基于网络的恶意代码检测技术

通过对传统分布式IDS的分析，指出基于详细协议分析的多引擎小规则集的系统结构用于网络级恶意代码检测的缺陷，设计了单引擎大特征集的网络级恶意代码检测模型及恶意代码特征描述语言；分析了网络数据流的特征，通过对特征串进行优化的方法，避免特征串后缀与数据流的频繁碰撞及链表分支不平衡的问题，大幅度提高了WM算法检测网络恶意代码的效率。     

基于虚拟机的恶意代码检测系统研究

在深入分析恶意代码及其检测技术特征的基础上,提出一种基于硬件虚拟机的恶意代码检测系统,轻量级虚拟机是基于硬件虚拟化技术实现的小型虚拟机,为文件检测提供环境。行为监控模块负责监控被检测文件的所有行为,并把这些行为记录下来为后面的分析提供依据。行为分析模块是系统的数据处理模块,需要对数据进行收集、分类、分析处理然后归纳得出测试结果。     

基于Android的手机恶意代码检测与防护技术

随着通信技术以及移动终端的发展,Android系统由于其本身的开源性,滋生了大量的恶意代码。为了满足Android手机用户的安全需求,文中基于Android,采用SVM机器学习思想,构建了恶意代码检测模型,并开发了一套手机恶意代码检测与防护系统,可以对其进行快速检测和深度检测。系统经Android手机测试结果表明,其具有较好的检测精度以及较低的恶意代码漏报率。     

移动恶意代码分析及检测技术研究

目前移动互联网产业重心逐渐向移动应用服务转移。产业界各方竞相角逐移动应用市场:移动应用数量飞速增加,移动应用功能不断加强,应用用户体验持续提升。但是移动应用在飞速发展的同时也滋生了众多的安全隐患,移动恶意代码分析及检测技术已经成为当前移动应用软件健康发展的重要保证之一。针对这些问题,文章首先对移动恶意代码现状进行研究,重点分析应用软件开放环境和检测躲避技术,然后具体介绍目前主要移动恶意代码检测技术并进行对比,最后展望未来移动恶意代码检测技术的应用和发展。     

要Win98，也要Win32

笔者实验室有一台PⅡ266电脑,用于控制光谱分析仪的自动测量。起初电脑安装的是Win95系统,采用DOS6.22、Win32、Win95三者共存的方案,光谱分析仪控制软件仅能在Win32下正常运行。最近将操作系统升级至Win98,电脑无法实现DOS、Win98的双启动,从而无法使用光谱分析仪控制软件。该电脑的主要任务就是负责光谱测试,这是否意味着我没有使用Win98的福份？能否有一种既不影响现有的Win98系统,又可继续使用Win32环境的方法？经过一番尝试,本人采用RAM虚拟硬盘的办法解决了这一问题。现将具体的实现方法介绍如下,希望能对有类似情况…     

网页恶意代码检测系统研究

为了保护网页不被嵌入恶意代码,提出了一种基于网页文件代码分类检测技术的恶意代码检测系统,并完成了软件设计与开发.该系统采用J2EE技术开发,能够对网页文件进行代码分类扫描,并根据不同的扫描结果进行相应的处理.通过实际应用表明,采用代码分类检测技术能够高检出、低误报的识别出多种恶意代码,达到了设计要求.     

基于模糊识别恶意代码检测技术的研究

在恶意代码检测的过程中,假设恶意代码隐藏的比较深,很难对恶意代码特征进行完整、准确的提取.利用传统算法进行恶意代码检测,恶意代码的分布情况都是未知的,没有充分考虑到不同类别代码特征之间的差异性,降低了恶意代码检测的准确性.为此,提出基于模糊识别的恶意代码检测方法.根据支持向量机相关理论,提取恶意代码特征,并将上述特征作为恶意代码识别的依据.建立模糊识别辨别树,计算识别对象属于恶意代码的概率,实现恶意代码的检测.实验结果表明,利用改进算法进行恶意代码检测,能够极大提高检测的准确性.     

基于分层语义认知的恶意代码检测方法研究

这里提出一种基于分层语义认知的恶意代码智能检测方法,该方法将待检测程序在虚拟捕获环境中获取的行为数据进行分层认知,逐层抽象为行为特征,最后使用贝叶斯分类器对其恶意性进行判定。在语义认知过程中采用分层和归一化的方式降低加密与混淆的干扰,采用动静结合方式提高检测效率,采用正负差集运算的方式降低误报率。经测试,该方法具有高检测率,抗混淆能力强,可以快速、有效地识别代码中的恶意行为。     

基于纹理指纹的恶意代码变种检测方法研究

提出一种基于纹理指纹的恶意代码特征提取及检测方法,通过结合图像分析技术与恶意代码变种检测技术,将恶意代码映射为无压缩灰阶图片,基于纹理分割算法对图片进行分块,使用灰阶共生矩阵算法提取各个分块的纹理特征,并将这些纹理特征作为恶意代码的纹理指纹;然后,根据样本的纹理指纹,建立纹理指纹索引结构;检测阶段通过恶意代码纹理指纹块生成策略,采用加权综合多分段纹理指纹相似性匹配方法检测恶意代码变种和未知恶意代码;在此基础上,实现恶意代码的纹理指纹提取及检测原型系统。通过对6种恶意代码样本数据集的分析和检测,完成了对该系统的实验验证。实验结果表明,基于上述方法提取的特征具有检测速度快、精度高等特点,并且对恶意代码变种具有较好的识别能力。     

