基于预过滤的恶意JavaScript脚本检测与分析方法

恶意网页利用网页木马来攻击网络用户使之成为僵尸网络中的节点,是目前互联网上较为流行的一种攻击手段。攻击者通常将JavaScript编写的恶意脚本嵌入到网页中,当用户浏览该页面时,脚本执行并试图对浏览器或浏览器插件进行攻击。提出一种适用于大规模网页检测的基于预过滤的恶意JavaScript脚本检测与分析方法———JSFEA,该方法使用静态检测快速扫描页面并判定网页是否为可疑页面,如果判定可疑则进行动态检测。实验表明, JSFEA对恶意网页的误报率很低,并减少了85%以上的页面进行动态检测,大大提高了大规模恶意网页检测效率。     

基于VGGNet的恶意代码变种分类

针对代码复用在同一恶意家族样本中普遍存在的现象,提出了一种利用代码复用特征的恶意样本分类方法。首先将文件的二进制序列分割成RGB三色通道的值,从而将恶意样本转换为彩色图;然后用这些图片基于VGG卷积神经网络生成恶意样本分类模型;最后在模型训练阶段利用随机失活算法解决过拟合和梯度消失问题以及降低神经网络计算开销。该方法使用Malimg数据集25个族的9342个样本进行评估,平均分类准确率达96.16%,能有效地分类恶意代码样本。实验结果表明,与灰度图相比,所提方法将二进制文件转换为彩色图能更明显地强调图像特征,尤其是对于二进制序列中含有重复短数据片段的文件,而且利用特征更明显的训练集,神经网络能生成分类效果更好的分类模型。所提方法预处理操作简单,分类结果响应较快,因此适用于大规模恶意样本的快速分类等即时性要求较高的场景。     

基于结构化指纹的恶意代码变种分析*

提出了一种基于结构化指纹的静态分析模型,用于辅助逆向工作者对恶意代码及其变种进行分析.该方法依据所提取的恶意代码及其变种的结构化指纹特征,在调用图和控制流图两个层次对两个文件进行同构比较,找出发生改变的函数以及发生改变的基本块,从而帮助逆向工作者迅速定位和发现恶意代码及其变种的不同之处,便于进一步分析.该模型采用了结构化特征及素数乘积等方法,可以较好地对抗一些常见的代码迷惑手段,从而识别出一些变形的代码是等价的.     

基于Cuckoo平台的HDBSCAN恶意代码聚类算法

泛在网络日益受到各种各样的恶意代码攻击,已经严重威胁到各个领域的信息安全和网络安全。为了分析不同种类恶意代码之间的异同性,通过搭建Cuckoo沙箱平台模拟恶意代码运行环境研究其聚类情况,以此来获得恶意样本模拟运行的行为分析报告;在特征提取上为了全面覆盖恶意代码的主要行为,结合了动态行为特征和内存特征;之后利用t-SNE机器学习算法来对特征属性实现非线性降维;最后对传统的DBSCAN算法进行改进,将改进后的算法HDBSCAN结合恶意代码的行为特征来完成恶意代码的聚类。实验结果表明,相比于经典聚类算法,改进后的聚类算法提高了聚类质量,获得了更好的聚类效果,因此具有较高的可行性。     

基于生成对抗网络增强恶意代码的方法

针对主流分类检测方法识别恶意代码面临的训练数据受限和种类均衡性不足问题,提出一种基于图像矢量结合生成对抗网络模型的恶意代码数据增强方法.将图像处理技术与WGAN-GP深度学习模型相结合,将恶意代码数据可视化为图像,通过缩放处理使恶意代码文件在长度不一致的情况下能够高概率保留全部隐含特征;使用WGAN-GP训练学习隐含的特征,生成新的数据;采用图像生成质量评价指标SSIM以及基础分类器准确率验证生成数据的相似性和有效性.实验结果表明,该方法可以有效学习样本分布规律,生成充足均衡且相似性较好的数据,满足后续研究的需要.     

基于操作系统安全的恶意代码防御研究述评

总结了安全操作系统实现恶意代码防御的典型理论模型,分析了它们的基本思想、实现方法和不足之处,指出提高访问控制类模型的恶意代码全面防御能力和安全保证级别、从操作系统安全体系结构的高度构建宏病毒防御机制以及应用可信计算技术建立操作系统的恶意代码免疫机制将是该领域的研究方向.     

