一种基于行为集成学习的恶意代码检测方法

为了解决变种恶意代码、未知威胁行为恶意分析等问题,研究了基于梯度提升树的恶意代码分类方法,从大量样本中学习程序行为特征和指令序列特征,实现了智能恶意代码分类功能.将GBDT算法引入恶意代码检测领域,使模型结果行为序列具有可解释性,对恶意代码的检测能力大幅提高.GBDT算法能够客观地反映恶意代码的行为和意图本质,能够准确识别恶意代码.     

仿生视角的数字孪生系统信息安全框架及技术

为了推动工业信息安全防御模式从静态的被动防御向主动防御转变,缓解安全专家严重不足与陡增的信息安全需求之间的矛盾,从仿生视角搭建数字孪生系统的信息安全主动防御体系框架,以数字孪生安全大脑为核心,提出以主动防御为目的的5类关键技术：基于云边协同的安全数据交互及协同防御技术、仿生的平行数字孪生系统主动防御技术、仿生的平行数字孪生系统安全态势感知技术、基于免疫系统的数字孪生系统主动防控技术、基于AI的数字孪生系统的反攻击智能识别技术. 给出数字孪生车间信息安全建设的应用案例,验证了数字孪生信息安全在智能制造中的适应性.     

Windows主机入侵防御系统研究综述

主机入侵防御是基于操作系统API监控的一种主动性安全防御技术,是面向客户端的安全解决方案.简要介绍该课题相关的技术背景和研究目标;系统论述主机入侵防御系统的防御思想、技术框架和基本特征;重点探讨Windows系统的API H(OK技术、基于API的行为监控和几种典型的异常行为分析技术,讨论各种行为分析技术的特点及其应用;最后指出该课题当前研究的技术瓶颈,并提出下一步研究的思路和方向.     

基于沙箱技术的恶意代码行为检测方法

通过分析不同恶意代码的行为,讨论沙箱的分类模型和实现机制,提出了一种基于虚拟化沙箱技术恶意代码行为检测方法。该方法采用对x86汇编指令、Windows系统特性、内存布局等进行全面模拟方式,通过模拟疑似为可执行代码的输入的数据流,在模拟执行过程中有尝试调用敏感系统函数行为而实现恶意代码行为检测。测试结果表明,所提方法能够有效地检测恶意代码行为,为电子数据取证提供支持。     

基于汇编语言解析的未知病毒检出手法

病毒检测与防御是计算机安全中的一个很重要的研究课题。目前,计算机病毒的花样不断地翻新,并大量使用了多重加密壳、变形、多态,传统的恶意代码查杀技术很难进行正确的查杀,这是因为病毒代码被感染后,为了躲避检测会对自己本身的代码修改替换。即使是针对未知的恶意代码,如果只是运用简单的模式匹配算法,也会被恶意代码欺骗而逃避检测。本文介绍了一种能够检测以上未知恶意代码的方法。具体来说,首先将病毒的二进制代码进行反汇编,在汇编代码层次上进行检出以及通过汇编层次检测出的模式学习和根据学习结果的分类判定来进行检测。     

基于免疫的网络安全态势感知关键技术研究

为了改变目前网络安全防御主要依靠防火墙、漏洞扫描、入侵检测等传统网络安全工具进行被动防御的局面,将人工免疫技术应用于网络安全态势感知技术,提出并实现了一种基于免疫的网络安全态势感知技术.该技术采用基于免疫的入侵检测模型实现对网络中已知和未知入侵行为的检测;依据生物免疫系统抗体浓度的变化与病原体入侵强度的对应关系,建立网络风险实时定量评估模型.在对网络安全状况的趋势预测中,采用基于时间序列的ARMA模型对网络当前安全状况及未来变化趋势进行实时、定量的分析、预测,从而有效地缓解网络攻击造成的危害,提高网络信息系统的应急保障能力.实验结果表明该系统能及时有效调整网络安全策略,提供更全面的安全保障,是网络安全保障的一个较好解决方案.     

