一种基于多移动Agent的P2P网络主动免疫机制

针对对等计算(P2P)环境中日益严峻的恶意代码传播及攻击问题,通过引入多移动Agent技术,提出一种适合P2P网络系统的主动免疫机制.基于多移动Agent的P2P网络主动免疫机制借鉴了生物免疫原理,并利用多Agent技术构建了面向不同功能的Agent,在中枢免疫节点与普通Peer之间、普通Peer与普通Peer之间实现了一种联合防御恶意代码的协作关系;还利用移动Agent技术实现了可以在整个P2P网络环境中漫游、承担主动探测恶意代码功能的Agent和携带免疫疫苗进行远程免疫的Agent,从而实现了对恶意代码的快速响应、分析处理和有效抵御,降低了恶意代码的危害程度.为了高效率地将免疫疫苗分发于网络各节点,还提出一种新的ET+扩散树模型以及基于ET+树的疫苗分发算法.首先分析了P2P网络恶意代码传播模型,然后介绍了基于多移动Agent的P2P网络主动免疫模型的体系结构及组件,以及基于ET+树的免疫疫苗分发算法,最后对算法性能进行了对比仿真验证.     

基于可信计算技术的恶意代码防御研究

本文在分析恶意代码破坏机理的基础上,提出了基于可信计算技术的恶意代码防御框架,并给出了该防御框架的具体实施方案。     

基于Agent的DDoS协同防御实体行为建模

现有分布式拒绝服务(DDoS)协同防御实体行为建模逼真度较低,且形式化描述不规范.针对上述问题,提出一种基于Agent 的DDoS协同防御实体行为建模方法.采用基于Agent的建模思想及输入-输出映射原理,建立包含自主行为和交互行为的实体行为概念模型,设计改进的Agent行为形式化描述方法,从自适应性、自学习性和交互性3个因素考虑,构建协同防御实体行为模型,准确描述防御实体的智能行为.     

基于扩展攻击树的文件安全度评估研究

在深入研究恶意代码行为特征基础上,本文通过分析传统恶意代码检测模型的缺陷,建立了基于扩展攻击树的文件安全度评估模型,综合节点自身属性值与节点间相互关系,提出了一种基于行为的动态恶意代码行为分析检测方法。该方法能够有效评估文件的安全度,对包含未知恶意代码的文件也具有一定的检测能力。     

基于“In-VM”思想的内核恶意代码行为分析方法

随着互联网的高速发展,网络安全威胁也越来越严重,针对恶意代码的分析、检测逐渐成为网络安全研究的热点。恶意代码行为分析有助于提取恶意代码特征,是检测恶意代码的前提,但是当前自动化的行为捕获方法存在难以分析内核模块的缺陷,本文针对该缺陷,利用虚拟机的隔离特点,提出了一种基于"In-VM"思想的内核模块恶意行为分析方法,实验表明该方法能够分析内核模块的系统函数调用和内核数据操作行为。     

恶意代码行为获取的研究与实现

分析对比了恶意代码的静态分析方法和动态分析方法,设计并实现了一种结合虚拟机技术和Windows操作系统自身所具有的调试功能来获取恶意代码行为的模块,该模块能够自动控制虚拟机运行监控程序来获取恶意代码的行为,并通过引入基于信息增益的特征权重算法来获得行为特征.     

基于行为的分布式恶意代码检测技术

针对已有恶意代码检测技术存在不足,研究恶意代码网络传播行为,提取相应行为特征,在此基础上提出基于行为的分布式恶意代码检测技术,并进行NS-2仿真实验。实验结果表明该方法具有较低的误报率和漏报率,可有效检测恶意代码。     

一种基于二维行为特征的恶意代码识别方法

恶意代码检测识别技术的研究方向是基于行为特征的分析,当前的研究主要针对孤立的行为特征进行分析,导致较高的漏报和误报率。文中提出一种基于二维行为特征的恶意代码检测识别算法。该算法通过归纳和分析反汇编后的代码的系统调用序列图、调用流图特征,结合代码的语义结构和代码结构特征来表现恶意代码的"行为"特性。通过使用加权多数投票算法,并综合分类器的特征优势,给出判定结果。实验表明,使用该算法进行恶意代码检测识别具有较低的漏报误报率。     

基于API关联性的恶意行为层次化分析方法

为深入分析恶意代码的运行原理以及详细功能,减少恶意代码的分析周期,提出基于API关联的层次化行为分析方法。分析API的调用机制与参数的特征,给出基于API的行为定义;在此基础上,设计并实现API的行为关联算法,建立行为关联模型;通过行为关联模型,可以通过恶意代码的API数据信息提取出基本行为信息,并进一步提取对象行为以及进程行为,提供多维视角。设计恶意代码分析原型系统,使用实际测试样本集验证了该方法的可行性。     

基于语义的恶意代码行为特征提取及检测方法

提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力.     

