一种基于综合行为特征的恶意代码识别方法

基于行为的分析方法是恶意代码检测技术的发展方向,但现有的以孤立行为特征为依据的恶意代码识别方法误报率较高,本文提出了一种基于代码综合行为特征的恶意代码检测方法-IBC-DA.该算法通过改造的攻击树模型描述恶意代码执行过程中各相关主体间的关系,在此基础上计算得到的恶意性权值能够更加准确地反映代码执行过程对系统的影响.实验表明,利用本文算法进行病毒检测具有较低漏报率和误报率,并对未知恶意代码的防范具有积极意义.     

基于逆向工程的Android恶意行为检测方法

由于Android系统应用市场的特性导致恶意软件传播迅速,对用户的手机乃至个人隐私造成了十分巨大的危害。本文首先介绍了Android应用的逆向技术,然后分析了恶意代码采用的多种Android代码隐藏技术及隐私获取的代码特征。针对这些情况,本文基于Android的逆向工程提出了一种静态检测和动态检测相结合的恶意行为检测方法,可以更加有效的检测代码中的恶意行为。最后通过对Android样本应用的分析表明此方法的可行性与有效性。     

网页恶意代码检测系统研究

为了保护网页不被嵌入恶意代码,提出了一种基于网页文件代码分类检测技术的恶意代码检测系统,并完成了软件设计与开发.该系统采用J2EE技术开发,能够对网页文件进行代码分类扫描,并根据不同的扫描结果进行相应的处理.通过实际应用表明,采用代码分类检测技术能够高检出、低误报的识别出多种恶意代码,达到了设计要求.     

基于纹理特征的网络通信恶意代码检测方法

由于当前恶意代码发展迅速,以往静态检测和动态检测方法在对网络通信环境中的恶意代码进行检测时,存在检测时间长、检测结果匹配度低,影响检测性能问题。文章通过开展基于纹理特征的网络通信恶意代码检测方法研究,通过恶意代码灰度工程矩阵纹理特征提取、网络通信恶意代码纹理特征规范化处理、恶意代码变种检测、恶意代码纹理分块形式化表征,提出一种全新的检测方法。对比实验证明,新的检测方法与动态检测和静态检测相比,检测时间更短,并且检测结果匹配度更高。     

移动恶意代码分析及检测技术研究

目前移动互联网产业重心逐渐向移动应用服务转移。产业界各方竞相角逐移动应用市场:移动应用数量飞速增加,移动应用功能不断加强,应用用户体验持续提升。但是移动应用在飞速发展的同时也滋生了众多的安全隐患,移动恶意代码分析及检测技术已经成为当前移动应用软件健康发展的重要保证之一。针对这些问题,文章首先对移动恶意代码现状进行研究,重点分析应用软件开放环境和检测躲避技术,然后具体介绍目前主要移动恶意代码检测技术并进行对比,最后展望未来移动恶意代码检测技术的应用和发展。     

基于代码覆盖的恶意代码多路径分析方法

 传统的恶意代码动态分析每次分析的对象只是恶意代码的某一个执行路径,难以保证分析的全面性.恶意代码多路径分析是解决该问题的思路之一.本文提出一种基于代码覆盖的多路径分析方法,通过标识判断条件节点,减少局部路径被重复遍历的次数,在保证分析效果的同时,提高分析系统的分析效率以及代码覆盖率.通过对大量典型恶意代码的分析验证表明,本方法可明显缩短分析时间,提高分析效率和分析的全面性.     

