基于近邻关系特征的多态蠕虫防御方法

结合多态蠕虫的特点,着重考虑负载字节之间的关系,将蠕虫负载内部的近邻关系特征(NRS,neighbor-hood-relation signature)提取出来用于蠕虫检测。NRS建立在蠕虫负载内部相邻字节之间关系的基础上,体现了某些多态蠕虫各形态之间的共性特征,能够更灵活地对多态蠕虫进行检测。设计了NRSGA(NRS generating algorithm)算法来提取1-NRS、2-NRS和(1,2)-NRS,并分别进行了实验,以测试特征提取过程的正确性和NRS检测蠕虫的有效性。实验结果表明,与其他方法相比,NRS在检测多态蠕虫时具有更低的漏报率,能够更好地防御多态蠕虫的传播。     

基于通信特征分析的蠕虫检测和特征提取方法的研究

提出了一种基于通信特征分析的蠕虫检测与特征提取技术，在解析蠕虫传播过程中特有的通信模式的基础上，评估通信特征集合问的相似度，通过检测传染性来检测蠕虫，这种方法具有更高的检测精度、通用性和适应性。在此基础上设计了启发式检测体系结构，利用盲目跟踪、意向跟踪和锁定跟踪从通信协议、通信序列和通信内容3个层次逐级排除非蠕虫通信，筛选出蠕虫报文组，提取出蠕虫特征码。这种技术大幅缩减了采集量和分析量，能在高强度背景噪声的干扰快速检测蠕虫并提取出相应的特征。     

基于网络的攻击特征自动提取系统框架设计

文中按蠕虫发展进程研究各种情况下的特征自动提取系统,在对蠕虫特征自动提取技术进行综述的基础上,指出攻击特征自动提取技术存在的不足与发展趋势,并提出了基于网络的攻击特征自动提取系统框架。该框架具有模块清晰、低耦合、易扩展等特点。     

分布式蠕虫流量检测技术

分析了网络蠕虫病毒的传播特点和已有的检测方法,针对慢速传播蠕虫病毒,提出了基于流量异常传播序列的检测算法,并通过分布式系统结构,综合多个子网的检测结果,进一步提高检测准确率。模拟实验证明：该算法可以根据流量特征,在蠕虫病毒慢速传播的早期检测到该病毒的传播行为,并获得传播所用网络协议和目标端口。     

基于FPGA的硬件蠕虫检测系统的设计与实现

分析了现有的蠕虫检测算法的优缺点,提出了基于数据包统计的蠕虫检测算法。该算法简单有效,适合硬件实现。同时设计了一个硬件蠕虫检测系统,最终在FPGA上实现,并对其进行了仿真与综合,验证了设计的正确性。本检测系统适合用于嵌入网卡,实时监测蠕虫,所以该基于FPGA的硬件蠕虫检测系统对蠕虫的检测和抑制具有积极的意义。     

集中受控式蠕虫有限繁殖算法

蠕虫有限繁殖技术在分布式计算应用和对抗蠕虫研究中具有重要的意义。文章在分析现有的有限繁殖算法研究基础上,提出集中受控式蠕虫有限繁殖算法,建立蠕虫有限繁殖的数学模型,并通过基于无尺度网络模型的蠕虫繁殖仿真验证了算法的正确性,最后进行了算法的性能比较。该算法提高了蠕虫有限繁殖的准确性,减小了蠕虫有限繁殖对网络的影响。     

红外图像中人体目标检测技术研究

针对红外序列图像中人体目标检测问题,采用了基于特征点的特征区域提取方法,先用FAST算法快速提取特征点,然后基于提取出的特征点,使用LBP算法提取特征区域,在得到感兴趣的特征区域（ROI区域）后,用对ROI区域进行基于离散小波变换的小波熵特征提取,并采用复合分类方法对ROI区域进行分类,利用此方法有效地将人体目标从红外序列图像中检测出来。     

蠕虫建模仿真及检测技术研究进展

计算机网络蠕虫作为当前互联网所面临的最为严重的安全威胁之一,对其进行细致的研究显得尤为重要。为了体现网络蠕虫技术研究方面的最新成果,针对当前网络蠕虫技术研究领域的热门方向,整理并分析了蠕虫传播模型和蠕虫软件仿真技术等方面的研究思路和成果,并对多种新型的网络蠕虫检测技术进行了分析和评估。最后根据研究结果,对网络蠕虫技术研究的新方向进行了总结与展望。     

利用图像区域自然尺度特征的海面舰船目标检测

为了提高动态海面背景中目标的检测性能,提出了一种新的基于图像区域自然尺度特征的海面舰船目标检测算法.算法将一维信号的自然尺度特征提取方法拓展到二维图像信号,通过相空间重构和分类,提取了图像灰度时间序列的自然尺度特征.利用BP神经网络,得到背景与目标自然尺度特征的辨识模型,然后对图像序列的自然尺度进行分类,检测得到舰船目...     

