基于Minifilter的USB设备敏感文件泄露监控系统

终端可移动存储设备上文件信息泄露是一个严重的问题,提出一种基于Windows文件系统微过滤框架(Minifilter)与POI的USB设备敏感文件泄露监控方案。利用Minifilter过滤框架,在可移动存储设备上对文件创建与写入行为进行拦截,实现敏感文件信息泄露监控。分析及实验结果表明,该方法能对USB设备敏感文件信息的泄露有较好的监控与审计。     

一种基于Minifilter的用户透明文档过滤系统研究与设计

面对日益严峻的网络数字文件安全性问题,重点分析了保护数字文件中的机密信息不被非法泄露的文件透明加密技术,介绍了文件加密技术的演变历程、研究现状、未来发展趋势,深入研究了文件透明加密技术采用的主流技术——文件过滤驱动。在此基础上,重点研究了Windows操作系统下的微过滤驱动模型Minifilter,提出了一个基于微过滤驱动开发框架Minifilter的文件透明加密系统模型。实验结果表明,该系统可以根据用户设置的加密规则对文件进行透明加密,有效防止用户文件泄露。     

基于TDI层的动态网络控制技术

本文描述的动态网络控制技术使用基于TDI层的过滤驱动技术实现，可以完成基于进程、IP地址、端口、用户和协议的多元过滤、检测。通过对注册表、文件系统、IDT表、SSDT表等处进行Hook，进行学习，记录程序正常运行时的状态，建立规则，以此对程序异常行为进行监控，实施防火墙联动。最后使用一个缓，中区溢出攻击实验对系统的执行效果进行了检验。     

基于文件过滤驱动的文本数字水印研究与实现

电子文档易于编辑,存储和传输,在提高办公效率的同时也具有数据安全隐患。为了对文件实施加解密保护,防止加密文件被泄露,提出了一种基于文件过滤驱动和数字水印的文件保护方案。首先研究了Minifilter技术的在内核层的加解密原理并使用这项技术开发出微过滤驱动程序。通过对文件I/O请求进行拦截,添加保护功能,对文件数据实施加密保护。接着,结合高级加密标准（AES）算法和海明码编码技术,使用Minifilter技术对无格式文本中的数据进行水印信息的嵌入。最后,实现了基于文件过滤驱动的文本数字水印系统,通过测试表明这个系统可以加强文件数据的安全性,为文本数据提供了更全面的保护,提出的文本水印算法在保证足够水印容量的前提下具有良好的不可见性和鲁棒性。     

面向安卓恶意软件检测的对抗攻击技术综述

随着对Android恶意软件检测精度和性能要求的提高,越来越多的Android恶意软件检测引擎使用人工智能算法。与此同时,攻击者开始尝试对Android恶意软件进行一定的修改,使得Android恶意软件可以在保留本身的功能的前提下绕过这些基于人工智能算法的检测。上述过程即是Android恶意软件检测领域的对抗攻击。本文梳理了目前存在的基于人工智能算法的Android恶意软件检测模型,概述了针对Android恶意软件检测模型的对抗攻击方法,并从特征和算法两方面总结了相应的增强模型安全性的防护手段,最后提出了Android恶意软件检测模型和对抗攻击的发展趋势,并分析了对抗攻击对Android恶意软件检测的影响。     

基于新型VMI技术的内核Rootkit检测方案

随着互联网的发展,当今社会对于信息安全的关注度越来越高。内核级Rootkit能够隐藏自身及恶意软件,对系统安全产生了严重威胁。现有基于虚拟化技术的内核Rootkit检测方案主要针对系统静态Hook进行检测和保护,对基于动态Hook的攻击行为缺乏有效的分析和防御手段。为了解决上述问题,设计并实现了一种基于新型VMI(Virtual Machine Introspection)的检测内核Rootkit的通用系统,对内核静态和动态Hook都能够进行检测和保护。实验表明,系统成功检测出内核级Rootkit对于内核Hook的攻击和篡改,对大量常见的内核Rootkit都有效,同时对于基于动态Hook的攻击行为也能够及时报警,能够有效增强系统对于Rootkit的检测能力。     

基于语义分析的Windows恶意软件检测方法北大核心CSCD

Windows恶意软件严重侵害个人、企业甚至国家安全,为了有效发现新型恶意软件、深入剖析恶意软件的工作机制,文章提出一种基于语义分析的Windows恶意软件检测方法。该方法使用API调用之间的依赖关系描述恶意软件的行为,结合符号执行技术提取API调用依赖图,并将其作为软件的底层行为特征,通过模式发现和匹配方法,将API调用依赖图映射为ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)框架中的攻击技术,反映恶意软件所包含的行为语义。文章构建了支持向量机分类器,将攻击技术特征作为分类器输入进行训练和测试。实验结果表明,文章提出的方法能够有效发现新型恶意软件。     

