信息安全学报杂志 CSCD期刊 统计源期刊

移动应用安全解析学:成果与挑战

作者：杨威; 肖旭生; 李邓锋; 李豁然; 刘譞哲; 王浩宇; 郭耀; 谢涛 刊期：2016年第02期

随着移动应用(App)的广泛使用,移动应用的安全事件也频频发生。从数以亿计的移动应用中准确地识别出潜在的安全隐患成为了信息安全领域重要的难题之一。移动应用数量级增长的同时,也产生了海量的应用安全数据。这些数据使得移动应用的安全解析成为了可能。本文分别从用户界面解析、重打包应用检测、应用功能与安全行为一致性检测、基于上下文的...

代码重用攻击与防御机制综述

作者：柳童; 史岗; 孟丹 刊期：2016年第02期

由于C与C++等计算机程序中广泛存在的漏洞,攻击者可以通过这些漏洞读取或篡改内存中的数据,改变计算机程序原有的执行状态达到破坏的目的。为此研究者进行了不懈地努力并采取了一些卓有成效的保护机制,例如数据不可执行与内存布局随机化,这些防御机制对于早期的代码注入攻击起到了极好的防御效果,然而计算机系统的安全性依然不容乐观。攻击者在...

基于非完美随机源的密码学原语的安全性研究综述

作者：姚燕青; 李舟军 刊期：2016年第02期

密码学是信息安全的核心研究内容。传统的密码学原语理想地假设秘密服从均匀随机分布。然而,在现实世界中往往并非如此。例如,若秘密源为生物数据、物理源、部分泄漏的秘密等时,相应的分布并不服从均匀分布。这样的一些分布构成的集合称为'非完美随机源'。因此,基于非完美随机源的密码学原语是否仍具有安全性?这已成为当今密码学前沿研究领域的...

基于目标制导符号执行的静态缓冲区溢出警报自动确认技术

作者：鲍铁匀; 高凤娟; 周严; 李游; 王林章; 李宣东 刊期：2016年第02期

缓冲区溢出漏洞是一类严重的安全性缺陷。目前存在动态测试和静态分析技术来检测缓冲区溢出缺陷:动态测试技术的有效性取决于测试用例的设计,而且往往会引入执行开销;静态分析技术及自动化工具已经被广泛运用于缓冲区溢出缺陷检测中,然而静态分析由于采取了保守的策略,其结果往往包含数量巨大的误报,需要通过进一步人工确认来甄别误报,但人工确...

二进制代码块:面向二进制程序的细粒度控制流完整性校验方法

作者：王明华; 尹恒; Abhishek; Vasisht; Bhaskar; 苏璞睿; 冯登国 刊期：2016年第02期

控制流完整性(CFI)是一种在程序中通过保护间接转移有效减少代码注入和代码重用攻击等威胁的技术。由于二进制程序缺少源代码级别的语义,CFI策略的设定需要很谨慎。现有的面向二进制的CFI解决方案,如Bin CFI和CCFIR,虽然能够提供对二进制程序的防护能力,但它们应用的策略过于宽松,依然会受到复杂的代码重用攻击。本文提出一种新的面向二进制的CF...

《信息安全学报》征文启事与投稿须知

刊期：2016年第02期