基于函数签名的控制流监控方法

针对恶意篡改程序控制流攻击方式,提出一种监控程序控制流完整性的方法。对程序源代码进行扫描,以函数作为识别程序行为的基本粒子,利用函数调用执行的序列信息,建立表现程序原意的行为轨迹模型,利用该模型在运行期监控程序的执行流程。实验结果表明,该方法对篡改控制流的攻击起到了很好的防御作用。     

基于动静结合的Android恶意代码行为相似性检测

针对同种族恶意软件行为具有相似性的特点进行研究,提出通过静态分析和动态运行程序相结合的方式度量软件行为的相似性。通过反编译和soot代码转换框架获取程序控制流图,利用行为子图匹配算法从静态方面对程序行为相似性进行度量;通过自动化测试框架运行程序,利用文本无关压缩算法将捕获到的trace文件压缩后进行相似性度量。该检测方法综合静态检测执行效率高和动态检测准确率高的优点,实验分析表明,该检测技术能够准确度量程序之间行为的相似性,在准确率上相较于Androidguard有大幅提升。     

C程序控制流程模型的提取技术与实现

控制流图描述了函数执行时可能采取的执行路径。绝大多数静态分析工具都在抽象语法树之上生成控制流图并据此对程序的运行行为进行分析。在模型检测过程中,提取正确的控制流图是构建系统模型的关键。在分析C程序的抽象语法树和控制结构的基础上,设计并实现了程序控制流图提取的算法,并分析了算法的正确性。基于提取的控制流程,可对C程序的某些性质进行模型检验。     

基于模型代数的基本路径集的自动生成

路径测试是一种根据路径设计测试用例的白盒测试技术,而 基本路径测试是其中运用最广泛的一种路径测试方法。基本路径测试是在被测程序的控制流图的基础上导出基本的可执行的路径集合,因此程序控制流图是基本路径集自动生成的关键。考虑到依赖程序控制流图生成基本路径集的低效性,提出基于模型代数的基本路径集的自动生成方法。该方法通过分析被测程序,自动生成程序的模型代数表达式,并在模型代数表达式的基础上生成基本路径集。最后通过经典案例证明了该方法的有效性。     

基于基本块标识方法的控制流图生成器设计

设计一个实用的程序控制流分析工具需要解决非结构程序中goto等语句的控制流图构造问题。C语言程序控制流图生成器CfgGen的设计采用基于基本块标识的控制流图构造方法解决该问题。CfgGen程序基于规则,通过语法制导翻译标识基本块、构造控制流图,易移植和维护。CfgGen构造的控制流图标识了基本块,可以很方便地用于程序分析和优化。     

程序控制流图自动生成的算法

运用程序控制流图,可以方便地度量程序的逻辑复杂度,确定软件测试中控制结构独立路径的基本集合。文章提出了根据程序设计的伪码,自动生成程序控制流图的数据结构和详细的算法,为进行控制优化、软件基本路径测试以及程序控制相关性分析提供了良好的基础。     

基于证据推理的程序恶意性判定方法

针对可执行程序恶意性难以判定的情况,提出一种基于证据推理的程序恶意性判定方法.首先,建立程序恶意性判定模型;然后,通过对程序进行反编译,抽取影响程序安全性的特征,建立程序行为集合;使用BP神经网络对模型进行训练得到各个行为的概率分配函数BPAF(basic probability assignment functions),并使用加权和形式的合成法则对程序行为进行合成;最后,实现对程序恶意性的判定.实验结果表明了该方法的有效性.     

基于硬件资源访问控制的固件恶意行为研究*

固件与传统的应用软件一样,都有可能存在木马、后门、逻辑炸弹等具有恶意行为的代码。由于固件具有硬件相关性、任务执行的阶段性与高内聚性等特点,使得传统的程序恶意行为描述方法不能适用于固件程序。探讨了固件程序及固件恶意行为的特点和本质特征,描述了一种基于硬件资源访问控制策略的固件程序恶意行为形式化建模和检测方法,并对该方法的有效性进行了实验验证。     

数组越界的故障模型及其检测方法研究

数组越界是C程序中的常见故障，该类故障可能造成系统的崩溃。首先针对常见的数组越界故障进行了分析，提出了检测数组越界的判定准则，建立了故障模型。根据该故障模型，采用程序控制流图和路径条件，并结合静态分析思想，给出了可有效地检测出程序中存在的数组越界故障的方法。最后通过实例分析了该方法的应用过程。     

面向后渗透攻击行为的网络恶意流量检测研究

现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。     

基于关键应用编程接口图的恶意代码检测

针对基于特征码的恶意代码检测方法无法应对混淆变形技术的问题,提出基于关键应用编程接口(API)图的检测方法。通过提取恶意代码控制流图中含关键API调用的节点,将恶意行为抽象成关键API图,采用子图匹配的方法判定可疑程序的恶意度。实验结果证明,该方法能有效检测恶意代码变体,漏报率较低。     

基于DynamoRIO的恶意代码行为分析

提出一种基于动态二进制分析的恶意代码行为分析方法,以动态二进制分析平台DynamoRIO为基础设计实现恶意代码行为分析的原型系统.实验结果证明,该系统能够全面地获取恶意代码的API调用序列和参数信息,通过对API调用的关联性进行分析,准确得到恶意代码在文件、注册表、服务及进程线程操作等方面的行为特征.     

