信息密度增强的恶意代码可视化与自动分类方法

计算机及网络技术的发展致使恶意代码数量每年以指数级数增长,对网络安全构成了严重的威胁。该文将恶意代码逆向分析与可视化相结合,提出了将可移植可执行(PE)文件的".text"段函数块的操作码序列simHash值可视化的方法,不仅提高了恶意代码可视化的效率,而且解决了操作码序列simHash值相似性判断困难的问题。实验结果表明:该可视化方法能够获得有效信息密度增强的分类特征;与传统恶意代码可视化方法相比,该方法更高效,分类结果更准确。     

安卓恶意软件的分析与检测

为了充分说明安卓(Android)恶意软件的工作原理,分析并降低其威胁性,本文利用Android的安全机制缺陷和Service、Broadcast两个组件实现了一个隐私窃取软件。阐述了使用Android逆向工程技术完成恶意代码植入的方法。基于云安全技术和信息比对算法,设计出一个恶意软件静态检测方案,能够有效地在源码级完成恶意软件的检测工作。     

基于云计算的恶意代码防御系统

针对当前恶意代码检测系统存在的查杀能力较弱、资源占用率大、自身易受攻击等问题,综合利用云查杀、主动防御和多代理协同处理等技术提出了一种新的恶意代码防御系统.该系统将核心检测分析功能分离到云端以服务形式提供,终端只具备安全状态和行为监控等基本代理功能,海量代理构成的监控云快速发现未知恶意代码,检测分析云通过分布式处理和多查杀引擎协同快速分析识别恶意代码.为了测试系统的可行性和有效性,使用6 835个恶意代码样本开展了与传统模式的对比实验,系统的查杀成功率达到97.3%,CPU占用率不高于29%.与传统模式相比,新体系具有更高的查杀能力和更低的终端资源占用率.     

一种针对Android平台恶意代码的检测方法及系统实现

针对Android恶意代码泛滥的问题,综合静态和动态分析技术,设计实现了Android恶意代码检测系统.在静态分析部分,提取Android程序中的权限、API调用序列、组件、资源以及APK结构构建特征向量,应用相似性度量算法,检测已知恶意代码家族的恶意代码样本;在动态分析部分,通过修改Android源码、重新编译成内核镜像,使用该镜像文件加载模拟器,实时监控Android程序的文件读写、网络连接、短信发送以及电话拨打等行为,基于行为的统计分析检测未知恶意代码.经过实际部署测试,所提检测方法具有较高的检测率和较低的误报率.所开发Android恶意代码检测系统已经在互联网上发布,可免费提供分析检测服务.     

基于图像纹理聚类的恶意代码家族标注方法

针对传统恶意代码标注分析方法中特征提取能力不足以及家族标注不统一、不规范、不精确且时效性差等问题,通过对大量恶意样本PE文件纹理构成和分布的研究,提出了基于内容纹理聚类的恶意代码深度标注方法。该方法对恶意代码的纹理指纹进行统计分析,从基准标注和深度标注这2个步骤对恶意代码家族进行归纳和分析,并结合VirusTotal分析方法、基于GLCM纹理特征空间构建方法和基于P-Stable LSH的近邻增量聚类算法,对恶意代码家族进行深度标注。实验结果表明,基于上述方法开发的原型系统具有家族标注准确率高、支持增量标注等优势,通过深度标注生成的基准标签实用性强,且对未知恶意代码检测具有积极意义。     

恶意代码族群特征提取与分析技术

分析了当前对抗传统特征提取的主要技术特点,提出了恶意代码族群相关度的概念,根据同一恶意代码的不同变种的主体代码函数调用图的相似性和不同恶意代码为实现相同功能使用共同的内核函数的特点,给出了一种基于函数调用图和内核函数调用集合的恶意代码族群特征提取方法.该方法使用函数调用图中的节点度特征进行匹配比较,并使用集合运算获取函数特征.实验表明,利用该方法进行病毒检测具有较低漏报率和误报率,并对未知恶意代码的防范具有积极意义.     

