基于文件系统的恶意代码监控技术的研究

随着计算机技术的不断发展,逐渐进入了信息化时代,信息技术在不同领域均发挥着重要作用,保障其安全性成为当前面临的主要任务。近年来,多种恶意代码的出现严重威胁了计算机系统的安全,要想提升计算机的安全性,就必须要重视对恶意代码的分析及监控工作。本文主要阐述了恶意代码的定义及相关监控技术,分析了监控系统关键技术,对监控系统的实现进行探究,以期提高恶意代码监控系统的可靠性和效率,增强计算机系统安全性。     

基于网络的恶意代码检测技术探析

近几年,恶意代码侵袭网络范围不断扩大,对网络健康发展构成了巨大威胁,如何能有效消除恶意代码对网络的影响已成为社会关注焦点。恶意代码具有多变性和快速性,传统的基于特征的检测手段已经被淘汰,目前基于网络的恶意代码检测技术已经普遍运用,并且取得令人满意的成效。在对恶意代码种类分析的前提下,进一步探析了恶意代码检测技术的实施方法以及实施效果,希望能为网络减少恶意代码侵害起到积极的促进作用。     

基于CNN-BiLSTM的恶意代码家族检测技术

近年来快速增加的恶意代码数量中大部分是由原有家族中通过变异产生,所以对恶意代码家族进行检测分类显得尤为重要。提出了一种基于CNN-BiLSTM网络的恶意代码家族检测方法,将恶意代码家族可执行文件直接转换为灰度图像,利用CNN-BiLSTM网络模型对图像数据集进行检测分类。此方法在避免计算机受到恶意代码伤害的同时全面高效地提取特征,结合CNN和BiLSTM的优点从局部和全局两个方面学习恶意代码家族的特征并实现分类。实验对4个恶意代码家族的4 418个样本进行识别,结果表明该模型相对于传统机器学习具有更高的准确率。     

基于隐式随机梯度下降的恶意代码分类算法

针对目前基于深度学习的恶意代码分类算法易出现灾难性遗忘导致分类准确率不高、收敛过慢的问题，提出基于隐式随机梯度下降的恶意代码分类算法。与现有算法不同，该算法构造内外循环网络结构来协同学习最优网络模型以提高恶意代码分类准确率。在内循环优化阶段，通过优化带有偏好正则项的损失函数迫使内循环网络沿外循环网络方向更新权重从而避免内循环网络遗忘过去学到的知识。在外循环优化阶段，通过求解近似外循环网络梯度并利用隐式随机梯度下降优化外循环网络权重，使得外循环网络能够更快更稳定地收敛。在三个恶意代码数据集上的实验结果表明，该算法有效避免了灾难性遗忘，使用较少训练轮数取得了最高的分类准确率，显著提升了恶意代码分类的稳定性和鲁棒性。     

基于行为的分布式恶意代码检测技术

针对已有恶意代码检测技术存在不足,研究恶意代码网络传播行为,提取相应行为特征,在此基础上提出基于行为的分布式恶意代码检测技术,并进行NS-2仿真实验。实验结果表明该方法具有较低的误报率和漏报率,可有效检测恶意代码。     

基于对象语义的恶意代码检测方法

恶意代码变种给信息系统安全造成了巨大威胁, 为有效检测变种恶意代码, 通过动态监控、解析系统调用及参数, 将不同对象操作关联到同一对象, 构建对象状态变迁图, 然后对状态变迁图进行抗混淆处理, 获取具有一定抗干扰性的恶意代码行为特征图。最后, 基于该特征图检测未知代码。实验结果表明, 该方法能够有效抵抗恶意代码重排、垃圾系统调用等混淆技术干扰, 而且误报率低, 在检测变种恶意代码时具有较好的效果。     

