基于TRAP SERVER变形病毒特征码的分析与定位技术

在分析当前变形病毒最新发展方向及技术特点的基础上,利用HONEYNET软件TRAP SERVER诱捕黑客及其病毒入侵。并分析被捕获病毒的特点,特别是最新变形病毒的技术特点,在此基础上对变形病毒特征码进行定位。通过实验对病毒特征码位置进行验证,从而实现对变形病毒特征码的技术分析与定位。     

基于特征码定位的文件隐藏分析及实践

查杀拦截软件检测隐藏文件的原理之一是特征码，也就是将程序的片段和一些预先采样的数据片段进行比较来判断一个文件是不是含有恶意代码。如果能在自已的软件中找出特征码的所在，并进行适当的变形，便能一定程度上提高代码的隐蔽性。常用的寻找特征码的方法，是逐字节替换法，也即逐字节（或逐段）将代码替换为0000（或者别的），如果进行替换后查杀拦截等软件没有报警，说明特征码已被替换掉，即特征码在该被替换的位置。 为了提高文件定位的效率，我们对文件特征码的定位技术作了分析研究，它利用了上述原理，将程序中的代码替换为0000．最后根据哪些生成文件被删除而哪些没有来定位特征码的位置。     

基于特征码的PE文件自动免杀策略

设计一种以逐块恢复法替代传统逐块替换法的特征码定位算法,在此基础上提出一种针对不同区段进行自动免杀的策略。将该策略与改进的多重特征码定位算法相结合,在保持被免杀软件原有功能的前提下,使用等价代码替换技术、字符串与输入表函数名位移等方法自动进行特征码的去除和替换,由此避免被杀毒软件识别为恶意软件。实验结果验证了该策略的有效性。     

基于N-Gram的计算机病毒特征码自动提取的改进方法

随着计算机技术的发展和普及,计算机病毒带来的危害日趋严重。传统N-Gram算法难以提取不同长度的特征,导致有效特征缺失,并产生庞大的特征集合,造成空间的浪费。针对这些问题,提出一种改进的基于N-Gram的特征码自动提取方法。该方法在原有N-Gram 特征提取算法的基础上引入变长N-Gram特征,提取不同长度的有效特征,生成不定长病毒特征码。综合考虑特征频率的相关性,利用特征浓度对N-Gram特征进行有向筛选,生成数据字典,节省存储空间。实验结果表明,与单纯使用定长N-Gram的算法相比,该方法能有效降低特征码自动提取的误报率。     

基于抽象解释理论抽取多态恶意程序特征码

抽象解释理论是Cousot.P和Cousot.R于1977年提出的程序静态分析时构造和逼近程序不动点语义的理论。文章将该理论应用于恶意程序特征码抽取,通过详细描述抽取过程的各个步骤,提出了一种专门针对多态恶意程序的检测方法,从而为恶意程序检测开辟了新的思路。实践证明所述方法准确、高效。     

基于特征码定位的文件隐藏分析及实践

查杀拦截软件检测隐藏文件的原理之一是特征码,也就是将程序的片段和一些预先采样的数据片段进行比较来判断一个文件是不是含有恶意代码。如果能在自已的软件中找出特征码的所在,并进行适当的变形,便能一定程度上提高代码的隐蔽性。常用的寻找特征码的方法,是逐字节替换法,也即逐字节(或逐段)将代码替换为0000(或者别的),如果进行替换后查杀拦截等软件没有报警,说明特征码已被替换掉,即特征码在该被替换的位置。为了提高文件定位的效率,我们对文件特征码的定位技术作了分析研究,它利用了上述原理,将程序中的代码替换为0000,最后根据哪些生成文件被删除而哪些没有来定位特征码的位置。     

非特征码鉴别的反病毒技术机理综述

本文简要的介绍了当前基于非特征码的反病毒技术,并指出了各自的特点以及未来反病毒技术的发展方向.     

一种基于N-Gram的计算机病毒特征码自动提取方法

随着计算机和互联网技术的发展和普及,计算机病毒所带来的安全威胁日趋严重。基于特征码扫描的病毒检测技术是目前检测已知病毒最为简单、有效的方法,但病毒特征码需要经验丰富的计算机病毒分析师手动从病毒中提取出来,其效率并不高。提出了一种基于N-Gram的病毒特征码自动提取方法,将N-Gram统计语言模型应用到病毒特征码提取中。通过实验证明了该算法能有效提取病毒特征码。     

基于公共特征集合的网络蠕虫特征码自动提取

作为连接检测与遏制的桥梁,特征码的自动提取在蠕虫对抗中发挥着重要作用。介绍了传统的网络蠕虫特征码提取算法,分析了它们的工作机理和主要缺陷,提出了一种基于公共特征集合的提取算法,它支持低复杂度提取与优化,也支持灵敏性和特异性之间的权衡,在应对背景噪声和交叉传染方面具有显著优势。     

基于行为分析和特征码的恶意代码检测技术*

本文提出一种新的恶意代码检测技术,能自动检测和遏制(未知)恶意代码,并实现了原型系统。首先用支持向量机对恶意代码样本的行为构造分类器,来判断样本是否是恶意代码,同时对恶意代码提取出特征码。运行在主机的代理利用特征码识别恶意代码并阻断运行。为了精确分析程序行为,将程序放入虚拟机运行。实验结果表明相对于朴素贝叶斯和决策树,系统误报率和漏报率均较低,同时分布式的系统架构加快了遏制速度。     

