基于行为监控的木马检测系统研究及实现

为了检测木马型病毒,分析了现有木马检测措施,设计并实现了一个基于行为监控的木马检测系统,介绍了该系统的软件结构和运行机制,描述了基于Winsock2 SPI和NDIS HOOK的网络通信检测技术、基于内核调度监控的进(线)程检测技术.测试表明,该系统能准确识别出被检测程序在安装阶段、启动阶段和网络通信阶段的行为.     

网络行为实时监控系统的设计与研究

针对当前网络行为监控系统存在效率和准确性的矛盾,设计一种新的网络行为实时监控系统.该系统由监测器、信息数据库、分析器、历史数据库和决策器五部分组成,能够克服现有的网络监控系统存在的缺点,实现网络行为实时监控.该系统采用网络实时数据和网络历史数据相结合共同分析网络行为的方法,分析出较为可靠、稳定的用户行为,实时高效地得出准确、合理的响应措施,并与防火墙、入侵检测系统联动.     

基于Markov链模型的Android平台恶意APP检测研究

目前Android手机上恶意APP安全检测方法大致分为两种,静态检测和动态检测.静态检测利用逆向分解手机安装文件,对APP安装文件进行分解,提取其代码特征和正常应用样本数据库中样本进行对比,判定APP是否存在恶意行为.动态监测基于对系统信息和应用行为的监控结果来判断APP是否为恶意应用.静态方法由于样本库规模的的限制很难检测病毒变种和新型病毒,动态检测需要事实监控系统行为,占用大量手机资源并且检测识别率不高.本文以Markov链模型为基础结合了动态监控应用行为和用户行为的方法得出的Android平台恶意APP检测方法.最后结合静态检测对apk文件进行分析,以增加动态监控方法的准确性.     

基于API Hook的进程行为监控系统

基于API Hook的进程行为监控系统,利用钩子技术和内存保护技术,实现了透明地对客户机进程API调用行为的安全监控.首先通过对客户虚拟机的API函数设置钩子,截获虚拟机中的进程API调用行为;接着利用内存保护技术,对客户机的钩子进行隐藏和保护,保证行为监控对客户虚拟机的透明性;然后利用虚拟机管理器的隔离性,将安全工具放在安全域中,一方面防止恶意进程检测并且攻击安全工具,另外一方面解决恶意租户利用虚拟机进行攻击的问题;最后在截获客户虚拟机API调用的基础上,利用语义重构技术,对客户虚拟机进程创建、文件操作、注册表操作等行为进行细粒度监控.测试结果表明:(1)监控系统可以有效的截获客户虚拟机进程API调用,结合语义重构技术,监控系统能够有效地对进程创建、文件操作、注册表操作等进程行为进行监控;(2)针对单个Hook点性能测试表明,监控系统截获API调用对系统性能的影响为4.8%;(3)在文件监控方面,基于API Hook的进程行为监控系统相对于现有截获系统调用的监控系统性能提高73%.     

一种IaaS模式下的实时监控取证方法

为了保证云中虚拟机的安全和从云中寻找完整可靠的犯罪证据,提出了基于物理内存分析的实时监控取证方法,设计开发了相应的云监控取证系统,并给出了具体的设计及实现。此系统的代理端只需要在物理主机上运行,通过获取分析主机的物理内存,分析提取IaaS基础设施层一台或者多台物理主机上安装的虚拟机系统内的关键信息。最后在KVM/Xen虚拟化环境中进行了信息的分析提取和异常检测,结果表明该方法能够获取到云平台中虚拟机的关键证据信息,能对虚拟机中的异常行为进行检测,可有效防止虚拟主机运行恶意软件、违法犯罪等问题。     

在校学生行为识别系统的研究

在校学生有多种行为,比如:运动、学习、休息等。这些行为可以被监控设备记录。通过基于马尔可夫模型的行为识别系统,可以检测学生的行为类型。该系统的检测数据,在进入系统前,采用小波变换的方法进行过滤,去除掉一些错误的数据。该系统检测学生的身体指标,比如心跳、血压、体温等,通过分析这些指标,系统可以识别出学生的行为类型,比如:学习、活动、休息等。通过对多个学生的检测数据输入系统,进行试验,最后得出该系统对于运动和休息的检测准确率较高。     

公共资源网络中资源滥用行为检测研究仿真

传统网络资源行为检测方法无法准确确定资源行为的符号观测，导致检测效果较差，整体检测严重受 限。为此，提出一种新的基于隐马尔科夫模型的公共资源滥用行为检测方法。构建隐马尔科夫模型，通过数据 分析，确定当前观测符号序列，利用Windows 操作系统信息为蓝本进行行为检测。建立敏感文件信息集，并使 其分布在系统敏感文件夹中。在此基础上确定当前隐马尔科夫模型参数。计算对应序列概率差值，根据当前 公共资源网络信息安全要求，设定实际阈值，确定资源滥用行为。仿真实验结果表明，该监测方法真实有效， 具有较高的推广和应用价值。     

基于心理防范区域在视频监控环境下的最优入侵路径

目前国内视频监控系统广泛建设,在打击违法犯罪行为中起到了重要作用,然而在提升或评估视频监控系统的防范能力上仍需进行深入研究。为进一步发掘视频监控系统在犯罪预防方面的功效,结合视频监控的实际监控覆盖范围,提出了视频监控心理防范区域模型,并从违法犯罪行为的角度提出了基于规避心理的最优入侵路径模型。通过本文研究,期望为视频监控系统的防范能力研究和公安机关预防打击违法犯罪行为提供参考。     

一种基于Android的智能视频监控系统

为了实现视频监控的智能化,提出了一种基于Android 4.0操作系统的智能视频监控系统的方案,系统具有全景视频采集、图像复原和变换、异常行为检测、高清抓拍、数据回传等功能,采用基于时空特征点的Hessian矩阵检测方法进行异常行为识别,采用满全景拼接的方法实现360°全景呈现,最后设计并实现了该系统.实验结果表明,该系统稳定可靠,携带方便,功能基本实现,有一定应用前景.     

市场微结构的股市交易异常行为检测

股票市场存在诸多弊端,如滥用客户信息,价格操纵等.股市监控是金融监管体系中不可缺少的一环,它对市场交易的诚信、公平和公开透明起到重要作用.现有检测交易异常行为的诸多方法中,很少分析股市即日数据并挖掘潜在的交易行为来检测异常.股市是一个复杂的非线性系统,一套可行高效的异常行为检测方法是股市异常行为监控的重要课题.提出一种基于市场微结构的异常交易行为检测方法,该方法能较有效地检测出股市存在的异常交易行为.最后,通过实例说明该方法的可行性和有效性.