基于底层数据流分析的恶意软件检测方法

近些年来,层出不穷的恶意软件对系统安全构成了严重的威胁并造成巨大的经济损失,研究者提出了许多恶意软件检测方案。但恶意软件开发中常利用加壳和多态等混淆技术,这使得传统的静态检测方案如静态特征匹配不足以应对。而传统的应用层动态检测方法也存在易被恶意软件禁用或绕过的缺点。本文提出一种利用底层数据流关系进行恶意软件检测的方法,即在系统底层监视程序运行时的数据传递情况,生成数据流图,提取图的特征形成特征向量,使用特征向量衡量数据流图的相似性,评估程序行为的恶意倾向,以达到快速检测恶意软件的目的。该方法具有低复杂度与高检测效率的特点。实验结果表明本文提出的恶意软件检测方法可达到较高的检测精度以及较低的误报率,分别为98.50%及3.18%。     

基于过滤驱动的文件完整性检测技术

通过哈希算法计算和比较文件的摘要,通过文件过滤驱动方式从操作系统底层实现Windows文件完整性实时监控,使得文件完整性检查功能更加健壮。     

基于微过滤驱动的文件透明加解密系统的研究与实现

随着计算机的广泛应用,大量涉密数据被存储在各种存储介质上,我们对数据的安全性有了更高的要求,Windows内核层文件加解密是其中最合适的技术,一直是数据保密的重要手段。首先,Minifilter微过滤驱动模型是Microsoft极力推荐的一种新型过滤器模型,相比Sfilter传统驱动模型,它具有更好的兼容性、稳定性,而且具有更加简洁的开发接口。采用微过滤驱动模型,在Windows内核层实现文件的透明加解密;其次,设计使用Usbkey身份认证和密钥存储的技术,使得密钥分离存储更加安全,系统更加可靠;最后,合理利用进程访问控制策略有选择地对文件进行操作;比较全面、合理地实现了文件加解密系统。     

安全增强型虚拟磁盘加密系统技术

应用文件系统过滤驱动技术,结合审计、防U盘扩散、防缓存泄漏方法,对现阶段流行的虚拟磁盘加密软件的透明加解密方案进行改进,在其虚拟驱动层上增加了旨在提升整体安全性能的文件系统过滤驱动层(下面称之为安全层).针对开源的truecrypt进行测试,结果表明,在Windows各版本操作系统下,对虚拟磁盘加密软件上加入安全层以后,解决了U盘扩散、虚拟磁盘卸载之后缓存泄漏等安全问题,实现了对用户操作的审计监控,能有效增强虚拟磁盘加密软件的安全性能.     

基于图标相似性分析的恶意代码检测方法

据统计，在大量的恶意代码中，有相当大的一部分属于诱骗型的恶意代码，它们通常使用与常用软件相似的图标来伪装自己，通过诱骗点击达到传播和攻击的目的。针对这类诱骗型的恶意代码，鉴于传统的基于代码和行为特征的恶意代码检测方法存在的效率低、代价高等问题，提出了一种新的恶意代码检测方法。首先，提取可移植的执行体（PE）文件图标资源信息并利用图像哈希算法进行图标相似性分析；然后，提取PE文件导入表信息并利用模糊哈希算法进行行为相似性分析；最后，采用聚类和局部敏感哈希的算法进行图标匹配，设计并实现了一个轻量级的恶意代码快速检测工具。实验结果表明，该工具对恶意代码具有很好的检测效果。     

微过滤驱动在终端文档安全保护中的应用

在研究WindowsNT内核操作系统的驱动框架的基础上,基于Minifilter过滤驱动技术以及文档标识技术,设计并实现了一个具有文件安全保护能力的终端文档安全保护系统。该系统既实现了对终端文档的透明标识及透明加密安全保护,又具有对文档访问的策略控制,能有效地防止终端重要信息的泄漏。改进了文档标识技术,将文档密钥嵌入文档标识中,文档标识不仅起到标识文档的作用,也起到了简化密钥管理的作用。     

基于PSO-KM聚类分析的通信网络恶意攻击代码检测方法

恶意代码的快速发展严重影响到网络信息安全,传统恶意代码检测方法对网络行为特征划分不明确,导致恶意代码检测的结果不够精准,研究基于PSO-KM聚类分析的通信网络恶意攻击代码检测方法。分析通信网络中恶意攻击代码的具体内容,从网络层流动轨迹入手提取网络行为,在MFAB-NB框架内确定行为特征。通过归一化算法选择初始处理中心,将分类的通信网络行为特征进行归一化处理,判断攻击速度和位置。实时跟进通信网络数据传输全过程,应用适应度函数寻求恶意代码更新最优解。基于PSO-KM聚类分析技术构建恶意代码数据特征集合,利用小批量计算方式分配特征聚类权重,以加权平均值作为分配依据检测恶意攻击代码,实现检测方法设计。实验结果表明：在本文方法应用下对恶意攻击代码检测的正确识别率可以达到99%以上,误报率可以控制在0.5%之内,具有应用价值。     