DDoS攻击及其防范策略

比较Dos与DDos的概念，引入DDos攻击的原理，介绍了DDos攻击的常用工具，提出针对DDos攻击的对策，包括DDos攻击的监测、防御DDos攻击以及遭受DDos攻击后的处理等，经过小型网站运行经验的验证，文中提出的攻击对策和防范策略是极其有效的。     

DDoS攻击及其防范策略

比较Dos 与DDos的概念,引入DDos攻击的原理,介绍了DDos攻击的常用工具,提出针对DDos攻击的对策,包括DDos 攻击的监测、防御DDos攻击以及遭受DDos攻击后的处理等,经过小型网站运行经验的验证,文中提出的攻击对策和防范策略是极其有效的.     

对DDoS攻击防范策略的研究及若干实现

DDoS(分布式拒绝服务攻击 )是攻击网络系统的一种先进方法。详细介绍了这种攻击方法的原理、类型 ,并以对Trinoo攻击的检测与防范为例 ,讨论了对DDoS攻击的防范策略     

基于代码覆盖的浏览器漏洞利用攻击检测方法

根据漏洞利用攻击的概念验证,使用WinDbg逆向工程找出该类攻击的特征,并根据该特征编写检测代码。而后将检测代码封装至DLL中,并通过远程线程方式将DLL注入网页浏览器。被注入的DLL会以代码覆盖的方法拦截浏览器的API,使浏览器跳转到检测代码。根据浏览器打开网址时检测代码的返回值,来判断该网址是否包含利用该漏洞进行攻击的网页木马。通过将该技术部署于众多虚拟机中,批量检测网页,来向杀毒软件公司以及搜索引擎等提供高可信度的挂马网页黑名单。     

基于代码防泄漏的代码复用攻击防御技术

随着地址空间布局随机化被广泛部署于操作系统上,传统的代码复用攻击受到了较好的抑制.但新型的代码复用攻击能通过信息泄露分析程序的内存布局而绕过地址空间布局随机化(address space layout randomization, ASLR),对程序安全造成了严重威胁.通过分析传统代码复用攻击和新型代码复用攻击的攻击本质,提出一种基于代码防泄漏的代码复用攻击防御方法VXnR,并在Bitvisor虚拟化平台上实现了VXnR,该方法通过将目标进程的代码页设置可执行不可读(Execute-no-Read, XnR),使代码可以被处理器正常执行,但在读操作时根据被读物理页面的存储内容对读操作进行访问控制,从而阻止攻击者利用信息泄露漏洞恶意读进程代码页的方法搜索gadgets,实验结果表明：该方法既能防御传统的代码复用攻击,还能够防御新型的代码复用攻击,且性能开销在52.1%以内.     

Phishing攻击行为及其防御模型研究

仿冒(Phishing)危害愈演愈烈，针对其攻击行为进行了详细的分析与介绍，其中使用了建立攻击森林和对攻击进行分类等方法，进而建立了Phishing攻击模型。提出了相应的Phishing攻击的防范理论体系和具体措施。同时高起点地分析了IPv6环境下的Phishing攻击及其防御。     

Phishing攻击行为及其防御模型研究

仿冒（Phishing）危害愈演愈烈,本文针对其攻击行为进行了详细的分析与介绍,其中使用了建立攻击森林和对攻击进行分类等方法,进而建立了Phishing攻击模型.提出了相应的Phishing攻击的防范理论体系和具体措施.同时高起点地分析了IPv6环境下的Phishing攻击及其防御.     

DDoS攻击和防御分类机制

DDoS（Distributed Denial of Service）攻击是当今Internet面临的主要威胁之一，也是一个最严重的安全问题。虽然现在已经有许多防御机制来抵御各种不同的DDoS攻击，但功能都很分散，有的功能重复。通过对DoS／DDoS的研究，比较全面的整理了现在各种DoS／DDoS,的攻、防机制，来达到更好的理解DDoS攻击，更高效全面的防御DDos攻击的目的。并推荐了一个综合性的DDOS攻击和防御分类，提出通过发展DDoS攻击和防御的分类机制来结构化的解决DDoS问题。而且简要介绍了各种DDoS攻击和防御系统。     

基于行为特征的恶意代码检测方法

研究基于行为特征的恶意代码检测模型及其实现方式,并分析实现中的关键技术。使用自定义行为特征编码模板进行恶意代码匹配,将短周期内2次匹配成功作为判定恶意代码的标准,利用最大熵原理分析2次恶意代码行为的信息论特征。实验结果表明,该方法具有较低的病毒检测误报率和漏报率,并且能有效防范未知恶意代码。     

DDoS攻击和防御分类机制

DDoS(DistributedDenialofService)攻击是当今Internet面临的主要威胁之一,也是一个最严重的安全问题。虽然现在已经有许多防御机制来抵御各种不同的DDoS攻击,但功能都很分散,有的功能重复。通过对DoS/DDoS的研究,比较全面的整理了现在各种DoS/DDoS的攻、防机制,来达到更好的理解DDoS攻击,更高效全面的防御DDoS攻击的目的。并推荐了一个综合性的DDOS攻击和防御分类,提出通过发展DDoS攻击和防御的分类机制来结构化的解决DDoS问题。而且简要介绍了各种DDoS攻击和防御系统。