ACM CCS 2010
Robusta: taming the native beast of the JVM
Joseph Siefers, Gang Tan, Greg Morrisett
    Pages: 201-211
    doi>10.1145/1866307.1866331

主要的工作：isolate untrusted code (native lib) from a trusted environment (JVM)，控制调用Java以外的其他lib产生危险的可能；为native lib建造一个沙箱，然后调用Java Security Manager来做统一的安全监察。

Robusta就是这个沙箱的名字。

TODO

1、SFI (software-based fault isolation) [18][34]

2、Java Security Manager

专有名词：

JNI: Java Native Interface - 从字面上看应该是一个Java调用native函数的接口

ACM CCS 2009
Large-scale malware indexing using function-call graphs

    Xin Hu, Tzi-cker Chiueh, Kang G. Shin
    Pages: 611-620
    doi>10.1145/1653662.1653736

本文的主题，就是用function-call graph来描述恶意软件，然后把它放在数据库里，然后提供快速查找定位的index方法。

成果：一个恶意代码的DBMS，名字叫SMIT（Symantec Malware Indexing Tree）。

本文是作者1，2在Symantec Research Lab中的工作。

文中的方法据称，不是signature-based（无法处理obfuscation，无力查找新的malware sample），也不是behavior-based(会有runtime overhead，会引发很多false positive)；使用了function-call graph的提取，来表示整个程序的特性；我的感觉是它应该是两者的结合，利用了behavior的signature。

function-call graph是一种high-level structure，不是bytelevel/instruction level的（太低层的结构可以被obfuscation工具微小修改而改变）；

Obfuscation技术有instruction reordering, equivalent instruction sequence substitution, branch inversion。

非常重要的信息：

在处理malware流程的第一步是确定malware是否是malicious的，而这一步是处理malware的瓶颈所在，目前都手工完成。

Behavior based software theft detection
    Xinran Wang, Yoon-Chan Jhi, Sencun Zhu, Peng Liu
    Pages: 280-290
    doi>10.1145/1653662.1653696

本文的主题就是检测软件剽窃，利用了system call dependency graph来制作birthmark这个东西。
TODO

1、[16]E. Kirda et al. Behavior-based spyware detection. Usenix Security 2006.

2、自己开发的一个dynamic分析工具 - Hawk