僵尸网络检测研究

僵尸网络是一种严重威胁网络安全的攻击平台。文章先给出僵尸网络的定义,然后分析其工作机制,命令与控制机制。针对当前主流的僵尸网络检测方法,按照不同的行为特征进行分类,根据僵尸网络的静态特征、动态特征以及混合特征,对当前的主要检测方法进行了归纳、分析和总结。并在文章最后提出,建立一个完备的僵尸网络检测模型需要将僵尸网络的动态特征检测模型与静态特征检测模型相互结合,而这才是僵尸网络检测模型未来发展的重点。     

基于系统调用序列的恶意软件检测技术

随着物联网(IoT)的发展,嵌入式设备数量呈指数式增长,针对Linux内核的多样化系统的恶意软件数量不断增加。对恶意软件的自动分析检测一直是研究的重难点,且集中在基于Windows平台的恶意软件,由于Linux嵌入式设备基于的CPU架构不同、风格多元,静态分析流程复杂,对自动化分析造成阻碍,目前对于Linux恶意软件技术的检测尚不成熟。该文借鉴计算机视觉领域的图像分类思想,相较于传统的静态分析、动态分析,神经网络具有良好的处理复杂信息的能力,胶囊网络模型是近年来具有优异性能的图像分类算法,且很好地应用于小型样本图像分类任务。以可以标识软件行为的Linux软件系统调用序列作为特征,将特征转化为图像,对胶囊网络进行训练,实现对Linux恶意软件检测的目的,在自行收集的恶意软件数据集上测试准确率达到0.998 8。     

Android恶意软件检测技术分析和应用研究

针对Android平台安全问题,提出了手机端和服务端协作的恶意代码检测方案,手机端应用主要采用基于permission检测技术,实现轻量级的检测。服务端检测系统主要负责对手机端提交的可疑样本进行检测,同时实现了软件行为分析,特征库更新,与手机端同步等功能。其中服务端检测技术包括基于permission检测技术、基于字节码静态检测技术和基于root权限的动态检测技术。实验测试结果表明,3种检测技术能达到较好的检测效果。     

向僵尸网络反击

检测僵尸网络检测僵尸机器人的方法大致可分为两类——涉及到静态分析的方法和涉及到行为分析的方法。静态分析主要是针对已知的威胁列表检查计算机的特征;行为分析主要是在通信网络中监控僵尸网络表现出已知的行为特性。静态分析的结果更     

Android平台恶意软件的静态行业检测

采用静态行为检测的方法检测Android平台的恶意软件,避免手机恶意软件可能导致用户隐私的泄露、电池耗尽和发送垃圾短信造成的高额话费开支.通过静态分析ELF(executable and linkable format,可执行可链接)文件的符号信息,从动态链接重定位表中提取Android程序的函数调用信息,作为程序的行为特征.最后,使用Nearest Neighbor,Naive Bayes和SMO(结构化查询语言管理对象)3种分类模型对样本进行了分类.分类结果表明,采用静态ELF文件分析的方法,可以有效地检测Android恶意软件.     

一种静态Android程序恶意性检测方法

分析Android恶意程序行为特征,研究基于静态行为特征的Android程序恶意性检测方法及其实现方案,根据程序的静态行为特征来判断程序是否具有恶意性。针对Kirin方案做了2个方面的改进,一方面增加了对API的检测,细化了检测粒度,另一方面量化了不同静态行为特征的恶意性指数,通过计算程序的恶意性指数来分析程序的安全等级。实验结果表明,该方法能够有效地检测Android程序的恶意性程度。     

一种基于社交网络的卫星IP数据分析算法

针对卫星IP数据分析问题,利用协议分析将非结构化的IP数据文件转化为结构化特征,基于提取的结构化特征构建卫星IP通联网络,并提出了一种基于模块度的IP通联网络自动划分算法,实现了不同网络节点的自动聚类。为进一步提取IP通联网络中的信息,提出了一种基于度和集聚系数的节点重要性评价方法,实现了卫星IP通联网络中节点重要性的自动评价。实验结果表明,提出的算法能够提取卫星IP数据中的有价值信息,可有效支撑卫星通信侦察信息处理。     