基于Windows主机的未知蠕虫主动检测系统

相对于传统的反病毒软件,本研究提出了一种新的基于主机的蠕虫检测系统.这种新的检测方法通过分析监测已知蠕虫病毒对计算机性能参数造成的影响,对未知的蠕虫进行判决检测,达到网络预警的效果.我们通过监测主机的323个系统特征计数器以反应计算机的性能特征,并利用自行设计的对比特征选择系统对原始数据进行预处理.本研究采用贝叶斯网络分类算法对带有标签的各训练数据子集进行分类训练,产生用以判决未知蠕虫的分类判决规则.在模拟计算机各种应用状态下,我们在搭建的实验局域网上对这种新的监测系统进行测试评估.本研究提出的检测系统对采集的未知网络蠕虫达到80%以上的判决准确率,对已知蠕虫有着99%以上的检测准确率,有着很高的实用性和推广性.     

模型检验下蠕虫病毒检测器的设计与实现

现在蠕虫病毒检测技术主要是基于病毒特征库,通过特征码的匹配来确定。这种方法的主要缺点是病毒特征库的更新总是滞后于病毒的发布,实时性效果较差。这里提出了一种新的方法,采用模型检验技术的方法,结合蠕虫病毒的入侵原理,改进计算逻辑树的规范设计,从汇编代码层面对蠕虫病毒行为进行特征提取,有效建模,实验结果显示这种方法能够有效地检测蠕虫病毒及其变种。     

基于自动特征提取的大规模网络蠕虫检测

蠕虫由于传播速度很快在网络中造成了严重的危害,对蠕虫进行自动的快速检测成了一项必需的研究。研究了在大规模网络中,利用流量异常发现模块从网络中发现异常数据集,然后自动进行特征提取,进而将特征更新到特征检测的特征库中进行特征检测的方法,实现对未知蠕虫的检测。本系统能够快速地发现新的疫情,作为蠕虫的自动防御的基础。     

蠕虫正则表达式特征自动提取技术研究

提出一种实用的蠕虫正则表达式特征自动提取方法,该方法由蠕虫传播网络流样本获取、特征树生成、高假阳性特征剔除、特征融合这4步组成。该方法的优点是可输出具有强描述能力的包含“.*”、“.{k}”、“|”、“(c){k}”等元字符的正则表达式特征。基于蜜罐系统Honeybow实现了该方法,并针对互联网上数种真实蠕虫进行了实验。实验结果表明,该方法可以准确地提取真实蠕虫的正则表达式特征,可以在蜜罐、蠕虫及恶意代码分析等系统中应用。     

Internet worm early detection and response mechanism

In recent years, fast spreading worm has become one of the major threats to the security of the Internet and has an increasingly fierce tendency.In view of the insufficiency that based on Kalman filter worm detection algorithm is sensitive to interval, this article presents a new data collection plan and an improved worm early detection method which has some deferent intervals according to the epidemic worm propagation model, then proposes a worm response mechanism for slowing the wide and fast worm propagation effectively.Simulation results show that our methods are able to detect worms accurately and early.     

Malware variants detection based on ensemble learning

Application programming interface (API) is a procedure call interface to operation system resource. API-based behavior features can capture the malicious behaviors of malware variants. However, existing malware detection approaches have a deal of complex operations on constructing and matching. Furthermore, graph matching is adopted in many approaches, which is a nondeterministic polynominal (NP)-complete problem because of computational complexity. To address these problems, a novel approach is proposed to detect malware variants. Firstly, the API of the malware are divided by their functions and parameters. Then, the classified behavior graph (CBG) is constructed from the API call sequences. Finally, the signature based on CBGs for each malware family is generated. Besides, the malware variants are classified by ensemble learning algorithm. Experiments on 1 220 malware samples show that the true positive rate (TPR) is up to 89.0% with the low false positive rate (FPR) 3.7% by ensemble learning.     

物联网恶意代码传播模型研究

Nowadays, the main communication object of Internet is human-human. But it is foreseeable that in the near future any object will have a unique identification and can be addressed and connected. The Internet will expand to the Internet of Things. IPv6 is the cornerstone of the Internet of Things. In this paper, we investigate a fast active worm, referred to as topological worm, which can propagate twice to more than three times faster than a traditional scan-based worm. Topological worm spreads over AS-level network topology, making traditional epidemic models invalid for modeling the propagation of it. For this reason, we study topological worm propagation relying on simulations. First, we propose a new complex weighted network model, which represents the real IPv6 AS-level network topology. And then, a new worm propagation model based on the weighted network model is constructed, which describes the topological worm propagation over AS-level network topology. The simulation results verify the topological worm model and demonstrate the effect of parameters on the propagation.