基于词法特征的恶意域名快速检测算法

针对互联网中恶意域名攻击事件频发，现有域名检测方法实时性不强的问题，提出一种基于词法特征的恶意域名快速检测算法。该算法根据恶意域名的特点，首先将所有待测域名按照长度进行正则化处理后赋予权值；然后利用聚类算法将待测域名划分成多个小组，并利用改进的堆排序算法按照组内权值总和计算各域名小组优先级，根据优先级降序依次计算各域名小组中每一域名与黑名单上域名之间的编辑距离；最后依据编辑距离值快速判定恶意域名。算法运行结果表明，基于词法特征的恶意域名快速检测算法与单一使用域名语义和单一使用域名词法的恶意域名检测算法相比，准确率分别提高1.7%与2.5%，检测速率分别提高13.9%与6.8%，具有更高的准确率和实时性。     

主机数据流量检测的实现

分布式网络环境中主机数据流量的异常通常反映出主机是否遭受病毒、木马等恶意程序的入侵而成为网络攻击中的傀儡机,因此,对主机数据流量进行监测可以尽早发现潜在的危险。研究了基于Cisco路由器的主机数据流量检测的基本方法,并给出了具体的程序实现方法和网络硬件环境配置方法。     

恶意软件鉴别技术及其应用

随着互联网技术的发展和安全形势的变化,恶意软件的数量呈指数级增长,恶意软件的变种更是层出不穷,传统的鉴别方法已经不能及时有效的处理这种海量数据,这使得以客户端为战场的传统查杀与防御模式不能适应新的安全需求,各大安全厂商开始构建各自的"云安全"计划。在这种大背景下,研究恶意软件检测关键技术是非常必要的。针对恶意软件数量大、变化快、维度高与干扰多的问题,我们研究云计算环境下的软件行为鉴别技术,探讨海量软件样本数据挖掘新方法、事件序列簇类模式挖掘新模型和算法及在恶意软件鉴别中的应用,并构建面向云安全的恶意软件智能鉴别系统原型以及中文钓鱼网站检测系统架构。     

Research on malicious traffic identification technology in encrypted traffic

The encrypted transmission of network traffic is one of the development trends of the Internet.The identification of malicious traffic in encrypted traffic is an important way to maintain the security of cyberspace.One of the prior tasks of identifying malicious traffic is to classify encrypted traffic into the encrypted/unencrypted,different kinds of the application programs and encryption algorithms in order to improve the efficiency of identification.Then they are transformed into the image,matrix,n-gram or other forms which will be sent into the machine learning training model,so as to realize the binary classification and multi classification of benign malicious traffic.However,the machine learning based way relies seriously on the number and quality of samples,and can not effectively deal with the data after traffic shaping or confusion.Fortunately,cryptography based malicious traffic identification can search malicious keywords over encrypted traffic to avoid such problems,which must integrate searchable encryption technology,deep packet inspection and a provable security model to protect both data and rules.Finally,some unsolved problems of malicious traffic identification technology in encrypted traffic are presented.     

无线传感器网络中基于安全数据融合的恶意节点检测

无线传感器网络的一些固有特点,如节点能量、存储空间和计算处理能力均有限,网络节点布署在野外而无人值守,节点易被敌方捕获,因而网络内部易存在恶意节点。本文在分析Atakli等人提出的WTE方案基础上,提出了一种新的基于安全数据融合的恶意节点检测算法(MNDSDF)。针对节点数目较多层次型的无线传感器网络,MNDSDF算法首先在WTE权值融合的思想上添加了高信誉值过滤机制,来检测恶意采集节点;其次针对WTE和WCF只允许簇内单跳和融合结果受恶意节点影响较大等不足,提出了数据包计数的策略,来检测恶意转发节点。与WTE相比,MNDSDF算法能抵制更多种攻击行为,适应更宽泛的路由协议。通过仿真实验,MNDSDF算法可以有效检测出部分恶意行为,并经过与WTE和WCF比较,具有更高检测率和更低误检率。     

