一种P2P网络恶意代码4状态被动传播模型

对等网络的恶意代码传播和破坏问题日益严重.区分了对等网络中恶意代码的主动传播和被动传播2种情况,针对对等网络中被动传播的恶意代码提出了一种4状态被动传播模型4SPP.该模型根据对等点受恶意代码的影响状态,将对等点分为易感染对等点、已暴露对等点、已感染对等点和已免疫对等点4种类型,并给出了以微分方程表示的处于各种状态的对...     

恶意代码的分析与检测技术的研究

随着网络技术的飞速发展,恶意代码严重威胁着计算机及网络安全。病毒、蠕虫等恶意代码不断变种,快速传播,信息安全受到了巨大的挑战,恶意代码分析及检测问题成为当前网络研究工作的重点。本文在分析恶意软件相关理论基础上,探讨了恶意代码分析技术和分析工具相关问题。     

对等网络主动型恶意代码与免疫疫苗的对抗传播模型

通过深入分析P2P网络中的主动型恶意代码的特征,提出一种适合于P2P网络环境的主动型恶意代码与免疫疫苗的对抗传播模型. 模型根据Peer节点受主动型恶意代码及免疫疫苗的双重影响情况将节点细分为易感染、已感染、已免疫和失效这4种典型状态,并指出了节点在不同状态之间的转换规律. 对所提出对抗传播模型及其相关参数展开细致的仿真实验,实验结果说明所提出的模型与实际情况相符,证明了模型的正确合理性.      

基于GPU加速的恶意代码字节码特征提取方法研究

随着恶意代码的数量和种类增长,快速有效地检测恶意代码显得十分有必要,其中关键技术就是恶意代码特征提取.针对现有恶意代码字节码序列特征提取速度的不足,提出了一种GPU加速提取恶意代码字节码序列特征的方法.使用目前比较成熟的统一计算设备架构CUDA,将传统恶意代码字节码序列特征提取方法中字节码N-Gram特征的提取、TFIDF特征的计算等密集计算型任务移交给GPU进行并行计算.实验表明,针对不同样本文件大小的数据集,该方法均有2～4倍以上的速度提升,大幅提高恶意代码字节码序列特征提取的速度.     

基于BiTCNSA的恶意代码分类方法

当前恶意代码的对抗技术不断变化，恶意代码变种层出不穷，使恶意代码分类问题面临严峻挑战。针对目前基于深度学习的恶意代码分类方法提取特征不足和准确率低的问题，提出了基于双向时域卷积网络(BiTCN)和自注意力机制(Self-Attention)的恶意代码分类方法(BiTCNSA)。该方法融合恶意代码操作码特征和图像特征以展现不同的特征细节，增加特征多样性。构建BiTCN对融合特征进行处理，充分利用特征的前后依赖关系。引入自注意力机制对数据权值进行动态调整，进一步挖掘恶意代码内部数据间的关联性。在Kaggle数据集上对模型进行验证，实验结果表明:该方法准确率可达99.75%，具有较快的收敛速度和较低的误差。     

基于深度学习的恶意代码检测可解释性研究

针对深度学习模型无法解释其是否提取到了关键特征的问题，该文从建模之前和建模之后2个层面对基于深度学习的恶意代码检测进行了可解释性研究。在建模之前，通过对二进制文件进行可视化分析，发现恶意代码的图像模态特征存在着明显的同类相似性和类间差异性，验证了运用深度学习模型进行图像模态特征恶意代码检测的可行性。在建模之后，提出了一种基于梯度加权类激活映射(Grad-CAM)的恶意代码检测可视化可解释性方法，在视觉直观上和统计分析上说明了基于深度学习的恶意代码检测具有可解释性。     

针对客户端的恶意代码分析

恶意代码数量多且变种多样,通常会通过加密隐藏真实目的,沙盒可以为恶意代码提供一个安全的运行环境,在实验时借助沙盒分析和揭露恶意代码的行为特征,发现很多恶意代码看似不同,实际为同一恶意代码的变种.最后对若干恶意代码样本进行分析,通过特征码对样本中的恶意代码进行分类,验证了恶意代码变种的现象.     

基于图卷积网络的恶意代码聚类

许多新型恶意代码往往是攻击者在已有的恶意代码基础上修改而来,因此对恶意代码的家族同源性分析有助于研究恶意代码的演化趋势和溯源.本文从恶意代码的API调用图入手,结合图卷积网络(GCN),设计了恶意代码的相似度计算和家族聚类模型.首先,利用反汇编工具提取了恶意代码的API调用,并对API函数进行属性标注.然后,根据API对恶意代码家族的贡献度,选取关键API函数并构建恶意代码API调用图.使用GCN和卷积神经网络(CNN)作为恶意代码的相似度计算模型,以API调用图作为模型输入计算恶意代码之间的相似度.最后,使用DBSCAN聚类算法对恶意代码进行家族聚类.实验结果表明,本文提出的方法可以达到87.3%的聚类准确率,能够有效地对恶意代码进行家族聚类.     

浅析网页恶意代码及其防治

分析了网页恶意代码如何入侵网络用户系统 .根据网页恶意代码修改和破坏系统的方式 ,作者提出了预先防范网页恶意代码和被网页恶意代码侵入后恢复系统正常运行的方法     

基于代码图像增强的恶意代码检测方法

网络空间面临的恶意代码威胁日益严峻,传统恶意代码检测方法在恶意代码攻防对抗中逐渐暴露弊端。针对此现状,该文提出了基于代码灰度化图像增强的恶意代码检测方法,使用恶意代码ASCII字符信息和PE结构信息对传统恶意代码灰度化图像方法进行改进,构建RGB三维图像作为原始数据输入到检测算法,并使用一种带有空间金字塔池化结构的VGG16神经网络模型对恶意代码图像进行训练和预测。该文还提出了一种基于多标注归一化表示的方法来提高样本标签的可靠性,实验结果表明:该方案可以有效应对加壳、混淆等对抗手段,对新型恶意代码具有良好的检测效果。     

Web网页恶意代码的分析与防治

本文介绍何为Web网页恶意代码;探讨Web网页恶意代码产生的原因及其与计算机病毒的区别;对典型的Web网页恶意代码进行分析并提出处理方法;探讨了如何防范Web网页恶意代码.     

