边界恶意代码防范系统的设计与实现

在《信息系统安全等级保护基本要求》多个子类的控制点中,均对恶意代码防范提出明确的要求.针对等保相关要求,结合业务实际需求,设计并实现了边界恶意代码防范系统FROMADE.该系统由脱壳模块、反编译模块、行为检测模块、标注模块组成,将动态分析技术与静态分析相结合,为恶意代码防范提供了一套行之有效的解决方案.经实验测试,本系统能够有效地防范恶意代码,使信息系统达到《信息系统安全等级保护基本要求》的相关要求.     

基于动态行为指纹的恶意代码同源性分析

针对恶意代码在网络空间中呈爆发式增长,但多数是已有代码变种的情况。通过研究恶意代码行为特征,提出一套新的判别恶意代码同源性的方法.从恶意代码行为入手,提取恶意代码行为指纹,通过指纹匹配算法来分析恶意样本是否是已知样本的变种.经研究分析,最终筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析.实验结果表明,该方法能够有效地对不同恶意代码及其变种进行同源性分析.     

基于Ghost DenseNet SE的恶意代码检测方法

针对现有恶意代码检测模型对恶意代码及其变种识别率不高,且参数量过大这一问题,将轻量化卷积Ghost、密集连接网络DenseNet与通道域注意力机制SE相结合,提出一种基于Ghost-DenseNet-SE的恶意代码家族检测模型.该模型为压缩模型体积、提升识别速率,将DenseNet中的标准卷积层替换为轻量化Ghost模块;并引入通道域注意力机制,赋予特征通道不同权重,用以提取恶意代码的关键特征,提高模型检测精度.在M alim g数据集上的实验结果表明,该模型对恶意代码家族的识别准确率可以达到99.14％,与AlexNet、VGGNet等模型相比分别提高了1.34％ 和2.98％,且模型参数量更低.该算法在提升分类准确率的同时,降低了模型复杂度,在恶意代码检测中具有重要的工程价值和实践意义.     

基于事件序列的蠕虫网络行为分析算法

蠕虫以及其他一些恶意代码的更新速度越来越快,如何快速有效地分析大量恶意样本成为网络安全研究的一个问题. 因此提出了一种基于事件序列的蠕虫网络行为自动分析算法. 该算法依靠在实验环境中采集的纯净恶意流量,通过使用数据流的压缩归并等方法获取网络行为的基本轮廓以及网络特征码. 该算法的使用可以加快蠕虫等恶意代码的分析速度,提高防火墙以及网络入侵检测系统的配置效率.     

NP防火墙中异常策略检测的研究与实现

为了适应复杂的网络环境,防火墙的规则集往往非常庞大,因此人工的方法很难保证防火墙安全策略的正确配置.文中对防火墙中异常策略的检测方法进行了深入的研究,并在此基础上给出了NP防火墙中异常策略检测模块的设计与实现.测试结果表明,该模块可以有效地检测出防火墙规则集中的各种异常,避免安全隐患的产生.     

局域网恶意代码入侵自动安全监测系统设计

传统的入侵监测系统跟不上恶意代码升级的速度,监测效果差。为此,设计了一种局域网恶意代码入侵自动安全监测系统。在系统硬件部分,通过在数据库模块对存在入侵攻击行为的恶意代码数据包进行存储匹配监测,并储存还原后的信息,通过入侵监测模块对存在入侵行为的数据包进行特征提取,并判断是否存在入侵行为; 通过数据库还原模块对网络传输的数据包进行拦截,并将数据进行还原处理及储存; 通过日志审计模块将入侵系统的信息传送到数据库中,用户通过控制中心模块了解系统的各种信息; 在此基础上采用聚类算法对入侵系统的恶意代码进行有效监测。实验结果表明,该监测系统的覆盖监测率高、监测耗时少、误差率低,应用优势明显。     