基于可信计算的恶意代码防御机制研究

根据TCG规范中可信传递的思想,提出一种恶意代码防御机制,对被执行的客体实施完整性度量以防止恶意代码的传播;对客体的执行权限严格进行控制,防止恶意代码的执行,降低恶意代码的传播速度并限制其破坏范围,确保系统的完整性不被破坏。利用可信计算技术设计并实现恶意代码防御机制。     

基于环境智能匹配的恶意代码完整性分析方法

为提高恶意代码分析的完整性,提出基于环境智能匹配的恶意代码完整性分析方法。分析传统恶意代码完整性分析方法,指出使用传统方法分析的不足之处,分析影响恶意代码执行完整性的环境因素。在此基础上,提出一种实用化的恶意代码完整性分析方法。采用动静态结合的方式,对恶意代码的环境信息进行抽取,抽取信息并通过决策树方法进行进一步分析,得到最终配置信息。对大量样本进行完整性分析测试,测试结果验证了该方法的有效性。     

恶意代码多态技术研究

随着恶意代码的发展,恶意代码的隐蔽性也在不断增强。多态技术便是躲避常规检测方法的一种有效的技术,本文对恶意代码检测技术进行分析,并举例介绍目前常用的多态技术,通过本文对多态有一个更深的认识。     

基于AEC的恶意代码检测系统的设计与实现

针对现有恶意代码检测技术的不足,提出了能够有效检测复杂攻击的活动事件关联（AEC）分析技术,设计并实现了一个基于AEC的全新的检测系统。该系统结合误用与异常检测技术,采用AEC的思想将网络中的单个事件进行分类,对每类事件进行纵向关联分析。同时结合一段时间内的数据流量统计结果,最终更准确地推断出可疑的攻击并在它们完成攻击前阻止,向网络管理员发出有意义的准确的报警。     

基于TensorFlow的恶意代码片段自动取证检测算法

针对数字犯罪事件调查,在复杂、异构及底层的海量证据数据中恶意代码片段识别难的问题,通过分析TensorFlow深度学习模型结构及其特性,提出一种基于TensorFlow的恶意代码片段检测算法框架;通过分析深度学习算法训练流程及其机制,提出一种基于反向梯度训练的算法;为解决不同设备、不同文件系统的证据源中恶意代码片段特征提取问题,提出一种基于存储介质底层的二进制特征预处理算法;为进行反向传播训练,设计并实现了一个代码片段数据集制作算法。实验结果表明,基于TensorFlow的恶意代码片段检测算法针对不同存储介质以及证据存储容器中恶意代码片段的自动取证检测,综合评价指标F₁达到 0.922,并且和 CloudStrike、Comodo、FireEye 等杀毒引擎相比,该算法在处理底层代码片段数据方面具有绝对优势。     

Securing communication using function extraction technology for malicious code behavior analysis

Since computer hardware and Internet is growing so fast today, security threats of malicious executable code are getting more serious. Basically, malicious executable codes are categorized into three kinds – virus, Trojan Horse, and worm. Current anti-virus products cannot detect all the malicious codes, especially for those unseen, polymorphism malicious executable codes. The newly developed virus will create the damages before it has been found and updated in database. The basic idea of the proposed system is, it will analyze the behavior of the malicious codes and based on the behavior signature of the malicious code content filtering mechanism will be used to filter out contents, so that, the system will be secured from the future communication processes. The behavior of the code is analyzed using the function extraction technology. The function extraction technology will replace the function codes into algebraic expressions. Based on the behavior of the malicious codes, it will be categorized into different kinds of malicious codes. The detected malicious code will be prevented from execution. Based on the type of malicious code, appropriate security mechanism will be used for further communication.     

一种面向环境识别的恶意代码完整性分析方法

完整性分析一直是恶意代码动态分析的难点。针对恶意代码动态分析方法存在行为获取不完整的问题,提出了一种面向环境识别的恶意代码完整性分析方法,通过分析恶意代码执行过程中的数据流信息识别恶意代码敏感分支点,构造能够触发隐藏行为的执行环境,提高了恶意代码行为分析的完整程度。通过对50个恶意代码样本的分析结果表明,该方法能有效缩减分析时间,获得更加全面的行为信息,有效提高分析效率和分析的完整性。     

基于级联与深度信念网络的恶意代码分层检测

为提高恶意代码检测准确率,增强网络空间的信息安全性,提出一种恶意代码自动检测判定方法,基于同种恶意代码同源性特征,融合级联操作与深度信念网络。分析不同类型下的恶意代码的显著特征,从样本集中提取图像、语令等基本数据信息,构建恶意代码检测模型,对基于限制波尔兹曼机算法的模型进行训练。实验结果表明,相比其它检测方案,所提模型检验恶意代码的准确率有显著提高。     

