移动计算环境下恶意软件静态检测系统设计

移动终端在互联网中下载到恶意软件的几率非常高,这对用户信息私密性造成了严重的威胁,但科研组织曾研究出的恶意软件检测系统往往误报率过高、实用性不强。为此,设计移动计算环境下恶意软件静态检测系统,其由特性提取与预处理模块和移动计算终端组成。特性提取与预处理模块根据静态检测特性数据库中的恶意软件标志特性,对用户移动终端软件的安装包特性、资源特性和编译特性进行提取,并使用静态检测函数对提取出的特性进行预处理,给出恶意与非恶意软件的特性分类结果。系统通过移动计算终端对特性分类结果中的恶意软件特性进行位置检测,隔离出用户移动终端中的恶意软件,防止恶意软件继续入侵。经实验分析可知,所设计的系统误报率较低、实用性较强。     

360移动互联网恶意软件分析平台

移动互联网恶意软件的爆发式增长,迫切需要安全厂商实现移动互联网恶意软件样本的自动化分析。本文阐述了奇虎360在手机恶意软件样本自动化分析检测领域的技术实践和主要关键技术。     

移动智能终端软件行为安全分析

近年来,移动通信技术得到了快速的发展,并促使移动互联网出现在人们的生活当中,由此,人们的生活越来越离不开移动智能终端。然而随着人们对移动智能终端技术了解的加深,移动智能终端面临的安全威胁就越来越严重,在这些安全威胁中,恶意软件所带来的威胁占据了大部分的比重。针对恶意软件行为,我国进行了分析研究并取得了一些成果,因此,文章介绍了移动智能终端恶意软件行为检测技术,并设计出了安全分析方案。     

移动恶意软件正在迅速增加

瞻博网络全球调查报告显示,仅2011年的后7个月,针对Android平台的恶意软件数量上升了3325个百分点;新型移动恶意软件诱使消费者为免费应用买单瞻博网络日前发布了最新的《瞻博网络2011全球移动威胁报告》,调查结果显示移动恶意软件进入了新的成熟阶段。该报告由瞻博网络移动威     

运营商恶意软件防护体系与关键技术研究

近年来,运营商网络中恶意软件的数量急剧增加,严重威胁到移动互联网的安全。在综述现有恶意软件研判和防护技术的基础上,从运营商的角度,提出了网络侧与客户端联动的恶意软件防护体系,并研究了关键实施技术,为安全工程人员提供参考。     

移动恶意活跃 节假日需加倍小心

11月22日，迈克菲发布了《2011年第三季度迈克菲威胁报告》，报告显示Android移动操作系统在进一步巩固了自己领先地位的同时，也成为新移动恶意软件的主要攻击目标。针对Android设备的恶意软件数量相比上季度攀升了近37个百分点，使得2011年有望成为移动甚至整个恶意软件史上最为活跃的一年。     

基于动态监控的Android恶意软件检测方法

Android平台是当今最热门的移动终端平台,但其平台开放性特点使得Android恶意软件数量众多,成为移动安全的重灾区。文中针对Android平台的恶意应用的行为进行检测分析,研究基于动态监控的异常检测技术,提出了一种基于应用行为动态监控的检测方法。测试结果表明,该方法能够有效识别恶意软件,标注出其恶意行为。适用于Android移动智能终端安全防护的需要。     

移动设备的安全性研究

智能移动设备不断接近传统计算环境的性能和可扩展性.但这些新的功能和应用使移动设备成为攻击者和恶意软件的攻击目标.本文分析了移动设备所面临的安全挑战,深入研究了移动设备的安全模型.     