基于1D-CNN-Densenet的恶意代码检测方法

恶意代码的API调用序列可以反映恶意行为,深度学习模型可以应用在基于API调用序列检测恶意代码中。本文基于一维卷积神经网络和稠密网络结构设计了1D-CNN-Densenet网络模型,将恶意代码动态API调用序列处理成文本特征作为输入,横向一维卷积计算,纵向构建稠密结构网络,将前面所有层输出的相加作为下一层的输入,更深层次学习恶意代码的文本特征。实验表明1D-CNN-Densenet的恶意代码检测准确率达到了96.60%,在恶意代码检测方面有较好性能。     

多源流量特征分析方法及其在异常检测中的应用

针对不同的网络攻击会造成不同流量特征的变化,单一的网络流量特征难以全面检测网络异常的缺陷,提出了一种多源流量特征分析方法.通过选取一组网络流测度,分析其分布特征并采用雷尼信息熵方法进行多源流量特征融合以实现对网络异常行为的全面检测.基于真实网络流量的实验结果表明,提出的网络异常行为检测方法实现简单、计算量小、检测精度高,可适用于大规模网络,能有效检测已知及未知异常.     

基于GPU加速的恶意代码字节码特征提取方法研究

随着恶意代码的数量和种类增长,快速有效地检测恶意代码显得十分有必要,其中关键技术就是恶意代码特征提取.针对现有恶意代码字节码序列特征提取速度的不足,提出了一种GPU加速提取恶意代码字节码序列特征的方法.使用目前比较成熟的统一计算设备架构CUDA,将传统恶意代码字节码序列特征提取方法中字节码N-Gram特征的提取、TFIDF特征的计算等密集计算型任务移交给GPU进行并行计算.实验表明,针对不同样本文件大小的数据集,该方法均有2～4倍以上的速度提升,大幅提高恶意代码字节码序列特征提取的速度.     

基于行为关联的Web自适应入侵检测系统设计与实现

提出了一种适用于Web服务器的自适应入侵检测机制,将检测模块直接嵌入Web服务器中,采用客户访问行为关联预测,配合异常检测和误用检测,动态产生和调整特征规则,确定合法请求,过滤异常请求并确认攻击类型,从而达到预防新型攻击与检测已知攻击事件的目的. 对实现的系统进行了测试验证,在一般攻击扫描情况下攻击检测准确率可高达95.8%.     

分布式人工免疫系统的鲁棒性归约模型

利用分布式多真体(Agent)系统的鲁棒性归约模型,将分布式人工免疫系统看作理想的分布式多真体系统,从而把分布式人工免疫系统的鲁棒性分析问题归约为其各个相对独立的模块的鲁棒性分析问题。人工免疫系统包括正常模型建模模块、自体/异体检测模块、已知异体识别模块、未知异体学习模块、异体消除模块和受损系统修复模块。用问题归约法分析人工免疫系统的鲁棒性后,建立人工免疫系统的鲁棒性归约模型,用各个模块的鲁棒性判据和模块之间免疫控制过程的鲁棒性判据表示分布式人工免疫系统的鲁棒性判据。经定理证明,鲁棒性归约模型能分解和简化分布式人工免疫系统的鲁棒性分析问题,通过各个模块的鲁棒性分析问题求解实现该问题的最终求解。因此,分布式人工免疫系统的鲁棒性归约模型是有用的鲁棒性分析工具,为复杂人工免疫系统的鲁棒性分析提供了有效的方法。     

机器学习缓解的广域阻尼控制系统异常检测

为了建立攻击弹性,以抵抗对测量信号和控制信号段的隐蔽网络攻击,提出了一种基于机器学习缓解策略的广域阻尼控制系统异常检测方法。首先提出基于信号熵的特征提取,从而提高机器学习模型的训练检测精度和鲁棒性。然后提出一种基于电力系统运行条件和网络攻击事件的组合数据集生成方法,以便用于任何大规模电网模型。引入的缓解模块能够调谐系统信号,并同时在测量和控制信号上进行攻击检测。在2区域4机电力系统的测试环境下对本文方法的性能进行了评估,结果表明本文方法能够实现高精度的异常检测。     

一种面向特定网络服务的异常检测方法

通过对入侵检测技术以及攻击种类的分析,发现常用的网络流量模型和简单的应用模型不能很好地检测R2L(Remote to Local)和U2R(User to Root)两类攻击.为此,提出一种面向特定网络服务的异常检测方法,考虑了特定网络服务的负载知识,结合信息论相关理论和n-gram分析方法,对正常服务请求报文的类型、长度、负载分布建立模型,对检测对象计算其特征异常值,有效检测R2L和U2R两类攻击.将该方法与误用检测结合,能有效提高入侵检测的准确性.     

