分析多类特征和欺诈技术检测JavaScript恶意代码

JavaScript作为一种编程/脚本语言,已经广泛应用于Web开发,以增加更多的动态功能和效果,最终改善用户体验。然而它的动态特征在提升用户与网站的交互能力的同时也带来了安全问题。通过注入恶意JavaScript代码,攻击者可在网页中加入恶意内容,传播病毒、木马,实现网络钓鱼攻击。通过对大量网页恶意代码的研究,对网页JavaScript恶意代码特征进行分类,构建了基于JavaScript代码基本统计信息,基于混淆技术、基于URL重定向技术,基于恶意攻击过程四类特征的分类模型。采用多种基于机器学习的分类方法对恶意代码样本进行检测,完成对该分类模型的验证。实验表明,基于上述特征形成的分类模型对恶意代码具有较好的识别能力。     

融合多种特征的恶意URL检测方法

随着Web应用的日益广泛,Web浏览过程中,恶意网页对用户造成的危害日趋严重.恶意URL是指其所对应的网页中含有对用户造成危害的恶意代码,会利用浏览器或插件存在的漏洞攻击用户,导致浏览器自动下载恶意软件.基于对大量存活恶意URL特征的统计分析,并重点结合了恶意URL的重定向跳转、客户端环境探测等逃避检测特征,从页面内容、JavaScript函数参数和Web会话流程这3个方面设计了25个特征,提出了基于多特征融合和机器学习的恶意URL检测方法——HADMW.测试结果表明：该方法取得了96.2%的精确率和94.6%的召回率,能够有效地检测恶意URL.与开源项目以及安全软件的检测结果相比,HADMW取得了更好的效果.     

面向恶意网页的静态特征体系研究

恶意网页是一种新型的Web攻击手法,攻击者通常将一段恶意代码嵌入网页中,当用户访问该网页时,恶意代码会试图利用浏览器或其插件漏洞在后台隐秘地执行一系列恶意行为.针对恶意网页静态特征抽取问题,本文从已有的特征中选取了14个信息增益值较高的特征,并通过分析恶意网页的混淆手法提出了8个新的特征,共同组成了22维的静态特征体系.此外,针对已有特征抽取流程提出两点改进：对不同编码格式的原始网页进行预处理;回送JavaScript脚本动态生成的的HTML代码,用以进一步抽取HTML相关特征.实验表明,在不均衡数据集和均衡数据集上,本文的特征体系具有一定的有效性.     

网页木马机理与防御技术

网页木马是一种以JavaScript,VBScript,CSS等页面元素作为攻击向量,利用浏览器及插件中的漏洞,在客户端隐蔽地下载并执行恶意程序的基于Web的客户端攻击.网页木马的表现形式是一个或一组有内嵌链接关系的页面/脚本,有漏洞的客户端在访问该(组)页面时会“过路式下载”木马等恶意程序.网页木马通过这种被动攻击模式,能隐蔽、有效地将恶意程序植入客户端,这已经成为恶意程序传播的一种重要方式.近年来,围绕网页木马的攻防博弈在持续进行.首先阐述网页木马的机理和特点,然后从检测、特征分析、防范这3个方面对网页木马防御方的研究进行总结和分析,最后对网页木马攻防双方的发展趋势进行讨论.     

CFan通辑令

漏洞再现:Firefox侧栏脚本注入漏洞 影响系统:Firefox　1.0.2前所有版本 漏洞分析:随着Firefox浏览器被越来越多的人使用,它的漏洞也慢慢显露出来,最近又发现一个新的漏洞—Firefox的侧边栏脚本允许远程代码执行。当用户在侧边栏中将恶意网页标记为书签的时候就会出现问题,恶意网页会打开特权页面,通过运行JavaScript程序,利用用户的权限就可以执行任意代码,如果代码中夹带着木马等程序,电脑就会被恶意攻击者远程控制。 补“洞”办法:官方已经发布了Firefox1.0.2版的浏览器,修补了上述漏洞,建议用户升级。如果不能升级新版本的浏览器建议…     

防范网页黑手

现在来自网络的攻击手段越来越多了,一些恶意网页会利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、JavaScript脚本语言程序、ActiveX软件部件交互技术支持的可自动执行的代码程序,强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘等目的.目前来自网页黑手的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏Windows系统.前者一般会修改IE浏览器的标题栏、默认主页等,下面就来介绍一些针对破坏Windows 系统的网页黑手的一些防范方法.     