基于虚拟化环境恶意代码检测系统的设计与实现

本课题利用虚拟机自省技术和内存取证分析技术通过机器学习实现云环境下的恶意代码检测.随着云计算的广泛应用,针对云环境的恶意软件种类与数量也与日俱增.鉴于此,本课题围绕着"基于虚拟化环境恶意代码检测系统"进行研究,通过调用LibVMI自省库以及Volatility内存取证工具获取恶意代码的行为数据,而后使用KNN算法实现恶意代码的检测功能.在提取恶意代码的行为特征时,本系统结合了虚拟机自省技术和内存取证分析技术,一次性可获取大量不同种类特征.基于多特征的数据获取方法也有效的降低了目前高级别恶意软件常采用的混淆技术的影响.     

路径条件驱动的混淆恶意代码检测

代码混淆是恶意代码隐藏自身的主要手段之一.本文提出了一种新的动态检测方法,能够有效检测混淆后的恶意代码.该方法能够利用ISR进行动态调试.在调试过程中通过对路径条件的约束求解,驱动恶意代码执行不同的路径更深入地检测隐藏恶意代码.此外,对于需要读取外部资源的恶意代码,恶意行为往往需要结合外部资源才能检测.本文方法能够准确定位外部资源并结合原始恶意代码进行检测,提高检测的准确性.在原型系统的测试中,与12种杀毒软件的横向测试表明,该方法在对混淆恶意代码检测中能有效地降低漏报率.     

边界恶意代码防范系统的设计与实现

在《信息系统安全等级保护基本要求》多个子类的控制点中,均对恶意代码防范提出明确的要求.针对等保相关要求,结合业务实际需求,设计并实现了边界恶意代码防范系统FROMADE.该系统由脱壳模块、反编译模块、行为检测模块、标注模块组成,将动态分析技术与静态分析相结合,为恶意代码防范提供了一套行之有效的解决方案.经实验测试,本系统能够有效地防范恶意代码,使信息系统达到《信息系统安全等级保护基本要求》的相关要求.     

发动机逆向燃烧系统的误差分析

文章讨论了硅胶拓膜和剖切燃烧系统的方法,采用逆向工程技术,通过德国GOM公司的ATOS非接触式扫描仪完成燃烧系统的点云数据采集;详细介绍了利用Geomagic Studio逆向软件进行模型重建的步骤,指出造型过程中的要点,最后生成逆向燃烧系统模型,并进行生成模型与理论设计模型的误差分析对比,根据误差分析结果,确定逆向燃烧系统的可行性方法.     

基于安卓的自学助手的设计与开发

该系统是一个基于安卓的学生端自学助手,使用Java编程语言,界面使用XML语言开发,使用安卓平台的内嵌数据库SQLite为开发平台。每个学生都可以注册账号,然后通过该系统来学习课程的教学内容及教学视频,并在学习完成后通过章节习题进行自我测验,达到课下预习或者复习的效果,通过手持移动设备学习更方便、更高效。该文以Android应用开发在线学习平台为例,帮助学生随时随地进行学习,提高学习效果。     

基于事件序列的蠕虫网络行为分析算法

蠕虫以及其他一些恶意代码的更新速度越来越快,如何快速有效地分析大量恶意样本成为网络安全研究的一个问题. 因此提出了一种基于事件序列的蠕虫网络行为自动分析算法. 该算法依靠在实验环境中采集的纯净恶意流量,通过使用数据流的压缩归并等方法获取网络行为的基本轮廓以及网络特征码. 该算法的使用可以加快蠕虫等恶意代码的分析速度,提高防火墙以及网络入侵检测系统的配置效率.     

恶意网络代码核心技术剖析

针对目前网络恶意代码肆意流行的情况,为研究有效的防范机制,研究了主流恶意代码的采用核心技术.文章从恶意代码的通用工作流程入手,以Nimda蠕虫为代表展开研究,重点分析了蠕虫等恶意代码中采用的缓冲区溢出技术、变异重装技术和蠕虫实体隐藏技术.     

