信息安全威胁综合报告

1.2008年计算机病毒疫情统计与分析 2005-2008年新增病毒数量对比 从下图中分析可知四年的时问内,恶意代码从2005年日处理量平均约84个,年总量31526个;一跃到今年日处理量平均约23726个,年总量8659887个单从数量上的巨大跨度就能看出四年来恶意代码发展的迅猛程度.     

CNCERT／CC捕获恶意代码新样本数量略有下降

2008年11月1日至11月30日期间,CNCERT／CC捕获恶意代码次数比上月上升了约46％,所捕获的新样本数量比上月下降了约18％。本月日均捕获恶意代码4010次。2008年11月1日至11月30日期间,CNCERT／CC日均捕获新样本180个.     

《2008西蒙杯全国高等院校大学生综合布线竞赛》活动圆满结束

自2005年起，高等学校智能建筑指导小组与美国西蒙公司在中国地区联合举办“全国高等院校大学生综合布线竞赛》，2008年举办了第四届竞赛活动。本届竞赛的内容是，参赛学生对一至两个现有的屏蔽布线系统用户进行问卷调查，并结合文献资料完成“屏蔽布线用户调查报告”。     

恶意代码数量激增 警惕其传播扩散

CNCERT／CC监测发现,2009年1月捕获的新恶意代码样本数量与2008年12B比大幅增长近8．5倍,与此同时。报告的垃圾邮件事件数量增长亦十分迅速,而中国被木马控制的主机数量亦增长4倍。恶意代码的传播主要有网页挂马、邮件等方式,广大用户应警惕网页和邮件附件中的恶意链接。     

一种基于主动学习的恶意代码检测方法

现有恶意代码的检测往往依赖于对足够数量样本的分析.然而新型恶意代码大量涌现,其出现之初,样本数量有限,现有方法无法迅速检测出新型恶意代码及其变种.本文在数据流依赖网络中分析进程访问行为异常度与相似度,引入了恶意代码检测估计风险,并提出一种通过最小化估计风险实现主动学习的恶意代码检测方法.该方法只需要很少比例的训练样本就可实现准确的恶意代码检测,较现有方法更适用于新型恶意代码检测.通过我们对真实的8,340个正常进程以及7,257个恶意代码进程的实验分析,相比于传统基于统计分类器的检测方法,本文方法明显地提升了恶意代码检测效果.即便在训练样本仅为总体样本数量1%的情况下,本文方法可以也可达到5.55%的错误率水平,比传统方法降低了36.5%.     

多方联动全面构建我国网络病毒综合防控体系

2007是不平静的一年,包括病毒在内的恶意代码数量持续大幅度增长,虽然没有出现大规模的网络拥塞和系统瘫痪事件,但"熊猫烧香"、"艾妮"、"AV终结者"等     

基于CNN-BiLSTM的恶意代码家族检测技术

近年来快速增加的恶意代码数量中大部分是由原有家族中通过变异产生,所以对恶意代码家族进行检测分类显得尤为重要。提出了一种基于CNN-BiLSTM网络的恶意代码家族检测方法,将恶意代码家族可执行文件直接转换为灰度图像,利用CNN-BiLSTM网络模型对图像数据集进行检测分类。此方法在避免计算机受到恶意代码伤害的同时全面高效地提取特征,结合CNN和BiLSTM的优点从局部和全局两个方面学习恶意代码家族的特征并实现分类。实验对4个恶意代码家族的4 418个样本进行识别,结果表明该模型相对于传统机器学习具有更高的准确率。     

2011年6月网络安全监测数据分析

2011年6月,中国境内僵尸网络受控主机数量和木马受控主机数量较5月稍有下降,网页篡改数量下降。恶意代码活动情况方面,中国大陆地区约有38万个IP地址对应的主机被木马或僵尸程序控制,较5月下降6%;网站安全方面,6月中国大陆地区被篡改网站数量为3164个,较5月下降6%,其中被篡改政府网站数量为333个,较5月增长57%。     

2011年2月网络安全监测数据分析

根据CNCERT监测结果,2011年2月,我国境内僵尸网络受控主机数量有所下降,境内木马受控主机和网页篡改数量略有增长。①恶意代码活动情况方面,我国大陆地区约有66万个IP地址对应的主机被木马程序控制,较2010年1月增长25;我国大陆地区约有5.8万个IP地址对应的主机被僵尸程序控制,较1月下降60;②网站安全方面,我国大陆地区被篡改网站数量为4796个,较1月下降14,其中被篡改政府网站数量为288个,较1月的337个下降15。     

横河电机综合控制系统荣获2008年度编辑选择奖

2008年11月5日,在上海中国国际工业博览会开幕当天,CONTROL ENGINEERING China在上海新国际展览中心工博会会场隆重举办了2008年度产品创新颁奖大会。横河电机的综合控制系统CENTUM VP荣获了过程与先进控制类2008年度编辑选择奖,上海技术部部长陈鹏作为横河公司的代表出席大会并领取了该奖项。     