自免疫网络安全防御体系研究

针对计算机网络普遍容易遭受黑客、病毒及大量垃圾信息的侵蚀，对未知异常事件和异常流量等不能作出及时反应，在保护“自我”拒绝“非我”的基础上提出了基于主动探测、主动报警和主动清除为主的自免疫网络安全防御体系，并给出了自免疫网络的基本组成以及基于网络设备认证、网络流量分析、主机接入认证的实现，从而达到保护计算机网络安全运行的目的，     

DDoS主动防御系统防御能力量化仿真研究

针对防御能力量化模型不符合DDoS主动防御系统特点的问题,分析了影响DDoS主动防御系统防御能力的防御设备指标,从防御收益和防御成本两方面建立DDoS主动防御系统防御能力量化模型。在OMNeT+〖KG-*3〗+中,设置不同的防御设备指标进行仿真实验,探索总结了DDoS主动防御系统设备指标与系统主动防御能力的关系,为提高DDoS主动防御能力提供了参考。     

基于Honeynet技术的网络防御系统研究

网络防御是目前计算机网络安全中广泛研究的内容之一,随着网络防御技术的发展,多方面的防御方法不断涌现,而基于Honeynet的网络防御技术可以说是网络防御技术中主动防御的典型,文章研究了计算机网络防御技术,并把Honeynet技术应用到了局部网络防御系统中,对Honeynet中的捕获数据、分析数据和数据控制进行初步研究。     

基于内存监控的动态脱壳系统

恶意代码所采用的各式各样的“壳”给安全分析带来了很多困难,加壳代码的自动脱壳技术对提高安全分析工作的效率有很大作用。根据加壳程序在运行过程中的特点,设计并实现了基于内存监控的恶意代码动态自动脱壳系统。该系统动态的记录并分析加壳程序在运行过程中内存操作,并根据脱壳特点确定原程序的真正执行位置,完整的记录加壳程序脱壳过程。实验表明,该动态脱壳技术可以有效实现对恶意代码的自动脱壳。     

嵌入式病毒传播原理和主动防御技术

依据嵌入式病毒的传播理论,结合Windows操作系统的系统调用机制,提出了一种基于Hook系统服务的嵌入式病毒防御系统该系统以注册表和进程为主要监控点,结合访问控制规则,实时监控进程操作行为．实验表明：该系统不仅可以有效地防御已知病毒,还可以防御未知病毒．     

基于动态行为的未知恶意代码识别方法

＂特征码＂法虽然可以准确地检测出已知的恶意代码,但是对未知的恶意代码的识别却无能为力.目前基于代码动态行为的分析方法是未知恶意代码检测技术的发展方向.本文通过对未知恶意代码在植入、安装及启动时调用的API序列作为依据,并分别使用最小距离分类器、K-最近邻、余弦相似度等分类方法对它进行识别,实验表明：对于未知恶意代码的识别,不同的分类算法有不同的优缺点,所以,具体选择哪个算法,要根据恶意代码识别的具体要求而定.     

基于蚁群优化聚类的网络入侵检测研究

随着计算机网络特别是因特网技术的发展,网络安全已变得越来越重要.入侵检测作为一种主动防御的安全技术正成为实现网络安全的另一个重要技术手段和第二道防御措施.分析了基于聚类分析的入侵检测技术,在对入侵检测和数据挖掘理论分析基础上,提出基于蚁群优化聚类的入侵检测算法,详细阐述了算法的基本原理和过程,计算机仿真实验结果表明,该算法能够检测新型未知入侵,并能有效提高入侵检测的检测率、降低误检率,并可用于实际环境下数据集的入侵检测.     

