一种基于深度学习的强对抗性Android恶意代码检测方法

针对现有Android恶意代码检测方法容易被绕过的问题,提出了一种强对抗性的Android恶意代码检测方法.首先设计实现了动静态分析相结合的移动应用行为分析方法,该方法能够破除多种反分析技术的干扰,稳定可靠地提取移动应用的权限信息、防护信息和行为信息.然后,从上述信息中提取出能够抵御模拟攻击的能力特征和行为特征,并利用一个基于长短时记忆网络（Long Short-Term Memory,LSTM）的神经网络模型实现恶意代码检测.最后通过实验证明了本文所提出方法的可靠性和先进性.     

一种基于综合行为特征的恶意代码识别方法

基于行为的分析方法是恶意代码检测技术的发展方向,但现有的以孤立行为特征为依据的恶意代码识别方法误报率较高,本文提出了一种基于代码综合行为特征的恶意代码检测方法-IBC-DA.该算法通过改造的攻击树模型描述恶意代码执行过程中各相关主体间的关系,在此基础上计算得到的恶意性权值能够更加准确地反映代码执行过程对系统的影响.实验表明,利用本文算法进行病毒检测具有较低漏报率和误报率,并对未知恶意代码的防范具有积极意义.     

面向网络状态的自适应用户行为评估方法

用户复杂的行为往往会导致网络状态出现波动,破坏网络平稳运行,由于指标及权重的主观性和静态性,传统评估方法难以准确衡量用户行为对网络状态变化的影响程度。因此引入粗糙集理论,构建一种面向网络状态的自适应用户行为评估方法,使用属性约简和属性重要度方法对用户行为和网络状态数据进行挖掘,分析用户行为与网络状态变化的关联程度,以此自适应构建评估指标及权重,并随用户行为变化而动态调整,从而准确地量化用户行为对网络状态变化的影响程度。实验结果表明,该评估方法有助于准确发现造成网络状态变化的用户及其行为,能够为加强对用户行为的管控提供有效支持。     

基于行为分析的木马检测系统设计与实现

随着近年来网络技术的飞速发展,安全问题日益突出,病毒、木马、后门程序等恶意代码层出不穷,重大经济损失事件及重要泄密事件频频发生。传统的代码检查技术主要依靠特征码,静态分析等手段,对分析者的技术要求高,效率较低,难以实现批量检查。针对这些缺点,本文提出一种基于行为分析的木马检测技术,通过记录应用程序的动态行为,综合恶意代码的API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据,分析其恶意危害性;同时给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码,提高木马的检测准确率和检测效率,达到预期的研究目的。     

移动Ad Hoc网络DoS攻击效果评估方法

为了有效评估移动Ad Hoc网络中的DoS攻击效果,文章结合网络安全属性和攻击属性两方面建立了评估指标体系,在此基础上,提出了基于变权灰色模糊的攻击效果评估模型,并给出了量化评估的方法和步骤。最后利用该方法对DoS攻击进行了仿真评估分析,量化评估结果能够较好地反映不同攻击方式的效果。     

基于代码进化的恶意代码沙箱规避检测技术研究

为了对抗恶意代码的沙箱规避行为,提高恶意代码的分析效率,该文提出基于代码进化的恶意代码沙箱规避检测技术。提取恶意代码的静态语义信息和动态运行时信息,利用沙箱规避行为在代码进化过程中所产生的动静态语义上的差异,设计了基于相似度差异的判定算法。在7个实际恶意家族中共检测出240个具有沙箱规避行为的恶意样本,相比于JOE分析系统,准确率提高了12.5%,同时将误报率降低到1%,其验证了该文方法的正确性和有效性。     

基于模糊聚类的攻击预警

为提高攻击预警的准确性,本文在基于攻击意图的攻击预警方法的基础上提出了一种基于模糊聚类的攻击预警方法.该方法通过聚类攻击行为,量化和反映攻击者的攻击意图,从而对攻击者的下一步攻击行为进行准确预警.实验表明,该方法能够在有效的时间内更加准确地预测并报警攻击者下一步攻击行为,满足攻击预警时效性和准确性要求.     

基于动态检测与静态分析的自动评分方法研究

为了给C语言编程题进行合理评分,本文提出了一种新型的自动评分方法,在动态检测阶段先利用KMP算法执行关键字匹配,若匹配相似度落入预期值区间,则将学生源程序转换为可执行文件,通过预先设置的测试用例来驱动评分;若关键字匹配未通过、程序无法运行或者运行期间出现异常,则执行静态分析.静态分析阶段选取控制结构作为静态评分的关键因素,采用抽象语法树作为源代码的中间转换形式,并对其标准化以消除代码语义的多样性;根据抽象语法树中的结点类型提取出控制结构子树;最后,利用基于结点权值的树编辑距离算法来匹配标准化后的学生源程序与模板程序的控制结构子树,计算相似度并给出综合评分结果.实验结果表明,该方法能够对程序进行合理有效地评分,并且具有较高的准确率.     

基于终端行为的可信网络连接控制方案

在可信网络连接(TNC)框架下,结合完整性度量方式,通过对终端活动进程的行为属性实时分析并计算终端的"健康度",进而提出实施网络连接控制的方案.与已有的基于终端静态特征的控制方法相比,该方案在识别和隔离潜在安全威胁方面更有效.实验结果表明利用该方案能够实时地将感染恶意代码的终端阻断在网络之外.     

