基于全局行为特征的未知恶意文档检测

相比于基于宏的恶意办公文档,基于漏洞利用的恶意办公文档在攻击过程中往往不需要目标交互,能在目标无感的情况下完成攻击,已经成为APT攻击的重要手段,因此检测基于漏洞利用特别是未知漏洞利用的恶意文档对于发现APT攻击具有重要作用。当前的恶意文档检测方法主要围绕PDF文档展开,分为静态检测和动态检测两类,静态检测方法容易被攻击者规避,且无法发现基于远程载荷触发的漏洞利用,动态检测方法仅考虑PDF中JavaScript脚本或文档阅读器进程的行为特征,忽视了针对系统其他进程程序的间接攻击,存在检测盲区。针对上述问题,本文分析了恶意办公文档的攻击面,提出恶意文档威胁模型,并进一步实现一种基于全局行为特征的未知恶意文档检测方法,在文档处理过程中提取全系统行为特征,仅训练良性文档样本形成行为特征库用于恶意文档检测,并引入敏感行为特征用于降低检测误报率。本文在包含DOCX、RTF、DOC三种类型共计522个良性文档上进行训练获取行为特征库,然后在2088个良性文档样本和211个恶意文档样本上进行了测试,其中10个恶意样本为手动构造用于模拟几种典型的攻击场景。实验结果表明该方法在极低误报率(0.14%)的情况下能够检测出所有的恶意样本,具备检测利用未知漏洞的恶意文档的能力,进一步实验表明该方法也能够用于检测针对WPS Office软件进行漏洞利用的恶意文档。     

基于PSO-KM聚类分析的通信网络恶意攻击代码检测方法

恶意代码的快速发展严重影响到网络信息安全,传统恶意代码检测方法对网络行为特征划分不明确,导致恶意代码检测的结果不够精准,研究基于PSO-KM聚类分析的通信网络恶意攻击代码检测方法。分析通信网络中恶意攻击代码的具体内容,从网络层流动轨迹入手提取网络行为,在MFAB-NB框架内确定行为特征。通过归一化算法选择初始处理中心,将分类的通信网络行为特征进行归一化处理,判断攻击速度和位置。实时跟进通信网络数据传输全过程,应用适应度函数寻求恶意代码更新最优解。基于PSO-KM聚类分析技术构建恶意代码数据特征集合,利用小批量计算方式分配特征聚类权重,以加权平均值作为分配依据检测恶意攻击代码,实现检测方法设计。实验结果表明：在本文方法应用下对恶意攻击代码检测的正确识别率可以达到99%以上,误报率可以控制在0.5%之内,具有应用价值。     

面向APT家族分析的攻击路径预测方法研究

近年来, 针对政府机构、工业设施、大型公司网络的攻击事件层出不穷, 网络空间安全已成为事关国家稳定、社会安定和经济繁荣的全局性问题。高级持续威胁(Advanced Persistent Threat, APT)逐渐演化为各种社会工程学攻击与零日漏洞利用的综合体, 已成为最严重的网络空间安全威胁之一, 当前针对 APT 的研究侧重于寻找可靠的攻击特征并提高检测准确率, 由于复杂且庞大的数据很容易将 APT 特征隐藏, 使得获取可靠数据的工作难度大大增加, 如何尽早发现 APT 攻击并对 APT 家族溯源分析是研究者关注的热点问题。基于此, 本文提出一种 APT 攻击路径还原及预测方法。首先, 参考软件基因思想, 设计 APT 恶意软件基因模型和基因相似度检测算法构建恶意行为基因库, 通过恶意行为基因库对样本进行基因检测, 从中提取出可靠的恶意特征解决可靠数据获取问题; 其次, 为解决APT攻击路径还原和预测问题, 采用隐马尔可夫模型(HMM)对APT恶意行为链进行攻击路径还原及预测, 利用恶意行为基因库生成的特征构建恶意行为链并估计模型参数, 进而还原和预测 APT 攻击路径, 预测准确率可达 90%以上; 最后, 通过 HMM 和基因检测两种方法对恶意软件进行家族识别, 实验结果表明, 基因特征和 HMM 参数特征可在一定程度上指导入侵检测系统对恶意软件进行识别和分类。     

