面向恶意软件分析及保护的文件系统

为应对危害日益严重的恶意软件,提出在文件系统层对恶意软件进行分析和防御,并尽可能减少其影响的方法,设计实现了面向恶意软件分析和保护的文件系统(MAPFS). 该系统通过文件版本化技术和钩子技术,可记录1个进程在其生命过程中对文件系统的一系列修改. 这些行为记录可作为分析恶意软件的重要依据,也可用于对被破坏的重要文件进行恢复保护. 实验结果表明,该方法可有效用于恶意软件的分析及保护,MAPFS在性能方面的影响低于10％.     

基于指令跳转分析的Windows RootKit动态检测技术

RootKit是用来维持黑客对计算机控制,使之无法检测的强力工具。当前传统的RootKit技术都有相对应的检测技术。文章介绍了内核对象内联挂接技术,延伸了现有的代码重定向技术,通过对内核对象调用路径的内联挂接,实现隐藏。现有的RootKit检测技术很难检测这种新型RootKit。因此,文章提出了基于指令跳转分析的动态RootKit检测技术,可以动态检测内核对象内联挂接的RootKit,并且能够指出这些RootKit程序的加载映像。     

基于随机森林算法的Android恶意行为识别与分类方法

针对当前Android恶意软件检测方法对检测出的恶意行为无法进行识别和分类的问题,提出基于随机森林（RF）算法的Android恶意行为的识别与分类方法. 该方法在对Android恶意软件的类型进行定义的基础上,利用融合多种触发机制的Android恶意行为诱导方法触发软件的潜在恶意行为;通过Hook关键系统函数对Android软件行为进行采集并生成行为日志,基于行为日志提取软件行为特征集;使用随机森林算法,对行为日志中的恶意行为进行识别与分类. 实验结果表明,该方法对Android恶意软件识别的准确率达到91.6%,对恶意行为分类的平均准确率达到96.8%.     

Linux中实现进程隐藏的一种新方法

针对Linux下实现进程隐藏的已有方法存在进程信息隐藏不彻底、不灵活、系统效率不高的缺点,通过对Linux的proc文件系统进行分析和对用户访问进程信息的途径以及proc文件系统向用户输出进程信息的机制进行研究,提出一种新的实现进程隐藏的方法。该方法能够彻底、灵活地隐藏进程的信息,不但可以隐藏所有进程的信息,也可以有选择地隐藏指定进程的信息和隐藏指定进程的某一部分信息。具有较高效率。     

利用反钩挂技术侦测隐藏进程的攻击

为躲避查杀,先进的木马病毒都采用了进程隐藏技术来运行。通过分析可知,为了实现进程隐藏,实现对API函数的钩挂必不可少,因此,实现反API函数钩挂技术就成为了监测使用了隐藏技术木马的关键。在讨论了在用户空间内侦测各种API函数钩挂技术的关键技术的基础上,提出了可靠的枚举进     

基于KVM的Windows客户机进程查杀技术

传统反病毒架构不能有效利用虚拟化优势解决云平台上的Windows系统所面临的恶意软件威胁,并且传统反病毒软件自身面临安全威胁,针对此问题,本文提出一种基于KVM的无代理Windows客户机进程在线杀毒技术。通过在KVM内核模块中添加读写内存的函数,以及为进程处理模块提供在其中注册钩子的接口等方法,解析客户机当前进程信息。将进程在内存中的PE（Portable Executable）镜像大致还原成运行前的磁盘文件后,调用开源杀毒引擎ClamAV（Clam AntiVirus）进行扫描查毒。查毒结果返回给决策模块后,由进程处理内核模块对可疑进程进行相应处理,实现对客户机当前进程的无代理查杀。分析及测试结果表明,该技术利用虚拟化优势较好的解决传统反病毒框架的资源耗费和自身安全性问题。     

