Web网页恶意代码的分析与防治

本介绍何为Web网页恶意代码；探讨Web网页恶意代码产生的原因及其与计算机病毒的区别；对典型的Web网页恶意代码进行分析并提出处理方法；探讨了如何防范Web网页恶意代码。     

内核驱动的轻量级动态二进制程序分析框架

如今网络攻击活动越来越复杂,为更好地实现防御与溯源等目标,需对攻击代码进行深度分析。同时攻击影响也从桌面终端扩大到路由器、智能家居等物联网设备,新场景需要有轻量化和易部署的程序分析方法。为应对攻击活动分析新形势,提出一种系统内核驱动的轻量级二进制程序分析框架,通过合理利用操作系统实现机制对程序进行动态拦截,从而对目标程序进行细粒度动态分析。在此基础上结合内核特性提出一种优化的动态数据流分析方法,可进一步提升程序细粒度分析能力。通过采用基准程序和实际程序进行大量实验,验证了所提出方法的有效性和较好的分析性能,实验表明分析框架具有较好的可部署性和应用价值。     

计算机恶意代码利用网络传播的形式及防御策略

网络安全是一个涉及诸多学科的综合性的课题，涉及技术、管理、使用等许多方面，一种技术只能解决一方面的安全问题。随着网络及其应用的广泛发展，恶意代码的通过网络传播的途径越来越多，处理难度也越来越大。这就要求我们对网络攻击的行为有更进一步的研究，有针对性的建立防范安全策略，构建一个全面的、可靠的、高效的网络安全屏障来防御各种网络攻击。     

基于网络传播的计算机恶意代码及防御策略研究

Intemet的普及给恶意代码的传播提供了有利条件，同时恶意代码层出不穷、传播速度加快，给信息系统的安全造成了严重威胁。本文主要分析研究了基于网络传播的计算机恶意代码的传播模式和防御策略。     

基于CDC的良性蠕虫对抗蠕虫的建模与分析

根据建立CDC(center for disease control)的思想,设计了基于CDC的良性蠕虫的部署以及响应机制.并且对于基于CDC的良性蠕虫对抗蠕虫的过程进行了数学建模.最后,对该模型进行了仿真试验.通过仿真结果,总结了影响CDC良性蠕虫对抗蠕虫传播的两个因素:响应时间和探针的蠕虫检测率.基于CDC的良性蠕虫的传播模型可以使得人们更好地理解以及预测良性蠕虫对抗蠕虫的速度以及规模.     

基于BiTCNSA的恶意代码分类方法

当前恶意代码的对抗技术不断变化，恶意代码变种层出不穷，使恶意代码分类问题面临严峻挑战。针对目前基于深度学习的恶意代码分类方法提取特征不足和准确率低的问题，提出了基于双向时域卷积网络(BiTCN)和自注意力机制(Self-Attention)的恶意代码分类方法(BiTCNSA)。该方法融合恶意代码操作码特征和图像特征以展现不同的特征细节，增加特征多样性。构建BiTCN对融合特征进行处理，充分利用特征的前后依赖关系。引入自注意力机制对数据权值进行动态调整，进一步挖掘恶意代码内部数据间的关联性。在Kaggle数据集上对模型进行验证，实验结果表明:该方法准确率可达99.75%，具有较快的收敛速度和较低的误差。     

基于Windows API调用序列的恶意代码检测方法

为解决现有恶意代码检测方法存在的特征提取能力不足、检测模型泛化性弱的问题，提出了一种基于Windows API调用序列的恶意代码检测方法.使用N-gram算法和TF-IDF算法提取序列的统计特征，采用Word2Vec模型提取语义特征，将统计特征和语义特征进行特征融合，作为API调用序列的特征.设计了基于Stacking的三层检测模型，通过多个弱学习器构成一个强学习器提高检测模型性能.实验结果表明，提出的特征提取方法可以获得更关键的特征，设计的检测模型的准确率、精确率、召回率均优于单一模型且具有良好的泛化性，证明了检测方法的有效性.     

恶意代码的分析与检测技术的研究

随着网络技术的飞速发展,恶意代码严重威胁着计算机及网络安全。病毒、蠕虫等恶意代码不断变种,快速传播,信息安全受到了巨大的挑战,恶意代码分析及检测问题成为当前网络研究工作的重点。本文在分析恶意软件相关理论基础上,探讨了恶意代码分析技术和分析工具相关问题。     

手机僵尸网络研究

手机僵尸网络是桌面系统僵尸网络在手机领域的延伸和发展,同属于广义僵尸网络的一个子集．随着智能手机的日渐普及和3G网络的成熟,基于手机构建的僵尸网络正从萌芽期进入到快速发展阶段,对手机用户的财产和隐私安全带来前所未有的威胁．我们在分析手机僵尸网络的特征和发展现状的基础上分析其使用的关键技术．最后我们对手机僵尸网络的发展方向进行了预测．     

采用函数调用关系的注入型Android恶意应用检测

针对注入型Android恶意应用日益泛滥、传统检测方法依赖大量已知特征的问题,提出了采用函数调用关系的注入型Android恶意应用检测方法。该方法无须依赖大量已知特征,仅通过分析注入型Android恶意应用的自身结构特征即可实现对该类恶意应用的有效检测,并能够实现对未知恶意代码家族的识别。所提方法在smali代码的基础上构建函数调用关系图,并进一步进行子图划分,通过判定各子图威胁度确定是否存在恶意行为。检测过程无需动态行为分析辅助,因此分析检测时间短、效率高。该方法不仅可以检测出Android应用是否存在恶意行为,还可根据子图威胁度确定包含恶意行为的具体代码。经过对1 260个Android恶意应用和1 000个正常应用的实验分析发现:所提方法能够很好地检测注入型Android恶意应用,当误报率为8.90%的时候,检测率达到95.94%,相对于主流Android恶意应用检测系统Androguard,检测效果有显著提升。