基于关联规则的未知恶意程序检测技术

针对当前基于特征码病毒检测技术不能检测出未知病毒的缺点,通过研究某些病毒及其变种版本在执行过程中应用程序接口(API)调用序列的规律,提出一种基于数据挖掘的检测技术,采用Apriori算法从已知病毒的API调用序列中提取有价值的关联规则,用于指导病毒检测。实验结果表明该方法对未知病毒检测有良好的效果。     

基于程序双维度特征的恶意程序相似性分析

网络空间中充斥着大量的恶意代码,其中大部分恶意程序都不是攻击者自主开发的,而是在以往版本的基础上进行改动或直接组合多个恶意代码,因此在恶意程序检测中,相似性分析变的尤为重要.研究人员往往单一种类的信息对程序相似性进行分析,不能全面地考量程序的有效特征.针对以上情况,提出综合考虑动态指令基本块集合的语义特征和控制流图的结...     

基于网络流量的主机识别技术研究

随着网络技术的快速发展,互联网中的安全问题愈发严重,因此定位互联网攻击者主机至关重要。目前的主机定位方法常常由于需要发送数据包和包含大量指纹信息而导致识别准确率过低。为了解决识别准确率过低缺点,文章首先介绍了常用的主机识别特征,其次分析主机识别中涉及的学习方法,最后针对主机识别过程中低识别率的问题提出了一种基于精简指纹的主机识别模型。该模型在支持向量机中使用卡林斯基-哈拉巴斯指数（Calinski-Harabaz Index,CHI）算法处理的特征进行预测,验证了该模型的精简指纹比完整指纹拥有更高的识别效率。     

一种Android恶意程序检测工具的实现

目前,Android上恶意程序的识别主要通过静态检测,但普遍识别率不高。文章基于静态检测原理,使用了一种基于行为的检测方法,以变量跟踪以及函数等价匹配的方式来判断一个Android安装包中是否存在恶意行为,从而增大了静态检测的准确率。在文章中,以短信吸费程序为样本,实现了这种基于行为分析的恶意程序检测工具。并在测试中证明了它的有效性。     

一种智能通信接口的双主机系统设计

本文主要针对低价位的单片机通信系统提出了新颖的双主机并行处理系统设计思路， 给出了系统的软硬件设计框图。     

一种基于指纹生物特征识别系统

针对传统身份识别方法中标识物体容易丢失和伪造的问题,在对比可作为识别特征的多种生物特征的基础上,提出并实现了一种基于指纹特征的识别系统。系统首先利用指纹采集器获取指纹图像,然后对采集到的指纹图像进行包括图像分割、图像增强、图像二值化和图像细化在内的图像预处理操作,接着对处理过后的指纹图像进行指纹的特征提取,最后将提取到的待验证手指指纹特征,与指纹特征库中的候选指纹特征进行匹配,以实现用户身份识别。实验结果表明,基于指纹特征的识别系统具有很高的实时性和较高的准确性,可以满足一般用户的身份识别要求。     

基于抽象解释理论抽取多态恶意程序特征码

抽象解释理论是Cousot.P和Cousot.R于1977年提出的程序静态分析时构造和逼近程序不动点语义的理论。文章将该理论应用于恶意程序特征码抽取,通过详细描述抽取过程的各个步骤,提出了一种专门针对多态恶意程序的检测方法,从而为恶意程序检测开辟了新的思路。实践证明所述方法准确、高效。     

基于Windows 2000的异常入侵检测主机特征研究

异常检测很重要的一步就是输入数据的提取,本文设计了18项Windows2000环境下的主机特征,并且实现了特征数据提取,可以为异常检测的各种智能方法提供训练数据和实时的检测数据。     

基于流量特征分类的异常IP识别系统的设计与实现

异常IP识别是追踪恶意主机的重要方式,是网络安全研究的热点之一.当前应用机器学习技术进行异常IP识别多依赖整体网络流量,在单台服务器流量下会失效,且面临标记数据成本高昂问题.针对上述问题,文章把聚类算法和遗传算法应用到对端异常IP主机的识别与分类技术中,利用网络流量的多维特征和单台主机上可检测的IP地址特征数据,使用无...     

