基于因果关联分析恶意代码检测的研究与应用

文章针对恶意代码的攻击原理,介绍了对恶意代码的检测。通过因果关联的分析原理检测恶意代码,提高对恶意代码等网络攻击的安全防范意识,更新操作系统发布的最新安全漏洞补丁,修补操作系统安全漏洞;加强网络共享管理;强化密码设置,增强安全策略,加强密码强度。     

启动型恶意代码分析与检测综述

内核态恶意代码作为破坏操作系统内核,隐藏其他恶意代码的一种恶意程序,已经成为了操作系统安全的重要威胁。近年来出现的一种新的伴随操作系统启动加载的恶意程序通过对计算机启动过程进行劫持,在操作系统启动完成之前实现自身的加载和运行。其结合了普通内核级恶意代码特点和优先于操作系统启动并根植于系统硬件等优势,比普通内核级恶意代码具有更强的隐蔽性和破坏性。分析这种新型恶意代码。首先对其技术发展进行梳理,然后重点针对Windows下典型的启动型恶意代码,分析其在操作系统启动过程的不同阶段中环环相扣的实现技术原理。最后分析了目前检测技术现状,指出现有的检测方法过于依赖在线检测和完整性检测,从两方面提出了改进建议。     

基于市场占有率的操作系统安全漏洞检测模型

操作系统等系统软件中的安全漏洞本质上是一种没有满足软件安全性的缺陷.对安全漏洞的检测过程进行深入研究能够使安全测试人员合理分配测试资源,更准确地评估软件的安全性.深入分析了影响操作系统软件安全漏洞检测的因素,认为安全漏洞检测速度与软件的市场占有率、已发现漏洞数和未发现漏洞数成正比.在此基础上建立了基于市场占有率的漏洞检测模型.该模型表明:在软件发布之前只会暴露少量安全漏洞;某些安全漏洞最终不会被检测到.这两个结论已被实际的数据证实.最后用提出的模型分析了三种流行操作系统的漏洞检测数据集.与同类模型相比,模型具有更好的拟合能力与预测能力.     

解析电脑在短时间内多次中木马的原因

通常表明您的电脑存在严重安全漏洞,病毒可以轻易入侵您的电脑。如果您的电脑由此现象,在查杀木马的基础上,请注意以下问题:未安装操作系统安全补丁微软会持续发布修补Windows操作系统漏洞的安全补丁,如果您未及时安装补丁的话,您的操作系统就会存在可以被恶意程序利用的安全漏洞。请使用Windows操作系统的更新功能或第三方软件安装操作系统补丁,推荐使用360安全卫士安装。360安全卫士会智能选择适合您操作系统的补丁,并进行快速安装。Windows登录密码过于简单如果您的Windows登录密码过于简单,比如"123"、"abcd"等,很容易被恶意程序攻破,并感染您的电脑。     

Windows内核恶意代码分析与检测技术研究

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害。对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术（包括对进程函数、注册表函数、SSDT等的HOOK行为）进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案。实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义。     

Windows内核恶意代码分析与检测技术研究

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害.对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术(包括对进程函数、注册表函数、SSDT等的HOOK行为)进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案.实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义.     

基于多线程的超混沌加解密技术

针对现阶段虚拟机防病毒技术存在的缺陷,本文将基于超混沌Hénon映射的加解密技术与多线程技术相结合,提出了基于多线程超混沌密码的恶意代码隐藏算法;在对恶意代码涉及的隐藏性因素进行分析的基础上,基于层次分析法,提出了恶意代码的隐藏性分析模型。利用灰鸽子这一典型恶意代码对提出的恶意代码隐藏算法进行了实验与测试,并利用隐藏性分析模型对测试结果进行了分析,验证了提出的基于多线程超混沌密码的恶意代码隐藏算法的有效性。本文的研究成果可以增强恶意代码的隐藏性,增加恶意代码的威胁程度,为防病毒技术的发展提供了新思路。     

一种基于可信计算技术的源代码安全审查模型

在现阶段的大规模软件工程开发中,源代码数量已经变得越来越庞大,动辄就是数百万,甚至是数千万行以上.随着源代码数量的激增,代码的逻辑越来越复杂,相互之间的调用关系越来越繁复,代码的安全漏洞也越来越容易出现.常规的人工检查和调试已经完全不能满足庞大的系统软件的审查需求.此时,常在源代码正式发布之前,使用安全代码审查机制来快速找出系统中绝大多数的安全漏洞.针对这一问题,文章结合传统的代码安全审查原理和当前流行的可信计算技术,提出了一种基于可信计算技术的源代码安全审查模型.在代码的安全审查过程中,利用可信计算的可信度量原理的审查方法,结合运用安全操作系统的访问控制机制,检测出源代码中可能不符合可信计算理论的系统资源访问,防止主体触发来源不可信或已被篡改的代码,从而实现对各种已知和未知恶意代码的防御,让最终的代码在运行时符合可信计算标准.该模型通过将不同的软件进行类型分级,从而确定不同软件对系统资源的不同使用权限.使用文中规范开发的代码遵循可信计算标准,可以杜绝恶意代码对系统资源的不安全访问.     

