一种检测网络攻击的方法

当今的网络攻击事件频繁发生,用户严重受到来自黑客攻击的威胁。因此为了出于保护用户的需要,网络安全人员不得不开发出多种网络安全措施。目前网络的安全设备主要有防火墙和入侵检测系统。入侵检测系统中有两种检测方法误用检测算法和异常检测算法。本文在参考了已有的误用检测算法后,提出了一种新的检测算法。该算法将某些智能性算法融入了其中。本文中首先通过计算未知程序的权值,通过权值的属性来判断该程序是恶意程序还是合法的程序,如果某种程序属于恶意程序,则再使用MMTD的算法对恶意程序的大小属性进行匹配,最后通过已知恶意程序的属性有未知程序属性的比较,最终来判断该网络攻击程序属于何种攻击手段。最后说明一点,本文提出的算法主要是针对变体攻击手段进行检测。     

基于程序基因的恶意程序预测技术

随着互联网技术日益成熟,恶意程序呈现出爆发式增长趋势。面对无源码恶意性未知的可执行文件,当前主流恶意程序检测多采用基于相似性的特征检测,缺少对恶意性来源的分析。基于该现状,定义了程序基因概念,设计并实现了通用的程序基因提取方案,提出了基于程序基因的恶意程序预测方法,通过机器学习及深度学习技术,使预测系统具有良好的预测能力,其中深度学习模型准确率达到了99.3%,验证了程序基因理论在恶意程序分析领域的作用。     

一种新的误用检测算法

在当今网络的入侵事件频频发生,使得网络变得十分不安全,因此为了增强网络的安全性,必须加强入侵检测技术的智能性。在入侵检测技术中误用检测和异常检测是2种主要检测技术,为了进一步地提高误用检测算法的智能性,减少漏检率,因此作者在查阅了已有的入侵检测算法和某些智能算法之后,提出了一种具有一定智能性的检测算法。该检测算法的思路是:首先通过计算某种代码的权值来判断该程序的行为是属于恶意行为还是善意行为,之后使用决策树对恶意行为和善意行为进行分类。如果是恶意行为,那么再使用相似性算法对该行为进行相似性计算,最后使用BM算法对恶意代码行为进行识别,从而达到检测恶意代码的目的。该文提出的算法在一定程度上能够提高入侵检测算法的智能性,将相似性计算算法,决策树算法和权值计算算法在入侵检测系统中进行应用是本文的创新点。     

恶意网络程序的危害性及对策研究

恶意网络程序因其对计算机网络系统的巨大破坏作用而引起了人们的广泛关注。研究了恶意网络程序的本质特征,给出了恶意网络程序的定义。分别从功能特征和行为特征两个方面对网络恶意程序进行了分类研究。对恶意网络程序的危害性及其度量评估方法进行了深入分析研究。讨论了防范恶意网络程序的整体解决方案所需要考虑的因素,并提出了应对恶意网络程序的一般性原则。     

惊现首个针对安卓系统的网银木马

近日,卡巴斯基实验室发布三月网络威胁报告,报告中总结了热点网络威胁事件和恶意程序,其中一款独特的无文件僵尸程序和首个针对安卓系统的网银木马引人注目。独特的无文件僵尸程序卡巴斯基实验室的安全专家检测到一种特殊的恶意攻击,这种恶意攻击使用的恶意软件不会在受感染系统上创建任何     

一种基于文件型病毒的智能检测算法

病毒的出现已有四十年左右,在这四十几年中,病毒经过了数代发展和技术更新,如今的病毒已发展为第四代病毒。但不论病毒技术如何发展,如果某个程序是病毒,那么这个程序就具有病毒应有的属性,病毒的传染模块是区别于其他恶意程序的重要属性。因此,将从未知程序属性的角度,提取其属性并将其属性与病毒传染模块属性进行比较。如果未知程序某些属性值接近病毒传染模块的属性值,那么就在此基础上再使用病毒感染实验法．进一步判定该未知程序是不是病毒。     

恶意程序发布检测平台的设计与实现

设计了一种恶意程序发布检测平台,其中的检测方法为:从HTTP请求消息中提取摘要信息;将摘要信息与恶意、安全网站识别库中的识别信息进行匹配;如果匹配不成功,则使用决策分类器对摘要信息进行分类处理;如果确定为可疑恶意网站,则生成可疑恶意资源的下载连接信息;将多个可疑恶意资源的下载连接信息进行关联,确定可疑恶意资源的网络发布信息.该方法通过网络节点图可以更好地描述恶意程序发布网络的活动,关注恶意程序分发网络的机理和网络基础架构的属性,提高恶意程序的检出率,加强网络安全.     