基于深度学习的恶意文档可视化检测

为了更加准确、快速地检测恶意PDF与DOCX格式文档,提出一种基于深度学习的恶意文档可视化检测方法。该方法通过马尔可夫模型将文档的字节序列转化为三通道的彩色图,从而获取更能区分恶意文档和良性文档的视觉表征,并采用当前主流的EfficientNet-B0模型对提取的可视化特征进行分类。结合迁移学习领域中的微调技术,将ImageNet上的分类权重应用到EfficientNet-B0模型的训练中,加快检测模型的收敛速度,缩短模型的训练时间。实验证明,在两个数据集上,模型的收敛速度快于随机初始化权重的预训练,且模型对恶意PDF文档和恶意DOCX文档的检测准确率分别达到了99.80%和98.14%,优于ResNet34、MobileNetV2等模型。与主流的恶意文档检测工具Wepawet和PJScan相比,所提出的方法具有更优的综合检测性能,进一步验证了所提出方法对恶意文档检测的有效性。     

基于K-L散度的恶意代码模型聚类检测方法

在云计算应用环境下,由于服务系统越来越复杂,网络安全漏洞和被攻击情况急剧增加,传统的恶意代码检测技术和防护模式已无法适应云存储环境的需求。为此,通过引入高斯混合模型,建立恶意代码的分层检测机制,使用信息增益和文档频率等方法分析和提取样本数据特征值,结合K-L散度特性,提出基于K-L散度的恶意代码模型聚类检测方法。采用KDDCUP99数据集,使用Weka开源软件完成数据预处理和聚类分析。实验结果表明,在结合信息增益和文档频率进行特征分析的前提下,与贝叶斯算法相比,该方法在虚拟环境中恶意代码的平均检测时间降低16.6%,恶意代码的平均检测率提高1.05%。     

Android安全综述

Android是一款拥有庞大市场份额的智能移动操作系统,其安全性受到了研究者的广泛关注.介绍了Android的系统架构,分析了Android的安全机制,从系统安全和应用安全2个角度对其安全性能和相关研究进行了讨论.Android系统安全包括了内核层安全、架构层安全和用户认证机制安全3个方面.内核层和架构层的安全威胁主要来自于安全漏洞,内核层的安全研究集中于将SELinux引入内核层以增强安全性能,架构层的安全研究集中于权限机制的改进和应用编程接口(application programming interface,API)的安全实现、规范使用.用户认证机制直接关系到整个系统的隐私数据安全,实现方式灵活多样,得到了研究者的广泛关注.Android应用安全的研究包括了恶意应用检测和漏洞挖掘2项技术,对恶意应用的伪造技术、应用安装时恶意应用检测技术和应用运行过程中实时行为监控技术进行了讨论,对组件暴露漏洞和安全相关API的调用漏洞2类漏洞的相关研究进行了介绍.最后,总结了Android安全研究现状,讨论了未来的研究方向.     

基于Bi-GRU的Webshell检测

Webshell是一种隐蔽性较高的Web攻击工具, 其作用是获取服务器的操作权限. 在编写Webshell时, 攻击者通过一系列免杀技术来绕过防火墙, 这导致现有方法检测Webshell的效果不佳. 针对这一现状, 本文从文本分类的角度出发, 提出一种基于Bi-GRU的Webshell检测方法. 首先将网页脚本文件进行编译, 得到opcode指令; 然后,通过word2vec算法将指令转换为特征向量; 最后, 使用多种深度学习模型进行训练, 以准确率、误报率、漏报率作为评估标准. 最终实验结果表明, Bi-GRU检测效果优于其他算法模型, 证明该算法是可行的.     

基于动态行为和机器学习的恶意代码检测方法

目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码。提出一种结合动态行为和机器学习的恶意代码检测方法。搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特征。在此基础上,基于双向门循环单元（BGRU）建立恶意代码检测模型,并在含有12 170个恶意代码样本和5 983个良性应用程序样本的数据集上对模型效果进行验证。实验结果表明,该方法能全面获得恶意代码的行为信息,其所用BGRU模型的检测效果较LSTM、BLSTM等模型更好,精确率和F1值分别达到97.84%和98.07%,训练速度为BLSTM模型的1.26倍。