浅析恶意代码的机理及其模型

本文从操作系统的结构性缺陷角度,阐述产生恶意代码的源头,指出当前通用PC操作系统把设备驱动、文件系统等功能都纳入系统内核,导致内核代码庞大,增加了系统保护工作的难度。并对计算机病毒的传播机理进行了形式化描述,研究了蠕虫程序的模块结构,建立了数据驱动型软件攻击的理论模型,分析了其构成威胁的本质原因。     

基于操作系统安全的恶意代码防御研究述评

总结了安全操作系统实现恶意代码防御的典型理论模型,分析了它们的基本思想、实现方法和不足之处,指出提高访问控制类模型的恶意代码全面防御能力和安全保证级别、从操作系统安全体系结构的高度构建宏病毒防御机制以及应用可信计算技术建立操作系统的恶意代码免疫机制将是该领域的研究方向.     

基于免疫原理的可执行文件签名验证模型的研究

病毒发现和防治策略是操作系统安全框架的重要组成部分.目前通过特征码匹配进行查杀病毒的方法通常落后于计算机病毒的发展,已经不能满足日益迫切的安全需求.文章根据生物体免疫系统检测病毒的机理,提出了一种对可执行文件签名验证的模型,通过文件签名界定"自我"和"非我",并以此为依据完成系统中恶意代码的发现.最后介绍了在Windows操作系统下开发的基于可执行文件签名验证模型的病毒检测系统.     

有效防御可执行恶意代码的访问控制模型

可执行恶意代码严重危害操作系统的安全,它通过进程实现对系统造成危害,能否控制进程的安全是可执行恶意代码防御中的关键问题。该文以安全操作系统的访问控制思想为基础,根据可信计算的思想和原则,提出一个防御可执行恶意代码体系中的URPP访问控制模型。该模型以进程作为核心,对进程启动进行可信度量以及最小权限的约束。实践证明,URPP模型能够有效地抑制可执行恶意代码对系统造成的危害。     

2010年我国恶意代码新特点的研究

文章以公安部2010年计算机病毒疫情调查活动的数据作为基础,以国家计算机病毒应急处理中心国家级恶意代码样本库作为支撑,结合信息网络安全通报机制成员单位汇总的情况和各反病毒研究机构发布的安全报告,阐述了2010年我国恶意代码发展的总体情况,分析了2010年我国恶意代码出现的新特点,探索了今后恶意代码的发展趋势并提出对策建议。     

一种基于本地化特征的恶意代码检测系统设计

随着网络安全技术的发展,计算机病毒已经不能够准确描述安全事件,提出了用恶意代码来描述,由于恶意代码的多样性,目前的恶意代码检测技术不能满足需要。在对恶意代码特征研究的基础上,提出了基于本地化特征的恶意代码检测技术。恶意代码要获取执行的机会,必然要进行本地化设置,对恶意代码的本地化特点进行了研究,在此基础上设计出了一种基于本地化特征的恶意代码检测系统,并进行了测试,结果证明基于本地化特征的恶意代码检测方法是一种有效的方法。     

基于RFID系统的安全性问题研究

随着RFID技术的飞速发展与广泛应用,RFID系统的自身安全威胁及基于其的恶意代码也在快速发展。为了更好地对抗安全威胁和恶意代码,需要透彻地分析了解其原理。详细分析了当前RFID系统的自身安全问题及现有的攻击手段,给出了相应的防范措施;并根据RFID系统的特点,提出了基于RFIv系统的恶意代码免疫模型。     

Windows内核恶意代码分析与检测技术研究

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害.对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术(包括对进程函数、注册表函数、SSDT等的HOOK行为)进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案.实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义.     

深度学习赋能的恶意代码攻防研究进展

深度学习赋能的恶意代码攻防研究已经成为网络安全领域中的热点问题.当前还没有针对这一热点问题的相关综述,为了及时跟进该领域的最新研究成果,本文首先分析并总结了恶意代码攻击的一般流程.基于该攻击流程,本文对深度学习的赋能攻击点和赋能防御点进行了定位,将深度学习助力攻击的技术分为5类:(1)基于对抗样本生成的自动化免杀;(2)基于自然语言生成的自动化网络钓鱼;(3)基于神经网络的精准定位与打击;(4)基于生成对抗网络的流量模仿;(5)基于黑盒模型的攻击意图隐藏,并将深度学习助力防御的新型技术分为3类:(1)基于深度学习的恶意代码查杀;(2)自动化网络钓鱼识别;(3)深度学习赋能的恶意行为检测;其次,基于以上分类,本文对恶意代码攻防研究中的前沿技术进行了综述,并从技术原理、实际可行性、发展趋势等不同的角度对这些技术进行了深入剖析;再者,由于深度学习的伴生安全问题与其在恶意代码攻防领域的赋能安全问题紧密相关,本文对其中代表性的模型后门攻击与防御的相关技术也进行了关注;之后,本文分析并总结了当前深度学习赋能的恶意代码攻防研究领域中的主要研究方向,并对其未来的发展趋势进行了讨论;最后,深度学习赋能的恶意代码攻防研究才刚刚起步,基于恶意代码攻击链的更多可能的赋能攻击与防御点有待研究者继续探索和发掘.此外,深度学习助力恶意代码攻防的一大挑战是数据集的限制,如何建立有效、公开的数据集供研究者使用,这也是一个非常值得思考和研究的问题.     