恶意网络代码核心技术剖析

针对目前网络恶意代码肆意流行的情况,为研究有效的防范机制,研究了主流恶意代码的采用核心技术.文章从恶意代码的通用工作流程入手,以Nimda蠕虫为代表展开研究,重点分析了蠕虫等恶意代码中采用的缓冲区溢出技术、变异重装技术和蠕虫实体隐藏技术.     

恶意代码的符号执行树分析方法

在恶意代码分析中,动态监测虚拟环境中的恶意代码行为是一种常用的方法。但是,由于可执行的路径分支众多,极易产生路径爆炸问题,造成某些可执行路径无法被覆盖,严重影响分析的全面性。为了解决恶意代码分析中路径爆炸问题,提出了一种基于符号执行树的恶意代码分析方法。通过构造符号执行树,引入汇聚节点,对恶意代码的执行路径进行约束求解,减少分析路径,从而缓解路径爆炸的影响,提高分析的全面性。恶意代码样本分析的实验表明,该方法能够有效地提升分析效率,同时拥有较小的时间复杂度。     

一种基于网络对抗的恶意代码破坏效果控制模型

针对传统恶意代码破坏行为盲目、破坏效果单一的不足,提出了一种破坏效果分级可控的恶意代码攻击模型HCMM,改进了恶意代码破坏效果评估指标体系,并利用基于AHP的多级模糊综合评估模型设计了恶意代码破坏效果预估算法.实验结果表明,HCMM模型有效地改善了破坏效果可控性与自适应性,更符合现代信息对抗以及网络安全性测试的要求.     

路径条件驱动的混淆恶意代码检测

代码混淆是恶意代码隐藏自身的主要手段之一.本文提出了一种新的动态检测方法,能够有效检测混淆后的恶意代码.该方法能够利用ISR进行动态调试.在调试过程中通过对路径条件的约束求解,驱动恶意代码执行不同的路径更深入地检测隐藏恶意代码.此外,对于需要读取外部资源的恶意代码,恶意行为往往需要结合外部资源才能检测.本文方法能够准确定位外部资源并结合原始恶意代码进行检测,提高检测的准确性.在原型系统的测试中,与12种杀毒软件的横向测试表明,该方法在对混淆恶意代码检测中能有效地降低漏报率.     

人工免疫算法在恶意代码检测中的应用研究

随着恶意代码复杂度的提高,要求恶意代码检测方法不仅能实现高效的检测,而且要具有很好的鲁棒性来应对可能出现的迷惑检测策略。研究了"两代"人工免疫算法——否定选择算法(NSA)和树突细胞算法(DCA),在运行时恶意代码检测中的应用。通过捕获程序运行时产生的IRP请求序列来实现恶意代码的检测。实验结果表明,NSA是一种有效的运行时恶意代码检测方法,而DCA的检测结果存在很大的不确定性。     

基于动态行为指纹的恶意代码同源性分析

针对恶意代码在网络空间中呈爆发式增长,但多数是已有代码变种的情况。通过研究恶意代码行为特征,提出一套新的判别恶意代码同源性的方法.从恶意代码行为入手,提取恶意代码行为指纹,通过指纹匹配算法来分析恶意样本是否是已知样本的变种.经研究分析,最终筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析.实验结果表明,该方法能够有效地对不同恶意代码及其变种进行同源性分析.     

计算机恶意代码利用网络传播的形式及防御策略

网络安全是一个涉及诸多学科的综合性的课题，涉及技术、管理、使用等许多方面，一种技术只能解决一方面的安全问题。随着网络及其应用的广泛发展，恶意代码的通过网络传播的途径越来越多，处理难度也越来越大。这就要求我们对网络攻击的行为有更进一步的研究，有针对性的建立防范安全策略，构建一个全面的、可靠的、高效的网络安全屏障来防御各种网络攻击。     

基于图像纹理聚类的恶意代码家族标注方法

针对传统恶意代码标注分析方法中特征提取能力不足以及家族标注不统一、不规范、不精确且时效性差等问题,通过对大量恶意样本PE文件纹理构成和分布的研究,提出了基于内容纹理聚类的恶意代码深度标注方法。该方法对恶意代码的纹理指纹进行统计分析,从基准标注和深度标注这2个步骤对恶意代码家族进行归纳和分析,并结合VirusTotal分析方法、基于GLCM纹理特征空间构建方法和基于P-Stable LSH的近邻增量聚类算法,对恶意代码家族进行深度标注。实验结果表明,基于上述方法开发的原型系统具有家族标注准确率高、支持增量标注等优势,通过深度标注生成的基准标签实用性强,且对未知恶意代码检测具有积极意义。     

基于二阶HMM模型的恶意代码检测

普通隐马尔可夫（HMM）模型状态转移概率只与前一个时间状态相关,而恶意代码的行为有多种,因此本文提出了一种基于二阶隐马尔可夫的恶意代码检测模型。应用BW算法对系统的正常行为建模,并采用滑动窗口的方法,检测系统中是否有恶意代码的存在。通过实验结果证明二阶HMM模型的检测准确性高于普通的HMM模型,能快速有效的检测系统中恶意代码的存在。