面向恶意PDF文档分类的对抗样本生成方法研究CSCD

通过恶意文档来传播恶意软件在现代互联网中是非常普遍的,这也是众多机构面临的最高风险之一。PDF文档是全世界应用最广泛的文档类型,因此由其引发的攻击数不胜数。使用机器学习方法对恶意文档进行检测是流行且有效的途径,在面对攻击者精心设计的样本时,机器学习分类器的鲁棒性有可能暴露一定的问题。在计算机视觉领域中,对抗性学习已经在许多场景下被证明是一种有效的提升分类器鲁棒性的方法。对于恶意文档检测而言,我们仍然缺少一种用于针对各种攻击场景生成对抗样本的综合性方法。在本文中,我们介绍了PDF文件格式的基础知识,以及有效的恶意PDF文档检测器和对抗样本生成技术。我们提出了一种恶意文档检测领域的对抗性学习模型来生成对抗样本,并使用生成的对抗样本研究了多检测器假设场景的检测效果(及逃避有效性)。该模型的关键操作为关联特征提取和特征修改,其中关联特征提取用于找到不同特征空间之间的关联,特征修改用于维持样本的稳定性。最后攻击算法利用基于动量迭代梯度的思想来提高生成对抗样本的成功率和效率。我们结合一些具有信服力的数据集,严格设置了实验环境和指标,之后进行了对抗样本攻击和鲁棒性提升测试。实验结果证明,该模型可以保持较高的对抗样本生成率和攻击成功率。此外,该模型可以应用于其他恶意软件检测器,并有助于检测器鲁棒性的优化。     

面向恶意PDF文档分类的对抗样本生成方法研究

通过恶意文档来传播恶意软件在现代互联网中是非常普遍的,这也是众多机构面临的最高风险之一。PDF文档是全世界应用最广泛的文档类型,因此由其引发的攻击数不胜数。使用机器学习方法对恶意文档进行检测是流行且有效的途径,在面对攻击者精心设计的样本时,机器学习分类器的鲁棒性有可能暴露一定的问题。在计算机视觉领域中,对抗性学习已经在许多场景下被证明是一种有效的提升分类器鲁棒性的方法。对于恶意文档检测而言,我们仍然缺少一种用于针对各种攻击场景生成对抗样本的综合性方法。在本文中,我们介绍了PDF文件格式的基础知识,以及有效的恶意PDF文档检测器和对抗样本生成技术。我们提出了一种恶意文档检测领域的对抗性学习模型来生成对抗样本,并使用生成的对抗样本研究了多检测器假设场景的检测效果(及逃避有效性)。该模型的关键操作为关联特征提取和特征修改,其中关联特征提取用于找到不同特征空间之间的关联,特征修改用于维持样本的稳定性。最后攻击算法利用基于动量迭代梯度的思想来提高生成对抗样本的成功率和效率。我们结合一些具有信服力的数据集,严格设置了实验环境和指标,之后进行了对抗样本攻击和鲁棒性提升测试。实验结果证明,该模型可以保持较高的对抗样本生成率和攻击成功率。此外,该模型可以应用于其他恶意软件检测器,并有助于检测器鲁棒性的优化。     

Securing communication using function extraction technology for malicious code behavior analysis

Since computer hardware and Internet is growing so fast today, security threats of malicious executable code are getting more serious. Basically, malicious executable codes are categorized into three kinds – virus, Trojan Horse, and worm. Current anti-virus products cannot detect all the malicious codes, especially for those unseen, polymorphism malicious executable codes. The newly developed virus will create the damages before it has been found and updated in database. The basic idea of the proposed system is, it will analyze the behavior of the malicious codes and based on the behavior signature of the malicious code content filtering mechanism will be used to filter out contents, so that, the system will be secured from the future communication processes. The behavior of the code is analyzed using the function extraction technology. The function extraction technology will replace the function codes into algebraic expressions. Based on the behavior of the malicious codes, it will be categorized into different kinds of malicious codes. The detected malicious code will be prevented from execution. Based on the type of malicious code, appropriate security mechanism will be used for further communication.     

基于文件系统过滤驱动的多策略加密系统

讨论了基于WDM分层驱动模型的文件系统过滤驱动的工作原理以及基于该原理的多策略加密系统的设计与实现,讨论了该系统的不足及改进的方向。