一种高效的面向虚拟桌面恶意代码检测机制

与传统的恶意代码检测方式相比,面向虚拟桌面的恶意代码检测方法面临着性能方面的挑战,同一物理服务器上多个虚拟桌面同时开展恶意代码检测使得磁盘等硬件成为严重的IO性能瓶颈.本文提出了一种高效的虚拟桌面恶意代码检测方案,基于母本克隆技术的虚拟桌面恶意代码检测机制(MCIDS),MCIDS根据虚拟桌面系统的特点,通过系统映像网络存储克隆技术以及部署在网络存储系统中的恶意代码引擎减少虚拟桌面系统中的恶意代码检测范围,有效减少恶意代码检测所需的磁盘IO开销;同时MCIDS还克服了传统"Out-of-the-Box"安全检测机制存在的语义差别问题,改善了系统的安全性能.在原型系统上的实验显示该方法在技术上是可行的,与现有方法相比MCIDS具有较好的性能优势.     

基于虚拟文件系统的安全存储技术的研究

介绍了一种基于虚拟文件系统的加密存储方法.通过文件系统开发技术设计并实现一个虚拟文件系统,该文件系统能够将一个二进制文件映射成虚拟磁盘,而且可以在虚拟磁盘上存取数据.为了保证虚拟磁盘中的文件的安全性,还在虚拟文件系统上集成了加密引擎、密钥管理和硬件绑定等模块.这种安全存储技术操作简单,并且能够提供高效实时的加密/解密措施,具有一定的实用价值.     

基于改进型循环神经网络的恶意代码分类检测

近年来,随着恶意代码检测技术的提升,网络攻击者开始倾向构建能自重写和重新排序的恶意代码,以避开安全软件的检测。传统的机器学习方法是基于安全人员自主设计的特征向量来判别恶意代码,对这种新型恶意代码缺乏检测能力。为此,文中提出了一种新的基于代码时序行为的检测模型,并采用回声状态网络、最大池化和半帧结构等方式对神经网络进行优化。与传统的检测模型相比,改进后的模型对恶意代码的检测率有大幅提升。     

XEN虚拟IO的调度优化

提出一种基于驱动域授权表和优先级加权的虚拟IO调度策略,根据不同客户域与请求资源的差异,得出IO请求的调度优先级,实现虚拟IO调度.实验证明,兼顾不同优先级域的调度策略提高了系统的吞吐率,驱动域授权表机制减少了IO虚拟化中授权与页面映射操作的开销.     

一种新的网络对象存储设备研究

Internet的飞速发展对于存储系统的可扩展性提出了很高的要求,也带来了由数据模型与存储模型的不一致问题引起的服务器性能瓶颈现象.针对这些情况,本文提出了网络对象附属存储设备(NAOSD)的概念,其利用设备处理器的能力直接支持结构化数据存储.这一设计减少了存储系统中数据服务器的负载,增加了系统吞吐量.同时,研究了该设备原型在集群环境中的应用,提出了数据/元数据统一存储与查询式数据定位机制.分析表明,这些机制能够较显著地提高系统扩展性——数据访问时间随系统规模的扩大呈对数增长,优于传统的映射定位机制.我们已经模拟实现了NAOSD,并在性能比较测试中取得了较好的效果.     

TRSF:一种移动存储设备主动防护框架

 移动存储设备属于被动设备,其安全防护往往依赖于终端系统的安全机制,在提供安全性的同时会降低系统可用性.本文提出了一种基于可信虚拟域的移动存储设备结构框架TRSF(Trusted Removable Storage Framework)实现存储设备的主动防护.TRSF将智能卡芯片和动态隔离机制绑定到存储设备中,并由片上操作系统构建从底层可信平台模块到隔离运行环境的可信数据通道,从而为移动存储设备在非可信终端系统中被非可信进程访问和使用提供一个可信虚拟环境.最后基于TRSF实现了一款主动安全U盘UTrustDisk.与没有增加主动防护机制相比,增加该机制导致平均读写性能开销分别增加了7.5%和11.5%.     