信息技术是计算机网络系统信息保密管理的关键

为了更好地加强计算机网络系统信息保密管理,通过对信息技术的重要性、作用和信息技术与信息保密管理关系的分析,并采用介质安全、备份与恢复、计算机病毒与恶意代码防护、身份鉴别、访问控制、安全审计、操作系统安全、数据库安全、边界安全防护等信息技术手段,有效地实现了计算机网络系统的信息安全保密管理,从而得出信息技术是计算机网络系统信息保密管理的关键。     

Securing communication using function extraction technology for malicious code behavior analysis

Since computer hardware and Internet is growing so fast today, security threats of malicious executable code are getting more serious. Basically, malicious executable codes are categorized into three kinds – virus, Trojan Horse, and worm. Current anti-virus products cannot detect all the malicious codes, especially for those unseen, polymorphism malicious executable codes. The newly developed virus will create the damages before it has been found and updated in database. The basic idea of the proposed system is, it will analyze the behavior of the malicious codes and based on the behavior signature of the malicious code content filtering mechanism will be used to filter out contents, so that, the system will be secured from the future communication processes. The behavior of the code is analyzed using the function extraction technology. The function extraction technology will replace the function codes into algebraic expressions. Based on the behavior of the malicious codes, it will be categorized into different kinds of malicious codes. The detected malicious code will be prevented from execution. Based on the type of malicious code, appropriate security mechanism will be used for further communication.     

代码重用攻击与防御机制综述

由于C与C++等计算机程序中广泛存在的漏洞,攻击者可以通过这些漏洞读取或篡改内存中的数据,改变计算机程序原有的执行状态达到破坏的目的。为此研究者进行了不懈地努力并采取了一些卓有成效的保护机制,例如数据不可执行与内存布局随机化,这些防御机制对于早期的代码注入攻击起到了极好的防御效果,然而计算机系统的安全性依然不容乐观。攻击者在无法通过向内存中注入自己的代码并执行的方式完成攻击后,开始利用内存中原有的代码,通过控制它们执行的顺序来达到自己的目的,这种攻击方式称为代码重用攻击,它具有极大的威胁性,能够绕过多种现行的安全措施,并成为攻击者的主流攻击方式。为此,研究界针对代码重用攻击的研究也逐渐增多。本文简述了代码重用攻击的起源,攻击实现的方式,系统化地总结了现有的防御机制并对这些防御机制进行了评价。对代码重用攻击的根本原因进行了简要的分析,并提出了一种新的防御机制设计思路。     

网络恶意代码族群增长模型

分析了恶意代码发展的现状和特点,根据恶意代码生命周期和变异特点给出了一个网络恶意代码族群增长模型,最后对模型进行了验证,通过模型预测结果和实际数据的比较,该模型能够比较准确地对恶意代码族群数量的发展进行刻画。     

一种基于亲缘性的恶意代码分析方法简

随着网络及应用技术的不断发展,恶意代码的问题日益突出。目前大多数反病毒措施都是基于传统的基于特征码的扫描技术,使用“扫描引擎＋病毒库”的结构方式虽然对已知病毒的检测相对准确,但对新出现的恶意代码无法准确、及时地做出检测。本文提出了一种基于亲缘性恶意代码分析方法,使用系统函数集合、行为特征、相似代码特征这三个方面来表征一类恶意代码的特征,以达到缩小特征库规模,快速检测未知恶意代码的目的,特别是变种恶意代码。实验结果表明本文所提出的方法可以取得良好的检测结果。     

可信编译器关键技术研究

软件的可信性很大程度上依赖于程序代码的可信性。影响软件可信性的主要因素包括来自软件内部的代码缺陷、代码错误、程序故障以及来自软件外部的病毒、恶意代码等,因此从代码角度来保证软件的可信性是实现可信软件的重要途径之一。编译器作为重要的系统软件之一,其可信性对整个计算机系统而言具有非常重要的意义。软件程序一般都需要经过编译器编译后方能执行,如果编译器不可信,则无法保证其所生成代码的可信性。本文主要讨论设计和实现可信编译器的主要思路和关键技术。     

基于密码隔离的恶意代码免疫模型

基于访问控制的恶意代码防御模型对恶意代码实行的是逻辑隔离,它可能被旁路且防御效果受限于访问控制策略的有效性.本文基于密码学原理建立了一个恶意代码免疫模型,以克服逻辑隔离的脆弱性;定义了代码植入规则、保护规则和执行规则,实现代码存储和执行的安全;证明了在系统初态安全且代码加、解密密钥安全的条件下,任何时刻恶意代码都不会被执行和传播.     

PCI设备的安全性分析

对PCI扩展ROM规范进行分析,研究其存在的安全隐患,在此基础上,对计算机系统进行渗透性攻击,并提出隐患检测和防护措施。利用扩展ROM代码在完整性保护上存在的缺陷,将恶意代码写入扩展ROM中,通过该恶意代码篡改系统的启动模块,达到攻击系统内核、获得系统权限的目的。实验结果表明,渗透性攻击能实现对计算机系统的控制,防护措施能确保系统安全。     

基于分布式结构的网络恶意代码智能分析系统

对变形特征码进行归一化处理,改进WM算法,运用启发式扫描、仿真、虚拟化、主动防御等前沿的恶意代码分析技术,采用分布式的设计结构,设计了具有完备恶意代码特征码数据库、高效特征码匹配、自动捕获和控制恶意行为、平衡的资源消耗、较低误报率的网络恶意代码智能分析系统。     

Mitigating Malicious Code

ABSTRACT

Mitigation of malicious code is increasingly complicated by multi-staged and mutli-variant attacks taking place daily on the Internet today. It is now common for computers to be infected for long periods of time, with malicious browser help objects, rootkits, and similar stealth codes. Identification and removal from a computer can be especially difficult. In some cases, the only reasonable effort may be to completely wipe and reinstall an image of the system, known to be free of malicious code. Manual mitigation of malicious code is a sophisticated process of threat identification, research, mitigation, and monitoring to properly remove all threat components related to an attack.