一种基于Cloud-P2P计算模型的恶意代码联合防御网络

针对目前的反病毒系统在应对恶意代码时通常具有的滞后性,提出并构建了一种新颖的基于Cloud-P2P计算模型的恶意代码联合防御网络。Cloud-P2P计算模型将云计算与对等计算进行有机融合。恶意代码联合防御网络系统中的集群服务器与用户终端群体联合组成了一个高安全防御网,协同防御恶意代码,并快速产生群体免疫力。为了提高系统的性能表现,提出适用于Cloud-P2P融合计算环境的两种基于分布式哈希表的层次式网络结构C-DHT和D-DHT,并通过引入移动agent技术实现了恶意代码联合防御网络中的疫苗agent和巡警agent。基于Cloud-P2P计算模型的恶意代码联合防御网络具有负载均衡、反应快捷、防御全面和兼容性良好等性能表现。     

恶意代码演化与溯源技术研究

恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性，基于目标恶意代码的特性实现对恶意代码源头的追踪.通过溯源可快速定位攻击来源或者攻击者，对攻击者产生一定的震慑打击作用，具有遏制黑客攻击、完善网络安全保障体系的重要作用和价值.近年来，网络安全形势愈加严峻，归类总结了学术界和产业界在恶意代码溯源领域的研究工作，首先揭示了恶意代码的编码特性以及演化特性，并分析这些特性与溯源的关系；然后，分别从学术界和产业界对恶意代码的溯源技术和研究进行梳理，同时对每个溯源阶段的作用以及影响程度进行了讨论，并对目前恶意代码的溯源对抗手段进行分析；最后讨论了恶意代码溯源技术面对的挑战和未来的发展趋势.     

恶意程序的发展趋势分析

在对比分析07年到08年上半年期间恶意代码发展特点的基础上,指出了恶意代码今后将具有对抗安全软件加剧、利用热点事件进行攻击、社会工程学攻击、利用僵尸网络等发展趋势,并提出了防御恶意代码的策略和建议。     

一种基于白名单机制的电力监控主机恶意代码防御方案

杀毒软件等基于黑名单匹配的恶意代码防御方案无法应对新恶意代码(即利用0day漏洞的恶意代码),针对该问题提出基于白名单的电力监控主机恶意代码防御方案。该方案在监控主机上构建一个可信执行软件模块,利用白名单匹配指纹的方法保护可信软件的启动、阻止不可信软件的执行,提高监控主机的安全性;此外设计管理服务器对可信执行模块进行集中管理,同时对白名单进行维护。根据方案研发系统,并在电力现场环境进行试点应用和实验。实验证明本方案能够识别可信程序和不可信程序,阻止新老恶意代码执行,同时其时间消耗和新增流量不大,处于可控范围。     

云计算架构中恶意代码入侵自动监测系统设计

为了解决云计算架构中恶意代码以各种形式入侵产生损害,不能及时发现、维护而造成云计算架构安全性能降低,无法正常使用的问题,建立一套基于BP神经网络的入侵监测系统,实现对云计算架构中恶意代码入侵的自动监测,对及时监测入侵恶意代码及有效增加云计算架构安全有这直接而又重要作用;系统以STM32F103ZET6为主控芯片构建MUC主控单元,并通过EZ-USB FX2 USB2.0控制芯片将各个模块与其相连;采用LM2575系列的稳压器,为系统提供电源;软件设计过程中,采用BP神经网络法计算各恶意代码入侵的输出值,降低监测误差;通过实验测试表明,该系统可实现云计算架构中入侵恶意代码的自动监测功能,且具有扩展性强、操作方便等特点,对云计算架构的使用安全性具有重要的应用价值。     

A security monitoring method for malicious P2P event detection

Recently malicious code is spreading rapidly due to the use of P2P(peer to peer) file sharing. The malicious code distributed mostly transformed the infected PC as a botnet for various attacks by attackers. This can take important information from the computer and cause a large-scale DDos attack. Therefore it is extremely important to detect and block the malicious code in early stage. However a centralized security monitoring system widely used today cannot detect a sharing file on a P2P network. In this paper, to compensate the defect, P2P file sharing events are obtained and the behavior is analyzed. Based on the analysis a malicious file detecting system is proposed and synchronized with a security monitoring system on a virtual machine. In application result, it has been detected such as botnet malware using P2P. It is improved by 12 % performance than existing security monitoring system. The proposed system can detect suspicious P2P sharing files that were not possible by an existing system. The characteristics can be applied for security monitoring to block and respond to the distribution of malicious code through P2P.     