基于行为分析的木马检测系统设计与实现

随着近年来网络技术的飞速发展,安全问题日益突出,病毒、木马、后门程序等恶意代码层出不穷,重大经济损失事件及重要泄密事件频频发生。传统的代码检查技术主要依靠特征码,静态分析等手段,对分析者的技术要求高,效率较低,难以实现批量检查。针对这些缺点,本文提出一种基于行为分析的木马检测技术,通过记录应用程序的动态行为,综合恶意代码的API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据,分析其恶意危害性;同时给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码,提高木马的检测准确率和检测效率,达到预期的研究目的。     

基于大数据技术的片上网络静态漏洞检测系统研究

为减轻静态漏洞体对计算机片上网络造成的序列化运行危害,设计一种基于大数据技术的片上网络静态漏洞检测系统。利用Hadoop检测框架,定向规划片上网络漏洞处理模块、静态漏洞评估模块的物理运行位置,实现新型检测系统的硬件运行环境搭建。在此基础上,采集漏洞信息的入侵行为,并以此为标准编写大数据检测函数,在相关组织设备的促进下,构建片上网络的静态漏洞行为链,实现新型检测系统的软件运行环境搭建。结合基础硬件条件,完成基于大数据技术的片上网络静态漏洞检测系统研究。对比实验结果显示,与hook系统相比,应用新型漏洞检测系统后,计算机片上网络的平均容错率达到90%,单位时间内出现的漏洞总量不超过3.0×109TB,序列化运行危害得到有效缓解。     

基于异构图嵌入的恶意软件检测

和同构图相比,异构图包含多种节点类型和关系类型,可以表征更丰富更复杂的内容。文中提出了一种基于异构图嵌入的恶意软件检测方法,从威胁情报平台得到恶意样本的基本信息和行为报告,提取出报告中的函数调用行为、文件行为和注册表行为,构造出包含软件及其动静态特征的异构图;根据设计的元模式在图上随机游走生成语料库,通过嵌入模型得到特征向量;将嵌入降维后的特征向量送入分类器进行分类完成检测。实验筛选了4 902个样本用于验证方法效果,结果表明提出的方法检测准确率达到99.1%,可以有效检测恶意软件。     

基于人工智能技术的光通信网络异流数据检测

为准确检测光通信网络异流数据,提出基于人工智能技术的光通信网络异流数据检测方法。基于K-means聚类分析光通信网络流数据特征类型,实现特征聚类,预处理去除聚类后的网络流数据特征样本中的冗余特征;将预处理后的特征样本作为识别样本,以识别异常网络流数据特征的形式,检测异流数据。实验结果验证：此方法对多种光通信网络异流数据的检测结果与实际情况一致,具有准确检测光通信网络异流数据能力。     

一种基于深度学习的强对抗性Android恶意代码检测方法

针对现有Android恶意代码检测方法容易被绕过的问题,提出了一种强对抗性的Android恶意代码检测方法.首先设计实现了动静态分析相结合的移动应用行为分析方法,该方法能够破除多种反分析技术的干扰,稳定可靠地提取移动应用的权限信息、防护信息和行为信息.然后,从上述信息中提取出能够抵御模拟攻击的能力特征和行为特征,并利用一个基于长短时记忆网络（Long Short-Term Memory,LSTM）的神经网络模型实现恶意代码检测.最后通过实验证明了本文所提出方法的可靠性和先进性.     

TVOS应用审核管理平台的设计与实现

TVOS应用审核管理平台是为保障TVOS应用安全而设计开发的软件系统,具备TVOS应用安全检测、代码审计、渗透测试等功能,可以从静态分析、污点分析、动态分析、基于沙盒的行为捕获等多方面对TVOS应用进行安全审核。本文从系统定位、系统架构、业务流程、软件开发与实现等角度对TVOS应用审核管理平台进行了详细的介绍。TVOS应用审核管理平台的设计与实现为未来面向全国一体化部署的TVOS应用商店建设和部署提供了技术参考。     

基于集成学习的光纤光栅传感网络入侵行为检测

针对光纤光栅传感网络结构复杂，入侵行为检测难度较高的问题，研究基于集成学习的光纤光栅传感网络入侵行为检测方法。选取支持向量机作为集成学习算法的基分类器，计算各基分类器分类光纤光栅传感网络入侵行为样本的误差率，依据基分类器的误差率确定基分类器的重要程度。利用AdaBoost集成学习算法，依据各基分类器的重要程度集成各基分类器，构建最终的集成分类器，利用所构建集成分类器，输出光纤光栅传感网络入侵行为检测结果。实验结果表明，该方法可以精准检测光纤光栅传感网络的远程入侵、拒绝服务入侵等入侵行为，数据丢弃量较低，提升了光纤光栅传感网络的通信性能。     