诺基亚通信信息（二）

诺基亚通信推出全新抵御恶意软件产品：近日,诺基亚通信设计完成了NSN Mobile Guard,这是一种以全新的方法来检测移动恶意软件的产品,使用该产品即使智能设备上没有安装反恶意软件,运营商也能帮助用户防御欺诈,从而获得竞争优势。NSN Mobile Guard可利用电信服务（如语音、SMS和移动宽带）的数据分析网络流量模式。与运用签名机制和其他通用方法检测恶意软件的传统系统相比,它的运行速度更快。同时,Mobile Guard还可通知用户,拦截网络中受影响的服务,并帮助用户清理智能设备。还具备自动制止恶意软件、防止高收费SMS消息的发送、阻止非授权移动支付、警告用户软件受到污染、有选择地提供软件为设备杀毒等功能,从而提供更深层保护以补充基于网络的防护功能。     

移动恶意软件增速惊人 呈现“聪明化”态势

智能手机不慎丢失或被盗,甚至被恶意软件击,将给个人隐私和财产带来巨大威胁。目前,随移动设备功能的不断丰富,企业员工使用自备的智手机和平板电脑进行邮件收发、文件审批、资料储等办公活动的情况也变得越来越普遍,不安全移动设备正在成为企业安全中最弱的一环。2012年移动恶意软件样板增加43倍迈克菲     

欺诈类手机恶意软件识别方法研究

提出了一种欺诈类手机恶意软件多维度检测模型,通过静态检测识别和动态运行验证的双重验证法确保恶意软件的精准识别。建立签名信息、权限、分组名等多个维度的应用软件特征识别库,根据特征库将应用软件打上正常软件和恶意软件的标签,最大限度完善现有欺诈类手机恶意软件安全防护手段,支撑第三方应用软件商店规范发展,有效提升用户对欺诈类手机恶意软件防范意识和保护手机使用安全起到积极作用。     

移动智能终端安全威胁及应对策略

当前,移动智能终端产业迅猛发展,但也带来恶意代码泛滥、用户隐私窃取、不良内容传播等安全威胁。文章在对移动智能终端的安全威胁及其技术根源深入分析的基础上,对安全技术水平进行研究,并提出系统完整的移动智能终端安全应对策略。     

Malware variants detection based on ensemble learning

Application programming interface (API) is a procedure call interface to operation system resource. API-based behavior features can capture the malicious behaviors of malware variants. However, existing malware detection approaches have a deal of complex operations on constructing and matching. Furthermore, graph matching is adopted in many approaches, which is a nondeterministic polynominal (NP)-complete problem because of computational complexity. To address these problems, a novel approach is proposed to detect malware variants. Firstly, the API of the malware are divided by their functions and parameters. Then, the classified behavior graph (CBG) is constructed from the API call sequences. Finally, the signature based on CBGs for each malware family is generated. Besides, the malware variants are classified by ensemble learning algorithm. Experiments on 1 220 malware samples show that the true positive rate (TPR) is up to 89.0% with the low false positive rate (FPR) 3.7% by ensemble learning.     

HoneyBow: 一个基于高交互式蜜罐技术的恶意代码自动捕获器

恶意代码已成为互联网最为严重的安全威胁之一，自动化捕获恶意代码样本是及时有效地应对恶意代码传播的必要前提，提出了一个基于高交互式蜜罐技术的恶意代码自动捕获器HoneyBow。相比较于基于低交互式蜜罐技术的Nepenthes恶意代码捕获器，HoneyBow具有恶意代码捕获类型更为全面、能够捕获未知恶意代码的优势，互联网上的实际恶意代码捕获记录对比和Mocbot蠕虫的应急响应处理实例对其进行了充分验证。     