基于ELF静态结构特征的恶意软件检测方法

Linux平台的恶意软件检测方法目前研究较少,主要的分析手段和检测技术依然有很大的局限性。提出了一种基于ELF文件静态结构特征的恶意软件检测方法。通过对Linux平台ELF文件静态结构属性深入分析,提取在恶意软件和正常软件间具有很好区分度的属性,通过特征选择方法约减提取的特征,然后使用数据挖掘分类算法进行学习,使得能正确识别恶意软件和正常文件。实验结果显示,所使用分类算法能够以99.7%的准确率检测已知和未知的恶意软件,且检测时间较短,占用系统资源较少,可实际部署于反病毒软件中使用。     

一种Android恶意行为检测算法

提出一种新的Android恶意行为检测算法,该算法使用系统调用序列和控制流序列表征Android应用程序的行为,通过分析已知恶意软件样本库,训练出一个恶意软件特征基和阈值,再计算Android应用程序与特征基的相似度,根据阈值判断目标是否为恶意软件.根据该算法,开发了一个Android恶意软件检测系统SCADect,并在华为U8860真机上对3 000个测试样本进行分类,准确率达到96.8%;针对包含混淆和加密操作的8簇237个恶意样本,该系统的检出率达到89%,明显优于工具Androguard.实验结果表明,SCADect能够抵抗混淆和加密攻击,提高恶意软件检测的准确率和降低误报率.     

恶意软件检测中的特征选择问题

恶意软件检测问题是一个十分重要的问题,而特征选择的好坏对于恶意软件检测具有决定性的影响.该文提出用有效性,自动性及时空效率作为恶意软件检测中选择的特征好坏评价的基本指标,并讨论了几种恶意软件检测特征选择的分类方法.对目前常见的基于n元序列、基于操作码、基于基本块和基于行为的特征选择方法进行了较为系统的回顾,分析了各种特征选择方法的基本原理,总结梳理了每种特征选择方法的优点和缺点,并对特征选择的效果进行了定性的评估,得出的结论对于选择合适的特征用于恶意软件检测具有积极的参考意义.     

一种Android恶意软件检测模型

针对传统Android恶意软件检测方法检测精度较低等不足,提出一种基于双通道卷积神经网络的Android恶意软件检测模型。首先,提取应用程序的原始操作码序列并生成指令功能序列;然后,将两种序列分别作为卷积神经网络两个通道的输入迭代训练并调整各层神经元权重;最后,通过已训练的检测模型实现对Android恶意软件的检测。实验结果表明,该检测模型对恶意软件具有较好的检测分类精度和检测准确率。     

Method of Preventing Buffer Overflow Attacks by Intercepting DLL Functions

The way of intercepting Windows DLL functions against buffer overflow attacks is evaluated. It＇s produced at the expense of hooking vulnerable DLL functions by addition of check code. If the return address in the stack belongs to a heap or stack page, the call is from illicit code and the program is terminated. The signature of malicious code is recorded, so it is possible for the next attack to be filtered out. The return-into-libc attacks are detected by comparing the entry address of DLL functions with the overwritten return address in the stack. The presented method interrupts the execution of malicious code and prevents the system from being hijacked when these intercepted DLL functions are invoked in the context of buffer overflow.     

基于Windows环境进程监控的设计与实现

介绍了一种以Windows NT内核系统服务调用劫持为基础的进程监控方案的设计与实现。该方案可在不需人工判断和干预的情况下,动态识别进程的合法性,并根据事先规定的响应策略做出及时响应,阻止可疑进程的运行,避免对系统造成重大危害。     

基于云计算的病毒多执行路径

针对目前对于病毒的行为分析工具只能在单机系统中分析一条程序执行的路径,误报率很高的问题,提出了一种行为分析模型。该模型利用云计算海量资源,将病毒多条执行路径的分析移植到云计算虚拟机结点上完成。对每条病毒的执行路径分别在不同的虚拟机结点上并行同时执行分析,通过对虚拟机结点中系统调用的监控找出病毒在某种特定的条件下触发的恶意行为。在开源云平台Eucalyptus的实验表明,该模型可以检测出病毒的条件触发行为,找出触发恶意行为的条件和可以满足这些条件的输入数据,并且性能比单机系统有了很大提升。     