基于网络流量特征的未知木马检测技术及其实现

文章首先介绍了当前网络环境下木马检测的经典方法、优缺点及其面临的挑战,然后从木马网络通信的本质特征出发,提出了基于网络流量特征的未知木马检测方案,描述了原型系统的设计方案及实现。通过测试结果表明,该方案可有效检测各类未知木马软件,保证高检出率的同时,误报率低。     

基于全局行为特征的未知恶意文档检测

相比于基于宏的恶意办公文档,基于漏洞利用的恶意办公文档在攻击过程中往往不需要目标交互,能在目标无感的情况下完成攻击,已经成为APT攻击的重要手段,因此检测基于漏洞利用特别是未知漏洞利用的恶意文档对于发现APT攻击具有重要作用。当前的恶意文档检测方法主要围绕PDF文档展开,分为静态检测和动态检测两类,静态检测方法容易被攻击者规避,且无法发现基于远程载荷触发的漏洞利用,动态检测方法仅考虑PDF中JavaScript脚本或文档阅读器进程的行为特征,忽视了针对系统其他进程程序的间接攻击,存在检测盲区。针对上述问题,本文分析了恶意办公文档的攻击面,提出恶意文档威胁模型,并进一步实现一种基于全局行为特征的未知恶意文档检测方法,在文档处理过程中提取全系统行为特征,仅训练良性文档样本形成行为特征库用于恶意文档检测,并引入敏感行为特征用于降低检测误报率。本文在包含DOCX、RTF、DOC三种类型共计522个良性文档上进行训练获取行为特征库,然后在2088个良性文档样本和211个恶意文档样本上进行了测试,其中10个恶意样本为手动构造用于模拟几种典型的攻击场景。实验结果表明该方法在极低误报率(0.14%)的情况下能够检测出所有的恶意样本,具备检测利用未知漏洞的恶意文档的能力,进一步实验表明该方法也能够用于检测针对WPS Office软件进行漏洞利用的恶意文档。     

基于HTTP流量的变电站恶意设备检测

随着工业4.0时代的日益推进,智能电网成为目前的热点话题,各种物联网设备的嵌入以及边缘节点的部署是变电站二次系统云边协同的重要基础。该文通过对电网系统中联网设备网络行为所产生的HTTP流量进行研究,分析网络流量属性与恶意行为的相关关系,挖掘出数据特征,进而使用不同的机器学习算法来检测恶意行为,并对其进行追踪定位。实验结果表明,提出的检测方法能够有效识别恶意联网设备,降低电网系统的安全风险系数,从而保证系统安全。     

Unknown Malicious Document Detection Based on Global Behavior FeatureCSCD

Compared with malicious office documents based on macros, malicious office documents based on vulnerability exploitation often do not need target interaction in the attack process, and can complete the attack without target perception. It has become an important means of Advanced Persistent Threat (APT) attack. Therefore, detecting malicious documents based on vulnerability exploitation, especially unknown vulnerability exploitation, plays an important role in discovering APT attacks. The current malicious document detection methods mainly focus on PDF documents. It is mainly divided into two categories: static analysis and dynamic analysis. Static analysis is easy to be evaded by hackers, and can not discovery exploits triggered by remote payload. Dynamic analysis only considers the behaviors of the JavaScript in PDF or document reader’s process, ignoring the indirect attacks against other processes of the system, leads to a detection blind spot. To solve the above problems, we analyze the attack surface of malicious Office documents, come up with a threat model and implement an unknown malicious document detection method based on global behavior feature. In the process of document processing, the whole system behavior features are extracted, and only benign document samples are trained to form a behavior feature database for malicious document detection. In order to reduce false alarm rate, we introduce sensitive behavioral feature in detection. In this paper, 522 benign documents including DOCX, RTF and DOC are trained to obtain the behavior feature database, and then 2088 benign document samples and 211 malicious document samples are tested. Of these, 10 malicious samples are manually crafted to simulate several typical attack scenarios. The experimental results show that this method can detect all malicious samples with a very low false positive rate (0.14%) and is able to detect malicious documents that exploit unknown vulnerabilities. Further experiments show that this method can also be used to detect malicious documents exploiting WPS office software. © 2023 Chinese Academy of Sciences. All rights reserved.     