智能化无线安全网关的研究

本文针对无线网络飞速发展过程中所遇到的安全问题,提出了一种新型的智能化无线综合安全网关.该网关集成了入侵检测系统和防火墙功能的模块,以及控制和阻断模块,可以实现网关内部各个模块的联动,对无线网络系统提供实时的保护,对危险目标实行锁定、阻断和隔离及"主动防御和被动防御"的结合.     

C4．5算法在未知恶意代码识别中的应用

基于行为的分析方法是恶意代码检测技术的发展方向,但存在误报率和漏报率较高的问题,故提出一种在Windows平台下检测未知恶意代码的新方法,以PE文件动态调用的API函数为研究对象,使用足长度的滑动窗口提取代码的所有特征属性,并采用决策树C4．5算法来检测未知恶意代码．实验结果表明,与其他基于行为的恶意代码识别算法相比,该算法具有较低的漏报率和误报率．     

USB存储设备病毒防御及监控管理程序设计

随着计算机技术的不断发展,U盘、MP3／MP4、移动硬盘、数码相机等USB存储设备迅速普及。这些USB存储设备为人们的工作和生活带来了极大的便利,方便了人们的信息存储和信息交流,但随之带来的一个非常显著的问题就是：如何保证这些USB存储设备的安全。因此迫切需要开发USB存储设备病毒防御及监控管理程序,提供一种预防U盘安全隐患的技术手段,对U盘进行有效的管理。文章将对主动防御U盘病毒感染目标计算机、防御计算机将病毒传播给U盘的方法以及对U盘的实时监控所涉及到的技术、原理及实现进行详细探讨,最后设计了一个基于vB_NET实现的USB存储设备监控管理程序。     

蜜罐信息采集技术分析

为提高网络安全研究中攻击信息收集的有效性和针对性,探讨了一种主动防御的网络安全技术——蜜罐.通过主动吸引黑客的攻击,来监视和跟踪入侵者的行为并进行记录,从而研究入侵者所使用的攻击工具、策略和方法.介绍了蜜罐技术的基本概念,分析了蜜罐的安全价值,并详细讨论了蜜罐的信息收集技术.最后,讨论了蜜罐系统面临的安全威胁与防御对策.     

基于Snort的入侵检测分层结构的设计与实现

现有的入侵检测系统缺乏对自身安全性的考虑,且系统配置和调试复杂,严重影响了入侵检测技术的应用与发展.为了加强对系统的安全保护,便于系统部署、配置和调试,采用分层的思想,构造了一种基于Snort的分层入侵检测系统,在系统的传感器和服务器间采用防火墙将主动防御和被动防御进行了结合,并采用OpenSSL组件实现端到端的加密传...     

云原生环境下基于移动目标防御的ReDoS防御方法

针对云原生环境中正则表达式拒绝服务(ReDoS)攻击的防御方式存在效率低、无法进行主动防御的问题,提出了基于移动目标防御(MTD)技术的ReDoS攻击防御方法。首先基于云原生环境下的微服务应用特点,对攻防双方的行为进行了分析;其次,基于Kuberneters设计了基于MTD的防御系统,并提出基于拓扑信息和请求到达速率的动态和静态的多维微服务权重指标、基于排队论的服务效率判断指标以及轮换时机选择方法来指导关键微服务的选择和关键微服务的轮换时机;最后,给出了基于异构度和服务效率的多维指标MTD异构轮换算法,并使用Python进行了仿真,结果表明：所提算法防御时延比动态伸缩缩短了50%左右;并且防御开销在第一次攻击之后趋于平稳,不会持续增长。     

分布式防火墙环境的边界防御系统

针对传统边界防火墙在动态防御方面的缺陷,对防火墙和入侵检测系统之间的三种联动技术进行分析比较,提出了一种基于分布式防火墙环境,具备防火墙和入侵检测功能,采用系统嵌入方式的边界防御系统模型。模型利用队列通信机制实现防火墙和入侵检测协同工作,共同检测和防范对系统的入侵行为,并通过安全通信模块与分布式防火墙连接。最后给出了在Linux下的实现。