基于Serverless的反溯源技术应用研究

随着网络逐渐成为意识形态较量的主战场,攻防双方的技术手段在不断博弈中日渐精进,现有的反溯源手段无法避免防守方多维多技术的溯源手段,更易被防守方溯源反制。该文提出了一种基于Serverless的反溯源技术应用思路,利用Serverless的事件驱动和自动伸缩特性,使得用户在请求目标时,自动调用不同可用区域的IP地址,以此达到隐藏自身真实IP的目的。同时,由于Serverless实现应用开发与服务器分离,攻击者可直接进行攻击代码编写,也更加利于隐藏身份。通过利用Serverless中的云函数和CobaltStrike软件进行试验验证其可行性,发现其能很好地隐藏攻击源,防守方无法溯源到真实的攻击源。同时从防守方角度,详细分析流量特征,基于特征值和访问统计特征两个维度,构建攻击检测模型。通过模拟实际攻击行为和正常业务行为,验证了检测模型能够很好地发现攻击行为,并能区分攻击行为和正常业务行为,在一定程度上可以减少误报,降低对正常业务的影响,提高安全事件的处置效率,为防守方的入侵检测提供了检测思路。     

恶意邮件智能监测与溯源技术研究

近年因电子邮件安全问题引起的恶性网络事件影响范围越来越广、造成后果越来越恶劣。传统邮件监测技术无法应对高级持续性威胁。基于此,提出新一代智能恶意邮件监测与溯源的系统框架,将多元行为分析、威胁情报溯源、动态沙箱检测、深度样本意图分析等智能化威胁感知和邮件监测技术应用在恶意邮件监测与溯源系统中。通过人工智能技术将几百种基于知识工程的邮件安全元素与威胁、业务模型关联建模,使系统具备更智能的威胁感知能力和更准确的恶意邮件检测率。同时,通过邮件样本溯源技术,系统可以进一步溯源恶意邮件的来源和相关的黑客组织。     

面向后渗透攻击行为的网络恶意流量检测研究

现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。     

基于信任计算的车载命名数据网络安全机制

命名数据网络是一种以内容为中心的网络，将命名数据网络应用于车联网形成车载命名数据网络能够有效解决车联网中传统TCP/IP通信带来的局限性。然而车载命名数据网络同样面临安全风险，尤其是兴趣包洪泛攻击和开关攻击严重影响了车载命名数据网络的信息共享和安全通信。本文针对上述攻击提出一种基于信任计算的车载命名数据网络安全机制（TSSRA），首先通过分析攻击行为对网络的影响，提取识别恶意行为的特征值，然后基于特征值设计一种信任计算方法，通过评估节点的信任值区分恶意行为和合法行为。仿真实验表明，本文提出的安全机制有效抑制能恶意节点的恶意行为，增强网络的安全性，确保网络安全高效的运行。     

基于多层次行为差异的沙箱逃逸检测及其实现

针对单一沙箱检测模式较为固定、易被恶意样本逃逸的问题,分析了当前恶意软件沙箱逃逸典型技术,提出了一种恶意样本逃逸行为检测框架。对恶意样本在不同层次的沙箱以及真实环境中生成的文件操作、网络通信、进程操作、注册表操作等行为进行记录,进行特征筛选以及标准化处理,通过Jaccard相似度算法来比较行为之间的相似度差异,进行层次划分并判定恶意样本逃逸行为。实验结果显示,整体准确率为95.6%,检出率为90.1%,同时误报率低于5%,可以检测多种已知和未知逃逸行为,通过进一步分析可定位到样本具体逃逸行为。     

基于静态行为特征的细粒度Android恶意软件分类

由于Android系统的开放性,恶意软件通过实施各种恶意行为对Android设备用户构成威胁。针对目前大部分现有工作只研究粗粒度的恶意应用检测,却没有对恶意应用的具体行为类别进行划分的问题,提出了一种基于静态行为特征的细粒度恶意行为分类方法。该方法提取多维度的行为特征,包括API调用、权限、意图和包间依赖关系,并进行了特征优化,而后采用随机森林的方法实现恶意行为分类。在来自于多个应用市场的隶属于73个恶意软件家族的24 553个恶意Android应用程序样本上进行了实验,实验结果表明细粒度恶意应用分类的准确率达95.88%,综合性能优于其它对比方法。     

