| 论文名称 | 发表时间 | 发表期刊 | 期刊等级 | 研究单位 |
LibAM: An area matching framework for detecting third-party libraries in binaries |
2023年 | TOSEM | CCF A | 信工所 |
研究背景:第三方库(TPL)被广泛应用于软件开发中,以加快开发进度和集成外部功能。然而,不安全的TPL重用可能导致严重的安全风险。现有检测TPL重用的方法通常依赖于提取字符串或进行函数匹配,但由于字符串重复和大量相似非同源函数的存在,这些方法常常效果不佳。此外,不同优化选项和架构下的C/C++二进制文件差异加剧了这一问题。现有方法也难以识别目标二进制文件中重用的具体代码部分,这限制了复杂重用关系的检测和下游任务的进行。
研究意义:提出一种新的Area Matching框架LibAM,可以在不同优化选项和架构下实现更准确和更鲁棒的TPL检测。LibAM连接孤立的函数形成函数区域,并比较这些区域的相似性,从而缓解了不同优化选项和架构对检测结果的影响。LibAM可以检测出目标二进制文件中重用的具体代码区域,而不仅仅是哪些TPL被重用,这为下游任务如漏洞关联分析等提供了更细粒度的信息。构建了首个涵盖不同优化选项和架构的TPL检测数据集,可用于评估现有方法在复杂场景下的鲁棒性和可扩展性。评估了LibAM在大规模IoT固件上的性能,发现了许多潜在的漏洞,显示了LibAM在下游任务中的应用前景。
实验结果:构建了首个面向不同优化选项和架构的C/C++二进制文件TPL检测数据集。实验结果表明,LibAM在TPL检测任务中优于现有方法,并能够提供可解释的检测结果,准确识别重用区域。在大规模IoT固件中评估LibAM的可扩展性,并发现了一些有趣的发现,如不同目标二进制文件倾向于重用相同的TPL代码区域。TPL识别
对比工作:LibDX 、B2SFinder、ISRD_Gemini、LibDB
---------------------------------------------------------------------------------------------------------------------------------
| 论文名称 | 发表时间 | 发表期刊 | 期刊等级 | 研究单位 |
| One Bad Apple Spoils the Barrel: Understanding the Security Risks Introduced by Third-Party Components in IoT Firmware | 2024年 | IEEE TDSC | CCF A | 浙江大学 |
研究背景:物联网设备数量近年来呈指数级增长,给安全带来了严重隐患。物联网固件大量依赖第三方组件(Third-Party Components, TPCs)来提高开发效率,但这些TPC往往存在安全漏洞,影响了固件整体的安全性。现有研究鲜少关注TPC引入的漏洞问题,缺乏对固件安全风险的全面理解。
研究意义:该研究设计并实现了FIRMSEC框架,利用语法特征和控制流图特征检测固件中的TPC,并识别相应的漏洞。基于FIRMSEC对34,136个固件镜像进行了大规模分析,检测出584个TPC和12.8万个由429个CVE引起的漏洞。研究发现TPC引入的漏洞问题非常普遍,随着物联网生态的发展而持续增长。分析还显示,有2,478个商业固件可能违反了GPL/AGPL许可协议。该研究填补了现有对TPC引入的漏洞缺乏深入理解的知识缺口,对于加强物联网设备安全具有重要意义。通过大规模、全面的固件安全分析,该研究揭示了物联网设备安全现状,为制定有针对性的安全防护措施提供依据。
GitHub - NESA-Lab/FirmSecDataset: FirmSec Dataset
---------------------------------------------------------------------------------------------------------------------------------
| 论文名称 | 发表时间 | 发表期刊 | 期刊等级 | 研究单位 |
| LibDB: An effective and efficient framework for detecting third-party libraries in binaries | 2022年 | MSR | CCF C | 清华大学 |
研究背景:第三方库(TPL)被广泛应用于现代软件系统的开发中,可以减少开发成本。然而,第三方库的使用也可能带来安全隐患,如著名的"Heartbleed"漏洞。此外,对第三方库的非合规重复使用可能导致商业纠纷。许多开发者没有足够重视所引入的第三方代码。为了应对第三方库带来的威胁,研究人员和商业产品提出了大量的检测方法,但大多集中于源代码或Java字节码形式,而针对C/C++二进制文件的检测相对较少。
研究意义:本文提出了一个名为LibDB的二进制第三方库检测框架。与现有方法相比,LibDB不仅利用了基本特征(字符串文字和导出函数名),还引入了函数内容作为新的特征类型,将函数嵌入到低维表示中。此外,它还采用了基于函数调用图(FCG)的比较方法,以提高检测的准确性。与现有方法不同,LibDB还能够支持所检测的第三方库的版本识别。实验结果表明,LibDB在二进制第三方库检测和版本识别任务上都优于现有工具。该框架的设计可以有效地解决现有方法存在的低精度、低召回率和粗粒度版本识别的问题,对于提高第三方库使用的安全性和合规性具有重要意义。
实验结果:LibDB在二进制第三方库检测任务和版本识别任务上,都优于现有的最新方法。函数检索模块可以有效地弥补基本特征不足的情况,尤其在基本特征只有50%时能达到最高的F1值。函数调用图过滤器可以显著提高各种方法的精确度,同时保持较高的召回率。TPL识别+版本识别
对比工作:LibDX 、B2SFinder
GitHub - DeepSoftwareAnalytics/LibDB
---------------------------------------------------------------------------------------------------------------------------------
| 论文名称 | 发表时间 | 发表期刊 | 期刊等级 | 研究单位 |
| LibDX: A cross-platform and accurate system to detect third-party libraries in binary code | 2020年 | SANER | CCF B | 清华大学 |
研究背景:随着开源技术的发展,第三方库的复用已经成为编程中的普遍实践。应用程序开发者可以复用这些第三方库代码以节省时间和开发成本。但是,第三方库的误用可能会带来一些隐藏的风险,如许可证违反和安全漏洞。对用C或C++编写的库进行识别受到编译过程的影响,编译后的二进制代码会隐藏大部分原始代码特征。同一个开源包经过不同的编译过程会生成不同的二进制代码。因此,这篇论文提出了LibDX,一个跨平台和全自动的系统,用于检测二进制文件中复用的第三方库。
研究意义:第三方库检测是检测许可证违反和导入漏洞的基础。通过维护一个库信息数据库,分析人员可以获得关于潜在许可证违反和安全风险的报告。LibDX作为一个跨平台和全自动的系统,可以克服二进制文件之间编译差异的挑战,并采用新颖的逻辑特征块概念来处理大规模特征数据库中的特征重复问题。实验结果表明,LibDX在准确性和性能方面优于现有的相关工具。通过分析真实世界的应用程序,LibDX还发现了一些GPL许可证违反的案例。因此,LibDX的研究对于减少第三方库引入的安全和许可证风险具有重要意义。TPL识别
实验结果:构建了涵盖多个平台的大型测试数据集,评估了LibDX的性能。在9.5K个包含25.8K个C/C++二进制文件的数据集上,LibDX达到了92%的精度和97%的召回率,优于现有最先进的工具。对封闭源商业应用进行了验证,发
![[C++]一些list,stack和queue选择题和编程题](https://i-blog.csdnimg.cn/direct/82579e29535449fb8ddde30f8365dc8d.png)