恶意代码同源性分析及家族聚类

针对恶意代码数量呈爆发式增长,但真正的新型恶意代码却不多,多数是已有代码变种的情况,通过研究恶意代码的行为特征,提出了一套判别恶意代码同源性的方法。从恶意代码的行为特征入手,通过敏感恶意危险行为以及产生危险行为的代码流程、函数调用,应用反汇编工具提取具体特征,计算不同恶意代码之间的相似性度量,进行同源性分析比对,利用DBSCAN聚类算法将具有相同或相似特征的恶意代码汇聚成不同的恶意代码家族。设计并实现了原型系统,实验结果表明提出的方法能够有效地对不同恶意代码及其变种进行同源性分析及判定。     

深入前沿，探索求知——第四届西蒙杯大学生综合布线竞赛如期而至

由美国西蒙公司联合高等学校智能建筑专家指导小组共同创办，以帮助学子获得最新综合布线理念与技术为宗旨的西蒙杯大学生综合布线竞赛，继在2005，2006及2007连续成功举办了3届之后，将于2008年2月1日再次拉开序幕。     

2011年7月网络安全监测数据分析

根据CNCERT监测结果,2011年7月,中国境内僵尸网络受控主机数量和木马受控主机数量较6月稍有下降,网页篡改数量下降。恶意代码活动情况方面,中国大陆地区约有27万个IP地址对应的主机被木马或僵尸程序控制,较6月下降30％;网站安全方面,7月中国大陆地区被篡改网站数量为2613个,较6月下降17％,其中被篡改政府网站数量为182个,较6月的333个减少45％。     

2011年3月网络安全监测数据分析

根据CNCERT监测结果,2011年3月,中国境内僵尸网络受控主机数量和木马受控主机数量较2月大幅增长,网页篡改数量下降明显。恶意代码活动情况方面,中国大陆地区约有153.8万个IP地址对应的主机被木马程序控制,较2月增长134;中国大陆地区约有25.7万个IP地址对应的主机被僵尸程序控制,较2月增长343;网站安全方面,3月中国大陆地区被篡改网站数量为3280个,较2月下降32,其中被篡改政府网站数量为318个,较2月的288个增长10%。     

基于MobileNet的恶意软件家族分类模型

现有基于卷积神经网络(CNN)的恶意代码分类方法存在计算资源消耗较大的问题.为降低分类过程中的计算量和参数量,构建基于恶意代码可视化和轻量级CNN模型的恶意软件家族分类模型.将恶意软件可视化为灰度图,以灰度图的相似度表示同一家族的恶意软件在代码结构上的相似性,利用灰度图训练带有深度可分离卷积的神经网络模型MobileNet v2,自动提取纹理特征,并采用Softmax分类器对恶意代码进行家族分类.实验结果表明,该模型对恶意代码分类的平均准确率为99.32%,较经典的恶意代码可视化模型高出2.14个百分点.     

2011年5月网络安全监测数据分析

根据CNCERT监测结果,2011年5月,中国境内僵尸网络受控主机数量和木马受控主机数量较4月大幅下降,网页篡改数量下降.恶意代码活动情况方面,中国大陆地区约有40万个IP地址对应的主机被木马或僵尸程序控制,较4月下降75％；网站安全方面,5月中国大陆地区被篡改网站数量为3358个,较4月增加5％,其中被篡改政府网站数量为212个、较4月减少7％.     

2011年10月网络安全监测数据分析

根据CNCERT监测结果,2011年10月,中国境内僵尸网络受控主机数量和木马受控主机数量较9月有所上升,网页篡改数量有所下降恶.恶意代码活动情况方面,中国大陆地区约有52万个IP地址对应的主机被木马或僵尸程序控制,同类比较9月增长4.7％.网站安全方面,10月中国大陆地区被篡改网站数量为2051个,较9月下降7.9％,其中被篡改政府网站数量为201个,较9月增加11％.     

2011年11月网络安全监测数据分析

根据CNCERT监测结果,2011年11月,中国境内僵尸网络受控主机数量和木马受控主机数量较10月大幅上升,网页篡改数量下降。恶意代码活动情况方面,中国大陆地区约有165万个IP地址对应的主机被木马或僵尸程序控制,较10月大幅增长217.9%;网站安全方面,11月中国大陆地区被篡改网站数量为1785个,较10月下降13.0%,其中被篡改政府网站数量为131个,较10月下降34.8%。     

2011年1月网络安全监测数据分析

根据CNCERT监测结果,2011年1月,中国境内僵尸网络受控主机数量略有增长,境内木马受控主机和网页篡改数量有所下降。恶意代码活动情况方面,中国大陆地区约有46万个IP地址对应的主机被木马程序控制,较2010年12月下降51%[1];中国大陆地区约有14万个IP地址对应的主机被僵尸程序控制,较上月增长1%;网站安全方面,中国大陆地区被篡改网站数量为5596个,较上月下降5%,其中被篡改政府网站数量为337个,较上月的544个下降38%,占大陆被篡改网站比例由9.23%减少到6.02%     

基于特征融合的恶意代码分类研究

基于特征码匹配的静态分析方法提取的特征滞后于病毒发展,且不能检测出未知病毒。为此,从病毒反编译文件及其灰度图出发进行特征提取及融合,采用机器学习中的随机森林(RF)算法对恶意代码家族进行分类,提取恶意代码的操作码指令和灰度图纹理2个局部特征,并将颜色直方图作为恶意代码的全局特征。实验结果表明,融合恶意代码特征与RF算法可实现恶意代码家族的有效分类,平均准确率达到99.59%。