一种基于综合行为特征的恶意代码识别方法

基于行为的分析方法是恶意代码检测技术的发展方向,但现有的以孤立行为特征为依据的恶意代码识别方法误报率较高,本文提出了一种基于代码综合行为特征的恶意代码检测方法-IBC-DA.该算法通过改造的攻击树模型描述恶意代码执行过程中各相关主体间的关系,在此基础上计算得到的恶意性权值能够更加准确地反映代码执行过程对系统的影响.实验表明,利用本文算法进行病毒检测具有较低漏报率和误报率,并对未知恶意代码的防范具有积极意义.     

基于代码进化的恶意代码沙箱规避检测技术研究

为了对抗恶意代码的沙箱规避行为,提高恶意代码的分析效率,该文提出基于代码进化的恶意代码沙箱规避检测技术。提取恶意代码的静态语义信息和动态运行时信息,利用沙箱规避行为在代码进化过程中所产生的动静态语义上的差异,设计了基于相似度差异的判定算法。在7个实际恶意家族中共检测出240个具有沙箱规避行为的恶意样本,相比于JOE分析系统,准确率提高了12.5%,同时将误报率降低到1%,其验证了该文方法的正确性和有效性。     

基于特征聚类的海量恶意代码在线自动分析模型

针对传统海量恶意代码分析方法中自动特征提取能力不足以及家族判定时效性差等问题,通过动静态方法对大量样本行为构成和代码片段分布规律的研究,提出了基于特征聚类的海量恶意代码在线自动分析模型,包括基于API行为和代码片段的特征空间构建方法、自动特征提取算法和基于LSH的近邻聚类算法。实验结果表明该模型具有大规模样本自动特征提取、支持在线数据聚类、家族判定准确率高等优势,依据该模型设计的原型系统实用性较强。     

动态代码的实时可信传递研究

 基于可信计算技术的恶意代码防范机制可以弥补传统杀毒方式对未知恶意代码防范能力的不足,但是软件自动在线升级和补丁安装会生成和调用未知的动态代码,对这些动态代码的实时可信判定问题阻碍了可信计算技术的应用普及.动态代码实时可信判定和可信传递方法(Trust Determination and Transitivity Method of Dynamic codes,TDTMD)从代码的调用环境和调用方式出发,对动态代码的来源是否可信进行判定,进而对动态代码是否可信进行判断.TDTMD可以在保证应用软件和系统的运行连续性前提下,提供对各种已知或未知恶意代码攻击的有效防范能力.TDTMD的原型系统及其实验结果表明,它对系统的运行性能影响较小,并且安全有效.     

基于调用习惯的恶意代码自动化同源判定方法

恶意代码同源判定对作者溯源、攻击事件责任判定、攻击场景还原等研究工作具有重要作用。目前恶意代码同源判定方法往往依赖人工分析,效率低下,为此,提出一种基于调用习惯的恶意代码自动化同源判定方法。该方法基于7类调用行为,使用数据挖掘算法构建作者编程习惯模型,基于频繁项离群检测算法计算同源度,利用K均值聚类算法选择同源判定阈值,进而实现恶意代码同源判定。实验结果表明,该方法具有99％以上的准确率和可接受的召回率。     

一种抗混淆的恶意代码变种识别系统

恶意代码变种是当前恶意代码防范的重点和难点.混淆技术是恶意代码产生变种的主要技术,恶意代码通过混淆技术改变代码特征,在短时间内产生大量变种,躲避现有基于代码特征的恶意代码防范方法,对信息系统造成巨大威胁.本文提出一种抗混淆的恶意代码变种识别方法,采用可回溯的动态污点分析方法,配合触发条件处理引擎,对恶意代码及其变种进行...     

Android恶意代码的逆向分析

本文主要研究基于逆向工程的Android应用程序中恶意代码的分析方法。首先,通过逆向工程得到Android应用程序的Java源代码和资源文件,然后根据源代码分析程序的功能、结构;根据manifest资源文件分析程序组件的各种权限,再结合恶意代码的行为特征判断是否存在恶意代码及其危害。也可以据此方法研究Android系统受攻击的原因及防御办法并进一步发现恶意代码的特征。     

一种基于深度学习的强对抗性Android恶意代码检测方法

针对现有Android恶意代码检测方法容易被绕过的问题,提出了一种强对抗性的Android恶意代码检测方法.首先设计实现了动静态分析相结合的移动应用行为分析方法,该方法能够破除多种反分析技术的干扰,稳定可靠地提取移动应用的权限信息、防护信息和行为信息.然后,从上述信息中提取出能够抵御模拟攻击的能力特征和行为特征,并利用一个基于长短时记忆网络（Long Short-Term Memory,LSTM）的神经网络模型实现恶意代码检测.最后通过实验证明了本文所提出方法的可靠性和先进性.     

基于改进型循环神经网络的恶意代码分类检测

近年来,随着恶意代码检测技术的提升,网络攻击者开始倾向构建能自重写和重新排序的恶意代码,以避开安全软件的检测。传统的机器学习方法是基于安全人员自主设计的特征向量来判别恶意代码,对这种新型恶意代码缺乏检测能力。为此,文中提出了一种新的基于代码时序行为的检测模型,并采用回声状态网络、最大池化和半帧结构等方式对神经网络进行优化。与传统的检测模型相比,改进后的模型对恶意代码的检测率有大幅提升。     

绘制恶意网站地图

在过去的几年里，网络犯罪分子越来越将注意力集中于一个问题，那就是寻找将恶意代码嵌入合法网站的方法。通常，他们会将一段恶意代码嵌入某网页的可编辑部分，然后使用此代码从该网页的其他部分发送有害的内容。但是这种行为非常难被发现，因为很多网站也越来越多地从一些外部网站引入合法的内容，比如广告、视频，或一小段代码等。