基于语义的恶意代码行为特征提取及检测方法

提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力.     

基于归一化的变形恶意代码检测

许多未知恶意代码是由已知恶意代码变形而来。该文针对恶意代码常用的变形技术,包括等价指令替换、插入垃圾代码和指令重排,提出完整的归一化方案,以典型的变形病毒Win32.Evol对原型系统进行测试,是采用归一化思想检测变形恶意代码方面的有益尝试。     

一种恶意代码变种检测的有效方法

为了改变基于特征码病毒查杀存在的滞后性,以及对于恶意代码变种的无效性,提出了一种基于支持向量机和模糊推理技术的恶意代码及其变种的检测方法。基于Radux原型系统,通过使用多分类机,将恶意程序进一步细分为病毒、蠕虫和木马程序,然后进行恶意代码判定的模糊推理,使得未知病毒的检测概率进一步提升,对于已有恶意程序的检测率高达99.03%,对于恶意程序变种的检测率达到93.38%。     

一种新的恶意代码检测方法

基于主机的检测系统对文件检测能力更强．但是因为开销,成本过高,因此实际中基于网络的检测系统应用场景更广泛,可以部署的节点更多,提升网络恶意代码检测系统的检测能力可以更有效地为之后的恶意代码防御做出支持。但是其节点设备数量虽然多,却相对低端,单台成本更低,不能像主机检测一样将捕捉到的网络数据包还原,即使可以,也费时费力,处理速度跟不上网络流量,将会造成大量的丢包。因此,如果能让检测系统的前端主机在能够不重组数据包就检测出数据包是否为恶意代码意义重大,在不还原数据包的情况下,通过对单包的内容进行检测从而对有问题的包产生告警信息,可以显著增强基于网络的恶意代码检测系统前端主机的检测能力,使其在病毒种植过程中就能探测到异常。     

检测迷惑恶意代码的层次化特征选择方法

各种迷惑恶意代码能够轻易躲避传统静态检测,而动态检测方式虽有较好的检测率,却消耗大量系统资源。为提高低系统开销下迷惑恶意代码的检测率,提出一种层次化特征选择方法,依次在引导层、个体层、家族层和全局层上生成并选择特征。层次方法以逐层精化特征的方式寻求特征冗余和信息漏选之间的平衡。实际数据集上的实验结果表明所提方法的迷惑恶意代码检测率较高,与传统特征选择方法相比,具有所需训练样本集小、泛化能力强的优点。     

JavaScript混淆恶意代码检测方法

随着Web前端代码压缩与混淆工具的快速发展,浏览器需要执行的代码的体积减小,可读性大幅下降,同时也为恶意代码的隐藏提供了便利.为了解决混淆JavaScript代码中恶意代码片段的检测问题,以及找到混淆前后代码中函数的对应关系,通过对JavaScript代码函数调用序列及函数调用的分析,研究基于函数调用序列和函数调用关系...     

基于抽象特征检测变形恶意代码

传统的恶意代码检测方法通常以固定的指令或字节序列这些具体特征作为检测依据,因此难以检测变形恶意代码.使用抽象特征是解决该问题的一个思路.本文针对恶意代码常用的变形技术,即等价指令替换、垃圾代码插入以及指令乱序进行研究.定义了一种抽象特征,同时提出了依据该抽象特征检测变形恶意代码的方法.最后,以典型变形病毒Win32.Evol为对象进行了实验,将该方法与其它方法进行了对比.实验结果验证了该方法的有效性.     

基于行为特征的恶意代码检测方法

研究基于行为特征的恶意代码检测模型及其实现方式,并分析实现中的关键技术。使用自定义行为特征编码模板进行恶意代码匹配,将短周期内2次匹配成功作为判定恶意代码的标准,利用最大熵原理分析2次恶意代码行为的信息论特征。实验结果表明,该方法具有较低的病毒检测误报率和漏报率,并且能有效防范未知恶意代码。     

基于对象语义的恶意代码检测方法

恶意代码变种给信息系统安全造成了巨大威胁, 为有效检测变种恶意代码, 通过动态监控、解析系统调用及参数, 将不同对象操作关联到同一对象, 构建对象状态变迁图, 然后对状态变迁图进行抗混淆处理, 获取具有一定抗干扰性的恶意代码行为特征图。最后, 基于该特征图检测未知代码。实验结果表明, 该方法能够有效抵抗恶意代码重排、垃圾系统调用等混淆技术干扰, 而且误报率低, 在检测变种恶意代码时具有较好的效果。     

非包还原恶意代码检测的特征提取方法

恶意代码在网络中传播时不会表现出恶意行为,难以通过基于行为的检测方法检测出.采用基于特征的方法可以将其检测出,但需要进行网络包还原,这在大流量时对网络数据包进行还原不仅存在时空开销问题,且传统的特征提取方法提取的特征往往过长,容易被分割到多个网络数据包中,导致检测失效.本文提出非包还原恶意代码特征提取,采用自动化与人工分析相结合、基于片段的特征码提取,以及基于覆盖范围的特征码筛选等方法,实验结果表明,对恶意软件片段具有一定识别能力.     