基于约束分析的跨站脚本防御方法研究

跨站脚本是一种针对web客户端的脚本注入攻击技术,在对现有防御思想研究的基础上,提出了一种客户端的防御算法,通过在JavaScript抽象语法树的基础上实施静态约束分析,建立敏感数据的约束系统,从而能准确地对污点进行动态追踪,有效阻止恶意脚本的执行.该模型提升了浏览器安全性,使其能防御跨站脚本攻击,并且无需修改服务器端的程序代码,具有很强的实用性和扩展性.     

一种网页挂马攻击中的重定向混淆检测方法

当前关于网页挂马攻击检测的研究集中于静态检测方法和动态检测方法,但随着Web应用中动态交互技术及代码混淆技术的大量应用,静态检测方法效果已不明显,同时动态检测方法往往耗时过多。本文在总结当前关于网页挂马攻击检测研究的基础上,提出网页挂马攻击中的JavaScript重定向混淆检测方法,并基于开源JavaScript脚本引擎SpiderMonkey进行设计与实现。此方法可有效解决网页挂马攻击中的JavaScript脚本重定向混淆问题,也可作为低交互客户端蜜罐与高交互客户端蜜罐结合使用提高检测效率。     

恶意网页防护系统的设计与实现

恶意网页是指包含恶意脚本的网页,恶意脚本可通过修改用户计算机的注册表和加载木马等形式进行各种破坏活动,其危害性日趋严重.为防止恶意网页所带来的危害,保护用户计算机安全,设计了一种恶意网页防护系统,该系统从两个技术环节对恶意网页进行防御.首先从浏览器获得网页地址,抢先读取网页源代码,并以特征码分析法阻止恶意脚本的执行;接着监控注册表的修改行为,阻止恶意脚本修改注册表以获得控制权.两个环节相辅相成,共同构成较为完善的防护体系.实践表明,该系统对恶意网页具有较好的防护效果.     

基于动态行为分析的网页木马检测方法

网页木马是一种在网页中插入攻击脚本,利用浏览器及其插件中的漏洞,使受害者的系统静默地下载并安装恶意程序的攻击形式.本文结合动态程序分析和机器学习方法,提出了基于动态行为分析的网页木马检测方法.首先,针对网页木马攻击中的着陆页上的攻击脚本获取行为,监控动态执行函数执行,包括动态生成函数执行、脚本插入、页面插入和URL跳转,并根据一套规则提取这些行为,此外提取与其相关的字符串操作记录作为特征.其次,针对利用堆恶意操作注入shellcode的行为,提出堆危险指标作为特征.最后从Alexa和VirusShare收集了500个网页样本作为数据集,用机器学习方法训练分类模型.实验结果表明：与现有方法相比,文中方法具有准确率高（96.94%）、能有效对抗代码混淆的干扰（较低的误报率6.1%和漏报率1.3%）等优点.     

计算机安全漏洞检测技术综述

由于信息系统已被广泛应用到国家的各个领域,信息系统的安全显得尤为重要。计算机安全漏洞已经成为信息系统的最主要的威胁之一,因此发现信息系统的漏洞检测技术也成为了目前的研究热点。文章对目前漏洞检测技术中的静态检测技术、动态检测技术和混合检测技术进行了概述,并对各种技术的优缺点进行了比较分析。     

大型雷电定位系统中实时自适应联合检测算法

雷电电磁辐射的持续时间具有随机性。采用能量法检测雷电数据块,当信号长度远短于数据块长度时,将会产生噪声淹没信号现象而引起检测概率降低的问题。发现可利用峰度来描述含有短雷电信号的数据块的波形特征,而且能量块检测与特征检测具有互补特性。为了提高检测概率,将能量块检测和特征检测相结合,利用自动筛选思想和删余检测技术实时估计背景噪声,提出了实时自适应联合雷电检测算法。通过对实采的雷电数据进行实验,结果表明,所提出的检测算法能够明显提高检测概率,表明了其有效性和实用性。     