DroidEnemy: Battling adversarial example attacks for Android malware detection

In recent years, we have witnessed a surge in mobile devices such as smartphones, tablets, smart watches, etc., most of which are based on the Android operating system. However, because these Android-based mobile devices are becoming increasingly popular, they are now the primary target of mobile malware, which could lead to both privacy leakage and property loss. To address the rapidly deteriorating security issues caused by mobile malware, various research efforts have been made to develop novel and effective detection mechanisms to identify and combat them. Nevertheless, in order to avoid being caught by these malware detection mechanisms, malware authors are inclined to initiate adversarial example attacks by tampering with mobile applications. In this paper, several types of adversarial example attacks are investigated and a feasible approach is proposed to fight against them. First, we look at adversarial example attacks on the Android system and prior solutions that have been proposed to address these attacks. Then, we specifically focus on the data poisoning attack and evasion attack models, which may mutate various application features, such as API calls, permissions and the class label, to produce adversarial examples. Then, we propose and design a malware detection approach that is resistant to adversarial examples. To observe and investigate how the malware detection system is influenced by the adversarial example attacks, we conduct experiments on some real Android application datasets which are composed of both malware and benign applications. Experimental results clearly indicate that the performance of Android malware detection is severely degraded when facing adversarial example attacks.     

一种抗混淆的恶意代码变种识别系统

恶意代码变种是当前恶意代码防范的重点和难点.混淆技术是恶意代码产生变种的主要技术,恶意代码通过混淆技术改变代码特征,在短时间内产生大量变种,躲避现有基于代码特征的恶意代码防范方法,对信息系统造成巨大威胁.本文提出一种抗混淆的恶意代码变种识别方法,采用可回溯的动态污点分析方法,配合触发条件处理引擎,对恶意代码及其变种进行...     

基于对比权限模式的安卓恶意软件检测方法(英文)

As the risk of malware is sharply increasing in Android platform,Android malware detection has become an important research topic.Existing works have demonstrated that required permissions of Android applications are valuable for malware analysis,but how to exploit those permission patterns for malware detection remains an open issue.In this paper,we introduce the contrasting permission patterns to characterize the essential differences between malwares and clean applications from the permission aspect Then a framework based on contrasting permission patterns is presented for Android malware detection.According to the proposed framework,an ensemble classifier,Enclamald,is further developed to detect whether an application is potentially malicious.Every contrasting permission pattern is acting as a weak classifier in Enclamald,and the weighted predictions of involved weak classifiers are aggregated to the final result.Experiments on real-world applications validate that the proposed Enclamald classifier outperforms commonly used classifiers for Android Malware Detection.     

基于微分博弈的在线社交网络恶意程序传播优化控制方法

针对在线社交网络（OSN）易传播恶意程序的现状,通过扩展传统的传染病理论,在考虑防御者和恶意程序主观努力度的基础上,提出了能确切描述OSN恶意程序的微分方程模型。利用微分博弈,建立了能反映防御者和恶意程序交互过程的OSN“恶意程序防御微分博弈”模型,当恶意程序动态改变其最优控制策略时,为防御者给出最优动态控制策略。实验结果表明,提出的方法能明显地抑制OSN恶意程序的传播,为防御OSN恶意程序提供了新途径。     

基于博弈论的无线传感器网络恶意程序传播模型

恶意程序传播是无线传感器网络（wireless sensor network,WSN）面临的一类重要安全问题。从博弈论的角度对WSN恶意程序传播的微观机理进行分析,建立了WSN的攻防博弈模型,求出了博弈模型的混合纳什均衡解,并根据博弈双方的混合纳什均衡策略确定恶意程序的传染概率,从而建立了WSN的恶意程序传播模型。通过使用元胞自动机方法对WSN的恶意程序传播过程进行模拟,揭示了恶意程序的传播速度与博弈参数之间的关系,研究结果对抑制WSN恶意程序传播具有理论指导意义。     

基于代码进化的恶意代码沙箱规避检测技术研究

为了对抗恶意代码的沙箱规避行为,提高恶意代码的分析效率,该文提出基于代码进化的恶意代码沙箱规避检测技术。提取恶意代码的静态语义信息和动态运行时信息,利用沙箱规避行为在代码进化过程中所产生的动静态语义上的差异,设计了基于相似度差异的判定算法。在7个实际恶意家族中共检测出240个具有沙箱规避行为的恶意样本,相比于JOE分析系统,准确率提高了12.5%,同时将误报率降低到1%,其验证了该文方法的正确性和有效性。