计算机蠕虫病毒入侵检测系统的实现

近年来计算机蠕虫病毒攻击事件频频出现,对信息安全造成很大威胁并使经济遭受重大损失。因此,检测包含计算机蠕虫病毒等恶意软件的技术已成为重要的研究项目。大多数防护软件都是利用比对特征码的方式作为检测恶意软件的主要方法,这种方式虽然有较高的正确判断率与较低的误判率,但是特征码必须从已知的恶意软件样本中取得,所以无法检测未知的恶意软件。因此,本文提出在分析计算机蠕虫病毒在被攻击主机上所进行的行为内容的基础上,根据病毒引发的各项系统状态与资源的变化,建构一个可用于检测已知与未知计算机蠕虫病毒的主机型入侵检测系统。     

一种基于最大频繁子图基因的恶意软件系统化命名方法

为了更好地理解恶意软件的行为和特征,并加强公众对计算机安全的认识,本文提出了一种基于最大频繁子图基因的恶意软件系统化命名方法。该方法动态提取恶意软件的动态特征,使用SFFSM-SPIN-MGM算法和遗传签名来实现最大频繁子图的提取和编码,并建立Trie基因库。然后,利用随机森林算法对恶意软件进行检测。实验结果表明,该模型具有较强的泛化能力,能够有效地识别实验室现有恶意软件的变种测试集。     

基于恶意软件分类的特征码提取方法

网络已经成为恶意软件最主要的传播途径。由于恶意软件以网络数据包的形式在网络上传播时和正常的数据包并无差异,传统检测方法不能有效检测。对传统的特征码检测方法进行了改进,提出了一种基于恶意软件分类的特征码提取方法,提高了对恶意软件片段的识别能力,并在一定程度上解决了传统的特征检测方法检测效率低、特征库过于庞大的问题。     

企业内网蠕虫感染的快速检测方法

面对蠕虫病毒迅速增长的传播速度和破坏能力,蠕虫检测和响应系统必须能够在很短的时间内准确识别蠕虫病毒并采取有效隔离手段。该文提出了一种基于反向连续性假设测试的蠕虫感染快速检测方法,该方法主要结合使用了现有的两种技术:连续性假设测试和连接速率限制。实验测试表明,这种方法能有效地限制蠕虫病毒完成扫描和进一步感染,对减缓蠕虫病毒扩散具有较好的效果,并且误报率较低。     

基于免疫计算的抗蠕虫病毒Web系统

为了高精度地检测、识别和消除Web系统中的蠕虫病毒,为了实现Web系统的故障自修复,提出了Web系统的正常模型和免疫计算方法。Web系统的正常模型是由各个组件的时空属性表示的,存储在自体数据库中,系统中所有组件的时空属性唯一确定了该软件系统的正常状态。免疫计算方法包括自体/异体的检测算法、已知蠕虫病毒的识别算法、未知蠕虫病毒的识别算法、蠕虫病毒的消除算法和受损系统的修复算法。通过数学逻辑论证,正常模型能在理论上实现对自体和软件故障的100%检测率。“人工智能”网络课程Web原型上的抗蠕虫病毒实验表明,正常模型和免疫计算对实现Web系统的抗蠕虫病毒功能是有效的和必要的,能提高蠕虫病毒检测的精度和系统修复的效率。     

基于主动防御模式下蠕虫病毒特征码的提取模型及算法设计

从一般的网络攻击技术出发,分析现有网络安全技术的弱点,采用主动防御的新思想来应对当前反病毒技术远远落后病毒技术发展的局面。重点对基于动态陷阱生成技术的蠕虫病毒特征码的自动提取进行研究,对收集的新型蠕虫病毒特征扩充IDS的特征库,弥补入侵检测系统对未知病毒攻击无法识别问题,完善防御系统。     

一种检测网络流量异常和网络攻击的算法

尽管网络流量会出现异常,但大部分时间里流量变化是有规律的。如果网络流量出现异常,那么对整个网络具有较大的危害性,因此网管人员必须及时发现流量是否异常。在以往的流量检测算法中聚焦的焦点只是如何区分流量是正常还是异常,并未讨论此时是否存在攻击行为,这些是算法的不足之处。为了改进现有算法的不足之处,作者在查阅了有关资料和文献之后,提出了一种新的流量检测算法,该算法使用了相似性计算法算法,MMTD算法和粗糙集中的决策系统,将这三种算法在流量检测中进行应用是本文的创新点。本文解决问题的思路是首先使用MMTD算法对当前的流量是否异常做出判断,如果出现异常,则使用相似性计算算法将此时的流量与预警值进行比较,并且判断此时是否存在攻击行为,在文章的最后使用粗糙集中的决策系统对流量异常的原因做出决策。     

