我实验室论文“Supporting Transparent Snapshot for Bare-metal Malware Analysis on Mobile Devices”被国际计算机安全应用年会ACSAC 2017 (CCF-B)国际会议接收,作者为我室优秀毕业生管乐博士(目前在Penn State University刘鹏教授处做博士后,个人简介网址http://guanle.org/)、贾世杰助理研究员(通信作者,个人简介网址http://www.escience.cn/people/IIEjiashijie/index.html)、林璟锵研究员(个人简介网址http://www.escience.cn/people/linjingqiang/index.html)与夏鲁宁高级工程师等。同时该论文被评为ACSAC 2017会议最佳论文,获得Outstanding Paper Award (详情可见https://www.acsac.org/archive/)。ACSAC 2017国际会议,共有244篇论文投稿,录用48篇,录取率为19.7%,最佳论文获奖率为0.08%。
ACSAC (Annual Computer Security Applications Conference)国际会议与DSN,ESORICS和RAID并称为网络与信息安全领域的“四小安全顶级会议(简称四小),与四大安全顶级会议(SP,NDSS,CCS,Usenix Security)共同代表着国际网络与信息安全学术研究的最高水平。
目前针对移动设备的网络犯罪越来越多,移动设备平台上的恶意软件数量也呈现上升趋势,如近几年爆发的勒索软件(ransomware)。随着恶意软件的发展,高级的恶意软件具有检测其运行环境的能力,一旦检测到运行在虚拟环境中(如Sandbox)就不会执行其恶意行为,从而必须在未修改过OS的真实物理机中进行检测(bare-metal动态检测)。目前bare-metal动态检测分析工作主要集中在如何提取恶意软件的恶意行为,但在检测完一个恶意软件后,实现检测平台的恢复,从而可检测下一个恶意软件方面的工作存在恢复时间长、需要重启系统的缺点,并且需一个in-guest的组件来完成系统恢复,从而无法检测具有内核权限的恶意软件。
在本文中,我们提出了Bolt方案,通过同时对物理内存(BoltOS)及硬盘(BoltFTL)做镜像,在移动平台上实现了无需系统重启的bare-metal动态检测的透明恢复。BoltOS机制通过利用ARM平台上的TrustZone的隔离,实现设备内存的快速恢复,BoltFTL机制利用闪存设备中Flash的非原位更新特性实现数据的快速恢复。由于BoltOS和BoltFTL都不是运行在guest系统中,从而也可检测具有内核权限的恶意软件。本方案实现了可在2.8s内无需设备重启实现检测设备状态的恢复,大大提高了现有基于真机的恶意软件行为检测机制的效率及安全性。
当前位置:首页 - 新闻动态 - 科研动态
