Linux下基于交叉视图的隐蔽恶意代码检测

Rootkit是攻击者入侵操作系统后,用于秘密保留对目标机器的超级访问权限的一项技术.首先分析了内核级rootkit的原理,分析了现有的Iinux rootkit的检测方法并指出其中的不足.在此基础上,提出一种基于交叉视图的隐藏恶意代码自动检测方法,并提出了系统恢复的机制.提及的检测和恢复系统以可加载内核模块的形式实现,可还原被恶意修改的系统调用表的内容,终止隐藏的进程,移除隐藏的文件,阻止攻击网络流.实验数据表明提出的方法是有效可行的.     

启动型恶意代码分析与检测综述

内核态恶意代码作为破坏操作系统内核,隐藏其他恶意代码的一种恶意程序,已经成为了操作系统安全的重要威胁。近年来出现的一种新的伴随操作系统启动加载的恶意程序通过对计算机启动过程进行劫持,在操作系统启动完成之前实现自身的加载和运行。其结合了普通内核级恶意代码特点和优先于操作系统启动并根植于系统硬件等优势,比普通内核级恶意代码具有更强的隐蔽性和破坏性。分析这种新型恶意代码。首先对其技术发展进行梳理,然后重点针对Windows下典型的启动型恶意代码,分析其在操作系统启动过程的不同阶段中环环相扣的实现技术原理。最后分析了目前检测技术现状,指出现有的检测方法过于依赖在线检测和完整性检测,从两方面提出了改进建议。     

网络隐蔽扫描技术分析

介绍了网络隐蔽扫描技术的概念和分类。全面分析了各项隐蔽扫描技术的实现原理和优缺点，讨论了隐蔽扫描技术的发展趋势。给出了应对隐蔽扫描的基本方法。     

基于恶意代码行为分析的入侵检测技术研究

在进行人侵检测的过程中,传统方法由于对入侵判断过程的约束性过强,同时入侵数据中存在大量的冗余数据与噪声,导致无法抵御行为层混淆干扰造成的检测精确性过低的问题,不能从网络安全立体、纵深、多层次防御的角度出发对网络入侵进行检测.为此,提出了一种基于半监督聚类算法的恶意代码行为分析的入侵检测方法.提取系统调用流图特征,将其融合于代码的行为结构与特征中,标记后按照类型将其归纳整理,将整理后带有标记的代码行为特性数据的信息范围扩展到所在簇内的全部数据上,实现类型标记,完成对恶意代码行为的分析,实现入侵检测.仿真结果表明,提出的基于半监督聚类算法的恶意代码行为分析的入侵检测方法精准度高,实用性强.     

Rootkit的检测与取证分析

Rootkit是目前难以检测、清除、防范和破坏性强的恶意程序。通过分析Rootkit的内核机制,给出检测Rootkit的基本方法,以应用于Rootkit防范和取证分析。     

基于Sniffer技术的隐蔽通信原理检测及防范

从研究隐蔽通信的角度出发,介绍了一种基于Sniffer原理的隐蔽通信技术,提出了检测与防范这种隐蔽通信的方法,并对隐蔽通信的发现方法进行了讨论。     

一种基于并发冲突间隔时间的隐蔽信道检测方法

采用多级安全策略的信息系统中,事务的并发冲突会导致数据冲突隐蔽信道.现有的隐蔽信道检测方法存在以下问题:1)分析角度单一,入侵者可以通过分散记录的方式逃避检测;2)使用单一的检测指标,存在一定的误判和漏判.提出了一种基于冲突间隔时间的隐蔽信道检测方法CTIBDA.该方法解决了以上问题:1)从主体和客体2种角度对冲突记录进行划分,以防止入侵者通过分散冲突记录的方式逃避检测;2)使用冲突间隔时间分布和冲突间隔时间序列2种规律性特征指标作为检测依据.实验结果证实,该方法能够降低检测结果的误报率和漏报率,提高准确率.同时该方法结构简单适合在线实施,对于其他的并发冲突隐蔽信道场景具有普遍的适用性.     

基于NDIS中间层驱动程序的隐蔽通道

通过一个基于网络驱动程序接口规范中间层的驱动,在Windows网络协议栈下建立一个隐蔽通道,使应用程序可利用其直接与外界通信。该通道的作用位置相比防火墙对于协议栈的控制更为底层,可直接从网卡读写数据进行网络通信。分析防火墙由于未对网络进行完整防护而被穿透的原因,探讨抵御该类攻击的方法。     

基于流量分析的网络隐蔽通道检测模型

针对传统的异常信息流检测方法的不足，设计了一种基于流量分析的网络隐蔽通道检测模型，它采用了概率统计中的泊松分布和数据挖掘中的聚类分析等方法，开辟了一条检测信息暗流的新途径。     

