基于HSC的进程隐藏检测技术

介绍了目前Windows下常见的进程隐藏检测技术,提出了基于截获系统调用（HSC)的进程隐藏检测技术,利用隐藏进程的行为特征,通过截获系统调用建立完整的进程列表来检测隐藏进程,并针对该技术对抗RootKit的攻击提出了改进。该种隐藏进程的检测方法十分可靠,可以检测出常规安全检测工具不能发现的系统恶意程序。     

基于博弈的MANETs信任模型研究

移动Ad-Hoc网络(MANET)是由一组带有无线收发装置的移动节点组成的无须固定设置支持的临时性的通信网络.MANETs具有开放的媒质、动态的拓扑结构、分布式的合作和受限的网络能力等基本特点.在MANETs中,节点之间相互信赖路由和转发数据包,节点间的合作是非常重要的.但是由于自私节点为了储存能量和其他资源,而不参与转发数据.由于MANETs通信没有第3方的中心认证,所以集中于强制合作是不适应的.基于博弈研究MANETs中的节点行为,根据节点的信誉度来获得资源,刺激节点共享资源和转发数据.提出了基于博弈理论的信任模型,鼓励包转发,约束自私节点.仿真结果表明该信任模型能够识别自私节点并且能在信任节点之间建立信任,提高了整个网络效率.     

信息论及其在序列密码设计应用中的几点认识

在工程实践中,人们一般想对数学概念有一个直观的解释。文献中很少有关于Shannon信息测度直观解释的内容。文中给出了对Shannon信息测度一些直观认识。信息论不仅是密码学重要的宏观指导理论,而且对密码设计中的局部模块的设计与分析也具有重要的指导意义,本文给出了我们在这方面的一些认识。     

基于状态转移相似性的P2P僵尸网络检测方法

随看对等网络(P2P)的不断发展,基于P2P架构的僵尸网络(Botnet)也应运而生.在对P2P僵尸网络从案例和全局进行深入研究,分析现有检测方法的优缺点后,提出了一种根据Bot主机状态转移的相似性来进行检测的方法,使用隐马尔科夫链进行建模,采用分布式存储异常行为数据,集中数据挖掘方式提升检测的效率和准确率.     

源代码分析技术的理论与实践发展

源代码分析技术对于软件安全缺陷分析是一项非常重要的手段.分析了软件源代码分析工具的技术手段和发展过程,最后对源代码分析的理论和实践进行了分析总结.     

安全评估中基于互信息的近似约简模型

评估属性的选择是安全评估中的一个重要问题,目前常用的标准通常会造成评估节点过多,从而影响评估模型的可用性和准确性.目前的属性约简算法通常会产生多个结果,而在安全评估中这些算法并未给出结果选择的准则.针对信息安全评估的具体问题,根据粗糙集的理论和方法提出一种安全属性的近似约简算法.该算法以互信息和冗余协同系数作为冗余属性的度量,根据实际情况设定具体的阀值参数,从而可以得到不同规模的约简属性集以及更加简洁有效的安全评估模型.     

人工免疫在未知木马检测中的应用研究*

针对传统木马检测技术比较被动这一缺陷,提出一种基于人工免疫原理的木马检测方法。利用人工免疫具有自适应以及免疫学习能力的特点,将人工免疫原理应用到木马检测中。分析了数据来源特征,给出了计算抗体与抗原或抗体与抗体之间相似度以及抗体的适应度公式,建立了一个木马检测系统模型;实验测试了利用人工免疫的方式检测木马能有效提高木马检测的检测率,减少误报率。     

一种DDOS攻击分析

分布式拒绝服务攻击利用了Internet的弱点，攻击方式非常有效，而且非常难以抵挡。因为它们产生的合法的流量和数据请求，所以很难检测到真正的攻击来源。通过分析这一种DDOS攻击类型－SHAFT，展示其工作原理。SHAFT是一种独立发展起来的DDOS攻击方法，根据分析可以分析它还在发展这中，有几个关键特性表明了它的进化方向，其中最重要的是：包统计，以及改变受控主机的选择。密码与“ticket”的匹配也可能成为进化的一个方向。