安卓系统在计算机网络领域的运用

自从安卓系统在美国成功退出以后,基于良好的用户基础与成本的低廉特性,其运用效果得到越来越多的关注与支持,很多终端厂商都愿意选择安卓系统作为技术底座,下文就结合实际情况分析安卓系统在现代计算机网络领域的运用与影响。     

基于图卷积网络的恶意代码聚类

许多新型恶意代码往往是攻击者在已有的恶意代码基础上修改而来,因此对恶意代码的家族同源性分析有助于研究恶意代码的演化趋势和溯源.本文从恶意代码的API调用图入手,结合图卷积网络(GCN),设计了恶意代码的相似度计算和家族聚类模型.首先,利用反汇编工具提取了恶意代码的API调用,并对API函数进行属性标注.然后,根据API对恶意代码家族的贡献度,选取关键API函数并构建恶意代码API调用图.使用GCN和卷积神经网络(CNN)作为恶意代码的相似度计算模型,以API调用图作为模型输入计算恶意代码之间的相似度.最后,使用DBSCAN聚类算法对恶意代码进行家族聚类.实验结果表明,本文提出的方法可以达到87.3%的聚类准确率,能够有效地对恶意代码进行家族聚类.     

浅析网页恶意代码及其防治

分析了网页恶意代码如何入侵网络用户系统 .根据网页恶意代码修改和破坏系统的方式 ,作者提出了预先防范网页恶意代码和被网页恶意代码侵入后恢复系统正常运行的方法     

基于离线汇编指令流分析的恶意程序算法识别技术

识别二进制程序中的算法,在恶意程序检测、软件分析、网络传输分析、计算机系统安全保护等领域有着广泛的应用和重要的意义。该文提出基于离线汇编指令流分析的恶意代码算法识别技术,综合运用二进制插桩、污点跟踪、循环识别等技术,从行为语义、关键常数2个维度对程序进行描述,并且分析提取特征。算法识别模型使用机器学习算法,针对双维度特征生成初阶识别模型,并通过模型融合优化识别效果,实现对广义程序算法的高准确率识别。     

基于最长频繁序列挖掘的恶意代码检测

基于动态API序列挖掘的恶意代码检测方法未考虑不同类别恶意代码之间的行为差别,导致代表恶意行为的恶意序列挖掘效果不佳,其恶意代码检测效率较低.本文引入面向目标的关联挖掘技术,提出一种最长频繁序列挖掘算法,挖掘最长频繁序列作为特征用于恶意代码检测.首先,该方法提取样本文件的动态API序列并进行预处理;然后,使用最长频繁序列挖掘算法挖掘多个类别的最长频繁序列集合;最后,使用挖掘的最长频繁序列集合构造词袋模型,根据该词袋模型将样本文件的动态API序列转化为向量,使用随机森林算法构造分类器检测恶意代码.本文采用阿里云提供的数据集进行实验,恶意代码检测的准确率和AUC(Area Under Curve)值分别达到了95.6%和0.99,结果表明,本文所提出的方法能有效地检测恶意代码.     

基于UML的软件可靠性测试用例生成的混合模型

为了解决实时控制系统软件可靠性测试用例生成的问题，在分析操作剖面模型和Markov链模型的基础上，提出了一种基于UML的混合模型．该模型用操作剖面模型来定义使用用例，并将状态图嵌入其中以表述该用例的动态特性．通过平展状态图获得使用图，使用图按一定的概率迁移，从而获得用Markov链表示的使用模型，而操作剖面模型定义的使用用例集与Markov链表述的状态迁移模型可结合生成可靠性测试用例．通过雷达波束调度软件可靠性测试表明，按所提模型在各测试周期生成的测试用例集的框架稳定性比较好，测试用例极少出现重复现象，它综合了操作剖面模型和Markov链模型的优点，可用于开发实时控制系统的软件可靠性测试用例．     

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。