基于代码进化的恶意代码沙箱规避检测技术研究

为了对抗恶意代码的沙箱规避行为,提高恶意代码的分析效率,该文提出基于代码进化的恶意代码沙箱规避检测技术。提取恶意代码的静态语义信息和动态运行时信息,利用沙箱规避行为在代码进化过程中所产生的动静态语义上的差异,设计了基于相似度差异的判定算法。在7个实际恶意家族中共检测出240个具有沙箱规避行为的恶意样本,相比于JOE分析系统,准确率提高了12.5%,同时将误报率降低到1%,其验证了该文方法的正确性和有效性。

     

基于恶意样本分析检测的沙箱技术研究

以不同恶意代码静态分析、行为特征、网络通联为底层模型和实现机制，研究一种基于样本行为特征分析的本地杀沙箱技术平台，解决传统互联网检测平台存在的保密性、时效性、准确性问题。通过分析关键函数、网络流量等特征，实现样本静态检测、行为分析、网络通联等功能，支撑安全研究人员对样本安全性进行研判。     

基于纹理特征的网络通信恶意代码检测方法

由于当前恶意代码发展迅速,以往静态检测和动态检测方法在对网络通信环境中的恶意代码进行检测时,存在检测时间长、检测结果匹配度低,影响检测性能问题。文章通过开展基于纹理特征的网络通信恶意代码检测方法研究,通过恶意代码灰度工程矩阵纹理特征提取、网络通信恶意代码纹理特征规范化处理、恶意代码变种检测、恶意代码纹理分块形式化表征,提出一种全新的检测方法。对比实验证明,新的检测方法与动态检测和静态检测相比,检测时间更短,并且检测结果匹配度更高。     

基于行为分析的木马检测系统设计与实现

随着近年来网络技术的飞速发展,安全问题日益突出,病毒、木马、后门程序等恶意代码层出不穷,重大经济损失事件及重要泄密事件频频发生。传统的代码检查技术主要依靠特征码,静态分析等手段,对分析者的技术要求高,效率较低,难以实现批量检查。针对这些缺点,本文提出一种基于行为分析的木马检测技术,通过记录应用程序的动态行为,综合恶意代码的API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据,分析其恶意危害性;同时给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码,提高木马的检测准确率和检测效率,达到预期的研究目的。     

一种基于深度学习的强对抗性Android恶意代码检测方法

针对现有Android恶意代码检测方法容易被绕过的问题,提出了一种强对抗性的Android恶意代码检测方法.首先设计实现了动静态分析相结合的移动应用行为分析方法,该方法能够破除多种反分析技术的干扰,稳定可靠地提取移动应用的权限信息、防护信息和行为信息.然后,从上述信息中提取出能够抵御模拟攻击的能力特征和行为特征,并利用一个基于长短时记忆网络（Long Short-Term Memory,LSTM）的神经网络模型实现恶意代码检测.最后通过实验证明了本文所提出方法的可靠性和先进性.     

基于攻击树的文件风险评估方法

通过对已有文献提出的恶意代码检测方法进行分析改进,提出一种基于行为的静态分析、动态监视和攻击树匹配相结合的文件风险评估的方法。根据文件类型分别从静态和动态两个方面对文件进行分析。通过对攻击树结点间的关系和结点属性进行扩展,能够更好地匹配和描述恶意代码的各种行为。应用多属性效用理论量化结点权重,使评估更加客观准确。实验表明,该方法能够较准确的量化文件的风险程度。     

基于纹理指纹的恶意代码变种检测方法研究

提出一种基于纹理指纹的恶意代码特征提取及检测方法,通过结合图像分析技术与恶意代码变种检测技术,将恶意代码映射为无压缩灰阶图片,基于纹理分割算法对图片进行分块,使用灰阶共生矩阵算法提取各个分块的纹理特征,并将这些纹理特征作为恶意代码的纹理指纹;然后,根据样本的纹理指纹,建立纹理指纹索引结构;检测阶段通过恶意代码纹理指纹块生成策略,采用加权综合多分段纹理指纹相似性匹配方法检测恶意代码变种和未知恶意代码;在此基础上,实现恶意代码的纹理指纹提取及检测原型系统。通过对6种恶意代码样本数据集的分析和检测,完成了对该系统的实验验证。实验结果表明,基于上述方法提取的特征具有检测速度快、精度高等特点,并且对恶意代码变种具有较好的识别能力。     