大视场TDI CCD相机静态传递函数实时检测与记录系统

为了解决大视场TDI CCD相机静态传递函数(下面简称传函)检测过程中传函图像受环境影响较大、检测准确度不高等问题,设计了一种静态传函实时检测与记录系统。首先,根据大视场TDICCD相机静态传函图像特征,建立一个实时检测与记录的硬件和软件平台,实时接收相机输出的图像数据。其次,分析清晰靶标图像和模糊靶标图像的特征,设置区分两者的静态传函阈值,从实时接收的靶标图像中选取清晰靶标图像作为检测样本。然后,对靶标图像样本中的所有TDI CCD像元处的静态传函进行计算并做均值处理,将靶标图像样本的图像数据和静态传函值进行记录以便于后期分析处理。最后,对大视场TDI CCD相机5个通道进行静态传函的实时检测,记录20帧靶标图像样本的平均静态传函值,分析每个通道静态传函的标准偏差。实验结果表明:系统在选取0.01作为静态传函阈值的情况下,大视场TDI CCD相机每个通道静态传函值的标准偏差均小于1%,有效去除了模糊靶标图像引起的检测误差,提高了静态传函检测的精度和效率。     

用户行为驱动的自组织网络资源配置研究

提出了通过将用户行为作为自组织网络资源管理考虑的因素来弥补当前网络不足的方法。对动态和静态用户行为特征的提取进行了分析,选取了典型的自组织网络资源分配场景,给出了这些场景下利用用户群体行为特征和个性行为特征进行网络资源优化配置的方法。指出在利用用户行为特征进行网络资源配置时需要根据具体的场景,选取合适的用户行为分析模型,提取相应的关键参数,从而实现对网络资源的高效配置。论证了户行为驱动的自组织网络资源配的可行性。     

基于时空双分支网络的行为检测与识别技术研究

针对传统行为识别方法难以适应复杂的电厂环境,且未充分利用监控视频的时序信息等问题,提出了一种基于时空双分支网络的行为检测与识别技术。该技术利用时空双分支网络提取图像特征,分别基于卷积神经网络、循环神经网络获取图像的空域及时域特征,且使用混合组卷积与横向连接完成特征融合。同时将融合特征作为Softmax分类函数的输入,并经过分数计算得到行为类型。以某电厂的视频监控数据集为样本进行的实验分析结果表明,所提技术方案的行为识别准确率高达94%,且收敛速度快,优于其他对比技术,能够有效解决电厂的行为检测与识别问题。     

基于模糊关联规则挖掘的网络入侵检测算法

为了有效解决当前网络入侵检测算法存在的缺陷,提高网络的安全性,提出基于模糊关联规则挖掘的网络入侵检测算法。首先收集网络数据,提取网络入侵行为的特征;然后采用模糊关联规则算法对入侵行为特征进行挖掘,选择入侵行为最有效的特征,减少特征之间的关联度;最后支持向量机根据"一对多"的思想建立网络入侵检测的分类器,以KDD CUP数据为例对网络入侵检测性能进行分析。结果表明,该算法的网络入侵检测正确率超过了95%,检测结果要明显好于其他检测算法,易实现,可以用于大规模网络的在线入侵检测分析。     

卫星网络安全路由研究

依据卫星网络特点，对卫星网络安全的关键技术进行深入的研究，提出一种安全路由协议，该协议采用静态配置与动态调整相结合的策略，在网络拓扑变化时自动对路由进行调整，并为协议增加了基于信誉度的安全机制，使之能够检测到网络中节点的恶意行为并迅速做出反应，实现对网络内部及外部攻击的防范。     

Android系统手机恶意程序的静态检验方法研究

Android系统手机由于其本身的开源性、程序开发门槛低、对恶意行为的检测缺乏等原因,导致了大量恶意程序的出现,给用户安全带来了巨大安全隐患,因此针对Android系统恶意程序检验方法的研究很有必要。文章利用一个典型恶意程序样本abc.apk,通过apktool、dex2jar等静态检验方法进行研究,搜索查找检验结果中的恶意特征代码、申请的权限等恶意信息,为动态检验提供研究基础。