一种虚拟化恶意程序检测系统的实现

为了自动智能检测出新变种的恶意程序,使用虚拟执行与应用程序接口钩子技术,分析程序执行中调用的系统接口,将接口调用顺序编码形成一个特征序列。运用编辑距离算法计算程序特征序列与数据库中恶意特征序列的相似度,实现自动判别恶意种类的功能。在随机选取样本的的前提下,本系统对样本分析后结果表明,检测识别精确度达到92%,误报率仅为6%。     

Android恶意程序行为分析系统设计

提出了一种基于行为的Android恶意程序分析系统（nDroidAS）设计. nDroidAS加入客户端组件监控用户设备上的Android安装包（APK）安装操作,以及时分析待安装应用程序. 服务器端在虚拟环境中安装、运行应用程序,执行动态行为分析检出恶意程序;同时,抓取互联网中的APK程序包并提前分析,建立结果缓存,加快对用户分析请求的响应. 构建了简化的nDroidAS原型系统,分析了部分APK程序样本. 验证结果表明：nDroidAS能有效监控Android设备中的APK安装操作并及时响应客户端分析请求,是一种可行的恶意程序行为分析系统方案.     

基于FSM的感知节点软件故障检测

针对事件驱动程序运行时的故障检测问题,提出了一种基于有限状态机(FSM)的感知节点软件故障检测方法. 用户通过撰写FSM规范,并在程序中添加与FSM执行相关的宏标记,对程序期望行为进行描述. 在节点运行时通过比较FSM规范和收集的FSM执行信息,实现节点软件故障检测. 针对2类典型节点硬件平台,研究了3种故障检测机制的存储和计算开销,最后通过2个实例分析验证了所提方法的有效性.     

虚拟内存进程重构与恶意行为扩展识别模型

为了解决现有虚拟机的恶意行为分析技术检测点单一、抗干扰能力弱、检测结果可信度不高等问题,提出了一种基于虚拟内存进程重构和进程关系识别的虚拟检测技术.通过分析VMware虚拟内存特点,重构进程生命周期中的启动、隐藏、可疑操作、网络通信等序列化行为,并形式化描述为名称关系、父子关系、时间关系、文件关系、通信关系、用户关系六元组.进一步地,将六元组扩展为证据链并提出一种基于改进k-means算法的恶意行为识别模型,通过计算不同进程六元组之间的相似度,结合先验知识,使用恶意进程集初始聚类中心,进而辨识出虚拟内存中的恶意进程及其关联性和依赖关系.测试结果表明:1 000个样本中恶意进程的检出率高达91.98%,相比传统内存取证技术该方法重构出的虚拟内存进程信息更加充分,恶意行为判定结果的准确性、可靠性更高.     

基于执行路径的嵌入式计量软件后门检测

方便高效的嵌入式计量软件后门检测是打击不法经营、加强计量监督的重要手段。在分析一般的软件后门检测方法和二进制可执行程序检测方法的基础上,针对一般软件后门检测方法的不足,提出了基于执行路径,通过动态运行二进制可执行程序,检测计量器具中是否存在通过作弊命令触发作弊行为的后门程序。首先定义了程序的执行路径,然后基于命令树设计了执行路径跟踪算法,最后通过例子说明了该方法的有效性。     

基于反调试的JavaScript代码保护方法研究

为了消除攻击者动态调试JavaScript代码给HTML5应用程序带来的安全威胁,提出一种基于反调试的代码保护方法.在深入分析Firefox及Chrome浏览器中调试器工作原理的基础上,探索了主流浏览器平台中调试器运行时的特征.基于调试器特征构造检测调试行为的JavaScript代码片,并结合针对调试行为的响应策略达到反动态调试目的.通过攻击实例验证了该方法的有效性,在不影响程序性能的前提下提升了Web应用程序的安全性.     

基于随机森林算法的Android恶意行为识别与分类方法

针对当前Android恶意软件检测方法对检测出的恶意行为无法进行识别和分类的问题,提出基于随机森林（RF）算法的Android恶意行为的识别与分类方法. 该方法在对Android恶意软件的类型进行定义的基础上,利用融合多种触发机制的Android恶意行为诱导方法触发软件的潜在恶意行为;通过Hook关键系统函数对Android软件行为进行采集并生成行为日志,基于行为日志提取软件行为特征集;使用随机森林算法,对行为日志中的恶意行为进行识别与分类. 实验结果表明,该方法对Android恶意软件识别的准确率达到91.6%,对恶意行为分类的平均准确率达到96.8%.     