基于4级受信机制的可疑终端的恶意代码取证与分析

本文分析了传统计算机取证技术在分析恶意代码取证方面的薄弱环节和难点,提出了一个基于4级受信机制的计算机取证分析模型的可疑终端的恶意代码取证方法和以4级受信机制为基础的恶意代码分析原则。阐述了对可疑终端计算机的静态取证手段,并以4级受信体制为例,通过大量数据测试和验证,证明了4级受信应用在可疑终端的恶意代码取证中的可行性、准确率和效率。     

中国移动恶意代码检测与治理方案

本文通过分析流行的恶意代码特征,结合中国移动恶意代码治理现状,提出中国移动进行恶意代码检测与治理新趋势。     

基于模糊识别恶意代码检测技术的研究

在恶意代码检测的过程中,假设恶意代码隐藏的比较深,很难对恶意代码特征进行完整、准确的提取.利用传统算法进行恶意代码检测,恶意代码的分布情况都是未知的,没有充分考虑到不同类别代码特征之间的差异性,降低了恶意代码检测的准确性.为此,提出基于模糊识别的恶意代码检测方法.根据支持向量机相关理论,提取恶意代码特征,并将上述特征作为恶意代码识别的依据.建立模糊识别辨别树,计算识别对象属于恶意代码的概率,实现恶意代码的检测.实验结果表明,利用改进算法进行恶意代码检测,能够极大提高检测的准确性.     

恶意代码异常检测系统的需求分析与架构设计

目前互联网恶意代码已经泛滥,各类检测工具和安全产品相继问世,但层出不穷的恶意代码依然不能完全被检测出来,并且恶意代码特征的检测会导致系统的处理速度越来越慢,影响了检测工作的效率。针对这一问题,文章提出了以异常检测规则精炼特征检测的方式,打破了传统的一条或者多条规则对应一条恶意代码的检测模式,而Apriori的关联规则分析算法的优势就在于可以在恶意代码发现之前就进行异常检测,更为高效和精准。     

基于Win32 API调用监控的恶意代码检测技术研究

论文首先分析了现有动态检测恶意代码技术的不足,指出其受恶意代码的旁路攻击和拟态攻击的可能。然后,提出了防范此类攻击的API陷阱技术和调用地址混淆技术。最后由此实现了一个基于Win32API调用监控的恶意代码检测系统,经实验证明,该系统能检测出已知和未知的恶意代码的攻击。     

基于遗传算法的恶意代码对抗样本生成方法

机器学习已经广泛应用于恶意代码检测中,并在恶意代码检测产品中发挥重要作用。构建针对恶意代码检测机器学习模型的对抗样本,是发掘恶意代码检测模型缺陷,评估和完善恶意代码检测系统的关键。该文提出一种基于遗传算法的恶意代码对抗样本生成方法,生成的样本在有效对抗基于机器学习的恶意代码检测模型的同时,确保了恶意代码样本的可执行和恶意行为的一致性,有效提升了生成对抗样本的真实性和模型对抗评估的准确性。实验表明,该文提出的对抗样本生成方法使MalConv恶意代码检测模型的检测准确率下降了14.65%;并可直接对VirusTotal中4款基于机器学习的恶意代码检测商用引擎形成有效的干扰,其中,Cylance的检测准确率只有53.55%。     

基于网络的恶意代码检测技术

通过对传统分布式IDS的分析，指出基于详细协议分析的多引擎小规则集的系统结构用于网络级恶意代码检测的缺陷，设计了单引擎大特征集的网络级恶意代码检测模型及恶意代码特征描述语言；分析了网络数据流的特征，通过对特征串进行优化的方法，避免特征串后缀与数据流的频繁碰撞及链表分支不平衡的问题，大幅度提高了WM算法检测网络恶意代码的效率。     

应用专家系统开发Windows恶意代码检测系统的研究

传统的基于特征的恶意代码检测方法无法检测未知恶意代码以及一些采用加壳等规避技术的恶意代码。为克服这些缺点,文章提出了基于专家系统的启发式检测方法。该方法可以检测采用了底层技术的恶意代码,如rootkit,以及加过壳或加过密的恶意代码,而且其检测率比一些知名的反病毒工具的检测率要高。     

