基于数据流分析的网络协议逆向解析技术

对未知网络协议进行逆向解析在网络安全应用中具有重要的意义。现有的协议逆向解析方法大都存在无法处理加密协议和无法获取协议字段语义信息的问题。针对这一问题,提出并实现了一种基于数据流分析的网络协议解析技术。该技术依托动态二进制插桩平台Pin下编写的数据流记录插件,以基于数据关联性分析的数据流跟踪技术为基础,对软件使用的网络通信协议进行解析,获取协议的格式信息,以及各个协议字段的语义。实验结果证明,该技术能够正确解析出软件通信的协议格式,并提取出各个字段所对应的程序行为语义,尤其对于加密协议有不错的解析效果,达到了解析网络协议的目的。     

网络协议过程分析平台及可视化研究

本文研究了网络协过程分析方法以及基于Windows Presentation Foundation（WPF）界面显示技术还原网络协议传送过程。实现了一个基于WPF以及WinPcap的网络协议分析软件。通过网络协议过程分析,能够组织网络数据的上下文,将追溯网络数据的传输过程,了解网络数据的生命周期。将网络数据的语法,语义,语序以及数据之间的关系进行可视化展现。     

基于状态机子图同构匹配的私有工控协议溯源

在对工业互联网设备私有工控协议进行安全分析时,溯源其采用的工控网络协议标准十分困难。文章提出一种基于状态机子图同构匹配的私有工控协议溯源方法,可快速匹配私有工控协议所采用的工控网络协议标准。该方法首先对私有工控协议流量数据进行逆向解析,通过聚类算法提取消息格式和关键字段,根据关键字段构造增广前缀树(Augmented Prefix Tree Acceptor,APTA),推断出协议状态机图;然后采用子图同构匹配算法将该状态机图与工控协议标准状态机图进行子图匹配,解决流量数据有限导致生成状态机图不完整的问题。实验结果表明,该方法溯源准确率在95%以上,可快速定位私有协议采用的工控网络协议标准,从而为进一步的安全分析提供帮助。     

一种使用动态分析的对象状态机自动提取方法

对象行为协议对于辅助其他开发者理解并正确使用对象所提供的外部行为具有十分重要的意义.然而相关文档却常常缺失或存在不一致,需要通过逆向分析的方法进行恢复.针对这一问题,本文提出了一种基于驱动执行和动态分析的对象状态机(Object State Machine,OSM)提取方法.该方法从源代码中提取包含类属性的条件表达式,以其在运行时刻的取值情况及程序异常信息作为状态标识,并通过驱动执行的方式获取运行时的状态转换信息,然后分析运行时信息逐步构造对象状态机.该方法已实现为相应的原型系统,初步实验结果表明通过该方法可以高效、准确地恢复对象行为协议.     

一种基于内核级监测的恶意软件聚类分析方法

恶意软件分析技术的研究一直都是安全研究的重点之一。近年来,基于机器学习和数据挖掘算法的恶意软件行为特征的分析方法逐渐受到研究人员的重视。但目前这类方法普遍基于用户态行为进行分析。针对用户态监测所处层级高、容易造成获取行为不完整等问题,本文提出一种基于内核级监测的恶意软件聚类方法,在内核中监测获取恶意软件内核函数调用序列,提取内核行为表示成内核行为表示模型,并采用层次聚类算法对内核行为序列进行聚类分析。通过实验,验证了本文的分析方法能够获取较好的分析结果。     

基于C4.5的HTTP隧道检测技术研究

针对网络恶意软件威胁日益严重等问题,研究了恶意软件常采用的通信方式——隧道技术,并提出了一种基于C4.5的HTTP隧道检测算法.该算法采用决策支持树算法C4.5提取网络流特征字段,根据特征字段生成训练数据建立HTTP隧道分类的决策树检测模型,采用该分类模型检测HTTP隧道流,为检测恶意软件提供依据.实验结果表明,与同类算法相比,该算法不依赖样本空间的分布,能准确地检测HTTP隧道流,具有良好的有效性和稳定性.     

基于语义的恶意软件判定器框架

目前代码迷惑技术已经成为构造恶意软件变体的主要方式,大量出现的病毒变体使得传统基于程序文本特征的病毒排查工具的防护作用大大降低.本文提出一种新的基于语义的恶意软件变体判定框架,为了确定一个程序是否是某种恶意软件的变体:首先基于符号执行收集程序语义状态,然后通过证明语义之间是否满足变体关系来确定该程序是否是恶意软件的变体.本框架能够识别经代码迷惑变换后得到的程序是属于变换前程序的变体,从而可以减少对病毒数据库的更新.最后,通过一个实现了该框架的原型系统来说明基于语义的恶意软件判定器框架的可行性.     

