信息密度增强的恶意代码可视化与自动分类方法

计算机及网络技术的发展致使恶意代码数量每年以指数级数增长,对网络安全构成了严重的威胁。该文将恶意代码逆向分析与可视化相结合,提出了将可移植可执行(PE)文件的".text"段函数块的操作码序列simHash值可视化的方法,不仅提高了恶意代码可视化的效率,而且解决了操作码序列simHash值相似性判断困难的问题。实验结果表明:该可视化方法能够获得有效信息密度增强的分类特征;与传统恶意代码可视化方法相比,该方法更高效,分类结果更准确。     

恶意网络代码核心技术剖析

针对目前网络恶意代码肆意流行的情况,为研究有效的防范机制,研究了主流恶意代码的采用核心技术.文章从恶意代码的通用工作流程入手,以Nimda蠕虫为代表展开研究,重点分析了蠕虫等恶意代码中采用的缓冲区溢出技术、变异重装技术和蠕虫实体隐藏技术.     

浅析网页恶意代码及其防治

分析了网页恶意代码如何入侵网络用户系统 .根据网页恶意代码修改和破坏系统的方式 ,作者提出了预先防范网页恶意代码和被网页恶意代码侵入后恢复系统正常运行的方法     

基于遥感的合肥市建成区时空变化分析

通过对恶意代码行为和特征提取技术的分析,提出了基于虚拟环境下实现恶意代码检测的方法,设计了相应的检测系统;利用虚拟化技术,通过Docker容器简化检测环境的配置,增强了代码检测的隔离性、安全性;并建立相应的实验平台开展测试,为检测恶意的网络行为提供了支持。     

基于BiTCNSA的恶意代码分类方法

当前恶意代码的对抗技术不断变化，恶意代码变种层出不穷，使恶意代码分类问题面临严峻挑战。针对目前基于深度学习的恶意代码分类方法提取特征不足和准确率低的问题，提出了基于双向时域卷积网络(BiTCN)和自注意力机制(Self-Attention)的恶意代码分类方法(BiTCNSA)。该方法融合恶意代码操作码特征和图像特征以展现不同的特征细节，增加特征多样性。构建BiTCN对融合特征进行处理，充分利用特征的前后依赖关系。引入自注意力机制对数据权值进行动态调整，进一步挖掘恶意代码内部数据间的关联性。在Kaggle数据集上对模型进行验证，实验结果表明:该方法准确率可达99.75%，具有较快的收敛速度和较低的误差。     

基于网络传播的计算机恶意代码及防御策略研究

Intemet的普及给恶意代码的传播提供了有利条件，同时恶意代码层出不穷、传播速度加快，给信息系统的安全造成了严重威胁。本文主要分析研究了基于网络传播的计算机恶意代码的传播模式和防御策略。     

边界恶意代码防范系统的设计与实现

在《信息系统安全等级保护基本要求》多个子类的控制点中,均对恶意代码防范提出明确的要求.针对等保相关要求,结合业务实际需求,设计并实现了边界恶意代码防范系统FROMADE.该系统由脱壳模块、反编译模块、行为检测模块、标注模块组成,将动态分析技术与静态分析相结合,为恶意代码防范提供了一套行之有效的解决方案.经实验测试,本系统能够有效地防范恶意代码,使信息系统达到《信息系统安全等级保护基本要求》的相关要求.     

一种P2P网络恶意代码4状态被动传播模型

对等网络的恶意代码传播和破坏问题日益严重.区分了对等网络中恶意代码的主动传播和被动传播2种情况,针对对等网络中被动传播的恶意代码提出了一种4状态被动传播模型4SPP.该模型根据对等点受恶意代码的影响状态,将对等点分为易感染对等点、已暴露对等点、已感染对等点和已免疫对等点4种类型,并给出了以微分方程表示的处于各种状态的对...     

对等网络主动型恶意代码与免疫疫苗的对抗传播模型

通过深入分析P2P网络中的主动型恶意代码的特征,提出一种适合于P2P网络环境的主动型恶意代码与免疫疫苗的对抗传播模型. 模型根据Peer节点受主动型恶意代码及免疫疫苗的双重影响情况将节点细分为易感染、已感染、已免疫和失效这4种典型状态,并指出了节点在不同状态之间的转换规律. 对所提出对抗传播模型及其相关参数展开细致的仿真实验,实验结果说明所提出的模型与实际情况相符,证明了模型的正确合理性.      

一个分布式协作的大规模网络恶意代码检测系统

恶意代码已在网络中造成了严重的危害,对恶意代码进行有效地防治成了一项必需的研究. 研究了在大规模网络下,通过已知检测和异常发现两个模块,进行分布但自治式的检测,集中式的控制与分析模型. 异常发现模块采用可靠的技术,从网络中发现异常,并提交给分析控制中心;分析后将特征更新到已知检测模块的特征库中,实现将未知变为已知. 建立了系统模型,能够有效地发现新的疫情并及时地控制.     

基于事件序列的蠕虫网络行为分析算法

蠕虫以及其他一些恶意代码的更新速度越来越快，如何快速有效地分析大量恶意样本成为网络安全研究的一个问题. 因此提出了一种基于事件序列的蠕虫网络行为自动分析算法. 该算法依靠在实验环境中采集的纯净恶意流量，通过使用数据流的压缩归并等方法获取网络行为的基本轮廓以及网络特征码. 该算法的使用可以加快蠕虫等恶意代码的分析速度，提高防火墙以及网络入侵检测系统的配置效率.     