基于操作系统安全的恶意代码防御研究述评

总结了安全操作系统实现恶意代码防御的典型理论模型,分析了它们的基本思想、实现方法和不足之处,指出提高访问控制类模型的恶意代码全面防御能力和安全保证级别、从操作系统安全体系结构的高度构建宏病毒防御机制以及应用可信计算技术建立操作系统的恶意代码免疫机制将是该领域的研究方向.     

基于DynamoRIO的恶意代码行为分析

提出一种基于动态二进制分析的恶意代码行为分析方法,以动态二进制分析平台DynamoRIO为基础设计实现恶意代码行为分析的原型系统.实验结果证明,该系统能够全面地获取恶意代码的API调用序列和参数信息,通过对API调用的关联性进行分析,准确得到恶意代码在文件、注册表、服务及进程线程操作等方面的行为特征.     

一种面向环境识别的恶意代码完整性分析方法

完整性分析一直是恶意代码动态分析的难点。针对恶意代码动态分析方法存在行为获取不完整的问题,提出了一种面向环境识别的恶意代码完整性分析方法,通过分析恶意代码执行过程中的数据流信息识别恶意代码敏感分支点,构造能够触发隐藏行为的执行环境,提高了恶意代码行为分析的完整程度。通过对50个恶意代码样本的分析结果表明,该方法能有效缩减分析时间,获得更加全面的行为信息,有效提高分析效率和分析的完整性。     

基于密码隔离的恶意代码免疫模型

基于访问控制的恶意代码防御模型对恶意代码实行的是逻辑隔离,它可能被旁路且防御效果受限于访问控制策略的有效性.本文基于密码学原理建立了一个恶意代码免疫模型,以克服逻辑隔离的脆弱性;定义了代码植入规则、保护规则和执行规则,实现代码存储和执行的安全;证明了在系统初态安全且代码加、解密密钥安全的条件下,任何时刻恶意代码都不会被执行和传播.     

基于分布式结构的网络恶意代码智能分析系统

对变形特征码进行归一化处理,改进WM算法,运用启发式扫描、仿真、虚拟化、主动防御等前沿的恶意代码分析技术,采用分布式的设计结构,设计了具有完备恶意代码特征码数据库、高效特征码匹配、自动捕获和控制恶意行为、平衡的资源消耗、较低误报率的网络恶意代码智能分析系统。     

基于动态行为和机器学习的恶意代码检测方法

目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码。提出一种结合动态行为和机器学习的恶意代码检测方法。搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特征。在此基础上,基于双向门循环单元（BGRU）建立恶意代码检测模型,并在含有12 170个恶意代码样本和5 983个良性应用程序样本的数据集上对模型效果进行验证。实验结果表明,该方法能全面获得恶意代码的行为信息,其所用BGRU模型的检测效果较LSTM、BLSTM等模型更好,精确率和F1值分别达到97.84%和98.07%,训练速度为BLSTM模型的1.26倍。     

基于加权信息增益的恶意代码检测方法

采用数据挖掘技术检测恶意代码,提出一种基于加权信息增益的特征选择方法。该方法综合考虑特征频率和信息增益的作用,能够更加准确地选取有效特征,从而提高检测性能。实现一个恶意代码检测系统,采用二进制代码的N-gram和变长N-gram作为特征提取方法,加权信息增益作为特征选择方法,使用多种分类器进行恶意代码检测。实验结果证明,该方法能有效提高恶意代码的检测率和准确率。     

基于多线程的超混沌加解密技术

针对现阶段虚拟机防病毒技术存在的缺陷,本文将基于超混沌Hénon映射的加解密技术与多线程技术相结合,提出了基于多线程超混沌密码的恶意代码隐藏算法;在对恶意代码涉及的隐藏性因素进行分析的基础上,基于层次分析法,提出了恶意代码的隐藏性分析模型。利用灰鸽子这一典型恶意代码对提出的恶意代码隐藏算法进行了实验与测试,并利用隐藏性分析模型对测试结果进行了分析,验证了提出的基于多线程超混沌密码的恶意代码隐藏算法的有效性。本文的研究成果可以增强恶意代码的隐藏性,增加恶意代码的威胁程度,为防病毒技术的发展提供了新思路。