入侵检测技术的研究与进展

入侵检测系统(IDS)作为一门新兴的安全技术，是网络安全系统中的重要组成部分。该文阐述了入侵检测系统的基本原理和功能模块，从数据源、检测方法和检测定时三个方面描述了入侵检测系统的分类，并对目前国内外入侵检测技术的研究现状作了介绍和分析。随着计算机技术和网络技术的高速发展，海量存储和高带宽的传输技术，都使得集中式的入侵检测越来越不能满足系统需求。由此指出，分布式入侵检测(DID)必将逐渐成为入侵检测乃至整个网络安全领域的研究重点，为进行入侵检测技术的研究提供一定的技术和理论依据。     

一种混合式网络入侵检测系统

入侵检测系统通常采用单一的检测模式,难以有效地处理漏报和误报问题。该文分析不同类型网络流量的分布特征,提出一种将异常检测和误用检测相结合的混合式网络入侵检测系统,从总体上克服了单一模式的不足。实验结果表明,该方法能有效地提高入侵检测系统的检测率和准确率。     

视频序列中运动对象检测技术的研究现状与展望*

将运动对象检测技术分为变化检测、运动检测和特征检测三类,介绍了各类技术的思想,对现有方法进行了归类,指出各方法的本质区别,从理论和实验两方面剖析其优势和不足并指出了适用场合。讨论了目前视频运动对象检测技术存在的问题,展望了未来的发展方向。     

智能入侵检测技术述评

入侵检测是网络安全技术研究的一个新方向,入侵检测技术是入侵检测系统(IDS)的核心。智能入侵检测技术由于其具有自学习、自适应等特点,已经成为目前的研究热点。文章首先简述了IDS的发展历史背景及其重要性,概要介绍了IDS常用的两类检测技术,详细介绍了几种常用的智能入侵检测技术,指出目前的智能检测技术存在的不足及其今后的发展趋势。     

基于Hamming网络的入侵检测技术的研究

分析了异常和误用入侵检测技术存在的一些问题,并结合神经网络的原理,提出了一个新的基于Hamming网络的入侵检测技术。该技术改善了基于特征检测算法中存在的不足,提高了对未知入侵类型的检测能力,并对Hamming网络入侵检测技术进行了分析和测试。     

司机疲劳驾驶实时检测系统设计

司机疲劳驾驶实时检测系统在实际应用中有很重要的意义.设计了一个利用图像分析的方法,通过测量PERCLOS指标值来进行疲劳判断的该类系统.系统首先对图像进行预处理,然后采用基于YCbCr颜色空间肤色模型进行人脸粗定位,根据人脸特征,逐次进行人眼区域缩小;最后通过对边缘信息进行先验知识结合积分投影的方法进行人眼定位和闭合度测量.考虑到视频图像序列帧与帧之间的相关性,采用线性运动预测的方法对人眼进行跟踪,减少了系统的运算量.实验结果表明系统能实时、准确地反映司机的疲劳状态.     

网络入侵检测技术综述

入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。     

A method of detecting and tracking irises and eyelids in video

We locate the eye corners, eyelids, and irises in every frame of an image sequence, and analyze the movements of the irises and eyelids to determine changes in gaze direction and blinking, respectively. Using simple models for the motions of the head and eyes, we determine the head-independent motions of the irises and eyelids by stabilizing for the head motion. The head-independent motions of the irises can be used to determine behaviors like saccades and smooth pursuit. Tracking the upper eyelid and using the distance between its apex and the center of the iris, we detect instances of eye closure during blinking. In experiments on two short image sequences, in one of which the subject was wearing glasses, we successfully located the irises in every frame in which the eyes were fully or partially open, and successfully located the eyelids 80% of the time. When motion information in the form of normal flow was used, the irises were successfully tracked in every frame in which the eyes were fully or partially open, and the eyelids were successfully located and tracked 90% of the time.