基于集成SVM和Bagging的未知恶意流量检测

未知恶意网络流量检测是异常检测领域亟待解决的核心问题之一.从高速网络数据流中获取的流量数据往往具有不平衡性和多变性.虽然在恶意网络流量异常检测特征处理和检测方法方面已存在诸多研究,但这些方法在同时解决数据不平衡性和多变性以及模型检测性能方面仍存在不足.因此,本文针对未知恶意网络流量检测目前存在的困难,提出了一种基于集成SVM和Bagging的未知恶意流量检测模型.首先,针对网络流量数据的不平衡性,提出一种基于Multi-SMOTE过采样的流量处理方法,以提高流量处理后的特征质量;第二,针对网络流量数据分布的多样性,提出一种基于半监督谱聚类的未知流量筛选方法,以实现从具有多样分布的混合流量中筛选出未知流量;最后,基于Bagging思想,训练了集成SVM未知恶意流量检测器.实验结果表明,本文所提出的基于集成SVM与Bagging的未知流量攻击类型检测模型在综合评价(F1分值)上优于目前同类未知恶意流量检测方法,同时在不同数据集上具有较好的泛化能力.     

一种网络终端恶意程序攻击诱捕系统的设计和实现

从针对网络终端广播域内恶意程序攻击的诱捕和检测出发,给出终端广播域内攻击诱捕系统的工作原理、系统组成、各组件的具体作用以及将各组件整合成一个统一的检测平台的设计和实现。     

基于空间关系特征的未知恶意代码自动检测技术研究

提出基于未知恶意代码样本空间关系特征的自动检测技术.针对量化的恶意代码样本字符空间的向量特征,基于区域生长的智能分块算法,划分恶意代码样本空间关系区域;根据区域分别计算恶意代码样本的字符矩、信息熵和相关系数等空间关系特征,分别提取特征向量,并归一化处理;通过分析恶意代码样本特征的共性,建立空间关系特征向量索引;采用综合多特征的相似优先匹配方法检测未知恶意代码,多个空间关系距离加权作为判别依据,提高检测的准确率.实验表明,提出的自动检测方法能够自动快速地匹配出未知恶意代码的样本,准确程度高,而且能够确定未知恶意代码的类型.     

基于微软NT平台的Internet虚拟主机服务

文章主要介绍了基于微软公司NT平台的Internet服务器系统,以及利用该系统提供虚拟主机服务的方法和服务的内容。     

基于ARP协议构建网络虚拟主机

利用ARP协议实现了在网络层的虚拟主机，该主机可以实现网络层的数据通信．文章也分析了虚拟主机在共享环境和交换环境下的数据交换过程．在文章的最后利用此技术给出了一种可以实现应用程序级通讯的虚拟主机模型．     

一种基于亲缘性的恶意代码分析方法简

随着网络及应用技术的不断发展,恶意代码的问题日益突出。目前大多数反病毒措施都是基于传统的基于特征码的扫描技术,使用“扫描引擎＋病毒库”的结构方式虽然对已知病毒的检测相对准确,但对新出现的恶意代码无法准确、及时地做出检测。本文提出了一种基于亲缘性恶意代码分析方法,使用系统函数集合、行为特征、相似代码特征这三个方面来表征一类恶意代码的特征,以达到缩小特征库规模,快速检测未知恶意代码的目的,特别是变种恶意代码。实验结果表明本文所提出的方法可以取得良好的检测结果。     

基于Android网络恶意行为检测系统的应用研究

目前,Android系统是当今网络用户最对的应用系统之一,而随着科学技术的发展,对于Android系统的恶意行为软件也逐渐增多,给当前的应用用户的财产以及私人信息安全带来了很大的威胁,严重的迟缓了当前移动通信网络技术以及相关于应用客户端的推广;为此,根据Android系统的特有机构设计出一种基于Binder信息流的自动检测恶意行为系统,以此来解决对于当前网络安全对于Android系统用户带来的负面影响;根据目前网络中的应用通信信息,检测可能存在的泄露用户信息的应用软件为目标,建立信息矢量图以此来分析当前网络中的恶意行为;通过对软件进行检测,研究可实用性和检测效果,结果显示其识别率可以达到100%,并且软件运行只占有内存的7%,结果可以达到当前的Android用户的使用范围。