基于UEFI固件的恶意代码防范技术研究

统一可扩展固件接口(UEFI)缺乏相应的安全保障机制,易受恶意代码的攻击,而传统的计算机安全系统无法为固件启动过程和操作系统引导过程提供安全保护。针对上述问题,设计基于UEFI的恶意代码防范系统。该系统利用多模式匹配算法实现特征码检测引擎,用于在计算机启动过程中检测与清除恶意代码,并提供恶意启动项处理及系统内核文件备份等功能。实验结果证明,该系统能为固件及上层操作系统提供完善的安全保护,且代码尺寸小、检测速度快,恶意代码识别率高。     

RPC对网络安全的影响

RPC是Windows操作系统的一个协议,由于RPC的安全漏洞网络常常被攻击。本文研究了RPC的工作原理,同时探讨了RPC安全漏洞产生的原因及解决措施。     

Android平台数据安全保密机制探析

Android操作系统数据安全是为数据处理系统建立技术和管理安全保护,保护用户的数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。为了更好地保护Android手机用户的信息安全,可以通过动态安全口令认证、SQLite数据库安全设计机制、使用密钥将明文转化成密文等方式来实现。     

一种基于本地化特征的恶意代码检测系统设计

随着网络安全技术的发展,计算机病毒已经不能够准确描述安全事件,提出了用恶意代码来描述,由于恶意代码的多样性,目前的恶意代码检测技术不能满足需要。在对恶意代码特征研究的基础上,提出了基于本地化特征的恶意代码检测技术。恶意代码要获取执行的机会,必然要进行本地化设置,对恶意代码的本地化特点进行了研究,在此基础上设计出了一种基于本地化特征的恶意代码检测系统,并进行了测试,结果证明基于本地化特征的恶意代码检测方法是一种有效的方法。     

格上基于智能卡的安全口令认证方案

基于智能卡的认证方案是一种高效且常用的认证机制,但安全性基于数论难题构建的相关认证方案存在不能抵抗量子攻击、恶意读卡器攻击等问题.提出一种新的格上基于智能卡的口令认证方案,该方案利用格密码中近似平滑投射哈希函数和可拆分公钥密码体制,通过用户口令和智能卡完成与服务器的身份认证和会话密钥协商.该方案在随机预言模型下满足理论可证明安全,在抵抗量子攻击、恶意读卡器攻击和其他类型攻击方面有较高的可靠度.仿真实验表明,所提方案执行效率高,满足实际应用需求.     

基于特征阈值的恶意代码快速分析方法

当前恶意代码具有种类多、危害大、复杂程度高、需要的应急响应速度快等特点,针对现有恶意代码分析方法难以适应现场快速分析处置与应用实践的需求的问题,研究了基于特征阈值的恶意代码分析方法,构建了恶意代码快速分析处置的具体环节,包括环境分析、文件细化、静态分析、动态分析,并通过构建的阈值判断来定位代码的功能和家族属性,并给出清除恶意代码的具体方法。实际应用结果证明,此方法对恶意代码安全特性相关的意图、功能、结构、行为等因素予以综合,实现在现场处置层面上对恶意代码安全性的分析研究,为当前网络安全恶意代码的现场快速响应和处置提供了重要支撑。     

异源码字信息无序交融机制及其应用

目前利用单模态密码进行身份认证存在输入方式单一、安全性低等缺点。为此,提出一种异源码字可无序交融输入的方法。建立异类模态密码码字产生硬件的融合机制,给出异类模态密码码字信息归一化格式,为不同的模态信息设计不同的前置处理和密码码字分类等算法,通过异源码字公共单元实现异类模态密码码字的无序交融。基于密码键盘与黑箱子指书2类模态码字的无序交融应用实例表明,该机制可以较好地用于多模态密码输入系统。     

改进的基于RTT口令认证协议

传统的口令认证方案面临自动程序实施的在线字典攻击威胁,为了解决这个问题,Pinkas和Sander提出了一个基于RTT的口令认证协议,虽然该协议有很高的安全性,但是该协议存在已知函数攻击和缺少对恶意用户的惩罚措施的不足,针对以上不足,提出了一种新的改进方案。改进后的协议不公避免了原有协议的不足,且能更好地防止在线字典攻击。在.NET平台下编程实现了改进后的协议,实验结果表明,该协议有很好的可用性和可扩展性。     

BIOS恶意代码实现及其检测系统设计

根据基本输入输出系统(BIOS)恶意代码的植入方式,将其分为工业标准体系结构、高级配置和电源管理接口、外部设备互连模块恶意代码3类,分别对其实现过程进行研究。在此基础上,设计一种BIOS恶意代码检测系统,包括采样、模块分解、解压缩、恶意代码分析模块。应用结果表明,该系统能检测出BIOS镜像文件中植入的恶意代码,可有效增强BIOS的安全性。     

跨安全域网页恶意代码运行机理与防范

网页恶意代码是木马用来传播的主要方式之一,各种有危害性的木马都可以做成网页恶意代码来传播危害用户,通过分析网页恶意代码的运行机理,对其中网页恶意代码实现跨安全域的方法进行深入探讨,分析跨域漏洞形成原因,从程序开发人员的角度给出跨域网页恶意代码的防范方法,为上网用户提供安全的网络环境。     

Securing communication using function extraction technology for malicious code behavior analysis

Since computer hardware and Internet is growing so fast today, security threats of malicious executable code are getting more serious. Basically, malicious executable codes are categorized into three kinds – virus, Trojan Horse, and worm. Current anti-virus products cannot detect all the malicious codes, especially for those unseen, polymorphism malicious executable codes. The newly developed virus will create the damages before it has been found and updated in database. The basic idea of the proposed system is, it will analyze the behavior of the malicious codes and based on the behavior signature of the malicious code content filtering mechanism will be used to filter out contents, so that, the system will be secured from the future communication processes. The behavior of the code is analyzed using the function extraction technology. The function extraction technology will replace the function codes into algebraic expressions. Based on the behavior of the malicious codes, it will be categorized into different kinds of malicious codes. The detected malicious code will be prevented from execution. Based on the type of malicious code, appropriate security mechanism will be used for further communication.