Suppressing the Spread of Email Malcode using Short-term Message Recall

Outbreaks of computer viruses and worms have established a pressing need for developing proactive antivirus solutions. A proactive antivirus solution is one that reliably and accurately detects novel malicious mobile code and one that either prevents damage or recovers systems from the damage that such code inflicts. Research has indicated that behavioral analysis, though provably imprecise, can feasibly predict whether novel behavior poses a threat. Nevertheless, even the most reliable detection methods can conceivably misclassify malicious code or deem it harmful only after substantial damage has taken place. The study of damage control and recovery mechanisms is, therefore, clearly essential to the development of better proactive systems. Earlier work has demonstrated that undoing the damage of malicious code is possible with an appropriate behavior monitoring and recording mechanism. However, it remains that even if a system is recovered, the virulent code may have already propagated to other systems, some of which may not be well-equipped in terms of proactive defenses. Curbing the propagation of undesired code once it has left the boundaries of a system is a hard problem and one that has not received much attention. This work focuses on a specific instance of this difficult problem: viruses and worms that spread by email. In this paper, we explore how advantageous it would be to have a short-term email undo mechanism whose purpose is to recall infected messages. Simulation results demonstrate that such ability can substantially curb the damage of email viruses on a global scale. The results are encouraging because they only assume technology that is either readily available or that is otherwise clearly practical today     

基于分布式结构的网络恶意代码智能分析系统

对变形特征码进行归一化处理,改进WM算法,运用启发式扫描、仿真、虚拟化、主动防御等前沿的恶意代码分析技术,采用分布式的设计结构,设计了具有完备恶意代码特征码数据库、高效特征码匹配、自动捕获和控制恶意行为、平衡的资源消耗、较低误报率的网络恶意代码智能分析系统。     

局域网恶意代码入侵过程的痕迹数据监测仿真

当前方法在监测局域网恶意代码入侵过程的痕迹数据时,由于受提取的数据特征数目影响导致监测准确率和监测率不高。提出基于人工生物免疫的局域网恶意代码入侵痕迹数据监测方法,采用加权处理的信息增益特征提取方法提取局域网恶意代码入侵过程的痕迹数据信息增益和特征频率。将提取的数据特征编码后存储在云空间中,通过模拟人工生物免疫过程,生成局域网恶意代码入侵痕迹数据特征监测装置集合,通过调节克隆系数和增加柯西变异步长因子对监测装置集合做优化处理生成新的监测装置,利用该装置和加权评分法判断局域网未知数据样本的恶意系数,根据其与恶意系数阈值大小判定样本中是否含有恶意代码入侵痕迹数据。实验结果表明,所提方法具有较高的监测准确率和监测率,且在提取特征数目小于800个时监测效果最佳。     

基于机器学习算法的恶意PDF检测模型

随着互联网的高速发展和办公自动化的日益普及,PDF（portable document format）文件已经成为全球电子文档分发的开放式标准,由于PDF文档的高实用性和普遍适应性,使其成为有针对性钓鱼攻击的有效载体。恶意代码对计算机的严重破坏性,检测和防止含有恶意代码的PDF文档已日益成为计算机安全领域的重要目标。通过从文档中提取特征数据,提出了一个基于机器学习算法的恶意PDF检测框架,最后并通过实验验证了其检测模型的有效性。     

基于特征阈值的恶意代码快速分析方法

当前恶意代码具有种类多、危害大、复杂程度高、需要的应急响应速度快等特点,针对现有恶意代码分析方法难以适应现场快速分析处置与应用实践的需求的问题,研究了基于特征阈值的恶意代码分析方法,构建了恶意代码快速分析处置的具体环节,包括环境分析、文件细化、静态分析、动态分析,并通过构建的阈值判断来定位代码的功能和家族属性,并给出清除恶意代码的具体方法。实际应用结果证明,此方法对恶意代码安全特性相关的意图、功能、结构、行为等因素予以综合,实现在现场处置层面上对恶意代码安全性的分析研究,为当前网络安全恶意代码的现场快速响应和处置提供了重要支撑。