移动终端恶意代码关联和追踪

现在手机恶意代码整个家族数量比较多。这里,我不对整个恶意代码家族的形态和机理做展开讨论,只以其中一个恶意代码家族为例讲一下相关的变种和自我变化情况。这个家族是我们实力强劲的对手,因为它背后的团队很有“技术追求”。从捕获的样本来看,这个家族将恶意代码设计在安卓系统上,目前的变种将近9个,通过对这些变种的认识和分析,我认为共有三代。第一代手机恶意代码是安卓系统上典型的捆绑型代码。它是通过将自己的代码段捆绑加入到正常应用程序中进行传播,实现自己的恶性行为。它有自己的提权模块,也有恶意代码自启动的代码段。从这个恶意代码功能的实现来看,一般是先提权,上传隐私数据,并且会定期从远程控制服务器系统获取指令,然后执行。通常,其恶意行为主要是在手机上灌装远程指令配置的新恶意代码或推广新软件。     

移动终端恶意代码关联和追踪

现在手机恶意代码整个家族数量比较多。这里,我不对整个恶意代码家族的形态和机理做展开讨论,只以其中一个恶意代码家族为例讲一下相关的变种和自我变化情况。这个家族是我们实力强劲的对手,因为它背后的团队很有“技术追求”。从捕获的样本来看,这个家族将恶意代码设计在安卓系统上,目前的变种将近9个,通过对这些变种的认识和分析,我认为共有三代。第一代手机恶意代码是安卓系统上典型的捆绑型代码。它是通过将自己的代码段捆绑加入到正常应用程序中进行传播,实现自己的恶性行为。它有自己的提权模块,也有恶意代码自启动的代码段。从这个恶意代码功能的实现来看,一般是先提权,上传隐私数据,并且会定期从远程控制服务器系统获取指令,然后执行。通常,其恶意行为主要是在手机上灌装远程指令配置的新恶意代码或推广新软件。     

基于多特征融合和增强模型的恶意代码检测方法

随着互联网、云计算、物联网等技术的飞速发展,恶意代码引起的网络安全事件频发,引起了社会极大的恐慌。基于多特征融合和增强模型的恶意代码检测方法利用主成分分析法、随机森林法对图像GIST特征、操作码序列、字节统计值、文件结构等特征进行优化,利用贝叶斯优化策略增强K最近邻算法（K-Nearest Neighbor,KNN）、支持向量机、随机森林等模型,并聚合增强模型的检测结果。实验表明,该方法精准率达到了98.98%,准确率达到了97.66%,F1值达到了96.64%,具有良好的分类效果。     

基于行为分析的木马检测系统设计与实现

随着近年来网络技术的飞速发展,安全问题日益突出,病毒、木马、后门程序等恶意代码层出不穷,重大经济损失事件及重要泄密事件频频发生。传统的代码检查技术主要依靠特征码,静态分析等手段,对分析者的技术要求高,效率较低,难以实现批量检查。针对这些缺点,本文提出一种基于行为分析的木马检测技术,通过记录应用程序的动态行为,综合恶意代码的API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据,分析其恶意危害性;同时给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码,提高木马的检测准确率和检测效率,达到预期的研究目的。     

恶意代码分析技术综述

随着全球信息化的不断推进,整个世界越来越被连成一个整体,威胁计算机系统安全的领域也越来越广泛,其中以恶意代码最为严重。而随着计算机系统安全攻击与防御技术的不断较量,恶意代码的攻击手法、攻击形式也越来越趋于隐秘化、复杂化。因此,有必要对当下的恶意代码分析技术进行总结,从中发现新的发展方向,以应对不断变化的恶意代码形势。     

适用于并行运算卷积码恶码检验的方法

在通信系统中,为了保证通信系统的可靠性,克服信道中的噪声和干扰,需要引入信道编码。当利用计算机搜索到大约束长度的卷积码生成多项式,为了剔除搜索到的恶性卷积码生成多项式,必须对搜索到的生成多项式进行检验。判定一个编码器的生成多项式是否是恶性的方法是数学推导和 Matlab计算。然而这些方法只适合约束长度较短的卷积码,而当约束长度较大时,运用现有的计算手段很难对编码器生成多项式进行检验。提出了一种基于卷积码自身状态特性的适用于并行就算的检验算法,实验表明该算法可在很大程度上提高检验的效率,有很大的实用价值。     