云存储中一种基于布局的虚拟磁盘节能调度方法

 在云存储中,如何有效地调度用户请求到目标磁盘以实现绿色节能存储是一个热点问题.鉴于云存储对节能调度算法提出的新要求,如请求响应时间敏感与对动态优化的限制等,本文提出了一种基于布局的虚拟磁盘节能调度方法.该方法将磁盘阵列动态划分为工作区与就绪区,以工作区为主向用户分发资源,并以未连接虚拟机的虚拟磁盘为单位,根据实时负载情况对虚拟磁盘布局进行动态优化.实验结果表明,这种方法不仅能够降低磁盘阵列的能耗,而且能够有效地缓解响应时间延长的问题,还能够使虚拟磁盘布局达到更高的负载均衡水平.     

基于纹理特征的网络通信恶意代码检测方法

由于当前恶意代码发展迅速,以往静态检测和动态检测方法在对网络通信环境中的恶意代码进行检测时,存在检测时间长、检测结果匹配度低,影响检测性能问题。文章通过开展基于纹理特征的网络通信恶意代码检测方法研究,通过恶意代码灰度工程矩阵纹理特征提取、网络通信恶意代码纹理特征规范化处理、恶意代码变种检测、恶意代码纹理分块形式化表征,提出一种全新的检测方法。对比实验证明,新的检测方法与动态检测和静态检测相比,检测时间更短,并且检测结果匹配度更高。     

视频监控中多磁盘存储调度算法的研究

在视频监控应用系统中,视频信息存储需要大量磁盘存储空间,需要采用设计合适的机制进行视频信息的存储调度,既可以进行多路同时存储又保证存储效率。提出了基于磁盘剩余空间和被访问频度的多磁盘存储调度算法以及定时检测增加磁盘剩余空间的算法。     

磁盘阵列上虚拟磁盘的管理

随着计算机技术的发展,数据量急速增如,数据管理成为一个研究热点。磁盘阵列的出现极大地改善了数据管理的性能。在使用磁盘阵列时,往往把它划分为多个逻辑磁盘,磁盘的大小不能改变。这种方法降低了磁盘空间的利用效率。为了解决这个问题,可以把磁盘阵列划分为一个或多个共享存储池。每个共享存储池管理多个虚拟磁盘。这些虚拟磁盘共同使用共享存储池的磁盘空间。为了协调多个虚拟磁盘同时向共享存储池读写数据的问题,设计了一个调度算法。使用这种方法,实现了对磁盘阵列的有效管理。     

基于模糊识别和支持向量机的联合Rootkit动态检测技术研究

 针对Rootkit恶意代码动态检测技术进行研究.总结出典型Rootkit恶意程序动态行为所调用的系统API函数.实时统计API调用序列生成元并形成特征向量,通过模糊隶属函数和模糊权向量,采用加权平均法得到模糊识别的评估结果;基于层次的多属性支持向量机分析法构建子任务;基于各个动态行为属性的汉明距离定位Rootkit的类型.提出的动态检测技术提高了自动检测Rootkit的准确率,也可以用于检测未知类型恶意代码.     

“In-VM”模型的隐藏代码检测模型

Security tools are rapidly developed as network security threat is becoming more and more serious. To overcome the fundamental limitation of traditional host based anti malware system which is likely to be deceived and attacked by malicious codes, VMM based anti malware systems have recently become a hot research field. In this article, the existing malware hiding technique is analyzed, and a detecting model for hidden process based on “In VM” idea is also proposed. Based on this detecting model, a hidden process detection technology which is based on HOOK SwapContext on the VMM platform is also implemented successfully. This technology can guarantee the detecting method not to be attacked by malwares and also resist all the current process hiding technologies. In order to detect the malwares which use remote injection method to hide themselves, a method by hijacking sysenter instruction is also proposed. Experiments show that the proposed methods guarantee the isolation of virtual machines, can detect all malware samples, and just bring little performance loss.     

动态代码的实时可信传递研究

 基于可信计算技术的恶意代码防范机制可以弥补传统杀毒方式对未知恶意代码防范能力的不足,但是软件自动在线升级和补丁安装会生成和调用未知的动态代码,对这些动态代码的实时可信判定问题阻碍了可信计算技术的应用普及.动态代码实时可信判定和可信传递方法(Trust Determination and Transitivity Method of Dynamic codes,TDTMD)从代码的调用环境和调用方式出发,对动态代码的来源是否可信进行判定,进而对动态代码是否可信进行判断.TDTMD可以在保证应用软件和系统的运行连续性前提下,提供对各种已知或未知恶意代码攻击的有效防范能力.TDTMD的原型系统及其实验结果表明,它对系统的运行性能影响较小,并且安全有效.     