基于模糊识别和支持向量机的联合Rootkit动态检测技术研究

 针对Rootkit恶意代码动态检测技术进行研究.总结出典型Rootkit恶意程序动态行为所调用的系统API函数.实时统计API调用序列生成元并形成特征向量,通过模糊隶属函数和模糊权向量,采用加权平均法得到模糊识别的评估结果;基于层次的多属性支持向量机分析法构建子任务;基于各个动态行为属性的汉明距离定位Rootkit的类型.提出的动态检测技术提高了自动检测Rootkit的准确率,也可以用于检测未知类型恶意代码.     

基于Win32 API调用监控的恶意代码检测技术研究

论文首先分析了现有动态检测恶意代码技术的不足,指出其受恶意代码的旁路攻击和拟态攻击的可能。然后,提出了防范此类攻击的API陷阱技术和调用地址混淆技术。最后由此实现了一个基于Win32API调用监控的恶意代码检测系统,经实验证明,该系统能检测出已知和未知的恶意代码的攻击。     

An Attack Modeling Based on Colored Petri Net

1 Attack Modeling A typical attack contains the following elements: 1) Objects attacked. These objects belong to the victims or can be regarded as public resource, such as networking bandwidth. 2) Attacker. These objects contain the hacker’s information, attacking tools and other states of attacker. 3) Attack processes. The stages of an attack and attack processes are used to depict the attacking action. 4) Control actions. These actions can be classified into response actions and defensiv…     

Dynamic attribute based vehicle authentication

Modern vehicles are proficient in establishing a spontaneous connection over a wireless radio channel, synchronizing actions and information. Security infrastructure is most important in such a sensitive scope of vehicle communication for coordinating actions and avoiding accidents on the road. One of the first security issues that need to be established is authentication via IEEE 1609.2 security infrastructure. According to our preliminary work, vehicle owners are bound to preprocess a certificate from the certificate authority. The certificate carries vehicle static attributes (e.g., licence number, brand and color) certified together with the vehicle public key in a monolithic manner. Nevertheless, a malicious vehicle might clone the static attributes to impersonate a specific vehicle. Therefore, in this paper we consider a resource expensive attack scenario involving multiple malicious vehicles with identical visual static attributes. Apparently, dynamic attributes (e.g., location and direction) can uniquely define a vehicle and can be utilized to resolve the true identity of the vehicle. However, unlike static attributes, dynamic attributes cannot be signed by a trusted authority beforehand. We propose an approach to verify the coupling between non-certified dynamic attributes and certified static attributes on an auxiliary communication channel, for example, a modulated laser beam. Furthermore, we illustrate that the proposed approach can be used to facilitate the usage of existing authentication protocols such as NAXOS, in the new scope of ad-hoc vehicle networks. We use BAN logic to verify the security claims of the protocol against the passive and active interception.     

智能终端应用软件安全技术研究

主要阐述通过动态监控及静态分析等手段对Android系统智能终端软件进行行为分析,以判断软件是否有恶意吸取话费、恶意订购业务、窃取用户手机隐私、控制手机发送垃圾短信、传播不良信息等恶意行为,并结合实例剖析静态反汇编分析、动态行为监控原理及方法。最后初步设计了智能终端应用软件安全防护体系模型,以促进移动互联网安全发展。     

从64位Windows 7系统物理内存镜像中提取网络连接信息的方法

Memory analysis gains a weight in the area of computer live forensics.How to get network connection information is one of the challenges in memory analysis and plays an important role in identifying sources of malicious cyber attack. It is more difficult to find the drivers and get network connections information from a 64-bit windows 7 memory image file than from a 32-bit operating system memory image file. In this paper, an approach to find drivers and get network connection information from 64-bit windows 7 memory images is given. The method is verified on 64-bit windows 7 version 6.1.7600 and proved reliable and efficient.     

一种基于行为的可信计算动态度量方法

针对恶意软件泛滥而现行杀毒软件无法检测未知恶意软件的情况,同时经分析恶意软件,发现虽然其形式多样,但是表现出的恶意行为却存在一定的规律性。由此提出一种实现可信计算动态度量的方法,通过拦截程序运行期间产生的行为,构建决策树模型,以此为依据来判定程序行为是否符合预期。实验证明,此方法可以检测出未知恶意软件,之后通过改进数据预处理模块可以进一步降低误报率以及漏报率。     

Smart-blacklisting:P2P文件共享系统假块污染攻击对抗方法

在当前十分流行的P2P文件共享网络中,假块污染攻击严重地干扰了正常的文件下载过程。提出了基于概率统计及多轮筛选的对抗假块污染攻击策略——Smart-blacklisting,从理论上证明了该策略的有效性。仿真实验结果表明,该策略可以保证目标文件成功下载并降低假块污染攻击对下载时间及带宽消耗的影响。当攻击强度为0.2时,下载时间仅为eMule系统黑名单方法的13%,在带宽消耗方面也仅为其50%。     

基于FSM检测的移动自组网攻击分类研究

在移动自组网环境下,由于移动节点可能被攻击截获,导致攻击从内部产生,传统的网络安全措施难以应用,只有通过入侵检测才能发现攻击者。通过分析移动自组网的攻击类型,并构造从恶意节点发起的攻击树,采用有限状态机的思想,设计一个基于FSM的入侵检测算法。采用该算法的入侵检测系统可通过邻居节点的监视,实时地检测到节点的各种攻击行为。     

基于动态邻接信任模型的安全路由算法研究

对现有路由节点信任相关问题进行了研究,综合路由节点的状态和行为因素提出了一种路由节点动态邻接信任模型。在此模型基础上提出了一种基于动态邻接信任熵的安全路由算法,并在现有OSPF路由协议中对该路由算法进行了验证。仿真结果表明提出的动态邻接信任模型能够准确地反映路由节点状态改变和恶意攻击,具有良好的动态响应能力,提出的安全路由算法能有效地保证路由节点的行为及状态可信并且具有良好的抗攻击性能。