[我研究]两篇论文

想法：

看了这么久的论文，主要关注点在malicious code，logic bomb，然而我们要解决的主要问题，其实是data flow integrity和control flow integrity，保证在运行过程中data flow和control flow的完整性，例如logic bomb就是恶意的一个control flow，而对数据库的不合法修改就是破坏data flow integrity。

标题：

1、Common Sense Guide to Prevention and Detection of Insider Threats

CyLab@CMU - 一个Guideline性质的文档，有很多best practice，指导防止与发现内部人员威胁

2、Detecting illegal system calls using a data-oriented detection model

最有价值的东西在于 - 看到了两个关键字 => control flow corruption detection & data integrity corruption detection

第一篇笔记: Common Sense Guide to Prevention and Detection of Insider Threats

在system或network里面做两样事情：
1、Delayed logic bomb
2、Install malicious code

应对方案：
configuration management (file integrity checker，完整性检查)
从系统的文件变化来寻找植入恶意代码的可能

第二篇笔记：Detecting illegal system calls using a data-oriented detection model
两种corruption
1、the control flow corruption (e.g. execute injected code)
2、corruption of data item manipulated by the program

本文研究第二种data integrity corruption detection
解决方案：
data oriented behavior model  <== 具体的实现方法 == build constraints on intrusion sensitive data item，这些contraint使用instrument在程序中插入

使用的工具：
Frama-C [7]
[7] A. Baratloo, T. Tsai, and N. Singh, Transparent run-rime defense against stack smashing attacks, In Proceedings of USENIX Annual Technical Conference, June 2000.

相关的研究方向为：
non-control data attack[10]
[10] Chen, S., Xu, J., Sezer, E., Gauriar, P., Iyer, R.: Non-control-data attacks are realistic threats. In: Usenix Security Symposium. (2005)