基于半监督生成对抗网络的恶意代码家族分类实现

随着互联网的发展,恶意代码呈现海量化与多态化的趋势,恶意代码家族分类是网络空间安全面临的挑战之一。将半监督生成对抗网络与深度卷积学习网络相结合,构建半监督深度卷积生成对抗网络,提出了一种恶意代码家族分类模型,通过恶意代码家族特征分析,对恶意代码进行特征提取,转化为一维灰度图像;然后基于一维卷积神经网络1D-CNN,构建半监督生成对抗网络SGAN,形成恶意代码家族分类模型SGAN-CNN。从特征提取优化、半监督生成对抗训练算法优化等方面进行恶意代码家族分类能力提升。为了验证SGAN-CNN模型的分类效果,在Microsoft Malware Classification Challenge数据集上进行实验。5折交叉验证测试显示,本文提出的模型在样本标注标签占80%的情况下,分类的平均准确率达到98.81%;在样本标注标签仅有20%的情况下,分类的平均准确率达到98.01%,取得了较好的分类效果。在小样本数量情况下,也能取得不错的分类准确率。     

恶意代码的机理与模型研究

恶意代码是信息系统安全的主要威胁之一.从操作系统体系结构的角度研究了恶意代码的产生根源,指出PC操作系统中存在特权主体、内核扩展机制不安全,程序执行环境保护不力等弱点是造成恶意代码泛滥的本质原因.基于F.Cohen的计算机病毒定义,对计算机病毒的传播机理进行了形式化描述.研究了蠕虫程序的模块结构.建立了数据驱动型软件攻击的理论模型,分析了其构成威胁的本质原因.     

A source code control system based on semantic nets

A major problem facing the developers of large pieces of software is source code version control. This paper describes how semantic nets can model this process and how a semantic net processor can be used to construct a flexible and portable source code control system.     

模型检测迷惑二进制恶意代码

对二进制恶意代码进行形式化建模,开发了一个检查迷惑恶意代码的模型检查器。生成迷惑前的二进制恶意代码的有限状态机模型,再使用模型检查器检测迷惑二进制恶意代码,如果迷惑二进制恶意代码能被有限状态机模型识别,可判定其为恶意代码。实验结果表明模型检查迷惑二进制恶意代码是一种有效的静态分析方法,可以检测出一些常用的迷惑恶意代码。     

高速网络环境下恶意代码的监测技术

高速网络环境下恶意代码的监测技术是实现对计算机病毒和网络攻击事件动态监测、应急处置的重要手段,是有效防范计算机病毒传播、及时发现重大网络攻击事件苗头的重要措施,进一步增强了我国互联网络信息安全的整体防御能力。通过高速网络环境下恶意代码的监测技术,可以掌握我国各个地区的网络病毒传播情况,可以为信息安全主管机关提供准确的病毒疫情。开发过程中主要技术包括零拷贝报文捕获技术;采取多线程TCP/IP协议栈的方法来提高系统的整体性能;基于大流量的未知恶意代码检测技术。     

基于深度语义融合的代码缺陷静态检测方法

随着计算机软件规模和复杂度的不断增加,软件中存在的代码缺陷对公共安全形成了严重威胁。针对静态分析工具拓展性差,以及现有方法检测粒度粗、检测效果不够理想的问题,提出了一种基于程序切片和语义特征融合的代码缺陷静态检测方法。首先,对源代码中的关键点进行数据流和控制流分析,并采用基于过程间有限分布子集（IFDS）的切片方法,以获取由多行与代码缺陷相关的语句组成的代码片段;然后,通过词嵌入法获取代码片段语义相关的向量表示,从而在保证准确率的同时选择合适的代码片段长度;最后,利用文本卷积神经网络（TextCNN）和双向门控循环单元（BiGRU）分别提取代码片段中的局部关键特征和上下文序列特征,并将所提方法用于检测切片级别的代码缺陷。实验结果表明,所提方法能够有效检测不同类型的代码缺陷,并且检测效果显著优于静态分析工具Flawfinder;在细粒度的前提下,IFDS切片方法能进一步提高F1值和准确率,分别达到了89.64%和92.08%;与现有的基于程序切片的方法相比,在关键点为应用程序编程接口（API）或变量时,所提方法的F1值分别达到89.69%、89.74%,准确率分别达到92.15%、91....