基于证据推理的程序恶意性判定方法

针对可执行程序恶意性难以判定的情况,提出一种基于证据推理的程序恶意性判定方法.首先,建立程序恶意性判定模型;然后,通过对程序进行反编译,抽取影响程序安全性的特征,建立程序行为集合;使用BP神经网络对模型进行训练得到各个行为的概率分配函数BPAF(basic probability assignment functions),并使用加权和形式的合成法则对程序行为进行合成;最后,实现对程序恶意性的判定.实验结果表明了该方法的有效性.     

谁偷了你的个人信息

数据盗窃恶意程序,通常是多重管道网页攻击的第2或第3个步骤的组件,包括:键盘记录程序、画面截取程序、间谍程序、广告程序、后门程序、Bot等等,都属于这一类。针对一般个人受害者,网络犯罪者多半利用藏有恶意连结的垃圾邮件引诱受害者点选连结,进而下载数据盗窃恶意程序到用户自己的计算机,使用者也可能因为浏览遭到入侵的正常网站而感染数据窃盗恶意程序。这样的技巧统称为"强制下     

基于机器学习的恶意程序检测系统的研究与设计

本文研究了基于机器学习的恶意程序检测方法，并设计了基于机器学习的恶意程序检测系统。该系统不仅能对于已知程序的安全性进行分析，也能够根据未知程序的行为进行分析检测，判定是否为恶意程序，并使用机器学习技术将程序分类，提高了检测结果的准确率。在对程序安全性的评估中，采用了“模糊层次分析”风险评估法，计算出各类程序行为发生的概率，并根据携带信息、反追踪和反取证3类行为特征中14项参数对程序的安全性进行打分，通过评估打分，能够检测出程序的恶意程度。     

Determining malicious executable distinguishing attributes and low-complexity detection

Detection of rapidly evolving malware requires classification techniques that can effectively and efficiently detect zero-day attacks. Such detection is based on a robust model of benign behavior and deviations from that model are used to detect malicious behavior. In this paper we propose a low-complexity host-based technique that uses deviations in static file attributes to detect malicious executables. We first develop simple statistical models of static file attributes derived from the empirical data of thousands of benign executables. Deviations among the attribute models of benign and malware executables are then quantified using information-theoretic (Kullback-Leibler-based) divergence measures. This quantification reveals distinguishing attributes that are considerably divergent between benign and malware executables and therefore can be used for detection. We use the benign models of divergent attributes in cross-correlation and log-likelihood frameworks to classify malicious executables. Our results, using over 4,000 malicious file samples, indicate that the proposed detector provides reasonably high detection accuracy, while having significantly lower complexity than existing detectors.     

An efficient algorithm for increasing the granularity levels of attributes in formal concept analysis

In the basic setting of formal concept analysis, a many-valued attribute needs to be replaced with several one-valued attributes. These one-valued attributes can be interpreted as a certain level of granularity of the corresponding many-valued attribute. In this paper, we explore theoretical relationships between concepts before and after increasing the granularity level of one attribute, based on which we introduce an efficient method of concept classification. Moreover, a new preprocessing routine is proposed to help generate new concepts and restore lattice order relation. These two procedures can considerably reduce the comparisons between sets, compared to the original Zoom-In algorithm. By employing these two procedures, we introduce an efficient algorithm, referred to as Unfold, to increase the granularity levels of attributes. The algorithm can perform a Zoom-In operation on a concept lattice associated with a coarser data granularity to obtain a new one that consists of finer formal concepts without building the new lattice from scratch. We describe the algorithm and present an experimental evaluation of its performance and comparison with another Zoom-In algorithm. Empirical analyses demonstrate that our algorithm is superior when applied to various types of datasets.     