A graph mining approach for detecting unknown malwares

Nowadays malware is one of the serious problems in the modern societies. Although the signature based malicious code detection is the standard technique in all commercial antivirus softwares, it can only achieve detection once the virus has already caused damage and it is registered. Therefore, it fails to detect new malwares (unknown malwares). Since most of malwares have similar behavior, a behavior based method can detect unknown malwares. The behavior of a program can be represented by a set of called API's (application programming interface). Therefore, a classifier can be employed to construct a learning model with a set of programs' API calls. Finally, an intelligent malware detection system is developed to detect unknown malwares automatically. On the other hand, we have an appealing representation model to visualize the executable files structure which is control flow graph (CFG). This model represents another semantic aspect of programs. This paper presents a robust semantic based method to detect unknown malwares based on combination of a visualize model (CFG) and called API's. The main contribution of this paper is extracting CFG from programs and combining it with extracted API calls to have more information about executable files. This new representation model is called API-CFG. In addition, to have fast learning and classification process, the control flow graphs are converted to a set of feature vectors by a nice trick. Our approach is capable of classifying unseen benign and malicious code with high accuracy. The results show a statistically significant improvement over n-grams based detection method.     

基于行为特征的恶意代码检测方法

研究基于行为特征的恶意代码检测模型及其实现方式,并分析实现中的关键技术。使用自定义行为特征编码模板进行恶意代码匹配,将短周期内2次匹配成功作为判定恶意代码的标准,利用最大熵原理分析2次恶意代码行为的信息论特征。实验结果表明,该方法具有较低的病毒检测误报率和漏报率,并且能有效防范未知恶意代码。     

基于行为特征分析的微博恶意用户识别

近年来,社交网络数据挖掘作为物理网络空间数据挖掘的一大热点,目前在用户行为分析、兴趣识别、产品推荐等方面都取得了令人可喜的成果。随着社交网络商业契机的到来,出现了很多恶意用户及恶意行为,给数据挖掘的效果产生了极大的影响。基于此,提出基于用户行为特征分析的恶意用户识别方法,该方法引入主成分分析方法对微博网络用户行为数据进行挖掘,对各维度特征的权重进行排序,选取前六维主成分特征可以有效识别恶意用户,主成分特征之间拟合出的新特征也能提升系统的识别性能。实验结果表明,引入的方法对微博用户特征进行了有效的排序,很好地识别出了微博社交网络中的恶意用户,为其他方向的社交网络数据挖掘提供了良好的数据清洗技术。     

基于VGGNet的恶意代码变种分类

针对代码复用在同一恶意家族样本中普遍存在的现象,提出了一种利用代码复用特征的恶意样本分类方法。首先将文件的二进制序列分割成RGB三色通道的值,从而将恶意样本转换为彩色图;然后用这些图片基于VGG卷积神经网络生成恶意样本分类模型;最后在模型训练阶段利用随机失活算法解决过拟合和梯度消失问题以及降低神经网络计算开销。该方法使用Malimg数据集25个族的9342个样本进行评估,平均分类准确率达96.16%,能有效地分类恶意代码样本。实验结果表明,与灰度图相比,所提方法将二进制文件转换为彩色图能更明显地强调图像特征,尤其是对于二进制序列中含有重复短数据片段的文件,而且利用特征更明显的训练集,神经网络能生成分类效果更好的分类模型。所提方法预处理操作简单,分类结果响应较快,因此适用于大规模恶意样本的快速分类等即时性要求较高的场景。     

云计算下基于信任的防御系统模型

由于云计算的动态性和开放性,云环境中频频出现恶意攻击行为,为了保障云计算的安全,结合可信云的思想,提出一个云计算下基于信任的防御系统模型。该模型通过实时监控获取用户的行为证据并加以规范;提出一种新的基于模糊层次分析法（FAHP）的用户行为信任评估方法,逐步确定各行为证据的权重,实现行为信任的科学量化评估;利用多种检测引擎对可疑文件进行全面检测和综合决策,为云中用户提供最大限度的安全防御。实验结果表明,该系统模型能有效消除不良用户的恶意攻击行为、降低病毒等给用户带来的损失,达到云端和客户端双向防御的目的。     

Web Services中基于信任的动态访问控制*

在Web Services系统中,用户行为的动态不确定性,使得现有的访问控制模型难以控制用户的恶意行为。针对这一问题,提出一种基于信任的动态访问控制模型。该模型将安全断言标记语言和可扩展的访问控制标志语言相结合,并采用了一种基于忠诚度的信任度计算方法。仿真结果显示,该访问控制方式能有效地遏制恶意行为,实现访问控制的动态性,具有较好的通用性、灵活性和可扩展性。     

一种用于恶意行为检测的规划识别方法

恶意行为检测是通过观察分析智能体一系列行为过程中的动作和行为识别其行为目的的方法.为了排除智能体行为的复杂性、误导性带来的影响,以隐马尔可夫为基础构造规划识别方法,综合分析多个智能体行为之间的关联关系推测行为目的性.文章提出恶意行为检测模型的整体框架,简述了复杂数据下的特征抽象方法,进而提出基于隐马尔可夫实现的规划识别...     

基于相识度的恶意代码检测

特征码的识别方法仅能识别已知的恶意代码,并未解决恶意代码的判别问题.当前基于行为的扫描和启发式扫描也只是关注恶意代码的单个的危险行为点,误报率很高.侧重挖掘行为之间的关系,采用矩阵将待测代码的行为及行为之间的关系进行描述、测量,由此提出一种基于相识度的恶意代码检测方法.相识度是系统对待测代码的熟悉程度.根据相识度的大小来判断待测代码是否为恶意代码,相识度越大,待测代码是恶意代码的可能性就越小.在此基础上,提出了相应的恶意代码检测算法,通过实例验证了该方法的有效性.