基于Android平台的恶意文件（夹）隔离箱试验系统

Android平台应用越来越广,恶意文件（夹）的植入给用户带来十分大的困扰和危害。该文提出采用了自动实时监控技术和“公共特征库＋自定义特征库”的方式,实现了“基于时间线分析的快照比对机制”、“基于特征库的离散监听”和“基于安全备份的拦截行为”,有效地利用Android系统自身的特性高效的完成相应工作。     

P2P网络中基于权重因素的信任模型

针对P2P网络内部的安全问题,提出了一种P2P网络基于直接交易信任和推荐信任的模型,运用了直接交易信息参数、推荐信息的评价可信度和动态平衡权值参数,较简单准确地描述了节点的综合信任值,在进行交易前与目标节点建立信任关系,能有效抑制恶意节点对网络中其他节点的恶意交易行为和评价欺骗,提高网络交易的安全性。     

基于贝叶斯网络的电信话费欺诈模型的研究及应用

根据对恶意欠费欺诈客户已有的通话行为进行分析,建立一个恶意欠费欺诈行为模型,为电信运营商防范欺诈行为提供技术支持,是迫切需要。将电信业务人员的经验知识和样本数据相结合,在数据挖掘技术的基础上,提出了一种基于贝叶斯网络的电信话费欺诈建模方法。实验表明,基于OLAP分析和贝叶斯网络的话费欺诈预测效果良好,是一种有效的客户欺诈分析工具。     

软件体系结构设计技术及其应用

在大规模软件开发的过程中,软件体系结构设计起着举足轻重的作用,用它来指导整个开发过程,可以准确满足需求并充分提高软件系统的重用性和可维护性。结合数据传输工具DataTrans,详细阐述了一种描绘体系结构的标准化方法并阐述了该方法在DataTrans中的应用。     

PKTS view：一种多媒体数据库视图

在多媒体数据库管理系统中采用视图技术是一个新的课题。文章分析了逻辑视图和实视图在应用于MMDBMS时的不足，给出了一个多媒体数据库视图的时间成本和空间成本模型，并基于这些分析，提出了一种新的视图模式．较好地解决了该类应用中时间成本与空间成本的矛盾。     

面向三维模型高效观察的视点选择技术综述

高效的模型观察,对提高生产实践工作效率具有重要的意义。为此,视点选择技术在近些年得到了很大的发展,是提高模型观察效果的重要技术之一。文章对视点选择技术进行了较系统的梳理,重点讨论了视点度量技术及其发展现状,并探讨了视点采样技术的发展及视点选择技术在多方面应用的情况。最后,讨论了视点选择技术的发展趋势及其应用前景。     

关于知识表示的讨论

知识表示是人工智能（ＡＩ）研究中基本问题之一,对ＡＩ来说,知识表示的研究分成两个层次：（２）知识表示方法的研究,（２）表示观的研究,首先,本文在总结各种表示方法的基础上,提出了一种“知识表示体系树”,以观察ＡＩ研究的发展趋势,其次,文中收集了目前ＡＩ学界对这个问题讨论了各种主张,并将其归纳为评论论、本体论及知识工程等三类对表示的观点;最后,还讨论了ＡＩ一些研究分支与表示的关系。     

异构数据的视图集成研究

视图集成是异构数据源集成问题的关键技术之一.论文引进XML技术,利用其作为一种数据格式描述的元语言标准的优势,改进了已有视图集成方法,采用XQuery语言建立了真正意义上的虚拟的全局视图,为异构数据集成访问奠定了基础.     

Incremental Design of a Data Warehouse

A data warehouse (DW) can be seen as a set of materialized views defined over remote base relations. When a query is posed, it is evaluated locally, using the materialized views, without accessing the original information sources. The DWs are dynamic entities that evolve continuously over time. As time passes, new queries need to be answered by them. Some of these queries can be answered using exclusively the materialized views. In general though new views need to be added to the DW.In this paper we investigate the problem of incrementally designing a DW when new queries need to be answered and possibly extra space is allocated for view materialization. Based on an AND/OR dag representation of multiple queries, we model the problem as a state space search problem. We design incremental algorithms for selecting a set of new views to additionally materialize in the DW that: (a) fits in the extra space, (b) allows a complete rewriting of the new queries over the materialized views, and (c) minimizes the combined new query evaluation and new view maintenance cost. Finally, we discuss methods for pruning the search space so that efficiency is improved.     

一种实化视图的合并算法

对于拥有大量实化视图的实际数据库应用系统,提出了视图合并的方法以减少整个视图 的数量,缩减实化视图的搜索空间;还提出了归并树和基于归并树的快速有效的合并算法。实验表 明,实化视图的合并是快速寻找可能响应查询的实化视图的一种有效途径,可以显著改进查询处理的 性能。