一种更安全的基于智能卡的多服务器身份认证方案研究

随着网络和通讯技术的发展,多服务器的身份认证问题成为近几年研究的重点。针对Chuang等人提出的基于生物特征的多服务器密钥认证方案存在的安全性不足等问题,Wang等人进行了改进,但是仍未解决不同服务器密钥相同造成的恶意攻击和伪造攻击等问题。因此,本文提出了一种更安全的基于智能卡的多服务器身份认证方案。该方案在服务器注册阶段,将高熵秘密数与服务器的ID进行计算再重新分配给服务器,使得不同的服务器具有不同的密钥。最后通过五个方案功能和性能比较分析,得出改进方案比前三种方案时间上分别缩短了16.67%、20%、28.57%,且能有效阻止恶意服务器攻击、伪造攻击、重放攻击和中间人攻击等多种攻击,安全性得到了提高,满足实际网络的高可靠性需求。     

深度学习赋能的恶意代码攻防研究进展

深度学习赋能的恶意代码攻防研究已经成为网络安全领域中的热点问题.当前还没有针对这一热点问题的相关综述,为了及时跟进该领域的最新研究成果,本文首先分析并总结了恶意代码攻击的一般流程.基于该攻击流程,本文对深度学习的赋能攻击点和赋能防御点进行了定位,将深度学习助力攻击的技术分为5类:(1)基于对抗样本生成的自动化免杀;(2)基于自然语言生成的自动化网络钓鱼;(3)基于神经网络的精准定位与打击;(4)基于生成对抗网络的流量模仿;(5)基于黑盒模型的攻击意图隐藏,并将深度学习助力防御的新型技术分为3类:(1)基于深度学习的恶意代码查杀;(2)自动化网络钓鱼识别;(3)深度学习赋能的恶意行为检测;其次,基于以上分类,本文对恶意代码攻防研究中的前沿技术进行了综述,并从技术原理、实际可行性、发展趋势等不同的角度对这些技术进行了深入剖析;再者,由于深度学习的伴生安全问题与其在恶意代码攻防领域的赋能安全问题紧密相关,本文对其中代表性的模型后门攻击与防御的相关技术也进行了关注;之后,本文分析并总结了当前深度学习赋能的恶意代码攻防研究领域中的主要研究方向,并对其未来的发展趋势进行了讨论;最后,深度学习赋能的恶意代码攻防研究才刚刚起步,基于恶意代码攻击链的更多可能的赋能攻击与防御点有待研究者继续探索和发掘.此外,深度学习助力恶意代码攻防的一大挑战是数据集的限制,如何建立有效、公开的数据集供研究者使用,这也是一个非常值得思考和研究的问题.     

基于云计算的恶意软件攻击行为自主防护仿真

针对传统恶意软件攻击行为自主防护未能识别出恶意软件的数据特征,导致自主防护能力较差的问题,提出一种基于云计算的恶意软件攻击行为自主防护方法,通过Fourier变换方法利用滤波后网络数据得到振荡衰减规律,通过振荡衰减规律获取信息传输过程网络输出解析模型,获得高阶累积量切片函数;采用高阶累积量后置搜索方法对网络输出解析模型进行搜索,全面识别恶意软件攻击行为数据特征,通过FIR滤波方法处理云计算环境下网络数据,对网络数据干扰抑制;将恶意软件攻击行为数据特征通过向量序列形式表示,选取平方预测误差方法求解向量序列,将大于平方预测误差门限值的数据作为恶意软件攻击行为特征进行自主防护。仿真结果表明,恶意软件攻击行为自主防护性能较强。     

Using ontologies to perform threat analysis and develop defensive strategies for mobile security

Existing studies on the detection of mobile malware have focused mainly on static analyses performed to examine the code-structure signature of viruses, rather than the dynamic behavioral aspects. By contrast, the unidentified behavior of new mobile viruses using the self-modification, polymorphic, and mutation techniques for variants have largely been ignored. The problem of precision regarding malware variant detection has become one of the key concerns in mobile security. Accordingly, the present study proposed a threat risk analysis model for mobile viruses, using a heuristic approach incorporating both malware behavior analysis and code analysis to generate a virus behavior ontology associated with the Protégé platform. The proposed model can not only explicitly identify an attack profile in accordance with structural signature of mobile viruses, but also overcome the uncertainty regarding the probability of an attack being successful. This model is able to achieve this by extending frequent episode rules to investigate the attack profile of a given malware, using specific event sequences associated with the sandbox technique for mobile applications (apps) and hosts. For probabilistic analysis, defense evaluation metrics for each node were used to simulate the results of an attack. The simulations focused specifically on the attack profile of a botnet to assess the threat risk. The validity of the proposed approach was demonstrated numerically by using two malware cyber-attack examples. Overall, the results presented in this paper prove that the proposed scheme offers an effective countermeasure, evaluated using a set of security metrics, for mitigating network threats by considering the interaction between the attack profiles and defense needs.     