恶意代码的符号执行树分析方法

在恶意代码分析中,动态监测虚拟环境中的恶意代码行为是一种常用的方法。但是,由于可执行的路径分支众多,极易产生路径爆炸问题,造成某些可执行路径无法被覆盖,严重影响分析的全面性。为了解决恶意代码分析中路径爆炸问题,提出了一种基于符号执行树的恶意代码分析方法。通过构造符号执行树,引入汇聚节点,对恶意代码的执行路径进行约束求解,减少分析路径,从而缓解路径爆炸的影响,提高分析的全面性。恶意代码样本分析的实验表明,该方法能够有效地提升分析效率,同时拥有较小的时间复杂度。     

基于图卷积网络的恶意代码聚类

许多新型恶意代码往往是攻击者在已有的恶意代码基础上修改而来,因此对恶意代码的家族同源性分析有助于研究恶意代码的演化趋势和溯源.本文从恶意代码的API调用图入手,结合图卷积网络(GCN),设计了恶意代码的相似度计算和家族聚类模型.首先,利用反汇编工具提取了恶意代码的API调用,并对API函数进行属性标注.然后,根据API对恶意代码家族的贡献度,选取关键API函数并构建恶意代码API调用图.使用GCN和卷积神经网络(CNN)作为恶意代码的相似度计算模型,以API调用图作为模型输入计算恶意代码之间的相似度.最后,使用DBSCAN聚类算法对恶意代码进行家族聚类.实验结果表明,本文提出的方法可以达到87.3%的聚类准确率,能够有效地对恶意代码进行家族聚类.     

一种针对Android平台恶意代码的检测方法及系统实现

针对Android恶意代码泛滥的问题,综合静态和动态分析技术,设计实现了Android恶意代码检测系统.在静态分析部分,提取Android程序中的权限、API调用序列、组件、资源以及APK结构构建特征向量,应用相似性度量算法,检测已知恶意代码家族的恶意代码样本;在动态分析部分,通过修改Android源码、重新编译成内核镜像,使用该镜像文件加载模拟器,实时监控Android程序的文件读写、网络连接、短信发送以及电话拨打等行为,基于行为的统计分析检测未知恶意代码.经过实际部署测试,所提检测方法具有较高的检测率和较低的误报率.所开发Android恶意代码检测系统已经在互联网上发布,可免费提供分析检测服务.     

浅谈恶意代码分析技术发展趋势

本文对恶意代码分析技术的发展历史以及当前的主流分析技术进行了简的总结,并阐述了如何应对目前开始出现的APT等深度攻击,对未来的恶意代码分析技术的发展方向做出简单介绍。     

基于云计算的恶意代码防御系统

针对当前恶意代码检测系统存在的查杀能力较弱、资源占用率大、自身易受攻击等问题,综合利用云查杀、主动防御和多代理协同处理等技术提出了一种新的恶意代码防御系统.该系统将核心检测分析功能分离到云端以服务形式提供,终端只具备安全状态和行为监控等基本代理功能,海量代理构成的监控云快速发现未知恶意代码,检测分析云通过分布式处理和多查杀引擎协同快速分析识别恶意代码.为了测试系统的可行性和有效性,使用6 835个恶意代码样本开展了与传统模式的对比实验,系统的查杀成功率达到97.3%,CPU占用率不高于29%.与传统模式相比,新体系具有更高的查杀能力和更低的终端资源占用率.     

基于虚拟化环境恶意代码检测系统的设计与实现

本课题利用虚拟机自省技术和内存取证分析技术通过机器学习实现云环境下的恶意代码检测.随着云计算的广泛应用,针对云环境的恶意软件种类与数量也与日俱增.鉴于此,本课题围绕着"基于虚拟化环境恶意代码检测系统"进行研究,通过调用LibVMI自省库以及Volatility内存取证工具获取恶意代码的行为数据,而后使用KNN算法实现恶意代码的检测功能.在提取恶意代码的行为特征时,本系统结合了虚拟机自省技术和内存取证分析技术,一次性可获取大量不同种类特征.基于多特征的数据获取方法也有效的降低了目前高级别恶意软件常采用的混淆技术的影响.     

面向安卓Malware逆向分析用例自动生成的研究

文章提出了一种针对安卓恶意代码的逆向分析用例自动生成系统,系统从XML敏感权限分析入手,使用程序切片技术从恶意代码中获取调用序列,再利用逆向用例生成技术获得其对应的用例图,帮助分析人员准确获知代码的真实意图。实验结果表明,该系统对基于安卓的系统恶意代码有较为准确的用例还原效果,使用该系统还可以对安卓恶意代码家族的相似性和演变实施深入分析。     

基于IRP的未知恶意代码检测方法

目前采用的基于API的恶意代码检测方法只能检测运行在用户态的恶意代码,不能检测运行在内核态、采用内核API调用的恶意代码.为此,文中提出基于I/O请求包(IRP)的未知恶意代码检测方法.应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树、Boosting、否定选择算法及针对IRP序列特点改进的人工免疫算法对捕获的I...     

一个安全的主动网络编程语言模型

为解决主动网络安全威胁问题，从编程语言角度分析了语言级的主动网络的安全需求，使用软件机制而不是硬件机制保护主机防止恶意代码攻击，并折中了通信需求和程序语言需求，为主动网络提供了一个安全的编程语言模型。