基于嵌入分层决策树的电网完整性保护

为了提升系统抗攻击能力以及泛化能力,提出了一种基于支持向量机嵌入分层决策树的多智能体电网抗攻击系统完整性保护方案。首先利用多智能体来增强系统完整性保护的网络弹性,重点是系统的态势感知和自适应能力。进一步将分布式系统完整性保护设置中的数据驱动异常检测问题转化为多分类问题。然后提出了一种支持向量机嵌入分层决策树的有监督学习算法和一种自适应的负荷卸载策略,以提升检测能力,减少时间成本。实验结果表明,所提出的系统完整性保护方案能够检测出电网的异常运行状态,并能够调整其补救措施,以适应各种网络攻击。     

基于随机通信时滞补偿的混合动力汽车协调控制研究

为了改善功率分流式混合动力汽车模式切换品质,提出了一种基于随机通信时滞补偿的转矩协调控制策略.在一般的电机转矩补偿控制策略的基础上,为提高车辆协调控制系统的精度,揭示了不同通信网络时滞对于电机补偿控制稳定性的影响,提出了增设BP-Smith自适应补偿模块和电机转矩变化率限制模块构成的复合协调控制策略并进行了仿真验证,结果表明,该控制策略在受到随机网络延时的干扰下仍能保证系统的稳定性及模式切换的平顺性.      

基于ARM的矿山物联网系统

本文提出一种矿山物联网的构想,以ARM为处理器,嵌入式linux为操作系统,用简单易用的boa服务器组网,将各个分站点连接起来,可以在ARM外扩展GPRS和RFID模块,实现井下的无线数据传输,和远程的无线控制,即可以实现在手机,PAD等手持设备上查看并控制运行状态.并且在PC机上进行了网络摄像头的测试,效果很好。     

网络切片中物理节点的分布式在线异常检测方法

网络切片中的异常检测问题是实现网络切片自动化管理的重要研究内容,针对网络切片中物理节点的异常检测问题,提出了基于支持向量数据描述的分布式在线物理节点异常检测方法.基于支持向量数据描述建立了一种分布式的物理节点异常检测模型;通过引入随机近似函数,解决了数据分布式存储场景下的核函数计算问题,从而实现观测数据的切片内处理;基于随机梯度下降法,提出了一种在线的物理节点异常检测算法,保证了模型动态更新并减轻了异常数据导致的模型性能下降.在不同条件下进行了仿真分析,仿真结果表明,该方法可在避免切片间观测数据传输的同时,有效利用网络切片中虚拟网络功能的无标签观测信息检测物理节点异常.     

大型集装箱检测系统中的网络通讯技术

大型集装箱检测系统是海关用于检查集装箱内装货物的新一代设备，系统的计算机硬件结构包括运行管理站、图象检查处理站、检入站、验出站、图象获取站、环境控制站、数据库站等，各站之间需要进行大量的数据信息交换。介绍系统中应用的网络通讯技术，提出并讨论比较了实现通讯的几种方案，最终选择一种具有异步机制特点、基于主控／客户模式的方案作为基本通讯模式，这种方案基于ＴＣＰ／ＩＰ和请求／应答协议，极大地增强了通讯子系统的可靠性和实时响应性。在此基础上，将分布在不同地理位置、完成各自不同功能的多个计算机工作站，采用以太网连接起来就构成一个分布式计算机网络协同处理系统。     

基于内部网络安全的防火墙系统的改进

针对传统的边界防火墙不能防范来自内部的攻击、效率较低和故障率高、网络应用受到结构性限制等问题,提出了把分布式防火墙系统和分布式入侵检测系统结合在一起的安全防御系统.由防火墙进行访问控制,入侵检测系统检测入侵行为并反馈入侵信息,中央控制平台对各模块统一管理和配置,从而为内部网络提供了立体的、多层次的防御.