广义病毒的形式化定义及识别算法

恶意软件的定义是多年来安全领域的研究重点.恶意软件包括病毒、蠕虫和木马.目前仅有病毒的形式化定义,蠕虫、木马没有公认的形式化定义.按照传统病毒的定义,不存在准确识别病毒的算法.文中提出代码是否为病毒是相对于用户而言的,给用户带来损害的代码才是病毒.据此观点,文中以用户意愿为标准,将病毒区分为显式病毒、隐式病毒,并给出了显式病毒的形式化定义和识别算法.理论分析表明,传统病毒以及大部分木马、蠕虫均属于显式病毒,实际案例分析也证实了这一点.     

基于改进决策树分类的Android恶意软件检测

针对目前Android手机恶意软件越来越多的问题,本文在现有研究的基础上,设计了一个Android恶意软件检测框架。该框架通过提取Android应用程序的特征属性,结合Fisher Score、信息增益和卡方检验三种特征选择方法,对属性特征进行预处理,然后利用恶意检测模块中的改进决策树算法对软件进行分类。通过实验仿真,结果表明使用该检测框架检测恶意软件具有较低的误报率和较高的精确度。     

基于特征码的PE文件自动免杀策略

设计一种以逐块恢复法替代传统逐块替换法的特征码定位算法,在此基础上提出一种针对不同区段进行自动免杀的策略。将该策略与改进的多重特征码定位算法相结合,在保持被免杀软件原有功能的前提下,使用等价代码替换技术、字符串与输入表函数名位移等方法自动进行特征码的去除和替换,由此避免被杀毒软件识别为恶意软件。实验结果验证了该策略的有效性。     

基于校验和法比较法与夹角余弦公式的变形病毒检测算法

长度比较法、校验和法以及基于行为的检测算法是3种经典的病毒检测算法,因此将这3种算法相互结合而提出一种新的病毒检测算法,该算法的思路是：首先通过相应的算法检测某个程序的校验和与程序的长度是否发生了变化;如果发生了变化,则采用计算机病毒代码权值计算公式,判断该程序是否被未知病毒感染了;如果成了未知病毒的宿主,则在虚拟机中将该代码进行运行,判断未知病毒的功能属性,同时采用夹角余弦公式对未知病毒进行了相似性计算,根据检测算法来判断该未知病毒属于那种类的病毒,从而达到对计算机未知病毒检测的目的。     

一种新的误用检测算法

在当今网络的入侵事件频频发生,使得网络变得十分不安全,因此为了增强网络的安全性,必须加强入侵检测技术的智能性。在入侵检测技术中误用检测和异常检测是2种主要检测技术,为了进一步地提高误用检测算法的智能性,减少漏检率,因此作者在查阅了已有的入侵检测算法和某些智能算法之后,提出了一种具有一定智能性的检测算法。该检测算法的思路是:首先通过计算某种代码的权值来判断该程序的行为是属于恶意行为还是善意行为,之后使用决策树对恶意行为和善意行为进行分类。如果是恶意行为,那么再使用相似性算法对该行为进行相似性计算,最后使用BM算法对恶意代码行为进行识别,从而达到检测恶意代码的目的。该文提出的算法在一定程度上能够提高入侵检测算法的智能性,将相似性计算算法,决策树算法和权值计算算法在入侵检测系统中进行应用是本文的创新点。     

基于数据特征的内核恶意软件检测

内核恶意软件对操作系统的安全造成了严重威胁.现有的内核恶意软件检测方法主要从代码角度出发,无法检测代码复用、代码混淆攻击,且少量检测数据篡改攻击的方法因不变量特征有限导致检测能力受限.针对这些问题,提出了一种基于数据特征的内核恶意软件检测方法,通过分析内核运行过程中内核数据对象的访问过程,构建了内核数据对象访问模型;然后,基于该模型讨论了构建数据特征的过程,采用动态监控和静态分析相结合的方法识别内核数据对象,利用EPT监控内存访问操作构建数据特征;最后讨论了基于数据特征的内核恶意软件检测算法.在此基础上,实现了内核恶意软件检测原型系统MDS-DCB,并通过实验评测MDS-DCB的有效性和性能.实验结果表明：MDS-DCB能够有效检测内核恶意软件,且性能开销在可接受的范围内.     