一种抗语义攻击的虚拟化软件保护方法

随着计算机和网络的发展,软件核心算法面临着被逆向的威胁越来越大。虚拟机软件保护方法作为一种新型的软件保护方法,利用虚拟化技术保护软件的核心算法。因虚拟指令很难被理解,故其保护强度较高。但是,该方法仍无法抵御基于语义的攻击方法对虚拟机保护后的软件攻击,由此给软件安全带来了严重的威胁。针对现有的各类虚拟机软件保护方法无法应对目前恶意攻击者基于语义攻击的问题,提出了一种抗语义攻击的虚拟机软件保护方法即DAS-VMP。该方法分析了基于语义攻击的关键技术,依此研究出抵抗语义攻击的方法。从程序内部的数据流和执行流出发,通过设计数据流混淆引擎对虚拟机中虚拟解释器（Handlers）进行数据流混淆,使程序内部的数据流结构变得复杂多样,从而攻击者无法进行数据流的分析。隐藏虚拟机中的谓词信息,以抵抗攻击者的符号执行技术,同时将单一进程虚拟机设计为双进程虚拟机,控制软件运行过程中的执行流,使软件的执行过程更加难以被追踪,最终使经过保护后的软件呈现出一种复杂的数据流和执行流,从而阻止攻击者通过基于语义的攻击方法进行逆向分析。理论分析表明,DAS-VMP能够有效抵抗基于语义的攻击,与两款商业虚拟机保护系统的比较表明DAS-VMP对系统的性能开销较小。     

基于注册表Hive文件的恶意程序隐藏检测方法

研究当今恶意程序的发展趋势,系统比较了在注册表隐藏和检测方面的诸多技术和方法,综合分析了它们存在的不足,提出了一种基于注册表Hive文件来进行恶意程序隐藏检测的方法,使得针对恶意程序的检测更加完整和可靠。实验表明,该方法可以检测出当前所有进行了注册表隐藏的恶意程序。     

C语言源程序的缓冲区溢出漏洞分析及解决方案

着重分析一些存在缓冲区溢出攻击漏洞的C语言函数,介绍具有哪些特点的C函数容易受到缓冲区溢出攻击,并借此更加深入地了解缓冲区溢出攻击机制.探讨了缓冲区溢出攻击程序的结构.最后提出避免缓冲区溢出攻击的方法.该方法从C函数和攻击程序两方面入手,通过避免或正确使用有缓冲区溢出攻击漏洞的C语言函数;了解恶意程序代码的结构识别恶意程序代码,达到避免缓冲区溢出攻击的目的.     

基于KVM的Windows虚拟机用户进程防护

为保护Windows虚拟机中进程的内存和系统调用执行路径免受恶意代码的威胁,提出了一种基于KVM的虚拟机用户进程防护方案。结合硬件虚拟化技术,为Windows虚拟机构造一份影子内核以绕过恶意代码对原内核系统调用路径的挂钩,保护进程系统调用路径的安全。同时,在监控代理中过滤跨进程系统调用,在KVM中拦截虚拟机页表切换行为并监控虚拟机断点异常与调试异常,保护进程内存的安全。另外,构造影子监控代理,实现对虚拟机监控代理内存的安全防护。最后,实现了基于KVM的虚拟机用户进程防护系统VMPPS,并对其有效性进行了系统测试与分析。实验结果表明,在性能损失可接受范围内,进程内存与进程系统调用执行路径能够得到有效防护。     

基于语义的Android敏感行为静态分析方法

提出一种基于语义的Android敏感行为静态分析方法。该方法首先基于样本统计结果,利用精简Dalvik指令集作为本文分析的中间语言,实现对指令层的形式化语义描述;之后,基于中间语言发现检测样本中的敏感调用,并通过控制依赖关系追溯调用路径;最后,在控制流分析基础上,对存在敏感调用的路径约束求解路径条件。最终求解出具体后台行为及触发条件,揭示出样本后台行为的执行全过程。该方法缓解了符号执行中的路径爆炸问题,实验验证了该方法可以有效地对移动应用后台行为进行分析,并及时获取特征检测无法发现的未知移动恶意应用程序。     