一种高效的面向虚拟桌面恶意代码检测机制简

 与传统的恶意代码检测方式相比,面向虚拟桌面的恶意代码检测方法面临着性能方面的挑战,同一物理服务器上多个虚拟桌面同时开展恶意代码检测使得磁盘等硬件成为严重的IO性能瓶颈.本文提出了一种高效的虚拟桌面恶意代码检测方案,基于母本克隆技术的虚拟桌面恶意代码检测机制（MCIDS）,MCIDS根据虚拟桌面系统的特点,通过系统映像网络存储克隆技术以及部署在网络存储系统中的恶意代码引擎减少虚拟桌面系统中的恶意代码检测范围,有效减少恶意代码检测所需的磁盘IO开销;同时MCIDS还克服了传统“Out-of-the-Box”安全检测机制存在的语义差别问题,改善了系统的安全性能.在原型系统上的实验显示该方法在技术上是可行的,与现有方法相比MCIDS具有较好的性能优势.     

基于1D CNN与XGBoost的恶意代码纹理检测

恶意代码数量已经呈现爆炸式增长,对于恶意代码的检测防护显得尤为重要.近几年,基于深度学习的恶意代码检测方法开始出现,基于此,提出一种新的检测方法,将恶意代码二进制文件转化为十进制数组,并利用一维卷积神经网络(1 Dimention Convolutional Neural Networks,1D CNN)对数组进行分类和识别.针对代码家族之间数量不平衡的现象,该算法选择在分类预测上表现良好的XGBoost,并对Vision Research Lab中的25个不同恶意软件家族的9458个恶意软件样本进行了实验.实验结果表明,所提的方法分类预测精度达到了97％.     

一种高效的面向虚拟桌面恶意代码检测机制

与传统的恶意代码检测方式相比,面向虚拟桌面的恶意代码检测方法面临着性能方面的挑战,同一物理服务器上多个虚拟桌面同时开展恶意代码检测使得磁盘等硬件成为严重的IO性能瓶颈.本文提出了一种高效的虚拟桌面恶意代码检测方案,基于母本克隆技术的虚拟桌面恶意代码检测机制(MCIDS),MCIDS根据虚拟桌面系统的特点,通过系统映像网络存储克隆技术以及部署在网络存储系统中的恶意代码引擎减少虚拟桌面系统中的恶意代码检测范围,有效减少恶意代码检测所需的磁盘IO开销;同时MCIDS还克服了传统"Out-of-the-Box"安全检测机制存在的语义差别问题,改善了系统的安全性能.在原型系统上的实验显示该方法在技术上是可行的,与现有方法相比MCIDS具有较好的性能优势.     

移动恶意代码分析及检测技术研究

目前移动互联网产业重心逐渐向移动应用服务转移。产业界各方竞相角逐移动应用市场:移动应用数量飞速增加,移动应用功能不断加强,应用用户体验持续提升。但是移动应用在飞速发展的同时也滋生了众多的安全隐患,移动恶意代码分析及检测技术已经成为当前移动应用软件健康发展的重要保证之一。针对这些问题,文章首先对移动恶意代码现状进行研究,重点分析应用软件开放环境和检测躲避技术,然后具体介绍目前主要移动恶意代码检测技术并进行对比,最后展望未来移动恶意代码检测技术的应用和发展。     

对抗训练驱动的恶意代码检测增强方法

为了解决恶意代码检测器对于对抗性输入检测能力的不足,提出了一种对抗训练驱动的恶意代码检测增强方法。首先,通过反编译工具对应用程序进行预处理,提取应用程序接口（API）调用特征,将其映射为二值特征向量。其次,引入沃瑟斯坦生成对抗网络,构建良性样本库,为恶意样本躲避检测器提供更加丰富的扰动组合。再次,提出了一种基于对数回溯法的扰动删减算法。将良性样本库中的样本以扰动的形式添加到恶意代码中,对添加的扰动进行二分删减,以较少的查询次数减少扰动的数量。最后,将恶意代码对抗样本标记为恶意并对检测器进行重训练,提高检测器的准确性和稳健性。实验结果表明,生成的恶意代码对抗样本可以躲避目标检测器的检测。此外,对抗训练提升了目标检测器的准确率和稳健性。