一种识别流的智能型算法

在网络中有各种流,但这些流的属性是不同的。大部分流的属性是善意的,而有部分流的属性是恶意的,有攻击性的流。因此对流的属性识别是十分重要的。如果能够对未知流的识别,就能够检测出未知的网络攻击。现在流的识别技术具有一定的智能性,因此本文在一定流的技术知识上,结合MMTD算法和粒子群算法,提出了有一定智能性的流的识别算法,该算法可以作为已有流识别算法的借鉴。     

Demand-driven evaluation of collection attributes

In order to make attribute grammars useful for complicated analysis tasks, a number of extensions to the original Knuth formalism have been suggested. One such extension is the collection attribute mechanism, which allows the value of an attribute to be defined as a combination of contributions from distant nodes in the abstract syntax tree. Another extension that has proven useful is circular attributes, evaluated using fixed-point iteration. In this paper we show how collection attributes and the combined formalism, circular collection attributes, have been implemented in our declarative meta programming system JastAdd, and how they can be used for a variety of applications including devirtualization analysis, metrics and flow analysis. A number of evaluation algorithms are introduced and compared for applicability and efficiency. The key design criterion for our algorithms is that they work well with demand evaluation, i.e., defined properties are computed only if they are actually needed for a particular program. We show that the best algorithms work well on large practical problems including the analysis of large Java programs. This paper is an extended version of E. Magnusson, T. Ekman, and G. Hedin, “Extending Attribute Grammars with Collection Attributes—Evaluation and Applications”, In the proceedings of SCAM 2007, Seventh IEEE International Working Conference on Source Code Analysis and Manipulation.     

一种基于文件型病毒的粒子群检测方法

当今计算机技术的快速发展,使得计算机病毒的智能性日益突出,所以使用单一的传统检测技术在病毒检测过程中,漏检和误检的比例明显上升。为了应对目前病毒体现出的智能性,反病毒技术也必须采用相应的智能技术。文中在查阅了相关资料后,提出一种基于粒子群的病毒检测技术。首先对一个未知属性的程序依照病毒的属性来判断该程序是否是病毒程序。在确定该程序是病毒的前提条件下,再通过粒子群的方法来判断该病毒所属种类。     

一种基于粒子群的病毒检测方法

当今计算机技术的快速发展为病毒技术的发展提供了有利条件,使得当今的计算机病毒的智能性日益突出,所以使用单一的传统检测技术在病毒检测过程中,漏检和误捡的比例明显上升。为了应对目前病毒体现出的智能性,反病毒技术也必须采用相应的智能技术。在查阅了相关资料后,提出一种基于粒子群的病毒检测技术。先对一个未知属性的程序依照病毒的属性来判断该程序是否病毒程序。在确定该程序是病毒的前提条件下,再通过粒子群的方法来判断该病毒所属种类。     

基于校验和法比较法与夹角余弦公式的变形病毒检测算法

长度比较法、校验和法以及基于行为的检测算法是3种经典的病毒检测算法,因此将这3种算法相互结合而提出一种新的病毒检测算法,该算法的思路是：首先通过相应的算法检测某个程序的校验和与程序的长度是否发生了变化;如果发生了变化,则采用计算机病毒代码权值计算公式,判断该程序是否被未知病毒感染了;如果成了未知病毒的宿主,则在虚拟机中将该代码进行运行,判断未知病毒的功能属性,同时采用夹角余弦公式对未知病毒进行了相似性计算,根据检测算法来判断该未知病毒属于那种类的病毒,从而达到对计算机未知病毒检测的目的。     

Discover dependency pattern among attributes by using a new type of nonlinear multiregression

Multiregression is one of the most common approaches used to discover dependency pattern among attributes in a database. Nonadditive set functions have been applied to deal with the interactive predictive attributes involved, and some nonlinear integrals with respect to nonadditive set functions are employed to establish a nonlinear multiregression model describing the relation between the objective attribute and predictive attributes. The values of the nonadditive set function play a role of unknown regression coefficients in the model and are determined by an adaptive genetic algorithm from the data of predictive and objective attributes. Furthermore, such a model is now improved by a new numericalization technique such that the model can accommodate both categorical and continuous numerical attributes. The traditional dummy binary method dealing with the mixed type data can be regarded as a very special case of our model when there is no interaction among the predictive attributes and the Choquet integral is used. When running the algorithm, to avoid a premature during the evolutionary procedure, a technique of maintaining diversity in the population is adopted. A test example shows that the algorithm and the relevant program have a good reversibility for the data. © 2001 John Wiley & Sons, Inc.16: 949–962 (2001)