Research of Malicious Code Attack Effect Based on Synthetic Entropy Method

To resolve the problem of assessing the effect of a network attack, this paper combines cross entropy with network character entropy method and proposes scheme to evaluate the malicious code attack effect. It captures the related indicators in real time and normalizes the data so as to evaluate it at the same level. It adopts cross entropy method to pretreat the indicators adaptively. We calculate the weight coefficient and exploit network character entropy method to evaluate the attack with accuracy according to the importance of the indicators in the evaluation system. Experimental results and corresponding comparisons reveal that the proposed method can quantitatively determine the exact effect of the malicious code attack.     

一种基于云—管—端的移动互联网恶意程序管控方案研究

为应对恶意程序给移动互联网安全带来的严峻挑战,提出了一种基于“云—管—端”模式的移动互联网恶意程序监测和管控方案,包括:建设云计算支撑平台,以实现手机恶意程序的集中分析、研判、策略分发与管理,在移动互联网网络侧实现手机恶意程序的监控和封堵,在终端侧实现手机恶意程序的查杀,从而构建安全、和谐、绿色的移动互联网环境.     

基于行为的网络恶意攻击防御技术研究

论文对比了诸多安全系统采用的被动反应式"签名"检测技术,介绍了一种可有效构建异常行为检测模型的安全策略和技术方法,并在实际项目研发和权威性测试中得到验证:它提供了一条开发主动、实时,基于行为防御恶意攻击技术的有效途径,安全效能显著,尤其是针对新型网络恶意代码的攻击。     

物联网恶意代码传播模型研究

Nowadays, the main communication object of Internet is human-human. But it is foreseeable that in the near future any object will have a unique identification and can be addressed and connected. The Internet will expand to the Internet of Things. IPv6 is the cornerstone of the Internet of Things. In this paper, we investigate a fast active worm, referred to as topological worm, which can propagate twice to more than three times faster than a traditional scan-based worm. Topological worm spreads over AS-level network topology, making traditional epidemic models invalid for modeling the propagation of it. For this reason, we study topological worm propagation relying on simulations. First, we propose a new complex weighted network model, which represents the real IPv6 AS-level network topology. And then, a new worm propagation model based on the weighted network model is constructed, which describes the topological worm propagation over AS-level network topology. The simulation results verify the topological worm model and demonstrate the effect of parameters on the propagation.     

一种高效的面向虚拟桌面恶意代码检测机制简

 与传统的恶意代码检测方式相比,面向虚拟桌面的恶意代码检测方法面临着性能方面的挑战,同一物理服务器上多个虚拟桌面同时开展恶意代码检测使得磁盘等硬件成为严重的IO性能瓶颈.本文提出了一种高效的虚拟桌面恶意代码检测方案,基于母本克隆技术的虚拟桌面恶意代码检测机制（MCIDS）,MCIDS根据虚拟桌面系统的特点,通过系统映像网络存储克隆技术以及部署在网络存储系统中的恶意代码引擎减少虚拟桌面系统中的恶意代码检测范围,有效减少恶意代码检测所需的磁盘IO开销;同时MCIDS还克服了传统“Out-of-the-Box”安全检测机制存在的语义差别问题,改善了系统的安全性能.在原型系统上的实验显示该方法在技术上是可行的,与现有方法相比MCIDS具有较好的性能优势.     

Web应用程序客户端恶意代码技术研究与进展

随着Web应用程序特别是Web 2.0应用的日益广泛,针对Web应用程序的恶意代码开始大肆传播,成为网络安全的重大威胁.本文首先介绍了目前Web应用程序面临的威胁状况,然后讨论了Web应用程序客户端恶意代码技术以及Web浏览器的漏洞研究和利用技术,最后对Web应用程序客户端恶意代码技术的发展趋势进行了展望,并给出了Web应用程序客户端安全的加固策略.