对网络隐蔽通道NUSHU的检测技术研究

本文介绍了隐蔽通道,分析了隐蔽通道NUSHU的实现,并从基于主机和网络两个方面详细分析了针对NUSHU的检测方法的实现。     

基于结构路径的恶意PDF文档检测

恶意PDF文档依然是网络安全中的威胁,甚至造成了许多重大的安全事故。现有检测方法主要分析恶意代码提取及仿真执行两个方面,检测效率不高,缺乏对PDF文档的针对性。在分析PDF文档结构特性的基础上,定义文档结构路径,提出了一种基于恶意和正常文档之间潜在的结构差异特性的检测方法。大量实验数据结果表明,本方法在检测准确率和检测速率方面都有不错的表现。     

基于系统调用挂钩的隐蔽木马程序检测方法

隐蔽木马程序的设计本质是劫持常规的执行路径流,当前大多数检测手段无法全面检测出隐蔽性日益增强的木马程序。该文结合操作系统程序执行流程的局部相关性与确定性,在分析用户进程空间与内核空间中系统函数调用标志信息的基础上,检测系统中是否存在木马程序设置的隐蔽性系统调用挂钩,设计并实现了相应的检测方法。与现有的检测方法相比,该方案弥补了检测未知木马的不足,检测结果更全面。     

Dynamic Analysis of Malicious Code

Malware analysis is the process of determining the purpose and functionality of a given malware sample (such as a virus, worm, or Trojan horse). This process is a necessary step to be able to develop effective detection techniques for malicious code. In addition, it is an important prerequisite for the development of removal tools that can thoroughly delete malware from an infected machine. Traditionally, malware analysis has been a manual process that is tedious and time-intensive. Unfortunately, the number of samples that need to be analyzed by security vendors on a daily basis is constantly increasing. This clearly reveals the need for tools that automate and simplify parts of the analysis process. In this paper, we present TTAnalyze, a tool for dynamically analyzing the behavior of Windows executables. To this end, the binary is run in an emulated operating system environment and its (security-relevant) actions are monitored. In particular, we record the Windows native system calls and Windows API functions that the program invokes. One important feature of our system is that it does not modify the program that it executes (e.g., through API call hooking or breakpoints), making it more difficult to detect by malicious code. Also, our tool runs binaries in an unmodified Windows environment, which leads to excellent emulation accuracy. These factors make TTAnalyze an ideal tool for quickly understanding the behavior of an unknown malware.     

基于因果关联分析恶意代码检测的研究与应用简

文章针对恶意代码的攻击原理,介绍了对恶意代码的检测。通过因果关联的分析原理检测恶意代码,提高对恶意代码等网络攻击的安全防范意识,更新操作系统发布的最新安全漏洞补丁,修补操作系统安全漏洞;加强网络共享管理;强化密码设置,增强安全策略,加强密码强度。     

基于网络的恶意代码检测技术探析

近几年,恶意代码侵袭网络范围不断扩大,对网络健康发展构成了巨大威胁,如何能有效消除恶意代码对网络的影响已成为社会关注焦点。恶意代码具有多变性和快速性,传统的基于特征的检测手段已经被淘汰,目前基于网络的恶意代码检测技术已经普遍运用,并且取得令人满意的成效。在对恶意代码种类分析的前提下,进一步探析了恶意代码检测技术的实施方法以及实施效果,希望能为网络减少恶意代码侵害起到积极的促进作用。     

MACSPMD:基于恶意API调用序列模式挖掘的恶意代码检测

基于动态分析的恶意代码检测方法由于能有效对抗恶意代码的多态和代码混淆技术,而且可以检测新的未知恶意代码等,因此得到了研究者的青睐。在这种情况下,恶意代码的编写者通过在恶意代码中嵌入大量反检测功能来逃避现有恶意代码动态检测方法的检测。针对该问题,提出了基于恶意API调用序列模式挖掘的恶意代码检测方法MACSPMD。首先,使用真机模拟恶意代码的实际运行环境来获取文件的动态API调用序列;其次,引入面向目标关联挖掘的概念,以挖掘出能够代表潜在恶意行为模式的恶意API调用序列模式;最后,将挖掘到的恶意API调用序列模式作为异常行为特征进行恶意代码的检测。基于真实数据集的实验结果表明,MACSPMD对未知和逃避型恶意代码进行检测的准确率分别达到了94.55%和97.73%,比其他基于API调用数据的恶意代码检测方法 的准确率分别提高了2.47%和2.66%,且挖掘过程消耗的时间更少。因此,MACSPMD能有效检测包括逃避型在内的已知和未知恶意代码。     

基于行为特征的恶意代码检测方法

研究基于行为特征的恶意代码检测模型及其实现方式,并分析实现中的关键技术。使用自定义行为特征编码模板进行恶意代码匹配,将短周期内2次匹配成功作为判定恶意代码的标准,利用最大熵原理分析2次恶意代码行为的信息论特征。实验结果表明,该方法具有较低的病毒检测误报率和漏报率,并且能有效防范未知恶意代码。     

Android应用的恶意代码注入

本文分析了Android应用文件和Android系统广播机制的特点,介绍了一种基于SDK的Android应用恶意代码注入的方法,并且用该方法测试了30款Android应用,通过实验说明了Android应用软件缺少防止恶意注入的安全机制.