基于内容解析的容灾备份存储系统桌面虚拟化存储优化方法

This paper proposes a content addressable storage optimization method, VDeskCAS, for desktop virtualization storage based disaster backup storage system. The method implements a blockThis paper proposes a content addressable storage optimization method, VDeskCAS, for desktop virtualization storage based disaster backup storage system. The method implements a block-level storage optimization, by employing the algorithms of chunking image file into blocks, the block-finger calculation and the block deduplication. A File system in Use Space (FUSE) based storage process for VDeskCAS is also introduced which optimizes current direct storage to suit our content addressable storage. An interface level modification makes our system easy to extend. Experiments on virtual desktop image files and normal files verify the effectiveness of our method and above 60% storage volume decrease is achieved for Red Hat Enterprise Linux image files.level storage optimization, by employing the algorithms of chunking image file into blocks, the block-finger calculation and the block deduplication. A File system in Use Space (FUSE) based storage process for VDeskCAS is also introduced which optimizes current direct storage to suit our content addressable storage. An interface level modification makes our system easy to extend. Experiments on virtual desktop image files and normal files verify the effectiveness of our method and above 60% storage volume decrease is achieved for Red Hat Enterprise Linux image files.     

基于纹理指纹的恶意代码变种检测方法研究

提出一种基于纹理指纹的恶意代码特征提取及检测方法,通过结合图像分析技术与恶意代码变种检测技术,将恶意代码映射为无压缩灰阶图片,基于纹理分割算法对图片进行分块,使用灰阶共生矩阵算法提取各个分块的纹理特征,并将这些纹理特征作为恶意代码的纹理指纹;然后,根据样本的纹理指纹,建立纹理指纹索引结构;检测阶段通过恶意代码纹理指纹块生成策略,采用加权综合多分段纹理指纹相似性匹配方法检测恶意代码变种和未知恶意代码;在此基础上,实现恶意代码的纹理指纹提取及检测原型系统。通过对6种恶意代码样本数据集的分析和检测,完成了对该系统的实验验证。实验结果表明,基于上述方法提取的特征具有检测速度快、精度高等特点,并且对恶意代码变种具有较好的识别能力。     

基于网络爬虫的跨站检测改进方法研究

跨站攻击通常产生在用户与动态网站交互的输入接口,用于危害网络计算机系统安全和窃取用户隐私。为了防止这种攻击可采用基于网络爬虫的跨站检测方法,对于用户访问的网站进行检测,查看是否具有跨站漏洞或恶意代码。通过对现有跨站漏洞检测工具的工作原理及性能的分析,提出一种基于词汇动态加权重组的跨站漏洞检测方法,称为LDWR-XD。该方法在网页抓取,攻击代码检测等模块比以往工具都有明显的改进。最后,对系统的测试结果表明,系统具有一定的可行性与实用性。     

卫士通安全桌面云助力企业云落地

介绍了卫士通安全桌面云系统的架构及组成、系统功能及特色,及系统的典型部署设计。卫士通安全桌面云系统综合运用了桌面云、商用密码、安全存储和虚拟化安全等技术,在确保企业数据大集中的前提下,实现了用户统一身份认证、安全访问控制、资源及行为监控审计、数据集中安全存储、操作系统安全加固等一系列安全功能,既可以应用到普通的办公网环境中,也可以应用到有大量硬件开发的科研院所的研发环境中。     

基于知识图谱的恶意域名检测方法

人工智能在恶意域名检测领域的应用越来越广泛,而传统的恶意域名检测方法主要采用黑名单方式,存在时效性较差的问题。因此,提出了一种将知识图谱与恶意域名检测相结合的系统,完成了信息在知识图谱中的存储和表示。将系统的嵌入式模型作为输入,使用BiLSTM神经网络提取特征并完成最终的检测。实验表明,在通过真实数据构造的数据集上,该系统性能良好,对恶意域名的检测准确率高达99.31%。     

未知恶意代码族群归属决策研究

提出了恶意代码API调用函数特征集的概念.根据不同恶意代码为实现相同功能调用相同API函数的特点,给出了一种基于API调用函数集合的恶意代码特征提取方法.使用集合运算获取族群函数特征集,通过模糊聚类与熵值法计算出未知恶意代码与已知恶意代码族群的正隶属度,利用正隶属度极大原则来确定未知恶意代码归属族群,最后给出算例.该方法不需要人工干预决策,易于程序实现.