基于时滞的无线传感网恶意软件传播模型

为了深入研究无线传感网中恶意软件程序的传播过程,探讨存在时间滞留的情况下恶意软件的传播模型并分析其传播行为,建立了基于时滞的无线传感网恶意软件传播模型。该模型引入传染病学理论,结合传感器节点能量有限、存在时延等特性,对传播过程和特征进行了具体的分析,并对模型系统中状态转换关系、平衡点的存在性以及局部和全局稳定性进行了正确性和完备性分析证明。基于理论分析,建立仿真模型,设置相应的传播比率,对传播过程中各状态节点数量的变化进行仿真实验,进行了系统稳定性分析;对传播过程中时滞的取值和变化进行仿真,进行了系统时滞影响的分析和阈值的确定;与具有代表性的稳定的延迟网络蠕虫传播模型进行对比,给出了不同传播模型的数据分析。实验验证了稳定性理论分析的正确性,确定了影响传播稳定性的参数阈值及其对传播的影响,与其他模型进行了比较,分析了时滞对系统的影响。提出的模型为恶意软件的传播和控制提供了分析和研究思路,对于建立遏制恶意程序在移动无线传感网中扩散传播的安全策略具有指导意义。     

双Logistic映射下隐藏数字图像的新方法

在Logistic映射基础上,设计了一种隐藏数字图像的新方法.该方案采用两组参数不同的混沌映射生成双混沌序列,利用非线性规则从每个混沌序列中构造出两组实值序列,分别用于置乱和加密数字图像阵列,从而得到失去原图像任何特征的秘密图像,最后将秘密图像嵌入隐蔽载体中完成隐藏数字图像的过程.该方案增强了隐蔽载体的鲁棒性,提高了抗恶意攻击的能力.     

基于耗电分析的Android平台恶意软件检测

该文提出一种基于电量分析的恶意软件检测方法。首先获取移动终端的耗电状态并利用Mel频谱倒谱系数（MFCC）构建高斯混合模型（GMM）。然后采用GMM模型对电量消耗状态进行分析,进而通过对应用软件的分类处理识别恶意软件。实验证明应用软件的功能与电量消耗关系密切,表明基于软件的电量消耗信息分析可以较准确地检测出移动终端的恶意应用。     

无结构对等网络中基于信誉的激励模型研究

将社会网中的信任机制引入到无结构对等网络中,通过社会网相关理论在节点间构建信任关系.把网络中每个节点同时拥有的＂服务贡献者＂和＂服务消费者＂这两个不同角色,分别采用不同的信誉值进行衡量与评估,并以此构建激励模型.在推荐信誉值的评估中,进行了针对恶意节点虚假推荐值的去噪声处理,提高了信誉值评估的抗干扰性.实验结果表明,该模型能够有效抑制搭便车和恶意节点等不合作节点的行为,在保障系统公平性的同时,提高了系统的可靠性与服务质量.     

高交互客户端蜜罐Agent系统研究

根据国内外客户端蜜罐系统的发展现状以及恶意网页攻击机理,设计了一个基于高交互客户端蜜罐技术的协同Agent工作模型,并实现了Malicious Web Site Hunter（MWSH）恶意网页检测系统。系统主要包括控制子系统、高交互级蜜罐子系统及服务子系统三个部分。系统利用Agent技术的协作性以及客户端蜜罐技术的准确性来发现网络中的恶意网页。利用基于VSK逻辑的Agent形式化描述语言对系统涉及的Agent进行了形式化描述,并做了具体实现,不仅可以描述Agent和它的环境信息特征,而且可以描述其完整状态变化过程。     

基于隐Markov过程的网络信任评估模型

为了能快速精确地刻画实体行为的高动态性,提出了一种基于连续时间隐Markov过程的信任评估模型。不同于离散时间隐Markov信任模型,该模型充分考虑到信任的时间相关性,结合交互记录之间的时间间隔,将实体信任评估问题归结为连续时间隐Markov过程的学习问题。进而利用改进的和声搜索算法,给出了求解隐Markov过程最佳参数的算法,该算法有效地保证了全局搜索空间,能够获得更好的解。在此基础上,利用已有交互结果序列和最优参数组,对实体的信任度进行预测。仿真实验表明,该模型能够快速地反映出实体行为的动态性,具有较高的精确度,且能抵抗部分恶意攻击。