基于可视化技术的网络协议分析

研究TCP/UDP协议过程分析方法以及基于可视化技术的协议实现过程,实现一个基于Linux和GTK+的网络协议分析软件。通过对TCP/UDP协议的可视化分析,追溯网络数据的传输过程,将网络数据之间的关系和TCP/UDP协议的实现过程以可视化技术进行展现,并将数据转化为可读性强并易于理解的形式展现出来,有助于网络协议学习者更加直观地了解TCP协议的工作原理,从而更好地去分析并设计应用层的协议。     

基于LSTM-CNN的容器内恶意软件静态检测

针对现阶段容器环境下恶意软件检测研究较少且检测率较低的问题,提出了一种基于LSTM-CNN的容器内恶意软件静态检测方法,用以在恶意软件运行前进行检测,从源头阻断其攻击行为,降低检测过程给容器运行带来的性能损耗。该方法通过无代理的方式获取容器内待测软件,提取其API调用序列作为程序行为数据,利用word2vec模型对程序API调用序列进行向量化表征,并基于LSTM和CNN分别提取其语义信息及多维局部特征以实现恶意软件的检测。在容器环境下实现了该方法,并基于公开数据集VirusShare进行测试,结果表明该方法可达到99.76%的检测率且误报率低于1%,优于同类其他方法。     

入侵检测系统中的协议分析子系统的设计和实现

对于一个网络入侵检测系统,协议分析主要有三方面的作用:为检测引擎提供输入,提高检测的有效性,提高检测效率。对于这些功能,该文论述的协议分析子系统对应有三个功能模块:基本协议数据解析模块,包括对数据包各个头部字段的解析;上下文相关的数据关联模块,包括IP分片合并和TCP会话重组;应用层协议分析模块,包括对常见应用协议数据的关键字段的提取和分析。文章的最后给出了系统的应用层协议分析的性能测试数据。     

基于语义的恶意代码行为特征提取及检测方法

提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力.     

一种逆向分析协议状态机模型的有效方法

网络协议的逆向分析技术无论对可信软件的验证、保护还是对恶意软件机理的分析都具有重要用途。由于协议的内在复杂性,重构与其源程序一致的高级模型对分析尤为有益,其中又以有限状态机模型最为典型。建立一种重构网络协议状态机模型的有效方法,主要依据所记录的协议会话的消息流及协议软件实际执行的指令流,通过对指令流反编译并应用改进的形式分析及验证技术构建出状态对象、转移关系及状态转移条件。该方法从协议的会话实例重构出充分一般的状态机模型,效率可行并具有逻辑上可证明的精确性。在详细阐述理论基础之后,也讨论了该方法的实现和应用。     

基于神经网络的汉语口语多义选择

汉语口语分析是交互式话语处理中的重要环节.在汉语中,有意义的最小单位是词,因此多义选择是口语分析系统必须首先解决的问题.该文提出了一种基于精简循环网络的汉语口语多义选择方法,并从词汇的语法、语义分类所固有的内在联系出发,给出了语法、语义的一致化处理策略.通过使用会面安排领域的口语语料进行实验,多义选择的开放测试的正确率为96.9%.     

一种基于主动学习的恶意代码检测方法

现有恶意代码的检测往往依赖于对足够数量样本的分析.然而新型恶意代码大量涌现,其出现之初,样本数量有限,现有方法无法迅速检测出新型恶意代码及其变种.本文在数据流依赖网络中分析进程访问行为异常度与相似度,引入了恶意代码检测估计风险,并提出一种通过最小化估计风险实现主动学习的恶意代码检测方法.该方法只需要很少比例的训练样本就可实现准确的恶意代码检测,较现有方法更适用于新型恶意代码检测.通过我们对真实的8,340个正常进程以及7,257个恶意代码进程的实验分析,相比于传统基于统计分类器的检测方法,本文方法明显地提升了恶意代码检测效果.即便在训练样本仅为总体样本数量1%的情况下,本文方法可以也可达到5.55%的错误率水平,比传统方法降低了36.5%.     

基于动态二进制分析的网络协议逆向解析

研究未知网络协议逆向解析技术在网络安全应用中具有重要的意义。基于此,介绍网络协议逆向解析技术的发展现状,分析基于网络轨迹和基于数据流的2种主要解析方法,提出一种基于动态二进制分析技术的逆向解析方法,并选取DynamoRIO平台作为支撑,实现对数据流信息的记录和分析,从而解析出单条协议消息中主要的协议域。     

基于敏感Native API的恶意软件检测方法

分析恶意软件传播与破坏的行为特征,包括进程、特权、内存操作、注册表、文件和网络等行为。这些行为通过调用相应的API函数来实现,为此,提出一种基于敏感Native API调用频率的恶意软件检测方法,采用Xen进行二次开发,设计对恶意软件透明的分析监测环境。实验结果表明,使用敏感Native API调用频率能够有效地检测多种未知恶意软件。     

Byte-Level Function-Associated Method for Malware Detection

The byte stream is widely used in malware detection due to its independence of reverse engineering. However, existing methods based on the byte stream implement an indiscriminate feature extraction strategy, which ignores the byte function difference in different segments and fails to achieve targeted feature extraction for various byte semantic representation modes, resulting in byte semantic confusion. To address this issue, an enhanced adversarial byte function associated method for malware backdoor attack is proposed in this paper by categorizing various function bytes into three functions involving structure, code, and data. The Minhash algorithm, grayscale mapping, and state transition probability statistics are then used to capture byte semantics from the perspectives of text signature, spatial structure, and statistical aspects, respectively, to increase the accuracy of byte semantic representation. Finally, the three-channel malware feature image is constructed based on different function byte semantics, and a convolutional neural network is applied for detection. Experiments on multiple data sets from 2018 to 2021 show that the method can effectively combine byte functions to achieve targeted feature extraction, avoid byte semantic confusion, and improve the accuracy of malware detection.     

Attention-CNN在恶意代码检测中的应用研究

恶意代码攻击已经成为互联网最重要的威胁之一,并且现存的恶意代码数据庞大,特征多样.为了更好地提取恶意代码特征以及掌握恶意代码的行为,提出了基于注意力机制的Attention-CNN恶意代码检测模型.首先结合卷积神经网络(CNN)和注意力机制,构建了Attention-CNN恶意代码检测模型;然后将恶意代码转化为灰度图像...