基于代码进化的恶意代码沙箱规避检测技术研究

为了对抗恶意代码的沙箱规避行为,提高恶意代码的分析效率,该文提出基于代码进化的恶意代码沙箱规避检测技术。提取恶意代码的静态语义信息和动态运行时信息,利用沙箱规避行为在代码进化过程中所产生的动静态语义上的差异,设计了基于相似度差异的判定算法。在7个实际恶意家族中共检测出240个具有沙箱规避行为的恶意样本,相比于JOE分析系统,准确率提高了12.5%,同时将误报率降低到1%,其验证了该文方法的正确性和有效性。

     

一种基于综合行为特征的恶意代码识别方法

基于行为的分析方法是恶意代码检测技术的发展方向,但现有的以孤立行为特征为依据的恶意代码识别方法误报率较高,本文提出了一种基于代码综合行为特征的恶意代码检测方法-IBC-DA.该算法通过改造的攻击树模型描述恶意代码执行过程中各相关主体间的关系,在此基础上计算得到的恶意性权值能够更加准确地反映代码执行过程对系统的影响.实验表明,利用本文算法进行病毒检测具有较低漏报率和误报率,并对未知恶意代码的防范具有积极意义.     

一种高效的面向虚拟桌面恶意代码检测机制简

 与传统的恶意代码检测方式相比,面向虚拟桌面的恶意代码检测方法面临着性能方面的挑战,同一物理服务器上多个虚拟桌面同时开展恶意代码检测使得磁盘等硬件成为严重的IO性能瓶颈.本文提出了一种高效的虚拟桌面恶意代码检测方案,基于母本克隆技术的虚拟桌面恶意代码检测机制（MCIDS）,MCIDS根据虚拟桌面系统的特点,通过系统映像网络存储克隆技术以及部署在网络存储系统中的恶意代码引擎减少虚拟桌面系统中的恶意代码检测范围,有效减少恶意代码检测所需的磁盘IO开销;同时MCIDS还克服了传统“Out-of-the-Box”安全检测机制存在的语义差别问题,改善了系统的安全性能.在原型系统上的实验显示该方法在技术上是可行的,与现有方法相比MCIDS具有较好的性能优势.     

基于行为的网络恶意攻击防御技术研究

论文对比了诸多安全系统采用的被动反应式"签名"检测技术,介绍了一种可有效构建异常行为检测模型的安全策略和技术方法,并在实际项目研发和权威性测试中得到验证:它提供了一条开发主动、实时,基于行为防御恶意攻击技术的有效途径,安全效能显著,尤其是针对新型网络恶意代码的攻击。     

一种静态Android程序恶意性检测方法

分析Android恶意程序行为特征,研究基于静态行为特征的Android程序恶意性检测方法及其实现方案,根据程序的静态行为特征来判断程序是否具有恶意性。针对Kirin方案做了2个方面的改进,一方面增加了对API的检测,细化了检测粒度,另一方面量化了不同静态行为特征的恶意性指数,通过计算程序的恶意性指数来分析程序的安全等级。实验结果表明,该方法能够有效地检测Android程序的恶意性程度。     

基于支持向量机的病毒程序检测方法

支持向量机是一种对于小样本具有良好学习性能的机器学习方法.本文将支持向量机方法用于病毒程序的检测中,可以改善其它方法在先验知识较少情况下的推广能力的问题.仿真实验结果看出,该方法在训练样本数相对较少的情况下,仍然具有较高的检测率和正确率,同时也具有较低的虚警率.     

基于频域中值滤波的自适应卫星通信恶意干扰检测

卫星通信在军事领域的应用不可避免地面临人为实施的恶意干扰,针对接收信号的恶意干扰检测问题,提出了基于频域中值滤波的门限自适应调整检测方法。首先对接收的混合信号进行FFT变换,在此基础上对得到的序列进行中值平滑滤波,进而通过滤波输出序列计算判决门限,最后将序列最大值与门限对比,判断是否存在干扰。理论分析和仿真表明,该方法计算简单、易实现,对窄带和部分频带干扰具有优越的检测性能。     

基于Win32 API的多线程串行通信程序设计

在工业控制中，常需要进行PC机和单片机之间的通信，而串行通信是最常用的通信手段。本文在对Win32（Windows9x／NT／2000）环境下实现串行通信的API（Application Program Interface）函数介绍的基础上，结合Win32的多线程技术和消息响应机制，给出了在Win32环境下以VisualC＋＋6．0为开发平台的多线程串行通信程序的实现方案，最后以印花机控制系统PC机程序的开发为例实现了简单、高效、多线程的串行通信程序，并给出了部分代码。     

基于系统调用子集的入侵检测

入侵检测技术是入侵检测系统(IDS)的重要内容.根据系统调用的作用效果对系统调用进行划分,在此基础上提出基于系统调用的一个子集(W子集)的入侵检测技术.实验表明,与基于系统调用全集的方法相比,基于W子集的入侵检测技术具有较低的误报率,且所需存储空间代价和计算代价都较小,因而更加适合于实时入侵检测.     

基于模糊识别和支持向量机的联合Rootkit动态检测技术研究

 针对Rootkit恶意代码动态检测技术进行研究.总结出典型Rootkit恶意程序动态行为所调用的系统API函数.实时统计API调用序列生成元并形成特征向量,通过模糊隶属函数和模糊权向量,采用加权平均法得到模糊识别的评估结果;基于层次的多属性支持向量机分析法构建子任务;基于各个动态行为属性的汉明距离定位Rootkit的类型.提出的动态检测技术提高了自动检测Rootkit的准确率,也可以用于检测未知类型恶意代码.