基于能量有限型无线传感网的恶意软件攻防优化策略

本文针对目前无线传感网络中恶意软件模型化工作的不足,从攻击与防御角度出发,考虑了攻击扫描速率对于攻防优化策略的不同意义,同时考虑了无线传感节点能量有限的特征,在传统恶意软件传播模型的基础上提出了一种改进的无线传感网络恶意软件攻防优化模型。该模型在传统SIR传播模型基础上进行扩展,考虑了免疫与修复的不同因素,最终给出了攻防优化评估方案。通过仿真实验表明,该攻防优化评估方案能够高效地描述攻击扫描参数对恶意软件在无线传感网络中攻击与防御各自效果最大化的关键影响。     

StealthyFlow:一种对抗条件下恶意代码动态流量伪装框架

恶意代码问题使国家安全面临严重威胁.随着TLS协议快速普及,恶意代码呈现出流量加密化的趋势,通信内容加密导致检测难度的进一步提高.本文提出一种恶意代码流量伪装框架StealthyFlow,以采用加密流量进行远控通信的公共资源型恶意代码与GAN结合,对恶意流量进行不影响攻击功能的伪装,旨在实现伪装后的对抗流量与良性流量的不可区分性,进而绕过基于机器学习算法的分类器.StealthyFlow具有如下优势:根据目标流量的变化动态调整对抗流量,实现动态流量伪装;伪装在恶意代码层面进行,保证攻击功能不被破坏;绕过目标不参与训练过程,保证恶意代码不会提前暴露.实验结果表明,StealthyFlow产生的攻击流量与良性流量相似度极高,在对抗环境中可以绕过机器学习分类器.因此,需要对此种恶意代码提起注意,并尽快研究防御对策.     

基于沙盒技术的恶意程序检测模型

计算机恶意程序引发的犯罪活动越来越多,因此,恶意程序的有效检测成为了人们研究和关注的焦点。基于 沙盒技术的恶意程序动态分析检测方法成为了目前研究的热点。利用改进的QEMU进程虚拟机,以获取更高的仿真 响应时间和完整的API序列流为目的,基于改进的攻击树提出了一个行为分析算法,并用实例加以说明。实验结果 证明提出的检测方法是可行的、有效的。     

融合多特征的Android恶意软件检测方法

针对当前基于机器学习的Android恶意软件检测方法特征构建维度单一,难以全方位表征Android恶意软件行为特点的问题,文章提出一种融合软件行为特征、Android Manifest.xml文件结构特征和Android恶意软件分析经验特征的恶意软件检测方法。该方法提取Android应用的Dalvik操作码N-gram语义信息、系统敏感API、系统Intent、系统Category、敏感权限和相关经验特征,多方位表征Android恶意软件的行为并构建特征向量,采用基于XGBoost的集成学习算法构建分类模型,实现对恶意软件的准确分类。在公开数据集DREBIN和AMD上进行实验,实验结果表明,该方法能够达到高于97%的检测准确率,有效提升了Android恶意软件的检测效果。     

基于One-Hot的CNN恶意代码检测技术

恶意软件的爆炸性增长,以及对用户机和网络环境造成的严重威胁,逐渐成为了网络空间安全领域的主要矛盾。当前传统的基于特征码的静态扫描技术和基于软件行为的恶意软件检测技术容易产生误报和漏报,渐渐无法满足信息安全领域的新要求。为了解决这些问题,提出基于卷积神经网络CNN的恶意代码检测技术。利用Cuckoo沙箱系统来模拟运行环境并提取分析报告;通过编写Python脚本对分析报告进行预处理;搭建深度学习CNN训练模型来实现对恶意代码的检测,并将其与机器学习以及常见的杀毒软件进行比较。实验结果表明,该方法在相比之下更具有优势,并且取得了较好的检测效果,具有更高的可行性。     

基于攻防博弈和随机Petri网的DDoS攻防对抗评估

为了对DDoS攻防行为进行有效评估以防御DDoS攻击,本文首先对DDoS攻防评估研究现状进行了分析,然后基于随机Petri网建立了DDoS攻防行为对抗网,提出了以攻防稳态概率作为攻防行为评估的依据,紧接着基于攻防博弈提出了攻防博弈策略求解方法,最后对本文所建立的DDoS攻防行为对抗网进行稳态分析并综合考虑攻防行为收益和攻防行为强度两方面因素进行了仿真评估,评估结果表明本文方法更具合理性和针对性.