Cable Harness Assembly Planning in Virtual Environment

1 Introduction Acable harnessis an assembly of cables ,connectors and other components that provides the electrical inter-connectivity between different modules . Cable harnesses are a vital part of all electro-mechanical systems fromaircraft and automobiles to personal computers and domestic appliances . For complex electro-mechanical prod-uct ,it is an obvious problemof determining satisfactory routes for bundles of cablesin crowded spaces ,so cableharness design and assembly planning cover …     

基于VMCS结构体的虚拟机恶意对象关联检测方法

虚拟机的安全运行是云计算运行环境可信性的重要保证。针对基于虚拟机自省的安全检测方法在云环境规模化、多样化虚拟机场景下面临通用性监控与深度检测间题,提岀基于VMCS结构体的虚拟机恶意对象关联检测方法,实现异构虚拟机内存无痕地、通用地获取,以及对虛拟机内、虛拟机间恶意行为的深度检测。最后,通过实验验证了所提方法对主流的Iinx和 Windows操作系统皆可有效处理,通用性较强。     

基于内存自省技术的虚拟化安全防护模型

提出了一种基于内存自省技术的虚拟化安全防护模型,能够在无任何先验知识的前提下,通过实时分析物理主机物理内存重构物理主机状态信息、发现正在运行的虚拟机以及重构虚拟机高级语义信息,及时发现虚拟机中存在的恶意行为,并对恶意行为做出智能响应.实验结果表明,该模型具有透明、抗攻击、通用和高效等特性.     

基于虚拟机的内核完整性保护技术

针对云计算中客户虚拟机内核完整性面临的威胁,该文提出了一种保护虚拟机内核完整性的技术-CTVM。该技术在KVM虚拟机环境中实现了虚拟化可信执行环境的创建,使多个客户虚拟机同时拥有可信计算功能,能对客户虚拟机提供启动完整性度量;在此基础上利用硬件辅助虚拟化技术,通过为客户虚拟机构造隔离的地址空间,使客户虚拟机中不可信模块与内核运行在逻辑隔离的地址空间。从这两个方面实现对客户虚拟机的启动和运行时的完整性保护。最后,以某国产服务器为实验平台实现了CTVM原型系统,系统测试与分析验证了技术的可用性,系统性能损耗在可接受的范围内。     

基于遗传算法的虚拟校园漫游路径规划

针对虚拟校园中道路环境存在u型槽及狭长路径的特点,提出一种基于改进遗传算法的路径规划方案。利用网格表示校园环境,并引入障碍物顶点信息,进行校园路径信息描述。在基本遗传算法进化过程中,加入平滑算子和避障算子,对适应值逐步收敛的种群进行人工选择优化,来提高成功率和适应值。实验结果表明,该方法能够在路径规划中准确的绕开U型槽障碍,并穿过狭长路径。     

基于动态优先级的实时Java垃圾回收策略

针对通用平台下Java虚拟机垃圾回收器（GC）的不定期启动问题,提出了一个周期性提升GC优先级、提前调度GC的解决方案.该方案把优先级按任务的重要程度分两个等级：关键线程和非关键线程,通过计算垃圾回收的时机即计算出垃圾回收的周期上限T_GC,在任务运行最长不超过T_GC的时间内提升GC的优先级为非关键线程的最大值,从而使GC在不影响关键线程的情况下能提前回收内存中的垃圾,使虚拟机的内存处于非饱和状态.理论分析和实验结果表明,该方法可以提高通用环境下Java关键线程的实时性及执行的可预测性.     

基于语义信息的虚拟环境路径规划

为了降低虚拟环境下路径规划的计算复杂度,体现路径的合理性与增强算法的适应性,提出一种基于语义信息的层次型路径规划算法。针对目前虚拟人与环境地图建模时只考虑基本的几何信息,提出加入语义信息的建模方法;并在路径搜索算法中加入语义约束,使规划出的路径更符合人体的行为习惯;最后从路径长度、计算时间与扩展结点数三个指标验证算法的有效性,实验结果表明随场景规模的增大算法的计算时间呈线性增长态势。