do đó, thời gian cần thiết để phân tích ngược mã độc và tạo ra các chữ ký mới ngày càng kéo dài. Nghiên cứu này đề xuất một phương pháp xây dựng bộ phát hiện phần mềm độc hại hình thái hiệu quả, tức là một bộ phát hiện kết hợp phân tích cú pháp và ngữ nghĩa. Mục tiêu là tạo điều kiện thuận lợi cho công việc của các nhà phân tích phần mềm độc hại bằng cách cung cấp một số trừu tượng hóa về việc đại diện chữ ký dựa trên đồ thị luồng điều khiển. Chúng tôi xây dựng một bộ máy so khớp chữ ký hiệu quả dựa trên các kỹ thuật tự động hóa cây. Hơn nữa, chúng tôi mô tả một bộ máy viết lại đồ thị tổng quát nhằm xử lý các kỹ thuật đột biến cổ điển. Cuối cùng, chúng tôi cung cấp một đánh giá sơ bộ về chiến lược phát hiện thông qua việc thực hiện thí nghiệm trên một bộ sưu tập phần mềm độc hại.