基于单位统计曲率特征匹配的红外目标检测方法

针对机器人在隧道施工环境中,由于阴暗强光等因素导致红外图像中的目标检测失败,提出一种基于单位统计曲率特征匹配的红外目标检测方法;采用最小二乘法对目标的曲面进行拟合,根据拟合曲面计算出目标中各像素的高斯曲率和平均曲率,使用曲率代替梯度构造图像特征描述符并建立曲率平面,根据曲率分布的密度将其划分为多个单位区域,对每个单位中的像素使用统计信息来生成稳定的单位统计曲率特征矩阵,通过计算矩阵之间的欧氏距离得到目标的相似性,识别红外图像中待检测的目标;对该算法与现有其它算法对标准图像数据集和实际施工隧道中的栈桥的检测准确率进行对比评价,结果表明,该算法的检测准确率最高,满足了工程上隧道机器人行进中识别栈桥的使用需求.     

基于改进朴素贝叶斯的未知恶意软件识别方法

为了保护用户个人信息不被盗取,提高现有的未知恶意软件识别方法分类准确率,提出了基于改进朴素贝叶斯的未知恶意软件识别方法。首先,在恶意软件识别的神经网络中,利用HOOK跟踪样本,对数据进行预处理;其次,结合朴素贝叶斯理论针对未知恶意软件建立分析模型;最后,建立改进朴素贝叶斯模型,通过搜索加权贝叶斯模型中的权值,经过计算分类准确率结果获得恶意软件识别结果。实验结果表明,该方法对4种病毒样本的分类准确率结果为98%,能够正确分类恶意软件,达到较好的识别效果。     

Android恶意软件的多特征协作决策检测方法

由于智能手机使用率持续上升促使移动恶意软件在规模和复杂性方面发展更加迅速。作为免费和开源的系统,目前Android已经超越其他移动平台成为最流行的操作系统,使得针对Android平台的恶意软件数量也显著增加。针对Android平台应用软件安全问题,提出了一种基于多特征协作决策的Android恶意软件检测方法,该方法主要通过对Android 应用程序进行分析、提取特征属性以及根据机器学习模型和分类算法判断其是否为恶意软件。通过实验表明,使用该方法对Android应用软件数据集进行分类后,相比其他分类器或算法分类的结果,其各项评估指标均大幅提高。因此,提出的基于多特征协作决策的方式来对Android恶意软件进行检测的方法可以有效地用于对未知应用的恶意性进行检测,避免恶意应用对用户所造成的损害等。     

基于谷歌距离的安卓恶意软件特征提取方法

针对传统特征码基于程序二进制文本的提取方法,提出一种对于安卓应用程序Java源码进行特征提取的方法。该方法通过使用谷歌距离计算源码中关键词如API调用、安卓权限和常用参数之间的相关度,挖掘安卓恶意软件源码中常用的关键词,将其按照相似度分类。然后与正常软件中的关键词进行对比实验,得到安卓恶意软件的特征。该方法打破了以往依靠文本上下文环境记录病毒特征的常规方法,结合整个病毒软件操作环境形成特征库,记录下病毒的行为作为特征。实验证明,该方法是行之有效的。     

免疫原理在计算机病毒检测中的应用

主要探讨免疫原理在计算机病毒检测中的应用,并实现了一种将否定选择、克隆选择等生物免疫机制应用于传统的基于特征码的计算机病毒检测法.实验表明,该方法具有检测已知病毒和识别病毒的一些未知变种的能力,能够自动提取特征码,并且生成的病毒特征码具有很低的误别率,是一种实用的计算机病毒检测的方法.     

改进的蠕虫特征自动提取模型及算法设计

文章提出了一种基于序列比对的蠕虫特征自动提取模型,该模型针对现有蠕虫特征自动提取系统的可疑蠕虫样本流量单来源和粗预处理等问题,提出了对网络边界可疑流量和蜜罐捕获网络流量统一的聚类预处理,并使用改进的T-Coffee多序列比对算法进行蠕虫特征提取。实验分别对Apache-Knacker和TSIG这两种蠕虫病毒进行特征提取,从实验结果可以看出文章提出的模型产生的特征质量优于比较流行的Polygraph、Hamsa两种技术。     

基于ReliefF算法的通信网络蠕虫病毒高效检测方法

由于传统方法对通信网络蠕虫病毒的检测效果不佳,提出基于ReliefF算法的通信网络蠕虫病毒高效检测方法。首先采用ReliefF算法采集通信网络蠕虫病毒特征,并根据应用程序接口（ApplicationProgramming Interface,API）的调用筛选特征;其次将筛选出来的蠕虫病毒特征作为训练样本,将经过特征选择后的训练样本输入分类器中进行模型构建;最后通过交叉验证方法优化模型,并使用构建的模型检测文件中是否含有蠕虫病毒。实验结果表明,采用基于ReliefF算法的通信网络蠕虫病毒检测方法准确率较高,且优于其他两种方法。